智慧城市基础平台安全系统设计方案
智慧城市基础平台安全系统设计方案
随着政府信息化进程的推进,承载网络上运行的应用系统将越来越多,信息系统变得越来越庞大和复杂。用户对信息系统的依赖性不断增加,因此对信息系统的服务质量也提出了更高的要求,要求信息系统能够提供24小时×7的优质服务。所以建立有机的、智能化的网络安全防范体系保护系统正常运行、保护关键数据和关键应用的安全,成为一项不容轻视的任务。
网络安全防范体系应该是动态变化的。安全防护是一个动态的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻新,而电子政务外网自身的情况也会不断地发展变化,在完成安全防范体系的架设后,必须不断对此体系进行及时的维护和更新,才能保证网络安全防范体系的良性发展,确保它的有效性和先进性。
网络安全防范体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训,加强所有人的安全意识,完善安全体系赖以生存的大环境。
下面将逐一描述安全体系的各个组成部分。
安全策略:是一个成功的网络安全体系的基础与核心。安全策略描述了系统的安全目标(包括近期目标和长期目标),能够承受的安全风险,保护对象的安全优先级等方面的内容。
安全技术:常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分,缺少任何一种对系统都会有巨大的危险。对安全工具和技术手段的使用需要在安全策略的指导下进行实施。需要说明的是,在网络安全体系中安全产品并不能只是简单地堆砌,而是要合理部署,互联互动,形成一个有机的整体。
安全管理:安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。安全不是简单的技术问题,不落实到管理,再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。
安全培训:最终用户的安全意识是信息系统是否安全的决定因素,因此对系统中用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。
随着技术的发展,攻击手段日益先进,系统内的安全对象是复杂的系统,攻击者可以只攻一点,而我们需要处处设防,这些都使得保障网络安全的复杂性大大提高。因此,对安全防范体系建设应本着以安全策略为核心,以安全技术作
为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识来进行。
只有在安全策略的指导下,建立有机的、智能化的网络安全、系统防范体系,才能有效地保障系统内关键业务和关键数据的安全。
3.3.6.1安全概述
在XX智慧城市系统建设中,特别是定位于秘密级涉密计算机信息系统建设,其内部的信息安全也是需要重视的,在本方案中,我们按照国家涉密计算机系统安全要求,采用先进的、符合涉密系统安全要求的安全设备和产品,严格遵守中华人民共和国保密局、公安部相关法律和法规,严格遵守国家涉密计算机系统安全保密规范,建立整个网络综合安全保障体系。
3.3.6.2安全风险分析
1.在提出XX智慧城市系统安全方案之前,我们首先需要重
点分析一下网络安全性方面可能存在的问题。站在信息系统攻击者的角度看,对现有网络可能采用的攻击手段主要有:
2.线路窃听:通过搭线截获网上办公通讯数据,掌握敏感数
据,并可能通过协议分析等手段,进一步对政务系统网络
内部进行攻击。
3.网络入侵:以各种攻击手段如拒绝服务攻击等破坏网络的
正常运行。
4.节点假冒:外部用户可以通过公众网络直接访问对外服务
的服务器,同时也有可能访问内部的网络服务器,这样,由于缺乏有效的和高强度的身份验证和监控,内部系统和对外的服务器就比较容易遭到假冒用户的攻击。
5.伪造网络地址和非法用户,非法设立网络节点,甚至非法
复制、安装相应的文件、应用软件。
6.中间人攻击:以某种机制接到通讯双方之间,对发送方冒
充成接收方,对接收方冒充成发送方,从而骗取通讯双方的信任,并获得机密信息。
7.非授权访问:有意避开系统访问控制机制,对网络设备及
资源进行非正常使用,擅自扩大权限,越权访问信息。8.业务抵赖:在处理完某笔业务后,参与业务的某方否认所
做的业务处理。
9.病毒入侵:对重要的主机或服务器进行基于病毒的攻击,
或放置逻辑炸弹和其它病毒,以获取信息或让主机无法正常工作。
10.管理技术性:缺乏有效的手段监视、评估网络系统和
操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC,
缺乏一套完整的安全策略、监控和防范技术手段。
3.3.6.3网络安全建设目标
通过安全风险的分析,XX智慧城市系统的信息安全建设目标是:对部分核心计算机网络系统的安全进行全方位的安全防范,保证内部网络的安全和网上办公系统的顺利运行,安全而且实际可行。具体包括:
1.保护网络系统的可用性;
2.保护系统服务的连续性;
3.防范网络资源的非法访问及非授权访问;
4.防范入侵者的恶意攻击与破坏;
5.保护网络信息在存储、处理、传输等过程环节上的机
密性、完整性
6.防范病毒的侵害;
7.实现网络的安全管理。
3.3.6.4计原则
XX智慧城市系统信息安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
进行XX智慧城市系统安全体系设计、规划时,应遵循以下原则:
我们在进行网络安全体系规划、设计时,将遵循以下原则:
1、需求、风险、代价平衡分析的原则:对任何网络安全技术体系的规划、设计来说,必须明确安全需求的尺度。对网络面临的威胁、可能承担的风险及代价进行定性与定量分析,在三方面找出一个平衡的解决原则。
2、综合性、整体性原则:运用系统工程方法,分析安全问题,制定具体措施。把多环节、多层次的安全解决措施纳入一个整合的系统性规划设计之中。
3、一致性原则:网络安全问题与整个网络的工作周期(或生命周期)同时存在,安全体系结构必须与网络的安全需求相一致。
