论文部分内容阅读
本文结合国家政策要求、网络安全等级保护2.0制度(简称“等保2.0”)和检察工作网建设,在等保三级视角下,对检察工作网建设进行研讨。检察工作网网络拓扑图如图1所示。
安全接入区
在安全接入区部署防火墙系统和入侵防御设备。防火墙设备串联在路由器与核心交换机之间进行访问控制和流量过滤。将核心数据区域与非核心数据区域进行有效地逻辑隔离和区分授权访问。访问控制系统应根据各数据区域对安全级别的要求控制访问各区域数据的网络信息流,并且访问控制系统本身具有较强的抗攻击能力。防火墙根据用户设定的安全策略,对经过的所有通信数据进行检查,保护内部网络资源的安全。同时对网络之间传输的数据包按照设定的安全策略进行检查,阻止用户对受保护的网络资源进行非授权访问,达到控制访问网络资源的目的。防火墙还可以配备防病毒模块,以此达到对网络傳输过程中的恶意代码进行有效过滤,同时通过对防病毒数据库的实时更新,可以有效防止恶意代码在内部网络中的感染传播。
入侵防御设备串联在防火墙与核心交换机之间进行入侵防护,可检测阻断各种网络攻击行为,阻断恶意代码进行渗透。包括:病毒、蠕虫、木马、间谍软件、广告软件、可疑代码和端口扫描等。
核心交换区
在核心交换区中旁路部署入侵检测系统和网络安全审计系统,入侵检测系统在核心交换机上将需要检测的流量以镜像的方式输入并进行检测分析。入侵检测系统在防火墙进行访问控制的基础上,可以应对来自应用层的各种攻击行为。
网络安全审计在核心交换机上将需要审计的流量以镜像的方式输入并进行检测分析。
公共应用服务区
在公共应用服务区透明部署Web应用防火墙(WAF),串联在公共应用服务区与跨网数据交换区之间,过滤来自应用层的安全攻击行为。WAF能精确识别基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件和网络钓鱼等基本攻击,一旦发现攻击行为立刻中断连接保护Web服务器的安全。同时通过实时扫描、系统备份等技术,实现对数据文件的实时监控,发现问题时可以对数据文件进行实时恢复,可以有效保护数据文件的安全,为网站提供实时的数据安全保护。
政务应用服务区
在政务应用服务区中部署下一代防火墙,串联在核心交换机与汇聚交换机之间进行流量过滤和访问控制。防火墙在政务应用服务区入口根据设定的安全策略,检查所有经过的通信数据,保护内部网络资源的安全。同时对网络之间传输的数据按照设定的安全策略进行检查,阻止用户对受保护的网络资源进行非授权访问,达到访问控制网络资源的目的。
终端接入区
在终端接入区部署上网行为审计设备,控制和管理互联网用户的上网行为。部署网络防病毒系统,通过管理中心进行统一管理和升级。网络防病毒系统通过管理中心统一配置防病毒安全防护策略,防范各区域病毒交叉感染,通过病毒管理中心对网络内的服务器、终端进行远程联病毒策略下发、病毒查杀等各种管理操作,实现内部网络系统中防病毒系统的集中管理和监控。
安全管理区
安全管理区部署日志审计服务器、安全管理平台。日志审计服务器对网络中的服务器、应用、安全产品等进行日志收集与审计。集中部署的日志审计系统,收集各类日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及网络设备和安全设备的日志信息,为事后分析及事件还原提供有力支持。安全管理平台即态势感知平台,该系统能够提供一体化安全管控功能,除了可以采集各类安全事件,系统还能够采集如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据分析,借助量化的网络流量模型,通过分析计算,发现网络中的异常行为。安全管理平台具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理,符合并体现了等级保护和信息安全管理体系的要求。
网络安全威胁总是实时变化的,任何系统的安全防护措施都不能一劳永逸。因此检察工作网的安全管理主体一方面需要根据最新的网络安全相关标准,设置并调整适合自己工作网的安全基线,跟踪安全技术和攻击技术的发展,定期进行防护系统的安全检测、对防护系统进行升级,及时处理发现的问题,确保工作网的安全运行。另一方面,要加强安全管理和安全运维的意识,落实安全管理措施,加强全网使用者的安全意识并进行长期安全培训。
