綠盟科技數據交換安全解決方案
一、方案背景
專用網絡與外部網絡存在大量數據交換需求,如社會公共資源監控視頻需要通過視頻專網單向傳輸至內部專用網絡,卡口抓拍圖片需要上傳至內部專用網絡,酒店住客登記信息需要上傳至內部專用網絡,其他部門與內部專用網絡存在的信息交互等。
二、設計原則
國務院印發《關于加強數字政府建設的指導意見》(以下簡稱《指導意見》),就主動順應經濟社會數字化轉型趨勢,充分釋放數字化發展紅利,全面開創數字政府建設新局面作出部署。
本次建設嚴格按照信息化發展要求,在產品設計方面充分考慮與其他系統接口互聯,設備兼容等問題,做到標準化。網絡安全設備協議采用符合ISO及其他國際標準化組織,如IEEE、ITU-T、ANSI等指定的協議,充分考慮到與軟硬件設備兼容,在網絡構架、網絡產品和網絡協議等方面均以良好的開放性為原則。本方案中,視頻專網信息系統安全等級保護按照等保2.0所規定的信息系統安全等級第三級系統安全保護技術要求設計,同時滿足最新相關技術標準。
三、安全防御難點
1、視頻監控業務及安全防御難點
傳輸內容安全過濾困難。視頻應用區別于WEB、數據庫等其他應用的主要特點在于其傳輸的內容為二進制圖像數據流,因此,如何有效防止違法的病毒、木馬數據嵌入視頻應用中傳輸成為必須解決的問題。
防止內網泄露機密信息困難。由于視頻監控的訪問具有雙向性,即部分用戶內網視頻監控需要對外向其他有關單位提供,用戶內網也需要訪問大量一、二、三類視頻監控資源,如何有效防止木馬程序利用視頻通道泄露用戶內網機密數據也必須加以可靠解決。
2、數據交換業務及安全防御難點
當前國內外信息安全事件與日俱增,攻擊手段層出不窮,泄密途徑防不勝防,尤其是互聯網已成為黑客攻擊、信息泄密的重災區和病毒蔓延的溫床,對相關部門、企事業單位而言,不僅需要通過互聯網對外為用戶提供服務,而且還需要防范黑客攻擊滲入內網信息系統,造成數據丟失、信息泄露等重大損失。
四、需求分析
1、安全需求
視頻專網與內部專網進行視頻和數據交互,在安全上存在各類風險,涉及接入終端、邊界保護、應用保護、安全隔離、監控審計等方面。
終端準入
視頻專網接入終端種類多、分布廣,無法確定接入終端的合法性。需要采取MAC/IP綁定、硬件特征碼、設備證書等方面進行設備認證;需要對接入用戶采用高強度身份認證方式;需要對接入終端傳輸的數據格式和內容進行合規性檢測,對傳輸數據進行機密性與完整性保護。
邊界保護
網絡結構安全:網絡結構是否合理直接影響著是否能夠有效的承載業務需要,因此網絡結構需要具備一定的冗余性,對網絡區域進行合理劃分。
訪問控制:對于各類邊界最基本的安全需求就是訪問控制,對進出安全區域邊界的數據信息進行控制,阻止非授權及越權訪問。采取基于白名單的細粒度訪問策略,按照安全策略規定的白名單格式授權,其余應明確禁止。
入侵防范:通過安全措施,要實現主動阻斷針對信息系統的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,能防范對應用服務區WEB服務的腳本攻擊、SQL注入攻擊、網站掛馬等,實現對核心信息資產的防護。
應用保護
對于服務器主機需要實現身份鑒別、訪問控制、惡意代碼防護等措施。
主機身份鑒別:對于主機用戶需采取數字證書認證和安全的用戶鑒別協議。
主機訪問控制:對于主機服務器需監控CPU、硬盤、內存、網絡等資源的使用情況。
主機審計:對系統管理員賬號和系統操作命令使用情況等進行審計,包括事件的日期、時間、類型、主體標識、客體標識和結果等。
對于應用系統需要實現身份鑒別、數據安全、安全接口等措施。
應用身份鑒別:需采取動態驗證碼或數字證書等身份鑒別方式。
應用數據安全:需保證數據完整性、機密性,對于重要數據采取備份和恢復機制。
安全隔離
視頻專網與內部專網之間禁止進行任何協議的直接交互,必須采用數據落地,擺渡方式實現數據的交互,保證視頻專網與內部專網的物理隔離。需實現對傳輸數據格式檢查、內容過濾、數據完整性效驗,并對專網、互聯網主機進行身份驗證。
監控審計
由于用戶計算機相關的知識水平參差不齊,一旦某些安全意識薄弱的管理用戶誤操作,將給信息系統帶來致命的破壞,沒有相應的審計記錄將給事后追查帶來困難。
在安全區域邊界需要建立必要的審計機制,對進出邊界的各類網絡行為進行記錄與審計分析,可以和主機審計、應用審計以及網絡審計形成多層次的審計系統,并可通過集中監控審計系統統一管理。
