安全加固(二级等保)方案

发表时间:2024-03-04 18:41

一       项目概述

近年来,随着云计算、大数据、物联网、互联网+政务服务、人工智能等新信息技术的快速发展和应用,新型业务应用对新信息技术的依赖程度越来越高,这些新技术应用在促进政务服务模式快速转型升级的同时,也带来了更多更复杂的网络安全问题。目前,针对重要信息系统的网络黑客攻击、门户网站篡改、重要信息泄露、系统遭受勒索类病毒等网络攻击事件层出不穷,既有外部的网络攻击,还有内部管理的漏洞,一旦发生网络安全事件,将造成巨大的经济利益和声

誉损失。

在日趋严峻的网络安全形势下,作为国有的重要企业,更应根据《中华人民共和国网络安全法》、网络安全等级保护2.0标准、国家政策法规和行业标准规范要求,针对关键信息系统开展网络安全等保建设工作,使其符合国家等级保护二级以上系统标准要求,进一步履行和落实网络信息安全责任义务,建立健全关键信息基础设施网络安全综合防护体系,提升信息系统的安全防护能力,降低信息系统所面临的安全风险威胁,确保各类网络安全风险和网络攻击事件能够及时发现、及时防护、及时处理,从而有效控制网络安全威胁和相关法律风险,保障

各类关键信息系统的安全稳定运行。

本项目根据等级保护2.0标准新要求,针对***现有信息系统按照二级标准建设要求,补强网络安全“短板”,加强安全监管,实现网络安全风险可识别、安全攻击事件可预警等,完善网络安全系统和安全运维体系,从而提升安全防护能力和安全运维能力。

二       文件、标准依据

本项目需满足以下相关法律法规和技术规范要求:

Ø   《中华人民共和国网络安全法》

Ø   《信息安全技术信息系统安全等级保护基本要求》

Ø   《信息安全技术信息系统安全保护等级定级指南》

Ø   《信息安全技术信息安全等级保护实施指南》

Ø   《信息安全技术信息系统安全等级保护测评指南》

Ø   《关键信息基础设施安全保护条例(征求意见稿)》

Ø   2018年公安部关于《网络安全等级保护条例(征求意见稿)》

Ø   GBT28448-2012《信息安全技术网络安全等级保护测评要求》

Ø   GBT22239-2019《信息安全技术网络安全安全等级保护基本要求》

GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

三       安全需求

3.1               网络现状

***办公网络基于互联网搭建,省公司和15个市州分公司分别建设局域网,在本地通过运营商专线接入互联网实现网络互连。


其中省***公司局网络现状如下:

****

3.2               存在的问题分析

目前,***整体网络和信息系统尚未通过国家《信息安全等级保护管理办法》要求的网络安全等级保护定级、备案、安全建设、信息安全等级评测等工作,存在一定的安全隐患。

1.      网络层面的安全风险

(1)省公司到市州分公司的通信通道基于互联网,未采用安全防护手段,存在企业内部信息泄露的风险。

(2)网络没有分区分域建设,互联网出口的唯一安全设备已过保,业务区域安全防护措施较弱,存在一定的安全隐患。

(3)市州分公司未部署任何安全设备,存在网络安全防护的漏洞。

(4)省公司互联网出口流量没有进行严格管控,会造成互联网带宽使用效率不高,用户行为不能进行审计管理,存在互联网业务使用的不合规问题。

    建设目标

***系统网络安全建设工作的总体目标是:“遵循国家网络安全等级保护有关法规规定和标准规范,通过全面开展网络安全等级保护定级备案、建设整改和等级测评工作,进一步完善网络安全管理体系和技术防护体系,增强网络安全保护意识,明确网络安全保障重点,落实网络安全责任,切实提高网络安全防护能力,为***业务顺利开展和信息化健康发展提供可靠保障。”

安全建设应参照国家等级保护的相关政策进行设计和实施,因此本方案的设计在基础防护部分是在充分理解等级保护标准的基础上进行设计,突出满足等级保护的特定安全需求。

具体包括:

(1)整体规划。首要任务是做好顶层设计,对***网络安全威胁和风险进行深入地分析,规划网络安全保障体系的蓝图,制定重要信息基础设施和重要业务、数据的防护策略,有效地降低网络安全事件的发生概率。

(2)合规遵从。遵循《中华人民共和国网络安全法》《网络安全等级保护条例》及等级保护相关标准规范进行合规性建设,保证***系统网络安全体系的规划、建设和运行符合网络安全等级保护相关要求,能够顺利通过第二级等级测评。同时可以结合ISO27001、ISO27002标准体系及ISMS相关指导思想,建立达到国际水准的网络安全管理体系。

(3)体系建设。通过体系化设计制定建设方案,推进网络安全技术体系的全面完善、管理体系的稳定构建、运维体系的紧密耦合,将三大体系有机结合,在整体上形成主动防御与纵深防御相结合,最终为***实现综合、动态、有效的网络安全防护能力,为电子政务网信息化工作的推进保驾护航。

(4)持续保障。通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性安全保障。建立统一的网络安全运维管理中心,对安全态势进行集中管控与展现,为安全工作提供自动化、流程化支撑,促进安全体系的不断完善和提升。

结合***的实际情况,按照《网络安全等级保护基本要求》和《网络安全等级保护安全设计技术要求》等相关标准要求,科学合理评估***合规差距和安全风险,协助其合理确定安全保护措施,基于现有网络安全防护措施,按照等保2.0二级标准建设要求,完善区域边界、通信网络、计算环境的安全防护措施,如:加强核心交换区域边界访问控制和入侵检测能力;加强互联网区域边界访问控制和WEB类应用入侵防范能力;加强对主机终端等计算环境的访问控制、安全防护、行为审计、漏洞风险评估、防病毒和补丁管理等;从而实现关键信息系统二级要求,确保各项关键信息系统的安全稳定运行。

