当前位置:
1、客户背景
中华人民共和国上海海事局是交通部直属重点海事单位。负责辖区水上安全管理、海上航标管理、水上安全通信管理、防止船舶污染及其他有关管理工作;按照授权,管理船舶和海上设施检验、港口航道测绘工作;负责船舶登记、船舶法定配备的操作性手册与文书审批、船舶所有人安全管理体系审核与监督和船员培训、考试发证、船员证件管理工作;负责辖区内水上搜救、污染事故应急处理和水上交通事故的调查、处理工作。目前,局机关内设处室19个,下属基层单位19个,现有职工2788人,拥有执法巡逻艇、航标工作船、测量船等各类船艇82艘及VTS、AIS、CCTV、CHISREP等现代化水上安全监督管理设施。
2、现状分析
- 如果上海海事局内部网络都直接和internet连接。上海海事局某些服务器分配了公网地址,可以被外界毫无限制地访问。任何来自Internet的用户都可以对这些服务器进行攻击,极易对服务器产生破坏。
- 由于需要开放一些内外网都能使用的服务器和服务端口,如邮件、WEB、FTP、TELNET等,就给企图入侵者留下了进入内部网络的直接通道。攻击者可以通过这些对外开放的服务端口直接攻击其它未对外开放的服务器,也可以通过这些TCP/IP服务的不安全因素,取得在这些服务器上的更高的权限,并进一步攻击内部网的其它服务器。
海事局网络结构中,各种数据库服务器、应用服务器、WEB服务器、网管工作站等重要的服务器和主机都是通过DDN专线直接与各海事处及航标处连接,内部员工对这些服务器可以很容易实施攻击。虽然在交换机上可以通过配置提供一些安全保证,但是其强度是不足的。
同时,海事局内部职工比较熟悉内部网络的情况,其攻击行为更容易取得成功。据权威数据表明,有97%的攻击是来自内部攻击和内外勾结的攻击,而且内部攻击成功的概率要远远高于来自于Internet的攻击,造成的后果也严重的多。
现在绝大多数病毒通过网络传播而且很多病毒具备攻击特征,如果不能有效的将各个海事处和航标处与海事局隔离开必定增加病毒感染、传播、爆发的机率。
上面从网络结构方面论述了来自外部以及内部的安全。这里,我们再从具体的对应用系统的安全威胁来看,此类安全威胁可以分为两类:
- 如果攻击者(外部普通人员)对上海海事局网络结构和系统应用模式缺乏了解,那么主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取重要数据;在现在通用的三层结构(数据库服务器-应用服务器-应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击。
- 如果攻击者(海事局职工)了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
- 非法用户获取应用系统的合法用户账号和口令,访问应用系统;
- 用户通过系统的合法用户账号,利用系统的BUG,访问其授权范围以外的信息;
- 攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户账号、非公开的系统访问途径等),从应用服务器或数据库服务器获取数据;
- 在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取机密信息。
这类攻击主要来源于内部,包括通过授权使用应用系统的人员,开发、维护这些应用系统的人员等。
3、方案设计
上海海事局下属9个海事处(分别是吴泾海事处,洋山海事处,董家渡海事处,金山海事处,兰州海事处,吴淞海事处,宝山海事处,崇明海事处,外高桥海事处),6个航标处(分别是连云港航标处,上海航标处,温州航标处,福州航标处,镇海航标处,厦门航标处),还有印刷厂,和东方明珠考试中心共17个下属单位统一配置防火墙RFW-SME200,拓扑结构如下图:
4、应用效果:
每个分支单位内网用户可以被授权访问其他两个区域,其中对互联网及上级海事局可以分别设置不同的策略。同时过滤分支单位对上级海事局和互联网之间的数据传输,实现海事局――海事处――互联网之间的逻辑隔离。
互联网用户可以授权访问分支机构的内网,需要对外提供服务的情况下可以通过SME动态域名功能申请获得动态域名并对外提供WEB、FTP等服务。