【51CTO.com綜合報(bào)道】啟明星辰所進(jìn)行的2010年廣州亞運(yùn)會AGIS系統(tǒng)網(wǎng)絡(luò)安全保障建設(shè)，是在2008年奧運(yùn)信息安全保障支撐經(jīng)驗(yàn)以及對本次亞運(yùn)會AGIS業(yè)務(wù)系統(tǒng)、等級保護(hù)、ISO17799（ISO27001）、IATF、ITIL等相關(guān)標(biāo)準(zhǔn)理解的基礎(chǔ)上，分別對主數(shù)據(jù)中心、備份數(shù)據(jù)中心、場館及非場館區(qū)、AGIS與ADMIN互聯(lián)等安全區(qū)域，結(jié)合各安全區(qū)域的特點(diǎn)、安全需求，制定了詳細(xì)的安全策略，用到的網(wǎng)絡(luò)安全設(shè)備包括：防火墻系統(tǒng)、入侵檢測系統(tǒng)、業(yè)務(wù)審計(jì)系統(tǒng)、網(wǎng)閘、內(nèi)網(wǎng)安全管理系統(tǒng)以及網(wǎng)絡(luò)防病毒系統(tǒng)。

一、網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)邊界保護(hù)是AGIS網(wǎng)絡(luò)防護(hù)最基本的需求之一，特別是對重要節(jié)點(diǎn)和網(wǎng)段進(jìn)行邊界保護(hù)，包括數(shù)據(jù)中心、備份數(shù)據(jù)中心、重要的比賽場館和非比賽場館，對所有流經(jīng)網(wǎng)絡(luò)邊界的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防范各類攻擊行為，杜絕越權(quán)訪問，防止非法攻擊，抵御可能的DoS和DDoS攻擊。通過合理布局，形成多級的縱深防御體系。

1. 部署

AGIS防火墻系統(tǒng)部署位置及方式如下：

l      主數(shù)據(jù)中心與核心節(jié)點(diǎn)間部署兩臺高端防火墻系統(tǒng)，采用路由模式并實(shí)現(xiàn)雙機(jī)熱備，保障高可靠性；

l      備份數(shù)據(jù)中心與主數(shù)據(jù)中心間部署防火墻系統(tǒng)，采用路由模式并實(shí)現(xiàn)雙機(jī)熱備，保障高可靠性；

l      奧體中心體育館與奧體中心節(jié)點(diǎn)間部署兩臺高端防火墻系統(tǒng)，采用透明模式并實(shí)現(xiàn)雙機(jī)熱備，保障高可靠性；

l      l國際廣播中心第三方接入?yún)^(qū)域部署兩臺高端防火墻系統(tǒng)，采用透明模式并實(shí)現(xiàn)雙機(jī)熱備，保障高可靠性。

2.策略

針對AGIS網(wǎng)絡(luò)的安全要求，防火墻部署于數(shù)據(jù)中心、備份數(shù)據(jù)中心、奧體中心體育館和國際廣播中心等重要區(qū)域的出口，有效隔離重要區(qū)域與外部網(wǎng)絡(luò)，并通過嚴(yán)格的訪問控制策略，限制外部對重要區(qū)域的訪問，并執(zhí)行以下的安全策略：

（1）隔離安全區(qū)域

（2）訪問控制策略

（3）帶寬控制策略

（4）抗攻擊策略

（5）路由策略

（6）雙機(jī)部署策略

（7）高性能策略

（8）并發(fā)限制策略

（9）與入侵檢測聯(lián)動策略

二、入侵檢測

根據(jù)AGIS網(wǎng)絡(luò)的特點(diǎn)，在AGIS關(guān)鍵節(jié)點(diǎn)部署入侵檢測系統(tǒng)。入侵檢測是防火墻等其它安全措施的補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測。

1。部署

（1）主備數(shù)據(jù)中心

對于主備數(shù)據(jù)中心兩處數(shù)據(jù)流量較大的區(qū)域，分別部署兩臺高端天闐入侵檢測系統(tǒng)；主備數(shù)據(jù)中心的入侵檢測引擎上分別啟用兩個(gè)監(jiān)聽口，分別連接到區(qū)域核心雙交換機(jī)的鏡像（SPAN）口上，提供實(shí)時(shí)入侵檢測和響應(yīng)，重點(diǎn)監(jiān)測AGIS用戶對業(yè)務(wù)數(shù)據(jù)庫和應(yīng)用服務(wù)器主機(jī)的訪問行為，能夠?qū)崟r(shí)發(fā)現(xiàn)惡意用戶對重要的服務(wù)器系統(tǒng)進(jìn)行的非法訪問、惡意攻擊及蠕蟲傳播等行為并及時(shí)進(jìn)行報(bào)警和采取一定的響應(yīng)操作。