    设计思路

5.1               分区分域保护

用安全域方法论为主线来进行设计,从安全的角度来分析业务可能存在的安全风险。所谓安全域,就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括:

l       网络区域

l       主机和系统

l       人和组织

l       物理环境

l       策略和流程

l       业务和使命

因此,如果按照广义安全域来理解,不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。

通过划分安全域的方法,将网络系统按照业务流程的不同层面划分为不同的安全域,各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施;不同的安全子域之间和不同的安全域之间存在着数据流,这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。

安全域划分以及基于安全域的整体安全工作,对电子政务网具有很大的意义和实际作用,安全域划分基于网络和系统进行,是下一步安全建设的部署依据,可以指导系统的安全规划、设计、入网和验收工作;

l      可以更好地应用系统安全措施,发挥安全设备的利用率;

l      基于网络和系统进行安全检查和评估的基础,可以在运行维护阶段降低系统风险,提供检查审核依据;

l      安全域可以更好地控制网络安全风险,降低系统风险;

l      安全域的分割是出现问题时的预防,能够防止有害行为的渗透;

l      安全域边界是灾难发生时的抑制点,能够防止影响的扩散。

“同构性简化”的安全域划分方法,其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些进行拼接、递归等方式构造出一个大的网络。同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。

5.2               全面纵深防御

本方案以可信计算为基础,访问控制为核心,通过构建“一个中心支撑下的三重防护体系”的纵深防御体系来保障网站系统的安全。

“一个中心,三重防护”是指以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保应用系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保应用系统的安全。

安全管理中心是三重防护体系的控制中枢,是管理员的工作场所,管理员通过在安全管理中心制定安全策略,强制计算环境、区域边界执行策略,从而确保系统的运行环境是可信和安全。安全管理中心分成三个子系统:系统管理子系统、安全管理子系统、审计子系统,分别对应管理员的三个角色。系统管理子系统负责对安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护,包括用户身份管理、资源管理、应急处理等,为信息系统的安全提供基础保障。安全管理子系统是系统安全的控制中枢,主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略,并且强制节点子系统、区域边界子系统、通信网络子系统执行,从而实现了对整个信息系统的集中管理,为重要信息的安全提供了有力保障。审计子系统是系统的监督中枢,系统审计员通过制定审计策略,强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行,从而实现对整个信息系统的行为审计,确保用户无法抵赖违背系统安全策略的行为,同时为应急处理提供依据。

计算环境是应用系统的运行环境,包括应用系统正常运行所必需的终端、服务器、网络设备等,计算环境安全是应用系统安全的根本;计算环境由节点子系统和应用防护子系统构成。节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制,形成了一个严密牢固的防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的机密性和完整性安全,从而为应用系统的正常运行和免遭恶意破坏提供支撑和保障。应用防护子系统承接了安全操作系统和上层应用系统,直接支撑着应用系统的安全。应用防护子系统通过对应用服务的封装,不仅实现了对应用系统访问控制,而且增强了应用系统运行环境的隔离性,使得应用系统不受非授权进程的恶意干扰,保护了信息的保密性和完整性。

区域边界是应用系统运行环境的边界,是应用系统和外界交互的必经渠道,通过区域边界的安全控制,可以对进入和流出应用环境的信息流进行安全检查,既可以保证应用系统中的敏感信息不会泄漏出去,同时也可以防止应用系统遭受外界的恶意攻击和破坏。

通信网络是不同应用系统之间进行信息交互的通道,安全的通信网络设备能够保证应用系统之间交互信息的机密性和完整性。三重防护体系为应用系统构建了一个严密的立体防护网,既能够防止应用环境之内的用户对系统安全进行破坏,又能够防止外部用户对系统安全的破坏,既能够做到“防内为主,内外兼防”,可以有效保护高等级应用系统的安全。

5.3               动态综合防护

根据中办发〔2003〕27号文件,“坚持积极防御、综合防范的方针,全面提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范”是指导等级保护整体保障的战略方针。

安全保障不是单个环节,单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,“积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的防护,在攻击者成功地破坏了某个保护措施的情况下,其他保护措施仍然能够有效地对系统进行保护,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠地运行。


六       保护体系框架设计

***保护框架分为安全管理体系、安全技术体系、安全运维体系。三个体系有机结合,相互支撑。总体保护框架如下图所示:

安全-保护体系框架.png

总体安全保护架构设计以等级保护“一个中心、三重防护”为核心指导思想,构建集防护、检测、响应、恢复于一体的全面的安全保障体系。以全面贯彻落实等级保护制度为核心,打造科学实用的网络安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力,从安全技术、安全管理、安全运维三个维度构建安全防护体系,切实保障网络安全总体防护水平。

安全管理体系:是为保障网络安全而采取的一系列管理措施的总和,内容主要包括建立健全网络安全组织体系、网络安全策略体系、风险管理安全策略等。

安全技术体系:是为保障网络安全而采取的一系列技术措施的总和,内容主要包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及核心产品自主可控安全等。

安全运维体系:是为保障管理措施和技术措施有效实现网络安全而采取的一系列行动的总和,内容主要包括日常运维管理机制、安全评估、安全加固、安全巡检、应急响应、安全通告、安全培训、上线检测以及安全服务等。

七       安全技术体系设计

等级保护方案设计必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题,根据***的业务要求和国家对网络等级保护的有关规定,本节将从层次结构的角度展开,详细分析***各个层次可能存在的安全漏洞和安全风险,并提出解决方案。

