【沈阳泽润浩宇】

区块链快讯

军工行业服务器安全保护解决方案

2019-02-18 21:15:45

其它行业软件 一、设计要求

参照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,国家保密局对军工单位网络安全建设明确提出了等级保护建设思路、规范和要求,主要表现在如下几个方面:
1.要求对网络安全域进行合理划分;
2.要求对网络、系统、应用进行不同安全等级划分;
3.在不同的网络安全域边界采取相应的安全保护技术、措施;
4.对重要业务系统和重要数据资料的访问采取身份认证机制;
5.需要对用户终端数据传输途径进行安全保护,防止敏感信息被监听;
6.防止用户非法、越权和假冒身份访问服务应用后台
7.加强对应用服务器、应用系统的深层防护;
8.实现对应用服务器的运维监控、管理和异常恢复;
9.加强基于应用的安全防护措施,确保应用系统提供持续性、可靠服务保障;
10.实现对设备、应用、服务的细粒度审计;

二、应用服务器面临的安全风险

通过对上述网络安全现状和现有安全技术手段分析,目前应用服务器所面临的主要安全风险和安全隐患如下:
1.服务器区域安全边界不明确;
2.服务器区域和终端用户区域无边界安全防护措施,存在非法访问、入侵安全风险;
3.缺少对应用服务器基于应用层的安全防护技术、措施,存在基于应用层非法访问和非法攻击、入侵,如SQL注入攻击、溢出攻击、脚本攻击、Dos攻击等;
4.缺少对应用服务器访问的细粒度控制,如控制访问的具体路径、访问源主体对象等;
5.缺少对服务器运行状态动态监控,存在服务器运行安全风险;
6.缺少对应用服务器的关键进程、服务的实时监测和响应,存在应用可持续性风险;
7.缺少对应用服务器、应用系统访问的细粒度审计;
8.缺少对服务器访问数据流信息的灵活的统计、分析机制,对安全事件无法提供高效的分析工具;

三、安全建设整体规划

针对上述应用服务器所面临的安全问题,结合现有的网络安全措施,参考国内外针对应用服务器的安全防护技术,我们对XXX研究所应用服务器区域进行统一安全规划建设,建立“以策略为核心、采用安全动态防护技术”,实现对服务器的集中管理、基于应用的安全防御、服务器运行状态实时监控、网络访问行为审计,最终实现对应用服务器区域的整体安全防护。

3.1   安全建设依据和目标

安全建设主要参考依据:
国家相关安全建设法规
国家相关安全建设技术要求
BMB17-2006 涉及国家秘密的信息系统分级保护技术要求
BMB20-2007 涉及国家秘密的信息系统分级保护管理规范
中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》
安全建设的目标:
  保护服务器、应用系统资源价值不受侵犯,保证信息资产面临最小的风险,建立、健全XXX研究所应用服务器系统纵深、立体的深度安全防御系统,确保系统运行安全、信息资产安全。

3.2 应用服务器安全防护建设

遵循“统一规划、统一建设、统一标准、相互配套”的原则,参照保密局针对军工行业的安全建设规范要求,实现对XXX研究所服务器多方位、多层次的安全防护,确保服务器、应用系统、信息资料等的安全。

3.2.1 总体网络建设拓扑规划

依据上述应用服务器存在的安全风险和安全建设的要求,我们建议采用专门针对应用服务器安全防护的安全产品WebGate应用安全门户网关设备实现对XXX研究所所重点应用服务器的安全防御和保护。
针对XXX研究所提供所需重点保护的服务器数量、提供服务和数据交换量,我们建议部署如图所示的千兆WebGate设备作为对重点服务器区域进行相应的安全防护,同时对整个网络系统的安全域进行合理规划。总体规划为重要服务器区域、普通服务器区域、核心设备区域和终端用户接入用户区域4个大的安全域。重要服务器区域
部署了需要重点保护的服务器区域,包括CAPP、PDM、OA(MAIL)、人事、物资、审计监控服务器,针对重要服务器区域根据服务器提供应用和服务的重要性,又划分为两个不同的保护级别区域,一个区域包括的服务器有CAPP、PDM和OA(包括mail);  另一个为人事、物资和审计监控服务器区域。

一周热门