北京农商银行
安全体系优化及治理项目
——互联网隔离区建设规范
工银科技
2020年12月
说明
1,文档信息
文档属性 | 内容 |
文档名称 | 北京农商银行信息安全体系优化及治理项目 |
文档版本号 | A0 |
文档状态 | 初稿-内部评审 |
文档编写完成日期 | |
作 者 |
2,版本历史
版本编号 | 创建日期 | 版本制作人 | 说明 |
目录
第一章 互联网隔离区建设规范
一.1. 治理范围
针对北京农商行网络安全区域设计中存在既需要访问行内内部资源,又需要对外提供互联网服务的建设需求,规划网络区域时增加DMZ区(非军事化区),即本规范中“互联网隔离区”的概念,相应的服务器部署在这个单独的交换网区域中。
为提高网络建设安全风险防护能力,针对农商银行互联网隔离区建设及相关应用部署规则提出建议,进一步提升互联网安全边界防护能力,增加外部入侵难度,防范敏感数据被破坏和非法访问风险。
一.2. 术语和定义
根据北京农商行应用系统服务器之间服务层次关系的分析,应用系统服务器分为4个网络安全层次,每个网络安全层次(等级)内部包含的服务器具有相似的应用处理功能和相同的安全防护等级。
1、核心层:主要存放北京农商行核心金融数据和核心主机应用服务;
2、应用层:主要存放北京农商行主要应用服务和局部数据;
3、隔离层:主要存放北京农商行通讯前置设备、网银和互联网特色业务WEB服务器、应用隔离机等,做为安全访问缓冲区;
4、接入层:主要存放北京农商行放各种网络接入设备,用于连接被防护单位以外的客户端和隔离/应用服务器。
第二章 互联网隔离区设计原则
二.1. 一体化设计原则
综合考虑北京农商行网络整体功能需求,采用统一一体化的设计思想,在保持相同安全防护能力的前提下,不同机构的具体网络架构可以有所差异。
二.2. 风险、代价平衡分析的原则
通过分析未来北京农商行应用系统及业务数据将面临的各种安全问题挑战,确保实施网络系统安全策略的成本与被保护资源的价值相匹配;确保安全防护的效果与网络系统的高效、健壮相匹配。
二.3. 多重保护原则
不能把整个系统的安全寄托在单一的安全措施或安全产品上,要建立一套多重保护系统,各重保护相互补充,当一层保护被攻破时,其它层的保护仍可确保信息系统的安全。
二.4. 可管理、易操作原则
尽量减少对原有网络系统效率、性能、稳定性方面的影响,通过结构标准化,尽可能利用自动化维护手段减轻运维管理复杂度。
二.5. 适应性、灵活性原则
在进行互联网隔离区设计时,不能只强调安全方面的要求,要避免对网络、应用系统的发展造成阻碍;另外,在网络安全模型保持相对稳定的前提下,要求互联网隔离区可以根据需求变化进行适当调整,以满足应用系统合理部署和可靠运行的需求。
第三章 互联网隔离区详细设计
对于农商行开展特色互联网业务的需求,可在中心机房建设互联网隔离区,部署独立的区域防火墙、负载均衡、区域交换机、web服务器等,实现网银、门户信息等互联网特色业务需求。
三.1. 区域承载的应用及连接的设备
物理网区域 | 逻辑安全区域 | 承载的应用及连接的设备 |
互联网区 | 电子银行隔离区 | 网银外网门户web、个人web、对公netsafe等 |
三.2. 互联网隔离区业务结构图
三.3. 互联网隔离区设备配置
在互联网隔离区部署2台三层交换机负责服务器的接入,在与骨干交换机之间部署2台防火墙,实现互联网隔离区与内网区域间的安全隔离。在与出口路由器之间部署WEB应用防火墙、DDoS、IDS、IPS等安全设备,实现互联网安全防御。
三.4. 互联网隔离区连接方式
两台隔离交换机之间采用两条光纤或两个快速以太网口捆绑连接,并将该捆绑口设为trunk模式。
两台隔离网交换机、两台骨干交换机分别通过两条百兆或者千兆捆绑口连接两台隔离区防火墙,在设备支持的情况下建议采用full mesh连接。
两台隔离网交换机、出口路由器机分别通过两条百兆或者千兆捆绑口连接两台隔离区防火墙,在设备支持的情况下建议采用full mesh连接。
交换机与服务器之间除采用负载均衡设备实现冗余热备份外,还可以采用路由方式(如主机与交换机OSPF互连)、VRRP方式(类似于CISCO的HSRP的HOT-STANDBY技术)、VIP HOT-STANDBY方式(如主机静态VIP技术)等方式实现互连。对于单点服务器,一方面可以将冷备份服务器连接在另一台交换机;另一方面还可以采用服务器双网卡共用1个IP、支持ISL/802.1Q CHANNEL技术的服务器网卡等技术,实现一台服务器同时连接两台交换机,提高局域网系统的整体可用率。
第四章 互联网隔离区域边界防护
四.1. 边界防护定义和技术