我们从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等几个层面提出所采用的安全技术和措施。

7.1               安全物理环境设计

安全物理环境主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。

l   供配电系统

机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通信设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,N+1冗余的自备发电机系统,还有能保证足够时间供电的UPS系统。

l   防雷接地

为了保证机房的各种设备安全,要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。

l   温湿控制

为了保证机房的各种设备安全,要求机房配备温湿控制系统来对机房内温湿度进行控制,保障设备安全。

l   消防报警及自动灭火

为实现火灾自动灭火功能,在机房的各个地方,还应该设计火灾自动检测及报警系统,以便能自动检测火灾的发生,并且启动自动灭火系统和报警系统。

l   门禁

机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。

l   保安监控

机房的保安监控包括几个系统的监控:闭路监视系统、通道报警系统和人工监控系统。

7.2               安全通信网络设计

安全通信网络重点关注的安全问题:一是网络架构的安全,包括网络安全区域的合理划分,重要网络区域部署和防护;主干网络的可用性,包括通信链路和节点设备的冗余、网络带宽的合理分配;网络通信中数据完整性和保密性的防护等。还有就是安全通信网络设备的可信验证。因此,在安全通信网络层面,需要采用的安全技术手段。

7.3               安全区域边界设计

安全区域边界是对内部应用系统计算环境进行安全防护和防止敏感信息泄露的必经渠道;通过区域边界的安全控制,可以对进入和流出应用环境的信息流进行安全检查,既可以保证应用系统中的敏感信息不会泄漏出去,同时也可以防止应用系统遭受外界的恶意攻击和破坏。

7.4               安全计算环境设计

计算环境是应用系统的运行环境,包括应用系统正常运行所必需的主机(终端、服务器、网络设备等)、应用系统、数据、存储与备份等,计算环境安全是应用系统安全的根本。

7.5               安全管理中心设计

安全管理平台实现对全网环境下的整体信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。主要用到的安全管理技术有:网络监控、安全认证管理、安全策略管理、安全监控管理、安全事件管理、系统资源管理、流量分析管理等。

八       等保安全加固方案

网络目前没有进行安全区域的划分,无法基于安全域进行访问控制和入侵防范。按照方便管理和控制的原则,对网络划分不同的安全区域,并为各安全区域分配相应的地址和设置默认路由。在安全域划分基础上可方便地进行网络访问控制、网络资源(带宽、处理能力)管控等安全控制,并对不同安全域边界的保护策略进行针对性设计。

根据网络各个组成部分的业务功能、安全保护级别、访问需求等进行安全域划分,网络区域划分方式如下图所示:安全-运营互联网副本.jpg

(新规划网络拓扑)

注:

1安全区域边界是对内部应用系统计算环境进行安全防护和防止敏感信息泄露的必经渠道;通过区域边界的安全控制,可以对进入和流出应用环境的信息流进行安全检查,既可以保证应用系统中的敏感信息不会泄漏出去,同时也可以防止应用系统遭受外界的恶意攻击和破坏。

2、针对本系统对现有网络架构进行调整,根据功能不同划分不同的区域,以便实施不同的安全防护手段,包含:互联网出口区、运维管理区、服务器区、办公区、省公司用户接入区、各市州分公司接入区等几个区域,达到二级等保分级分域的标准。

8.1               互联网出口区安全部署

8.1.1          下一代防火墙

部署下一代防火墙规则库升级:***互联网出口区利用现有华为下一代防火墙(***)进行升级改造,负责边界外部网络的攻击防护以及内网用户安全防护,实现外网安全隔离和内部不同网络区域之间的安全隔离。通过设置相应的网络地址转换策略和端口控制策略,避免将重要网络区域直接暴露在互联网上及与其他网络区域直接连接。

华为下一代防火墙上开启AV病毒过滤模块、IPS入侵防御模块、URL远程查询模块、云沙箱检测模块与威胁防御模块,对进出的网络数据流进行病毒、恶意代码扫描和过滤处理,并提供病毒代码库的自动或手动升级,彻底阻断外部网络的病毒、蠕虫、木马及各种恶意代码向网络内部传播。实时发现和阻止从外部网络发起的网络攻击行为。

***公司出口防火墙与15个市州分公司防火墙进行 ipsec vpn打通;点到点的IPSec隧道,其实就是通过IPSec协议,把两端的防火墙通过隧道的方式,在internet网络中贯穿连接,目的是让分支机构与总部之间无障碍沟通。

主动防御网络威胁,增强边界检测能力,有效防御高级威胁,同时解决性能下降问题。提供基于多出口链路的动/静态智能选路功能,根据管理员设置的链路带宽、权重、优先级或者自动探测到的链路质量动态地选择出接口,按照不同的选路方式转发流量到各条链路上,并根据各条链路的实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。

8.1.2          上网行为管理

部署上网行为管理系统:在省公司出口防火墙与核心交换机之间串联部署***上网行为管理系统,可基于IP、地址簿、客户/ 客户组、时间实现URL访问控制、关键字外发控制、文件上传下载控制、邮件外发控制、即时通信控制、微博访问控制、论坛访问控制等。通过多角度判断、控制流量等来实现管控。深度DPI检测并结合多通道队列优先机制,实现阻断、限速、保障网络流量。支持8000+应用和自定义服务的管理。

产品具有良好的网络适应性并满足网络安全法、公安部151号令、公共场所无线上网审计等保2.0等相关要求,协助客户规范上网行为、提高工作效率、挖掘数据价值。根据公安部151号令的规定,提供互联网信息服务的非经营性服务场所需要对用户做上网日志审计留存,网络安全法规定留存日志需要达到6个月。

