网络安全技术交流.ppt

《网络安全技术交流.ppt》由会员分享，可在线阅读，更多相关《网络安全技术交流.ppt（63页珍藏版）》请在三一办公上搜索。

1、中国农业银行网络安全技术交流,信息安全技术要素银行数据中心网络安全防护分行网络安全防护,目录,中国金融行业网络发展趋势,数据大集中及备份中心建设完成，优化完善高可靠性设计；通讯协议统一化TCP/IP；重视网络安全建设和安全管理，完善并落实安全规范数据中心安全防护、安全监控网上银行业务安全和规模扩大企业办公与Internet接入的安全 业务量和业务种类逐年增加，带宽性能要求不断提高多媒体化-数据、视频、语音,不仅追求业务的高可用性，还要注重业务安全性,信息安全的风险及业务价值链,弱点,威胁,风险,机密性,完整性,可用性,真实性,Who,What,How,When,Where,通信,访问,内容,政

2、策、人,机密性,(Confidentiality),完整性,(Integrity),可用性,(Availability),不可否认性,真实性,When,(Authentication),（Non-repudiation）,安全四要素,信息安全保障体系框架,信息安全是在企业管理机制下，通过运作机制借助技术手段实现的,信息安全技术体系架构 八要素,预防保护类,检测跟踪类,响应恢复类,在整个信息安全技术体系架构中，访问管理与身份认证是关键；事前的预防保护是关键,SPAN/RSPAN/ERSPAN,防火墙,IPS,VPN,LB,SSL 卸载,LOG 分析,转发数据流,镜像监控流,信息安全八要素与网络安

3、全设计思路,DDOS检测防御,基于设备或用户的准入实现网络身份认证,服务器端的基于设备的网络准入,访问管理体现在全程对访问主体的控制，实现不可旁路性,加密传输,防恶意代码,VPN加密,网络监控,NetStream,网络监控,审核跟踪,加密,交换机,以访问控制管理为主线防御，贯穿“加密、ANTI-X”、“设备加固”的点防御，构成了事前安全防御的主题设计思路；事中的网络监控事后的审核跟踪三条安全技术线构成网络安全技术平面；,加固ANTI-DDOS,访问控制,访问控制,访问控制,路由器,内部WAN/MEN,网咯设备加固,整体性原则：“木桶原理”，单纯一种安全手段不可能解决全部安全问题；多重保护原则：

4、不把整个系统的安全寄托在单一安全措施或安全产品上；平衡性原则：制定规范措施，实现保护成本与被保护信息的价值平衡；可管理、易操作原则：尽量采用最新的安全技术，实现安全管理的自动化，以减轻安全管理的负担，同时减小因为管理上的疏漏而对系统安全造成的威胁；适应性、灵活性原则：充分考虑今后业务和网络安全协调发展的需求，避免因只满足了系统安全要求，而给业务发展带来障碍的情况发生；高可用原则：安全方案、安全产品也要遵循网络高可用性原则；技术与管理并重原则：“三分技术，七分管理”，从技术角度出发的安全方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估安全设计方案的可操作性 投资保护原则：要充分发

5、挥现有设备的潜能，避免投资的浪费；,网络安全建设的参考原则,信息安全技术要素银行数据中心网络安全设计安全模块化 定义清晰的网络安全边界数据中心访问控制管理 业务访问的不可旁路性深层安全防护与基础设施加固网络监控与审计分析分行网络安全设计,目录,数据中心安全设计的模块化、标准化思想,模块化：数据中心以应用群为单位整合成模块部件；根据数据中心不同业务区域性质设计安全模块要素安全模块可集中部署数据中心访问控制策略能够对网络各功能区进行隔离，将可能的网络攻击和广播流量限制在区域内，保证全网的高可用性；在实施安全防护措施时可以逐个模块地进行评估和实施，而不必在一个阶段完成整个安全体系结构。,标准化：支持