擴展需求
安全邊界接入是一個復雜的系統工程,其接入業務是個逐步接入的過程。因此,安全邊界接入方案需具備可擴展性,主要需滿足性能、功能、業務數、應用種類等各方面的擴展和延伸。
五、方案設計
1、方案總體部署
結合內部專用網絡邊緣安全風險與安全需求,按照相關規定要求,以及某市實際業務交換性能需求,綠盟科技推出數據交換安全解決方案。
視頻專網與內部專網數據接入鏈路。外部接入鏈路主要包括專線、撥號兩類。接入平臺由路由接入區、邊界保護區、應用服務區、安全隔離區和安全監測與管理區五部分組成。內部專用網絡內PKI/PMI系統提供接入平臺相關的認證和授權等服務。內部專用網絡內應用信息系統及數據庫提供與接入平臺相關的信息服務。接入對象采用不同的外部鏈路接入方式,通過接入平臺與內部專用網絡內相關應用系統及數據庫進行信息交換。
視頻專網與內部專網視頻接入鏈路,經過身份認證后的視頻接入設備,需通過專線方式接入到視頻接入鏈路。在視頻接入鏈路中,視頻控制信令和數據的會話終止于應用服務區。在應用服務區,前置視頻服務器對接入對象進行設備認證,并對視頻信令格式進行檢查及內容過濾,只允許合法的協議和數據通過。在安全隔離區,安全隔離設備將視頻控制信令和數據進行分別處理和傳輸,其中視頻數據為單向傳輸,視頻控制信令為雙向傳輸。后置視頻服務器對內部專用網絡上使用視頻資源的用戶進行統一注冊、身份認證及權限管理,僅允許認證通過的用戶訪問已授權的視頻資源。
產品清單
2、安全措施
接入鏈路安全防護措施分為:邊界保護、應用保護、安全隔離和集中監控與管理四個方面。
邊界保護
邊界保護提供網絡訪問控制、入侵防范、安全審計、服務器加固和其他安全措施等。
訪問控制:通過防火墻安全策略配置,實現基于白名單的細粒度訪問控制;通過防火墻NAT策略實現對內部網絡的隱藏。
入侵防范:通過防火墻和IPS提供應用協議分析、異常行為管理、入侵防御等功能,提供對應用有效檢測、防護和防攻擊。
可信邊界網關:開啟訪問控制或設備認證,統一策略下發中限定需訪問的目的IP及端口,控制用戶可訪問的資源,防止外部人員冒用賬號進行攻擊。
抗DDoS攻擊:配備抗DDoS設備,有效防護來自互聯網端的DDoS攻擊
安全審計:實現日志審計,將日志信息報送到集中監控與管理系統。
服務器加固:通過服務器加固增強服務器安全,能及時發現和阻斷應用服務器未通過邊界保護區直接連接外網的情況。
其他安全措施:在核心交換機劃分不同的VLAN,將應用服務、安全服務、安全管理等功能模塊分域控制,域間增加ACL控制策略;啟用HTTPS服務,實現應用傳輸加密。
應用保護
按照等保三級的要求,對應用服務器主機實施身份鑒別、訪問控制、惡意代碼防護等措施并將主機審計日志報送到集中監控與管理系統。
應用架構:根據應用部署情況可劃分為展現層、應用服務層、數據層等,通過交換機ACL策略控制相互間的訪問權限。
身份鑒別:采用兩種或兩種以上的身份鑒別措施實施身份鑒別;對鑒別數據進行保密性和完整性保護。
授權管理:通過可信邊界網關,對訪問的客戶端進行數字證書認證,并授權訪問可控資源,對訪問的數據進行加密傳輸。
安全接口:視頻專網與內部專網之間進行數據傳輸須通過安全隔離區接入鏈路完成,其實現如下功能:
對傳輸數據進行內容過濾,根據用戶定義的內容白名單對傳輸數據內容進行過濾,對不符合策略的數據阻斷并報警。
對數據進行格式檢查,根據用戶定義的格式白名單對傳輸文件格式進行檢查,對不符合策略的文件阻斷并報警。
對傳輸服務器進行認證,提供認證,訪問控制以及數據完整性保護。
安全審計,對傳輸業務進行審計,報送業務日志。
視頻專網與內部專網之間結構化和非結構化數據采用同步方式,安全檢查后再進行傳輸,視頻數據通過視頻協議分析、剝離和重組后進行傳輸;內部專網與視頻專網之間采用數據接入鏈路和視頻接入鏈路實現網絡隔離,互聯網與視頻專網之間采用視頻接入鏈路和單向接入鏈路實現網絡隔離。
集中監控與管理審計
通過在視頻專網部署的探針及內部專網部署的集中監控與管理平臺,提供設備運行狀態、數據傳輸日志和級聯監控等功能,通過在視頻專網部署的集中監控與管理平臺及互聯網部署探針,提供設備運行狀態監測、數據傳輸日志等功能。
集中監控與管理系統分為探針、集中監控系統。實現對整個安全邊界接入鏈路整體運行情況展現,所有設備的運行狀態展示,并對故障點和性能瓶頸點進行報警,并通過短信/郵件等方式通知相關管理員。
