交通行业网络安全优化解决方案v0.40820

1、交通行业网络安全优化解决方案海南省交通运输厅信息中心HUAWEI华为技术有限公司目录 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 信息中心网络概述 3 HYPERLINK l bookmark2 o Current Document 信息中心网络架构说明 3 HYPERLINK l bookmark8 o Current Document 信息中心业务系统说明 4 HYPERLINK l bookmark10 o Current Document 信息中心网络安全分析 5 HYPERLINK l bookmark12 o Cur

2、rent Document 外联域安全威胁分析 5 HYPERLINK l bookmark14 o Current Document 数据中心域安全威胁分析 6 HYPERLINK l bookmark16 o Current Document 通用服务器域安全威胁分析 6 HYPERLINK l bookmark18 o Current Document 应急指挥域安全威胁分析 7 HYPERLINK l bookmark20 o Current Document 信息中心网络安全需求 7 HYPERLINK l bookmark22 o Current Document 信息中心网络安全

3、需求 7 HYPERLINK l bookmark24 o Current Document 信息中心网络安全解决方案 8 HYPERLINK l bookmark26 o Current Document 信息中心安全设计原则 8 HYPERLINK l bookmark28 o Current Document 信息中心网络安全解决方案 9新增设备清单及产品介绍 10 HYPERLINK l bookmark36 o Current Document 信息中心网络安全解决方案价值 14信息中心网络概述信息中心网络架构说明I,! 6 HM皿* JF罪此内用餐万柱黄汗冷能S交通厅信息中心纯领警

4、m服金as Dtueo里化甘理+* J)l 3HK J8HP EVA因箱Git阡寿酒2台核*M*f-Mi JmGTgg斋府及小寿口、H；rK3E)- - 8如上图所示信息中心的网络组网情况，海南省交通运输厅信息中心的网络主要由心交换机S7510臣口 1台出口路由器SR6608勾建而成。核心交换机连接数据中心、办公网、应急指挥中心和通用服务器区；出口路由器连接Internet 、运营商短信网关、VPN线和电信的MST啊络，其中MST啊络包括海南省政府网络、海口市各党政机关网络和全省各个地市公路局网络。数据中心采用虚拟化技术， 将服务器虚拟化运行现有的业务系统， 包括应急指挥管理系统、协同办公系统

5、、高速公路监控与管理系统、数据融合与综合统计系统、交通 GIS系统、出行信息服务系统和信息共享与交换系统。通用服务器区包括DHC服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统，完成通用服务功能。应急指挥中心通过光纤直连核心交换机完成对应急指挥管理系统的访问。信息中心业务系统说明一，应急指挥管理系统，由6 台虚拟机承载，其中2虚拟机做负载均衡，另外4 台虚拟机运行业务系统，通过 SANO络共享虚拟化存储，隶属于 VLAN11Q二，协同办公系统，由6台虚拟机承载，其中2 虚拟机做负载均衡，另外4 台虚拟机运行业务系统，通过SANO络共享虚拟化存储，也是隶属于VLAN11Q三，高速公路监

6、控与管理系统，由7台虚拟机和2 台物理服务器承载。虚拟机中的2台虚拟机做负载均衡，另外 5台虚拟机运行业务系统，通过SANO络共享虚拟化存储；2台物理服务器使用2台 iSCSI 存储，隶属于VLAN140。四，数据融合与综合统计系统，由5台虚拟机承载，其中2虚拟机做负载均衡，另外3台虚拟机运行业务系统，通过SANO络共享虚拟化存储，也是隶属于VLAN11Q五，交通GIS系统，由4台虚拟机承载，其中2虚拟机做负载均衡，另外2台虚拟机运行业务系统，通过SANRJ络共享虚拟化存储，也是隶属于VLAN11Q六，出行信息服务系统，由4 台虚拟机承载，其中2虚拟机做负载均衡，另外2 台虚拟机运行业务系统，