6、国际上各种通用标准的网络协议和标准等，支持大型的动态路由协议，支持策略路由功能。保证与其它网络（如公共数据网、支付清算网络、合作单位网络等）之间的平滑连接。,数据中心安全模块化“核心 边缘架构”,安全区1,安全区1,安全区3,VLAN 1,VLAN 2,VLAN 1,VLAN 2,VLAN 1,VLAN 2,安全区4,VLAN 1,VLAN 2,安全区5,VLAN 1,VLAN 2,安全区6,VLAN 1,VLAN 2,网络核心层,数据中心安全模块化分区思路,DMZ双层异构，分离部署,分区优先考虑访问控制的安全性，单个应用访问尽量在一个区域内部完成，单个区域故障仅影响一类应用，尽量减少区域间的

7、业务耦合度；区域总数量的限制：区域的总数量有技术上限100个，但区域多则运维管理的复杂度和设备投资增加，区域总数量有运维上限（大型数据中心通常不超过50个）。单个区域内服务器数量的限制：受机房空间、二层域大小、接入设备容量限制，单个区域内服务器数量有限（存在生成树协议的情况下，通常不超过200台）。接入层设备利用率的限制：受机房布局的影响，如果每个机房都要部署多个安全区的接入交换机，会导致接入交换机资源浪费，端口利用率低，因此安全区的数量不宜过多。防火墙性能的限制:区域之间的流量如果超过10G，则需要考虑通过防火墙横向扩容，或区域调整的方式分担流量。对于Internet/Extranet等需要

8、直接与外部网络连接的应用，将Web层放入单独的DMZ区，在DMZ区入口和出口部署异构防火墙从Internet/Extranet进入的流量经两道异构的防火墙,单业务在单区域内完成,生产/OA/管理松耦合安全分区模式,广域网络模块,总行/DC园区接入模块,DMZ,生产应用群,OA应用群,OA管理,OA测试,生产核心模块,生产测试,生产控制,OA核心模块,办公外网访问,OA容灾,生产容灾,办公互联网,网银区,外联区,DMZ,分行接入,城域网互联,数据中心互联,生产广域汇聚,OA广域汇聚,统一在ESB上的生产/OA/管理系统,生产/OA/管理紧耦合安全分区模式,访问控制边界,分支机构接入,城域网接入,

9、数据中心互联,广域网络模块,办公网接入,网银平台接入,外联平台,外联网络模块,生产业务服务器群,OA/管理服务器群,ESB服务器群,测试,外联汇聚,广域模块汇聚,数据中心核心模块,ECC,管理系统,管理终端,信息安全技术要素银行数据中心网络安全设计安全模块化 定义清晰的网络安全边界数据中心访问控制管理 业务访问的不可旁路性深层安全防护与基础设施加固从“线”到“点”网络监控与审计分析安全的全局观分行网络安全设计,目录,业务流向与访问控制管理设计,访问管理体现在全程对访问主体的控制，实现不可旁路性以访问控制管理为安全主线防御，贯穿“加密”、“防恶意攻击”、“设备加固”等安全点，构成了事前安全防御的

10、主题设计思路；,对应用类型进行评估和分类:分类原则:生产业务（资金交易）、基础设施类、办公业务（办公及管理等），外加Internet访问系统;统计目前的应用系统并按照以上原则进行分类根据应用系统的安全信息要求，制定保护重要应用和数据的策略：对应用系统的安全信息要求进行统计和分析，如:应用提供服务的协议和端口号、地址、哪些用户可以访问等；制定应用间的访问策略制定用户访问应用的策略有效隔离安全区域设计,实施对后台应用系统的安全加固：参考应用信息统计和分类表的信息 制定生产系统、开发测试和办公系统安全隔离的策略 进行分区设计并实施对生产系统、开发测试和和办公系统网络安全加固,服务器区访问控制管理的设

