中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。
中国石油广域网安全基础设施
●防火墙系统
中国石油广域网十分庞大,下属单位很多,遍布全国,连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙,确保网络的安全性。另外,在区域网络中心的服务器群前,加两台防火墙,以负载均衡方式,用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下,可以提供约两倍于单台设备的性能,即约4Gbps的防火墙吞吐量,当一台防火墙出现故障时,另一台防火墙保证网络不间断运行,保障服务器群的高可用性。
利用防火墙技术,能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效,攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。
●入侵检测系统
入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测,实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上,为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程,能实时检测出攻击,并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。
入侵检测在网络中设置关键点,收集信息,并加以分析,查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门,对内外攻击和误 *** 作提供实时保护,又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; *** 作系统的审计跟踪管理,并识别用户违反安全策略的行为。
中国石油12个区域网络中心,均配备入侵检测系统,监控内外网入侵行为。
●漏洞扫描系统
漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口,并记录目标的响应,收集关于某些特定项目的有用信息,例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。
漏洞扫描系统可安装在便携机中,在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段,也可固定检测某网段,但是检测范围不可跨越防火墙。
●查杀病毒系统
中国石油网络上各个局域网普遍设立查杀病毒软件服务器,不断更新杀毒软件,及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。
网络安全策略管理
中国石油全网提供统一安全策略,各级分别部署,从而提高全网整体安全。
企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准,并构成动态循环系统(图1)。安全检测与评估随着安全标准的提高而改进,评估结果是网络体系结构的完善的依据,安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高,促使网络标准的完善与改进。
网络安全检测与评估涉及网络设备、网络 *** 作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。
路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表(ACL)实现。这种工作容易出错,因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口,通过这个接口对IP过滤列表进行编辑及下载,简化了管理工作量,实现了大型网络路由器和交换机上策略参数的集中管理。
分系统设计
除了上述基础设施外,还必须有属于“上层建筑”安全措施。这便是分系统设计。
●安全运行中心
中国石油信息系统地域分散、规模庞大,与多个业务系统耦合性很强,如何将现有安全系统纳入统一管理平台,实现安全事件全局分析和动态监控,是中国石油广域网面临的主要问题。
建立安全运行中心,实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件,并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理,还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析,得出网络全局风险事件集,提供安全趋势报告,并通过远程状态监控、远程分发、实现快速响应,有效控制风险事件。
安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块,具体功能模块如图2所示。下边介绍几种主要功能。
(1)安全配置管理
包括防火墙、入侵检测、等安全系统的安全规则、选项和配置,各种 *** 作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、发布、学习和查询。
(2)网络监控
模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控,确定某个安全事件是否会发生,事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理,及时发现安全事件,并做出相应预警。
(3)内容监管
内容发布监控、内容访问监控以及内容传播监控。
中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。
总部级: 制定统一安全配置,收集所有汇总上来的数据,并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理,达到对信息安全全方位防御的目的。
