您的位置:360文档中心› 云平台安全等级保护建设项目安全技术方案详细设计

云平台安全等级保护建设项目安全技术方案详细设计

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

云平台安全等级保护建设项目安全技术方案详细设计天融信在本项目的整改方案设计中,针对XX的三级等级保护整改建设,依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面:

1.1.1信息安全拓扑设计

1.1.1.1 互联网接入区安全设计

互联网接入区作为云平台发布门户网站,用户接入,以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域,是XX的对外唯一通路。担负着重要的边界防护使命。➢本期方案计划部署如下安全产品:

●抗DDoS系统:部署两台千兆级别的抗DDoS系统,以

A/S模式,透明方式部署;对入站方向的DDoS攻击流

量进行清洗,保护内网直接对外服务的网站。

●防病毒过滤网关:部署两台千兆级别的防病毒过滤网

关,以A/S模式,透明方式部署;对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗,主要保护内网中直接对外提供服务的网站,邮件系统,以及各办公终端。

●入侵防御系统:部署两台千兆级别的入侵防御系统,

以A/S模式,透明方式部署;对入站方向的数据包进行包还原,检测攻击行为,攻击特征,若发现攻击行为则进行阻断。

●接入防火墙:利用现有Cisco ASA5555防火墙,以A/S

模式,路由方式部署;负责入站方向IP包的访问控制,对DMZ区的WEB网站进行端口访问控制;另外开启VPN 功能,对接下属机构数据中心,进行虚拟专网连接,同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障,与内网各重要边界防火墙异构。

1.1.1.2 DMZ区安全设计

A/S

DMZ区承载XX的对外服务网站,担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护,网页防篡改等。

➢本期方案计划部署如下安全产品:

●WEB应用防火墙:部署两台千兆级别的WEB应用防火

墙,以A/S模式,反向代理方式部署;对WEB访问流

量进行针对性防护。

●网页防篡改系统:部署一套网页防篡改软件系统(需

安装在一台服务器中),通过文件驱动级监控+触发器

的方式,监控所有对WEB实体服务器中网页内容的修

改行为,只有来自WEB发布服务器的修改行为会被放

行,其他一切修改行为将被阻断。

1.1.1.3 核心交换区安全设计

网络审计系统入侵检测系统

核心交换区主要由两台高性能核心交换机组成,作为整个内网的核心,负责所有内网区域间流量的交换转发。在此区域主要部署审计类安全产品,对网络中的流量进行行为审计和入侵检测。

➢本期方案计划部署如下安全产品:

●网络审计系统:部署一台万兆级别的网络审计系统,

以旁路方式,对接两台核心交换机的镜像端口;核心

交换机需将其他安全域的流量镜像至网络审计系统,

供网络审计系统审计记录;审计记录可通过报表展示给用户,并可发送至安全管理平台,进行综合的安全态势分析和展示。

入侵检测系统:部署一台万兆级别的入侵检测系统,以旁路方式,对接两台核心交换机的镜像端口;核心交换机需将其它安全域的流量镜像至入侵检测系统,供入侵检测系统进行入侵行为检测;审计记录可通过报表展示给用户,并可发送至安全管理平台,进行综合的安全态势分析和展示。

1.1.1.4 测试开发区安全设计

汇聚交换机

V7000U 测试开发区是对自研应用系统和新上线设备进行测试的区域,其中还包含重要的开发文档,对该区域的安全设计主要体现在边界访问控制(需筛选可建立连接的条件)。

➢ 本期方案计划部署如下安全产品:

● 测试开发区边界防火墙:部署两台千兆级别的防火墙系统,以A/S 模式,透明方式部署;筛选可以建立的连接(规定内网中哪些IP 地址可以访问本区域,规定区域内的应用系统端口开放策略),通过策略完成访问控制。

1.1.1.5 安全管理运维区安全设计

终端安全漏洞扫防病毒系统堡垒机云平台管计系统理平台文档安认证中心

安全管理运维区是整个XX 内网负责安全管理、安全运维和与之相关的用户管理、云平台管理、备份管理等各个组件的

集合区域。是维系云平台正常运转,制定各类安全策略的核心区域。

➢本期方案计划部署如下安全产品:

●安全管理运维区边界防火墙:部署两台千兆级别的防

火墙系统,以A/S模式,透明方式部署;筛选可以建

立的连接(规定内网中哪些IP地址可以访问本区域,

规定区域内的应用系统端口开放策略),通过策略完成

访问控制。

●日志审计系统:需新购置一台服务器级存储,安装日

志审计软件,收集数据中心内其他各类IT组件的日

志,并集中存储;另应提供备份存储空间,通过备份

服务器将日志进行备份。

●安全管理平台:需提供一台服务器,安装安全管理平

台软件系统(内置数据库),收集所有审计类安全设备

的事件信息,并结合日志审计系统的日志信息,作统

一事件关联分析,以及对内网各类资产进行风险评估。

最终以图形化界面,展示全网安全态势。

相关文档
最新文档