7、通过 SANO络共享虚拟化存储，也是隶属于VLAN11Q七，信息共享与交换系统，由6台虚拟机承载，其中2虚拟机做负载均衡，另外4台虚拟机运行业务系统，通过 SANRJ络共享虚拟化存储，隶属于VLAN13Q八，整合数据库平台系统和 GIS数据库平台分别运行在2台物理服务器上，隶属于VLAN12Q九，虚拟化管理平台、设备管理平台、备份管理平台分别运行在一台物理服务器上，隶属于 VLAN150。利用虚拟化技术将16台BL460G为艮务器虚拟出36台服务器供VLAN110 130、140 （2台物理机除外）使用，同时SAN储网络通过虚拟化技术供 VLAN110 130、140（2台物理机除外）、 15

8、0存储使用。信息中心网络安全分析首先按照分域的原则， 对信息中心的网络进行安全域的划分， 然后再识别出每个安全域存在的风险，按照轻重缓急进行排序，逐步解决。外联域安全威胁分析外联域包括互联网出口、短信网关出口、MSTPO络出口等通过SR6608寸外连接的区域，该域存在如下安全风险：一，DDo散击根据 2013华为网络安全威胁报告中的数据，来自 Internet 的70%左右的威胁是DDoS攻击，因为其具有攻击成本低、易操作、效果明显、危害大等特点，成为互联网攻击的最主要形式，该风险系数高，是首先需要考虑解决的。二，非法访问全省各个地市的公路局、海口市各个党政机关等都是通过MSTPJ络访问信息中

9、心，这些机构的安全状况对信息中心来说是不可控的、 不受信任的， 因此对它们的访问要进行鉴权和控制， 严控非授权访问。 同时 Internet 也存在非法访问的风险， 所以此风险需要重点考虑解决。三，病毒威胁该风险存在于Internet和MST啊络，互联网因其开放性充斥着大量病毒、木马等恶意程序，因为办公网有访问互联网的需求，稍不留神就可能点击了恶意连接或访问了挂马网站；因为MSTPJ络的不可控性，完全存在病毒的威胁，同时数据中心与MSTPJ络进彳T数据/文件交换，病毒完全有可能感染数据中心，因此该风险系数极高。四，数据被监听/ 篡改移动办公已经成为潮流， 但其安全性也是大家所关注的， 尤其是数

10、据安全。 数据在互联 网上传输，如何保证不被监听、不被篡改，如何保证数据的机密性、完整性、可用性。数据 的安全性已经成为制约移动办公发展的拦路虎。数据中心域安全威胁分析数据中心是最核心的资产，对安全性要求极高， 一定要解决该区域存在的风险。数据中心域如下图所示，包含了 11个核心系统，针对这些系统进行如下安全风险分析。询 II一，漏洞攻击利用Oracle等数据库、Linux等操作系统、Apache等应用服务器、Struts等开发工具包 的已知/未知漏洞进行攻击，获取账号信息，获得管理员权限，篡改文件，破坏系统等。二，虚拟化安全对不同业务系统的虚拟机之间没有隔离，一旦某个虚拟机被植入恶意软件，同

11、时会感染整个数据中心的所有虚拟机，如果恶意软件发起dos攻击，对整个数据中心是个灾难，影响所有的业务系统使用，甚至影响办公网的使用。三，特权滥用某些管理员账号具有很高的权限，例如删除表、实例，修改配置文件等，一旦这样较高权限的账号被恶意人员使用，后果不堪设想。四，数据安全因为是自建的数据中心，对设备失窃、非法挂卷、重用残留数据等风险发生概率很小，但对数据的容灾备份需要考虑。通用服务器域安全威胁分析通用服务器域通常放置 DHC服务器、认证服务器、邮件服务器、文件服务器、门户网站等系统，该域对内 / 外提供服务，频繁被访问，因此具有较高的安全风险。一，漏洞攻击利用该服务器区的操作系统漏洞，植入木马