11、计思路,数据中心按业务分类：业务1类：能够产生帐户资金信息变更的交易类应用系统业务2类：不产生帐户资金交易的建行其他业务系统基础设施类：信息总线类应用系统（例如EAI/ESB/ODS）网管安管类：网管、系统管理、安全管理类服务器网银类外联系统类OA类：企业内部管理类应用系统语音视频类：全行语音视频类应用系统（也分业务1类/2类）：,服务器系统、客户端按业务分类，用于定义网络访问策略,客户端按业务分类：业务1类客户端：高柜、ATM及其他资金交易系统客户端、业务1类业务维护客户端；OA类客户端：企业网用户、客户经理使用终端等、业务2类及管理类业务维护客户端；系统专用客户端：呼叫中心系统专用CSR客

12、户端、系统及网络维护管理客户端，开发测试类客户端等；Internet客户端：行外客户；Extranet客户端：第三方机构客户端；,客户端与数据中心内网服务器区的访问流向,网络访问控制定义（五元组：SIP/SPORT/DIP/DPORT/PRT）,服务器间访问控制模式,客户端与服务器间访问控制模式,业务1、业务2、OA类服务器间：与其他种类生产网络主机之间通信采用S2级别访问控制;业务1类主机禁止OA类主机访问；允许被行内所有类别实体主机访问基础设施类服务器（S2）,客户端到业务1、业务2、OA类服务器的访问：业务1类主机允许被业务1类客户端访问（C2）;业务2类主机及OA类主机允许被OA客户端

13、访问（C2）；禁止OA类客户端对业务1类主机进行直接访问；禁止业务1类客户端对OA类主机进行直接访问；业务1类客户端禁止访问业务2类主机；对于Windows服务器如果有明确的安全策略及权限控制相关的标准、流程、规范、规定，则可按照主机算，否则按照客户端算；禁止被所有类别客户端访问（带外维护终端通过带外网络接入除外）基础设施类（ESB/EAI）服务器同系统WEB/AP/DB间访问应用 S2（？过于复杂）,客户端与数据中心服务器区访问控制管理,分支机构接入,城域网接入,数据中心互联,广域网络模块,办公网接入,网银平台接入,外联平台,外联网络模块,生产业务服务器群,OA/管理服务器群,ESB服务器群

14、,测试,外联汇聚,广域模块汇聚,数据中心核心模块,ECC,管理系统,管理终端,将访问控制管理策略集中部署在安全区边界,FW,FW+IPS+LB,FW+LB,FW,FW,FW,FW,FW,FW+IPS+A-DDOS,FW+IPS,访问控制边界,各安全区域边界安全“点”设备部署建议,安全“线”（路径访问控制）与“点”（深度防御、加密、监管）的结合：,各服务器区安全边界“点”设备差异,业务服务器区,防火墙,流量分析,负载均衡,SSL卸载,外联区,流量分析,防火墙 1,入侵防御,网银服务区,DDOS攻击防御,流量分析,防火墙1,入侵防御,负载均衡,以访问控制管理为主线防御，贯穿“加密”、ANTI-X、

15、“设备加固”的点防御，构成了事前安全防御的主题设计思路；差异化在“点防御”上,入侵防御,防火墙 2,SSL卸载,防火墙2,业务服务器间访问控制管理策略讨论,优点：网络结构简单，FW安全策略清晰；大多数策略都是单向的（都是从核心指向接入的），容易排错；,WEB servers,APP Servers,DB Servers,缺点：APP服务器与“集成区”的访问需要走单独的链路，破坏了网络的结构化；网络扩展能力不足，每扩展一个服务器区，必须按三层结构进行部署；接入交换机部署在列头柜，同一业务系统的WEB/AP/DB之间的访问可能要跨三排机柜上的接入交换机和FW，排错和设备管理复杂度增加；同一业务系统

