目录
- 项目概述
1.1 项目背景
随着国家信息化的不断推进与当前电子政务的大力建设,信息已经成为最
能代表综合国力的战略资源,因此,信息资源的保护、信息化进程的健康是关乎
国家安危、民族兴旺的大事;保障信息安全是国家主权、政治、经济、国防、社
会安全和公民合法权益保障的重要保证。
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基
本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保
障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础
信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建
立信息安全等级保护制度。
为组织各单位、各部门开展信息安全等级保护制度工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、
等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策休系,为指导各单位、各部门开展等级保护工作提供了政策保障。同时,在国内有关部门、专家、企业的共同努力下,公安部和标准化工作部门组织制订了信息安全等级保护的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
《中华人民共和国计算机信息系统安全防护条例》(国务院令第 147 号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院 147 号令的要求而制订发布的强制性国家标准《计算机信息系统安全防护等级划分准则》(GB17859-1999)为计算机信息系统安全防护等级的划分奠定了技术基础。《国
家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《关于印发< 信息安全定级保护管理办法>的通知》(公通字[2007]43 号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。
1.2 现状描述
1.2.1业务现状
主要应用系统情况如下:
- XX 应用系统承载对 XXX 功能等。
- XX 的业务信息包括:等。
- XX 平台的业务信息包括: 。
- XX 系统的业务信息包括 XXX 等。
- XX 系统主要是 XXX。
1.2.2基础设施现状
主要业务应用系统方面
| 序号 | 软件名称 | 主要功能 | 重要程序 |
| 1 | |||
| 2 | |||
| 3 | |||
| ... |
主要物理主机/存储设备
| 序号 | 设备名称 | 数量 | 操作系统/数据库管理系统 | 业务应用软件 |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| ... |
主要网络互连设备
| 序号 | 设备名称 | 数量 | 用途 | 重要程度 |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| ... |
主要网络安全设备
| 序号 | 设备名称 | 数量 | 用途 | 重要程度 |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| ... |
1.2.3系统差距分析
为了配合信息安全等级保护实施工作的开展,信息中心对定级的信息系统进行了等级保护差距评估,找出了差距,弥补存在的问题,具体情况如下:
物理和环境安全方面的差距
| 测评单元 | 存在问题 | 建议 |
网络与通信安全方面的差距
| 测评单元 | 存在问题 | 建议 |
设备与计算安全方面的差距
| 测评单元 | 存在问题 | 建议 |
应用与数据安全方面的差距
| 测评单元 | 存在问题 | 建议 |
安全管理机构与人员方面的差距
| 测评单元 | 存在问题 | 建议 |
安全建设管理方面的差距
| 测评单元 | 存在问题 | 建议 |
安全运维管理方面的差距
| 测评单元 | 存在问题 | 建议 |
- 需求分析
2.1 从合规维度分析
按照《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求 第 1 部分:安全通用要求》中等级保护第三级要求进行防护。至少应涵盖等级保护基本要求中的管理与技术要求。
另一方面,等级保护合规的要求在不断的向前演进,等级保护也从 1.0 时代 迈向 2.0 时代,原有的防护体系、技术手段面临这新的威胁和挑战,所以需要一套“新”合规建设方案,真正落地等级保护、不止合规的理念,建立动态应对新的安全威胁。
2.1.1 安全管理体系要求
考虑到安全形势不断变化,新的攻击方式和手段在不断的升级变化,由局部
变为全局安全防护,安全管理体系的建设变的尤为重要,在等保建设过程中,需
具备完善的安全管理体系和与之配套的相应管理工具,逐渐完善安全管理体系。
2.1.2 安全技术措施要求
整体包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据
安全。具体覆盖物理和环境安全、网络架构安全、网络访问控制、网络安全审计、
边界完整性检查、网络入侵防御、网络设备防护、数据完整性。可采取的主要安
全措施和技术包括但不限于防火墙、入侵防御系统、安全审计系统、防病毒网关、
应急响应中心、虚拟化防护、云堡垒、集中的容灾备份中心等,通过构建完整的
数据安全保护能力,为数据中心提供完整的数据传输安全、数据存储安全、数据
审计安全提供支撑。
2.2 从快速应对新安全威胁分析
业务系统随着使用人数、开放面的增加,对于攻击者而言,这样的业务
系统的价值非常大,但过去的等级保护建设着眼于合规,如何持续合规,如何快速应对新的安全威胁,对等保建设而言,需要不断的加强。另一方面,随着新安全需求的产生,安全需求的交付一定不能够滞后于业务的交付,所以需要一套能够快速部署、交付的安全产品,能够匹配业务新建引入的安全需求。
外部的威胁是在不断升级的,应对外部威胁的手段也应该是在不断提升的,可以通过建立与之配套的安全团队,也可以通过快速的安全方案的匹配达到持续、快速对抗外部威胁的能力。
2.3 从整体运营、运维分析
等级保护的建设、实施、完善一个安全体系的建立,需要依托于整体的安全管理框架和相关安全技术。最终等保的建设成果,能够建立一套面向安全决策、安全事件应急响应的流程。所以在建设前期,必须健全与安全设备配套的运营流程,能够针对安全设备的安全事件,结合日常运维动作,完善等保建设后的安全运营与运维,具体实现:
1. 威胁和日志的整体管理与运营;
2. 实现安全组件或设备的统一管理,避免过去安全设备管理配置分散化的现象;
3. 基于威胁(事前威胁感知、事中威胁防御、事后威胁溯源)的安全运营,建立健全整体防护体系。
2.4 等级保护的重要性
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高
信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的积极作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展起到重要的推动作用。
为推进信息安全等级保护工作的开展,公安部根据《中华人民共和国计算机
信息系统安全保护条例》(国务院 147 号令)的授权,会同国家相关部门共同推出了一系列指导等级保护具体工作开展的指导意见和规范,共同构成了信息安全 等级保护政策体系。
2.5 设计方案的重要意义
《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《关于 印发<信息安全定级保护管理办法>的通知》(公通字[2007]43 号)确定了实施信 息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展 信息安全等级保护工作的基本内容、工作流程、工作方法等。并且在《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)中指明了信息系统安全等级保护建设实施的基本流程包括:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个基本流程。如下图:
图 二-1 信息系统安全等级保护实施的基本流程
可以看到在五个基本流程中安全设计与实施对信息系统等级保护建设起到了承上启下的关键作用,既是总体安全规划的具体描述,也是安全运行与维护的依赖基础。有效的做好安全设计与实施环节的工作,是保障信息系统合规性建设
的至关重要的任务。
按照《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)中对于安全设计与实施环节的工作规划,安全设计方案对整体的安全设计与实施环节起到了纲领性作用。可以说安全设计方案是安全设计与实施环节中,有效把握信息系统安全体系整体建设,制定信息系统的安全策略,落实安全体系建设的
防护手段,控制项目建设投资与保障建设成果的关键依据。
因此,可以将安全设计方案视为信息系统等级保护建设工作中的灵魂,为安
全体系的建设与落实规划出明确的方向与方法,为信息系统运维工作的开展奠定
了坚厚的基础。
2.6 二级等保安全技术层面需求分析
2.6.1 计算环境安全需求
保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留
客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS,应用
软件等的安全需求。包括:
l 终端防病毒
病毒是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕
虫病毒的爆发,会立刻向其他子网迅速蔓延,这样会大量占据正常业务十分有限
的带宽,造成网络性能严重下降甚至网络通信中断,严重影响正常业务开展。因
此必须采取有效手段进行查杀,阻止病毒的蔓延危害整个网络。
l 主机审计
