国家科技图书文献中心网络的安全加固

晃晃

1023 主题	3 听众	359 积分

设计实习生

Rank: 2

纳金币: 335582
精华: 0

电梯直达

楼主

发表于 2011-8-25 08:11:43 |只看该作者 |倒序浏览

国家科技图书文献中心（以下简称NST

L），包括多家成员单位，作为一个虚拟的科技文献信息服务机构，其目标是建设成为国内权威的科技文献信息资源收藏和服务中心。随着互联网的发展，读者通过网络进行论文查询、图书文献检索的现象已经非常普遍。但与此同时，作为公共机构由于其面向公众的特殊特点，其安全隐患备受重视。
应用背景：
NSTL各个成员单位分别在各自单位组建了独立的网络，分别通过光纤连接到NSTL，形成了一个提供科技文献信息服务的城域网。NSTL开通了网站服务，实现了国家图书馆、中国教育网（CERNET）、中国科技网（CSTNET）、总装备部情报所的互联，并在原有文献检索与原文提供的基础上，增加了联机公共目录查询、期刊目次浏览和专家咨询等新的服务。随着中心及各个分中心网络规模的扩大以及用户访问量的激增，网络安全事件时有发生。主要存在以下安全隐患：
l       网络缺乏层次化保护，无明确的安全分区：现有网络结构混乱，成员单位接入、服务器区的各业务类型全部混在一起，没有进行清晰的层次化划分，这样会造成非常多的越权访问，信息泄密，病毒泛滥等问题；
l       没有有效的入侵防护设施：原系统主要部署了防火墙产品，性能不足、设备老化，不能有效抵御蠕虫、木马、网页篡改、拒绝服务攻击、DDoS等各种新型安全威胁；
l       缺少网络流量分析手段：NSTL中心网络内各种流量没有进行有效的控制与管理，这些混杂的流量中极有可能掺杂有病毒和非业务流量，一旦发生网络事故，无法判断是何种流量或数据包造成的网络问题的出现。
l       缺乏有效的管理机制：整个系统没有有效的网络安全管理措施和工具，不能及时定位网络故障，有效监控系统运行状况，增加网络管理难度。
解决方案：
分析以上需求，国家科技图书文献中心主要缺少主动安全防护以及系统的统一管理，不能及时定位网络故障，有效监控系统运行状况。为此，需要对已有网络系统进行安全加固，提升综合安全防御能力。H3C为用户构建了以防火墙、抗DDoS系统、用户行为监管、入侵防御系统（Ips）、网络安全监控模块等为支撑的端到端的全面安全解决方案。

首先，对NSTL信息系统进行安全分区，针对每个区域设定了不同的安全策略。在NSTL互联网出口部署超万兆防火墙F5000-A5满足大容量数据访问需求；在前台服务区前端部署高端IPS T5000-S3 ，防御外部的入侵和攻击行为，与防火墙协同工作实现2-7层全面安全防御；同时在后台核心交换机中部署SecBlade 防火墙业务模块。通过防火墙和IPS将NSTL内部网、DMZ、前台服务区、后台服务区、互联网等安全区域分隔开，并通过制定相应的安全策略，以实现各区域不同级别、不同层次的安全防护。
其次，针对前、后台服务器区，作为网络中数据交换最频繁、资源最密集的地方，数据中心安全显得十分重要。一方面通过部署高性能核心交换机S9500系列，提供数据链路层的攻击防护；同时在核心交换机上融合各种安全业务板卡，实现多层次安全防护体系：SecBlade AFC异常流量处理插卡，在不影响正常业务的同时，彻底清除DDoS攻击流量；SecBlade ACG应用控制网关插卡，对网络中的P2P/IM、网络游戏、在线电影、非法网站访问等行为进行精细化识别和控制，并对用户上网行为进行深入分析与全面的审计；SecBlade NetStream插卡对网络中的所有业务流量进行精确的检测以及详细的统计。通过SecBlade  ACG与NetStream插卡，能够帮助用户全面了解网络应用流量，优化其带宽资源，为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据，实现真正的网络可视化，提高网络整体性能。同时，在后台服务器区和核心交换机上部署SecBlade SSL VPN插卡，有效实现NSTL和9个成员单位的安全互联，提高了沟通效率和资源利用效率。
最后，通过SecCenter安全管理中心和iMC智能管理中心的组合，有效满足NSTL信息系统全局安全管理的需求。通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高NSTL信息系统的整体安全防御能力，明显减少重复工作。
实施效果：
通过以上方案的部署，实现了NSTL与各成员机构、关联机构之间的安全互联，而且在对外的公共查询服务方面，构建了一套高性能、高可靠、可管理的网络系统，每天稳定接受数以千万次的论文查询、图书查询。各种蠕虫、木马、漏洞、网页篡改、DoS/DDoS等各种网络攻击得以拦截，P2P、网络游戏、多媒体等各种应用被精细化管理，NSTL的管理人员通过相比过去减少了被动式的“救火”，变为便捷轻松的统一管理。