推荐 | 绿盟科技数据交换安全解决方案
专用网络与外部网络存在大量数据交换需求,如社会公共资源监控视频需要通过视频专网单向传输至内部专用网络,卡口抓拍图片需要上传至内部专用网络,酒店住客登记信息需要上传至内部专用网络,其他部门与内部专用网络存在的信息交互等。
设计原则国务印发《关于加强数字政府建设的指导意见》(以下简称《指导意见》),就主动顺应经济社会数字化转型趋势,充分释放数字化发展红利,全面开创数字政府建设新局面作出部署。
本次建设严格按照信息化发展要求,在产品设计方面充分考虑与其他系统接口互联,设备兼容等问题,做到标准化。网络安全设备协议采用符合ISO及其他国际标准化组织,如IEEE、ITU-T、ANSI等指定的协议,充分考虑到与软硬件设备兼容,在网络构架、网络产品和网络协议等方面均以良好的开放性为原则。本方案中,视频专网信息系统安全等级保护按照等保2.0所规定的信息系统安全等级第三级系统安全保护技术要求设计,同时满足最新相关技术标准。
安全防御难点1、视频监控业务及安全防御难点
传输内容安全过滤困难。视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流,因此,如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。
防止内网泄露机密信息困难。由于视频监控的访问具有双向性,即部分用户内网视频监控需要对外向其他有关单位提供,用户内网也需要访问大量一、二、三类视频监控资源,如何有效防止木马程序利用视频通道泄露用户内网机密数据也必须加以可靠解决。
2、数据交换业务及安全防御难点
当前国内外信息安全事件与日俱增,攻击手段层出不穷,泄密途径防不胜防,尤其是互联网已成为黑客攻击、信息泄密的重灾区和病毒蔓延的温床,对相关部门、企事业单位而言,不仅需要通过互联网对外为用户提供服务,而且还需要防范黑客攻击渗入内网信息系统,造成数据丢失、信息泄露等重大损失。
需求分析1、安全需求
视频专网与内部专网进行视频和数据交互,在安全上存在各类风险,涉及接入终端、边界保护、应用保护、安全隔离、监控审计等方面。
终端准入
视频专网接入终端种类多、分布广,无法确定接入终端的合法性。需要采取MAC/IP绑定、硬件特征码、设备证书等方面进行设备认证;需要对接入用户采用高强度身份认证方式;需要对接入终端传输的数据格式和内容进行合规性检测,对传输数据进行机密性与完整性保护。
边界保护
网络结构安全:网络结构是否合理直接影响着是否能够有效的承载业务需要,因此网络结构需要具备一定的冗余性,对网络区域进行合理划分。
访问控制:对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。采取基于白名单的细粒度访问策略,按照安全策略规定的白名单格式授权,其余应明确禁止。
入侵防范:通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防范对应用服务区WEB服务的脚本攻击、SQL注入攻击、网站挂马等,实现对核心信息资产的防护。
应用保护
对于服务器主机需要实现身份鉴别、访问控制、恶意代码防护等措施。
主机身份鉴别:对于主机用户需采取数字证书认证和安全的用户鉴别协议。
主机访问控制:对于主机服务器需监控CPU、硬盘、内存、网络等资源的使用情况。
主机审计:对系统管理员账号和系统操作命令使用情况等进行审计,包括事件的日期、时间、类型、主体标识、客体标识和结果等。
对于应用系统需要实现身份鉴别、数据安全、安全接口等措施。
应用身份鉴别:需采取动态验证码或数字证书等身份鉴别方式。
应用数据安全:需保证数据完整性、机密性,对于重要数据采取备份和恢复机制。
安全隔离
视频专网与内部专网之间禁止进行任何协议的直接交互,必须采用数据落地,摆渡方式实现数据的交互,保证视频专网与内部专网的物理隔离。需实现对传输数据格式检查、内容过滤、数据完整性效验,并对专网、互联网主机进行身份验证。
监控审计
由于用户计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏,没有相应的审计记录将给事后追查带来困难。
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统,并可通过集中监控审计系统统一管理。
扩展需求