8.2               服务器区安全部署

8.2.1          Web 应用防火墙

部署Web 应用防火墙:在服务器区防火墙与交换机之间部署Web应用防火墙,采用串联接入反向代理模式,对访问用户隐藏了Web服务器的真实IP地址,有效保障Web服务器安全。对WEB应用服务和网页内容进行防护,屏蔽对网站的攻击和篡改行为,实现防跨站攻击、防SQL注入、防止黑客入侵、网页防篡改等功能,从而更有效地对网站服务器系统及网页内容进行安全保护,从应用和业务逻辑层面真正解决WEB网站安全问题。

TopWAF通过内置上千条由***阿尔法攻防实验室提供的安全规则,对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤,来提供WEB应用攻击防护、DDOS防御、URL访问控制、网页防篡改等功能,能够有效地抵御针对Web应用的攻击而导致的网站被恶意篡改、敏感信息泄露、网站服务器被控制等事件的发生。

TopWAF产品还具备基于自学习建模的主动防御引擎。对于URIPOST表单,TopWAF产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。在学习一段时间之后(通常是一到两周),TopWAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效地防御未知威胁和0day攻击。

TopWAF产品整合了***公司积累的DDoS防御能力,有效的缓解拒绝服务攻击,采用分层的立体防御和业界领先的源信誉检测机制,可以有效的缓解http flood攻击、CC攻击、slowheaderslowpost等拒绝服务攻击。

WAF应能够监控网页请求的合法性,实时拦截篡改攻击。同时,通过比对请求页面的哈希指纹,校验被请求的网页是否被篡改。一旦检测到发生网页篡改紧急事件时,WAF会将用户请求重定向到默认页面或指定的正常页面,使篡改攻击者的意图不能得逞。


8.3               运维区安全部署

8.3.1          终端安全管理系统

部署终端威胁系统:需提供一台服务器安装杀毒服务端;在***内网系统网络中所有服务器、终端系统上部署终端威胁防御系统(EDR),实现的统一病毒查杀、漏洞管理、系统加固、软件管理、流量监控、资产管理等安全功能,有效地保护计算环境内用户计算机系统安全和信息数据安全。在安全管理区部署统一的终端威胁防御系统管理服务器和病毒库升级服务器,确保全网终端具有一致的威胁防御策略和最新的病毒查杀能力

8.4               办公区安全部署

8.4.1          PC终端需安装的安全组件:

部署终端杀毒客户端:内网PC应统一安装防病毒客户端,终端安全系统客户端(批量下载安装),使终端可接受相应安全防护系统的管理,以及标记代理,实现对主客体的安全标记和可信验证。通过优化特征库识别不同威胁,对已知各类病毒及其变种病毒进行精准识别和查杀。领先的虚拟沙盒技术,具有强大的恶意代码行为分析能力,可以深度解析恶意代码的本质特征,实时阻断未知病毒。采用主机防火墙技术,通过多种协议(包括TCP、UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW等),端口号,IP地址、进出口方向等控制规则加强主机间的访问控制,提高东西向防护能力。

8.5               各市州分公司接入区安全部署

8.5.1          下一代防火墙

部署下一代防火墙:15 个市州分公司出口路由器替换为下一代防火墙,负责边界外部网络的攻击防护以及内网用户安全防护并与省***公司出口防火墙进行 ipsec vpn 打通;配置入侵检测与防御许可(IPS)与病毒防护许可(AV)规则库。防火墙串接部署在分支核心交换机与互联网接入链路之间实现内外网安全隔离和内部不同网络区域之间的安全隔离。

对内外网络之间及内部各个网络区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息进行判断,确定是否存在非法或违规的操作,对不符合允许转发策略的流量进行阻断,从而有效保障网络安全。开启入侵防御策略,对出站、入站方向的数据包进行包还原,检测攻击行为,攻击特征,若发现攻击行为则进行阻断。同时,开启防病毒策略,对入站方向的HTTPSMTPPOP3IMAP等流量进行防病毒过滤清洗。

借助IPSECSSL VPN技术的隧道加密技术实现网络通信过程及数据传输过程的安全,并且可根据不同人员的角色确认应用的访问权限,实现随时随地,按需接入及受限访问,最大程序保证传输过程安全。


九       上网认证方案

9.1               整体流程说明

通过***上网行为管理ACM独特的七层应用分流技术,重要应用和网页访问流量走电信,其他P2P流量走移动线路,合理分配流量,高峰期用户体验好,下面用户满意度提高。

通过***上网行为管理ACM强大的流量管理功能基于不同用户/用户组、时间段、应用类型、结合多通道优先级机制,进行带宽限制和保障,实现带宽资源利用率的最大化。避免大量的非业务流量占用带宽的情况,并且内部数据优先经过设备实现了对单位内部各种应用的流量控制,对重要业务带宽的保障。

开启***上网行为管理ACM防火墙的防DDOS攻击和web防护功能,及防ARP攻击等特性,对个人用户的网络做安全加固,通过web防护功能有效保护了内网对外服务器的安全。

开启ACM上网行为的管理策略。内置千万级URL库,具备URL智能识别功能,对反政府、色情、赌博、毒品等包含不良信息的网页进行过滤,可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,可设置看帖看不允许发帖,或者实行发帖关键字过滤,避免发表不良言论给用户带来法律追究责任的风险。

对各个用户的上网行为日志进行记录,如果发生法律事故,可以利用数据中心搜寻关键字来定位记录。而对领导可以进行白名单免审计,设备会免除对领导的上网行为审计,保障领导上网的一个私密性。对日志数据进行分析处理形成图形化的报表,让网络管理者或领导对网络的使用情况一目了然。

