《智慧城市基础平台安全系统设计》由会员分享,可在线阅读,更多相关《智慧城市基础平台安全系统设计(28页珍藏版)》请在金锄头文库上搜索。
1、智慧城市基础平台安全系统设计方案随着政府信息化进程的推进,承载网络上运行的应用系统将越来越多,信息系统变得越来越庞大和复杂。用户对信息系统的依赖性不断增加,因此对信息系统的服务质量也提出了更高的要求,要求信息系统能够提供24小时7的优质服务。所以建立有机的、智能化的网络安全防范体系保护系统正常运行、保护关键数据和关键应用的安全,成为一项不容轻视的任务。网络安全防范体系应该是动态变化的。安全防护是一个动态的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻新,而电子政务外网自身的情况也会不断地发展变化,在完成安全防范体系的架设后,必须不断对此体系进行及时的维护和更新,才能保证网络安全防范体系的良性
2、发展,确保它的有效性和先进性。网络安全防范体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训,加强所有人的安全意识,完善安全体系赖以生存的大环境。下面将逐一描述安全体系的各个组成部分。安全策略:是一个成功的网络安全体系的基础与核心。安全策略描述了系统的安全目标(包括近期目标和长期目标),能够承受的安全风险,保护对象的安全优先级等方面的内容。安全技术:常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分,缺少任何一种对系统都会有巨大的危险。对安全工具和技
3、术手段的使用需要在安全策略的指导下进行实施。需要说明的是,在网络安全体系中安全产品并不能只是简单地堆砌,而是要合理部署,互联互动,形成一个有机的整体。安全管理:安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。安全不是简单的技术问题,不落实到管理,再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。安全培训:最终用户的安全意识是信息系统是否安全的决定因素,因此对系统中用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。
4、随着技术的发展,攻击手段日益先进,系统内的安全对象是复杂的系统,攻击者可以只攻一点,而我们需要处处设防,这些都使得保障网络安全的复杂性大大提高。因此,对安全防范体系建设应本着以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识来进行。只有在安全策略的指导下,建立有机的、智能化的网络安全、系统防范体系,才能有效地保障系统内关键业务和关键数据的安全。3.3.6.1安全概述在XX智慧城市系统建设中,特别是定位于秘密级涉密计算机信息系统建设,其内部的信息安全也是需要重视的,在本方案中,我们按照国家涉密计算机系统安全要求,采用先进的、符合涉密系统安全要求的安全
5、设备和产品,严格遵守中华人民共和国保密局、公安部相关法律和法规,严格遵守国家涉密计算机系统安全保密规范,建立整个网络综合安全保障体系。3.3.6.2安全风险分析1. 在提出XX智慧城市系统安全方案之前,我们首先需要重点分析一下网络安全性方面可能存在的问题。站在信息系统攻击者的角度看,对现有网络可能采用的攻击手段主要有:2. 线路窃听:通过搭线截获网上办公通讯数据,掌握敏感数据,并可能通过协议分析等手段,进一步对政务系统网络内部进行攻击。3. 网络入侵:以各种攻击手段如拒绝服务攻击等破坏网络的正常运行。4. 节点假冒:外部用户可以通过公众网络直接访问对外服务的服务器,同时也有可能访问内部的网络服
6、务器,这样,由于缺乏有效的和高强度的身份验证和监控,内部系统和对外的服务器就比较容易遭到假冒用户的攻击。5. 伪造网络地址和非法用户,非法设立网络节点,甚至非法复制、安装相应的文件、应用软件。6. 中间人攻击:以某种机制接到通讯双方之间,对发送方冒充成接收方,对接收方冒充成发送方,从而骗取通讯双方的信任,并获得机密信息。7. 非授权访问:有意避开系统访问控制机制,对网络设备及资源进行非正常使用,擅自扩大权限,越权访问信息。8. 业务抵赖:在处理完某笔业务后,参与业务的某方否认所做的业务处理。9. 病毒入侵:对重要的主机或服务器进行基于病毒的攻击,或放置逻辑炸 弹和其它病毒,以获取信息或让主机无
7、法正常工作。10. 管理技术性:缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC,缺乏一套完整的安全策略、监控和防范技术手段。3.3.6.3网络安全建设目标通过安全风险的分析,XX智慧城市系统的信息安全建设目标是:对部分核心计算机网络系统的安全进行全方位的安全防范,保证内部网络的安全和网上办公系统的顺利运行,安全而且实际可行。具体包括:1. 保护网络系统的可用性;2. 保护系统服务的连续性;3. 防范网络资源的非法访问及非授权访问;4. 防范入侵者的恶意攻击与破坏;5. 保护网络信息在存储、处理、
