【文章內(nèi)容簡介】 身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作。此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強在安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。n 安全計算環(huán)境參照基于可信計算和主動防御的等級保護模型，安全計算環(huán)境可劃分成節(jié)點和典型應(yīng)用兩個子系統(tǒng)。在解決方案中，這兩個子系統(tǒng)都將通過終端安全保護體系的建立來實現(xiàn)。信息安全事故的源頭主要集中在用戶終端，要實現(xiàn)一個可信的、安全的計算環(huán)境，就必須從終端安全抓起。因此，依照等級保護在身份鑒別，訪問控制（包括強制訪問控制）、網(wǎng)絡(luò)行為控制（包括上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應(yīng)用安全、數(shù)據(jù)安全、安全審計等方面的技術(shù)要求，可充分結(jié)合可信計算技術(shù)和主動防御技術(shù)的先進性和安全性，提出一個基于可信計算和主動防御的終端安全保護體系模型，以實現(xiàn)從應(yīng)用層、系統(tǒng)層、核心層三個方面對計算環(huán)境的全面防護。n 安全區(qū)域邊界為保護邊界安全，本解決方案針對構(gòu)建一個安全的區(qū)域邊界提出的解決手段是在被保護的信息邊界部署一個“應(yīng)用訪問控制系統(tǒng)”。該系統(tǒng)應(yīng)可以實現(xiàn)以下功能：信息層的自主和強制訪問控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址換、安全審計等。由于國內(nèi)外在這一方面的相關(guān)技術(shù)非常成熟，因此，在本次系統(tǒng)整改總體設(shè)計中更多的是考慮如何將防火墻、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計系統(tǒng)、IDS、IPS、網(wǎng)管系統(tǒng)等有機地結(jié)合在一起，實現(xiàn)協(xié)同防護和聯(lián)動處理。此外，對于不同安全等級信息系統(tǒng)之間的互連邊界，可根據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系統(tǒng)，并配置相應(yīng)的安全策略以實現(xiàn)對信息流向的控制。n 安全通信網(wǎng)絡(luò)目前，在通信網(wǎng)絡(luò)安全方面，采用密碼等核心技術(shù)實現(xiàn)的各類VPN都可以很有效的解決這類問題，達到在滿足等級保護相關(guān)要求的同時，可靈活提高通信網(wǎng)絡(luò)安全性的效果。. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計學(xué)校網(wǎng)絡(luò)架構(gòu)整體設(shè)計如下：. 安全域劃分說明安全域的劃分是網(wǎng)絡(luò)防護的基礎(chǔ)，事實上每一個安全邊界所包含的區(qū)域都形成了一個安全域。這些區(qū)域具有不同的使命，具有不同的功能，分域保護的框架為明確各個域的安全等級奠定了基礎(chǔ)，保證了信息流在交換過程中的安全性。在本項目中，將嚴格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分如下確定的安全域：l 互聯(lián)網(wǎng)出口域，該區(qū)域說明如下：l 專網(wǎng)出口域，該區(qū)域說明如下：主要承載互聯(lián)網(wǎng)出口，出口主干需要部署相應(yīng)的安全邊界產(chǎn)品。l 終端接入域，該區(qū)域說明如下：主要是無線和有線終端接入；l 對外服務(wù)器域，該區(qū)域說明如下：該區(qū)域主要承載對外發(fā)布服務(wù)器，比如學(xué)校的網(wǎng)站；l 內(nèi)部服務(wù)器域，該區(qū)域說明如下：主要承載對內(nèi)的服務(wù)器和存儲，比如OA和學(xué)校專業(yè)先關(guān)零時性的試驗服務(wù)器。l 安全管理域，該區(qū)域說明如下：主要承載網(wǎng)絡(luò)管理先關(guān)設(shè)備，比如網(wǎng)管系統(tǒng)，防病毒升級服務(wù)器等。5. 詳細方案設(shè)計技術(shù)部分. 物理安全根據(jù)GB/T250702010 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求中物理安全的要求，應(yīng)從以下方面進行整改： . 網(wǎng)絡(luò)安全. 安全域邊界隔離技術(shù)根據(jù)《信息系統(tǒng)安全等級保護基本要求》，應(yīng)該在學(xué)校各安全域的邊界處部署防火墻設(shè)備，保證跨安全域的訪問都通過防火墻進行控制管理。因此，在互聯(lián)網(wǎng)出口域邊界部署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界部署WEB應(yīng)用防火墻。. 