9.2               资产识别

通过流量被动识别为主,主动扫描为辅,识别企业资产信息。通过设备提供的 Web 管理界面,可以输入、维护用户和组的信息,从而建立起和本单位实际组织结构相一致的组织信息。用户和组的维护功能包括新建、删除、更新、改变所属关系、绑定 MAC 地址。

9.3               认证策略

上网策略用于设置内网用户的上网策略,上网策略包括:URL 过滤、关键字过滤、文件传输过滤、即时通信过滤、邮件过滤。每个策略对象可以同时设置这 5 部分的内容。终端检查策略对企业内部员工PC终端进行安全管控,未安装杀毒软件禁止上网。访问权限策略对影响工作效率上网行为进行管控,禁止上班时间参与工作无关事情。审计策略对企业内部员工访问互联网行为进行审计,一旦出现违规行为被通报,可以有效溯源。

   9.4               流控策略

保障上班时间业务应用流量带宽,对高带宽消耗应用进行合理管控。“流量管理”包括线路带宽配置、基于策略的流控、基于用户的流控。

十       终端管理方案

10.1               整体结构

***终端威胁防御系统整体包含企业管理中心和客户端两部分,管理中心独立安装在服务器上,采用B/S架构,对部署防病毒客户端的终端进行集中管理、策略制定下发、统一杀毒以及日志查询等安全防护。客户端部署在需要被保护的服务器或者终端,执行最终的杀毒扫描、漏洞修复等安全操作,并向管理中心发送相应的安全日志。


管理中心与客户端基于HTTPS协议进行通信,管理中心可以通过客户端心跳判断客户端的在线状态,并且可以随时保持策略的同步和更新,此外对客户端的日志进行了集中接收、解析和展示。

10.2               终端病毒防护

传统病毒防护厂商基于特征匹配,对病毒分析查杀存在后知后觉的问题,新病毒出现,特征库里没有该病毒特征,或者病毒变种,特征值出现变化,这样的情况传统特征匹配的方式都会失效。

***终端威胁防御系统通过领先的“虚拟沙盒”和行为分析技术,通过模拟真实系统环境对病毒进行实时监控和动态分析,实现对未知病毒、变形病毒、勒索病毒等病毒的精准查杀。

10.3               漏洞修复

***终端威胁防御系统可以实现操作系统的漏洞修复,可以连接互联网的终端,可以在漏洞扫描后连接到微软官网获取补丁,不能连接互联网的内网终端可以通过部署补丁服务器,到补丁服务器上去获取需要的补丁。漏洞修复是终端防御的重要手段,通过***终端威胁防御系统的全面部署,可以有些防御黑客入侵攻击,提高整体网络终端的安全水平。

10.4               微隔离

通过***终端威胁防御系统,可解决信息系统内部网络不同对象的网络访问行为以及病毒横向感染的问题传播的问题。EDR微隔离提供了一种基于终端组之间的访问控制解决方案,***终端威胁防御系统可以实现主机之间的访问控制,快速应对不同业务场景下的访问权限控制,规范网络访问行为的同时加强东西向防护,降低病毒横向感染传播扩散的风险。

***终端威胁防御系统通过IP协议控制的通过IP、协议(TCP、UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW)和端口组合策略的配置,实现主机防火墙的功能,加强访问权限控制。例如可以通过TCP和UDP协议的配置,限制部分终端使用外网的权限;通过RDP协议放行指定终端使用远程桌面的服务。

10.5               弹窗拦截

***终端威胁防御系统提供弹窗拦截功能,客户端对各类骚扰弹窗进行拦截,常见的广告和新闻弹窗可以直接拦截,其他弹窗可以通过窗口记录或者截图形式进行自定义拦截,同时记录拦截次数,方便查看拦截效果,实现不同环境下的弹窗免打扰,提高用户的终端体验。

10.6               差异化策略配置

***终端威胁防御系统的部署,可以对不同部门实行差异化分组管理,根据业务的实际需求,不同部门配置针对性的防护策略;同时,还可以就一些需要重点防护的终端,例如服务器,还可就单个终端配置具体的策略。

10.7               补丁管理

***终端威胁防御系统集中管控平台可以对终端需要的补丁进行统一管理:一方面可以对可能导致重启的补丁或者根据需要对部分补丁进行忽略操作,已忽略的补丁终端不再对其进行修复;另一方面可以对终端的补丁修复状态进行查询。

10.8               统计分析

***终端威胁防御系统支持报表名称、标题、公司、内容、周期、发送等自定义设置,内容设定模板包括病毒趋势、病毒名称排行、威胁终端排行、病毒类型排行、安全事件排行、部门危险占比、攻击IP排行、被攻击主机排行、移动存储事件排行等统计情景;周期设定日、周、月,定时生成报表;通过邮件的方式推送相关接收报表人员。

10.9               终端发现

对于网络内未安装客户端的终端,***终端威胁防御系统提供终端发现的能力,可以快速扫描网络内终端总数,清晰获知客户端安装情况,查缺补漏,助力客户快速发现防护短板,提高运维效率。

10.10           软件管理

***终端威胁防御系统提供软件管理功能,通过客户端对终端安装的软件、版本等信息进行收集汇总,进行软件维度的资产统计,对软件应用情况摸底,为用户资产梳理以及运维决策提供依据。

10.11           终端行为管控

USB移动存储介质管控功能是对移动存储介质(如U盘、移动硬盘等)的使用范围、使用方式以及数据安全存储进行控制。通过对介质的访问控制与注册授权,实现非注册存储介质接入内网计算机上无法使用、内网专用存储介质只能在专用内网计算机上使用而在非内网计算机上不能使用等管控功能,有效阻止移动存储介质滥用导致的病毒感染、数据外泄等安全问题。