区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控,也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等,并向总部安全运行中心上报相关数据。
地区公司级: 部署总部的统一安全配置,监控地区公司内部网络、主机、数据库、应用系统安全等,收集分析安全事件并做出及时响应,生成分析报告,定期向区域中心汇总。
●网络边界管理系统
中国石油网络按照其应用性质的不同和安全要求的不同,划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。
由于网络中不可控制的接入点比较多,导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全,其中重点保护与Internet直接连接的区域。
按照业务不同的安全程度要求,中国石油各个企业网络划分若干安全区域:
(1)业务区域: 企业重要信息集中在此,这里有核心数据库,可与相关单位交换信息。
(2)生产区域: 主要指各炼化企业的生产网络,实现生产在线监控和管理信息的传递。
(3)办公区域: 各单位的办公网,用户访问企业业务系统与互联网、收发电子邮件等。
(4)对外服务区: 通过因特网对外发布信息和进行电子商务的区域,该区域日趋重要。
(5)因特网接入区: 因特网浏览信息、对外交流的窗口,最易受攻击,要重点保护。
通过边界管理系统在中国石油各局域网边界实施边界管理,在内部部署入侵检测系统实施全面安全保护,并在对外连接处和必要的部位部署防火墙进行隔离。
通过入侵检测系统和防火墙联动,可以对攻击行为实时阻断,提高安全防护的有效性。
●网络准入控制系统
中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器(图3)。
(1)安全策略服务器: 它是网络准入控制系统的管理与控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(2)安全客户端平台: 它是安装在用户终端系统上的软件,可集成各种安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
(3)安全联动设备: 它是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器,提供标准协议接口,支持同交换机、路由器等各类网络设备的安全联动。
(4)第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,实现安全产品功能的整合。
链接
中国石油广域网安全设计原则
在中石油广域网络安全系统的设计中应遵循以下设计原则:
●高度安全与良好性能兼顾: 安全与性能相互矛盾,安全程度越高,性能越受影响。任何事物没有绝对安全,也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中,对不同安全程度要求,采用不同安全措施,从而保证系统既有高度安全保障,又有良好系统性能。所谓高度安全,指实现的安全措施达到信息安全级别的要求,对关键信息可以再高一个级别。
●全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障(如防火墙)被突破后,网络仍受到其他安全措施(如第二道防火墙)的保护。
●主动和被动相结合: 主动对系统中安全漏洞进行检测,及时消除安全隐患; 被动实施安全策略,如防火墙措施、ACL措施等等。两者完美结合,有效实现安全。
●切合实际: 有的放矢、行之有效,避免措施过度导致性能不应有的下降。
●易于实施、管理与维护。
●可伸缩性: 系统必须留有多余接口,以适应拓展需要。
●对产品和技术选择系统六原则: 先进性、标准性、简易性、实用性、集成性和扩展性。对服务器来说,硬盘因为其机械结构,是最容易出现故障的设备。但恰恰是这最容易出现故障的设备中,存储着对企业来说最至关重要的IT资源——数据。一旦硬盘出现故障,会给企业带来重大的损失。据统计,为了解决硬盘故障带来的损失,目前全球每年的数据恢复市场价值大约在千亿美元——而这仅仅是是企业损失的一小部分。近年来,为了解决这一问题衍生出了大量的技术如:Raid、双机热备等。但这些技术都是在基于增加磁盘的数量的方式来尝试解决问题,降低了数据丢失的概率,但同时大大增加了运维成本,提高了管理的难度。
为此,蚁巡运维平台尝试引入一种新的方式,通过远程实时监控服务器硬盘的健康状态,达到在不增加硬件成本和管理成本的基础上保障数据安全的做法。通过蚁巡运维平台,可以自动发现安装了SMART标准技术的硬盘并远程监控其磁盘的健康指标。
SMART的全称为“Self-Monitoring Analysis and Reporting Technology”,即“自我监测、分析及报告技术”。支持SMART技术的硬盘可以通过硬盘上的监测指令和主机上的监测软件对磁头、盘片、马达、电路的运行情况、历史记录及预设的安全值进行分析、比较。当出现安全值范围以外的情况时,就会自动向用户发出警告。几乎所有主流的硬盘,包括固态硬盘都支持这一技术。但该技术只适用于单机环境,且必须手工获取数据,使用该技术防止硬盘故障的管理成本很高。而在蚁巡中,可以批量的、远程的、实时的监控使用了该技术的硬盘,大大降低了管理成本。
同时,通过蚁巡还可以获得硬盘的使用时间、使用次数等基本指标数据。可以有效的评估硬盘的使用情况,从而进一步评估设备的使用率、寿命等信息。
据统计,通过这项技术,可以提前发现超过60%的硬盘故障,给企业带来的价值无可估量。基本查看服务端性能常用命令:
cup各核使用率,内存使用情况: top 按1;
服务端网络带宽查看:sudo iftop -n
1登录>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)