网络安全等级保护(安全通用要求)建设方案.doc

网络安全等级保护建设方案 安全通用要求 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co Ltd 二零一九年五月 目 录 1 项目概述 4 1 1 项目概述 4 1 2 项目建设背景 4 1 2 1 法律依据 4 1 2 2 政策依据 4 1 3 项目建设目标及内容 6 1 3 1 建设目标 6 1 3 2 建设内容 7 1 4 等级保护对象分析与介绍 7 2 方案设计说明 7 2 1 设计依据 7 2 2 设计原则 8 2 2 1 分区分域防护原则 8 2 2 2 均衡性保护原则 8 2 2 3 技管并重原则 8 2 2 4 动态调整原则 8 2 2 5 三同步原则 9 2 3 设计思路 9 2 4 设计框架 10 3 安全现状及需求分析 10 3 1 安全现状概述 10 3 2 安全需求分析 11 3 2 1 物理环境安全需求 11 3 2 2 通信网络安全需求 12 3 2 3 区域边界安全需求 13 3 2 4 计算环境安全需求 14 3 2 5 安全管理中心安全需求 15 3 2 6 安全管理制度需求 15 3 2 7 安全管理机构需求 15 3 2 8 安全管理人员需求 16 3 2 9 安全建设管理需求 16 3 2 10 安全运维管理需求 17 3 3 合规差距分析 18 4 技术体系设计方案 18 4 1 技术体系设计目标 18 4 2 技术体系设计框架 19 4 3 安全技术防护体系设计 19 4 3 1 安全计算环境防护设计 19 4 3 2 安全区域边界防护设计 23 4 3 3 安全通信网络防护设计 25 4 3 4 安全管理中心设计 28 5 管理体系设计方案 28 5 1 管理体系设计目标 28 5 2 管理体系设计框架 29 5 3 安全管理防护体系设计 29 5 3 1 安全管理制度设计 29 5 3 2 安全管理机构设计 30 5 3 3 安全管理人员设计 30 5 3 4 安全建设管理设计 31 5 3 5 安全运维管理设计 32 6 产品选型与投资概算 38 7 部署示意及合规性分析 39 7 1 部署示意及描述 39 7 2 合规性分析 39 7 2 1 技术层面 39 7 2 2 管理层面 41 1 项目概述 1 1 项目概述 根据实际项目情况编写 完善 1 2 项目建设背景 1 2 1 法律依据 1994年 中华人民共和国计算机信息系统安全保护条例 国务院令第147 号 第九条明确规定 计算机信息系统实行安全等级保护 安全等级的划分 标准和安全等级保护的具体办法 由公安部会同有关部门制定 2017年 网络安全法 第二十一条明确规定国家实行网络安全等级保护制 度 网络运营者应当按照网络安全等级保护制度的要求 开展网络安全等级保 护的定级备案 等级测评 安全建设 安全检查等工作 履行安全保护义务 保障网络免受干扰 破坏或者未经授权的访问 防止网络数据泄露或者被窃取 篡改 第三十一条规定 国家关键信息基础设施在网络安全等级保护制度的 基础上 实行重点保护 网络安全法 的颁布实施 标志着从1994年的国务院条例 国务院令第1 47号 上升到了国家法律的层面 标志着国家实施十余年的信息安全等级保护 制度进入2 0阶段 同时也标志着以保护国家关键信息基础设施安全为重点的网 络安全等级保护制度依法全面实施 1 2 2 政策依据 2003年 国家信息化领导小组关于加强信息安全保障工作的意见 中 办发 2003 27号 明确指出 实行信息安全等级保护 要重点保护基础信 息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 抓紧建 立信息安全等级保护制度 制定信息安全等级保护的管理办法和技术指南 标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保 障工作的基本制度 2004年7月3日审议通过的 关于信息安全等级保护工作的实施意见 公通 字 2004 66号 指出 信息安全等级保护制度是国民经济和社会信息化的发展 过程中 提高信息安全保障能力和水平 维护国家安全 社会稳定和公共利益 保障和促进信息化建设健康发展的一项基本制度 自2007年 信息安全等级保护管理办法 公通字 2007 43号 颁布以来 一直是国家层面推动网络安全工作的重要抓手 2012年 国务院关于推进 信息化发展和切实保障信息安全的若干意见 国发 2012 