启明星辰2010年广州亚运会项目组
摘要:启明星辰在2010年广州亚运会AGIS信息安全集成项目中所做的安全运维工作,主要包括:网络访问控制、入侵检测、业务审计、内网安全管理、网络防病毒、安全隔离六大方面。通过详细的调研、仔细的设置、周到的服务,启明星辰做到了整个赛时信息安全风险均控制在可以接受的范围之内,无重大安全事故发生。
启明星辰所进行的2010年广州亚运会AGIS系统网络安全保障建设,是在2008年奥运信息安全保障支撑经验以及对本次亚运会AGIS业务系统、等级保护、ISO17799(ISO27001)、IATF、ITIL等相关标准理解的基础上,分别对主数据中心、备份数据中心、场馆及非场馆区、AGIS与ADMIN互联等安全区域,结合各安全区域的特点、安全需求,制定了详细的安全策略,用到的网络安全设备包括:防火墙系统、入侵检测系统、业务审计系统、网闸、内网安全管理系统以及网络防病毒系统。
一、网络访问控制
网络边界保护是AGIS网络防护最基本的需求之一,特别是对重要节点和网段进行边界保护,包括数据中心、备份数据中心、重要的比赛场馆和非比赛场馆,对所有流经网络边界的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的DoS和DDoS攻击。通过合理布局,形成多级的纵深防御体系。
1. 部署
AGIS防火墙系统部署位置及方式如下:
主数据中心与核心节点间部署两台高端防火墙系统,采用路由模式并实现双机热备,保障高可靠性;
备份数据中心与主数据中心间部署防火墙系统,采用路由模式并实现双机热备,保障高可靠性;
奥体中心体育馆与奥体中心节点间部署两台高端防火墙系统,采用透明模式并实现双机热备,保障高可靠性;
国际广播中心第三方接入区域部署两台高端防火墙系统,采用透明模式并实现双机热备,保障高可靠性。
2. 策略
针对AGIS网络的安全要求,防火墙部署于数据中心、备份数据中心、奥体中心体育馆和国际广播中心等重要区域的出口,有效隔离重要区域与外部网络,并通过严格的访问控制策略,限制外部对重要区域的访问,并执行以下的安全策略:
(1) 隔离安全区域
(2) 访问控制策略
(3) 带宽控制策略
(4) 抗攻击策略
(5) 路由策略
(6) 双机部署策略
(7) 高性能策略
(8) 并发限制策略
(9) 与入侵检测联动策略
二、入侵检测
根据AGIS网络的特点,在AGIS关键节点部署入侵检测系统。入侵检测是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。
1.部署
(1)主备数据中心
对于主备数据中心两处数据流量较大的区域,分别部署两台高端天阗入侵检测系统;主备数据中心的入侵检测引擎上分别启用两个监听口,分别连接到区域核心双交换机的镜像(SPAN)口上,提供实时入侵检测和响应,重点监测AGIS用户对业务数据库和应用服务器主机的访问行为,能够实时发现恶意用户对重要的服务器系统进行的非法访问、恶意攻击及蠕虫传播等行为并及时进行报警和采取一定的响应操作。
(2)重要场馆
对于奥体中心体育馆、奥体中心游泳馆、广州体育馆、亚运城综合馆这四处对性能要求较高但流量不是特别大的区域,分别部署一台高端天阗入侵检测系统实现入侵防护。
对于国际广播中心/主新闻中心、运动员村这两处接入环境较为复杂但性能要求不高的区域,分别配置一台中端天阗入侵检测系统。
场馆区域的入侵检测引擎上启用两个监听口,分别连接到需要保护网段的主备交换机的镜像(SPAN)口上,实时检测、分析网络上的通讯数据流,尤其是对无法通过边界安全机制进行控制的内部网络通讯数据流进行监控,及时发现违规行为和异常行为并进行处理。
防火墙系统作为网络与外界通信的第一道安全屏障,网络入侵检测系统作为第二道安全屏障,这样即使外部网络的攻击能够穿透防火墙而进入局域网,也会立即被网络入侵检测系统发现并拦截,同时,通过网络入侵检测系统与防火墙系统的联动,可以动态调整防火墙上的安全策略设置,把后续的攻击拦截在防火墙之外。
2. 策略
(1) 防范网络攻击事件
(2) 网络行为检测策略
(3) 蠕虫检测策略
(4) 监控管理策略
(5) 升级策略
(6) 实时会话监控策略
(7) 实时系统监控策略
(8) 网络流量统计策略
(9) 安全联动策略
(10) 自身安全性策略
三、业务审计系统
AGIS专网的主备数据中心部署了大量的应用系统和数据库,是本次亚运会的中枢神经之一,是安全保护的重中之重,任何安全隐患都有可能在数据中心被放大到整个亚运会上,对业务应用系统及重点数据库,启明星辰部署了专业的业务审计系统以实现:
保证重要/关键服务器的安全;
保证重要/关键数据的安全;
有效控制操作风险;
进行事后追查,提供数据记录与追查方法。
1.部署
AGIS业务审计系统部署位置及方式如下:
主数据中心的业务审计系统部署在MDC核心交换机上,能够确保所有的数据库访问行为都能流经审计系统的监测点,保障审计的全面性和效果。
