网络工程规划与设计课件-项目四子项目二任务6信息系统等级保护设计.ppt

1、1任务六任务六 电子政务外网信息系统安全保护设计电子政务外网信息系统安全保护设计任务三任务三 电子政务外网电子政务外网IPIP规划规划任务一任务一 电子政务外网网络需求获取电子政务外网网络需求获取任务五任务五 网络中心规划与设计网络中心规划与设计任务四任务四 电子政务外网路由与电子政务外网路由与MPLS VPNMPLS VPN设计设计任务七任务七 外网平台应用系统规划与项目预算外网平台应用系统规划与项目预算任务二任务二 电子政务外网拓扑结构设计电子政务外网拓扑结构设计2网络中心规划与设计1 1、网络中心环境设计网络中心环境设计3 3、存储备份系统规划存储备份系统规划2 2、网络中心服务器规划、

2、网络中心服务器规划3引入任务1 1、政务外网安全体系架构与信息安全系统应用政务外网安全体系架构与信息安全系统应用2 2、花都县政务外网信息系统安全方案设计、花都县政务外网信息系统安全方案设计41 1、政务外网安全体系架构与信息安全系统应用政务外网安全体系架构与信息安全系统应用5电子政务网基本安全框架6政务外网安全体系架构政务外网安全体系架构67加快电子政务外网等级保护工作文件加快电子政务外网等级保护工作文件8国家电子政务外网电子认证服务管理暂行办法国家电子政务外网电子认证服务管理暂行办法第 8页 /共 4页9电子政务外网信息系统定级电子政务外网信息系统定级电子政务外网信息系统定级序号序号 信息

3、系统名称信息系统名称安全保护等级安全保护等级 业务信息安全等级业务信息安全等级 系统服务安全等级系统服务安全等级1政务外网IP通信网络3232县级政务外网VPN业务3333县级外网互联网托管中心2224政务外网门户网站33210外网当前网络主要存在的问题10“安全域”划分不是基于信息系统依靠“应用层”授权可同时访问互联网和安全域终端管理太麻烦&IDS利用效率低身份认证网关承担巨大压力11电子政务外网安全保障体系安全保障体系网络信任体系网络安全防护体系安全服务体系基于桥CA的互联互通PKI/CA证书管理系统密码服务管理体系密钥管理服务物理层安全传输层安全系统层安全管理层安全安全咨询安全评估安全加

4、固安全培训安全管理体系应用层安全安全策略管理制度法律法规技术标准网络信任网络安全防护安全服务基于桥CA的互联互通PKI/CA证书管理系统密码服务管理密钥管理服务物理层安全传输层安全系统层安全管理层安全安全咨询安全评估安全加固安全培训信息安全基础设施安全管理机制应用层安全安全策略管理制度法律法规技术标准标准规范与风险评估12电子政务外网安全系统重点建设内容网络安全防护系统网络安全防护系统 划定划定安全域，实施安全等级保护，实施安全等级保护,建设网建设网络防护子系统、因特网出口隔离管理子系统等；络防护子系统、因特网出口隔离管理子系统等；网络信任系统网络信任系统 按照国家网络信任体系建设的统一规划，

5、在国按照国家网络信任体系建设的统一规划，在国家信息安全主管部门的指导下，建设顶层认证中心家信息安全主管部门的指导下，建设顶层认证中心(根根CA)CA)和证书审核和证书审核注册中心注册中心(RA)(RA)；构建外网网络信任系统；构建外网网络信任系统 安全管理系统安全管理系统，建设中央和省两级安全管理中心，建设中央和省两级安全管理中心,制订安全标制订安全标准规范准规范,建立安全管理和服务机制建立安全管理和服务机制13电子政务外网安全域划分示意图14实名制安全准入，实现终端安全安全行为审计，全面管理用户行为安全域边界隔离，实现分级分域管理网络授权，控制指定的人访问指定的业务基于安全域的信息系统安全方