对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命
令等进行必要的记录审计,同时生成审计报表,便于日后的分析、调查、取证。
l 网络入侵行为检测
攻击行为不仅来自于大家公认的互联网等外部网络,在内部也要防止攻击行
为。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木
马、间谍软件、可疑代码、端口扫描、DoS/DDoS 等,能防御针对操作系统漏洞
的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。
l 安全加固
无论是审计、入侵检测或是防病毒,某种意义上来说都是被动防御,大都不
具备主动防御的能力。如在危险来临之前就能主动加固系统,增强系统本身的抵御能力,则在实际运行中发挥十分重要的作用。
2.6.2 应用系统安全需求
1. 网络行为审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理
用户误操作,将给信息系统带来致命的破坏。有必要进行基于网络行为的审计。
从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用
行为。
2. 统一双因素身份认证
对于系统资源以及设备的管理访问,大都局限于简单的用户名/口令这样的
单因素认证方式。单一密码方式被公认为弱身份,存在问题很多。如:容易受到
强力攻击、社会工程学指导下可以猜测密码、用户设置的密码强度较低(采用经
常采用名字、生日、电话号码等因素构成密码)。因此需要建立一种全新的认证
授权方式,双因素身份认证是目前有效且安全性很高的解决手段。
3. 系统风险评估及合规性检查管理
信息系统上具有大量的服务器系统,因此,对服务器各项服务的安全配置就
显得尤为重要,如果有一点疏忽也会直接造成审计署信息系统被攻击。我们建议
定期/不定期的全面掌握网络设备、安全设备、主机、应用系统、数据库系统的
风险情况,并以此在安全事件发生前进行加固,全面提高抗风险能力。并通过专
业的检查工具对信息系统进行等级保护的合规性检查,以此来发现信息系统安全
建设与标准要求是否一致,从而提供改进建议,为后续的安全建设提供指导。
4. 应用系统的防护
WEB 应用的普及使得在信息系统中存在的 WEB 服务器很容易成为黑客的攻击
目标。黑客采用当下主流的 WEB 应用层攻击获得 WEB 服务器的权限,随之可以窃
取核心的业务数据以及篡改网页挂马等。被攻击的业务系统带来很大的安全隐患,
造成信息丢失、泄露等安全事件。需要专业的 WEB 应用防火墙以及网页防篡改工
具有效阻止 WEB 应用层攻击及网页篡改事件的发生,维护 WEB 应用的安全。
5. 应用安全管理
从用户角度看,其业务系统的正常运转是最关心的核心问题,而业务系统能否实施良好的监控管理则是关键因素之一。因此需要技术手段对应用系统的状况
进行全面监控,能够全盘呈现业务环境,实施主动监控,进行运行趋势分析,及
时发现存在的问题。网站安全监测平台可以 7*24 小时轮训监测 WEB 应用系统的
可用性、漏洞、篡改、挂马、关键字等风险。并实时向管理员发出告警,以便第
一时间作出应对。
2.7 三级等保安全技术层面需求分析
2.7.1 区域边界的安全需求
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范
以及边界安全审计等方面。
l 边界访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据 信息进行控制,阻止非授权及越权访问。
l 边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中 出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
l 边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同
样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木
马、间谍软件、可疑代码、端口扫描、DoS/DDoS 等,实现对网络层以及业务系
统的安全防护,保护核心信息资产的免受攻击危害。
l 边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行
记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系
统。并可通过安全管理中心集中管理。
l 边界恶意代码防范
现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加
泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以
网络(包括 Internet、广域网、局域网)形态进行传播,因此为了安全的防护手 段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀
2.7.2 计算环境安全需求
保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留
客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS,应用
软件等的安全需求。包括:
l 终端行为的管理
终端设备部署较为分散,难于统一管理,操作人员的计算机水平也参差不齐,
因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非
授权访问、内部攻击等都都对信息系统安全造成威胁。各类终端和服务器系统的
补丁管理同样是一个重要问题。不及时的给系统打漏洞补丁会造成蠕虫以及不怀
好意者的入侵。
l 终端防病毒
病毒是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕
虫病毒的爆发,会立刻向其他子网迅速蔓延,这样会大量占据正常业务十分有限
的带宽,造成网络性能严重下降甚至网络通信中断,严重影响正常业务开展。因
此必须采取有效手段进行查杀,阻止病毒的蔓延危害整个网络。
l 主机审计
对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命
令等进行必要的记录审计,同时生成审计报表,便于日后的分析、调查、取证。
l 数据库审计
对于关键的数据库系统需要进行审计。异常的数据库操作将会造成数据的不
完整和数据丢失,必须对管理员特别是数据库管理员的操作行为进行审计,一方
面完整记录数据库的操作行为,另一方面对高危操作进行及时阻止干预。最大限
度的保护审计署核心信息资产的安全。l 网络入侵行为检测
攻击行为不仅来自于大家公认的互联网等外部网络,在内部也要防止攻击行
为。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木
马、间谍软件、可疑代码、端口扫描、DoS/DDoS 等,能防御针对操作系统漏洞
的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。
l 安全加固
无论是审计、入侵检测或是防病毒,某种意义上来说都是被动防御,大都不
具备主动防御的能力。如在危险来临之前就能主动加固系统,增强系统本身的抵
御能力,则在实际运行中发挥十分重要的作用。
2.7.3 应用系统安全需求
l 网络行为审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理
用户误操作,将给信息系统带来致命的破坏。有必要进行基于网络行为的审计。
从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用
行为。
l 统一双因素身份认证
对于系统资源以及设备的管理访问,大都局限于简单的用户名/口令这样的
单因素认证方式。单一密码方式被公认为弱身份,存在问题很多。如:容易受到
强力攻击、社会工程学指导下可以猜测密码、用户设置的密码强度较低(采用经
常采用名字、生日、电话号码等因素构成密码)。因此需要建立一种全新的认证
授权方式,双因素身份认证是目前有效且安全性很高的解决手段。
l 系统风险评估及合规性检查管理
信息系统上具有大量的服务器系统,因此,对服务器各项服务的安全配置就
显得尤为重要,如果有一点疏忽也会直接造成审计署信息系统被攻击。我们建议
定期/不定期的全面掌握网络设备、安全设备、主机、应用系统、数据库系统的
风险情况,并以此在安全事件发生前进行加固,全面提高抗风险能力。并通过专
业的检查工具对信息系统进行等级保护的合规性检查,以此来发现信息系统安全建设与标准要求是否一致,从而提供改进建议,为后续的安全建设提供指导。
l 应用系统的防护
WEB 应用的普及使得在信息系统中存在的 WEB 服务器很容易成为黑客的攻
击目标。黑客采用当下主流的 WEB 应用层攻击获得 WEB 服务器的权限,随之
可以窃取核心的业务数据以及篡改网页挂马等。被攻击的业务系统带来很大的安
全隐患,造成信息丢失、泄露等安全事件。需要专业的 WEB 应用防火墙以及网
页防篡改工具有效阻止 WEB 应用层攻击及网页篡改事件的发生,维护 WEB 应
用的安全。
l 应用安全管理
从用户角度看,其业务系统的正常运转是最关心的核心问题,而业务系统能
否实施良好的监控管理则是关键因素之一。因此需要技术手段对应用系统的状况进行全面监控,能够全盘呈现业务环境,实施主动监控,进行运行趋势分析,及 时发现存在的问题。网站安全监测平台可以 7*24 小时轮训监测 WEB 应用系统的 可用性、漏洞、篡改、挂马、关键字等风险。并实时向管理员发出告警,以便第 一时间作出应对。
l 数据统一备份
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。
因此数据的备份十分重要,是必须考虑的问题。建立数据的统一备份,是应对突
发事件的必要措施。
2.7.4 通信网络的安全需求
通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、
通信完整性与保密性等方面。
