信息网络安全防御体系建设
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息网络安全防御体系建设
摘要:公司信息网络从建设伊始,就注意把安全规划贯穿到网络建设的始终,形成了安全可靠和功能实现相并重的网络建设特点。按照信息安全防护等级高于其它公共服务类企业的原则,将公司管理信息网分为信息内网和信息外网。通过信息网络安全防御体系的建设,在各个需要互访的区域网络边界之间,采用了多重手段,如强隔离设备、防火墙、路由器、入侵防御系统、交换机集成设备安全特性等,实现了严格而完善的安全策略,很好的在用户的需求之间和网络的安全方面取得了较好的平衡。
关键词:信息网络安全防御体系建设
公司信息网络从建设伊始,就注意把安全规划贯穿到网络建设的始终,形成了安全可靠和功能实现相并重的网络建设特点。信息网络现分为如下几个安全区域:外网区域,内网区域,特殊系统区域,子公司内网区域。其中外网和内网又分别划分为服务器群子区域和用户终端群子区域。
1 策略及实现方案
1.1 信息外网与信息内网
按照信息安全防护等级高于其它公共服务类企业的原则,将公司管理信息网分为信息内网和信息外网。信息内网部署涉及企业商业秘
密的工程业务应用,信息外网部署不涉及企业商业秘密的对外业务服务,并为公司用户提供互联网服务。信息内网PC终端不能访问internet。对外发布信息的服务器只提供对外网的服务,内部网络不能访问。信息内网服务器不能访问Internet,信息内网服务器与信息外网服务器之间允许在设置严格安全策略情况下进行互通。
信息外网选用大型交换机作为外网访问区的核心交换机。选用中型交换机作为楼层终端的接入交换机,选择中型交换机作为外网汇聚交换机。选择网络千兆防火墙作为外网出口防火墙,直接连接至因特网汇聚交换机,进入因特网。交换机之间通过链路捆绑实现互连。在大型交换机上起用VRRP热备网关协议,实现了用户上网的网关热备;在办公区选择一间房间作为集中上网区域,通过交换机连接至核心交换机处,接入互联网。信息内网防火墙连接至外网防火墙,形成双堡垒架构,在内网和外网之间通过防火墙系统实现了相当强度的逻辑隔离,对于内外服务器之间的数据交互,可以通过制定严格的访问策略进行解决,如通过IP地址,端口等限制条件严格控制,这样既保证了外网和内网的隔离,同时又很好的解决了内外服务器数据交互的问题。
1.2 外网和内网之间
外网和内网之间主要实现了如下策略:外网用户终端和内网用户终端之间完全断开,不能互访。外网用户只能访问互联网应用,内网用户只能访问内部应用。外网应用系统和内网应用系统之间的数据交换,实现基于SQL层面的互通,阻断其余协议互通。上述策略主要通过双
防火墙架构以及国网标准强隔离设备实现,同时,对于外网和内网各子区域,采用了入侵防护设备,对重点网络区域进行应用层面的保护,有效降低了黑客攻击和蠕虫病毒泛滥所造成的影响。
1.3 子公司内网和母公司内网之间
子公司内网和母公司内网之间的业务互通主要通过广域网实现,广域网主要承载涉及大型应用系统等业务。主要实现了如下安全策略:(1)默认策略为互访全部禁止。(2)母公司内网用户可以根据需要访问子公司内网相应应用系统。(3)子公司内网用户可以根据需要访问母公司内网相应应用系统。(4)母公司用户和子公司用户不能互访。
在具体的安全实现手段上,主要采取了以下措施:首先,通过采用基于MPLS VPN技术进行广域网组网,完成了各种业务横向隔离,纵向贯通。其次,在子公司内网架设出口防火墙,同时在母公司内网架设入口防火墙,通过两套防火墙的访问控制元素(如源地址、源端口、目地址、目端口,时间段)等手段,实现了可控能控目的子公司和母本部业务互访。最后,在远期在子公司局网络和母公司网络之间部署入侵防御系统,进一步提高这两个区域网络之间的安全互访水平。
1.4 数据中心网络和子公司内网及母公司内网之间
数据中心网络是大型应用系统建设而专设的安全区域网络,主要实现了如下安全策略:子公司内网用户根据需要可以访问数据中心应用服务器区域,但不能访问数据库区域,母公司用户根据需要可以访问
数据中心应用服务器区域以及个别数据库服务器区域,应用服务器区域和数据库区域严格按照IP源地址、IP目地址、源端口、目端口等实现有限互通。数据中心网络主要设计特点如下:(1)设计了独立的大型系统网络安全分区,实现了统一集中的安全防御策略。
原有临时的服务器群和母公司局域网服务器群混合在一起,而局域网服务器群和大型服务器群在制定访问策略的需求上有诸多不同,造成了相关安全策略的不一致性,为此,专门设计建设了独立为大型服务器群服务的系统网络安全分区,通过细化相关的安全策略需求,形成了统一集中的安全防御策略,大大提高了系统的安全访问级别。(2)基于网络7层概念,利用多种层面、多种安全特性的使用,实现了深度安全防御策略。防火墙实现网络层的安全保护、实现基于应用层的安全防护、交换机实现基于设备本身的集成安全特性。该三重安全防护手段能够实现网络1~7层的全面防护。在数据中心,采用硬件防火墙实现基于网络层的安全保护、入侵防护系统实现基于应用层的安全保护、高端交换机实现基于设备本身的集成安全特性。该三重安全防护手段实现了完整的网络1~7层的全面防护,实现了深度安全防御策略。(3)基于三层软件设计架构,实现了应用层和数据库层分区设计的安全防御策略。现有大型软件系统多为B/S架构,基于这种设计架构,以及数据是企业生命的理念,对相关系统进行了应用服务器群和数据库服务器群的划分,在应用服务器群和数据库服务器群前段分别配置防火墙和交换机,数据库服务器群只能从应用服务器群发起访问,而应用服务器群可从网络其他地方访问,通过这种手段,大大强化了数据库
服务器群的安全性。
2 结论
通过信息网络安全防御体系的建设,在各个需要互访的区域网络边界之间,采用了多重手段,如强隔离设备、防火墙、路由器、入侵防御系统、交换机集成设备安全特性等,实现了严格而完善的安全策略,很好的在用户的需求之间和网络的安全方面取得了较好的平衡。