6、案设计15基于安全域的信息系统安全方案设计应用安全域解决方案拓扑图应用安全域解决方案拓扑图16应用安全域解决方案主机安全准入用户名、密码用户名、密码接入交换机接入交换机IP地址地址接入交换机端口接入交换机端口用户用户IP地址地址用户用户MAC地址地址VLAN信息信息硬盘序列号硬盘序列号身份合法的人才可接入网络身份合法的人才可接入网络健康的主机才可接入网络健康的主机才可接入网络合法操作的主机才可使用网络合法操作的主机才可使用网络17应用安全域解决方案用户行为审计1优盘认证F对被认证的对被认证的U盘管理员可以盘管理员可以选择对认证过的选择对认证过的U盘做数据保盘做数据保护护可以设定认证U盘的有效期

7、避免病毒通过移动存储设备传播避免病毒通过移动存储设备传播18应用安全域解决方案用户行为审计2访问日志用户所有操作均可记录在案用户所有操作均可记录在案19应用安全域解决方案用户行为审计3网络实名准入：准入：动态的自动绑定UID+MAC+IP+PORT，确保入网用户身份合法、主机标识和网络标识真实可信骨干网络网关RG-ACE系列（带宽及流量管理）安全接入交换机安全计费管理RG-SMP日志管理RG-eLogCERNET准出准入实现“网络实名制”出现非法言论等行为，快速定位到人出现非法言论等行为，快速定位到人准出：准出：基于用户身份的访问权限控制，基于用户身份带宽管理和流量计费准入和准出一体化准入和准

8、出一体化统一的管理平台统一的账号密码认证合二为一、用户自主选择可方便切换20电子政务外网的安全区域划分数据中心安全域划分三个安全子域数据中心安全域划分三个安全子域n安全管理中心安全管理中心n资源共享中心资源共享中心/省直服务器群省直服务器群n托管门户站群托管门户站群网络接入安全域划分两个安全子域网络接入安全域划分两个安全子域n省核心城域网安全域省核心城域网安全域n广域接入网安全域广域接入网安全域21核心业务区（三级）核心业务区（三级）安全管理区（三级）安全管理区（三级）核心交换区核心交换区NIDS流量控制流量控制终端接入区终端接入区运营商运营商A运营商运营商B互联网接入区互联网接入区VPN接入

9、接入入网审计入网审计数据交换区（三级）数据交换区（三级）交换交换服务器服务器非涉密网非涉密网安全隔离系统安全隔离系统安全域安全域控制卡控制卡数据存储区（三级）数据存储区（三级）一般一般业务系统业务系统防篡改防篡改系统系统认证认证服务器服务器漏洞漏洞扫描扫描终端管理终端管理服务器服务器网络审计网络审计系统系统存储系统存储系统资料下载资料下载服务器服务器信息发布信息发布服务器服务器其他应用其他应用服务器服务器财务系统、资产管理系统、人事系统财务系统、资产管理系统、人事系统重要人员重要人员接入区接入区网络服务区（二级）网络服务区（二级）内部办公系统区（三级）内部办公系统区（三级）重要办公系统区（四级

10、）重要办公系统区（四级）行业或部门专有系统行业或部门专有系统关键应用系统不被攻击；数据不被窃关键应用系统不被攻击；数据不被窃取或被修改。取或被修改。应用安全域解决方案安全域边界隔离逻辑安全域22应用安全域解决方案同一时刻访问同一安全域安全管理区（三级）安全管理区（三级）核心交换区核心交换区NIDS流量控制流量控制终端接入区终端接入区运营商运营商A运营商运营商B互联网接入区互联网接入区VPN接入接入入网审计入网审计数据交换区（三级）数据交换区（三级）交换交换服务器服务器非涉密网非涉密网安全隔离系统安全隔离系统安全域安全域控制卡控制卡数据存储区（三级）数据存储区（三级）一般一般业务系统业务系统防篡