l 网络结构
网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构
需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划
分网段和 VLAN。
l 网络安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查
带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企
图的少部分用户,以利于规范正常的网络应用行为。
l 网络设备防护
由于信息系统中将会使用大量的网络设备,如交换机、防火墙、入侵检测设
备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。
如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是
设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板
攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被
篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。
l 通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上
存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而
且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输
和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭
受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
l 网络可信接入
对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入
端口,这对于随时随地快速接入到网络进行办公是非常便捷的,但同时也引入了
安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全
边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文
件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合 法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。
2.7.5 管理系统安全需求
完整的安全技术体系的搭建需要众多的安全设备和安全系统,型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。有限的管理人员难以对安全
设备进行集中管理、及时快捷的部署安全策略,全面掌握设备运行和网络运行的
风险状况。如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的
问题。 所以,需要建立安全管理中心,进行运行监控和安全风险管理。
l 集中运行监控
能够实现对下一代防火墙、WEB 应用防火墙、数据库审计、漏洞扫描、网
闸、网络设备、服务器/主机等设备的进行全面的监控管理,实时掌握各设备的
部署情况、运行状况、设备的接入\断开变动。
当网络资源和设备受到攻击,或运行异常时,会以告警等信息方式,通知管
理员。
l 统一风险管理
实现集中采集下一代防火墙、WEB 应用防火墙、数据库审计、漏洞扫描、网闸、网络设备、服务器/主机等设备的安全日志和事件,并进行统一的存储、备份、管理和统计分析,能够协助管理员实时监测网络中的攻击行为和安全风险,
以及时调整安全设备策略,积极应对安全威胁,从而实现网络的整体安全。建立集中的安全运行监控系统和统一的风险管理系统是有效帮助安全管理人员实施好安全措施的重要保障,是实现业务稳定运行、长治久安的基础。
l 内部运维人员的安全管理
针对信息安全风险的事件中,有 70%以上来自内部,其中包括内部人员的
越权访问、滥用、误操作等,以及访问控制不严格、设备自身日志简单、日趋复
杂的系统、难以定位实际责任人、用户操作难以审计等因素都可能造成风险。因
此,完善的运维审计系统是应用安全建设中不可缺少的组成部分,目前大多数企
业对远程操作仍没有特别有效的审计手段,通过运维审计能够有效地监控远程操
作协议,如 RDP、SSH、TELNET、FTP 等,以减少因远程运维而发生的信息泄密的事件。
- 整体方案设计
3.1 方案设计依据
2007 年 6 月,《信息安全等级保护管理办法》(公通字【2007】43 号文件) 正式出台。
2017 年 6 月 1 日,《网络安全法》正式实施,正式将网络安全提高到国家国 家安全的高度,也通过法律的形式明确提出了加强对关键基础设施和其数据保护。
以上相关文件对国家关于网络安全的相关政策、法律法规作了详细说明:
1)法律法规
《中华人民共和国网络安全法》
2)四大标准
信息系统安全保护等级定级指南(GB/T 22240-2008)
信息系统安全等级保护基本要求(GB/T 22239-2008)
信息系统安全等级保护实施指南(国家标准报批稿)
信息系统安全等级保护测评准则(国家标准报批稿)
3)技术标准
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术 服务器技术要求》(GB/T21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)
4)管理标准
《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
《信息技术 安全技术 信息安全管理体系要求》(GB/T 22080-2008)
《信息技术 安全技术 信息安全管理实用规则》(GB/T 22081-2008)
- 服务标准
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
3.2 方案设计原则
在项目实施过程中,将遵循以下原则:
l 符合性原则:项目建设要符合国家等级保护政策和标准规范要求,通过
专业等级保护测评机构的测评,并到公安部门及上级主管单位完成备案;
l 适度安全原则:安全防护工作的根本性原则,指安全防护工作应根据重
要信息系统的安全等级,平衡效益与成本,采取适度的安全技术和管理
措施;
l 可控性原则:指相关的项目组人员应具备可靠的职业素质和专业素质;
项目实施过程中技术工具的使用可控,避免引入新的风险;项目过程可
控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可
控性;
l 最小影响原则:从项目管理层面和技术管理层面,项目的实施过程对信
息系统正常运行的影响降低到最低限度,以确保日常业务的正常运行;
l 保密性原则:相关安全防护工作人员应签署协议,承诺对所进行的安全
防护工作保密,确保不泄露重要信息系统安全防护工作的重要和敏感信
息。
3.3 总体设计思路
在进行安全体系的方案设计中,将根据国家信息安全等级保护相关 要求,通过分析待建系统的实际安全需求,结合其业务信息的实际特性,并依据及参照相关政策标准,建立符合待建系统的信息安全保障体系框架,设计安全保
障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安
全稳定运行。具体设计将遵循以下思路开展:
1. 合规性建设与业务风险结合分析的思路
通过对信息系统现状进行实际调研,利用差距分析的方法与《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(以下简称“《基本要求》”)
的控制项进行符合度比对分析,掌握系统防护现状与基线要求间的实际差距。并
采用信息安全风险评估的方法,对信息系统进行全面的资产、脆弱性、威胁和业
务风险等方面系统化的测评分析,发现基于业务的安全风险问题。将差距分析结
果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并
充分保障业务安全的建设需求。
2. 安全保障体系框架设计思路
设计方案将遵循《信息安全技术 信息系统等级保护安全设计技术要求》
(GB/T 25070-2010)(以下简称“《安全设计技术要求》”),结合《信息保障技术 框架》(IATF),落实《基本要求》与建设需求,从宏观层面为信息系统构建符合 纵深防御战略思想的多重防御体系框架,充分保证建立的安全保障体系的合规性、 完整性、先进性与高可用性。
3. 基于应用的安全策略设计思路
以安全保障体系框架为主体,深入开展基于系统应用的流程分析与策略梳理,
通过对信息系统安全建模,将信息系统每一层面的安全控制有效落实至安全保障
体系框架的各层防护之中,实现安全保障体系建设的高灵活性、高符合性与高适
应性。
4. 统一规划、分步实施的思路
方案设计过程中,将立足于信息化的长期发展规划,从宏观战略层面制定完
整统一的安全保障体系规划。并且充分考虑信息化建设每一阶段的切实的安全需
求,制定符合信息系统发展需求的阶段性安全规划。保证信息化安全建设的合理
性与可持续性。
3.4总体技术路线
将根据目前国内外安全理论和标准的发展,在设计和建设信息安全
保障体系中主要采用如下技术方法:
3.4.1 风险管理设计方法
风险管理(Risk Management)旨在对潜在机会和不利影响进行有效管理的
文化、程序和结构。风险管理是良好管理的一个组成部分,它用一种将损失减小
到最低程度而使商业机会达到最大限度的方式,对与机构的任何活动、功能和过
程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险
管理既是为了发现商业机会,同样也是为了避免或减轻损失。风险管理过程(Risk
Management Process)是指系统地将管理方针、程序和实施应用于风险的环境建
立、鉴定、分析、评价、处理、监控和信息交流等任务。