1、USB存储禁用与告警

当USB存储管控策略为禁止使用U盘等移动存储介质时,一旦USB存储介质接入到计算机上,会被立即禁用并进行告警提示。

2、USB存储双重认证保护

USB存储管控策略能够实现双重认证保护机制,只有在USB存储介质具有合法标记并且在插入计算机时密码输入正确的情况下,才能成功接入计算机进行使用,确保USB存储介质身份的唯一性。

3、移动存储病毒扫描

对于允许使用的专用安全U盘等移动存储介质,一旦认证成功即可接入计算机,并进行病毒扫描,确保移动存储介质安全。

4、USB文件操作管控

USB存储管控策略能够实现USB移动存储介质文件的拷贝、剪切、执行等操作的管控,及时阻断对USB存储介质的文件进行违反策略的操作,并提示告警信息,避免文件通过U盘外泄。

5、USB文件操作审计

用户对USB存储介质中的文件进行拷贝、新建、重命名等操作时,系统实时审计操作相关信息,确保被操作的文件、操作人员、操作时间等可追踪。

十一       应急处置方案

11.1               故障应急流程说明

11.1.1          故障应急流程

处理人员接到填写的“紧急事件通报单”和“应急事件联系单”后,经与解沟通,应急小组马上在现场展开工作。

在“准备”过程中,应急小组审核现场技术人员填写的“应急事件联系单”和“紧急事件特征信息表”,听取现场人员的介绍,对事件做出初步的判断,确认是否是安全漏洞检测所导致的紧急事件。

在“事件检查”过程中,应急小组根据所得到的“紧急事件特征信息表”描述的情况,核查现场记录结果的准确性,判断紧急事件是否确实发生,其危害程度是否与现场人员估计的一致。

在“初步响应”过程中,应急小组确认紧急事件已经发生,若事件确实发生,则需确定其事件类型、事件名称、事件等级和危害范围,并填写“应急事件联系单”,经应急领导小组授权,正式启动符合事件等级的应急预案;若记录的紧急事件没有发生,或与实际情况不符合,则需回到准备阶段,重新核查设备的安全现状,判断是其他紧急事件的可能性。

在“制定响应策略”过程中,应急小组与现场技术人员协商,制定合适的响应策略,包括所采取的继续追踪和监测的工具、对监测数据的处理方法、必要的安全控制措施、恢复手段等,确保处理过程的可预见性和可追踪性。应急小组需要认真填写“紧急事件特征信息表”“紧急事件证据追踪表”以及“紧急事件处理表”中的相关部分。

在“追踪、积累证据和安全措施实施”过程中,应急小组将根据现场应急实施方案执行相应的处理方法,解决信息系统出现的安全事件。应急小组需要认真填写“紧急事件特征信息表”“紧急事件证据追踪表”以及“紧急事件处理表”中的相关部分。

紧急事件处理完毕,得到双方确认后,恢复受损害的设备的运行,并申请解除应急状态。双方协商填写“应急事件排除通报单”。

在“报告”过程中,应急小组根据应急过程的经历,整理应急过程的文档,提交详细的应急事件报告。

若紧急事件危害过大,或者能追踪到责任人,并且期望采取司法措施,则双方可隔离出受危害的设备,以保存追踪责任的原始证据。

后续行动包括相应的经验总结、安全教育与培训、部署相应的预防和检测设备等。

11.1.2          故障应急关键操作

查看出现故障设备故障类型,如果有冷备机优先使用冷备设备恢复网络,其次使用备份的配置恢复网络设备。

如果故障类型是由于拒绝服务的原因造成,在不影响系统运行的情况下,立刻对故障系统进行重启。

11.2               设备应急方案

11.2.1          接口故障应急(举例)

故障级别:

一般故障

主要功能

连接各功能区域

现象描述:

端口故障可能的现象:(举例)

       接口down,观察接口指示灯不亮。

       接口频繁up/down

防火墙接口出现故障

1)接口出现问题会导致业务不通。

2)业务接口出现故障;

验证方法:

1.   光接口模块故障

现场设备间连接均为多模光接口,目测光口是否有可见光发出/收到。打环测试,使用单根光纤同时连接本端光模块的收发接口看接口是否UP。

重新插拔测试,重复上述步骤,如故障仍未解除,可判断为本端光模块故障,更换光接口模块。

2.   电接口故障

替换法测试,将便携PC使用新网线直连故障接口,看是否up。确定是否是接口故障。

3.   对端接口故障,对端网口出现故障也会导致本端接口down。

4.   替换测试,确认设备接口没有问题,需要排除是否是链路,或网线RJ45都是否有问题,或接口松动。

应急步骤:

1、判断为链路故障导致,可快速更换网线/光纤,如判断为接口硬件故障可拔掉备设备所有的业务接口,或在设备web管理页面上手动关闭备设备上的所有业务接口。

2、其他业务接口故障时,更换光接口模块,更换光纤/网线;查看对端设备是否故障。

11.2.2          设备故障应急(举例)

故障级别:

紧急故障

现象描述:

设备故障可能的现象:

       电源故障;

       设备重启;

       设备死机;

验证方法:

1、在网运行的设备单个电源模块出现故障时,影响设备正常运行,但出现故障建议立即处理。电源模块故障一般为硬件故障,联系厂家更换。

应急步骤:

切换到备设备,获取设备记录,联系相应设备厂家工程师。

11.3               业务应急方案

当某个业务出现不通问题,或新增业务、测试业务不通时。采取逐段排除的方法进行问题排查。

首先排查的是路由问题,检查负载均衡上的路由配置,查看是否存在到目的地址的路由,是否存在到源地址的路由。若路由已存在,可用traceroute命令诊断路由到哪一跳丢失。

