文档介绍:
总体安全目标
网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发,以及保护服务器区的计算资源。
安全分析
在本次项目中,上海中心局域网内的安全威胁分析基于:
•网络基础拓扑架构在逻辑上分成了5系统内部三层架构和应用系统之间关系,制定了应用系统之间的安全访问规则。对应的安全控制策略如下:
•划分VLAN,隔离各应用系统和各应用系统内部处在不同安全层次上的服务器;
根据确定的类规则在VLAN上部署ACL。
客户端与服务器之间的安全控制,主要采用了部署专用硬件防火墙和设置客户端和服务器之间的严格的访问规则来实现。安全控制设计如下:
在服务器区边界部署专用硬件防火墙,防火墙采用双机主备工作模式,保障系统可靠性;
在防火墙上部署严格的安全控制策略,对数据流执行双向控制;
确定客户端和服务器之间的访问规则,部署在服务器区边界防火墙上。
在上海支付中心局域网内客户端区,存在着管理类客户端和业务类客户端,两者之间的安全策略设计如下:
•在客户端区划分VLAN,管理类客户端和业务类客户端分属不同的VLAN;•在管理类客户端和业务类客户端的VLAN上部署ACL,限制两类客户端之间的互访。
网络中的恶意代码包括病毒、蠕虫、木马等,这类恶意代码发作时,对网络安全有严重的影响。预防恶意代码的安全控制策略如下:
根据已知的各类恶意代码,识别其传输特征,编写相应的ACL;
把ACL部署在关键的控制点上,这些控制点包括:
>各功能区的出口交换机上(防火墙默认情况下已经可以拒绝这些恶
意代码);在必要时,也可以部署在功能区内各VLAN上,达到更进一步控制恶意代码传播的目的。ACL单向部署,控制从区内出(out)的流量。
>在内联接入区的互联路由器广域网端口上,ACL单向部署,控制这些端口出(out)和入(in)的流量。
网络设备自身安全防护,安全策略设计如下:
•物理安全:
>安装环境温度、湿度、空气洁净度需要满足设备正常运行条件;
>禁止非授权人员物理接触设备。
网络服务安全:关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的服务;
加密设备密码;
用户安全,只允许经授权的用户在设备上执行权限范围内的操作,(且对操作有相应的授权、认证和审计)
网管SNMP安全,对SNMP访问设置ACL控制,只允许许可范围内的IP地址通过SNMP管理设备。
分区安全策略的部署
核心区作为中心局域网高速交换区,不做过多的安全策略,只要求部署交
换机自我保护策略。
控制客户端对服务器的访问
各区域对服务器区访问要受到严格控制,控制策略在防火墙上双向实施控制策略参照下面的表格。
业务1类WEB
业务2类WEB
OAWEB
基础设施类
网管安管类
Internet
业务客户端
允许访问
禁止访问
禁止访问
禁止访问
允许访问
禁止访问
OA客户端
禁止访问
允许访问
允许访问
禁止访问
允许访问
允许访问
安全控制策略具体描述如下:
业务1类客户端能访问业务1类WEB服务器。限定客户ip地址段、应用系统ip地址集、端口号集。
•业务1类客户端能访问网管安管类服务器。不限制源IP地址,限制目标的ip地址集、端口。
管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服务器。不限制源IP地址,限制目标的ip地址集、端口。
管理类客户端能访问Internet。不限制目标的IP地址、端口,限制源IP地址
应用系统服务器之间的访问控制
根据人行安全规范和应用系统访问需求,应用系统间必须增加访问控制,控制策略在服务器交换机上使用访问控制列表实施,控制策略参照下。
业务1和业务2互访,业务1和基础设施互访。限定访问源应用系统主机IP地址集,目的应用系统主机IP地址集,目的端口集。
业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进行限制。
网管安管和业务1互访,网管安管和业务2互访,网管安管和管理类互访,网管安管和基础设施互访。不限制源IP地址,限制目标的ip地址
集、端口集。
预防恶意代码
服务器区不做恶意代码防范,防恶意代码工作实施在其他边缘区域,保证恶意代码不会侵犯到服务器区。
网络设备自身安全保护
为了防止对网络设备的非法入侵,服务器区交换机和服务器区防火墙应做
好自我保护。
安全策略特例
当应用系统安全策略在部署中与上述原则有冲突时,须提出申请需求,总