12、，以此作为跳板，再攻击内部数据中心。二，病毒威胁上传到文件服务器的文件或者下载的文件很可能会附带病毒文件， 一旦感染病毒， 会在整个网络内进行传播。三，门户篡改门户网站是对外的一张名片和窗口， 任何人通过Internet 都可以访问门户网站， 一旦网站被入侵、篡改，影响非常恶劣。应急指挥域安全威胁分析应急指挥域是指与核心交换机直接相连的应急指挥中心的网络， 因该域属于内网的一部分，并且具有较高的可控性，属于可信域，因此该域的风险较低。信息中心网络安全需求信息中心网络安全需求通过对信息中心网络安全所面临的风险的分析，总结出如下主要安全需求。一，防 DDoSC击防止来自 Internet 的流量型

13、攻击， 挤占出口带宽， 影响业务系统的使用； 防止内部主机或者虚拟机发起的应用型攻击，例如对DHC服务器请求攻击、对DNW艮务器发起查询攻击，使得DHC服务器、DNS艮务器不能响应正常请求，导致服务器瘫痪，业务中断。二，防入侵防止利用操作系统、数据库、webl艮务器、浏览器、Flash等的已知/未知漏洞发起的入侵进行植入木马、窃取账号信息、删除视频文件、删除日志记录、二次攻击等活动。三，防病毒防止病毒跟随文件的上传 / 下载进行传播，防止用户访问互联网时感染病毒，防止病毒在整个网络内部传播。四，防非法访问防止对网络、数据中心和通用服务器的非授权访问，对核心资产进行严格的访问控制，要对访问过的资

14、源形成记录，方便事后审计。五，网站防篡改对外门户网站要防止页面被篡改，一旦有篡改发生，立即弥补，让公众无从感知。六，数据防泄漏在外出差员工访问内部数据时， 防止数据在互联网上明文传输， 被窃听或者篡改， 保证数据安全可靠。七，高可靠性在安全域的边界部署了安全设备， 如何避免新故障点， 如何即保障网络的安全又保证业务的连续可用性，在方案设计中需要重点考虑。信息中心网络安全解决方案信息中心安全设计原则根据对信息中心的网络安全需求的总结以及华为公司对网络安全的积累， 我们提出信息中心网络安全设计必须满足以下原则：先进性原则： 信息中心的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的

15、安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。高可靠性：信息中心是海南省交通运输厅信息化发展的基础，其网络的稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。可扩展性：信息中心处在不断发展完善的阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性， 特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。开放兼容性：信息中心的网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。最小授权原则：信息中心的网络安全策略管理必须遵从

16、最小授权原则，即不同安全区域内的主机只能访问属于相应网络资源， 对信息中心的网络资源必须完全得到控制保护，防止未授权访问，保证信息中心的网络安全。纵深防御原则：采用层层防御，逐步深入的部署方式，在每个安全域的边界部署高性能、高可靠、深度防御的安全设备，保障东西向/南北向的业务流安全，不留死角, 消除隐患。信息中心网络安全解决方案-1REINXimii 阳G 。叫 蕃耳碗画哗却oc卜*hMUP phl-KZL J|,fe -nLWfl*| as .1 fM*.*A am* : Ib。汨。栩d。0。103a政片中心点三内矢|fr3T*l Bi irw.Trr i .JB ! B1 1 hlM h*

17、 I g.， * 1-a/un% (A 苒口二 MSTP - id 口可丁产与& & &尹节事T?nrr壬十产后DHDC,兽出k鲁DOdSM0*HF 叫 ftllfUl 甘看。卜 lx m|0Ib盟。阖 a- =_,h. ,II-. n _ii r E- r-1 1 tMB. hl bl*j * J * r iKjm * w-Lipr i arMMV 1 * *1- I#(9 币|Wbi*i救退中心一：互联网出口：包括联通短信网关、电信短信网关、移动短信网关、电信移动VPNRJ络和Internet ,原来的方案是通过将S7510印防火墙板卡虚拟化，虚拟出一台防火墙作为互联网 出口网关，建议部署

