創(chuàng)載科技
18+年IT解決方案服務(wù)商
需求提交
請(qǐng)您填寫下列信息,并點(diǎn)擊提交按鈕,耐心等待專家代表的電話回訪!
400-888-4911創(chuàng)載推薦 | 綠盟科技數(shù)據(jù)交換安全解決方案
發(fā)布時(shí)間:2022-06-29
一、方案背景
專用網(wǎng)絡(luò)與外部網(wǎng)絡(luò)存在大量數(shù)據(jù)交換需求,如社會(huì)公共資源監(jiān)控視頻需要通過視頻專網(wǎng)單向傳輸至內(nèi)部專用網(wǎng)絡(luò),卡口抓拍圖片需要上傳至內(nèi)部專用網(wǎng)絡(luò),酒店住客登記信息需要上傳至內(nèi)部專用網(wǎng)絡(luò),其他部門與內(nèi)部專用網(wǎng)絡(luò)存在的信息交互等。
二、設(shè)計(jì)原則
國務(wù)院印發(fā)《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》(以下簡稱《指導(dǎo)意見》),就主動(dòng)順應(yīng)經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型趨勢,充分釋放數(shù)字化發(fā)展紅利,全面開創(chuàng)數(shù)字政府建設(shè)新局面作出部署。
本次建設(shè)嚴(yán)格按照信息化發(fā)展要求,在產(chǎn)品設(shè)計(jì)方面充分考慮與其他系統(tǒng)接口互聯(lián),設(shè)備兼容等問題,做到標(biāo)準(zhǔn)化。網(wǎng)絡(luò)安全設(shè)備協(xié)議采用符合ISO及其他國際標(biāo)準(zhǔn)化組織,如IEEE、ITU-T、ANSI等指定的協(xié)議,充分考慮到與軟硬件設(shè)備兼容,在網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)協(xié)議等方面均以良好的開放性為原則。本方案中,視頻專網(wǎng)信息系統(tǒng)安全等級(jí)保護(hù)按照等保2.0所規(guī)定的信息系統(tǒng)安全等級(jí)第三級(jí)系統(tǒng)安全保護(hù)技術(shù)要求設(shè)計(jì),同時(shí)滿足最新相關(guān)技術(shù)標(biāo)準(zhǔn)。
三、安全防御難點(diǎn)
1、視頻監(jiān)控業(yè)務(wù)及安全防御難點(diǎn)
傳輸內(nèi)容安全過濾困難。視頻應(yīng)用區(qū)別于WEB、數(shù)據(jù)庫等其他應(yīng)用的主要特點(diǎn)在于其傳輸?shù)膬?nèi)容為二進(jìn)制圖像數(shù)據(jù)流,因此,如何有效防止違法的病毒、木馬數(shù)據(jù)嵌入視頻應(yīng)用中傳輸成為必須解決的問題。
防止內(nèi)網(wǎng)泄露機(jī)密信息困難。由于視頻監(jiān)控的訪問具有雙向性,即部分用戶內(nèi)網(wǎng)視頻監(jiān)控需要對(duì)外向其他有關(guān)單位提供,用戶內(nèi)網(wǎng)也需要訪問大量一、二、三類視頻監(jiān)控資源,如何有效防止木馬程序利用視頻通道泄露用戶內(nèi)網(wǎng)機(jī)密數(shù)據(jù)也必須加以可靠解決。
2、數(shù)據(jù)交換業(yè)務(wù)及安全防御難點(diǎn)
當(dāng)前國內(nèi)外信息安全事件與日俱增,攻擊手段層出不窮,泄密途徑防不勝防,尤其是互聯(lián)網(wǎng)已成為黑客攻擊、信息泄密的重災(zāi)區(qū)和病毒蔓延的溫床,對(duì)相關(guān)部門、企事業(yè)單位而言,不僅需要通過互聯(lián)網(wǎng)對(duì)外為用戶提供服務(wù),而且還需要防范黑客攻擊滲入內(nèi)網(wǎng)信息系統(tǒng),造成數(shù)據(jù)丟失、信息泄露等重大損失。
四、需求分析
1、安全需求
視頻專網(wǎng)與內(nèi)部專網(wǎng)進(jìn)行視頻和數(shù)據(jù)交互,在安全上存在各類風(fēng)險(xiǎn),涉及接入終端、邊界保護(hù)、應(yīng)用保護(hù)、安全隔離、監(jiān)控審計(jì)等方面。
終端準(zhǔn)入
