【正文】 ....9 等保建設建議 ...........................................................................................................................................9 五 . 安全方案設計原則 ...............................................................................................................................................9 合規(guī)性 .................................................................................................................................................................9 穩(wěn)定可靠 ............................................................................................................................................................9 實時性和高效性 ............................................................................................................................................ 10 安全風險可控 ................................................................................................................................................ 10 集中化管理 ..................................................................................................................................................... 10 靈活性和擴展性 ............................................................................................................................................ 10 六 . 安全架構技術解決方案 ................................................................................................................................... 10 數(shù)據(jù)中心安全產(chǎn)品部署總覽 ...................................................................................................................... 10 容災中心安全產(chǎn)品部署總覽 ...................................................................................................................... 13 物理安全 ......................................................................................................................................................... 16 物理安全防護規(guī)范 ............................................................................................................................... 16 環(huán)境安全 ................................................................................................................................................. 16 設備安全 ................................................................................................................................................. 17 網(wǎng)絡安全 ......................................................................................................................................................... 18 安全域設計 ............................................................................................................................................ 18 防火墻系統(tǒng)設計 ................................................................................................................................... 19 XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 ? 系統(tǒng)所包含的主要信息 描述 系統(tǒng) 所 輸入、處理、存儲、輸出 的主要信息和數(shù)據(jù)。 另外為增強網(wǎng)站的服務能力和應用 水平，還開發(fā)有網(wǎng)上業(yè)務服務、文獻服務、咨詢臺等多個網(wǎng)上應用系統(tǒng)。 電磁防護：解決方案是機房裝修時在墻面、吊頂及地面進行電測防護，可以考慮安裝彩鋼板或鋁塑板等，可以有效的防治電磁信號外泄。 主機安全 需求 等保建設差距 根據(jù)等級保護標準進行現(xiàn)狀分析，網(wǎng)站主要存在的問題如下： ? 沒有啟用登錄失敗處理功能； ? 沒有較強的強制密碼策略。 ? 視頻點播 /直播服務器 2 和 日志分析服務器 存在 XSS 漏洞 ，利用該漏洞，可以進行跨站攻擊； ? 