23号 规定 落实信息安全等级保护制度 开展相应等级的安全建设和管理 做好信息系统 定级备案 整改和监督检查 除此之外 下列政策文件也对等级保护相关工作提出了要求 关于开展信息系统安全等级保护基础调查工作的通知 公信安 20 05 1431号 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号 国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作 的通知 发改高技 2008 2544号 关于开展信息安全等级保护安全建设整改工作的指导意见 公信安 2 009 1429号 关于进一步推动中央企业信息安全等级保护工作的通知 公通字 2010 70号 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 公信安 2010 303号 关于进一步加强国家电子政务网络建设和应用工作的通知 发改高 技 2012 1986号 全国人民代表大会常务委员会关于加强网络信息保护的决定 2012 年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过 网络安全等级保护条例 征求意见稿 2018年6月 1 3 项目建设目标及内容 1 3 1 建设目标 网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点 等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安 全建设整改工作 使网络系统可以按照保护等级的要求进行设计 规划和实施 并且达到相应等级的基本保护水平和保护能力 依据网络安全等级保护相关标准和指导规范 对XXXX单位XXXX系统按照 整体保护 综合防控 的原则进行安全建设方案的设计 按照等级保护三级的 要求进行安全建设规划 对安全建设进行统一规划和设备选型 实现方案合理 组网简单 扩容灵活 标准统一 经济适用的建设目标 依据网络安全等级保护三级标准 按照 统一规划 重点明确 合理建设 的基本原则 在安全物理环境 安全通信网络 安全区域边界 安全计算环 境和安全管理中心等方面进行安全规划与建设 确保 网络建设合规 安全防 护到位 最终使XXXXX系统达到安全等级保护第三级要求 经过建设后 使整个网络 形成一套完善的安全防护体系 提升整体网络安全防护能力 对于三级网络 经过安全建设整改 网络在统一的安全保护策略下要具有 抵御大规模 较强恶意攻击的能力 抵抗较为严重的自然灾害的能力 以及防 范计算机病毒和恶意代码危害的能力 具有检测 发现 报警及记录入侵行为 的能力 具有对安全事件进行响应处置 并能够追踪安全责任的能力 遭到损 害后 具有能够较快恢复正常运行状态的能力 对于服务保障性要求高的网络 应该能够快速恢复正常运行状态 具有对网络资源 用户 安全机制等进行集中控管的能力 1 3 2 建设内容 本项目以XXX单位XXXXX系统等级保护建设为主线 以让相关信息系统达到 安全等级保护第三级要求 借助网络产品 安全产品 安全服务 管理制度等 手段 建立全网的安全防控管理服务体系 从而全面提高XXXX单位的安全防护 能力 建设内容包括安全产品采购部署 安全加固整改 安全管理制度编写等 1 4 等级保护对象分析与介绍 以基础通信网络及其承载的信息系统 数据为保护对象 根据实际等级保护对象情况编写 2 方案设计说明 2 1 设计依据 本方案是根据2019年5月13日最新发布的GB T 22239 2019 信息安全技术 网络安全等级保护基本要求 的安全通用要求和安全目标 参照GB T 25070 2019 信息安全技术 网络安全等级保护安全设计技术要求 的通用设计技术要求 针对第三级系统而提出的安全保护等级设计方案 除上述两个标准外 还参考了如下相关标准 信息技术 安全技术 信息安全管理体系要求 ISO IEC 27001 2013 信息技术 安全技术 信息安全控制实用规则 ISO IEC 27002 2013 计算机信息系统安全保护等级划分准则 GB 17859 1999 信息安全技术 信息安全风险评估规范 GB T 20984 2007 信息安全技术 信息系统安全等级保护定级指南 GB T 22240 2008 网络安全等级保护定级指南 GA T 1389 2017 信息安全技术 信息系统安全等级保护实施指南 GB T 25058 2010 信息安全技术 