将采用《安全风险评估规范》中的信息安全风险评估模型,并提取其中的关键要素建立风险分析的最终方法,如下图示意图所示:
在完成基于资产风险分析的基础上,结合前期信息系统业务梳理的成果,将资产风险有效地与业务流程相关联,分析资产风险对业务流程产生的风险隐患,确认信息系统的整体业务流程风险。
3.4.2 体系化设计方法
一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一
不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国内外
安全保障理论也在不断的发展之中,根据等级保护安全技术和安全管理的整体框
架,并根据信息系统的实际情况,参照国际安全控制框架的有关标准,形成符合
信息系统的安全保障体系框架。在方案设计中选定安全技术、安全管理和安全运
行为最后的整体安全保障体系框架结构。
3.4.3 多重防护设计方法
信息系统安全体系建设的思路是根据分区分域防护的原则,按照一个中心三
重防护的思想,建设信息系统安全等级保护深度防御体系。
按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安
全通信网络三部分,以计算节点为基础对这三部分实施保护,构成由安全管理中 心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心, 三重防护”结构。
3.5 安全设计框架
XXX 信息中心外网信息系统安全保障体系框架将以外网信息系统做为安全
保护对象的基础,制定了标准的安全方针和总体策略,采用“结构化”的分析和
控制方法,把控制体系分成安全管理、安全技术、安全服务的控制体系框架,建
立的满足等级保护整体安全控制要求的安全保障体系。
XXX 信息中心外网信息系统安全保障框架总体示意如下图示意图所示:
XXX 信息中心外网信息系统安全保障主体是业务系统,安全保障框架所有
安全控制都应以安全方针、策略做为安全工作的指导与依据,落实安全管理和安
全技术两大维度的具体实施与维护,以业务系统的安全运营为信息安全保障建设
的核心,并辅以安全评估与安全培训贯穿信息安全保障体系的全过程,形成风险
可控的安全保障框架体系。各层面的具体说明如下:
(一) 业务系统:
是 XXX 信息中心外网信息系统安全保障框架的核心,其实现业务功能的信
息系统安全保护等级决定了整体安全保障的强度和力度。
(二) 安全策略体系:
指导 XXX 信息中心外网信息系统核心业务信息系统安全设计、建设和维护
管理工作的基本依据,所有相关人员应根据工作实际情况履行相关安全策略,
心制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全标准体系相
关工作。
(三) 安全管理体系:
落实安全管理机构、人员、建设、运维安全管理等相关要求,指导 XXX 信
息中心外网信息系统安全职能的落实、岗位设置和相关人员的安全管理,建立
覆盖组织、策略和技术的流程和规范,重点关注系统建设和系统运维管理控制
要求,指导 XXX 信息中心外网信息系统安全管理、实施和运维的具体实现。
(四) 安全技术体系:
落实安全技术相关控制要求,实现物理、网络、主机、应用和数据的所
有安全控制项,通常采用安全产品加以实现,辅助安全技术以增强安全控制
能力。
(五) 安全服务体系:
在信息系统的整个生命周期中,通过安全评估、安全加固、应急响应、代
码审计、安全监测、安全培训等信息安全技术,对信息系统的各个阶段进行检
查、控制与修正,保障信息系统的持续安全运营。
- 安全设计方案
4.1 设计方案效果
(提交整体网络设计拓扑图)
安全整体框架主要围绕层面建设,分别为:
物理安全:物理设施安全:通过门禁系统、视频监控、环境监控等实现数据
中心环境、物理访问控制、设施层面的安全。
网络安全:通过防火墙、IPS/IDS、SSL/IPSEC VPN、抗 DDoS 攻击等技术手段,
实现对网络系统中的系统和通信数据进行保护,不因偶然的或者恶意的原因而遭
受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
主机安全:通过等保一体机中的漏洞工具、病毒查杀等技术手段,实现对数
据中心的虚拟机、网络设备、操作系统、中间件和数据库的安全防护,保障用户虚拟机、网络设备、操作系统、中间件和数据库不受数据中心内外网络的病毒感
染威胁,黑客入侵威胁,安全漏洞威胁,使得用户的业务得以长期、稳定的运行。
数据安全:数据是企业的核心资产。通过部署堡垒机、数据库审计等技术,
实现对数据的安全防护,防止数据泄密、丢失、篡改等行为,并可以在数据异常
操作发生后实现安全事件的追溯,从源头保障数据安全。
应用安全:通过对恶意代码检测、黑链检测、网页防篡改、应用控制、Web
应用安全防护等技术,实现对于数据中心的关键应用,如电子邮件、web 应用、
门户网站等的安全防护,保障用户的应用数据能够不受破坏、更改、泄漏。
安全管理:通过制定完善管理体系,形成规范的管理流程,包含管理流程、
组织架构、安全策略,结合云安全运维体系。通过统一的安全运维接入和接入访
问控制解决方案,实现对云数据中心用户核心业务的操作系统、数据网络设备等
IT 资源的帐号、认证、授权和审计的集中控制和管理。同时,通过将操作日志发 送到统一安全管控中心,可以由统一安全管控中心进行关联分析,及时发现安全 风险,为信息安全事件提供责任认定、调查取证的证据。
4.2 安全网络设计框架
4.2.1 区域边界安全设计
信息系统的区域边界安全设计主要指内、外部边界的安全防护措施。 外部边界:指的是不同子网之间的边界(如:外部网与内部网络边界处)。 内网边界:指的是各个子网不同安全域的边界(如:核心业务区、安全管理
区的边界处等)。
根据内、外部不同边界的不同属性分别进行了防护措施设计,采用了下一代
防火墙、VPN 网关(下一代防火墙模块)、入侵防御系统(下一代防火墙模块)、
安全隔离网闸、防病毒网关(下一代防火墙模块)、异常流量管理(下一代防火
墙模块)等设备。
4.1.1.1 外部边界
4.1.1.1.1 下一代防火墙
下一代防火墙采用了最新的多核体系架构,实现防火墙性能的跨越式突破。
通过将下一代防火墙部署在信息系统各个子网边界处,可以提供传统防火墙、IPS
防攻击、VPN、防病毒、行为监管、反垃圾邮件等模块。支持深度状态检测、外
部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,
能够有效的保证信息系统的网络的安全。是边界防护的最佳选择。本期采用原有的六台防火墙设备,不另外采购相关防火墙设备。
4.1.1.1.2 安全隔离网闸
有些子网间可能需要进行数据交换,因此需要对传输协议、传输内容、安全
决策等进行严格的检查,以此防止子网间相互引入风险。可以通过在各个子网的边界上,部署安全隔离网闸,对内网实现按需数据同步。在涉密网边界处实行物理隔离,完全切断与其他子网的通信。通过这种方式,可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的 TCP/IP 连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
4.1.1.2 内部边界
4.1.1.2.1 下一代防火墙
在信息系统的各个子网中划分的不同的安全域,在这些安全域的边界处通过
部署下一代防火墙,并开启防火墙功能模块,可以对所有流经下一代防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包
屏蔽,杜绝越权访问,防止各类非法攻击行为,从而达到保护子域中服务和系统
的目的。同时,可以在防火墙上对访问行为进行记录和审计,对入侵和非法访问
进行跟踪以及事后分析。与外部边界下一代防火墙组成多层防护的安全防护体系
本期采用原有的六台防火墙设备,不另外采购相关防火墙设备。
4.1.1.2.2 网络入侵防御系统
必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵
防护系统就是安全防护体系中的重要一环,它能够及时识别网络中发生的入侵行 为并实时报警并且进行有效拦截防护。入侵防护系统是继“防火墙”、“信息加密”等传统安全保护方法之后的新一 代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS 就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。本期利用原有防火墙的入侵检测模块,对于未配置 IPS 的防火墙,进行布放相关 IPS 设备。
4.1.1.2.3 防病毒网关
现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加
泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快,传播渠道
更多、病毒感染对象越来越广。一旦办公终端区的主机感染病毒,病毒可能主动
的对整个内部网络中所有主机进行探测,一旦发现漏洞主机,将自动传播。整个
探测过程会极大的消耗网络的带宽资源,并且可能造成病毒由办公终端安全域传
播到其他重要的业务服务安全域和管理安全域中,引发攻击和破坏行为。
斩断传播途径是防止传染病爆发最为有效的手段之一,而这种防治手段不仅
在传染病防治方面十分有效,在防止计算机病毒扩散方面起到了同样的效果。
因此,通过下一代防火墙的防病毒模块可以防护来自其他子网及子域中的病
毒入侵,从而有效防止病毒在内网中传播。下一代防火墙的防病毒功能模块和桌
面防病毒软件应为不同的厂家产品。
4.1.1.2.4 VPN 虚拟专网
不同部门的内部用户可以通过 VPN 的方式对信息系统进行访问。VPN 访问 可以做为专线访问方式的冗余链路。在 VPN 接入安全域(用户端)部署了 VPN 网关,负责与信息系统进行 VPN 互联。
在信息系统的重要安全域的边界处开启下一代防火墙的 VPN 网关功能,保
证合法的用户可以通过防火墙,与 VPN 网关建立 VPN 隧道,保护所承载的信息 系统网络内部的敏感数据。下一代防火墙的VPN模块在技术上采用标准的IPSEC 协议,采用隧道技术以及加密、身份认证等方法,在网络上构建专用网络的技术, 数据通过安全的“加密管道”在网络中传播。各个子域内部业务访问中涉及的敏 感信息可以在受保护的隧道内加密传输。