16、的WEBAPDB间以FW做三层隔离，不能灵活应用SW的ACL；,数据中心内部服务器区拓扑形态 1/3,优点：WEB/APP/DB在一个POD（机柜组）内部署，共用一对接入交换机，整个SRF可按照机柜组（POD）做扩展，按需规划POD，设备端口利用率高；只要VLAN跨汇聚交换机，也可以实现同一个VLAN 跨不同的POD；,缺点：安全策略部署会很比较复杂。WEBAPPDB，WEBWEB，APAP，DBDB之间形成的二维矩阵式的策略组，都要在汇聚层交换机和FW上实现，而且策略是双向的。,WEB,APP,DB,WEB,APP,DB,数据中心内部服务器区拓扑形态 2/3,优点：WEB、AP、DB分别接入

17、到不同的服务区，在服务器区内部按照POD方式进行部署，扩展方便；每个服务器区汇聚层的安全策略相对简单（基本都是同类型相似的策略），容易排错；此方式综合了“扩展多层设计”与“精简多层设计1”的优点；,缺点：需要一次性部署三个服务器区（WEB/AP/DB），汇聚层设备的初期投资高；次方案适合与从“扩展多层设计”到“精简多层设计”的过度方案；在服务器机房部署上存在一些问题，要求同一类型的服务器形态相同,数据中心内部服务器区拓扑形态 3/3,内部服务器区访问控制策略矩阵,服务器区访问控制安全策略矩阵高级别防护，纵向通过防火墙控制，横向通过防火墙控制。中等级别防护，纵向通过防火墙控制，横向通过交换机AC

18、L控制。基本级别防护，纵向通过交换机ACL控制，横向通过交换机ACL控制。各级别之间的业务尽量不出现互访的情况，如跨级别互访，必须经过防火墙控制。,网银业务的访问控制管理及安全防护“点”策略,网银客户端与数据中心内网服务器区的访问流向,网银服务器间：业务网上银行区域各不同应用之间互通原则上要求进行S1级访问控；服务器允许与EAI（基础设施类）、网管安管类服务器互相访问（S2）;网站web服务器允许与内网服务器访问（S2）;服务器允许与合作公司特定的主机进行通讯（S2）;,网银服务器间：WEB服务器（网银web、网站web）允许被互联网用户访问（C1，其中客户端地址类别可以定义为任意）WEB服务

19、器（网银web、网站web）允许被行内用户访问（C1）系统及网络维护管理客户端对被管理应用主机访问（C2）;,网银客户端与数据中心服务器区的访问控制策略,网银在数据中心的两种部署思路1：层次化串行部署,地市联社接入,数据中心互联,广域网接入,省联社办公网,核心业务系统,生产管理业务系统,办公系统,开发测试,办公园区网络核心模块,广域模块汇聚,数据中心核心模块,办公互联网接入区,外联业务平台,互联网,第三方,互联网,网银WEB,网银APP、DB,访问控制边界,网银平台在数据中心的两种部署思路2：扁平化部署,地市联社接入,数据中心互联,广域网接入,省联社办公网,核心业务系统,生产管理业务系统,办公

20、系统,开发测试,办公园区网络核心模块,广域模块汇聚,访问控制边界,办公互联网接入区,外联业务平台,互联网,第三方,互联网,网银WEB,网银APP网银DB,数据中心核心模块,外联汇聚,方案1的安全部署模型：独立式设备部署,方案1的安全访问控制管理模型:集成式部署,组网简单，结构更清晰基于交换机策略，实现灵活的流量牵引到安全业务引擎,安全“线”（路径访问控制）与“点”（深度防御、加密、监管）的结合：,网银按群边界访问控制设备部署建议,Internet,外网FW,LLB,SLB/SSL,流量清洗,AFC-D,AFC-G,链路分担,网流分析,网银WEB服务器,网银APP服务器,SLB/SSL,SLB,