視頻專網(wǎng)接入終端種類多、分布廣,無法確定接入終端的合法性。需要采取MAC/IP綁定、硬件特征碼、設(shè)備證書等方面進(jìn)行設(shè)備認(rèn)證;需要對(duì)接入用戶采用高強(qiáng)度身份認(rèn)證方式;需要對(duì)接入終端傳輸?shù)臄?shù)據(jù)格式和內(nèi)容進(jìn)行合規(guī)性檢測,對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性與完整性保護(hù)。
邊界保護(hù)
網(wǎng)絡(luò)結(jié)構(gòu)安全:網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要,因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性,對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行合理劃分。
訪問控制:對(duì)于各類邊界最基本的安全需求就是訪問控制,對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制,阻止非授權(quán)及越權(quán)訪問。采取基于白名單的細(xì)粒度訪問策略,按照安全策略規(guī)定的白名單格式授權(quán),其余應(yīng)明確禁止。
入侵防范:通過安全措施,要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,能防范對(duì)應(yīng)用服務(wù)區(qū)WEB服務(wù)的腳本攻擊、SQL注入攻擊、網(wǎng)站掛馬等,實(shí)現(xiàn)對(duì)核心信息資產(chǎn)的防護(hù)。
應(yīng)用保護(hù)
對(duì)于服務(wù)器主機(jī)需要實(shí)現(xiàn)身份鑒別、訪問控制、惡意代碼防護(hù)等措施。
主機(jī)身份鑒別:對(duì)于主機(jī)用戶需采取數(shù)字證書認(rèn)證和安全的用戶鑒別協(xié)議。
主機(jī)訪問控制:對(duì)于主機(jī)服務(wù)器需監(jiān)控CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。
主機(jī)審計(jì):對(duì)系統(tǒng)管理員賬號(hào)和系統(tǒng)操作命令使用情況等進(jìn)行審計(jì),包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等。
對(duì)于應(yīng)用系統(tǒng)需要實(shí)現(xiàn)身份鑒別、數(shù)據(jù)安全、安全接口等措施。
應(yīng)用身份鑒別:需采取動(dòng)態(tài)驗(yàn)證碼或數(shù)字證書等身份鑒別方式。
應(yīng)用數(shù)據(jù)安全:需保證數(shù)據(jù)完整性、機(jī)密性,對(duì)于重要數(shù)據(jù)采取備份和恢復(fù)機(jī)制。
安全隔離
視頻專網(wǎng)與內(nèi)部專網(wǎng)之間禁止進(jìn)行任何協(xié)議的直接交互,必須采用數(shù)據(jù)落地,擺渡方式實(shí)現(xiàn)數(shù)據(jù)的交互,保證視頻專網(wǎng)與內(nèi)部專網(wǎng)的物理隔離。需實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)格式檢查、內(nèi)容過濾、數(shù)據(jù)完整性效驗(yàn),并對(duì)專網(wǎng)、互聯(lián)網(wǎng)主機(jī)進(jìn)行身份驗(yàn)證。
監(jiān)控審計(jì)
由于用戶計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊,一旦某些安全意識(shí)薄弱的管理用戶誤操作,將給信息系統(tǒng)帶來致命的破壞,沒有相應(yīng)的審計(jì)記錄將給事后追查帶來困難。