（2）重要場館

對于奧體中心體育館、奧體中心游泳館、廣州體育館、亞運(yùn)城綜合館這四處對性能要求較高但流量不是特別大的區(qū)域，分別部署一臺高端天闐入侵檢測系統(tǒng)實(shí)現(xiàn)入侵防護(hù)。

對于國際廣播中心/主新聞中心、運(yùn)動員村這兩處接入環(huán)境較為復(fù)雜但性能要求不高的區(qū)域，分別配置一臺中端天闐入侵檢測系統(tǒng)。

場館區(qū)域的入侵檢測引擎上啟用兩個(gè)監(jiān)聽口，分別連接到需要保護(hù)網(wǎng)段的主備交換機(jī)的鏡像（SPAN）口上，實(shí)時(shí)檢測、分析網(wǎng)絡(luò)上的通訊數(shù)據(jù)流，尤其是對無法通過邊界安全機(jī)制進(jìn)行控制的內(nèi)部網(wǎng)絡(luò)通訊數(shù)據(jù)流進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)行為和異常行為并進(jìn)行處理。

防火墻系統(tǒng)作為網(wǎng)絡(luò)與外界通信的第一道安全屏障，網(wǎng)絡(luò)入侵檢測系統(tǒng)作為第二道安全屏障，這樣即使外部網(wǎng)絡(luò)的攻擊能夠穿透防火墻而進(jìn)入局域網(wǎng)，也會立即被網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)現(xiàn)并攔截，同時(shí)，通過網(wǎng)絡(luò)入侵檢測系統(tǒng)與防火墻系統(tǒng)的聯(lián)動，可以動態(tài)調(diào)整防火墻上的安全策略設(shè)置，把后續(xù)的攻擊攔截在防火墻之外。

2. 策略

（1）防范網(wǎng)絡(luò)攻擊事件

（2）網(wǎng)絡(luò)行為檢測策略

（3）蠕蟲檢測策略

（4）監(jiān)控管理策略

（5）升級策略

（6）實(shí)時(shí)會話監(jiān)控策略

（7）實(shí)時(shí)系統(tǒng)監(jiān)控策略

（8）網(wǎng)絡(luò)流量統(tǒng)計(jì)策略

（9）安全聯(lián)動策略

（10）自身安全性策略

三、業(yè)務(wù)審計(jì)系統(tǒng)

AGIS專網(wǎng)的主備數(shù)據(jù)中心部署了大量的應(yīng)用系統(tǒng)和數(shù)據(jù)庫，是本次亞運(yùn)會的中樞神經(jīng)之一，是安全保護(hù)的重中之重，任何安全隱患都有可能在數(shù)據(jù)中心被放大到整個(gè)亞運(yùn)會上，對業(yè)務(wù)應(yīng)用系統(tǒng)及重點(diǎn)數(shù)據(jù)庫，啟明星辰部署了專業(yè)的業(yè)務(wù)審計(jì)系統(tǒng)以實(shí)現(xiàn)：

l      保證重要/關(guān)鍵服務(wù)器的安全；

l      l保證重要/關(guān)鍵數(shù)據(jù)的安全；

l      l有效控制操作風(fēng)險(xiǎn)；

l      進(jìn)行事后追查，提供數(shù)據(jù)記錄與追查方法。

1.部署

AGIS業(yè)務(wù)審計(jì)系統(tǒng)部署位置及方式如下：

主數(shù)據(jù)中心的業(yè)務(wù)審計(jì)系統(tǒng)部署在MDC核心交換機(jī)上，能夠確保所有的數(shù)據(jù)庫訪問行為都能流經(jīng)審計(jì)系統(tǒng)的監(jiān)測點(diǎn)，保障審計(jì)的全面性和效果。

備份數(shù)據(jù)中心的業(yè)務(wù)審計(jì)系統(tǒng)部署在SDC核心交換機(jī)上，能夠保障所有的數(shù)據(jù)庫訪問行為都能流經(jīng)審計(jì)系統(tǒng)的監(jiān)測點(diǎn)，保障審計(jì)的全面性和效果。