IPSec 提供的安全服务包括:
保密性——IPSec 在传输数据包之前将其加密.以保证数据的保密性。
完整性——IPSec 在目的地要验证数据包,以保证该数据包任传输过程中没
有被修改或替换。
真实性——IPSec 端要验证所有受 IPSec 保护的数据包。
防重放——IPSec 防止了数据包被捕捉并重新投放到网上,即目的地会拒绝
老的或重复的数据包,它通过报文的序列号实现。
我们开启在各个安全域部署的下一代防火墙上的 VPN 模块在各个子网间实
现 VPN 隧道。
4.2.2 计算环境安全设计
4.2.2.1 终端安全管理
信息系统内部办公终端安全域和各个子网数据处理的过程中,内部泄密和内
部攻击已经成为威胁网络安全应用的最大隐患。在各子网办公终端主机上统一部
署内网安全管理系统,通过对终端和访问行为进行限制和保护,达到安全业务访
问的目的。同时,可以部署内网安全管理系统的管理主机服务器、控制台、数据库,对各子网终端主机进行统一的管理。
通过部署内网安全管理系统,可实现终端安全加固、网络接入控制、非法外
联控制、资产管理、I/O 接口管理、终端配置维护、终端审计监控等功能
终端安全加固
实现补丁管理,对内网终端计算机补丁状态进行定期检测并自动安装与更新。
实现防病毒软件监测,判断终端计算机是否安装了防病毒软件、防病毒软件
运行是否正常以及病毒库是否保持最新等情况,并对于未进行防病毒软件部署的
主机进行内网接入限制实现主机防火墙功能,有效防范网络入侵和攻击行为
网络接入控制
对接入内网的终端计算机进行身份鉴别或者安全状态检查,阻止未授权或不
安全的终端计算机接入内网和访问内网资源。
非法外联控制
通过控制外接设备的使用和终端计算机的拨号行为进行网络非法外联控制,
充分保证内网计算机安全性
资产管理
实现终端计算机的硬件配置(包括 CPU 类型、主频、内存、硬盘、显示卡、
网卡等等)的自动登记,使网管人员在控制台的机器上,可以观察到各个机器的
配置信息
能够自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统
日志、共享资源、以及补丁、端口等信息统计汇总,并可进行分类管理
I/O 接口管理
管理员可集中制定策略,允许或阻断用户对受控终端的各种输出设备进行访
问,包括 USB 可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA
设备、COM/LPT 端口、1394 设备、红外设备等;对本地打印机使用情况进行审
计;对受控终端的可移动存储设备的使用情况进行审计;对拨号访问情况进行审
计
终端配置维护
通过终端管理系统,IT 管理人员可获得终端计算机各种相关信息,如主机名、IP 地址、网络参数、帐户信息等 IT 管理人员可以响应远程终端计算机的协助请求,临时接管远程终端计算机,
进行本地化操作。
终端审计监控
对终端计算机运行的进程进行监控,可限制用户运行某些程序。
4.2.2.2 网络防病毒
病毒是对信息系统网络的重大危害,病毒在爆发时将使路由器、3 层交换机、
防火墙等网关设备性能急速下降,并且占用整个网络带宽。
针对病毒的风险,我们建议通过终端与网关相结合的方式,以用户终端控制
加网络防火墙进行综合控制。重点是将病毒消灭或封堵在终端这个源头上。在所
有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力,与
防病毒网关组成纵深防御的病毒防御体系。
同时部署防病毒服务器,负责制定和终端主机防病毒策略,在各子网分别建
立统一的升级服务器,升级服务器通过手工方式获得最新的病毒特征库,分发到
子网节点的各个终端,在外部边界及内部边界通过防火墙进行基于通信端口、带
宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。
同时,防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志,
为全网的病毒防护管理提供必要的信息。
本期通过利用防火墙的防病毒模块进行病毒的防护同时,在主机和终端都安
装相应的杀毒软件,进行主机病毒的查杀。
4.2.2.3 数据库审计
针对信息系统核心数据库,将通过部署数据库审计系统,对用户行为、用户
事件及系统状态加以审计,从而把握数据库系统的整体安全。
数据库是核心业务开展过程中最具有战略性的资产,对于信息系统来说通常
都保存着重要的机密信息,这些信息需要被保护起来,以防止其他非法者获取。
部署数据库审计系统,可以实现对核心数据库的“系统运行可视化、日常操作可跟踪、安全事件可鉴定”目标,解决数据库所面临的管理层面、技术层面、审计层面的三大风险,以满足不断增长的业务需要。数据库审计系统的目的概括来说主要是三个方面:一是确保数据的完整性;二是让管理者全面了解数据库实际发生的情况;三是在可疑行为发生时可以自动启动预先设置的告警流程,防范数据库风险的发生。
数据库审计系统对于数据库的安全防护功能,概括起来体现在以下几个方面:
第一:数据库审计系统采用“网络抓包、本地操作审计”组合工作模式,为
后续的日常操作跟踪、安全事件鉴定奠定了基础。
数据库审计系统依赖其独特的数据库安全策略库,实现细料度的安全审计,
并根据事先对不同业务应用设置的安全策略采取诸如产生告警记录、发送告警邮
件(或短信)、提升风险等级、加入黑名单等响应。同时,数据库审计系统可以
提供多视角的审计报告,即根据实时记录的网络访问情况,提供多种安全审计报
告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全
审计报告进一步修改和完善数据库安全策略库。
第二、当数据库发生危险操作时,可以根据事先的安全策略采取相应的防护
措施,并为后续的安全事件责任鉴定提供详细的审计记录。任何有意/无意的越
权操作、违规操作等高风险操作行为都将被有效的遏制。真正实现数据库操作的
可视化、可跟踪、可追溯。
第三、通过部署数据库审计系统区别出非正常模式的访问造成系统阻塞或宕
机。 例如,存在用户以恶意或无意的方式发起对应用前台 WEB 服务(如门户网站) 的频繁访问,造成 WEB 服务或后台应用服务、数据库服务的高负载或服务崩溃的 可能性,或直接对数据库系统发起拒绝服务攻击。
系统管理员可以通过查看审计日志区分系统的高负载是由于正常的用户访
问还是出自个别用户的异常行为,判定是否发生了攻击行为,假如是攻击行为则
可以根据客户端 ip 等其它信息确定攻击来源。
第四、及时发现用户对系统敏感数据进行不合理的操作。
部分应用系统的开发商在系统中未提供基本的用户操作审计能力,即记录所
有用户的详细操作行为并提供方便的查询功能,即使绝大多数数据库系统也都没
有配置用户具体访问行为的记录。通过部署数据库审计系统,设定相应的审计规则。当用户未经授权对敏感信息进行了不合理的操作时,系统管理员或相关负责
人便会及时获得相关的告警,以及时控制企业的损失。
本期采用原有的数据库审计系统,进行数据库的审计。
4.2.2.4 入侵检测系统
通过将入侵检测系统部署在各个子网的核心交换机处,从而实时侦听网络数
据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授 权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。入侵检测系统还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
本期采用原有的防火墙 IPS 进行入侵检测,对于不能提供入侵检测的防火墙, 配置 IPS 模块。
4.2.2.5 主机加固
信息系统的的业务服务器主机及其承载的关键业务系统是信息系统重要的 信息资产,主机的安全性很大程度上决定了整个业务系统的机密性、完整性、可用性及可确认性、可鉴别性和可靠性。主机的漏洞和弱点是资产拥有者和攻击者的必争之地,主机的漏洞和弱点代表着风险的可能性和风险的严重性,每年系统新的漏洞和弱点层出不穷,安全事件发生的数量成几何倍增长,而同时安全攻击工具及方法传播速度日益加快,使得主机的安全性遭受着前所未有的挑战。
主机安全加固服务根据主机系统应用的具体情况,制定相应系统的测试方案、
加固方案与回退方案,针对不同类型的目标系统,通过打补丁、修改安全配置、 增加安全机制等方法,合理加强设备与应用的安全性。安全加固服务能够帮助减
少误操作,减小由主机引发的安全隐患的可能性,使得整个信息系统最大可能的
安全。 通过远程安全评估系统,扫描主机漏洞,并且进行安全加固服务。
4.2.2.6 网络漏洞扫描
网络漏洞扫描系统对网络模拟攻击,漏洞检测,报告服务进程,提取对象信
息,以及评测风险,提供安全建议和改进措施等功能,帮助控制可能发生的安全事件,最大可能的消除安全隐患。网络安全扫描系统对网络设备、主机、恶意代码等有着强大的漏洞检测能力和检测效率,贴切用户需求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的报表系统,为网络管理人员制定与合理安全防护策略提供依据。应用服务器区的漏洞扫描策略通过部署在核心交换机上的漏洞扫描设备实现。 通过远程安全评估系统,扫描网络设备漏洞,并且进行安全加固服务。
4.2.2.7 应用系统和数据库漏洞扫描系统
根据对目标网络的风险评估和需求分析,信息系统中有大量的应用系统及数
据库,而这些应用系统很多均为第三方开发的整站程序,其中隐藏着很多潜在的弱点。而针对应用系统和数据库弱点的检测,传统的安全扫描工具却显得力不从心,原因是传统扫描工具的检测重点在于主机、恶意代码以及安全配置的检查,又因为应用层漏洞自身变种多,所以传统的网络安全扫描工具在应用层弱点检测过程中无法避免的出现大量的误报和漏报。因此采用专业的应用系统和数据库弱点检测工具定期对应用系统及数据库的脆弱性分析就显得尤为重要。
应用系统和数据库漏洞扫描系统在网络中并不是一个实时启动的系统,只需
