《IT项目安全架构设计》由会员分享,可在线阅读,更多相关《IT项目安全架构设计(30页珍藏版)》请在金锄头文库上搜索。
1、1.1. 安全架构设计1.1.1. 安全架构设计目标整体平台的信息安全体系,必须为金融业务工作的有效开展提供 有力支撑,信息系统的安全可靠对于金融业务工作十分重要。建设终 端、应用、系统、网络、物理以及业务增强安全能力,围绕身份鉴权、 访问控制、内容审计、监控审计、合规和业务连续性设计。整个平台 安全体系建设满足等级保护2.0 III级标准。安全作为金融平台的重要组成部分,是衔接金融平台应用安全与 底层资源安全保障的纽带,也是金融平台各子系统之间实现软硬件资 源的安全共享的保障。同时,为了落实和贯彻公安部、国家保密局、 国家密码管理局、全市高法系统等国家有关部门信息安全等级保护工 作要求,全面
2、完善金融平台信息安全防护体系,落实“双网双机、分 区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作 在各相关环节的顺利实施,提高整体信息安全防护水平。本次规划初步设计与金融业务相适应的、可靠的安全防护体系, 实现金融平台硬件及网络环境、金融平台应用、金融平台数据等安全 防护与管理,实现应用服务及数据调用的安全认证和安全审计,主动 的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查 追溯能力;访问轨迹记录跟踪与查询;金融平台及系统安全审计;安 全日志记录存储及查询;金融平台安全预警机制;数据级、应用级容 灾备份及恢复机制,建立金融平台的异地容灾备份能力,以确保金融 平台的高
3、可用性和数据安全性。1.1.2. 安全架构设计原则 金融平台安全设计一般考虑以下几个方面: 合理规划网络的安全区域以及不同区域之间的访问权限,保证接 入用户和终端的合法授权许可,防止非法的访问以及恶性的攻击入侵 和破坏;建立高可靠的网络平台,为数据在网络中传输提供高可用的 传输通道,避免数据的丢失,并且提供相关的安全技术防止数据在传 输过程中被篡改和窃取;提供对网络平台自身的安全保护支撑,保证 网络平台能持续稳定运行。需求、风险、代价平衡分析的原则:对任一网络,绝对安全难以 达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、 性能、结构、可靠性、可维护性等),并对网络面临的威胁及可
4、能承 担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定 系统的安全策略。综合性、整体性原则:应运用系统工程的观点、方法,分析网络 的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制 度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访 问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一 个较好的安全措施往往是多种方法适当综合的应用结果。一致性原则:一致性原则主要是指网络安全问题应与整个网络的 工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络 的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及 实施计划、网络验证、验收、运行等,都要
5、有安全的内容及措施。实 际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再 考虑安全措施,不但容易,且花费也少得多。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对 人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系 统的正常运行。适应性及灵活性原则:安全措施必须能随着网络性能及安全需求 的变化而变化,要容易适应、容易修改和升级。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。 但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破 时,其它层保护仍可保护信息的安全。可评价性原则:如何预先评价一个安全设计并验证其网络的安全 性,这需要通过国家有关网络
6、信息安全测评认证机构的评估来实现。技术与管理并重原则:“三分技术,七分管理”,从技术角度出发 的安全方案设计必须有与之相适应的管理制度同步制定,并管理的角 度评估安全设计方案的可操作性。对于金融行业网络安全体系的建立,我们建议采取以上的原则, 先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从 防护检测响应的基础的安全防护体系,提高整个网络基础的 安全性,保证应用系统的安全性。按照以上原则,分别做好物理层安全、网络层安全、操作系统安 全、内容安全、应用层安全、PKI体系、安全审计、安全集中管理的 建设,并此基础上,做好信息安全管理、技术、运维、知识体系的建 设。1.1.3. 网络安全
7、总体设计1.1.3.1. 安全域划分 根据安全域划分方法,可以划分为核心计算域、内部接入域、外 联域以及管理支撑域等安全区域。有了安全区域的划分,网络就有了 明确的边界,可以进行有效防护和纵深防御。(1)核心计算域 核心计算域主要承载金融平台局的所有应用,是金融平台网络的 核心。该区域防护重点为边界防护、入侵检测、安全审计、鉴别认证。(2)内部接入域 内部接入域主要是分中心和各外部系统与总部的接入区域。该区 域主要防护重点为终端保护、边界防护、数据防护等。(3)外联接入域 外联区域为金融平台与非本平台机构相连的接口,包括第三方机 构等。该区域主要防护重点为边界隔离和入侵检测,通过这两种手段 便
8、于隔离外部威胁,同时也便于区分不同区域的安全责任。(4)运维管理域 管理支撑域部署的管理整个金融平台的网络管理、安全管理、内 部办公的核心区域,该区域防护采用边界隔离、安全审计、入侵检测、 行为控制等手段。以上为金融平台的主要安全区域划分,各个安全域内部还可以进 一步根据业务系统重要性等级进一步细化分成不同安全子域。这些域和其中的子域划分,都需要通过网络层实现,并通过网络 层进行边界防护和权限控制。1.1.3.2. 结构安全(1)安全要求要求域(边界)间通过核心交换机进行子网、网段划分和IP地址规划;要求子域间通过3层交换机进行子网、网段划分和IP地址规划;域间和重要子域间配置防火墙进行边界划