其次排查是否被访问控制策略阻断,可以临时添加一条源到目的允许的策略。排查是否因策略导致。

再次查看NAT配置,检查是否需要启用NAT,检查NAT配置是否正确。

11.3.1          路由问题

故障级别:

一般故障

主要功能

路由不通

处理方法:

1、查找从PC或设备到源、目的是否有路由存在。

1、如已存在路由,通过traceroute定位路由到哪一跳不可达。

11.3.2          设备替换应急

针对本次服务提供的备用设备,在本次服务范围内的设备。

11.3.3          设备替换原则

由于业务需要,现将原设备X替换为Y设备,替换的原则是原来设备中的业务和数据基本保持不变。网络设备替换应该保障原有设备向新增设备的平滑过渡,为了保证平滑过渡,设备替换将遵循以下原则。

11.3.4          替换方案简单可操作

越简单的设备方案,成功的概率越大。设备替换工作的方案应遵循简单、可操作性好的原则进行设计,尽可能少地减少额外增加的复杂变化对设备替换的影响,以保障设备替换过程的顺利进行。

11.3.5          准备充足,步骤清晰

设备替换前做好充分的准备工作,整个设备替换过程细化为一系列小的步骤,按步骤分步进行设备替换,将工作尽可能多地提前完成,只有不得不留到最后的操作才在最后设备替换时进行。把不同厂商的配置在运维期间转换成替换设备的配置并标注清楚设备位置、设备型号并做相关记录。

11.3.6          短时间的间断网络运行,提供完善的流量迂回方案

设备替换过程中不可避免的会出现短暂的业务中断。在这种情况要考虑根据实际情况如何最短的实现网络设备替换过程,并迅速恢复网络承载功能成为首要考虑的因素。

11.3.7          对网络性能尽可能少的产生影响

在网络设备替换过程中,将会产生短时间的路由振荡时间,同时接入层设备的业务会产生中断,所以在设计中应充分考虑在路由振荡出现时的应变策略,并尽量减少路由波动,以免对网络造成路由冲击,影响业务的正常运营

11.3.8          设备替换与测试并行

为了保证网络的稳定性和可靠性,在每个节点的流量设备替换后,将对其进行连通性测试,只有在确信工作正常后,才进行下一步工作。如出现严重故障,立即调换到原有配置。基于对上述几个方面的考虑,网络设备替换割接最完美的结果是,在不影响原有网络各种业务应用的前提下,完成城域网的平滑过渡,但是一旦有特殊情况发生,也能够快速执行设备替换割接前准备好的一整套方案来应对各种故障风险。

11.3.9          设备替换条件

设备替换的基本条件是:设备安装、调测完成,系统运行正常稳定,无异常告警,网络各节点间链路测试正常。具体为以下几点:

1、和用户方确认被替换的设备

2、双方首先检查线路标签是否描述正确、清晰等;

3、和用户方确认链路的测试是否正常,是否准备完毕没有遗漏等问题。

4、检查被设备替换设备运行是否正常等,通过查看设备各项性能指标来判定。

5、设备替换方案准确无误,具备完善的倒回机制,作为业务设备替换的预案,与其他部门协商就设备替换方案达成一致。

如果条件允许,还应该对新建网络和原有网络的流量进行一段时间的监测统计,以便对后期流量的调整提供翔实的依据,同时对新建网络运行的稳定性进行一段时间的观察,降低工程实施的风险系数。

11.3.10      设备替换责任明确

对设备替换的操作人员进行方案培训和交流,确保所有人员对方案和全网政策有正确的理解,明确各自职责;

确定设备替换的时间,并通知相关部门

11.3.11      设备替换前测试方案

在进行设备替换时,必须保证设备替换过程快速、准确,同时绝对不能造成数据的长时间的中断。要认真仔细地做好一切准备工作,按照既定的设备替换流程,确保设备替换工作的顺利进行。

1)根据被替换设备和指定连接端口的物理位置及机房情况准备传输线路,布放到位并测试通过,保证传输线路质量可靠;

2)检查新分配的IP地址有无重复,用PING、TRACERT命令检查一遍;为出口路由器指定连接端口,确认替换设备的连接端口与IP地址,保证无误;如果业务割接是远程操作,必须ping测网管IP是否联通。

3)对被替换的设备端口利用率,用户在线数,路由条目总数,业务拨测等工作,同时测试时需要注意时间段,因为每个时间段不同则在线用户量多少不同,这些测试必须以txt或者log文件记录。

11.3.12      设备替换前检查

1)现场勘查

首先查看要被替换设备的网络机房、设备电源的情况,网络设备到光纤跳线架的尾纤,并通过测试确保尾纤的可用性;对网络设备进行测试,包括设备、模块和端口,确保可用性;

在原设备的基础上为新设备准备好割接脚本,包括:

a)网络设备命名

b)系统版本

c)物理连接

d)Vlan和Trunk定义

e)IP地址分配

f)路由策略

g)QoS设计

h)安全策略

i)网管相关网络设备定义

j)配置模板

k)相关域配置

2)资料备份

备份原设备的系统文件、配置文件,并把重要的配置单独保存。比如BGP、ISIS路由协议配置、MPLS配置,ACL、路由策略以及NAT配置,其次是用户网关数据(由于用户数据经常变化,因此在设备替换前必须跟交付割接人员交代,或者在当天下班后当晚割接前开始准备备份相关的数据)。