4、多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。多重保护原则是指各层保护相互补充,当一层保护被攻破时,其它层仍可保护。
5、适应性、灵活性原则:安全措施能随着网络性能及安全需求的变化而变化,便于定制,策略易于修改。
6、易操作性原则:安全措施是由人来完成的,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。
7、利旧原则:充分利用设备本身安全防护功能和网络中原有的安全产品,避免重复投资,造成浪费。
3.3.6.5设设计标准
在网络安全体系规划和实施过程中,我们将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:
1、ISO/IEC 17799 Information technology–Code of practice for information security management;
2、ISO/IEC 13335 Information technology–Guidelines for The Management of IT Security;
3、ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security;
国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。
3.3.6.6全系统解决方案
3.3.6.6.1安全隔离
利用XX电子政务网络MPLS/VPN和VLAN设置连接相关专业部门,进行有效的安全控制,在不同业务区之间架设防火墙,用来防御可能来自入侵威胁。
3.3.6.6.2网络分段
1、技术概况
网络分段是保证安全的一项重要措施,同时也是一项基
本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
VLAN(虚拟网技术),主要基于近年发展的局域网交换技术。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换器和VLAN 技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,基于MAC的VLAN不能防止MAC欺骗攻击,面临着被假冒MAC地址的攻击的可能。因此,VLAN的划分最好基于交换机端口。这就要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
2、技术实现
有关网络分段的技术实现请参考本技术标书的“网络与通信系统设计”部分。
3.3.6.6.3入检测系统
1、技术概述
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
入侵者可寻找防火墙背后可能敞开的后门;
入侵者可能就在防火墙内;
由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用
于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短响应黑客入侵的时间。
与现在流行的产品和扫描器类似,主要识别手段是通过一个攻击数据库来分析。它监控主机或网络中流动的数据,标准或非标准的日志系统的变化和记录,分析已有的特征码,识别可能的攻击尝试。
按照采用的数据来源不同,可分为基于网络(Network Based)、基于主机(Host Based)和基于机群(Hosts Based)的入侵检测系统。
简单来说,基于网络数据包分析在网络通信中寻找符合网络入侵模版的数据包,并立即作出相应反应;基于主机在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告。它们各有优缺点,互相作为补充。
基于主机的入侵检测系统:用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统:用于实时监控网络关键路径的信息。
部署方式:部署方式一般有两种,基于网络和基于主机。基于网络的入侵检测产品放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包
进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,基于网络的入侵检测产品是主流。基于主机的入侵检测产品通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。
系统结构:一个入侵检测产品通常由两部分组成:传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件,大部分的网络入侵检测产品传感器在Unix上实现。控制台主要起到中央管理的作用,商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台,也有些产品的控制与管理功能支持与网管软件如HP OpenView等的集成。此外,Dragon支持以Web界面管理。
2、技术要求
入侵检测的技术要求如下:
1、事件分析功能采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广,事件库完备,能够对扫描、溢出、拒绝服务、WEB、EMAIL等各种攻击行为进行检测
2、具备碎片重组、TCP流重组、统计分析能力;具备
分析采用躲避入侵检测技术的通信数据的能力,从而有效的检测针对IDS进行的躲避行为;具有网络蠕虫病毒检测功能。
3、具有用户自定义事件功能。具备完备、开放的特征库,支持用户对网络安全事件自定义和定制功能,允许修改或定义特定事件,生成自己的事件库,对非通用入侵行为进行定义检测;支持向导式的自定义事件方式。
4、提供动态策略调整功能,对一些频繁出现的低风险事件,自动调整其响应方式。