备份数据中心的业务审计系统部署在SDC核心交换机上,能够保障所有的数据库访问行为都能流经审计系统的监测点,保障审计的全面性和效果。
业务审计系统开启两个监听端口,分别部署到主备交换机的镜像(SPAN)口上,重点实现数据库访问行为的全面记录和审计。
2.策略
AGIS网络的多项应用是设计各应用服务器和数据库之间的调用,因此应用服务器和数据库必须对外进行开放,针对这一特点,业务审计系统应当制定以下策略:
(1) 基于角色的访问控制与审计策略
(2) 数据库审计策略
(3) 网络会话记录策略
(4) 响应策略
(5) 安全审计报告生成策略
四、内网安全管理
AGIS信息网络中存在着大量的终端,分别部署在数据中心、比赛场馆和非比赛场馆,采用天珣内网安全风险管理与审计系统作为AGIS内网安全管理系统,对所有AGIS终端进行内网安全合规管理,实现如下功能:
终端内网合规准入控制,保证只有合法和安全的终端接入内网,同时确保每个接入的终端设备不可更改和网络行为受控;
终端接入内网后,身份标示不可更改,并且访问全程受控,实现可信MAC地址管理,提高内网合规管理执行力;
通过技术手段贯彻AGIS终端信息安全规范,在保证普通USB设备可用的情况下禁用所有AGIS终端的移动存储使用权限,杜绝USB移动存储可能带来的病毒威胁;
终端自身安全加固,全面提高内网终端安全健康状况和威胁抵御能力,杜绝因病毒导致的网络阻塞。
1.部署
(1)统一安装
内网安全管理系统客户端通过PC工厂的基础镜像统一安装到接入AGIS网络的所有终端。
(2) 手动安装
对临时批准接入AGIS的终端进行内网安全管理系统客户端手工安装并进行安装状态检查,符合要求后方可接入AGIS网络。
2.策略
AGIS信息网络内终端的安全需求体现在接入可信、行为可控、自身健壮等几方面。在技术方面重点执行接入时的准入控制,另外也考虑了对终端平台的安全管理,从整体上将严格执行以下的安全策略:
(1) 基于802.1x的网络准入控制策略
(2) 可信MAC认证
(3) 进程监控策略
(4) 禁用网卡策略
(5) 移动存储管理策略
(6) 终端审计策略
五、网络防病毒
AGIS网络具有终端多、分布广的特点,大量的终端系统的分散部署和使用必然会使病毒入侵、传播的渠道大大增加,病毒防御的任务更加艰巨,以往分散的、各自为政的单一层次的防病毒产品已经难以满足网络防病毒现状的要求,只有建立起覆盖全网的、立体的、集中控制的防病毒网, 并对其实施行之有效的组织管理,才能达到防控目的。
为有效防范病毒的入侵、传播和对系统的破坏,我们引入了一套先进的防病毒产品,实现对AGIS网络信息系统全方位、多层次的整体防护,以及病毒防御系统的集中管理。
1.部署
(1) 统一安装
网络防病毒系统客户端通过PC工厂的基础镜像统一安装到接入AGIS网络的所有终端。
(2) 手动安装
对临时批准接入AGIS的终端进行防病毒软件手工安装并进行全盘扫描,符合要求后方可接入AGIS网络。
2.策略
网络防病毒系统安装在AGIS网络的所有终端上,实现本地的病毒查杀,同时利用部署在数据中心的病毒控管中心,实现病毒库的统一升级,并对各个终端的病毒查杀情况进行集中记录,具体制定以下的安全策略:
(1) 防护策略的自动配置
(2) 文件系统对象的实时保护策略
(3) 隔离可疑对象策略
(4) 专杀工具集成
(5) 采用安全通信机制
(6) 病毒库升级策略
(7) 自动更新策略
(8) 预扫描系统病毒策略
(9) 定位病毒源头病毒
六、安全隔离系统
按照本次亚组委信息技术部总体网络规划,AGIS网络是一个封闭的专网,与互联网实现物理隔离,但需要与亚运会Admin网络进行数据交互。为了满足运动会GMS系统、HELPDESK系统与亚运会Admin网络数据联通需求,使用安全性能相对更高的安全隔离网闸作为隔离设备。
部署隔离网闸隔离AGIS专网与Admin专网,可以完全拦截多种外部非法攻击行为,增加边界网络安全控制能力。通过网闸连通,进行数据的交互。
1.部署
在AGIS与Admin的数据交换区域部署两台安全网闸系统,采用双机热备,保障高可靠性。
2.策略
(1) 数据传递策略
(2) 有效安全通道策略
(3) 高可用保障策略
(4) 系统工作状态检测与报警策略
综上所述,启明星辰在赛前对AGIS专网主要资产进行了详细的调研;对主要资产进行了漏洞扫描、渗透测试及安全加固服务;对AGIS终端进行了严格的基于可信MAC地址的网络准入控制;对AGIS终端的外设包括USB、3G网卡等进行了严格的限制;在测试的前提下及时更新网络防病毒软件;对AGIS安全设备进行每天四次的巡检;增加了SOC加强对AGIS的安全事件监控。赛时发生的安全事件,均由AGIS信息安全团队根据赛前部署的安全措施、安全策略及事件处置预案进行了妥善的处理,整个赛时信息安全风险均控制在可以接受的范围之内,无重大安全事故发生。
用户评论