【文章內(nèi)容簡(jiǎn)介】 身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行安全審計(jì)操作。此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。n 安全計(jì)算環(huán)境參照基于可信計(jì)算和主動(dòng)防御的等級(jí)保護(hù)模型，安全計(jì)算環(huán)境可劃分成節(jié)點(diǎn)和典型應(yīng)用兩個(gè)子系統(tǒng)。在解決方案中，這兩個(gè)子系統(tǒng)都將通過(guò)終端安全保護(hù)體系的建立來(lái)實(shí)現(xiàn)。信息安全事故的源頭主要集中在用戶終端，要實(shí)現(xiàn)一個(gè)可信的、安全的計(jì)算環(huán)境，就必須從終端安全抓起。因此，依照等級(jí)保護(hù)在身份鑒別，訪問(wèn)控制（包括強(qiáng)制訪問(wèn)控制）、網(wǎng)絡(luò)行為控制（包括上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應(yīng)用安全、數(shù)據(jù)安全、安全審計(jì)等方面的技術(shù)要求，可充分結(jié)合可信計(jì)算技術(shù)和主動(dòng)防御技術(shù)的先進(jìn)性和安全性，提出一個(gè)基于可信計(jì)算和主動(dòng)防御的終端安全保護(hù)體系模型，以實(shí)現(xiàn)從應(yīng)用層、系統(tǒng)層、核心層三個(gè)方面對(duì)計(jì)算環(huán)境的全面防護(hù)。n 安全區(qū)域邊界為保護(hù)邊界安全，本解決方案針對(duì)構(gòu)建一個(gè)安全的區(qū)域邊界提出的解決手段是在被保護(hù)的信息邊界部署一個(gè)“應(yīng)用訪問(wèn)控制系統(tǒng)”。該系統(tǒng)應(yīng)可以實(shí)現(xiàn)以下功能：信息層的自主和強(qiáng)制訪問(wèn)控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址換、安全審計(jì)等。由于國(guó)內(nèi)外在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整改總體設(shè)計(jì)中更多的是考慮如何將防火墻、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、IDS、IPS、網(wǎng)管系統(tǒng)等有機(jī)地結(jié)合在一起，實(shí)現(xiàn)協(xié)同防護(hù)和聯(lián)動(dòng)處理。此外，對(duì)于不同安全等級(jí)信息系統(tǒng)之間的互連邊界，可根據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系統(tǒng)，并配置相應(yīng)的安全策略以實(shí)現(xiàn)對(duì)信息流向的控制。n 安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實(shí)現(xiàn)的各類VPN都可以很有效的解決這類問(wèn)題，達(dá)到在滿足等級(jí)保護(hù)相關(guān)要求的同時(shí)，可靈活提高通信網(wǎng)絡(luò)安全性的效果。. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)學(xué)校網(wǎng)絡(luò)架構(gòu)整體設(shè)計(jì)如下：. 安全域劃分說(shuō)明安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一個(gè)安全邊界所包含的區(qū)域都形成了一個(gè)安全域。這些區(qū)域具有不同的使命，具有不同的功能，分域保護(hù)的框架為明確各個(gè)域的安全等級(jí)奠定了基礎(chǔ)，保證了信息流在交換過(guò)程中的安全性。在本項(xiàng)目中，將嚴(yán)格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分如下確定的安全域：l 互聯(lián)網(wǎng)出口域，該區(qū)域說(shuō)明如下：l 專網(wǎng)出口域，該區(qū)域說(shuō)明如下：主要承載互聯(lián)網(wǎng)出口，出口主干需要部署相應(yīng)的安全邊界產(chǎn)品。l 終端接入域，該區(qū)域說(shuō)明如下：主要是無(wú)線和有線終端接入；l 對(duì)外服務(wù)器域，該區(qū)域說(shuō)明如下：該區(qū)域主要承載對(duì)外發(fā)布服務(wù)器，比如學(xué)校的網(wǎng)站；l 內(nèi)部服務(wù)器域，該區(qū)域說(shuō)明如下：主要承載對(duì)內(nèi)的服務(wù)器和存儲(chǔ)，比如OA和學(xué)校專業(yè)先關(guān)零時(shí)性的試驗(yàn)服務(wù)器。l 安全管理域，該區(qū)域說(shuō)明如下：主要承載網(wǎng)絡(luò)管理先關(guān)設(shè)備，比如網(wǎng)管系統(tǒng)，防病毒升級(jí)服務(wù)器等。5. 詳細(xì)方案設(shè)計(jì)技術(shù)部分. 物理安全根據(jù)GB/T250702010 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求中物理安全的要求，應(yīng)從以下方面進(jìn)行整改： . 網(wǎng)絡(luò)安全. 安全域邊界隔離技術(shù)根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，應(yīng)該在學(xué)校各安全域的邊界處部署防火墻設(shè)備，保證跨安全域的訪問(wèn)都通過(guò)防火墻進(jìn)行控制管理。因此，在互聯(lián)網(wǎng)出口域邊界部署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界部署WEB應(yīng)用防火墻。. 