网络安全等级保护测评要求 GB T 28448 2019 信息安全技术 网络安全等级保护测评过程指南 GB T 28449 2018 2 2 设计原则 2 2 1 分区分域防护原则 任何安全措施都不是绝对安全可靠的 为保障攻破一层或一类保护的攻击 行为而不会破坏整个网络 以达到纵深防御的安全目标 需要合理划分安全域 综合采用多种有效安全保护措施 实施多层 多重保护 2 2 2 均衡性保护原则 对任何类型网络 绝对安全难以达到 也不一定是必须的 需正确处理安 全需求 安全风险与安全保护代价的关系 因此 结合适度防护实现分等级安 全保护 做到安全性与可用性平衡 达到技术上可实现 经济上可执行 2 2 3 技管并重原则 网络安全涉及人 技术 操作等方面要素 单靠技术或单靠管理都不可能 实现 因此在考虑网络安全时 必须将各种安全技术与运行管理机制 人员思 想教育 技术培训 安全规章制度建设相结合 坚持管理与技术并重 从而保 障网络安全 2 2 4 动态调整原则 由于网络安全需求会不断变化 以及环境 条件 时间的限制 安全防护 一步到位 一劳永逸地解决网络安全问题是不现实的 网络安全保障建设可先 保证基本的 必须的安全保护 后续再根据应用和网络安全技术的发展 不断 调整安全保护措施 加强安全防护力度 以适应新的网络安全环境 满足新的 网络安全需求 当安全保护等级需要变更时 应当根据等级保护的管理规范和 技术标准的要求 重新确定网络安全保护等级 根据调整情况重新实施安全保 护 2 2 5 三同步原则 网络运营者在网络新建 改建 扩建时应当同步规划 同步建设 同步运 行网络安全保护 保密和密码保护措施 确保其具有支持业务稳定 持续运行 性能的同时 保证安全技术措施能够保障网络安全与信息化建设相适应 在全 过程中推行安全同步开展 强化安全工作前移 降低运维阶段的服务压力 2 3 设计思路 参考网络安全等级保护安全设计技术要求 本方案的设计思路如下 根据系统定级的结果 明确该等级对应的总体防护措施 根据系统和子系统划分结果 安全定级结果 将保护对象归类 并组成 保护对象框架 根据方案的设计目标来建立整体保障框架 来指导整个等级保护方案的 设计 明确关键的安全要素 流程及相互关系 在安全措施框架细化 后将补充到整体保障框架中 根据此等级受到的威胁对应出该等级的保护要求 即需求分析 并分 布到安全物理环境 安全通信网络 安全区域边界 安全计算环境等 层面上 根据由威胁引出的等级保护基本要求 等级保护实施过程 整体保障框 架来确定总体安全策略 即总体安全目标 再根据等级保护的要求 将总体安全策略细分为不同的具体策略 即具体安全目标 包括安 全域内部 安全域边界和安全域互联策略 根据保护对象框架 等级化安全措施要求 安全措施的成本来选择和调 整安全措施 根据安全技术体系和安全管理体系的划分 各安全措施 共同组成了安全措施框架 根据保护对象的系统功能特性 安全价值以及面临威胁的相似性来进行 安全区域的划分 各安全区域将保护对象框架划分成不同部分 即各 安全措施发生作用的保护对象集合 根据选择好的保护对象安全措施 安全措施框架 实际的具体需求来设 计安全解决方案 2 4 设计框架 3 安全现状及需求分析 3 1 安全现状概述 根据客户现状对等级保护对象进行分析 对现有安全域划分情况及网络拓 扑图进行描述 3 2 安全需求分析 3 2 1 物理环境安全需求 物理环境安全主要影响因素包括机房环境 机柜 电源 通信线缆和其他 设备的物理环境 该层面为基础设施和业务应用系统提供了一个生成 处理 存储和传输数据的物理环境 具体安全需求如下 由于机房容易遭受雷击 地震和台风和暴雨等自然灾难威胁 需要考虑 机房场地位置的选择 以及采取防雷击措施等来解决雷击 地震和台 风等威胁带来的问题 由于机房容易遭受水患和火灾等灾害威胁 需要采取防水 防潮 防火 措施来解决水患和火灾等威胁带来的安全威胁 由于机房容易遭受高温 低温 多雨等原因引起温度 湿度异常 应采 取温湿度控制措施来解决因高温 低温和多雨带来的安全威胁 由于机房电压波动影响 需要合理设计电力供应系统来解决因电压波动 带来的安全威胁 针对机房供电系统故障 需要合理设计电力供应系统 如 购买UPS系 统 建立发电机机房 铺设双电力供电电缆来保障电力的供应 来解 决因供电系统故障带来的安全威胁 针对机房容易遭受静电和线缆电磁干扰 需要采取防静电和电磁防护措 施来解决静电和线缆电磁干扰带来的安全威胁 并对关键设备采取电 磁屏蔽措施 针对利用非法手段进入机房内部盗窃 破坏等安全威胁 