入侵防范技術(shù)根據(jù)等級保護基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實現(xiàn)入侵防范功能，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防病毒設(shè)備，并保證與主機層防病毒實現(xiàn)病毒庫的異構(gòu)。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用防病毒模塊非常有必要。. 網(wǎng)頁防篡改技術(shù)學(xué)校網(wǎng)站承載了學(xué)校等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時會面臨網(wǎng)頁被篡改及黑客攻擊的危險，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁防篡改功能非常有必要。. 鏈路負載均衡技術(shù)根據(jù)等級保護基本要求，二級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處進行優(yōu)化控制，保證用戶訪問選擇最優(yōu)的鏈路。因此，建議在二期部署一套專業(yè)的鏈路負載均衡設(shè)備非常有必要。. 網(wǎng)絡(luò)安全審計針對用戶訪問業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，必須部署一套日志審計系統(tǒng)利用實時跟蹤分析技術(shù)，從發(fā)起者、訪問時間、訪問對象、訪問方法、使用頻率各個角度，提供豐富的統(tǒng)計分析報告，幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)訪問日志的同時，及時發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。根據(jù)公安部等級保護基本要求，所有信息系統(tǒng)都需要部署日志審計系統(tǒng)，并保存3個月的日志，學(xué)校擁有龐大的網(wǎng)絡(luò)海量的數(shù)據(jù)交換，目前還沒有部署日志審計系統(tǒng)。因此，建議在二期部署一套日志審計系統(tǒng)對全網(wǎng)行為進行監(jiān)控、日志進行記錄。部署設(shè)計：日志審計系統(tǒng)旁路部署在核心交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)等設(shè)備的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息，并對收集到的日志信息進行分類和關(guān)聯(lián)分析，并可根據(jù)審計人員的操作要求生成統(tǒng)計報表，方便查詢和生成報告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。. 主機安全. 數(shù)據(jù)庫安全審計建議在二期部署數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。部署設(shè)計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機上，通過端口鏡像收集信息。. 運維堡壘主機對運維的管理現(xiàn)狀進行分析，我們認為造成這種不安全現(xiàn)狀的原因是多方面的，總結(jié)起來主要有以下幾點：n 各IT系統(tǒng)獨立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認證、授權(quán)、審計的依據(jù)和前提，因此身份的混亂實際上造成設(shè)備訪問的混亂。n 各IT系統(tǒng)獨立管理，風(fēng)險分散在各系統(tǒng)中，各個擊破困難大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。n 核心服務(wù)器或設(shè)備的物理安全和臨機訪問安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，但是對他們的網(wǎng)絡(luò)訪問缺少控制或欠缺控制力度，在帳號、密碼、認證、授權(quán)、審計等各方面缺乏有效的集中管理技術(shù)手段。目前，學(xué)校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響信息系統(tǒng)的運行效能，另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關(guān)標準要求，越來越成為信息系統(tǒng)關(guān)心的問題，因此建議在學(xué)校二期安全建設(shè)有必要部署一套運維堡壘主機來實現(xiàn)賬戶的安全維護。部署設(shè)計：運維審計系統(tǒng)部署在安全管理域，通過交換機的訪問控制策略限定只能由堡壘主機內(nèi)控管理平臺直接訪問服務(wù)器的遠程維護端口。維護人員對網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器