要定期挂接到网络中,对当前网段上的重点服务器进行一次扫描,即可得到当前应用及数据库系统中存在的各种安全漏洞,针对性的对系统采取补救措施,即可在相当一段时间内保证系统的安全。应用系统和数据库漏洞扫描系统能够分析数据库系统的不安全配置,指出潜在的安全漏洞,以改进系统对入侵的防御能力。安全扫描技术是用来评估计算机应用系统的安全性能,是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是应用服务器、数据库应用。然后根据扫描结果向管理员提供安全性分析报告,为提高网络安全整体水平产生重要依据应用系统和数据库漏洞扫描系统与下一代防火墙、入侵检测系统及 WEB 应用防火墙互相配合,能够提供很高的安全性网络。安全扫描工具源于“黑客”在入侵网络系统时采用的工具。商品化的应用系统和数据库弱点检测工具为应用层安 全漏洞的发现提供了强大的支持。在网络安全体系的建设中,应用系统和数据库漏洞扫描工具的运行相对独立,能较全面检测流行漏洞,检测最严重的安全问题,安装运行简单,可以大规模减少安全管理员的手工劳动,降低安全审计人员的劳 动强度,有利于保持全网安全政策的统一和稳定。
l 解决问题
1. 能够对 WEB 应用服务及数据库服务的安全状况进行评估,给出当前系统
存在的安全漏洞。
2. 对数据安全状况进行综合分析,找出网络的薄弱点,为决策提供参考,
做到安全建设有的放矢。
3. 对发现的安全问题给出详细描述和解决办法。帮助管理员及时地处理发
现的问题。
4. 制定周期评估计划,获得应用安全状况的变化趋势。 减轻安全管理人员的工作负担,大大提高工作效率。
本期利用webscan和dbscan软件对于应用系统与数据库进行弱点漏洞扫描。
4.2.2.8 等级保护检查工具箱
针对信息系统安全建设的需求分析,其在日后运行过程中,不仅要定期对全
网资产进行漏洞的基线检查,同时还要对整体信息系统的安全建设的合规性进行
动态检查。因为信息化建设本身就是动态式螺旋上升的。随着信息化建设的不断
完善与扩充,相应的安全建设也必须同期完成。通过等级保护工具箱可以定期对
应用系统、数据库、主机、恶意代码、网络主机等配置、弱口令等进行等级保护
的合规性检查,以此发现与等级保护相关标准的符合度,并提供整改建议和最终
的分析报告。
4.2.3 应用系统安全设计
4.2.3.1 网络安全审计
在信息系统网络核心交换机处并接部署网络行为监控与审计系统,形成对全
网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集
中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数
据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算
法,从而实现入侵检测、信息还原等网络审计功能。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。
同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安
全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检
测。 本期利用原有网络安全审计设备,进行网络安全的审计。
4.2.3.2 双因素身份认证
内部用户通过 VPN 或专线访问各对应子网的内部服务器,仅仅通过用户名/
密码的身份真正方式不够安全,而双因素认证提供了比密码更加安全的新模式,
这种网络安全超出了传统意义的静态密码功能。用户要想访问某个特定的数据或
信息资源,除了输入一个静态密码,还要输入一个动态的代码。
根据信息系统对双因素认证的需求和应用情况,可将双因素强身份认证系统
部署为一个面向各个相关应用系统的统一强身份验证服务,或者和 VPN 接入联
合对外部接入用户进行身份认证。所有对重要业务系统的访问均需经过认证系统
的强身份验证。
通过双因素的认证机制,每一个用户和一个身份认证令牌进行绑定,大大提
高了登陆系统的认证安全级别,避免了用户名+密码形式的安全风险。
采用双因素认证手段,可以方便地控制用户帐号的状态,如可以通过设置令
牌的失效,禁止用户登录关键系统。通过双因素身份认证的部署,即能满足内部工作人员原有的工作习惯(用户名 + 密码),同时又不会对现有的业务系统造成大规模改造工作,保证在最短的时间内实现内外网系统对用户的加强身份认证。本期采用双因素认证系统,进行身份的认证。
4.2.3.3 WEB 应用防护系统
WEB 应用系统承载着很多核心业务,而近年来网络攻击事件大部分都是由
WEB 应用所导致的。而 WEB 的开放性,易用性和 WEB 应用的易于开发性使 WEB 应 用的安全问题日益突出。而防火墙只是通过端口限制实现访问控制,但对于 WEB 应用而言,其 HTTP/HTTPS 端口是开放的。因此,防火墙无法检测到 WEB 应用攻 击的发生,更谈不上阻止攻击。使得现在 WEB 站点成为攻击者攻击的主要对象, 表单篡改、跨站点脚本、命令插入、缓冲区溢出等各种 WEB 安全漏洞不断出现。 根据权威网络安全机构的安全威胁报告,WEB 应用正成为最大的安全盲点。因此 WEB 应用安全问题也成为人们关注的网络安全核心问题之一。WEB 安全问题也成 为人们关注的核心问题。对于已存在的 WEB 漏洞黑客可在短短几秒到几分钟内完 成一次数据窃取、一次木马种植、完成对整个数据库或 WEB 服务器的控制,以至 于非常困难做出人为反应。
通过在信息系统 WEB 服务器区的边界处部署 WEB 应用防火墙,从而解决以
下问题:
1.防护 WEB 应用层攻击:WEB 应用防火墙可以防护如 SQL 注入、文件注入、
命令注入、配置注入、LDAP 注入、跨站脚本等 WEB 攻击行为。
2.协议规范检查:WEB 应用防火墙可以阻断掉不规范的协议,从而障壁未知
的攻击。
- 抗扫描:WEB 应用防火墙可以识别扫描行为,从而阻断黑客对 WEB 应用服务的非法扫描。
4.防护敏感信息的泄露:WEB 应用防火墙具备双向内容检测的能力,能识别
服务器页面内容的敏感信息,防止敏感信息泄露,如服务器出错信息,数据库连
接文件信息,WEB 服务器配置信息,网页中的连续出现的身份证、手机、邮箱等
个人信息均可被 WAF 识别并依据策略采取相应的措施。
5.CC 攻击防护:基于 URL 级别的访问频率统计,并通过访问行为建模检测 出 CC 攻击的来源,对 CC 攻击者采取限时锁定措施从而有效阻止 CC 攻击行为,
该功能还可有效解决因验证码技术落后而导致的口令爆破问题。 本期采用 waf 设备,全面防护 web 应用服务器。
4.2.3.4 应用系统防篡改
信息系统内拥有众多 B/S 架构的 WEB 应用个系统,WEB 应用的普及使得信息系统中存在的 WEB 服务器很容易成为不法份子的攻击目标。需要专业的应用系统防篡改工具有效阻止篡改事件的发生,维护 WEB 应用系统的安全。
在队信息系统 WEB 服务器配置一套应用防篡改系统,全面监测 WEB 服务器
的页面是否正常。对于突破 WEB 应用防火墙的篡改行为,进行实时监控,确保
应用系统的信息安全。一旦发现信息被篡改之后,应用防篡改系统会阻断恶意篡
改行为并立刻通知监控中心的管理员。任何恶意篡改痕迹将被实时保留。
本期采用网页防篡改系统进行网页的全方位服务。
4.2.3.5 应用系统安全监控
由于信息系统的很多核心业务都是基于 WEB 应用系统来提供服务的,而
WEB 系统的本身复杂多样,因此所形成的漏洞变种多。这势必成为不法份子的
攻击重点。因此应用安全建设必须成为此次安全方案设计的重中之重。我们在“事
前”通过部署扫描工具对 WEB 系统进行脆弱性分析,以此掌握应用系统可能存
在的风险,从而便于定向加固。“事中”我们通过部署 WEB 应用防火墙对应用系统面临的风险进行实时地检测并阻断,从而保护网站的安全。“事后”我们通过 IDS、网络审计、数据库审计,对信息系统资产的破坏进行记录跟踪,从而定为 风险源头。从表面来看我们的应用系统安全设计已经做到万无一失,但实际情况 是 WEB 应用系统复杂多样,其漏洞产生的原因大部分是来自于程序开发阶段, 由此导致的结果既是漏洞种类繁多,每一个不同的 WEB 应用系统都有可能产生 新的漏洞,即业内所说的 0-day 漏洞。而对于 0-day 漏洞,WEB 扫描器和 WEB 应用防火墙均无法达到令人满意的防护效果。因此我们需要引入安全监控的概念, 对网站的可用性、漏洞风险、篡改行为、挂马行为、以及敏感信息泄露进行 7*24小时的实时监控,一旦不法份子通过 0-day 攻击破环 WEB 应用系统,我们也可 以第一时间得知情况,快速做出响应,将风险降至最低。从而实现“事前评估预 警”、“事中主动防御”、“事后取证溯源”、“全程安全监控”的全生命周期闭环网安全建设效果。
网站安全监测平台采用远程监测技术对信息系统的 WEB 应用提供 7*24 小时 实时安全监测。通过对应用系统的不间断监测服务,实行应用系统漏洞监测、网 页木马监测、篡改检测、可用性监测与敏感信息泄露监测,提供详尽的数据与分 析报告,一旦发现风险可第一时间将风险告警发送至管理员。从而全面掌握网站 的安全态势,快速获知安全事件,可有助于提升网站的安全防护能力和网站服务 质量,并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制,令 动态且变化不定的网站安全态势尽在把控。网站安全监测平台的主要功能如下:
4.2.3.6 数据统一备份
根据信息系统的现状和需求,将采用 SAN 存储架构与的模式来进行网络集
中备份。根据实际情况部署 SAN 光纤交换机,通过将需要备份的服务器、交换
机、存储阵列等与光纤交换机进行连接,并通过光纤交换机连接至统一备份区域
中的磁带库。磁带库可以采用双链路与光纤交换机互联,提供冗余性保证,并且
可以提高带宽。
在服务器上安装备份管理软件,通过制定备份策略,对业务数据进行按需备
份管理。通过 SAN 网络将数据集中备份到磁盘磁带库, SAN 的架构提供了对数据的高速备份能力,没有占据息系统的带宽资源。
4.2.4 通信网络安全设计
4.2.4.1 网络结构安全
网络结构的安全是网络安全的前提和基础,选用主要网络设备时需要考虑业
务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要;网络各个部