入侵防范技術(shù)根據(jù)等級(jí)保護(hù)基本要求，二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實(shí)現(xiàn)入侵防范功能，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防病毒設(shè)備，并保證與主機(jī)層防病毒實(shí)現(xiàn)病毒庫(kù)的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用防病毒模塊非常有必要。. 網(wǎng)頁(yè)防篡改技術(shù)學(xué)校網(wǎng)站承載了學(xué)校等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時(shí)會(huì)面臨網(wǎng)頁(yè)被篡改及黑客攻擊的危險(xiǎn)，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁(yè)防篡改功能非常有必要。. 鏈路負(fù)載均衡技術(shù)根據(jù)等級(jí)保護(hù)基本要求，二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處進(jìn)行優(yōu)化控制，保證用戶訪問(wèn)選擇最優(yōu)的鏈路。因此，建議在二期部署一套專業(yè)的鏈路負(fù)載均衡設(shè)備非常有必要。. 網(wǎng)絡(luò)安全審計(jì)針對(duì)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，必須部署一套日志審計(jì)系統(tǒng)利用實(shí)時(shí)跟蹤分析技術(shù)，從發(fā)起者、訪問(wèn)時(shí)間、訪問(wèn)對(duì)象、訪問(wèn)方法、使用頻率各個(gè)角度，提供豐富的統(tǒng)計(jì)分析報(bào)告，幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)訪問(wèn)日志的同時(shí)，及時(shí)發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。根據(jù)公安部等級(jí)保護(hù)基本要求，所有信息系統(tǒng)都需要部署日志審計(jì)系統(tǒng)，并保存3個(gè)月的日志，學(xué)校擁有龐大的網(wǎng)絡(luò)海量的數(shù)據(jù)交換，目前還沒(méi)有部署日志審計(jì)系統(tǒng)。因此，建議在二期部署一套日志審計(jì)系統(tǒng)對(duì)全網(wǎng)行為進(jìn)行監(jiān)控、日志進(jìn)行記錄。部署設(shè)計(jì)：日志審計(jì)系統(tǒng)旁路部署在核心交換上，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計(jì)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)等設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息，并對(duì)收集到的日志信息進(jìn)行分類和關(guān)聯(lián)分析，并可根據(jù)審計(jì)人員的操作要求生成統(tǒng)計(jì)報(bào)表，方便查詢和生成報(bào)告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。. 主機(jī)安全. 數(shù)據(jù)庫(kù)安全審計(jì)建議在二期部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。部署設(shè)計(jì)：數(shù)據(jù)庫(kù)審計(jì)部署于數(shù)據(jù)庫(kù)前端交換機(jī)上，通過(guò)端口鏡像收集信息。. 運(yùn)維堡壘主機(jī)對(duì)運(yùn)維的管理現(xiàn)狀進(jìn)行分析，我們認(rèn)為造成這種不安全現(xiàn)狀的原因是多方面的，總結(jié)起來(lái)主要有以下幾點(diǎn)：n 各IT系統(tǒng)獨(dú)立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認(rèn)證、授權(quán)、審計(jì)的依據(jù)和前提，因此身份的混亂實(shí)際上造成設(shè)備訪問(wèn)的混亂。n 各IT系統(tǒng)獨(dú)立管理，風(fēng)險(xiǎn)分散在各系統(tǒng)中，各個(gè)擊破困難大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。n 核心服務(wù)器或設(shè)備的物理安全和臨機(jī)訪問(wèn)安全通過(guò)門(mén)禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，但是對(duì)他們的網(wǎng)絡(luò)訪問(wèn)缺少控制或欠缺控制力度，在帳號(hào)、密碼、認(rèn)證、授權(quán)、審計(jì)等各方面缺乏有效的集中管理技術(shù)手段。目前，學(xué)校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來(lái)提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫(kù)應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，這嚴(yán)重影響信息系統(tǒng)的運(yùn)行效能，另外黑客的惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限，闖入部門(mén)內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來(lái)越成為信息系統(tǒng)關(guān)心的問(wèn)題，因此建議在學(xué)校二期安全建設(shè)有必要部署一套運(yùn)維堡壘主機(jī)來(lái)實(shí)現(xiàn)賬戶的安全維護(hù)。部署設(shè)計(jì)：運(yùn)維審計(jì)系統(tǒng)部署在安全管理域，通過(guò)交換機(jī)的訪問(wèn)控制策略限定只能由堡壘主機(jī)內(nèi)控管理平臺(tái)直接訪問(wèn)服務(wù)器的遠(yuǎn)程維護(hù)端口。維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器