国家超算济南中心安全解决方案
一、安全建设策略
采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时,能从不同的侧面有所反映,这样可以更全面的放映系统的安全现状,有利于系统安全的全面性。
使用不同等级的安全产品进行集成,在不同的网络环境使用与之相应的等级的安全产品,可以有效的减少系统投资。
在产品选型时,需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的,才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要,而不是一般的通用性产品。
采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性,对相应产品的管理控制提出了更高的要求,不但可以进行集中、分布的管理控制,还能够进行分级的管理控制以适应大规模网络的需要,同时不同安全产品之间应能够进行有效的互动,以提高系统的防御能力。
在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准,以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
二、安全建设目标
- 建立稳固的安全边界,实现网络系统与外界联网络系统的安全隔离与访问控制。
- 最大限度的控制网络系统本身固有的安全风险。
- 不定期进行弱点漏洞分析、不当的系统配置分析,消除网络系统本身存在大量的弱点漏洞和认为的操作或配置所产生
- 不当的与安全策略相违背的系统配置,减少入侵者可以利用来进行入侵的机会。
- 实现网络系统入侵行为的检测与防御。有效阻止来自外部的攻击行为,同时也能防止内部的违规操作行为。
- 控制网络内部敏感信息、保密信息在网络系统中无序传播;控制对不合法站点资源的访问。
- 保证网络系统桌面系统的安全。
- 提高操作系统的安全级别,实现系统级安全。
- 实现网络系统病毒的侦测与预防。
- 实现网络系统及数据库的安全。
- 保证网络系统中应用系统的安全。
- 实现网络系统的灾难恢复与数据的备份。
- 实现网络系统安全系统的集中管理。
- 为今后网上业务的开展打下基础。
三、安全解决方案
这里面主要包括三个大的方面:
其一,安全产品的部署,就当前超算中心的安全状况来看,在技术手段上的措施主要采用一些成熟的安全产品来完成;
其二,安全管理平台的建立,安全系统部署的初衷是为了及时发现、防御安全问题,但是大量的安全产品、网络设备、操作系统事件上报后,如何能够高效的进行分析,然后对事件采取措施,成为我们必须要关注的问题,建立安全管理平台,将来自各系统的事件进行归并,关联性分析等操作,将事件自动分析后送出,是安全管理平台建立的目的。
其三,安全风险评估的进行,对目前超算中心的情况的分析来看,很有必要进行周期性的涉及全网的安全风险评估项目,借助风险评估的结果,可以了解到当前网络从系统层、业务层、网络层上存在的问题,以便于我们可以合理的进行诸如网络资产的风险性认定、安全域的划分、安全系统的运行策略制定等问题;
四、安全产品部署方案