應用服務器 存在 SQL 數(shù)據(jù)庫注入漏 洞，滲透測試的結果表明能夠利用此漏洞獲取服務器系統(tǒng)權限，同時利用其為跳板對同網(wǎng)段主機和內(nèi)網(wǎng)主機進行進一步滲透，最終獲取防火墻、 網(wǎng)站日志分析服務器 、存儲設備等其他服務器的控制權限。 在 項目中 對安全 需求的處理方法， 推薦 的安全 控制措施 ，包括 其 部署、應用的方式，都是 以滿足等級保護三級要求為目標 而進行設計的 。 靈活性和擴展性 在本次 項目中 設計的架構 在 政府 行業(yè)有著廣泛 的應用 ，充分保證滿足用戶的可靠性運行要求、靈活性和擴展性要求。對重要的業(yè)務系統(tǒng)實施入侵檢測手段，簡化安全管理工作，提高安全監(jiān)控力度。 1 套 N/A WSUS 補丁服務系統(tǒng) ? 服務器區(qū)部署一臺 WSUS 補丁服務器 對網(wǎng)站系統(tǒng)內(nèi)的 Windows服務器進行統(tǒng)一管理。 我們 建議在 容災中心的安全產(chǎn)品部署如下： XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 入侵保護系統(tǒng) ? Inter 入口、抗拒絕服務系統(tǒng)后 檢測入侵與可疑行為并實時阻斷。 1 套 主機審計 系統(tǒng) ? 在網(wǎng)管區(qū)部署一臺安全管理服務器 ? 在每一臺WINDOWS服務器上安裝安全管理軟件 對 WINDOWS 系統(tǒng)進行保護，同時進行安全管理。 （ 2）對于機房環(huán)境，我們設計方案 中建議按照 國家和規(guī)劃局有關標準建設機房，安裝必要的設備以便達到 ? 合適的溫度、濕度 ； ? 能夠防塵、防靜電 ； ? 防水、防火、防雷電； XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 2020 密級： 商業(yè)機密 18 我們設計方案中建議的保護措施為： ? 嚴格按照廠家的要求安裝和維護； ? 必要時要做到最終用戶難以私自安裝、拆卸設備的軟、硬部件，這些工作一定要機房專門人員來完成并且得到安全管理層的授權； ? 特別安裝，使最終用戶只能夠接觸到完成工作所必須的接口設備和應用程序，如鍵盤、鼠標和屏幕等。 整個 XXX 政府網(wǎng)站 系統(tǒng)可定義 為 四 個不同的安全域： ? 核心安全域 XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 防火墻 系統(tǒng) 設計 需求分析 TCP/IP 的靈活設計和 Inter 的普遍應用為網(wǎng)絡黑客技術的發(fā)展提供了基礎，黑客技術很容易被別有用心或喜歡炫耀的人們掌握，由此黑客數(shù)量劇增。 并且通過核心交換機將內(nèi)部網(wǎng)絡劃分為若干個VLAN。 當前， XXX 政府網(wǎng)站 已經(jīng)部署了綠盟科技的 Collapsar200 抗拒絕服務攻擊系統(tǒng)，僅能夠抵御小規(guī)模 攻擊 。抗拒絕服務攻擊系統(tǒng)位于防火墻前端，這樣在保護服務器的同時可以保護防火墻。 部署建議 圖 63 入侵保護系統(tǒng)部署圖 XXX 政府網(wǎng)站 信息安全架構 設 計方案 169。 目前 ， 網(wǎng)絡中 已經(jīng)部署了 綠盟科技的冰之眼 NIDS 入侵檢測系統(tǒng)。網(wǎng)管區(qū)的入侵檢測系統(tǒng)控制臺可以實現(xiàn) 集中管理。 安全審計系統(tǒng)通過網(wǎng)絡數(shù)據(jù)的采集、分析、識別，實時動態(tài)監(jiān)測 XXX 政府網(wǎng)站 系統(tǒng)的互聯(lián)網(wǎng)通信內(nèi)容、網(wǎng)絡行為和網(wǎng)絡流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響應，全面記錄網(wǎng)絡系統(tǒng)中 的各種會話和事件，實現(xiàn)對網(wǎng)絡 信息的智能關聯(lián)分析、評估及安全事件的準確全程跟蹤定位，為整體 XXXX 局電子審批系統(tǒng)安全策略的制定提供權威可靠的支持。主動查找漏洞，事先修補，做到積極防御。 XXX 政府網(wǎng)站 系統(tǒng)中已經(jīng)部署了眾多的安全設備，為了 實現(xiàn)對整個系統(tǒng)內(nèi)的安全設備進行的統(tǒng)一安全管理，建議采用安全管理平臺（ SOC）。 ? 控制臺 控制臺部署在遠程的普通 PC 機上，遠程連接訪問任意的一個管理中心。所有WINDOWS 服務器 安裝防病毒客戶端軟件 。這時需要保證所有計算機的操作系統(tǒng)漏洞補丁得到及時更新 ，這時需要采用補丁管理系統(tǒng)。 該部署方式提高了補丁更新速度， 也解決了內(nèi)網(wǎng)服務器打補丁的問題。 這些重要業(yè)務服務器的特點是： ? 系統(tǒng)情況復雜 ，利用補丁自動分發(fā)機制容易出現(xiàn)問題； ? 業(yè)務作用十分重要，如果在打補丁環(huán)節(jié)出現(xiàn)問題，可能造成業(yè)務中斷； ? 相對 Windows 系統(tǒng)計算機數(shù)量而言，數(shù)量不多。所有 內(nèi)、外網(wǎng) WINDOWS 服務器都 啟用自動更新服務 ， 目標 IP 指向 WSUS 補丁管理 服務器 。 2020 密級： 商業(yè)機密 30 WSUS補丁管理 系統(tǒng) 設計 需求分析 傳統(tǒng)的防毒系統(tǒng) ，只需要在服務器和客戶機上安裝必要的殺毒軟件并及時更新病毒庫就可以了。 防病毒 服務器管理 自己 網(wǎng)絡 區(qū)域 的 客戶端，包括 防 病毒 策略的設定和配置，日志的收集，病毒庫 ，掃描引擎等組件的更新 。 2020 密級： 商業(yè)機密 28 部署在網(wǎng)管區(qū)的專用服務器上，負責分析、組織、處理網(wǎng)絡環(huán)境內(nèi)的告警、設備運行信息。這種相對獨立的部署方式帶來的問題是各個設備獨立的配置、各個引擎獨立的事件報警，這些分散獨立的安全事件信息難以形成全局的風險觀點，導致了安全策略和配置難于統(tǒng)一協(xié)調(diào)。 2020 密級： 商業(yè)機密 26 在核心交換機上 接入一臺 漏洞掃描 設備，由網(wǎng)管區(qū)內(nèi)的控制臺遠程進行管理。審計內(nèi)容包括： IM 即時通訊、 P2P 下載、在線視頻、網(wǎng)絡游戲、 WEBMAIL、炒股軟件、論壇、 FTP、 TELNET、 NETBIOS、 SMTP、POP數(shù)據(jù)庫訪問。 2020 密級： 商業(yè)機密 24 圖 64 入侵檢測系統(tǒng)部署 在 兩臺 核心交換機 旁部署單臺 入侵檢測系統(tǒng) ， 入侵檢測系統(tǒng)的兩個工作口分別接入核心交換機的流 量鏡像口 ， 檢測攻擊與可疑行為。 2 臺 部署在 Inter 防火墻后 入侵檢測系統(tǒng) 設計 需求分析 入侵檢測系統(tǒng)是對防火墻有益的補充，被認為是防火墻之后的第二道安全閘門。但是， 根據(jù)等級保護的要求，部署在互聯(lián)網(wǎng)出、入口的設備需要具備冗余機制，如果仍然采用 單鏈路部署入侵保護系統(tǒng)，將帶來單點故障風險，造成業(yè)務中斷。 部署建議 圖 62 抗拒絕服務系統(tǒng)部署圖 抗拒絕服務攻擊系統(tǒng)的部署方式為雙線路串聯(lián)， 即兩條互聯(lián)網(wǎng)出口處的線路上分別部署一臺抗拒絕