11、改防篡改系统系统认证认证服务器服务器漏洞漏洞扫描扫描终端管理终端管理服务器服务器网络审计网络审计系统系统存储系统存储系统资料下载资料下载服务器服务器信息发布信息发布服务器服务器其他应用其他应用服务器服务器重要人员重要人员接入区接入区网络服务区（二级）网络服务区（二级）核心业务区（三级）核心业务区（三级）重要办公系统区（四级）重要办公系统区（四级）行业或部门专有系统行业或部门专有系统防常规木马，特种木马用其他方式。防常规木马，特种木马用其他方式。财务系统、资产管理系统、人事系统财务系统、资产管理系统、人事系统内部办公系统区（三级）内部办公系统区（三级）23应用安全域解决方案根据身份做应用授权安全

12、管理区（三级）安全管理区（三级）核心交换区核心交换区NIDS流量控制流量控制终端接入区终端接入区运营商运营商A运营商运营商B互联网接入区互联网接入区VPN接入接入入网审计入网审计数据交换区（三级）数据交换区（三级）交换交换服务器服务器非涉密网非涉密网安全隔离系统安全隔离系统安全域安全域控制卡控制卡数据存储区（三级）数据存储区（三级）一般一般业务系统业务系统防篡改防篡改系统系统认证认证服务器服务器漏洞漏洞扫描扫描终端管理终端管理服务器服务器网络审计网络审计系统系统存储系统存储系统资料下载资料下载服务器服务器信息发布信息发布服务器服务器其他应用其他应用服务器服务器财务系统、资产管理系统、人事系统财

13、务系统、资产管理系统、人事系统重要人员重要人员接入区接入区内部办公系统区（三级）内部办公系统区（三级）网络服务区（二级）网络服务区（二级）核心业务区（三级）核心业务区（三级）重要办公系统区（四级）重要办公系统区（四级）行业或部门专有系统行业或部门专有系统服务器不再被恶意攻击，也不会被非服务器不再被恶意攻击，也不会被非法用户窃取信息法用户窃取信息24对优盘等外设进行控制，明确只有指定的优盘可以用在指定的机器上，杜绝了敏感信息泄漏的最大源头。建立安全的访问路径，逻辑上使网络中仅存在用户和应用系统两个主体，避免了数据被窃取、被篡改同一时间只能访问一个安全域，避免了大部分的木马攻击。根据用户身份在网络

14、层授权，使非授权用户无法找到服务器，从而避免攻击。特有的安全域控制卡，实现无客户端情况下的认证、授权，部署简便。统一互联网安全解决方案，实现外网接入用户做到事前认证，事中监测，事后审计的外网安全接入。应用安全域解决方案特点252、花都县政务外网信息系统等级保护设计花都县政务外网信息系统等级保护设计26花都县政务外网信息系统等级保护设计（1）政务外网等级保护安全整体规划方案电子政务外网做国家政务网络系统的重要部门，承载着互联网访问窗口、对公众提供信息化交互服务。为确保后续的发展要求，此次建设总体的安全体系按照三级的规范来设计制定。电子政务外网网络安全主要关注网络结构、网络边界以及网络设备自身安全

15、等方面，具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。27信息系统等级保护设计按照信息系统安全等级保护基本要求中三级网络安全要求,电子政务外网安全保护整体解决方案见下表所示。28信息系统等级保护设计信息系统等级保护设计测评要求测评要求（从结构安全与网段划分方面考虑）（从结构安全与网段划分方面考虑）解决方案解决方案a)网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；双核心、高性能设备互为冗余备份b)应设计和绘制与当前运行情况相符的网络拓扑结构图；通过网络管理软件进行绘制并美化c)应根据机构业务的特点，在满足业务高峰