安全接入区
在安全接入区部署防火墙系统和入侵防御设备。防火墙设备串联在路由器与核心交换机之间进行访问控制和流量过滤。将核心数据区域与非核心数据区域进行有效地逻辑隔离和区分授权访问。访问控制系统应根据各数据区域对安全级别的要求控制访问各区域数据的网络信息流,并且访问控制系统本身具有较强的抗攻击能力。防火墙根据用户设定的安全策略,对经过的所有通信数据进行检查,保护内部网络资源的安全。同时对网络之间传输的数据包按照设定的安全策略进行检查,阻止用户对受保护的网络资源进行非授权访问,达到控制访问网络资源的目的。防火墙还可以配备防病毒模块,以此达到对网络傳输过程中的恶意代码进行有效过滤,同时通过对防病毒数据库的实时更新,可以有效防止恶意代码在内部网络中的感染传播。
入侵防御设备串联在防火墙与核心交换机之间进行入侵防护,可检测阻断各种网络攻击行为,阻断恶意代码进行渗透。包括:病毒、蠕虫、木马、间谍软件、广告软件、可疑代码和端口扫描等。
核心交换区
在核心交换区中旁路部署入侵检测系统和网络安全审计系统,入侵检测系统在核心交换机上将需要检测的流量以镜像的方式输入并进行检测分析。入侵检测系统在防火墙进行访问控制的基础上,可以应对来自应用层的各种攻击行为。
网络安全审计在核心交换机上将需要审计的流量以镜像的方式输入并进行检测分析。
公共应用服务区
在公共应用服务区透明部署Web应用防火墙(WAF),串联在公共应用服务区与跨网数据交换区之间,过滤来自应用层的安全攻击行为。WAF能精确识别基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件和网络钓鱼等基本攻击,一旦发现攻击行为立刻中断连接保护Web服务器的安全。同时通过实时扫描、系统备份等技术,实现对数据文件的实时监控,发现问题时可以对数据文件进行实时恢复,可以有效保护数据文件的安全,为网站提供实时的数据安全保护。
政务应用服务区
在政务应用服务区中部署下一代防火墙,串联在核心交换机与汇聚交换机之间进行流量过滤和访问控制。防火墙在政务应用服务区入口根据设定的安全策略,检查所有经过的通信数据,保护内部网络资源的安全。同时对网络之间传输的数据按照设定的安全策略进行检查,阻止用户对受保护的网络资源进行非授权访问,达到访问控制网络资源的目的。
终端接入区
在终端接入区部署上网行为审计设备,控制和管理互联网用户的上网行为。部署网络防病毒系统,通过管理中心进行统一管理和升级。网络防病毒系统通过管理中心统一配置防病毒安全防护策略,防范各区域病毒交叉感染,通过病毒管理中心对网络内的服务器、终端进行远程联病毒策略下发、病毒查杀等各种管理操作,实现内部网络系统中防病毒系统的集中管理和监控。
安全管理区
安全管理区部署日志审计服务器、安全管理平台。日志审计服务器对网络中的服务器、应用、安全产品等进行日志收集与审计。集中部署的日志审计系统,收集各类日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及网络设备和安全设备的日志信息,为事后分析及事件还原提供有力支持。安全管理平台即态势感知平台,该系统能够提供一体化安全管控功能,除了可以采集各类安全事件,系统还能够采集如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据分析,借助量化的网络流量模型,通过分析计算,发现网络中的异常行为。安全管理平台具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理,符合并体现了等级保护和信息安全管理体系的要求。
网络安全威胁总是实时变化的,任何系统的安全防护措施都不能一劳永逸。因此检察工作网的安全管理主体一方面需要根据最新的网络安全相关标准,设置并调整适合自己工作网的安全基线,跟踪安全技术和攻击技术的发展,定期进行防护系统的安全检测、对防护系统进行升级,及时处理发现的问题,确保工作网的安全运行。另一方面,要加强安全管理和安全运维的意识,落实安全管理措施,加强全网使用者的安全意识并进行长期安全培训。