業(yè)務(wù)審計(jì)系統(tǒng)開啟兩個(gè)監(jiān)聽端口，分別部署到主備交換機(jī)的鏡像（SPAN）口上，重點(diǎn)實(shí)現(xiàn)數(shù)據(jù)庫訪問行為的全面記錄和審計(jì)。

2.策略

AGIS網(wǎng)絡(luò)的多項(xiàng)應(yīng)用是設(shè)計(jì)各應(yīng)用服務(wù)器和數(shù)據(jù)庫之間的調(diào)用，因此應(yīng)用服務(wù)器和數(shù)據(jù)庫必須對外進(jìn)行開放，針對這一特點(diǎn)，業(yè)務(wù)審計(jì)系統(tǒng)應(yīng)當(dāng)制定以下策略：

（1）基于角色的訪問控制與審計(jì)策略

（2）數(shù)據(jù)庫審計(jì)策略

（3）網(wǎng)絡(luò)會話記錄策略

（4）響應(yīng)策略

（5）安全審計(jì)報(bào)告生成策略

四、內(nèi)網(wǎng)安全管理

AGIS信息網(wǎng)絡(luò)中存在著大量的終端，分別部署在數(shù)據(jù)中心、比賽場館和非比賽場館，采用天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)作為AGIS內(nèi)網(wǎng)安全管理系統(tǒng)，對所有AGIS終端進(jìn)行內(nèi)網(wǎng)安全合規(guī)管理，實(shí)現(xiàn)如下功能：

l      l終端內(nèi)網(wǎng)合規(guī)準(zhǔn)入控制，保證只有合法和安全的終端接入內(nèi)網(wǎng)，同時(shí)確保每個(gè)接入的終端設(shè)備不可更改和網(wǎng)絡(luò)行為受控；

l      l終端接入內(nèi)網(wǎng)后，身份標(biāo)示不可更改，并且訪問全程受控，實(shí)現(xiàn)可信MAC地址管理，提高內(nèi)網(wǎng)合規(guī)管理執(zhí)行力；

l      通過技術(shù)手段貫徹AGIS終端信息安全規(guī)范，在保證普通USB設(shè)備可用的情況下禁用所有AGIS終端的移動存儲使用權(quán)限，杜絕USB移動存儲可能帶來的病毒威脅；

l      終端自身安全加固，全面提高內(nèi)網(wǎng)終端安全健康狀況和威脅抵御能力，杜絕因病毒導(dǎo)致的網(wǎng)絡(luò)阻塞。

1．部署

（1）統(tǒng)一安裝

內(nèi)網(wǎng)安全管理系統(tǒng)客戶端通過PC工廠的基礎(chǔ)鏡像統(tǒng)一安裝到接入AGIS網(wǎng)絡(luò)的所有終端。

（2）手動安裝

對臨時(shí)批準(zhǔn)接入AGIS的終端進(jìn)行內(nèi)網(wǎng)安全管理系統(tǒng)客戶端手工安裝并進(jìn)行安裝狀態(tài)檢查，符合要求后方可接入AGIS網(wǎng)絡(luò)。

2.策略

AGIS信息網(wǎng)絡(luò)內(nèi)終端的安全需求體現(xiàn)在接入可信、行為可控、自身健壯等幾方面。在技術(shù)方面重點(diǎn)執(zhí)行接入時(shí)的準(zhǔn)入控制，另外也考慮了對終端平臺的安全管理，從整體上將嚴(yán)格執(zhí)行以下的安全策略：

（1）基于802.1x的網(wǎng)絡(luò)準(zhǔn)入控制策略

（2）可信MAC認(rèn)證

（3）進(jìn)程監(jiān)控策略

（4）禁用網(wǎng)卡策略

（5）移動存儲管理策略

（6）終端審計(jì)策略

五、網(wǎng)絡(luò)防病毒

AGIS網(wǎng)絡(luò)具有終端多、分布廣的特點(diǎn)，大量的終端系統(tǒng)的分散部署和使用必然會使病毒入侵、傳播的渠道大大增加，病毒防御的任務(wù)更加艱巨，以往分散的、各自為政的單一層次的防病毒產(chǎn)品已經(jīng)難以滿足網(wǎng)絡(luò)防病毒現(xiàn)狀的要求，只有建立起覆蓋全網(wǎng)的、立體的、集中控制的防病毒網(wǎng), 并對其實(shí)施行之有效的組織管理，才能達(dá)到防控目的。

