为保证信息系统的安全,系统按照三级防护要求进行安全建设。通过划分和设计系统安全区域,并在关键区域建立冗余,确保关键任务系统的可用性和连续性。我们建议通过以下方式构建您的网络架构:
在构建网络架构时,我们会仔细考虑信息系统开发和后续建设的需求,在采购设备和构建/划分安全域时,我们会考虑产品功能和其他后续开发和建设需要做好准备。产品接口和规范应为未来的构建提供预留的VLAN,以提供安全隔离。
2.3. 区域边界准入控制设计
区域边界的访问控制保护可以通过在每个区域边界区域的交换机上配置ACL列表来实现,但这种方法维护和管理不太方便,并且对访问控制粒度的控制效果较差。为了便于管理、维护和安全,可以通过在关键网络区域边界部署专门的访问控制设备(如防火墙产品)来实现区域边界的访问控制。访问控制措施必须满足以下功能要求:
网络结构要求在各个区域的边界进行访问控制。对于关键区域,应设置防火墙,在网络区域边界提供端口级访问控制。另外,还需要交换机上进行VLAN划分和ACL。访问控制是通过访问控制和其他功能来实现的。
通过引入防火墙设备,利用其虚拟防火墙功能,实现不同区域之间的安全隔离和访问控制。同时,数据中心内部区域与网络互连区域之间引入防火墙。主要实现以下安全功能。
1)实现垂直专网和业务网络之间的双向访问控制。
2)对核心网、应用服务区、数据交换区之间实施端口级访问控制,关闭不必要的端口。
3)对应用层协议实现命令级访问控制。
4)实现长链路管理和控制。
2.4. 设计网络安全审计
设计安全审计时,对网络层的网络设备运行状态、网络流量、用户行为等进行审计。审计系统必须具备以下功能:
根据网络特点和业务重要性,我们建议部署相关的网络安全审计设备。
网络安全审计包括网络行为审计、数据库审计、日志审计、运维审计等。
网络行为审计:主要在核心业务区域的交换机旁路部署两台网络审计设备。这使您可以审核常见网络协议的内容和行为,主要是TCP 五元组、应用程序协议识别结果和IP 地址可追溯性结果。可以根据用户审计级别进行配置,实现不同协议的不同粒度的审计需求。基于此功能,您可以通过流量分析、信息分析、对当前网络流量情况进行统计分析,来分析应用在网络中的分布情况以及网络带宽的使用情况。
数据库审计:对数据库操作过程中的变化进行审计,可以审计并实际执行数据库的增、删、改、查等所有操作。 -time可以提供查询统计功能。 SQL语句分析、SQL语句中的计算类型、计算字段、计算表名分析等。通过对浏览器和Web 服务器之间、Web 服务器和数据库服务器之间生成的HTTP 和SQL 事件进行业务关联分析,管理员可以快速轻松地确定哪些HTTP 访问触发了特定的数据库访问,轻松查询、识别和跟踪真实访问者。这会将访问Web 的资源帐户与相关数据库操作相关联。包括访问者的用户名、源IP地址、SQL语句、业务用户的IP、业务用户的主机等信息。根据分析的SQL,对用户数据库服务器进行安全判断和攻击检测。
日志审计:为了全面收集各种网络设备、安全设备、主机和应用系统的日志,并对收集到的各种格式的日志进行解析和规范化,提供给核心业务领域的流程,需要在交换机上部署两台日志审计设备。旁路。用于分析和存储的后续模块,以支持事后审计、责任确定和证据收集。帮助实现网络日志和信息的有效管理和全面审核。
运维审计:为了实现数据中心所有设备的一体化运维和集中管理,应在核心业务区交换机旁路部署两台运维审计设备(总线机)。运维审计功能记录所有运维会话,确保有足够的审计数据,方便后续查询和追溯,杜绝非授权使用、权限滥用,解决“权限盗用”。数据中心运营和维护流程以及其他安全威胁;
2.5. 边界一致性设计
在地区边境部署检测装置,及时发现非法侵入和入侵行为,完成地区边境完整性保护。发现需要以下功能:
具体技术实现如下。
1)在外围防火墙上实施基于业务的端口级访问控制,严格限制访问IP和外部IP,防止网络层的非法外部和内联连接。
2)我们将加强服务器安全,防止因服务器设备本身的安全而破坏后方边界的完整性。
2.6. 入侵检测和防御设计
在网络区域的外围部署入侵防御设备来监控或阻止网络攻击,入侵防御功能可以生成及时的警报和详细的报告。
通过在网络中实施入侵防御系统,您可以有效地实施以下防御方法:
1)满足关键网络边界的攻击行为监控需求,在端口扫描、暴力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等层面满足您的需求。监控要求。保护。
2)实现网络中攻击行为的高效记录。当检测到攻击时,记录攻击源IP、攻击类型、攻击目的、攻击时间,发生严重入侵事件时发出警报。
3)实现网络中重要信息的防护功能,根据防护要求级别记录重要服务器的入侵行为,记录入侵源IP、攻击类型、攻击目的。它会记录攻击时间,并在发生重大入侵时向您发出警报。
2.7. 网络外围的恶意代码预防设计
区域边界恶意代码对抗装置必须具备以下功能:
部署防病毒网关系统可以有效防止恶意代码在网络外围的渗透。网关防病毒系统提供业务系统外围的网络攻击和入侵检测与控制,能够有效识别和控制恶意代码。
2.8. 基础网络设备的预防性设计
基础网络设备安全设计主要要求在交换机等设备中实现以下功能:
1) 对远程登录用户启用IP地址验证,允许用户仅从特定的IP设备远程登录并操作交换机。
2)启用用户密码切换加密功能,保证本地存储的用户密码加密存储,防止用户密码泄露。
3)使用SNMP进行网管的交换机必须使用SNMP V2或更高版本,并启用MD5等验证功能。
4) 每次配置操作完成或暂时离开配置终端时,必须关闭系统。
5) 设置控制端口和远程登录端口的空闲时间,使控制端口或远程登录端口空闲一定时间后自动断开。
6) 正常情况下,交换机的Web配置服务应根据需要临时打开,配置完成后立即关闭。
7)对于接入层交换机,应采用VLAN技术进行安全隔离控制,并根据业务需要将交换机端口划分为不同的VLAN。
8) 在接入层交换机上,不需要用于三层互通的端口必须配置为属于相应的VLAN。如有必要,您可以将所有未使用的空闲交换机端口设置为“”,以防止交换机端口变为空闲状态。非法使用。
原标题:简述网络信息安全设计与防护策略研究
网络安全学习,我们一起交流
以上#网络安全规划关键内容/网络安全规划关键内容信息来源于互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93987.html