需要通过采取 物理区域访问控制及监控报警装置等控制措施 来解决非法手段进入 机房内部盗窃 破坏等带来的安全问题 针对利用工具捕捉电磁泄漏的信号 导致信息泄露的安全威胁 需要通 过采取防电磁措施 来解决电磁泄漏带来的安全问题 3 2 2 通信网络安全需求 通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的 安全部件 是利用网络设备 安全设备 服务器 通信线路以及接入链路等设 备或部件共同建成的 可以用于在本地或远程传输数据的网络环境 具体安全 需求如下 针对网络架构设计不合理而影响业务通信或传输问题 需要通过优化网 络设计 改造网络安全域来完成 针对线路或设备的单点故障问题 需要采取冗余设计来确保系统的可用 性 针对利用通用安全协议 算法 软件等缺陷获取信息或破坏通信完整性 和保密性 需要通过数据加密技术 数据校验技术来保障 针对通过伪造信息进行应用系统数据的窃取风险 需要加强网络边界完 整性检查 加强对网络设备进行防护 对访问网络的用户身份进行鉴 别 加强数据保密性来解决 针对病毒入侵 恶意代码加载 非授权身份访问等安全威胁 通信设备 需要通过采取动态可信验证机制来确保程序运行安全可信 从而保障 业务系统安全可信 3 2 3 区域边界安全需求 区域边界包括安全计算环境边界 以及安全计算环境与安全通信网络之间 实现连接并实施安全策略的相关部件 区域边界安全即各网络安全域边界和网 络关键节点可能存在的安全风险 需要把可能的安全风险控制在相对独立的区 域内 避免安全风险的大规模扩散 各类网络设备 服务器 管理终端和其他办公设备系统层的安全风险 主 要涵盖两个方面 一是来自系统本身的脆弱性风险 另一个是来自用户登录帐 号 权限等系统使用 配置和管理等风险 具体如下 针对内部人员未授权违规连接外部网络 或者外部人员未经许可随意接 入内部网络而引发的安全风险 以及因使用无线网络传输的移动终端 而带来的安全接入风险等问题 需要通过违规外联 安全准入控制以 及无线安全控制措施来解决 针对跨安全域访问网络的行为 需要通过基于应用协议和应用内容的细 粒度安全访问控制措施来解决 以实现网络访问行为可控可管 针对通过分布式拒绝服务攻击恶意地消耗网络 操作系统和应用系统资 源 导致拒绝服务或服务停止的安全风险 需要通过抗DDoS攻击防护 服务器主机资源优化 入侵检测与防范 网络结构调整与优化等手 段来解决 针对利用网络协议 操作系统或应用系统存在的漏洞进行恶意攻击 如 碎片重组 协议端口重定位等 尤其是新型攻击行为 需通过网络 入侵检测和防范等技术措施来解决 针对通过恶意代码传播对主机 应用系统和个人隐私带来的安全威胁 需要通过恶意代码防护技术手段解决 针对邮件收发时遭受恶意代码攻击的安全风险 需要通过垃圾邮件防护 等技术手段解决 针对违规越权操作 违规访问网络等用户行为 需要采取安全审计手段 来实现安全事件的有效追溯和用户行为的审计分析 针对病毒入侵 恶意代码加载 非授权身份访问等安全威胁 边界设备 需要通过采取动态可信验证机制来确保程序运行安全可信 从而保障 业务系统安全可信 3 2 4 计算环境安全需求 计算环境安全涉及业务应用系统及重要数据处理 存储的安全问题 具体 安全需求如下 针对用户帐号权限设置不合理 帐号暴力破解等等安全风险 需要通过 帐号管理 身份鉴别 密码保护 访问控制等技术手段解决 针对在网页浏览 文档传递 介质拷贝或文件下载 邮件收发时而遭受 恶意代码攻击的安全风险 需通过恶意代码防范 入侵防范等技术手 段解决 针对操作用户对系统错误配置或更改而引起的安全风险 需通过安全配 置核查 终端安全管控等技术手段解决 针对设备系统自身安全漏洞而引起被攻击利用的安全风险 需要通过漏 洞扫描技术 安全加固服务等手段解决 针对攻击者越权访问文件 数据或其他资源 需要通过访问控制 身份 鉴别 安全审计等技术来解决 针对利用各种工具获取应用系统身份鉴别数据 进行分析获得鉴别内容 从而未授权访问 使用应用软件 文件和数据的安全风险 需要采 用两种或两种以上鉴别方式来 可通过应用系统开发或第三方辅助系 统来保证对应用系统登录鉴别安全 针对应用系统缺陷 接口设计等导致被恶意攻击利用 数据丢失或运行 中断而影响服务连续性的安全风险 需要通过对产品采购 自行软件 开发 外包软件和测试验收进行流程管理 同时保证应用软件具备自 我容错能力 针对由于应用系统存储数据而引发的数据损毁 丢失等数据安全问题 需通过本地数据备份和异地容灾备份等手段来解决 