分的带宽要保证接入网络和核心网络满足业务高峰期需要;按照业务系统服务的
重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路
由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络
拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,
划分不同的网段或 VLAN。保存有重要业务系统及数据的重要网段不能直接与外
部系统连接,需要和其他网段隔离,单独划分区域。
4.2.4.2 网络安全审计
在信息系统网络核心交换机处并接部署网络行为监控与审计系统,形成对全
网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。 同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安
全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检
测。本期利旧原有的网络安全审计系统。
4.2.4.3 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备
需要进行一系列的加固措施,包括:
l 对登录网络设备的用户进行身份鉴别,用户名必须唯一;
l 对网络设备的管理员登录地址进行限制;
l 身份鉴别信息具有不易被冒用的特点,口令设置需 3 种以上字符、长度
不少于 8 位,并定期更换;
l 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当
网络登录连接超时自动退出等措施;
l 启用 SSH 等管理方式,加密管理数据,防止被网络窃听。
l 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需
采用 USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法
性。
4.2.4.4 通信完整性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。
对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴
别码、密码校验函数、散列函数、数字签名等。对于信息传输的完整性校验应由传输加密系统完成。部署 VPN 系统保证远 程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系 统完成。
4.2.4.5 通信保密性
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用
系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行
加密。
对于信息传输的通信保密性应由传输加密系统完成。部署 VPN 系统保证远
程数据传输的数据机密性。
4.2.4.6 网络可信接入
为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进
行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端安全管
理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是网络准入控制,启用网络阻断
方式包括 ARP 干扰、802.1x 协议联动等。
监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不
法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接
入主机的合法性,及时阻止 IP 地址的篡改和盗用行为。共同保证边界完整性。
具体如下:
l 在线主机监测
可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主
机是否是经过系统授权认证的信任主机。
l 主机授权认证
可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机
补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允
许通过授权认证的主机使用网络资源。l 非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证
非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。
l 网络白名单策略管理
可生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安
全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员
设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用
权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意
主机通信的权限。
l IP 和 MAC 绑定管理
可以将终端的 IP 和 MAC 地址绑定,禁止用户修改自身的 IP 和 MAC 地址,并在用户试图更改 IP 和 MAC 地址时,产生相应的报警信息。
4.2.5 安全管理中心设计
4.2.5.1 运维审计
运维审计是一种符合 4A(认证 Authentication、账号 Account、授权
Authorization、审计 Audit)统一安全管理平台方案并且被加固的高性能抗网络
攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截
非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访
问行为。
运维审计应能支持 Telnet、SSH、FTP、SFTP、RDP、VNC、X11 等协议,支持 单点登录、统一账户管理、自定义策略、日志回放、报表等功能,保证内部用户 的操作和行为可控、可视、可管理、可跟踪、可审计。系统具备强大的输入输出 审计功能,为企事业内部提供完全的审计信息,通过账号管理、身份认证、资源 授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性。
由于信息系统可能需要第三方人员来协助系统的运维使用,再者,就算是内部用户对网络资产进行维护,也存在着很大风险,因为不管是第三方人员或是内
部用户,他们都拥有对网络资产访问配置的权限,一旦这些人员破环信息资产,
例如:窃取数据、上传后门等,都将变得异常容易。那么访问控制,权限限制,
4A 审计显得尤为重要。目前运维审计可以解决的主要问题如下:
1) 解决共享帐号带来的安全隐患
由于系统管理需要或运维人员为了使用方便,目前 IT 系统管理过程中,多
人共用一个系统账号的情况普遍存在。多人同时使用一个系统帐号在带来管理方
便性的同时,却带来了操作者无法确定的问题,一旦发生安全事件,无法准确定
位恶意操作或误操作的具体责任人。使用运维审计系统,可以进行系统的账号分
配,对不同人员,进行不同权限的账号分配。
2) 进行细粒度访问授权
目前的访问授权系统一般有网络层访问控制以及主机层的账户控制为主。由
于操作系统自身的功能限制,第三方维护人员往往会因为一个简单的维护需求,
却为其分配了一个超级用户权限,从而带来一系列的安全隐患。通过部署运维审
计系统,进行细粒度的权限控制。所有人都只可以通过已授权的方式进行访问服
务器。减小安全隐患。
3) 对运维过程进行监督审计
目前,随着安全需求的提升,加密的 SSH、远程桌面图形化的操作已经逐步
代替了传统的 telnet 之类的明文访问协议,而传统的安全审计产品只能处理明
文访问协议,对于加密和图形的访问协议无法进行内容识别,因而,监督、审计
功能也就无法实现。部署运维审计系统,可以对加密协议及图形操作进行审计记
录,将所有的运维行为均记录下来。对运维过程进行全程监督审计,为以后的安
全事件提供有效的线索及证据。
本期采用堡垒机,对于运维人员和系统运维进行统一的管理和把控。
4.2.5.2 安全管理平台及综合日志收集与分析系统
集中安全管理平台及综合日志收集与分析系统的建设是信息系统建设 的重点。在信息系统建立安全管理中心,对全网的安全设备、安全事件、安 全策略、安全运维进行统一集中的监控、调度、预警和管理。集中安全管理平台针对每个安全域的设备提供灵活的策略制定和管理,实现信息系统全网的信息收集和处理。
管理员在安全管理平台上,可以集中的对设备的报警策略进行指定和下发,同时,监视可处理报警信息。安全管理平台可以以拓扑图的方式来直观清晰的显 示设备关键属性和运行状态。同时,可以根据用户需要可以记录一段时间内的设
备关键信息,在设备出现问题时,可以回放这一时间段内的信息记录,系统以曲
线图形式给出关键信息的变动情况,协助定位问题,同时根据状态变动曲线,可
以为系统未来运行状态变化趋势提供参考。此外,管理员还可以通过控制台集中
制定安全策略并下发到设备中,并可以统一的对设备进行升级。
通过部署安全管理平台及综合日志收集与分析系统实现:安全策略的集中部
署、安全事件的深度感知、安全事件的关联分析、安全威胁的协同响应。通过部
署集中安全管理平台,提高安全管理的效率,保障网络的安全运行。通过安全管
理中心的建设,真正实现安全技术层面和管理层面的结合,全面提升信息系统信
息网络的信息安全保障能力。
本期采用综合日志分析系统,分析设备主机的所有日志,进行事后的有效追溯。
4.3 三级安全服务层面设计
4.3.1 安全服务设计
安全服务如下所示:
4.3.2 安全服务内容
4.3.2.1 渗透测试
渗透性测试是对安全情况最客观、最直接的评估方式,主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统
控制权并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全
