服务器安全方案

1.安全策略1.1总体安全目标网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。1.2安全分析在本次项目中，上海中心局域网内的安全威胁分析基于：网络基础拓扑架构在逻辑上分成了5个功能区服务器区各应用系统服务器按功能分为三层结构应用系统访问关系1.2.1应用系统服务器内部安全分析应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层）。安全风险存在于:低安全级别服务器对高安全级别服务器上不适当的访问；授权客户端对服务器的不适当访问；非授权客户端对服务器的不适当访问；不同应用系统服务器之间非授权的不适当访问；恶意代码对服务器的不良影响。1.2.2应用系统之间安全分析应用系统之间的互访，安全风险主要存在于：不同应用系统服务器之间非授权的不适当访问；应用系统不同安全等级服务器之间不适当的互访；1.2.3客户端与服务器之间安全分析客户端访问服务器，主要的安全风险存在于：非授权客户端不适当的访问服务器；授权客户端不适当的访问高安全级别的服务器；1.2.4客户端之间安全分析在业务类客户端和管理类客户端之间，安全风险存在于：客户端访问另一类客户端上的非授权数据；客户端利用另一类客户端达到对非授权服务器的非法访问；1.2.5恶意代码安全分析恶意代码在网络中的传播，可能对所有的应用系统产生严重的影响。1.2.6网络设备自身安全分析网络设备自身的安全风险主要有：网络设备的物理安全；网路设备操作系统Bug和对外提供的网络服务风险；网络管理协议SNMP非授权访问的风险；设备访问密码安全；设备用户安全风险；1.3安全技术1.3.1网络分区上海数据中心局域网安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进行的，包括CiscoSAFE和IBMeBusinessreferencemodel模型，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。通过网络分区，明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。达到了一定程度的物理安全性。1.3.2VLAN在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点：限制局域网中的广播包；隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或窃听。1.3.3ACLACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：阻断网络中的异常流量应用系统间访问控制SNMP网管工作站控制设备本身防护1.3.4防火墙专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。专用的软硬件，设备自身安全性很高；提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址的私密性；提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；多层次的安全级别，为不同的安全区域提供差异化的安全级别，如DMZ区域；提供多样的系统安全策略和日志功能。1.4安全策略设计1.4.1网络分区根据人民银行网络基础架构的设计结构，上海中心局域网被划分为5个功能区域。通过网络结构的功能分区，在网络安全上实现了以下目标：实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离；各分区有单一的出入口；分区之间互访必须经过网络层路由；为其他安全控制策略的部署奠定了基础。应用系统内部安全策略在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层），对应的安全控制策略如下：通过应用类型分层保护不同级别服务器的安全；划分VLAN，各分层分别位于不同的VLAN中；在三个应用类型分层中，安全级别的定义是接入层（Web层）安全级别最低，应用/业务逻辑层（AP层）安全级别较高，数据库层（DB层）安全级别最高；应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级别的服务器。1.4.2应用系统之间的安全策略根据应用系统内部三层架构和应用系统之间关系，制定了应用系统之间的安全访问规则。对应的安全控制策略如下：划分VLAN，隔离各应用系统和各应用系统内部处在不同安全层次上的服务器；根据确定的类规则在VLAN上部署ACL。1.4.3客户端与服务器之间的安全策略客户端与服务器之间的安全控制，主要采用了部署专用硬件防火墙和设置客户端和服务器之间的严格的访问规则来实现。安全控制设计如下：在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠性；在防火墙上部署严格的安全控制策略，对数据流执行双向控制；确定客户端和服务器之间的访问规则，部署在服务器区边界防火墙上。1.4.4客户端之间的安全策略在上海支付中心局域网内客户端区，存在着管理类客户端和业务类客户端，两者之间的安全策略设计如下：在客户端区划分VLAN，管理类客户端和业务类客户端分属不同的VLAN；在管理类客户端和业务类客户端的VLAN上部署ACL，限制两类客户端之间的互访。1.4.5预防恶意代码的安全策略网络中的恶意代码包括病毒、蠕虫、木马等，这类恶意代码发作时，对网络安全有严重的影响。预防恶意代码的安全控制策略如下：根据已知的各类恶意代码，识别其传输特征，编写相应的ACL；把ACL部署在关键的控制点上，这些控制点包括：各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也可以部署在功能区内各VLAN上，达到更进一步控制恶意代码传播的目的。ACL单向部署，控制从区内出（out）的流量。在内联接入区的互联路由器广域网端口上，ACL单向部署，控制这些端口出（out）和入（in）的流量。