项目背景

某科技股份有限公司是一家面向智能电网的信息化服务供应商,致力于运用信息技术、物联网技术和理念,为智能电网提供全生命周期的一体化、专业化信息服务。某科技股份有限公司搭建了云计算数据中心用于办公,而按照国家三级等保的要求,该数据中心必须符合国家规定,从而需要对整体网络按照三级等保的要求进行规划建设。

建设目标

结构安全

1)保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;

2)保证网络各个部分的带宽满足业务高峰期需要;

3)在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

4)绘制与当前运行情况相符的网络拓扑结构图;

5)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;

6)避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

7)按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

访问控制

1)在网络边界部署访问控制设备,启用访问控制功能;

2)根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

3)对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;

4)在会话处于非活跃一定时间或会话结束后终止网络连接;

5)限制网络最大流量数及网络连接数;

6)重要网段应采取技术手段防止地址欺骗;

7)按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

8)限制具有拨号访问权限的用户数量。

安全审计

1)对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

2)审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

3)能够根据记录数据进行分析,并生成审计报表;

4)对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

入侵防范

1)在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

2)检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警

恶意代码防范

1)在网络边界处对恶意代码进行检测和清除;

2)维护恶意代码库的升级和检测系统的更新。

网络设备防护

1)对登录网络设备的用户进行身份鉴别;

2)对网络设备的管理员登录地址进行限制;

3)网络设备用户的标识应唯一;

4)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

5)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

6)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

7)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

8)应实现设备特权用户的权限分离。

解决方案

  • 防火墙部署在网络的出口处,对进出的流量进行控制

  • 入侵防御系统部署在核心交换的旁路,主要针对核心数据的攻击行为进行分析,需要核心交换镜像相对应的数据流

  • WEB应用防火墙部署在WEB应用服务器的前端,主要正对http数据流进行安全防护,最好部署在WEB应用服务器前端的接入交换上层

  • 应用负载均衡主要提供服务器应用负载均衡,部署在核心交换的旁路针对目标应用服务器进行负载均衡

  • 运维审计和业务可视化这类运维产品,在核心交换旁路部署运维管理区,将设备部署在此区域中,针对所用网络及主机系统进行运维审计及监控