《系统安全方面的设计.docx》由会员分享,可在线阅读,更多相关《系统安全方面的设计.docx(16页珍藏版)》请在三一办公上搜索。
1、第1章. 系统安全设计本章将从系统安全风险分析着手,从物理安全风险,网络安全风险、应用安全风险三个方面进行分析,并同时针对三种风险给出相应的解决方案,最后从系统故障处理和系统安全管理两方面对系统安全管理和运行提供参考意见。1.1. 系统安全风险分析城建档案馆综合业务网络络系统的安全可靠运行是此次设计的重中之重,安全不单是单点的安全,而是整个系统的安全,需要从物理、网络、系统、应用与管理等方面进行详细考虑和分析,设计保障全馆系统安全运行的方案。下面各节将针对各种综合业务网络络中可能出现的风险进行详细分析,便于针对出现的网络风险进行针对性设计。1.1.1. 物理安全风险物理安全是整个全馆系统安全的
2、前提。安全以人为本,如果管理不善或一些不可抗力的因数的存在,城建档案馆网络的物理环境可能存在如下的风险:l 地震、水灾、火灾等环境事故造成整个系统毁灭;l 设备被盗、被毁造成数据丢失或信息泄漏;l 电磁辐射可能造成数据信息被窃取或偷阅;1.1.2. 网络安全风险在综合业务网络络化系统设计中,信息在局域网和广域网中传输,而在网络中进行传输的数据和信息,都存在被窃听和篡改的危险,这也是在综合业务网络络设计中需要着重考虑的一点。另外当从一个安全区域(子网)访问另一个安全保护要求不同的区域(子网)时,存在对不应访问的数据、交易与系统服务操作的危险。所以在综合业务网络络安全设计中,需要考虑对网络入侵行为
3、的探测、报警、取证等机制,尽量减少已知网络安全危险的攻击。下文将从三个方面对网络安全风险进行详细分析。1.1.2.1. 来自与广域网的安全威胁城建档案馆的办公网是与广域网连接的,在本次设计中,办公网与专业网进行了物理隔离,而两个网络间的数据传输,通过收录系统的高安全区进行数据传输,所以对于广域网的威胁近期可能主要考虑高安全区的设置。但从整体规划来看,办公网由于业务需要,今后可能需要与主干平台的核心交换机进行连接,所以来自广域网的安全如果内部网络系统设计考虑不够全面,防护隔离措施设计不够强壮,就极有可能导致通过主干交换机进入各个业务系统, 从而直接危险生产系统和生产管理系统,导致节目的正常制播业
4、务无法开展。因此对这部分我们也需要重点考虑。由于广域网的开放性、自由性,内部网络将面临更加严重的安全威胁。网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。1.1.2.2. 内部局域网的安全威胁据统计在已有的网络安全攻击事件中,约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括: 误用和滥用关键、敏感数据和计算资源。无论是有故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给应用带来很大的负面影响; 如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内部人员故意泄漏内部网
5、络的网络结构;安全管理员有意透露其用户名及口令; 内部员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。1.1.2.3. 网络设备的安全隐患网络设备的安全隐患主要包括下面两个部分: 网络设备中包含路由器、交换机等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些系统可用而安全性不佳; 通讯线路故障可能是由于电信提供的远程线路的中断,也可能发生在局域网中;1.1.3. 系统和应用风险分析所谓系统安全通常是指网络操作系统、应用系统的安全,同时在系统安全设计的时候,还需要考虑到系统数据的安全,在广电网络设计中,需要重点考虑的就是媒体数据和数据库数据的安全。1.1.3
6、.1. 操作系统的安全风险分析操作系统的安装以正常工作为目标,一般很少考虑其安全性;因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的功能模块,开放了很多不必开放的端口,其中可能隐含了安全风险。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
7、如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价网络风险并根据网络风险大小做出相应的安全解决方案。1.1.3.2. 应用系统的安全风险应用系统的安全涉及很多方面。在城建档案馆全馆应用系统而言,简单来说分为两个部分,一部分是属于应用系统的支撑系统,如BS等软件的运行平台,如主干平台的中间件等产品,如数据库、统一认证的LDAP等产品;另一部分为用于界面层的应用系统,即用户可以直接操作使用的应用系统。这两部分由于涉及众多的应用软件,并且都直接面向客户,所以风险表现