8、传输等过程环节上的机密性、完整性6. 防范病毒的侵害;7. 实现网络的安全管理。3.3.6.4计原则XX智慧城市系统信息安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。进行XX智慧城市系统安全体系设计、规划时,应遵循以下原则:我们在进行网络安全体系规划、设计时,将遵循以下原则:1、需求、风险、代价平衡分析的原则:对任何网络安全技术体系的规划、设计来说,必须明确安全需求的尺度。对网络面临的威胁、可能承担的风险及代价进行定性与定量分析,在三方面找出一个平衡的解决原则。2、综合性、整体性原则:运用系统工程方法,分析安全问题,制
9、定具体措施。把多环节、多层次的安全解决措施纳入一个整合的系统性规划设计之中。3、一致性原则:网络安全问题与整个网络的工作周期(或生命周期)同时存在,安全体系结构必须与网络的安全需求相一致。 4、多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。多重保护原则是指各层保护相互补充,当一层保护被攻破时,其它层仍可保护。5、适应性、灵活性原则:安全措施能随着网络性能及安全需求的变化而变化,便于定制,策略易于修改。6、易操作性原则:安全措施是由人来完成的,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。7、利旧原则:充分利用设备本身安全防护功能和网
10、络中原有的安全产品,避免重复投资,造成浪费。3.3.6.5设设计标准在网络安全体系规划和实施过程中,我们将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括:1、ISO/IEC 17799 Information technologyCode of practice for information security management;2、ISO/IEC 13335 Information technology Guidelines for The Management of IT Security;3、ISO/IEC 15408 Information technol
11、ogy Security techniques Evaluation criteria for IT security;国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。3.3.6.6全系统解决方案3.3.6.6.1安全隔离利用XX电子政务网络MPLS/VPN和VLAN设置连接相关专业部门,进行有效的安全控制,在不同业务区之间架设防火墙,用来防御可能来自入侵威胁。3.3.6.6.2网络分段1、技术概况网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。网络分段可分为物理
12、分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。VLAN(虚拟网技术),主要基于近年发
13、展的局域网交换技术。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,基于MAC的VLAN不能防止MAC欺骗攻击,面临着被假冒MAC地址的攻击的可能。因此,VLAN的划分最好基于交换机
14、端口。这就要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。2、技术实现有关网络分段的技术实现请参考本技术标书的“网络与通信系统设计”部分。3.3.6.6.3入检测系统1、技术概述利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门;入侵者可能就在防火墙内;由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检
15、测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短响应黑客入侵的时间。与现在流行的产品和扫描器类似,主要识别手段是通过一个攻击数据库来分析。它监控主机或网络中流动的数据,标准或非标准的日志系统的变化和记录,分析已有的特征码,识别可能的攻击尝试。按照采用的数据来源不同,可分为基于网络(Network Based)、基于主机(Host Based)和基于机群(Hosts Based)的入侵检测系统。简单来说, 基于网络数据包分析在网络通信中寻找符合网络入侵模版的数据包,并立即作出相应反应;基于主机在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告。 它们各有优缺点,互相作为补
16、充。基于主机的入侵检测系统:用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统:用于实时监控网络关键路径的信息。部署方式:部署方式一般有两种,基于网络和基于主机。基于网络的入侵检测产品放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,基于网络的入侵检测产品是主流。基于主机的入侵检测产品通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入