18、两台独立的安全网关设备，做双机热备，保证核心节点的可靠性；同时开启IPS、AV?高级防护功能，强化互联网出口安全，因为互联网出口是风险最大、威胁程 度最高的边界，仅仅部署虚拟防火墙做隔离网关是不够的，对入侵、病毒等威胁在最前端就进行防御是非常必要的。由于Internet的开放性导致其充斥各种威胁，也成为恶意人员进行攻击的平台，而且每个企业都有接入Internet的需求，所以我们时刻面临着来自Internet的威胁，其中80%勺威胁是DDoSC击，因为其攻击成本低、易操作等特点，成为网络攻击的 最主要形式，因此建议在Internet出口部署防DDoS勺方案。二：在互联网出口的安全网关出处单臂部署

19、 SSL VPN备，解决出差人员通过Internet访问 内部服务器的安全性需求，保证数据在互联网上的传输安全，避免被窃听、篡改，使移动办公安全、便捷。三：现在的方案是SR6608!过电信专线直接接入 MSTPJ络与各个地市的交通运输局、海口市各个机关单位、省政府等进行互联互通访问，此连通区域同样风险巨大，属于不可信网络，因为我们对这些接入单位的风险是不可控的，因此建议在SR660枷面部署两台独立的安全网关设备，做双机热备，保障核心节点的可靠性；同时开启入侵防御和防病毒功能， 控制不可信区域的网络风险，构筑第一道安全屏障。四：核心交换机S7510E的防火墙插卡建议作为办公内网的核心防火墙，对内

20、网进行安全隔离和访问控制，建议将EADI统的终端安全检查、外设管控、U口管控、文档安全管控等高级功能开启，再结合终端防病毒软件、身份认证等，形成完善内网的安全解决方案，有效控制内网风险，避免对数据中心和外部服务器形成影响。五：外部服务器区的风险级别较高，因为其对外部或内部用户发布服务的，例如官方网站，它可能被黑客攻击再做内部跳板攻击核心服务器， 因此需要较强的安全防护手段， 建议在其汇聚交换机的出口部署专业的防毒墙， 对网站服务器、 邮件服务器、 文件服务器等进行文件级病毒防护，符合3级等保要求。对网站服务器前建议部署专业的web应用防火墙，防止网站被篡改、防SQIM入等攻击。六： 数据中心是

21、我们最核心的资产， 因此对数据中心的保护是重中之重， 建议在数据中心的出口双机部署数据中心安全网关， 保障核心业务系统的可靠性， 同时该安全网关支持全业务（防火墙、 入侵防御） 虚拟化， 并且可提供独立的管理界面对虚拟安全网关进行针对性的配置，保护虚拟机的安全， 另外虚拟化可简化配置、 方便管理， 可对不同的管理员分配不同的虚拟安全网关， 进行按需权限控制。 此外建议对重要的、 风险大的服务器， 例如信息共享与交换系统，进行病毒防护，部署专业的防毒墙进行深度防御。七： 对于数据安全， 我们从终端安全、 网络安全、 存储安全几个维度提供了相应的保障措施，数据在终端的安全主要通过EA陈统进行保护和

22、审计，数据在网络侧的安全主要通过VPN网络DLR防SQ注入等进行防护，在存储侧通过容灾备份系统进行保障。八：对已建设的安全设备（S7510EW防火墙板卡、secpath-T200、AC:网行为管理、EA窿统）的使用，建议将其部署在办公网，形成对办公网的安全隔离与入侵保护。新增设备说明及分期建设建议分期建设说明及建议分期建设建议：,从资金预算考虑，可以分两期完成信息中心网络安全优化建设。二，根据风险的轻重缓急进行排序，高风险、迫切需要解决的需求排在前面，在第一期的建设解决这些问题；风险中等、不是特别急迫的需求放在第二期建设中。三，第一期的建设在核心业务节点（例如数据中心出口）、重要网络边界（例如