8、更为直接。同时由于产品多且门类复杂,对于软件本身的应用熟知程度都会导致系统能否继续稳定运行,而且软件本身的功能与漏洞导致的也将导致系统能否稳定运行。在系统设计中需要尽可能减少因应用系统而导致的安全风险。1.1.3.3. 资源共享的安全风险城建档案馆网络系统内部有办公网络,而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少了必要的访问控制策略。1.1.4. 管理的安全管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分
9、。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。因此全馆安全设计除了从技术上下功夫外,还得依靠安全管理来实现和保障。管理方面的安全隐患包括: 内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解; 内部管理人员或员工责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密; 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险; 机房重地却是任何人都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件; 员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络
10、开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。1.2. 物理安全设计物理安全是保护计算机网络设备、视音频设备设施等免遭地震、水灾、火灾、电力故障等环境事故以及人为操作失误或错误而导致的破坏。保证物理安全的具体措施包括: 系统中相关核心设备部署在专业机房内,机房内铺设防静电地板,采用独立空调制冷,每天定时监测机房内温度、湿度、空气洁净度等指标,确保符合设备正常运行的要求。 所有机架的电源分两路独立供电,对于关键服务器的供电使用UPS不间断电源,服务器及关键存储、交换设备等均配置冗余电源,分别接在两路电源之上。 设备上架之后按照布线标
11、准连接网线、光纤线、电源线、键盘鼠标显示器线等。所有线缆均以色环或标签进行标示,线缆插拔时不得有相互干扰。机架外线缆一律置于地板之下,室内无明线散线。 对于进出机房的人员进行严格控制,严禁闲杂人等入内。对于机柜的前后门钥匙统一管理,不得随意打开机柜门进行操作。1.3. 网络安全系统设计综合业务网络络的安全架构应该设计成一个分层面的立体式防护结构,在系统网络安全的设计上,主要从防毒和防黑两个方面进行系统设计,对于业务系统而言,外部主要网络威胁来自办公网的访问,内部主要威胁来自内网的病毒感染,所以系统设计上从入口处通过防火墙部署实现对入口的网络安全保护,而内网的保护则依靠防病毒软件和VLAN划分,
12、尽量减少病毒的扩散范围。1.3.1. 网络安全级别分析根据各子网的职责和任务我们把整个网络系统分为4个安全级别,从安全级别最低的Internet区到级别最高的播出控制系统,这是进行综合业务网络安全设计的主要依据。级别一:Internet是不被信任的,风险最高的区域;级别二:办公网的工作既要求访问Internet,又要与内部业务系统产生联系;级别三:各子系统的终端站点需要访问数据中心和存储系统,不能访问外网,是人为介入较多的部分;级别四:播出系统是全馆的重中之重,属于最高的安全级别;另外各系统核心服务器组成的数据中心是各业务系统的核心部分,需要额外保护。不同安全区域之间的访问将受到严格的控制,安
13、全级别较低的区域原则上是不允许访问安全级别较高的区域的,从根本上杜绝了不安全因素的产生。正常的从低到高的访问将在防火墙、VLAN划分等安全隔离部署上做精确的安全策略,保证通信的畅通。1.3.2. 防火墙设计及部署结合城建档案馆综合业务网络系统的实际情况和需求,采用防火墙模块安放办公网与专业网连接的服务器上,且两端采用异构防火墙,充分保证安全,构成一道安全防护体系。防火墙的作用是对安全级别不同的网络间实施访问控制策略及包过滤等安全策略。为了保证个子系统间通信的安全,因此非常必要通过防火墙进行隔离,实施访问控制等安全策略,保证: 在专业网与办公网彼此之间有合适、安全的界面; 控制用户访问信息服务;
14、 监控非法入侵行为 防护来自广域网的非法入侵。不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问已明确授权使用的服务和已明确授权使用的内容。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在城建档案馆网络安全管理及控制范围的公用或外部地方)的用户尤其重要。防火墙部署说明安装配置硬件防火墙,通过防火墙连接至办公网和专业网,在防火墙间建立DMZ区,保障内外网隔离和系统安全。1.3.3. 病毒防护控制及部署对于城建档案馆这样一个大型的网络系统来说,与病毒斗争将是一项长期艰苦的工作,其主要内容可分为技术方面和非技术方面。技术方面主要指,防病毒软件的杀毒引擎敏感可靠
