《XX市公共资源交易平台系统运行环境购置项目安全设计说明书(2017年)》由会员分享,可在线阅读,更多相关《XX市公共资源交易平台系统运行环境购置项目安全设计说明书(2017年)(27页珍藏版)》请在金锄头文库上搜索。
1、XX市公共资源交易平台系统运行环境购置项目安全设计说明书1建设需求32现状分析33系统构架设计43.1网络拓扑图43.2系统结构说明44网络设备55系统平台软硬件配置66主要设备功能、性能介绍76.1网络设备产品简介76.1.1病毒防范措施76.1.2防入侵、网络安全防护86.1.3业务交付负载均衡166.1.4核心交换机业务能力176.1.5超融合架构241 建设需求营造优良的软环境是增强竞争力、进一步科学发展、深化公共资源交易体制改革必不可少的要素。而加快电子政务建设,建立公共资源交易平台是提升软环境的有效途径。通过建立公共资源交易平台,使各类交易活动“统一进场交易、统一进行管理、统一接受
2、监督”,不断提高政府的社会管理水平和公共服务质量,为交易主体提供“公开、公平、公正”的交易平台和优质的服务。公司计划进行XX市公共资源交易中心的信息系统的建设,基于该套系统的应用包括数据库应用和Web服务应用。这些系统计划现在安装在1台服务器上,数据库服务器则采用的是SQL数据库系统。该系统的数据中心,运行着各重要的应用系统,关系到企业各个职能部门的运作和各业务数据的信息的安全,因此本次信息基础架构建设将信息安全、可靠放在首要位置。为避免关键信息数据破坏或攻击,本项目中还需要对考虑安全防护管理系统的建设,以达到网络安全和链路安全的目的。2 现状分析鉴于目前公司发展的趋势,根据需要对系统进行前瞻
3、性规划,以满足未来3年内XX市交易中心业务发展的需要。为保系统信息平台能稳定运行,网络基础构架和关键业务应用采用热备份冗余设计预防可能的单点故障保证系统的高可靠性和关键业务连续性。为避免网络攻击或者病毒入侵,导致系统无法正常运转,配置综合网关进行边界防护和网络安全管理,防止内网或者外网对本中心系统产生影响。本次建设主要包括二个方面,即网络冗余保护、超融合虚拟化平台。3 系统构架设计3.1 网络拓扑图XX市交易中心网络拓扑图:3.2 系统结构说明3.2.1 网络系统可靠性网络核心配置两台三层交换机、两台负载均衡、两台IPS、两台防火墙热备互为冗余、通过虚拟化技术配置服务器和业务负载均衡。核心交换
4、机支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换, 保证高可靠性的网络质量。此外,针对Smartlink和 RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。互联网接入部分利用企业现有的两条Internet线路连接综合网关实现外部链接的冗余。3.2.2 关键业务应用可靠性企业的数据库(关键业务应用)服务器采用基于存储共享的双机热备方案,两台服务器可以互备或者并行的方式运行。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时
5、,服务器通过心跳线侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。3.2.3 网络安全保护为系统配置的统一安全网关集防火墙、防DDOS、入侵保护(IPS)、P2P阻断和限流、IM软件控制、L2TP/IPSEC/SSL /MPLS VPN等特性于一体,提供高性能的安全防护,帮助企业提升工作效率。4 网络设备1、先进性:以先进、成熟的网络通信技术进行组网,支持数据、
6、语音、视像等多媒体应用。2、标准化和开放性:采用符合ISO或IEEE、ITUT、ANSI等标准的网络协议,采用符合国际和国家标准的网络设备。3、可靠性和可用性:选用高可靠的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的安全与可靠,要有强大的网络负载能力,支持多用户、多进程的网络传输。4、实用性和经济性:从实用性和经济性出发,兼顾近期目标和长远发展,选用先进的设备,进行最佳性能组合,利用有限的投资构造性能最佳的网络系统。5、安全性和保密性:在接入Internet/Intranet时,保证网上信息和各种应用系统的安全,采用的网络安全产品必须经过国家公安部的认证。6、扩展性
7、和升级能力:选用具有良好升级能力和扩展性的设备,在未来的升级和扩展中,能保护现有投资,并支持多种网络协议、高层协议和多媒体应用。7、灵活性:运用交换机产品与路由器产品支持的、先进的虚拟网络技术,快速简便地将用户或用户组从一个网络转移到另一个网络,而无需任何硬件上的改变.8、可管理性:集中式的管理,方便网络的管理和维护。5 系统平台软硬件配置系统软硬件列表(推荐)系统设备产品型号单位数量网络及安全设备防火墙天融信NGFW4000-UF套1入侵防御启明星辰天清NGIPS5000-C-S套1负载均衡天融信TOPAPP6000套1虚拟化平台服务器浪潮NF5280套4数据库服务器浪潮NF8460套2网络
8、核心交换机H3C LS-7506E-NonPoE套2WAF启明星辰天清Web应用安全网关700-M套2超融合虚拟化平台深信服超融合架构平台台1光纤存储交换机H3C LS-6800-2C套2防病毒软件卡巴斯基网络安全解决方案标准版10.0套16 主要设备功能、性能介绍6.1 网络设备产品简介6.1.1 病毒防范措施由于计算机病毒和蠕虫能够通过多种渠道进入网络,病毒问题成为XX市交易中心业务系统面临的重要安全威胁。病毒对计算机系统稳定性、文件的完整性具有严重的威胁,而蠕虫在内部网以及纵向网络的传播更会导致严重的网络阻塞、病毒扩散等问题。安全问题已经从传统的网络层面的安全上升到了内容层面的安全。XX