指网络区域之间的安全防护。根据网络安全的PDR(P—保护、D--检测、R—反应)模型,互联网隔离区域边界必须配置软、硬件防火墙,以实现边界对内外双向的访问控制和实时地阻断攻击数据流,另外应适当配置入侵检测、防护设备(IDS或IPS),以实现攻击检测和防护。
安全层次之间存在安全等级的落差,需要实施强度较高的防护。特别是隔离层安全区域,由于连接着众多不可信任的接入区域,面临着大量不可预知的攻击,尤其需要加强防护的力度。安全层次内部各区域之间虽然安全等级相同,但由于相对企业的重要性、面临的外来攻击威胁和内在运维风险不同,也需要实施必要的隔离。
主要技术包括访问控制、身份鉴别、流量管理、入侵检测和防护、数据加密、路由协议优化、日志审计、安全设备冗余设计、防病毒网关等,对互联网隔离区边界实施安全防护实现防护。
四.2. 访问控制定义和技术
访问控制主要通过防火墙、路由器交换设备实现,防火墙做为互联网隔离区边界防护的主要设备,核心任务是设置各种安全访问策略,实现安全区域之间的隔离和控制;为了便于管理和维护防火墙上众多的安全策略,每台防火墙应该明确定位每台防火墙上的安全策略,避免在同一台防火墙维护各种安全级差的策略所带来的风险。在互联网隔离区内路由器、交换机上实施的ACL访问控制策略。主要用于外连各种线路的端口/子端口之间的隔离和控制、对网络设备自身的访问控制等。
四.3. 防护访问控制策略
1、互联网隔离区作为DMZ区域,需实施双层访问控制防护,在Internet接入区和互联网区之间部署防火墙实现第一道安全控制,在互联网区和交换核心之间部署防火墙实现第二道安全控制。
2、应在互联网隔离区高风险网络边界点上部署IDS或IPS探针,对入侵行为进行监控、报警及防护。
3、应在互联网隔离区边界高风险网络边界点上部署网络攻击防护设备,对DDos等攻击行为进行监控、报警及防护。
4、应在互联网隔离区使用防病毒系统,并且建立病毒爆发的监控体系,及时发现并防止病毒对整个网络系统的危害。
5、应在互联网隔离区使用漏洞扫描器,及时发现所维护服务器的各种TCP端口的分配、提供的服务、软件版本,以及这些服务和软件的安全漏洞,定期检测系统漏洞,防范攻击行为。
6、应在互联网隔离区建立日志服务体系,除了收集防火墙等重要网络设备的log,并建立相应的log审计制度,有助于对故障问题及安全事件的分析。
第五章 互联网隔离区技术要求
互联网隔离区是否合理,取决于支撑这一架构的网络设备和安全设备是否安全、可靠和高效。对网络及安全设备的技术要求包括以下方面。
五.1. 平台异构的要求
防火墙作为重要的安全设备,主要用于不同层次(等级)安全区域之间的物理隔离和访问控制。对于互联网隔离区这类高风险网络出口,应采用异构防火墙结构(即接入层防火墙与应用层防火墙采用不同品牌设备)。
五.2. 网络系统可用率要求
五.2.1. 防火墙
对于互联网隔离区网络,应尽量选择高系统可用率的防火墙产品。需考虑尽量采用防火墙双机HA技术提高防火墙系统的整体可用率。
在紧急情况下可采取内外网交换机直接连接(短路防火墙)或使用三层交换机替代防火墙的方法快速恢复业务。
互联网接入区及互联网隔离区防火墙策略应按照最小授权原则,开通必要的访问端口,对于高危及敏感端口,如22、21、23、3389等,原则上不能开通,如确需开通,需要通过安全审批。
五.2.2. 局域网交换机
对于互联网隔离区网络,要求交换机配置热备双电源模块,同时采用双机热备份机制实现与防火墙、负载均衡器、大型主机以及服务器的连接。每台交换机连接服务器的数量必须控制在一定风险范围,避免风险过度集中。
五.3. 互联网隔离区应用部署要求
对于B/S应用或移动app应用,互联网隔离区通常仅部署web服务器、APP服务器等不涉及敏感数据的节点,数据库服务器或涉及存储敏感数据的app服务器应部署在内网环境,通过最小访问策略与隔离区服务器进行交互。
对于C/S应用,互联网隔离区通常仅部署前置或网关服务器,涉及server端的服务器均应在内网区域部署,通过最小访问策略与隔离区前置机或网关进行交互。
五.4. 抗攻击能力要求
互联网隔离区网络的抗攻击能力是由IDS、IPS、防火墙、攻击防护设备、及配套的管理流程共同实现的。防攻击系统需要能够及时检测到攻击行为,并通过手工或自动的方式阻断攻击行为。
五.5. 网络系统性能要求
互联网隔离区网络设备处理能力要与网络流量需求相适应,应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要,网络各个部分的带宽满足业务高峰期需要。如对于网访问量较高,防火墙性能出现瓶颈的情况,可采用防火墙横向拆分的方式(辅以策略路由、auto-last-hop等技术)使用多套防火墙共同承载。