21、SLB,FW,FW,FW,FW,网银DB服务器,接数据中心核心层交换机,CFCA,互联网接口,服务托管区,方案2的安全访问管理控制模式：独立式设备为主,DMZ区与网银夜晚服务器区合并WEB、APP、DB 服务器分区部署、扩展性好、性能好,托管区边界防火墙,网银核心交换机,互联网接口,服务托管区,方案2的安全访问控制管理模型：集成式部署,Internet,AFC-D,AFC-G,AFC-D,AFC-G,链路分担,外网FW,流量分析,网银WEB服务器,网银APP服务器,SLB/SSL,网银DB服务器,FW,IPS,SLB/SSL,FW,IPS,SLB/SSL,FW,IPS,接数据中心核心层交换机,

22、托管区边界防火墙,CFCA,插板设计，管理清晰、可靠性好DMZ区与服务器托管区合并WEB、APP、DB 服务器分区部署、扩展性好、性能好,信息安全技术要素银行数据中心网络安全设计安全模块化 定义清晰的网络安全边界数据中心访问控制管理 业务访问的不可旁路性深层安全防护与基础设施加固 从“线”到“点”网络监控与审计分析 安全的“全局观”分行网络安全设计,目录,IPS,服务广泛攻击检测精细分组检查应用控制动态响应,服务访问控制服务分组检查协议核实准确实施高永续性,防火墙,应用控制网关,服务应用识别应用行为控制带宽管理行为审计,非法访问进程滥用端口扫描畸形分组,应用误用DoS/攻击已知攻击,识别与控制

23、,IPSec/SSL VPN,服务SSL VPN IPSec VPN 基于用户的安全性基于组的管理,一部分安全“点”设备,服务ddos监控Ddos牵引流量清洗健康回注DDOS审计,防DDOS,流量清洗流量回注,异常流量检测平台,异常流量清洗平台,业务管理平台,1,2,4,流量镜像,正常流量不受影响,正常流量不受影响,发现攻击通知业务管理平台,3,通知清洗平台，开启攻击防御,流量牵引,流量回注,牵引流量,对异常流量进行清洗,1,流量镜像,流量清洗中心,实时探测按需清洗,方案三个组件：实时流量检测平台，攻击时异常流量清洗平台，实时业务管理平台；防护清洗的原则：实时攻击检测，按需进行流量清洗,安全“

24、点”技术 防DDOS在网银应用,防DDOS的部署策略讨论,安全“点”技术 IPS 的应用,http:/10.74.16.88/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:,Web services,FireWall,Web enabled apps,Internet access,HTTP载荷中的病毒、木马、蠕虫等恶意代码,80端口,服务器被攻破,在严格的访问控制管理之下，数据中心服务器区面临一大安全威胁是基于应用协议的溢出攻击；现在很多业务系统是基于WEB的，针对HTTP、XML、SQL的攻击类型很多。通过IPS可以有效的进行防御；,基础

25、设施加固举例 路由器,通过在交换机上启用“MSTP保护特性”可提升网络的安全性。标的端口使能了环路保护 特性；标的端口使能了ROOT保护 特性；标的端口使能了边缘端口BPDU保护 特性；,基础设施加固举例 交换机,基础设施加固举例 防火墙,信息安全技术要素银行数据中心网络安全设计安全模块化 定义清晰的网络安全边界数据中心访问控制管理 业务访问的不可旁路性深层安全防护与基础设施加固从“线”到“点”网络监控与审计分析安全的全局观分行网络安全设计,目录,关注关键服务器流量流向分析，为网优服务,利用DFI/DPI技术，实现对关键节点、关注关键服务器流量流向分析，为网优服务,以遏制安全事件为核心，无法监