1.4.6网络设备自身安全策略网络设备自身安全防护，安全策略设计如下：物理安全：安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；禁止非授权人员物理接触设备。网络服务安全：关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的服务；加密设备密码；用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对操作有相应的授权、认证和审计）网管SNMP安全，对SNMP访问设置ACL控制，只允许许可范围内的IP地址通过SNMP管理设备。1.5分区安全策略的部署1.5.1核心区安全策略的部署核心区作为中心局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。1.5.2服务器区安全策略的部署1.5.2.1控制客户端对服务器的访问各区域对服务器区访问要受到严格控制，控制策略在防火墙上双向实施，控制策略参照下面的表格。业务1类WEB业务2类WEBOAWEB基础设施类网管安管类Internet业务客户端允许访问禁止访问禁止访问禁止访问允许访问禁止访问OA客户端禁止访问允许访问允许访问禁止访问允许访问允许访问安全控制策略具体描述如下：业务1类客户端能访问业务1类WEB服务器。限定客户ip地址段、应用系统ip地址集、端口号集。业务1类客户端能访问网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问Internet。不限制目标的IP地址、端口，限制源IP地址1.5.2.2应用系统服务器之间的访问控制根据人行安全规范和应用系统访问需求，应用系统间必须增加访问控制，控制策略在服务器交换机上使用访问控制列表实施，控制策略参照下。业务1和业务2互访，业务1和基础设施互访。限定访问源应用系统主机IP地址集，目的应用系统主机IP地址集，目的端口集。业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进行限制。网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互访，网管安管和基础设施互访。不限制源IP地址，限制目标的ip地址集、端口集。1.5.2.3预防恶意代码服务器区不做恶意代码防范，防恶意代码工作实施在其他边缘区域，保证恶意代码不会侵犯到服务器区。1.5.2.4网络设备自身安全保护为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。1.5.2.5安全策略特例当应用系统安全策略在部署中与上述原则有冲突时，须提出申请需求，总行将根据应用需求修改安全策略方案。1.5.3生产区安全策略的部署生产区划分VLAN，隔离业务类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，限制两类客户端之间的互访。在生产区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。在生产区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管理命令。1.5.4运行管理区安全策略的部署运行管理区安全策略在上联防火墙上实现。1.5.5外联接入区安全策略的部署外联接入区安全策略在外联防火墙上实现。1.5.6内联接入区安全策略在防火墙上实现内联接入区安全策略在互联路由器上实现。1.6AAA部署1.6.1AAA需求AAA（认证Authentication，授权Authorization，审计Accounting）认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；审计(Accounting)：记录用户对各种网络服务的用量，并提供给审计系统。为了保障网络、应用系统的安全性，除了在网络边界进行防护之外，还需要采用其他的安全服务的辅助手段，以实现全方位的安全防护。本次建设将通过架设AAAServer达到更高的安全性。中国人行银行清算上海备份中心针对网络设备，网络安全设备和远程接入服务器设备的AAA建设思路是：所有的设备的正常登录都需要通过ACS进行；从安全性及可扩展性来考虑，本次建设采用tacacs+/hwtacas协议，实现于ACS平台，充分保障各个节点设备的用户访问合法性。对于支持TACACS＋的设备，则由ACS再对其进行命令集和访问设备的指定，保证特定的用户获得访问特定设备和具有特定权限的目的；开启ACS的account信息，对相关的操作进行审计。1.6.2实施方案1.6.2.1AAAclient端在本系统中，客户端发送AAA认证数据包给服务器，数据包包含用户ID和password，服务器对数据包进行验证给出结果。验证过程加密传输。AAA服务器在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请的服务内容，并对其行为进行审计。默认情况下，aaa服务为关闭状态，需手工输入命令开启；authentication、authorization及accounting必须指定所使用协议为tacacs+；aaaserver地址指向ACSserver。为防止ACSserver异常后紧急登陆设备进行操作，需将console访问方式改为local，即本地认证。1.6.2.2AAAServer端AAAserver端通过部署CiscoAcs来实现。Acs将进行用户等级分类、设备等级分类、权限分配等设置，构建一个十分严格、安全的访问体系。1.6.2.3用户组客户端访问设备，主要的安全级别：超级用户-superuser：具有对所有网络设备登录和配置任何命令的权限；用户组1-usergroup1：资深维护人员，能够访问纳入本平台管理的所有网络设备，对于普通网络设备，具有较高的配置权限，对于关键网络设备，具有查看状态和极少的配置权限；用户组2-usergro