中国民航报社网络安全



 
 
1 项目概况
中国民航报社中国民航出版社是中国民航总局直属事业单位,是拥有包括报纸、杂志、图书、电教、新闻网站等多种传播手段的新闻出版联合体。报社整体网络架构比较单一,安全区域没有规划,且没有专业的工程师去做维护和管理。主要存在问题如下:
1. 报社网站每天被黑客攻击,数据库服务器每天有恶意脚本增加。
2. 3条链路都无法保障网络的稳定性,网速很慢。
3. 内部办公电脑被病毒感染,无法正常开机使用。
4. 无线AP接入到交换机,就会造成整个网络中断。
 
2 解决方案
经过我们公司专业技术人员排查:
网站攻击的主要来源是比较流行SQL注入攻击和DDOS攻击,由于报社出口的防火墙为比较老的传统防火墙无法识别SQL注入的攻击行为,造成网络受攻击比较严重。
报社虽然是3条链路接入,但仍然无法保证链路稳定性的主要原因是:没有专业的链路负载设备,所有链路都是通过出口防火墙的策略路由来做控制,达不到真正的智能选路、链路负载,从而造成链路没有冗余性,主链路断了,其他2条也无法接管网络。
报社单位内部办   公电脑感染病毒,主要是因为每个桌面都没有安装杀毒软件,且链路中也没有专业的防毒墙设备。
无线AP接入网络造成网络中断的主要原因是报社的核心交换机版本过低,只要接入AP,交换机马上会自动重启,从而造成网络中断。
为此我们提出添加深信服链路负载均衡设备,更换出口防火墙为深信服下一代防火墙并开通WEB防护模块,每个PC安装网络版杀毒软件,更换核心交换机等一整套网络安全解决方案,拓扑如下:

 
链路负载配置智能选路功能,实现单位领导提出的,访问联通走联通链路,访问电信走电信链路,使每条链路都能发挥最大的带宽价值。
防火墙划分外网区域、DMZ区域、内网区域。通过访问控制来控制访问权限,网站服务器和数据库服务器放在防火墙的DMZ区域,通过WEB防护模块、IPS模块、漏洞扫描模块来保证服务器的安全,阻断黑客的攻击。
核心交换机划分每个楼层都是不同网段的IP地址,通过上网行为管理可以清楚的看到每个楼层的带宽使用情况。
所有PC统一安装网络版杀毒软件,通过服务器统一更新病毒库,及时的查收病毒,保证内网的安全。
 
3 方案总结
此次方案已经全部实施完成,达到了预期的效果,整个报社的网络安全问题已经全部解决。