针对个人信息泄露的安全威胁 采取必要的安全保护手段 针对病毒入侵 恶意代码加载 非授权身份访问等安全威胁 计算设备 需要通过采取动态可信验证机制来确保程序运行安全可信 从而保障 业务系统安全可信 3 2 5 安全管理中心安全需求 针对系统管理员 审计管理员 安全管理员的违规操作行为 需要采取 角色权限控制 身份鉴别 安全审计等技术手段对其操作行为进行限 定 并对其相关操作进行审计记录 针对众多网络设备 安全设备 通信线路等基础设施环境不能有效 统 一监测 分析 以及集中安全策略分发 恶意代码特征库 漏洞补丁 升级等安全管理问题 需要通过集中安全管控和集中监测审计机制来 解决 针对应用系统过度使用服务器内存 CPU等系统资源的行为 需要对应 用软件进行实时的监控管理 同时对系统资源进行管控来解决 针对设备违规操作或多通路运维带来的安全风险 需要对指定管理区域 及安全管控通路 3 2 6 安全管理制度需求 安全管理制度涉及安全方针 总体安全策略 安全管理制度体系 评审 与修订管理等方面 其安全需求如下 需要制定信息安全工作的总体方针 政策性文件和安全策略等 说明机 构安全工作的总体目标 范围 方针 原则 责任等 需要指定专门的部门对管理活动进行制度化管理 制定相应的制度和操 作流程并正式发布 需要定期对安全管理制度进行评审和修订 不断完善 健全安全制度 3 2 7 安全管理机构需求 安全管理机构涉及安全部门设置 人员岗位设置 人员安全管理等方面 其安全需求如下 需要组建网络安全管理领小组 并设立专门的安全管理工作职能部门 设置相应的管理岗位 配备安全管理人员 审计管理员 系统管理员 需要建立审批制度 根据岗位职责开展审批和授权相关工作 需要建立协调机制 就信息安全相关的业务进行协调处理 需要建立审核和检查部门 安全人员定期的进行全面的安全检查 需要建立恰当的联络渠道 进行沟通和合作 进行事件的有效处理 需要建立审核和检查的制度 对安全策略的正确性和安全措施的合理性 进行审核和检查 3 2 8 安全管理人员需求 需要对人员的录用进行必要的管理 确保人员录用的安全 需要对人员离岗进行有效的管理 确保人员离岗不会带来安全问题 需要对人员考核进行严格的管理 提高人员安全技能和安全意识 需要对人员进行安全意识的教育和培训 提高人员的安全意识 需要对外部人员进行严格控制 确保外部人员访问受控区域或接入网络 时可控可管 并签署保密协议 3 2 9 安全建设管理需求 安全建设管理涉及定级备案管理 安全方案设计 产品采购和使用 软件 开发管理 安全集成建设 测试验收交付 等级测评以及服务商选择等方面 其安全需求如下 需要建立备案管理制度 对系统的定级进行备案 需要具有总体安全方案设计 方案评审的流程和管理能力 产品采购符合国家有关规定 密码算法和密钥的使用需符合国家密码管 理的规定 需要有专人对工程实施过程进行管理 依据工程实施方案确保安全功能 的落地 实施过程需要有第三方工程监理来共同控制实施质量 需要制定软件开发的相关制度和代码编写规范 并对源代码的安全性进 行检测 需要建立产品采购 系统测试和验收制度 确保安全产品的满足项目安 全需求和功能需求 尤其是密码应用的安全性 需要与符合国家的有关规定的服务供应商签订协议 需要每年组织开展等级测评并及时整改 需要在工程实施过程中做好文档管理工作 并在系统交付时提供完整的 资料交付清单 对运维人员进行技能培训 需要提供建设过程文档和运行维护文档 需要选择符合国家有关规定的服务供应商 并对服务情况进行定其评审 和审核 3 2 10 安全运维管理需求 安全运维管理涉及环境管理 资产管理 系统安全运行维护管理 配置与 变更管理 安全事件处置及应急响应管理等方面 其安全需求如下 需要保证机房具有良好的运行环境 需要建立机房安全管理制度来规范物理访问 物品进出和环境安全 需要对信息资产进行分类标识 规范化管理 需要对各种软硬件设备的选型 采购 使用和保管等过程进行控制 需要各种网络设备 服务器正确使用和维护 需要采取措施对安全漏洞和隐患进行识别 并及时修补 需要对网络 操作系统 数据库系统和应用系统进行安全管理 需要定期地对通信线路进行检查和维护 需要对恶意代码防范有效性进行验证 需要对运维工具的使用和远程运维的权限进行管理控制 需要硬件设备 存储介质存放环境安全 对其使用进行控制和保护 需要对支撑设施 硬件设备 存储介质进行日常维护和管理 需要对系统使用手册 维护指南等工具文档进行管理 需要规范配置管理和变更管理流程 需要在事件发生后能采取积极 