9、分,普通子域间可以通 过虚拟方式进行划分和防护;对重要业务的网络质量和带宽采用QoS方式进行保证。(2)建设要点和内容结构安全将通过增加网络交换机、防火墙,以及对网络环境的规 划和设计来实现。在计算核心域边界部署防火墙、管理支撑域边界部 署防火墙、外联接入域边界部署防火墙。各个域内部可以采用 VLAN 划分及三层交换设备的 ACL 控制来实现子域的划分。11321 边界抗DDoS设备在主用金融平台互联网出口部署抗拒绝服务攻击系统,针对分布 式拒绝服务攻击(DDoS)、P2P下载、蠕虫等异常流量进行探针式检 测和异常流量清洗。11322 边界防火墙防火墙技术是目前网络边界保护最有效也是最常见的技
10、术。采用 防火墙技术,对重要节点和网段进行边界保护,可以对所有流经防火 墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合 安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。由于互联网服务器区安全边界面临的安全风险较多,需要通过严 格执行安全策略发挥防火墙最佳功效:(1) 集中放置面向Internet服务的主机,在一个集中、受控的 环境下监控网络流量;(2) 关闭不必要的服务;(3) 严格限制进、出网络的 ICMP 流量和 UDP 流量;(4) 允许网络管理流量进局域网系统;(5) 严格制定防火墙策略,限制所有无关访问。由于面对的是外部复杂的网络环境,因此这些边界防火墙需要具
11、 备更多的深度过滤功能:能够阻止常见的蠕虫扩散,能够对P2P带宽 进行流量管理等。同时能够精细的进行设备管理,减轻管理员管理负 担。1.1.3.2.3. 边界防病毒一体化网关远程专线各接入单位的外部边界上部署UTM统一威胁管理设备,可以通过制定严格的访问策略、保证接入单位访问行为的合法性以及 金融平台与接入单位进行数据交互行为的合法性。同时对个单位进行 全方位的安全防护。采用 UTM 设备来构成本方案的核心产品既有效节约了建设资金, 又达到了更好的防护效果。可根据实际需要开启相应的功能模块,采 用UTM部署在互联网边界是一个一举两得的解决方案。各功能模块配置说明:(1)防火墙首先需要配置防火墙
12、功能。对重要节点和网段进行边界保护,可 以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有 不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止非法 攻击;可以对网络流量进行精确的控制,可以对用户进行多种认证等。(2)防病毒据ICSA(国际计算机安全协会)的统计表明,超过90%的病毒是 通过Internet传播的。而利用ASIC硬件技术进行数据包内容病毒扫 描,在性能上有了质的飞跃,可以提供近乎实时的病毒过滤性能。网 关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系 统漏洞肆意传播,大量消耗系统资源和网络带宽所造成的DoS/ DDoS (拒绝服务/分布式拒绝服务)攻击。
13、(3)入侵检测/防护网络入侵检测/防护系统(IDS/IPS)是一种实时网络入侵检测传 感器,它能对外界各种可疑的网络活动进行识别及采取行动。为通知 系统管理员有攻击行为发生,IDS将此攻击及一切可疑流量记录到攻 击日志中,并根据设置发送报警邮件UTM可以检测并阻断多种类型 攻击,例如DoS/DDoS (拒绝服务/分布式拒绝服务)攻击(包括TCP SYN flood, UDP flood 和 ICMP flood, Ping of Dea th. Tear drop 等)。通过配置网络中UTM的IDS/IPS模块,可以防止各类网络攻击 和入侵行为的发生。直接对网络入侵行为进行阻断,不给黑客以任何
14、 可乘之机UTM可以进行手动、自动的更新攻击特征库,扩充攻击特 征数量,防范最新攻击。1.1.3.3. 入侵防范(1)安全要求 要求在网络中部署入侵防范检测设备。(2)建设要点和内容通过在核心计算域、管理支撑域、外联接入域边界部署入侵检测 系统解决。其中在核心计算域部署高端入侵检测系统、管理支撑域部 署普通入侵检测系统、外联接入域边界部署普通入侵防御系统。 11331 入侵检测系统(IPS)入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够 及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。IPS 是继“防火墙”、“信息加密”等传统安全保护方法之后的新 一代安全保障技术。它监
15、视计算机系统或网络中发生的事件,并对它 们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过 安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和 分析过程,并且执行阻断的硬件产品。将 IPS 串接在防火墙后面,在防火墙进行访问控制,保证了访问 的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检 测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断 来自内部的数据攻击以及垃圾数据流的泛滥。由于 IPS 对访问进行深 度的检测,因此,IPS产品需要通过先进的硬件架构、软件架构和处 理引擎对处理能力进行充分保证。11332 入侵防御系统(IDS)IDS 作为旁
16、路的检测设备,可以在旁路检测网络中的威胁行为, 用以满足在网络在面临海量攻击事件情况下的威胁检测与呈现需求。 通过对事件的智能分析,帮助管理员找到真正具有威胁能力的事件, 这大大降低了运维工作量,使威胁处理成为可能。11333 访问控制(1)安全要求域和子域间通过路由策略、访问控制、安全访问路径设计等进行访问防护 进行端口级别的协议种类和端口控制和过滤 核心区域必须部署内容过滤产品 建立用户级的帐户控制(2)建设要点和内容结构安全将主要通过对现有网络环境的规划和设计来实现,通过 在边界控制设备的访问控制策略进行网络访问控制。用户级的帐户控 制通过集中身份认证系统及CA数字证书实现,确保各类网络设备管 理帐户的安全。
