【51CTO.com綜合報道】啟明星辰所進行的2010年廣州亞運會AGIS系統網絡安全保障建設，是在2008年奧運信息安全保障支撐經驗以及對本次亞運會AGIS業務系統、等級保護、ISO17799（ISO27001）、IATF、ITIL等相關標準理解的基礎上，分別對主數據中心、備份數據中心、場館及非場館區、AGIS與ADMIN互聯等安全區域，結合各安全區域的特點、安全需求，制定了詳細的安全策略，用到的網絡安全設備包括：防火墻系統、入侵檢測系統、業務審計系統、網閘、內網安全管理系統以及網絡防病毒系統。

一、網絡訪問控制

網絡邊界保護是AGIS網絡防護最基本的需求之一，特別是對重要節點和網段進行邊界保護，包括數據中心、備份數據中心、重要的比賽場館和非比賽場館，對所有流經網絡邊界的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，防范各類攻擊行為，杜絕越權訪問，防止非法攻擊，抵御可能的DoS和DDoS攻擊。通過合理布局，形成多級的縱深防御體系。

1. 部署

AGIS防火墻系統部署位置及方式如下：

l      主數據中心與核心節點間部署兩臺高端防火墻系統，采用路由模式并實現雙機熱備，保障高可靠性；

l      備份數據中心與主數據中心間部署防火墻系統，采用路由模式并實現雙機熱備，保障高可靠性；

l      奧體中心體育館與奧體中心節點間部署兩臺高端防火墻系統，采用透明模式并實現雙機熱備，保障高可靠性；

l      l國際廣播中心第三方接入區域部署兩臺高端防火墻系統，采用透明模式并實現雙機熱備，保障高可靠性。

2.策略

針對AGIS網絡的安全要求，防火墻部署于數據中心、備份數據中心、奧體中心體育館和國際廣播中心等重要區域的出口，有效隔離重要區域與外部網絡，并通過嚴格的訪問控制策略，限制外部對重要區域的訪問，并執行以下的安全策略：

（1）隔離安全區域

（2）訪問控制策略

（3）帶寬控制策略

（4）抗攻擊策略

（5）路由策略

（6）雙機部署策略

（7）高性能策略

（8）并發限制策略

（9）與入侵檢測聯動策略

二、入侵檢測

根據AGIS網絡的特點，在AGIS關鍵節點部署入侵檢測系統。入侵檢測是防火墻等其它安全措施的補充，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時檢測。

1。部署

（1）主備數據中心

對于主備數據中心兩處數據流量較大的區域，分別部署兩臺高端天闐入侵檢測系統；主備數據中心的入侵檢測引擎上分別啟用兩個監聽口，分別連接到區域核心雙交換機的鏡像（SPAN）口上，提供實時入侵檢測和響應，重點監測AGIS用戶對業務數據庫和應用服務器主機的訪問行為，能夠實時發現惡意用戶對重要的服務器系統進行的非法訪問、惡意攻擊及蠕蟲傳播等行為并及時進行報警和采取一定的響應操作。

（2）重要場館

對于奧體中心體育館、奧體中心游泳館、廣州體育館、亞運城綜合館這四處對性能要求較高但流量不是特別大的區域，分別部署一臺高端天闐入侵檢測系統實現入侵防護。

對于國際廣播中心/主新聞中心、運動員村這兩處接入環境較為復雜但性能要求不高的區域，分別配置一臺中端天闐入侵檢測系統。

場館區域的入侵檢測引擎上啟用兩個監聽口，分別連接到需要保護網段的主備交換機的鏡像（SPAN）口上，實時檢測、分析網絡上的通訊數據流，尤其是對無法通過邊界安全機制進行控制的內部網絡通訊數據流進行監控，及時發現違規行為和異常行為并進行處理。

防火墻系統作為網絡與外界通信的第一道安全屏障，網絡入侵檢測系統作為第二道安全屏障，這樣即使外部網絡的攻擊能夠穿透防火墻而進入局域網，也會立即被網絡入侵檢測系統發現并攔截，同時，通過網絡入侵檢測系統與防火墻系統的聯動，可以動態調整防火墻上的安全策略設置，把后續的攻擊攔截在防火墻之外。

2. 策略

（1）防范網絡攻擊事件

（2）網絡行為檢測策略

（3）蠕蟲檢測策略

（4）監控管理策略

（5）升級策略

（6）實時會話監控策略

（7）實時系統監控策略

（8）網絡流量統計策略

（9）安全聯動策略

（10）自身安全性策略

三、業務審計系統

AGIS專網的主備數據中心部署了大量的應用系統和數據庫，是本次亞運會的中樞神經之一，是安全保護的重中之重，任何安全隱患都有可能在數據中心被放大到整個亞運會上，對業務應用系統及重點數據庫，啟明星辰部署了專業的業務審計系統以實現：