有效的应急策略和措施 需要建立应急响应机制来应对突发事件 做好应急预案并进行演练 需要与符合国家有关规定的外包运维服务商签订相关协议 并明确运维 服务能力要求 3 3 合规差距分析 依据 基本要求 采取对照检查 风险评估等方法 分析判断目前所采 取的安全技术和管理措施与等级保护标准要求之间的差距 分析网络已发生的 事件或事故 分析安全技术和安全管理方面存在的问题 形成安全技术建设和 安全管理建设整改的需求 将 等级保护基本要求 8 1安全通用要求 与客户安全现状进行差距分析 4 技术体系设计方案 4 1 技术体系设计目标 技术体系设计目标是根据建设目标和建设内容 将等级保护对象安全总体 方案中要求实现的安全策略 安全技术体系结构 安全措施和要求落实到产品 功能或物理形态上 提出能够实现的产品或组件及其具体规范 并将产品功能 特征整理成文档 使得在信息安全产品采购和安全控制开发阶段具有依据 根据客户项目具体目标进行增删或调整 4 2 技术体系设计框架 在 一个中心 三重防护 的理念的基础上 进行全方位的主动防御 安 全可信 动态感知和全面审计 4 3 安全技术防护体系设计 4 3 1 安全计算环境防护设计 依据等级保护要求第三级中安全计算环境相关控制项 结合安全计算环境 对于用户身份鉴别 自主访问控制 标记和强制访问控制 系统安全审计 用 户数据完整性保护 用户数据保密性保护 客体安全重用 可信验证 配置可 信检查 入侵检测和恶意代码防范等技术设计要求 安全计算环境防护建设主 要通过身份鉴别 安全访问控制 安全审计 入侵防范 恶意代码防护 主机 可信验证 数据完整性保护 数据保密性保护 个人信息保护 数据备份恢复 以及系统和应用自身安全控制等多种安全机制实现 具体如下 4 3 1 1 身份鉴别与访问 身份鉴别与访问授权是对网络设备 主机系统 数据库系统 业务应用系 统等身份认证及操作权限分配管理 应对登录的用户进行身份标识和鉴别 身 份标识具有唯一性 身份鉴别信息具有复杂度要求并定期更换 采用双因素认 证手段来加强身份鉴别 如采用动态口令 USBkey PKI CA系统 安全堡垒机 4A平台系统等 借助VPN技术能够在管理终端与主机设备之间创建加密传输通 道 实现远程接入数据安全传输服务 保证数据传输的完整性和保密性 在远程管理时 可借助VPN建立的安全隧道来对网络中传输的鉴别信息进行 保护 防止鉴别信息在网络传输过程中被恶意窃听 除此之外还应限制登录尝试次数据 并配置登录连接超时自动退出等功能 4 3 1 2 安全访问控制 对用户和权限实施安全策略 对重要服务器部署主机操作系统加固软件 主机操作系统安全加固不仅能够实现基于文件自主访问控制 对服务器上的敏 感数据设置访问权限 禁止非授权访问行为 保护服务器资源安全 更是能够 实现文件强制访问控制 即提供操作系统访问控制权限以外的高强度的强制访 问控制机制 对主客体设置安全标记 授权主体用户或进程对客体的操作权限 有效杜绝重要数据被非法篡改 删除等情况的发生 确保服务器重要数据完 整性不被破坏 4 3 1 3 安全审计管理 在安全计算环境防护中 安全审计管理包括对各类用户的操作行为审计 以及网络中重要安全事件的记录审计等内容 且审计记录应包括事件的日期和 时间 用户 事件类型 事件是否成功及其他与审计相关的信息 因此 此类 安全审计通常包括数据库访问审计 Web业务访问审计 以及对所有设备 系统 的综合日志审计 同时 审计记录产生时的时间应由系统范围内唯一确定的时钟产生 如部 署NTP服务器 以确保审计分析的正确性 除了借助安全审计设备来实现审计功能外 服务器也需要启用自身的操作 系统审计功能 4 3 1 4 入侵防范 通过终端安全基线管理能够对终端计算机的基础安全和使用控制实现自动 化安全管理和防护 包括操作系统安全加固 关闭不必要的服务 端口 共享 和来宾组等 为不同用户开放相应权限 防止安装不必要的应用软件 对终端 外设接口 外联设备及使用的监视 有效控制计算机的资源利用率 实现系统 密码口令安全策略管控 系统资源文件使用访问控制 终端计算机基础资源使 用监控等安全功能 针对服务器和终端计算环境实施安全策略 通过部署入侵监测系统来检测 针对内部计算环境中的恶意攻击和探测 诸如对网络蠕虫 间谍软件 木马软 件 数据库攻击 高级威胁攻击 暴力破解 SQL注入 XSS 缓冲区溢出 欺 骗劫持等多种深层攻击行为进行深入检测并及时报警 采用漏洞扫描技术能够对网络主机 如服务器 客户机 网络打印机 操作系统 如Microsoft