安全边界接入是一个复杂的系统工程,其接入业务是个逐步接入的过程。因此,安全边界接入方案需具备可扩展性,主要需满足性能、功能、业务数、应用种类等各方面的扩展和延伸。
方案设计1、方案总体部署
结合内部专用网络边缘安全风险与安全需求,按照相关规定要求,以及某市实际业务交换性能需求,绿盟科技推出数据交换安全解决方案。
视频专网与内部专网数据接入链路。外部接入链路主要包括专线、拨号两类。接入平台由路由接入区、边界保护区、应用服务区、安全隔离区和安全监测与管理区五部分组成。内部专用网络内PKI/PMI系统提供接入平台相关的认证和授权等服务。内部专用网络内应用信息系统及数据库提供与接入平台相关的信息服务。接入对象采用不同的外部链路接入方式,通过接入平台与内部专用网络内相关应用系统及数据库进行信息交换。
视频专网与内部专网视频接入链路,经过身份认证后的视频接入设备,需通过专线方式接入到视频接入链路。在视频接入链路中,视频控制信令和数据的会话终止于应用服务区。在应用服务区,前置视频服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只允许合法的协议和数据通过。在安全隔离区,安全隔离设备将视频控制信令和数据进行分别处理和传输,其中视频数据为单向传输,视频控制信令为双向传输。后置视频服务器对内部专用网络上使用视频资源的用户进行统一注册、身份认证及权限管理,仅允许认证通过的用户访问已授权的视频资源。
产品清单
2、安全措施
接入链路安全防护措施分为:边界保护、应用保护、安全隔离和集中监控与管理四个方面。
边界保护
边界保护提供网络访问控制、入侵防范、安全审计、服务器加固和其他安全措施等。
访问控制:通过防火墙安全策略配置,实现基于白名单的细粒度访问控制;通过防火墙NAT策略实现对内部网络的隐藏。
入侵防范:通过防火墙和IPS提供应用协议分析、异常行为管理、入侵防御等功能,提供对应用有效检测、防护和防攻击。
可信边界网关:开启访问控制或设备认证,统一策略下发中限定需访问的目的IP及端口,控制用户可访问的资源,防止外部人员冒用账号进行攻击。
抗DDoS攻击:配备抗DDoS设备,有效防护来自互联网端的DDoS攻击
安全审计:实现日志审计,将日志信息报送到集中监控与管理系统。
服务器加固:通过服务器加固增强服务器安全,能及时发现和阻断应用服务器未通过边界保护区直接连接外网的情况。
其他安全措施:在核心交换机划分不同的VLAN,将应用服务、安全服务、安全管理等功能模块分域控制,域间增加ACL控制策略;启用HTTPS服务,实现应用传输加密。
应用保护
按照等保三级的要求,对应用服务器主机实施身份鉴别、访问控制、恶意代码防护等措施并将主机审计日志报送到集中监控与管理系统。
应用架构:根据应用部署情况可划分为展现层、应用服务层、数据层等,通过交换机ACL策略控制相互间的访问权限。
身份鉴别:采用两种或两种以上的身份鉴别措施实施身份鉴别;对鉴别数据进行保密性和完整性保护。
授权管理:通过可信边界网关,对访问的客户端进行数字证书认证,并授权访问可控资源,对访问的数据进行加密传输。
安全接口:视频专网与内部专网之间进行数据传输须通过安全隔离区接入链路完成,其实现如下功能:
对传输数据进行内容过滤,根据用户定义的内容白名单对传输数据内容进行过滤,对不符合策略的数据阻断并报警。
对数据进行格式检查,根据用户定义的格式白名单对传输文件格式进行检查,对不符合策略的文件阻断并报警。
对传输服务器进行认证,提供认证,访问控制以及数据完整性保护。
安全审计,对传输业务进行审计,报送业务日志。
视频专网与内部专网之间结构化和非结构化数据采用同步方式,安全检查后再进行传输,视频数据通过视频协议分析、剥离和重组后进行传输;内部专网与视频专网之间采用数据接入链路和视频接入链路实现网络隔离,互联网与视频专网之间采用视频接入链路和单向接入链路实现网络隔离。
集中监控与管理审计
通过在视频专网部署的探针及内部专网部署的集中监控与管理平台,提供设备运行状态、数据传输日志和级联监控等功能,通过在视频专网部署的集中监控与管理平台及互联网部署探针,提供设备运行状态监测、数据传输日志等功能。
集中监控与管理系统分为探针、集中监控系统。实现对整个安全边界接入链路整体运行情况展现,所有设备的运行状态展示,并对故障点和性能瓶颈点进行报警,并通过短信/邮件等方式通知相关管理员。