23、互联网 出口和MSTP网络出口）部署安全设备解决高危重要问题；第二期的建设在重要业务点（例如文件服务器、门户服务器）部署安全设备解决次之问题。风险排序及建设说明：风险安全需求重要度对应产品分期建设DDoS攻击防住DDoS攻击，攻击对业务系统无影响高DDoS8030A期非法访问防止对网络、数据中心和通用 服务器的非授权访问，对核心 资产进行严格的访问控制高USG6680USG9520A期病毒威胁防止因上网感染病毒，防止来自非受信域（MSTP）的病毒传播高USG6680 开启AV功能A期防止FTP服务器、信息与文件交换服务器等收到病毒感染，影响文件使用中局AVE2800第二期漏洞攻击防止利用数据库

24、、操作系统等软件平台的漏洞发起入侵攻击高USG6680/USG9520 开启IPSA期防止通用服务器被植入木马，作为跳板攻击数据中心高USG6680 开启IPSA期虚拟机相互攻击虚拟化安全，对vm进行有效管 控，只访问授权的数据库实例 等，控制vM司的互访。高USG9520 开启虚拟化功能A期门户篡改防止对外网站被黑，避免产生公众影响中局WAF5230第二期数据被监听/篡防止因移动办公带来的数据隐中局SVN2260第二期改患和风险；特权滥用防止权限高的用户有意无意修改配置或删除数据表等操作UMA第二期安全设备不能有效发挥作用如何有效管理和使用这些安全设备，使其发挥最大的价值；如何可视化安全防护

25、效果eSight第二期新增设备说明及介绍产品名称作用部署位置及产品介绍SVN2260部署SVN,无需改变网络结构，可以直接单臂挂接到出入口防火墙上，简单快捷。移动办公时，用户终端无需安装任何客户端软件，只需标准的 Web浏览器即可对企业内网资源进行安全访问。单臂部署在互联网出口处的安全网关旁。华为 SVN20005000系列安全接入网关SVN基于华为专业的高可靠硬件平台 和专用的实时操作系统，具备业界领先 的系统安全性和可靠性，为企业员工、 分支机构、客户和合作伙伴访问内网资 源提供灵活便捷、安全可控的端到端解 决方案。AntiDDoS8030面对不断变化的DDoS攻击，专业防范 设备能够针对

26、DDoS攻击的各种手段， 提出相应的防范算法，在抵御传输层攻 击的同时，也能够针对各种应用层攻击 进行识别和防范。并能够灵活的进行算 法间的组合搭配，保证流量被准确清 洗。Internet出口，一台检测设备，一台清洗设备。2HuaweiAntiDDoSM决方案USG9520 （开启IPS USG9500是面向云数据中心的安全网数据中心出口双机部署。和虚拟化）关，定位于保护云数据中心，拥有卓越的性能、专业的安全、动态的策略，让 客户在享受“云”带来的大规模、高可靠、弹性IT的同时，也充分享 受至ij USG9500专为“女”打造的安全体 验。华为 SecospaceUSG9500端防火墙简版式，在提供Web应用实时深度防御的同器区中的对外门户服务器时实现Web应用加速、敏感信息防泄露. T7刖面USG6680 （开启 IPS和AV功能）USG6000系列下一代防火墙通过对应 用、用户、内容、威胁、时间、位置的 全面感知，将网络环境清晰的映射为业 务环境，提供基于应用、用户的安全和 QoS管理功能。在应用识别的基础上， 提供强大的IPS、AV和数据防泄漏能力， 全面、高性能地防护企业信息安全。Internet 出 匚MSTP出口服务器区出1双机部署； 双机部署；通用 口单机部署。 ?HuaweiUSG6600列下一代防火AVE2800一个单一的终端防病毒产品已经不能够保障用户使用