16、期需要的基础上，合理设计网络带宽；采用具备万兆为主干的链路d)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；通过访问控制及路由控制进行路径的隔离e)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；实施时将严格对不同工作职能等的工作部门进行不同子网的分配f)重要网段应采取网络层地址与数据链路层地址绑定措施防止地址欺骗；通过部署具备防地址欺骗的安全交换机和汇聚交换机的防火墙业务板实现g)应按照对业务服务的重要次序来指定带宽分配优先级别保证在网络发生拥堵的时候优先保护重要业务数据主机。在安全交换机上启

17、用QOS实现29信息系统等级保护设计信息系统等级保护设计测评要求（从网络访问控制方面考虑）测评要求（从网络访问控制方面考虑）解决方案解决方案a)应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力；通过具备高级访问控制列表的安全交换机和交换机的防火墙业务板实现b)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；通过部署具备高级访问控制列表的安全交换机实现c)应依据安全策略允许或者拒绝便携式

18、和移动式设备的网络接入；通过部署安全准入系统，杜绝不注册用户和终端的网络接入d)应在会话处于非活跃一定时间或会话结束后终止网络连接；由应用系统实现e)应限制网络最大流量数及网络连接数。通过防火墙、IPS设备等安全设备实现30信息系统等级保护设计信息系统等级保护设计测评要求（从拨号访问控制方面考虑）测评要求（从拨号访问控制方面考虑）解决方案解决方案a)应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；通过部署安全准入系统，对每一个远程用户进行分类访问控制（通过局域网出口设备或其他设备）b)应限制具有拨号访问权限的用户数量；通过局域网

19、出口设备或其他设备c)应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。通过部署安全准入系统，设置严格的访问规则31信息系统等级保护设计信息系统等级保护设计测评要求（从网络安全审计方面考虑）测评要求（从网络安全审计方面考虑）解决方案解决方案a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；通过部署网管系统实现设备状态检测，通过安全准入系统实现用户行为审计；上网行为审计系统实现b)对于每一个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；通过架设syslog服务器与防火墙对接获取日志，通过网管和准入

20、系统的日志系统、以及IDS和上网行为审计系统实现c)安全审计应可以根据记录数据进行分析，并生成审计报表；同上d)安全审计应可以对特定事件，提供指定方式的实时报警；利用网管系统、入侵检测系统、安全准入系统的告警功能实现e)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。管理员人工保留实现32信息系统等级保护设计信息系统等级保护设计测评要求（从边界完整性检查方面考虑）测评要求（从边界完整性检查方面考虑）解决方案解决方案a)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）；通过安全准入系统实现非法外联的检测和报告b)应能够对非授权设备私自联到网络的行为进

21、行检查，并准确定出位置，对其进行有效阻断；通过安全准入系统所属客户端软件进行阻断c)应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。通过安全准入系统所属客户端软件进行阻断33信息系统等级保护设计信息系统等级保护设计测评要求（从测评要求（从网络入侵防范网络入侵防范、恶意代码防范方面考虑）、恶意代码防范方面考虑）解决方案解决方案a)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；部署入侵检测实现b)当检测到入侵事件时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的

22、时间，并在发生严重入侵事件时提供报警。部署入侵检测实现a)应在网络边界及核心业务网段处对恶意代码进行检测和清除；边界防火墙实现b)应维护恶意代码库的升级和检测系统的更新；边界防火墙实现c)应支持恶意代码防范的统一管理。边界防火墙实现34信息系统等级保护设计信息系统等级保护设计测评要求（从网络设备防护方面考虑）测评要求（从网络设备防护方面考虑）解决方案解决方案a)应对登录网络设备的用户进行身份鉴别；通过设置网络设备实现b)应对网络上的对等实体进行身份鉴别；通过设置网络设备实现c)应对网络设备的管理员登录地址进行限制；通过设置网络设备实现d)网络设备用户的标识应唯一；通过设置网络设备实现e)身份鉴

