广州市招生考试委员会办公室招生考试信息系统安全加固项目

2020-09-24 16:41

项目建设内容

针对本次项目的具体情况,通过部署齐治运维管理系统,可以有效的解决运维部门当前运维过程中存在的各种问题: 以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径; 引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题; 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置,有效规避了非授权访问带来的问题; 密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险; 能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人;

设计思路

因为操作的风险来源于各个方面,所以必须要从能够影响到操作的各个层面去降低风险。齐治运维管理系统(下面简称:Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险。

集中管理是前提:只有集中以后才能够实现统一管理,只有集中管理才能把复杂问题简单化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。
身份管理是基础:身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的,因为所有的操作都是用户发起的,如果我们连操作的用户身份都无法确认,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。所以身份管理是基础。
访问控制是手段:操作者身份确定后,下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作,就等于没了控制,所以需要通过访问控制这种手段去限制合法操作者合法访问资源,有效降低未授权访问所带来的风险。
操作审计是保证:操作审计要保证在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。另外一个方面操作审计做为一种验证机制,验证和保证集中管理,身份管理,访问控制,权限控制策略的有效性。
自动运维是目标:操作自动化是运维操作管理的终极目标,通过让该功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的。

数据库安全审计系统技术方案

系统架构

DAS 网络引擎: 是 DAS 产品的核心组件,主要负责处理对数据库访问流量及 SQL 语句的解析,包括流量采集加速、数据捕获、协议识别、协议解析、 SQL 语句重写与分类、 数据库入侵检测等功能模块;
DAS 审计中心: 主要负责对审计日志、告警等信息的检索、分析和报表统计;
DAS WEB 控制台: DAS 产品的 WEB 控制平台,包括策略管理、网络管理、数据库管理、数据维护、日志管理、账号管理等配置模块;

防病毒网关技术方案

为了构建一个强壮、有效的边界防御体系,在分析了网络架构及相关应用之后,针对潜在的威胁传播方式及威胁类型,建议采用结合产品、防御策略、服务为一体的深度安全网关。
构建的深度网关安全防护系统要实现如下目标:

  • 提供精细化内容安全策略(下一代防火墙防护)功能

  • 提供APT及定向威胁防护

  • C&C违规外联防护

  • 零日攻击及漏洞防护

  • 提供服务器与终端设备入侵检测与虚拟补丁防护

  • 对基于网络应用的病毒传播进行高级防护

  • 对基于网络应用的间谍软件进行高级防护

  • 对基于网络应用的网络钓鱼行为进行阻断

  • 对基于网络应用的访问流量进行控制

  • 提供站到站 VPN 与流量过滤

  • 提供 SSL VPN与流量过滤

  • 提供 PPTP 与移动设备 VPN与流量过滤

  • 提供 DDoS 防护

  • 对基于网络应用的恶意URL地址进行阻挡

  • 对基于网络应用的非工作相关站点的访问进行控制

  • 对垃圾邮件进行有效的处理和防护

  • 对恶意邮件进行有效的处理和防护

  • 对应用程序进行精细化控制

信息安全监控预警系统技术方案

SecFox安全管理系统能够管理企业和组织IT资源中的各种网络设备、安全设备、主机和服务器、服务和应用系统,为用户提供一个全方位监控的统一管理平台,使得管理员通过一个单一控制台就能够进行实时全网监控,确保企业和组织IT资源的可用性,以及业务的持续性。
通过网络拓扑图,管理员可以直接进入各种设备和系统的管理配置界面,进行各种细致的配置操作,使得SecFox安全管理系统成为一个日常管理的统一入口,提高管理员的工作效率,提升应急响应效率。
产品特点

  • 统一的资源监控和预警

  • 全面的IT资源监控

  • 紧扣信息系统等级保护要求的安全监控

  • 以业务为核心的安全运行监控

  • 多层次IT安全监控

  • 安全设备策略集中管理

  • 可视化的监控手段

  • 跨设备协同响应与联动

  • 整体运行报表报告