Windows 系列 Sun Solaris HP Unix IBM AIX IRIX Linux BSD等 网络设备 应用系统 如Web应用 FTP 电子邮 件等 常用软件 如Office Symantec McAfee Chrome IE等 网站开 源架构 如phpmyadmin WordPress 等 主流数据库 SQL Server Oracle Sybase DB2 MySQL等 进行系统漏洞 应用漏洞 安全配 置扫描和检测 及时发现网络中各类设备和系统的安全脆弱性 提出修复和整 改建议 保障设备和系统自身安全性 对于Web应用 可采用Web应用安全网关系统来进行CGI漏洞扫描攻击 SQL 注入攻击 XSS攻击 CSRF攻击防护 以及Cookie篡改防护 网站盗链防护 网 页挂马防护 WebShell防护等各种针对Web系统的入侵攻击行为 结合网页防篡 改技术实现系统运行过程中重要程序或文件完整性检测和恢复 4 3 1 5 恶意代码防护 恶意代码是指以危害信息安全等不良意图为目的的程序或代码 它通常潜 伏在受害计算机系统中伺机实施破坏或窃取信息 是安全计算环境中的重大安 全隐患 其主要危害包括攻击系统 造成系统瘫痪或操作异常 窃取和泄露文 件 配置或隐私信息 肆意占用资源 影响系统 应用或系统平台的性能 在 服务器端部署防病毒系统或者恶意代码主动防御系统 恶意代码防护系统具备 查杀各类病毒 木马或恶意软件的服务能力 包括文件病毒 宏病毒 脚本病 毒 蠕虫 木马 恶意软件 灰色软件等 通过主动免疫可信验证机制及时识 别病毒行为 并将其有效阻断 4 3 1 6 主机可信验证 基于可信根或可信芯片 对计算节点主机的BIOS 引导程序 操作系统内 核 应用程序加载运行等过程进行可信验证 尤其是在关键执行环节 需要进 行动态的可信验证 终端主机可采用基于TPM可信芯片的安全终端 服务器端采 用服务器加固系统 构建服务器可信运行环境 4 3 1 7 数据完整性保护 应采用校验技术或密码技术保证重要数据在传输 存储过程中的完整性 包括但不限于鉴别数据 重要业务数据 重要审计数据 重要配置数据 重要 视频数据和重要个人信息等 应用开发时也应同步考虑数据完整性校验等功能 4 3 1 8 数据保密性保护 应采用密码技术保证重要数据在传输 存储过程中的保密性 包括但不限 于鉴别数据 重要业务数据和重要个人信息等 应用开发时应同步考虑采用数 据保密相关的身份鉴别和数据加密等技术手段来实现 4 3 1 9 数据备份恢复 应制定数据备份策略并准备数据备份服务器 实现本地备份与恢复 提供 异地实时备份功能 并为重要业务系统实现冗余热备份 提供高可用性 4 3 1 10 个人信息保护 对应用软件开发提出要求 采集和保存必需的个人信息 同时 对个人信 息的访问进行控制 禁止非授权使用 可采用数据防泄漏系统 或采用数据库 脱敏系统对个人敏感信息数据进行脱敏处理 4 3 1 11 安全配置核查 在IT系统中 由于服务和软件的不正确部署和配置会造成安全配置漏洞 入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁 特 别是在当前网络环境中 无论是网络运营者 还是网络使用者 均面临着越来 越复杂的系统平台 种类繁多的重要应用系统 数据库系统 中间件系统 很 容易发生管理人员的配置操作失误造成极大的影响 由此 通过自动化的安全 配置核查服务能够及时发现各类关键资产的不合理策略配置 进程服务信息和 环境参数等 以便及时修复 将系统安全配置信息形成基准库 并定期进行配 置核查 4 3 2 安全区域边界防护设计 依据等级保护要求第三级中安全区域边界相关控制项 结合安全区域边界 对于区域边界访问控制 区域边界包过滤 区域边界安全审计 区域边界完整 性保护及可信验证等安全设计要求 安全区域边界防护建设主要通过基于地址 协议 服务端口的访问控制策略 非法外联 违规接入网络 抗DDoS攻击 恶 意代码防护 入侵防御 APT攻击检测防护 无线安全管理以及安全审计管理等 安全机制来实现区域边界的综合安全防护 具体如下 4 3 2 1 区域边界访问控制 依据等级保护要求第三级中网络和通信安全相关安全要求 区域边界访问 控制防护需要通过在网络区域边界部署专业的访问控制设备 如下一代防火墙 统一威胁网关等 并配置细颗粒度的基于地址 协议和端口级的访问控制 策略 实现对区域边界信息内容的过滤和访问控制 4 3 2 2 违规外联 安全接入控制 针对终端计算机非授权连接外部网络 