3)用户记录

可根据需要形成一份Excel文档,记录割接前的相应连接数量,方便割接完成后进行对比。

11.3.13      设备替换时间与人员安排

设备替换操作在业务繁忙时段会造成业务性能的短时下降,因此对时间段的选定应避开业务繁忙时段,具体时间应根据统计结果确定,可选定凌晨0:00---6:00之间。

11.4               紧急响应流程图

安全-紧急响应流程图.png

11.4.1          可能的紧急事件

1、不当操作导致不能提供网络服务

2、不当操作导致不能提供应用服务

3、不当操作导致地设备不能启动

4、误删除操作

5、更改配置导致的问题

6、外部攻击导致的问题

7、接入设备导致的问题

11.4.2          事件升级流程

我司的客户支持中心将根据事件的性质和严重程度划分等级,分别指定问题确诊时限,和提供解决方案的时限。

在接到故障通知后,我司提供故障诊断分析和初步解决方案,提供远程登录进行技术支持。如果远程支持不能解决问题,我司工程师应当到现场解决故障。故障排除时间要求如下:

故障级别

级别定义

支持方式

故障排除时间

工作日

非工作日

一级故障

系统宕机;重要模块如板卡模块、性能模块故障;系统不响应用户的操作;重大节假日期间设备故障、重要业务数据缺失和延时、重要服务器硬件故障;

现场支持

2小时

2小时

二级故障

系统其他功能模块无法使用,但是系统可以继续运行;系统性能下降、告警和性能数据缺失、延时严重;其他服务器硬件故障;

远程支持或现场支持

4小时

8小时

三级故障

系统所有功能模块可用,但个别功能点不可用

远程支持或现场支持

8小时

18小时

四级故障

系统存在故障,不能响应用户操作,系统仍在运行

远程支持或现场支持

12小时

24小时

在故障解决后三个工作日内提供详细的书面报告,至少包括故障形成原因、故障历时、故障影响面、故障解决过程、故障解决办法、经验教训、防止故障重复发生的措施等。

11.4.3          故障解决

故障包括,系统巡检中发现的故障,用户投诉的故障,都要进行详细的记录。提供故障解决报告,定期(周、月、季度)故障统计分析。

11.4.4          工作时间内

在用户工作时间内,所有故障由现场常驻专家首先响应,并保证在故障解决时限内解决故障。

11.4.5          工作时间外

电话热线服务

对于所有故障,提供7×24小时热线服务支持。

远程支持服务

如果故障不能靠电话远程解决,在已授权的前提条件下,通过远程登录系统,分析故障原因并及时解决问题。

现场技术服务

对于严重故障导致系统不能正常运行,通过电话方式或远程支持无法解决的,派出工程师到现场解决问题。

11.4.6          具体应急措施与恢复机制

11.4.6.1   恶意攻击事件紧急处置措施

1. 当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。

2. 信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向信息化领导小组汇报。

3. 对现场进行分析,并写出分析报告存档,必要时上报主管部门。

4. 恢复与重建被攻击或破坏系统;

5. 信息化领导小组组长召开小组会议,如认为事态严重,则信息化主管部门和部门报警。

11.4.6.2   病毒事件紧急处置措施

1. 当发现有计算机、移动终端被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。

2. 信息安全相关负责人员在接到通报后立即赶到现场。

3. 对该设备的硬盘进行数据备份。

4. 启用防病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

5. 如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。

6. 信息化领导小组经会商,认为情况严重的,信息化主管部门和内部部门报警。

7. 如果感染病毒的设备是主服务器,经信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。

11.4.6.3   软件系统遭攻击的处置措施

1. 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按系统容灾备份规定的间隔按时进行备份,并将它们保存于安全处。

2. 一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统停止运行。

3. 检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。

4. 信息化领导小组组长召开小组会议,如认为事态严重,则通知和调动网监和其他安全部门。

11.4.6.4   广域网线路中断处置措施

1. 广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向信息安全负责人报告。

2. 信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。

3. 如属用户管辖范围,由信息安全工作人员立即予以恢复。

4. 如属运营商部门管辖范围,立即与运营商维护部门联系,要求修复。

5. 如果主、备用线路同时中断,信息安全相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向本单位信息化领导小组汇报。

6. 如有必要,应向本单位信息化主管部门汇报。

11.4.6.5   局域网中断处置措施

1. 设备管理部门平时应准备好网络备用设备,存放在指定的位置。

2. 局域网中断后,信息安全相关负责人员应立即判断故节点,查明故障原因,并向网络安全组组长汇报。

3. 如属线路故障,应重新安装线路。

4. 如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。

5. 如属路由器、交换机配置文件破坏,应迅速按照要求重新配置或者向相关设备导入预先保存的配置文件,并调测通畅。

11.4.6.6   设备安全处置措施

1. 小型机、服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。

2. 信息安全相关负责人员立即查明原因。

3. 如果能够自行恢复,应立即用备件替换受损部件。

4. 如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。

5. 如果设备一时不能修复,应向本单位信息化领导小组汇报。

11.5                                              应急预案的宣传、培训和演习

11.5.1          信息交流

用户在应急预案修订、演练的前后,应利用各种媒介开展宣传;不定期地利用各种安全活动向用户宣传信息安全应急法律法规和预防、应急的常识。让终端用户对我单位的信息化应急预案有所了解,充分信任我们对紧急事件的故障处理和系统恢复的工作能力。

11.5.2          人员培训

为确保信息安全应急预案有效运行,我公司将协助用户定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。

11.5.3          应急演习

为提高信息安全突发事件应急响应水平,信息安全专项应急监督小组定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。

通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。








Address/地址: 武汉市东湖新技术开发区光谷大道58号关南福星医药园92501-0
Tel/联系电话: 18062502612
Mail/邮箱:719226481@qq.com