26、控和量化整网安全风险，整网安全状况无法量化，无法帮助网管人员作出恰当的决定,有“控制线”有“安全点”，还要有“全局观”,采用日志分析设备从海量信息中提取关键事件,事件过滤漏洞匹配锁定位置告警通知,对于海量的SYSLOG信息的智能分析支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,设置专门的Syslog Server用以存放和整理网络设备产生的日志文件保存核心网路设备（核心交换机、路由器、防火墙、IPS、LB）的日志文件明确设定设备日志的管理职责以及

27、相关的日志信息评估流程必须通过NTP将所有网络设备的时间进行同步，确保日志的可关联性设备日志的保存周期应至少为固定天时间。,安全日志审计最佳实践举例,安全日志的采集通过带外管理网络完成。带外管理网络对各网络节点上的设备、主机进行配置管理和安全监控，涵盖各类管理主机、服务器等，在网络安全运维体系中扮演着极其重要的角色。由于管理网络几乎可以访问网络中的所有节点，非常容易收到各类攻击，因此管理网络的设计、部署和运维过程中必须遵守：数据中心，总行局域网采用带外管理模式，根据区域划分VLAN统一接入到带外管理交换机；如果条件不允许配备单独的带外管理网，可以不采用独立的带外管理交换机，而采用VLAN的方式

28、与其它网络进行隔离广域网（一级骨干网、二级骨干网、总行城域网等）可采用带内进行管理。带内管理需要借助数据路径，例如对分行设备“下管一级”访问控制路径的管理要防火墙配合，还要做好加密传输、QOS保障；,信息安全技术要素银行数据中心网络安全设计分行网络安全设计,目录,安全主体安全性的关注点,分行：服务器区、前台客户端区,DB,APP,WEB,业务1,业务2,管理,网管,语音视讯,基础设施,服 务 器 区,核心交换区,Trunk,测试区,ISP,Proxy,互联网区,防火墙,外联伙伴和客户,外联区,广域网区,接入网,下联区,一级骨干网,上联区,核心交换区服务器区客户端接入区广域网区外联区互联网区测试

29、区,客户端区,用户随意接入带来局域网很多问题,广域网服务区WAN,办公接入区,生产接入区,分支机构,普通员工PC,外包,为合作伙伴提供连接,生产 业务员工,只允许访问生产系统,办公服务区,OA交换,基础服务,应用支持,安全服务,OA业务区,OA业务,办公管理,实时交易类,生产网,办公网,安全服务,核心交换,办公接入区,其它生产,生产接入区,开发测试业务,业务服务区,开发测试,前台客户端区网络准入认证,对员工访问权限进行相应的分类,在网络和PC层面对用户访问权限加强安全控制和管理，具体建议如下：严格区分和控制PC机访问策略和权限。如:根据员工访问应用的权限，访问实时交易的员工的配置两台PC机，分

30、为A机和B机。A 机终端（以交易为主），B 机终端（以办公和其他为主）;对于关键业务，严格实现专机专用。比如:我们严格控制A 机终端访问只能是实时交易和支付。（还是访问管理控制问题）前台PC网络接入端的身份识别。根据用户的身份（或设备资产ID）区分权限，在网络设备层面通过VLAN和ACL隔离机制严格控制访问权限。前台PC端的安全控制。将网络接入与PC安全关联，如：关联防病毒软件、软件安全控制软件、补丁情况、开启的服务情况等；将防病毒更新管理，桌面安全控制管理服务器以及和补丁更新服务器部署在办公区的运维管理服务器区，办公PC和生产业务PC都可以访问运维管理服务器区并进行更新(在安全管理上通过交换机的ACL安全控制只允许更新特定的协议访问服务器);,前台客户端区安全加固的解决方案,你是谁？,你安全吗？,你可以做什么？,PC终端安全接入方案,总 结,安全模块化 定义清晰的网络安全边界对访问客体路径的访问控制管理 业务访问的不可旁路性深层安全防护与基础设施加固 从“线”到“点”网络监控与审计分析 安全的全局观终端准入与安全审查 抓住安全问题的源头,总结回顾,Q&A,