在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制,對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析,可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng),并可通過集中監(jiān)控審計(jì)系統(tǒng)統(tǒng)一管理。
擴(kuò)展需求
安全邊界接入是一個(gè)復(fù)雜的系統(tǒng)工程,其接入業(yè)務(wù)是個(gè)逐步接入的過程。因此,安全邊界接入方案需具備可擴(kuò)展性,主要需滿足性能、功能、業(yè)務(wù)數(shù)、應(yīng)用種類等各方面的擴(kuò)展和延伸。
五、方案設(shè)計(jì)
1、方案總體部署
結(jié)合內(nèi)部專用網(wǎng)絡(luò)邊緣安全風(fēng)險(xiǎn)與安全需求,按照相關(guān)規(guī)定要求,以及某市實(shí)際業(yè)務(wù)交換性能需求,綠盟科技推出數(shù)據(jù)交換安全解決方案。
視頻專網(wǎng)與內(nèi)部專網(wǎng)數(shù)據(jù)接入鏈路。外部接入鏈路主要包括專線、撥號(hào)兩類。接入平臺(tái)由路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)和安全監(jiān)測與管理區(qū)五部分組成。內(nèi)部專用網(wǎng)絡(luò)內(nèi)PKI/PMI系統(tǒng)提供接入平臺(tái)相關(guān)的認(rèn)證和授權(quán)等服務(wù)。內(nèi)部專用網(wǎng)絡(luò)內(nèi)應(yīng)用信息系統(tǒng)及數(shù)據(jù)庫提供與接入平臺(tái)相關(guān)的信息服務(wù)。接入對(duì)象采用不同的外部鏈路接入方式,通過接入平臺(tái)與內(nèi)部專用網(wǎng)絡(luò)內(nèi)相關(guān)應(yīng)用系統(tǒng)及數(shù)據(jù)庫進(jìn)行信息交換。
視頻專網(wǎng)與內(nèi)部專網(wǎng)視頻接入鏈路,經(jīng)過身份認(rèn)證后的視頻接入設(shè)備,需通過專線方式接入到視頻接入鏈路。在視頻接入鏈路中,視頻控制信令和數(shù)據(jù)的會(huì)話終止于應(yīng)用服務(wù)區(qū)。在應(yīng)用服務(wù)區(qū),前置視頻服務(wù)器對(duì)接入對(duì)象進(jìn)行設(shè)備認(rèn)證,并對(duì)視頻信令格式進(jìn)行檢查及內(nèi)容過濾,只允許合法的協(xié)議和數(shù)據(jù)通過。在安全隔離區(qū),安全隔離設(shè)備將視頻控制信令和數(shù)據(jù)進(jìn)行分別處理和傳輸,其中視頻數(shù)據(jù)為單向傳輸,視頻控制信令為雙向傳輸。后置視頻服務(wù)器對(duì)內(nèi)部專用網(wǎng)絡(luò)上使用視頻資源的用戶進(jìn)行統(tǒng)一注冊(cè)、身份認(rèn)證及權(quán)限管理,僅允許認(rèn)證通過的用戶訪問已授權(quán)的視頻資源。
2、安全措施
接入鏈路安全防護(hù)措施分為:邊界保護(hù)、應(yīng)用保護(hù)、安全隔離和集中監(jiān)控與管理四個(gè)方面。
邊界保護(hù)
邊界保護(hù)提供網(wǎng)絡(luò)訪問控制、入侵防范、安全審計(jì)、服務(wù)器加固和其他安全措施等。
訪問控制:通過防火墻安全策略配置,實(shí)現(xiàn)基于白名單的細(xì)粒度訪問控制;通過防火墻NAT策略實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的隱藏。
入侵防范:通過防火墻和IPS提供應(yīng)用協(xié)議分析、異常行為管理、入侵防御等功能,提供對(duì)應(yīng)用有效檢測、防護(hù)和防攻擊。
可信邊界網(wǎng)關(guān):開啟訪問控制或設(shè)備認(rèn)證,統(tǒng)一策略下發(fā)中限定需訪問的目的IP及端口,控制用戶可訪問的資源,防止外部人員冒用賬號(hào)進(jìn)行攻擊。
抗DDoS攻擊:配備抗DDoS設(shè)備,有效防護(hù)來自互聯(lián)網(wǎng)端的DDoS攻擊
安全審計(jì):實(shí)現(xiàn)日志審計(jì),將日志信息報(bào)送到集中監(jiān)控與管理系統(tǒng)。