為有效防范病毒的入侵、傳播和對系統(tǒng)的破壞，我們引入了一套先進(jìn)的防病毒產(chǎn)品，實(shí)現(xiàn)對AGIS網(wǎng)絡(luò)信息系統(tǒng)全方位、多層次的整體防護(hù)，以及病毒防御系統(tǒng)的集中管理。

1.部署

（1）統(tǒng)一安裝

網(wǎng)絡(luò)防病毒系統(tǒng)客戶端通過PC工廠的基礎(chǔ)鏡像統(tǒng)一安裝到接入AGIS網(wǎng)絡(luò)的所有終端。

（2）手動安裝

對臨時(shí)批準(zhǔn)接入AGIS的終端進(jìn)行防病毒軟件手工安裝并進(jìn)行全盤掃描，符合要求后方可接入AGIS網(wǎng)絡(luò)。

2.策略

網(wǎng)絡(luò)防病毒系統(tǒng)安裝在AGIS網(wǎng)絡(luò)的所有終端上，實(shí)現(xiàn)本地的病毒查殺，同時(shí)利用部署在數(shù)據(jù)中心的病毒控管中心，實(shí)現(xiàn)病毒庫的統(tǒng)一升級，并對各個(gè)終端的病毒查殺情況進(jìn)行集中記錄，具體制定以下的安全策略：

（1）防護(hù)策略的自動配置

（2）文件系統(tǒng)對象的實(shí)時(shí)保護(hù)策略

（3）隔離可疑對象策略

（4）專殺工具集成

（5）采用安全通信機(jī)制

（6）病毒庫升級策略

（7）自動更新策略

（8）預(yù)掃描系統(tǒng)病毒策略

（9）定位病毒源頭病毒

六、安全隔離系統(tǒng)

按照本次亞組委信息技術(shù)部總體網(wǎng)絡(luò)規(guī)劃，AGIS網(wǎng)絡(luò)是一個(gè)封閉的專網(wǎng)，與互聯(lián)網(wǎng)實(shí)現(xiàn)物理隔離，但需要與亞運(yùn)會Admin網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互。為了滿足運(yùn)動會GMS系統(tǒng)、HELPDESK系統(tǒng)與亞運(yùn)會Admin網(wǎng)絡(luò)數(shù)據(jù)聯(lián)通需求，使用安全性能相對更高的安全隔離網(wǎng)閘作為隔離設(shè)備。

部署隔離網(wǎng)閘隔離AGIS專網(wǎng)與Admin專網(wǎng)，可以完全攔截多種外部非法攻擊行為，增加邊界網(wǎng)絡(luò)安全控制能力。通過網(wǎng)閘連通，進(jìn)行數(shù)據(jù)的交互。

1.部署

在AGIS與Admin的數(shù)據(jù)交換區(qū)域部署兩臺安全網(wǎng)閘系統(tǒng)，采用雙機(jī)熱備，保障高可靠性。

2.策略

（1）數(shù)據(jù)傳遞策略

（2）有效安全通道策略

（3）高可用保障策略

（4）系統(tǒng)工作狀態(tài)檢測與報(bào)警策略

綜上所述，啟明星辰在賽前對AGIS專網(wǎng)主要資產(chǎn)進(jìn)行了詳細(xì)的調(diào)研；對主要資產(chǎn)進(jìn)行了漏洞掃描、滲透測試及安全加固服務(wù)；對AGIS終端進(jìn)行了嚴(yán)格的基于可信MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制；對AGIS終端的外設(shè)包括USB、3G網(wǎng)卡等進(jìn)行了嚴(yán)格的限制；在測試的前提下及時(shí)更新網(wǎng)絡(luò)防病毒軟件；對AGIS安全設(shè)備進(jìn)行每天四次的巡檢；增加了SOC加強(qiáng)對AGIS的安全事件監(jiān)控。賽時(shí)發(fā)生的安全事件，均由AGIS信息安全團(tuán)隊(duì)根據(jù)賽前部署的安全措施、安全策略及事件處置預(yù)案進(jìn)行了妥善的處理，整個(gè)賽時(shí)信息安全風(fēng)險(xiǎn)均控制在可以接受的范圍之內(nèi)，無重大安全事故發(fā)生。