15、、病毒库更新快、软件提供集中管理、防病毒策略能让客户机强制执行等特性;非技术方面是指,行政上的规章制度,如禁止用户随意下载游戏和软件、禁止用户随意拷贝和互传不被信任的软件、禁止用户浏览不被信任的站点,以及确保这些规章制度得以执行的培训和监督机制。从技术角度考虑,一个优秀的企业版防病毒软件除了卓越的查毒引擎外,至少应具有以下特点:集中管理界面自动更新病毒库可对客户端进行远程安装对客户端强制执行查病毒操作等集中式病毒防护控制体系:防病毒系统工作流程 由于本网络系统采用内、外网物理隔离方法,因此,我们需要定期从因特网下载病毒更新 病毒更新下载完成后,经测试,手工迁移置中心防病毒服务器上 中心防病毒服
16、务器在本局域网PC上通过网络安装PC防病毒客户端,并将集中防病毒策略和更新病毒库推到桌面PC上 各子系统防病毒服务器受中心服务器控制,并定期接收更新病毒库。 各级防病毒服务器将防病毒策略和更新病毒库推到相应的PC桌面系统中配置Symantec AntiVirus企业版杀毒软件,配置一个服务器端,用户端具体数量在子网工作站点确认后,进行配置,满足城建档案馆综合业务网络建设需要。另外,现在企业版防病毒可以有两种形式。除了前面介绍的防病毒服务器,在用户桌面安装客户端软件外,还有一种防毒墙,类似于防火墙,防毒墙通过检查和过滤因特网出口的数据包,发现并阻止带毒文件、病毒邮件、恶意Java小程序、恶意脚本
17、及其他各种来自因特网的病毒攻击。防毒墙可以是单独的硬件设备,在主干系统的核心入口连接一个这样的产品,实现入网数据的安全。但是需要考虑到防毒墙的效能问题进行合理配置。集中式桌面防病毒软件与防毒墙二者工作各有侧重,在无公网出口的大型单位内部网上,桌面防毒更重要些;在有因特网连接的局域网中,当前网上病毒和恶意代码泛滥,网络入口防毒不可忽视。我们应当视单位具体需要,将桌面防毒与网络防毒有机结合,二者相互补充,共同维护网络工作环境的稳定可靠。1.3.4. VLAN划分科学的VLAN划分既可以限制网络广播的数据流量,也可以将一些爆发的病毒限制在一定区域之内,减少其危害范围。1.4. 系统和应用安全1.4.
18、1. 媒体数据安全媒体数据主要指视音频数据,使城建档案馆综合业务网络主要的处理对象,本系统设计各个业务网络都采用主备存储体的设计方式,当系统主存储出现问题时,系统可以临时调用备份存储的数据,保证节目编辑应用不间断。1.4.2. 数据库数据安全首先各系统数据库服务器都是双冗余配置,数据库数据采用高可用盘阵存储,数据库数据可以备份到本地也可以备份到综合业务网络系统的中心备份盘阵集中备份数据库服务器上,形成多重备份。1.4.3. 操作系统的安全操作系统安全主要表现为两个层面: 关闭操作系统可能易受攻击的系统服务或访问端口 更新操作系统最新的补丁 核心服务器选用异构操作系统进行防护1.4.4. 系统应
19、用安全城建档案馆综合业务网络需要系统间应用访问比较频繁,为保证各自系统应用的安全,单点故障不影响全局,我们在应用设计中作如下设计:1. 办公网访问其他网络都必须采用三层架构2. 浏览节目业务网的低码率采用只读方式3. 为播出提供应急播出通路,保证在文件通路出现问题时节目的正常播出4. 各系统FTP数据传输的网络端口固定、传输前进行安全认证5. 播出部正常情况下只与系统进行信息交互访问6. 综合业务网络系统具有设计网络监控手段,应用系统提供日志统计信息,便于及时发现问题解决问题。7. 对非编、编目等所有业务站点的光驱、软驱、USB进行屏蔽,只有在重装系统时打开。8. 采用全馆统一的用户认证系统,
20、保证登陆和访问安全。9. 对于应用程序本身的逻辑错误引起的问题,需要靠对程序详尽完备的测试解决,在测试环境中尽可能模拟程序运行过程中的一些极限状况,包括长时间高负荷并发工作测试,以保证在系统上线之前提前将此类问题杜绝。10. 服务器集群技术、高可用技术和负载均衡技术用来实现对应用程序的保护,避免单点故障。在数据库服务器上可以应用集群技术提供并发计算和自动故障转移,对于转码服务器、数据迁移服务器、Web服务器、应用服务器等均通过程序自身的配置或第三方软硬件配置实现负载均衡,任何一个节点的应用中止后,其他节点可以自动接管其上的任务,保证连续性。1.5. 系统安全管理制度根据城建档案馆综合业务网络安
21、全体系要真正发挥作用,还需要制定安全制度并严格实施。一般的,安全制度包括人员安全管理、系统文档管理、环境安全管理、设备购置使用、系统开发管理、运营安全管理、应急情况处理等内容,据此进行设计城建档案馆综合业务网络安全管理制度草案。第2章. 启明星辰泰合安全系统(SOC)* 产品简介2.1. 启明星辰推出的泰合信息安全运营中心(简称:启明星辰TSOC)是立足于公司十年信息安全积累的基础之上,基于客户需求可以灵活裁减的信息安全管理平台或解决方案。启明星辰TSOC采用成熟的浏览器/服务器/数据库架构,融合多种信息安全产品和技术管理,充分实现组织、管理、技术三个体系的合理调配,能够最大化的保障网络、系统