服務(wù)器加固:通過服務(wù)器加固增強(qiáng)服務(wù)器安全,能及時(shí)發(fā)現(xiàn)和阻斷應(yīng)用服務(wù)器未通過邊界保護(hù)區(qū)直接連接外網(wǎng)的情況。
其他安全措施:在核心交換機(jī)劃分不同的VLAN,將應(yīng)用服務(wù)、安全服務(wù)、安全管理等功能模塊分域控制,域間增加ACL控制策略;啟用HTTPS服務(wù),實(shí)現(xiàn)應(yīng)用傳輸加密。
應(yīng)用保護(hù)
按照等保三級(jí)的要求,對(duì)應(yīng)用服務(wù)器主機(jī)實(shí)施身份鑒別、訪問控制、惡意代碼防護(hù)等措施并將主機(jī)審計(jì)日志報(bào)送到集中監(jiān)控與管理系統(tǒng)。
應(yīng)用架構(gòu):根據(jù)應(yīng)用部署情況可劃分為展現(xiàn)層、應(yīng)用服務(wù)層、數(shù)據(jù)層等,通過交換機(jī)ACL策略控制相互間的訪問權(quán)限。
身份鑒別:采用兩種或兩種以上的身份鑒別措施實(shí)施身份鑒別;對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。
授權(quán)管理:通過可信邊界網(wǎng)關(guān),對(duì)訪問的客戶端進(jìn)行數(shù)字證書認(rèn)證,并授權(quán)訪問可控資源,對(duì)訪問的數(shù)據(jù)進(jìn)行加密傳輸。
安全接口:視頻專網(wǎng)與內(nèi)部專網(wǎng)之間進(jìn)行數(shù)據(jù)傳輸須通過安全隔離區(qū)接入鏈路完成,其實(shí)現(xiàn)如下功能:
對(duì)傳輸數(shù)據(jù)進(jìn)行內(nèi)容過濾,根據(jù)用戶定義的內(nèi)容白名單對(duì)傳輸數(shù)據(jù)內(nèi)容進(jìn)行過濾,對(duì)不符合策略的數(shù)據(jù)阻斷并報(bào)警。
對(duì)數(shù)據(jù)進(jìn)行格式檢查,根據(jù)用戶定義的格式白名單對(duì)傳輸文件格式進(jìn)行檢查,對(duì)不符合策略的文件阻斷并報(bào)警。
對(duì)傳輸服務(wù)器進(jìn)行認(rèn)證,提供認(rèn)證,訪問控制以及數(shù)據(jù)完整性保護(hù)。
安全審計(jì),對(duì)傳輸業(yè)務(wù)進(jìn)行審計(jì),報(bào)送業(yè)務(wù)日志。
視頻專網(wǎng)與內(nèi)部專網(wǎng)之間結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)采用同步方式,安全檢查后再進(jìn)行傳輸,視頻數(shù)據(jù)通過視頻協(xié)議分析、剝離和重組后進(jìn)行傳輸;內(nèi)部專網(wǎng)與視頻專網(wǎng)之間采用數(shù)據(jù)接入鏈路和視頻接入鏈路實(shí)現(xiàn)網(wǎng)絡(luò)隔離,互聯(lián)網(wǎng)與視頻專網(wǎng)之間采用視頻接入鏈路和單向接入鏈路實(shí)現(xiàn)網(wǎng)絡(luò)隔離。
集中監(jiān)控與管理審計(jì)
通過在視頻專網(wǎng)部署的探針及內(nèi)部專網(wǎng)部署的集中監(jiān)控與管理平臺(tái),提供設(shè)備運(yùn)行狀態(tài)、數(shù)據(jù)傳輸日志和級(jí)聯(lián)監(jiān)控等功能,通過在視頻專網(wǎng)部署的集中監(jiān)控與管理平臺(tái)及互聯(lián)網(wǎng)部署探針,提供設(shè)備運(yùn)行狀態(tài)監(jiān)測、數(shù)據(jù)傳輸日志等功能。
集中監(jiān)控與管理系統(tǒng)分為探針、集中監(jiān)控系統(tǒng)。實(shí)現(xiàn)對(duì)整個(gè)安全邊界接入鏈路整體運(yùn)行情況展現(xiàn),所有設(shè)備的運(yùn)行狀態(tài)展示,并對(duì)故障點(diǎn)和性能瓶頸點(diǎn)進(jìn)行報(bào)警,并通過短信/郵件等方式通知相關(guān)管理員。
上一篇:無
公司新聞
行業(yè)動(dòng)態(tài)
填寫您的信息獲取IT方案