23、别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；通过设置网络设备实现f)应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；通过设置网络设备实现g)应具有登录失败处理功能，如结束会话、限制非法登录次数，当网络登录连接超时，自动退出；通过设置网络设备实现h)应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。通过设置网络设备实现i)应设置网络登录连接超时，并自动退出；通过设置网络设备实现j)应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。通过设置网络设备实现35信息系统等级保护设计（2）WEB服务防篡改设计电子政务

24、数据中心政务外网通过WEB的方式，将重要的信息和数据进行公开发布，而管理中心特殊的政府职能，就决定了其WEB站点必将成为黑客关注的焦点。目前，而针对主页系统的攻击包括篡改、拒绝服务、恶意脚本、信息泄露等攻击，常见的防护手段是防火墙、入侵检测和防病毒来，在采纳上述三种技术之上，如果对主页内容进一步进行防护，那将大大降低攻击的成功率，进一步提升WEB应用的安全性，这种技术就是主页防篡改。36信息系统等级保护设计信息系统等级保护设计WEB服务防篡改解决方案37信息系统等级保护设计（2）WEB服务防篡改设计通过WEB防火墙能有效进行webshell 的检测、过滤与侦测、监控通过单一WAF设备支持多个网

25、站管理员分别配置管理防护策略，并提供独立的攻击事件报警、分析日志与报表；WEB防火墙预置了攻击防御策略；设备上线，无需配置即可防御绝大多数攻击；同时也提供白名单功能，供高级客户使用，达到有效防止网页篡改。38信息系统等级保护设计（3）内部访问控制及安全审计规划要对各类系统产生的安全日志实现全面、有效的综合分析，就必须为安全管理员建立一个能够集中收集、管理、分析各种安全日志的安全审计管理中心，使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，为管理员提供一个方便、高效、直观的审计平台，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。主要从接入安全管理、安全审计

26、、日志审计三个方面进行设计。39信息系统等级保护设计（3）内部访问控制及安全审计规划接入安全管理：电子政务外网信息系统中有许多核心服务器系统、网络系统、应用系统和数据库系统等，这些系统的日常维护和管理都需要相关人员包括第三方人员的操作，这些维护操作的对象是核心系统，操作人员权限相对都是超级权限，带来的安全风险更大，所以对这些核心系统的维护操作需要专业的安全内控系统进行必要的授权、管理和审计，防止未授权的访问和误操作，对核心系统的维护人员的所有行为进行记录和展现，以备审查。40信息系统等级保护设计（3）内部访问控制及安全审计规划安全审计：电子政务外网网络中普通用户，网络中有大量的访问和数据包被传

27、递，如何在这些访问中发现存在的安全隐患，除了利用入侵防御系统进行实时监测以外，还需要有一种手段，可以对访问过程进行还原在发生安全事故时，通过对访问过程的还原，一方面能有效发现系统中可能存在的安全隐患，另一方面还为安全事故的事后处理提供证据。41信息系统等级保护设计（3）内部访问控制及安全审计规划日志审计：针对电子政务外网信息系统，网络中各种安全设备（防火墙、IDS 系统、病毒检测等）、操作系统（包括 Windows 和 Unix）、应用服务（email、www、ftp、DNS）等都可产生大量的审计数据。这些日志数据详实地记录了系统和网络的运行事件，是安全审计的重要数据。这些日志信息对于记录、检

28、测、分析、识别各种安全事件和威胁有非常重要的作用。但由于目前网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标。42深化任务技能训练1.讲解技能训练任务单52.下发技能训练任务书53.学生按照技能训练任务书4的相关要求完成靳江市电子政务外网逻辑拓扑结构设计与网络链路选择4.学生填写技能训练检查单55.依据技能训练任务考核5的要求，采取自评、小组互评、教师评价的方式对学生完成的技能训练作品进行评价6.教师点评学生技能训练作品43归纳总结、任务拓展1.政务外网安全体系架构与信息安全系统应用政务外网安全体系架构与信息安全系统应用。2.花都县政务外网信息安全方案设计。3.分析省级电子政务外网、省级金融行业网络安全规划与设计。