威胁和风险,并能及时提醒安全管理员完善安全策略。
渗透性测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和
速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需
要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直
接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次
的弱点。
4.3.2.2 安全巡检
针对客户应用及数据库系统进行漏洞扫描以及人员评估。
n 漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资
产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广
泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一
致,能较真实地反映主机系统、网络设备、应用系统及数据库所存在的
网络安全问题和面临的网络安全威胁;
n 漏洞扫描对网络的影响很小,可以在不影响被扫描对象正常业务的情况
下对其安全状况做出全面、准确的评估;
n 通过检查列表匹配人工收集被评估系统的漏洞;
n 整理系统漏洞列表。
n 方式包括现场和远程。
4.3.2.3 应急响应
7×24 小时全天候应急响应,并快速到达事件现场,协助进行业务恢复,尽
可能降低安全事件影响,同时对安全事件进行进一步的分析,对网站中存在的安
全隐患进行规避。
紧急事件响应,是当安全威胁事件发生后迅速采取的措施和行动,其目的是
快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。
紧急事件主要包括:
n 病毒和蠕虫事件
n 黑客入侵事件
n 误操作或设备故障事件
n 但通常在事件爆发的初始很难界定具体是什么事件。通常根据安全威胁
事件的影响程度来分类:
n 单点损害:只造成独立个体的不可用,安全威胁事件影响弱。
n 局部损害:造成某一系统或一个局部网络不可使用,安全威胁事件影响
较高。
n 整体损害:造成整个网络系统的不可使用,安全威胁事件影响高。
当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算
机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响
应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响
范围)、解决问题、恢复以及后续跟踪。
具体应急响应过程如下:
n 事件发现:机房值班人员、网络管理员、系统管理员或者其他发现可疑
问题的人员应该详细记录当时的时间、发生可疑问题的信息系统、设备、
具体表现;
n 电话或邮件通告:立即拨打 7*24 小时值班电话或发送应急响应申请单
至安全应急响应邮箱。
n 判断是否为紧急安全事件:安全咨询部主管收到值班人员提交的值班记
录和应急响应申请单,根据客户信息系统安全事件的具体表现进行判断,
决策应急响应方式,包括现场应急响应和远程应急响应。
n 资源配备:人员配备及应急物资配备
n 服务合同及保密协议:安全应急工程师进行应急处理操作前,与客户确
认服务需求并签订保密协议,客户签署应急响应服务合同。
n 确定安全事件:安全应急工程师对发生异常的系统进行初步分析,判断
安全事件的真实性和安全事件的类型。n 确定检测对象范围:安全应急工程师与客户共同确定检测对象和范围,
并根据应急响应操作规范形成安全事件检测方案,并制定风险规避措施。
n 检测实施:收集并记录系统信息;备份发生异常的系统;隔离发生异常
的系统;查找其他系统是否存在异常;检查网络设备和安全设备日志;
检查系统和文件访问控制。
n 确定安全事件:入侵系统攻击安全事件;拒绝服务攻击安全事件;防火
墙攻击安全事件;病毒与木马攻击安全事件;网站页面篡改安全事件;
数据库内部误操作。
n 确定安全事件处理:安全应急工程师根据安全事件的检测结果,针对不
同类型的安全事件与客户共同制定抑制和根除方法及风险规避措施。
n 安全事件总结:对安全事件的发生、处理进行总结。
4.3.2.4 安全咨询
以电话、邮件的方式向用户提供可疑事件分析、漏洞信息深入解释、安全建
议等各类安全相关问题的咨询。
4.3.2.5 安全加固
在安全巡检或渗透测试服务结束后,根据针对客户 WEB 应用系统及数据库
进行风险评估过程中的脆弱性识别和分析结果,提出完善可行的安全加固方案,
并在得到客户认可后,协助进行安全加固。
安全加固小组针对客户 WEB 应用系统及数据库进行的安全加固初步包括
WEB 应用系统加固、数据库应用安全加固、主机安全加固等。
除此之外,我们还将提供网络架构改进建议、设备安全加固等网络层面的加
固服务。
4.3.2.6 移动 APP 测试
为了保证移动业务的安全,实现移动网络与移动终端之间通信通道的安全可
靠,同时保证用户个人信息的机密性、完整性。
4.4 二级、三级安全体系管理层面设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的
管理要求而设计。
l 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从
安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出
的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行
和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效
版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系
的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修
订不足及进行改进。
l 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根
据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会
或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机
构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
l 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
l 系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产
品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、
系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方
面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
l 系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理
中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全
管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更
管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应
等级安全状态中。
4.5 方案配置清单
| 序号 | 项目 | 参数 | 数量 | 单位 | 单价 |
| 1 | |||||
| 2 | |||||
| 3 | |||||
| ... |
- 方案优势与价值
5.1 方案收益
5.1.1 全方位的生命周期防护
信息安全事件的发生,通常都会经历事前、事中、事后三个生命周期过程,
不同的阶段单位有针对性地采用安全措施,三个生命周期的安全任务即事前预防
为主,事中有效防护,事后追溯审计。
按照等级保护的要求,通过单位现有安全防护措施及方案中增加设备,实现
安全生命周期闭环。
n 事前——预防为主
总的来说还是做到事前积极预防,及早发现风险隐患,及时预警并有效修补。通过对数据库进行漏洞扫描和漏洞发现,对于发现的安全漏洞进行统一的漏洞管
理,并能够对已知安全漏洞攻击起到很好的预防作用,做到真正的“未雨绸缪”。
n 事中——有效防护
信息系统的安全防护措施需要涉及多层面的安全,而目前 WEB 应用攻击已成 为当前威胁最大的攻击,通过采取针对性的安全防护措施,实现对 WEB 应用攻击 的有效防护,与现有防火墙等专业的安全防护设施形成统一有效防护。
n 事后——追溯审计
信息安全事件发生后通过各安全设备的自身日志信息及恶意流量进行事后
追溯,通过运维审计、综合日志审计结合已有的数据库审计,帮助单位提升网络
运行安全状态监控的透明度,对事后追查取证提供有力支持。
5.1.2 维护单位的形象和声誉
通过对单位网络进行安全防护建设,并在运维阶段加强信息安全管理,可有
效保障单位系统的信息安全,满足国家、行业主管机构的监管要求;保证重大事 件期间的系统安全,维护单位的形象和声誉。
5.1.3 跟踪漏洞整改情况
可对单位重要系统进行周期性检测,并在系统中追踪此类系统的整改情况以
及遗留问题,了解系统的安全加固状况,有效提供漏洞跟踪整改的有效性和真实性。
5.1.4 详细安全日志确保溯源
通过全面的细粒度日志审计,详细地记录运维管理行为、数据库操作行为及
信息系统中的资产日志,为安全事件分析、安全事件追溯以及安全取证等提供了
最为直接的依据。
5.1.5 安全数据驱动决策
通过本项目的建设,可以实现对单位网络安全事件的分析与挖掘,依据真实的感知数据,可驱动单位制定对应的有效决策,有针对性地部署管理,提升整体
安全水平。
扫一扫
1720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
