一、 物理环境安全设计
机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。 1.1.
物理位置的选择
在机房位置选择上,应选择的场地具有防震、防风和防雨等能力建筑内,同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果,确保机房的选择合理合规。在UPS电池按放的位置选择要考虑到楼板的承重等因素。 1.2.
物理访问控制
对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围,同时在机房的各出入口出配置配置电子门禁系统和视频监控系统,通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。 1.3.
防盗窃和防破坏
在防盗窃和防破坏方面,对设备或主要部件进行固定,并设置明显的不易除去的标记。在强弱电铺设方面尽量进行隐蔽布设。为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。 1.4.
防雷击
严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。同时在配电方面设置相应的防雷保安器或过压保护装置等。
1.5. 防火
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定,同时设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 1.6.
防水和防潮
在机房建设阶段,对机房窗户、屋顶和墙壁进行处理,防止液体渗透。按照新风系统防止机房内水蒸气结露。在机房内部按照水浸传感器,实时对机房进行防水检测和报警。 1.7.
防静电
在地板方面,应安装防静电地板并采用必要的接地防静电措施,在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避免静电引起设备故障和事故。 1.8.
温湿度控制
由于机房运行的设备属于精密电子产品,其本身对周围的环境要求较高,同时设备在运行是会产生大量热量,如不能及时将调节温湿度,设备会很容易出现故障进而引发系统瘫痪降低系统的可靠性。因此需要在机房按照专业的精密空调,能够根据机房环境自我调节设置温、湿,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9.
电力供应
在电力供应方面,在配电进口处配置稳压器和过电压防护设备保证电力供应的稳定。根据系统的重要程度提供必要的后备电源以备短时情况下为核心系统继续提供电力保证。设置冗余或并行的电力电缆线路为计算机系统供电,建立备用供电系统。同时在电力设计时应考虑未来几年的机房发展预留部分电力容量保证后期的发展需求。
1.10. 电磁防护
对保密等特殊的关键系统,机房在建设时应考虑到线缆的相互干扰、自身的屏蔽以及机房电磁屏蔽等要求,符合特殊系统对电磁屏蔽的要求。 二、 2.1.
通信网络安全设计 网络架构
网络结构的安全是网络安全的前提和基础,单线路、单设备的结构很容易发生单点故障导致业务中断,因此对于提供关键业务服务的信息系统,应用访问路径上的任何一条通信链路、任何一台网关设备和交换设备,都应当采用可靠的冗余备份机制,以最大化保障数据访问的可用性和业务的连续性。对核心交换机、边界路由器、边界防火墙、IPS、防病毒网关以及内部重要安全域的交换机等系统,采用主主、主备等多种冗余方式,以提升网络系统的整体容错能力,防止出现单点故障。同时考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要,网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要。
其次,需要按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机。根据实际需求,部署流量管理系统,实现按照业务系统服务的重要次序来分配带宽,优先保障重要主机。
最后,合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。 2.2.
通信传输
为实现数据在网络间传输过程中的机密性、完整性保护,核心设计思想是以密码技术为核心,对于有传输需求的业务应用和管理,通过在网络边界部署VPN设备,从而在公共网络平台上构建VPN虚拟通道,将传输的数据包进行加密,保护传输数据的机密性和完整性。
通过部署VPN功能,构建VPN加密通道。利用VPN技术组建网络安全平台
的思想是:在中心节点及各个地方节点网络的出口处,部署VPN设备,并将所有的VPN设备纳入全网统一的安全管理机构的管理范围,使VPN设备按照设定的安全策略对进出网络的IP数据包进行加/解密,从而在IP层上构建起保障网络安全传输的VPN平台,为不同节点网络内计算机终端之间的连接安全和传输安全提供有力的支撑和保障。由于工作在网络层,则上层的应用系统和业务系统无需做任何更改即可实现安全通信。
采用安全保密性很强的VPN技术,利用VPN设备所具有的身份鉴别/认证、数据加/解密以及访问控制等安全保密功能,可以将广域网络中存在的密级较高敏感信息与其他信息进行安全有效地隔离。这样可以有针对性地满足网络传输的安全需求,实现信息的正确流向与安全传输,在提高网络安全风险抵抗能力的基础上实现对网络的整体逻辑屏蔽与隔离。
由于VPN技术通过在网络层对IP数据包进行相应安全处理来组建安全传输通道,故采用VPN技术组建的虚拟专用网络无须考虑底层链路传输协议,具有极强的适应性和广泛性。 三、 3.1.
区域边界安全设计 边界防护
边界防护主要内容是防止主机防非法外联以及外部主机防非法接入两个方面考虑。防止由于以上两种行动造成网络边界非法外延,边界不完整。
当前,对于防网络非法接入以及非法外联,主要通过部署终端安全管理系统实现相应功能。终端安全管理系统为了达到安全管理的目标,主要包括如下功能类:
1)桌面安全防护 2)内网资产管理 3)行为管理监控 具体功能包括:
? 限制非法外联行为,防止商业机密泄漏;实时监控各种网络连接行
为,发现并且阻断可疑上网行为,保护内网资产。 ? 网络接入控制,防止外部非授权许可的和主机接入。 ? 阻止各种内网攻击
? 防止黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻
击企图与攻击行为;对终端设备实施强制网络接入控制。 ? 提高内网资源使用效率
? 远程策略管理、资产管理与控制、防止内网资源的滥用行为,限制应
用软件的滥用(BT、P2P、即时通讯软件)。 一、防非法外联设计
非法外联作为终端防护的重要技术功能,可以有效的对内部网络环境实施管理,可以对内网外联及非内网主机的接入作监控;对主机开机上线、关机下线信息以及主机名、主机物理地址(MAC地址)改变等信息进行报警。所有事件的详细信息都自动录入数据库,可以提供包括对指定时间段范围、IP地址段范围、事件类型等条件的组合查询,方便网络管理员对安全事件的事后分析。
二、网络可信接入功能设计
能够按照指定的策略控制机器对网络的接入,保证只有认证通过的机器才能够接入网络,防止存在安全隐患或未经授权的机器接入内网,在网络接入层控制非法终端连接,支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x交换环境,采用软件控制的方式实现对终端设备的安全接入控制。根据网络环境,用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络准入认证组合。
a)应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行限制或检查; c)应能够对内部用户非授权联到外部网络的行为进行限制或检查; d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。 3.2.
访问控制
网络区域边界通常是整个网络系统中较为容易受到攻击的位置,很多来自外部的攻击都是通过边界的薄弱环节攻击到网络内部的。而安全域的边界也需要做安全防御,以保证安全域内的信息安全以及安全域内与其他安全域间的数据的受控的访问。因此网络及安全域边界需要进行着重的安全防御设计。
网络安全等级保护(等保2.0)3级建设内容设计方案