5、每秒维持会话连接数〉1,200,000,支持新建TCP 连接能力〉60,000/秒,支持新建HTTP连接能力〉40,000/秒。
6、网络入侵检测安全功能对授权用户根据角色进行授权管理,提供用户登录身份鉴别和多次鉴别失败处理;可以严格按权限来进行管理。
7、对用户分级,并能够调整对不同用户具体权限,提供不同的操作。对各级权限的用户行为进行审计。对控制台与探测引擎之间的数据通信及存储进行加密、完整性检查和基于RSA(1024位)的身份鉴别处理;网络探测引擎采用固化模块(包含软硬件),专有操作系统,探测引擎无IP地址,在网络中实现自身隐藏及带外管理
3、技术实现
部署千兆网络探测引擎联入核心交换机,在核心交换
机上配置应用服务器区VLAN的镜像口,使探测引擎能够采集该VLAN的数据流量,进行网络入侵行为的分析检测。3.3.6.6.4脆弱性扫描与管理系统
1、技术概述
脆弱性扫描与管理系统是基于网络的安全性能评估与分析系统,它采用实践性的方法扫描分析网络系统,综合检测网络系统中存在的弱点和漏洞,并以报表的方式提供给用户,实时提出修补方法和安全实施策略。
脆弱性扫描与管理系统采用国际最新的漏洞扫描与检测技术,包括快速主机存活扫描技术、操作系统识别技术、智能化端口服务识别技术、黑客模拟攻击技术、入侵风险评估技术等多种扫描技术的综合应用,帮助用户快速、高效、准确地发现系统安全隐患并在短时间内修复漏洞,最大限度地降低系统安全风险,消除安全隐患。
2、技术要求
(1)扫描信息全面,包括主机信息、用户信息、服务信息、漏洞信息等内容。能对扫描对象的安全脆弱性进行全面检查,检查内容包括缺少的安全补丁、词典中可猜测的口令、操作系统内部是否有黑客程序驻留、不安全的服务配置等。
(2)具有丰富的漏洞检查列表,漏洞库涵盖当前系统常见的漏洞和攻击特征,漏洞库具备CNCVE、CVE和BUGTRAQ
编号。
(3)可检测的目标主机的系统包括:Win系列、Linux、AIX、HPUX、IRIX、BSD等。
(4)支持网络协议SNMP的漏洞检测。支持网络设备如Cisco、Checkpoint等的扫描。
(5)可检测的主流数据库包括:Oralce、Sybase、SQLServer、DB2、MySQL等。
(6)为确保网络的保密性,系统应能够检测到网络中存在的网络监听设备。
(7)要求提供多种默认的扫描策略,并可按照特定的需求,针对不同的目标对象或目标群组,可以同时应用不同扫描策略。允许自定义扫描策略和扫描参数,实现不同内容、不同级别、不同程度、不同层次的扫描;
(8)具有权限管理功能,可以对用户分级,提供不同的操作权限;具备用户操作审计功能,可以对用户的操作进行查询.
3、技术实现
部署脆弱性扫描与管理系统与便携机系统上,由管理终端对该设备进行监督管理,实现定时对系统平台所涉及的服务器和相关网络设备进行安全扫描检查。
3.3.6.6.5 安全审计系统
1、技术概述
对网络终端的控制是内部网安全系统的重要内容,只有有效地切断引起网络不安全地各种途径,才能从根本上减少对内部网络的威胁。网络终端的很多行为,都可能会对网络的安全带来威胁,如文件的操作、外部存储器的使用以及非法的拨号上网等。网络安全监控能够针对这些可能引起网络不安全的终端操作进行完备的管理和控制,限制客户端对应用程序的操作,在关键时候实施对终端的强行关机。
文件监视于控制功能:包括对文件的删除、更名和修改等。
外存监控功能:包括对软驱、光盘、U盘的监视等,通过修改各自的驱动程序,来达到对外存进行监控的目的。
注册表保护:对注册表进行增量保护,当注册表被非法窜改后,系统可以恢复到以前正确的数据。
拨号上网控制:每隔一秒钟(操作员可自定义该时间间隔),客户端软件将自动扫描客户端是否有拨号连接的情况;如存在活动的拨号连接,则对照预定义规则判断该连接是否允许存在;如不允许,则马上挂断该连接并发送报警信息,即使在离线的状态下,仍能保持规则的实现。
2、技术要求
(1)网络审计产品通过旁路对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,根据用户定制的策略记录网络事件、发现安全隐患,并对网络活动的相关
信息进行存储、分析和协议还原,并对网络中的可疑网络行为实施记录、告警和阻断。
(2)系统支持多种语言文字的内容审计,包括韩文、日文等
(3)支持文件传输(FTP)协议审计,记录FTP访问的时间、地址、命令等信息;回放FTP访问的内容
(4)支持网页访问(HTTP)协议审计,系统能够记录访问网页的时间、地址、URL等信息;回放所浏览的网页原始内容
(5)支持邮件收发审计(SMTP、POP3)协议审计,记录收发邮件的时间、地址、主题、收发人等信息;回放所收发的邮件的全部内容
(6)支持文件共享(NETBIOS)协议审计,记录文件共享操作的时间、地址、对文件或目录的创建、删除、修改、拷贝等内容
(7)具有权限管理功能,可以对用户分级,提供不同的操作权限和不同的网络数据操作范围限制,用户只能在其权限内对网络数据进行审计和相关操作。系统可以对每一种权限的使用人员的操作进行审计记录,可以由用户管理员进行查询,具有一定的自身安全审计功能。
3、技术实现
部署千兆安全审计引擎联入核心交换机,在核心交换机
上配置应用服务器区VLAN的镜像口,使探测引擎能够对给应用服务器区的业务和访问行为进行审计。实现对主机、服务器、数据库等资源的重点保护,从而为智慧城市信息系统提供强大的集中审计管理平台。
3.3.6.6.6访问控制—防火墙
1、技术概述
防火墙是指设置在不同网络(如可信任的单位内部网和不可信的公共网)或网络安全域之间(如单位内部不同部门之间)的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据单位的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet 的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。
现在的防火墙一般都既有包过滤的功能,又能在应用层