9、市交易中心急需在终端计算机上以及网络边界、网络内部部署合适的防护机制,避免内容安全威胁对系统造成严重影响。基于这种考虑,系统经过慎重考虑和评估,选择了卡巴斯基网络安全解决方案标准版10.0,在内部网络和纵向网中进行部署。u 网络边界病毒防护为了加强域边界的控制和防御能力,我们在网络的域边界部署启明星辰天清Web应用安全网关700-M,进行有效的蠕虫和新复合型病毒的主动防御。通过域边界启明星辰天清Web应用安全网关700-M的部署,当内部网络再触发某蠕虫病毒,进而对整个网络发起攻击的时候, 700-M可以将其控制在某个安全域之内,避免其进一步大面积扩散,造成整个网络瘫痪等事件的发生,为网络管理人
10、员提供了有效的网络病毒控制手段和能力,为内部网络病毒防御的可控性目标提供了有力的技术保障。内部域边界病毒防护示意图域边界的病毒防御建设提高了网络管理人员对网络的安全控制能力,有效的防御了病毒、木马、蠕虫等病毒威胁在内部网络不同区域内的破坏、扩散,切断了其在网络内部的传播途径。700-M以透明方式接入用户网络,管理员基本不需要修改其它网络设备的配置,只须接入到需要保护的网络边界即可。700-M会自动对所有通过它的网络流量进行识别分析,过滤病毒、电子邮件病毒、静态蠕虫、恶意网页代码、非法内容、敏感信息等,同时阻击蠕虫动态攻击行为。利用天融信防毒墙截取网络数据进行过滤处理,将过滤后的数据传递给目的地
11、,以确保信息安全。对于蠕虫和动态攻击, 700-M则能将其彻底阻断,防止其在内网扩散。6.1.2 防入侵、网络安全防护随着Internet的迅速普及,一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷,且变化越来越快,危害越来越大;另一方面,随着网络应用的增加,对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线,究竟何种硬件架构最适合防火墙产品?要满足未来信息安全产品适应信息高速膨胀的发展趋势,提升开放平台的硬件性能,即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下,多核技术应运而生。这里所说的多核并不是基于X
12、86的2核、4核这样的CPU,而是在网络、安全设备上最新使用的基于MIPS64的多核SoC(System on Chip)处理器,此类多核SoC处理器目前可支持到16核,并随着安全计算需求的不断增加而继续提升。相比X86、NP、ASIC硬件平台,SoC多核平台的最大优势是保留了X86平台的高灵活性(这一点对于安全设备的应用层检测非常关键),同时具备与ASIC平台相当的高处理性能。同时,通过增加核数,使线性提升硬件计算能力成为了可能,更重要的是功耗也随之得到了控制。多核架构在支撑灵活性和高性能的同时,带来的另一个卓有成效的经济效益是低碳、节能。对信息安全产品而言,减排、低功耗是实现“低碳经济”最
13、主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核,核与核之间可以协同工作,同时在各个核周边还集成了丰富的安全协处理硬件,如硬件加密、正则匹配和应用加速等,高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用,对于X86通用硬件平台,需要1颗甚至多颗高频率CPU,同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等,一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试,多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。在高效能、低炭排放的同时,多核架构带给信息安全产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复
14、杂度,硬件的简化促使故障率可以降低到1以下(X86平台故障率通常为5以上),达到电信级标准。随着网络技术的的迅速发展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济发展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时,也产生了许多安全问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病
15、毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁。了解威胁:哪些地方存在威胁?存在什么威胁?如何消除威胁规避风险?成了摆在我们面前的现实任务。防火墙及其局限性:防火墙是当前广泛应用的一种网关型安全设备,一般用于网络的边缘的访问控制。传统防火墙主要基于诸如协议、地址、端口这些四层及四层以下的信息进行访问控制,但无法根据7层或超7层协议(如HTTP Tunnel)进行动态分析、过滤。因此防火墙的访问控制采用的是基于静态的访问控制策略进行的,目前已经越来越难以适应迅速发展且手段千变万化的入侵行为,比如:u 复杂协议无法解析无法对复杂协议(多数是应用层协议,如MSRPC)的负载进行有效解析,因此也就无法基于复杂协议的负载进行的入侵行为进行监控与拦截u 组合攻击无法检测无法对由多步骤组成的组合攻击行为进行有效的关联分析,因此防火墙对于这类攻击无法进行监控与拦截u 内部攻击无法防范