l      保證重要/關鍵服務器的安全；

l      l保證重要/關鍵數據的安全；

l      l有效控制操作風險；

l      進行事后追查，提供數據記錄與追查方法。

1.部署

AGIS業務審計系統部署位置及方式如下：

主數據中心的業務審計系統部署在MDC核心交換機上，能夠確保所有的數據庫訪問行為都能流經審計系統的監測點，保障審計的全面性和效果。

備份數據中心的業務審計系統部署在SDC核心交換機上，能夠保障所有的數據庫訪問行為都能流經審計系統的監測點，保障審計的全面性和效果。

業務審計系統開啟兩個監聽端口，分別部署到主備交換機的鏡像（SPAN）口上，重點實現數據庫訪問行為的全面記錄和審計。

2.策略

AGIS網絡的多項應用是設計各應用服務器和數據庫之間的調用，因此應用服務器和數據庫必須對外進行開放，針對這一特點，業務審計系統應當制定以下策略：

（1）基于角色的訪問控制與審計策略

（2）數據庫審計策略

（3）網絡會話記錄策略

（4）響應策略

（5）安全審計報告生成策略

四、內網安全管理

AGIS信息網絡中存在著大量的終端，分別部署在數據中心、比賽場館和非比賽場館，采用天珣內網安全風險管理與審計系統作為AGIS內網安全管理系統，對所有AGIS終端進行內網安全合規管理，實現如下功能：

l      l終端內網合規準入控制，保證只有合法和安全的終端接入內網，同時確保每個接入的終端設備不可更改和網絡行為受控；

l      l終端接入內網后，身份標示不可更改，并且訪問全程受控，實現可信MAC地址管理，提高內網合規管理執行力；

l      通過技術手段貫徹AGIS終端信息安全規范，在保證普通USB設備可用的情況下禁用所有AGIS終端的移動存儲使用權限，杜絕USB移動存儲可能帶來的病毒威脅；

l      終端自身安全加固，全面提高內網終端安全健康狀況和威脅抵御能力，杜絕因病毒導致的網絡阻塞。

1．部署

（1）統一安裝

內網安全管理系統客戶端通過PC工廠的基礎鏡像統一安裝到接入AGIS網絡的所有終端。

（2）手動安裝

對臨時批準接入AGIS的終端進行內網安全管理系統客戶端手工安裝并進行安裝狀態檢查，符合要求后方可接入AGIS網絡。

2.策略

AGIS信息網絡內終端的安全需求體現在接入可信、行為可控、自身健壯等幾方面。在技術方面重點執行接入時的準入控制，另外也考慮了對終端平臺的安全管理，從整體上將嚴格執行以下的安全策略：

（1）基于802.1x的網絡準入控制策略

（2）可信MAC認證

（3）進程監控策略

（4）禁用網卡策略

（5）移動存儲管理策略

（6）終端審計策略

五、網絡防病毒

AGIS網絡具有終端多、分布廣的特點，大量的終端系統的分散部署和使用必然會使病毒入侵、傳播的渠道大大增加，病毒防御的任務更加艱巨，以往分散的、各自為政的單一層次的防病毒產品已經難以滿足網絡防病毒現狀的要求，只有建立起覆蓋全網的、立體的、集中控制的防病毒網, 并對其實施行之有效的組織管理，才能達到防控目的。

為有效防范病毒的入侵、傳播和對系統的破壞，我們引入了一套先進的防病毒產品，實現對AGIS網絡信息系統全方位、多層次的整體防護，以及病毒防御系統的集中管理。

1.部署

（1）統一安裝

網絡防病毒系統客戶端通過PC工廠的基礎鏡像統一安裝到接入AGIS網絡的所有終端。

（2）手動安裝

對臨時批準接入AGIS的終端進行防病毒軟件手工安裝并進行全盤掃描，符合要求后方可接入AGIS網絡。

2.策略

網絡防病毒系統安裝在AGIS網絡的所有終端上，實現本地的病毒查殺，同時利用部署在數據中心的病毒控管中心，實現病毒庫的統一升級，并對各個終端的病毒查殺情況進行集中記錄，具體制定以下的安全策略：

（1）防護策略的自動配置

（2）文件系統對象的實時保護策略

（3）隔離可疑對象策略

（4）專殺工具集成

（5）采用安全通信機制

（6）病毒庫升級策略

（7）自動更新策略

（8）預掃描系統病毒策略

（9）定位病毒源頭病毒

六、安全隔離系統

按照本次亞組委信息技術部總體網絡規劃，AGIS網絡是一個封閉的專網，與互聯網實現物理隔離，但需要與亞運會Admin網絡進行數據交互。為了滿足運動會GMS系統、HELPDESK系統與亞運會Admin網絡數據聯通需求，使用安全性能相對更高的安全隔離網閘作為隔離設備。

部署隔離網閘隔離AGIS專網與Admin專網，可以完全攔截多種外部非法攻擊行為，增加邊界網絡安全控制能力。通過網閘連通，進行數據的交互。

1.部署

在AGIS與Admin的數據交換區域部署兩臺安全網閘系統，采用雙機熱備，保障高可靠性。

2.策略

（1）數據傳遞策略

（2）有效安全通道策略

（3）高可用保障策略

（4）系統工作狀態檢測與報警策略

綜上所述，啟明星辰在賽前對AGIS專網主要資產進行了詳細的調研；對主要資產進行了漏洞掃描、滲透測試及安全加固服務；對AGIS終端進行了嚴格的基于可信MAC地址的網絡準入控制；對AGIS終端的外設包括USB、3G網卡等進行了嚴格的限制；在測試的前提下及時更新網絡防病毒軟件；對AGIS安全設備進行每天四次的巡檢；增加了SOC加強對AGIS的安全事件監控。賽時發生的安全事件，均由AGIS信息安全團隊根據賽前部署的安全措施、安全策略及事件處置預案進行了妥善的處理，整個賽時信息安全風險均控制在可以接受的范圍之內，無重大安全事故發生。