22、和应用的安全性。启明星辰TSOC具有广泛的应用范围和客户群,在电信、金融、政府、能源等行业均有成功的应用。*产品功能*事件管理2.2. 事件管理处理事件收集、事件整合和事件可视化三方面工作。 事件管理功能首先要完成对事件的采集与处理。它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。 在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式
23、化,从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理 技术(UA)支持,确保事件的广泛采集。 在事件统一采集与整合的基础上,安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。*综合分析风险、预警和评估2.3. 综合分析是综合安全运营管理平台的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分
24、析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。 预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事件监控模块获取发生的安全事件。得到上述这些原始信息后
25、,本模块进行综合安全风险分析。综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体安全风险等级*脆弱性管理2.4. 通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。*相应管理2.5.
26、 仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。 响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。网络安全响应模块负责根据预定义好的安全策略规则,及时通过工单发布工作指令,调动有关资源做出响应。应在安全管理平台上实现人机接口。所有的工单经人工审核后,通过人工派单方式发送到相应的工单处理部门。通过调用本程序,接收网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。实现与网络与安全事件监控模块、脆弱性管理模块、综合分
27、析与预警模块等模块的接口,接收这些模块产生的预警信息,启动预警处理流程处理预。*策略管理2.6. 网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过TSOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。*用户管理2.7. 提供用户集中管理的功能,对用户可以访问的资源权限进行细致的划分,具备安全
28、可靠的分级及分类用户管理功能,要求支持用户的身份认证、授权、用户口令修改等功能;支持不同的操作员具有不同的数据访问权限和功能操作权限。 系统管理员应能对各操作员的权限进行配置和管理,要有完整的安全控制手段,对用户和系统管理员的权限进行分级管理, 相应的账号和口令加密存放,充分保证用户信息的安全性。对系统操作员的密码有安全保障机制。用户的账号等数据以数据库的形式进行加密存储及管理;对用户数据的管理保证其完整性和一致性,在系统出错的情况下,对用户数据要有有效的保护措施*报表显示2.8. 作为整个系统的公共基础模块,为各个功能提供报表支持。报表输出格式可转换为PDF 、HTML、RTF、CSV等多种
29、常用的标准格式。TSOC提供的主要报表包括:n 资产信息报表提供总体资产报表、域资产分布报表、资产详细信息报表。n 事件信息报表提供域事件分布报表,按照不同事件类别提供各类事件的趋势报表。n 脆弱性信息报表提供脆弱性分布报表,提供脆弱性统计分析报表。n 综合分析与预警报表供综合安全风险分析的报表,提供风险查询报表,可以根据资产、域、趋势等进行分类输出,包括分析数据分布范围、受影响的系统、可能的严重程度等。n 响应过程报表提供响应模块发生的响应事件的统计报表,按照响应事件的紧急程度、响应对象、响应人员分类列表。n 综合显示报表提供综合显示模块的实时截屏报表,包括列表显示报表输出、拓扑安全信息报表
30、输出、电子地图安全信息报表输出。n 平台自身日志报表提供平台自身日志的报表,包含访问人、访问次数、访问时间等。*综合显示2.9. 综合显示模块作为整个安全管理平台统一人机界面接口,将各个界面的信息集中显示和发布,采用Web方式,支持各功能模块的信息显示和管理。综合显示模块提供多种的信息显示和发布方式。n 基于列表的信息显示提供列表方式的信息显示,通过简明清晰的列表来显示信息,支持信息的检索、排序和查询。n 基于网络拓扑的信息显示与网管系统接口相结合,在网络拓扑上提供信息显示,可以在逻辑层面定位事件发生的位置。n 基于电子地图的信息显示与电子地图系统接口相结合,在地理上提供信息显示,可以在物理层面定位事件发生的位置。