或者未经安全检测和授权而随意接 入网络中的情况 通常是采用安全准入控制和违规外联控制技术来进行检查和 控制 违规外联控制能够及时监测终端计算机违规连接外网 互联网的终端访问 行为 并及时进行阻断和报警 安全准入控制能够对接入到内部网络中的终端 计算机进行安全检查 使其必须满足一定安全基线要求 经过认证授权的情况 下方能使用网络系统 保障网络区域边界的完整性保护 4 3 2 3 抗DDoS攻击防护 作为第一道安全防线 异常流量及抗DDoS攻击防护能够通过分析网络中的 网络流信息 包括NetFlow sFlow等 及时发现针对网络中特定目标 IP 的DDoS攻击等异常流量 通过流量牵引的方式将DDoS攻击等异常数据流清洗处 理 将干净的流量回注到网络环境中继续转发 4 3 2 4 边界恶意代码防护 网络区域边界的恶意代码防范工作是在关键网络节点处部署网络防病毒网 关 防垃圾邮件网关对恶意代码和垃圾邮件进行及时检测和清除 或在下一代防 火墙 统一威胁网关中启用防病毒模块 防垃圾邮件模块 并保持网络病毒库和 垃圾邮件库的升级和更新 4 3 2 5 区域边界入侵防护 区域边界网络入侵防护主要在网络区域边界 重要节点检测和阻止针对内部 的恶意攻击和探测 诸如对网络蠕虫 间谍软件 木马软件 溢出攻击 数据 库攻击 高级威胁攻击 暴力破解等多种深层攻击行为 进行及时检测 阻止 和报警 4 3 2 6 APT攻击检测防护 高级持续性威胁 APT 通常隐蔽性很强 很难捕获 而一旦APT攻击渗透 进网络内部 建立起桥头堡 然后在相当长一段时间内 十分隐蔽地盗取敏感 数据信息或实施重大破坏行动 潜在危害极大 高级可持续性威胁APT攻击检测 能够对此类安全威胁具有细粒度检测效果 可实现对未知恶意代码检查 嵌套 式攻击检测 木马蠕虫病毒识别 隐秘通道检测等攻击利用行为的检测 4 3 2 7 无线网络安全管理 无线网络安全管理主要用于限制和管理无线网络的使用 确保无线终端通 过无线边界防护设备认证和授权后方能接入网络 无线网络安全管理通常包括 无线接入 无线认证 无线防火墙 无线入侵防御 无线加密 无线定位等技 术措施 4 3 2 8 区域边界安全审计 区域边界安全审计需要对区域网络边界 重要网络节点进行用户行为和重 要安全事件进行安全审计 并统一上传到安全审计管理中心 同时 审计记录产生时的时间应由系统范围内唯一确定的时钟产生 如部 署NTP服务器 以确保审计分析的正确性 4 3 2 9 区域边界可信验证 区域边界设备需要在运行过程中基于可信根定期对程序内存空间 操作系 统内核关键内存区域执行资源进行可信验证 可采购基于可信芯片的安全网络 设备 如 可信边界网关设备 4 3 3 安全通信网络防护设计 依据等级保护要求第三级中网络和通信安全相关安全控制项 结合通信网 络安全审计 通信网络数据传输完整性 保密性保护 可信连接验证等安全设计 要求 安全通信网络防护建设主要通过网络架构设计 安全区域划分 流量均 衡控制 通信网络安全传输 通信网络安全接入 及通信网络安全审计等机制 实现 4 3 3 1 网络架构及安全区域设计 4 3 3 1 1 网络架构设计 网络层架构设计应重点关注以下方面 主要网络设备 安全设备 如核心交换机 核心路由器 关键节点安全 设备等 的业务处理能力应能满足业务高峰期需要 保证各项业务运 行流畅 如主干网络需要采用包括设备冗余 链路冗余的网络架构 以满足业务连续性需求 网络带宽应能满足业务高峰期的需求 保证各业务系统正常运行的基本 带宽 划分不同的子网 按照方便管理和控制的原则为各子网 网段分配地址 段 避免将重要网络区域部署在网络边界处且没有边界防护措施 4 3 3 1 2 安全区域划分 安全区域通常也称 安全域 通常是由安全计算环境和安全区域边界组 合形成 具体而言 安全域是指同一系统内有相同的安全保护需求 相互信任 并且具有相同的访问控制和边界控制策略的子网或网络 同时 安全域还可以根据其更细粒度的防护策略 进一步划分安全子域 以便能够落实重点防护思想 形成重要资源重点保护的策略方针 安全域及安全子域划分时应重点考虑以下要素 各业务系统 子系统在同一个管理机构的管理控制之下 保证遵循相同 的安全策略 各业务系统 子系统具有相似的业务类型或相似的用户群体 安全需求 相近 保证遵循相同的安全策略 各业务系统 子系统具有相同的物理位置或相似的运行环境 有利于采 取统一的安全保护机制 各业务系统 子系统面临相似的安全威胁 需采用相似的安全控制措施 来保证安全性 4 3 3 1 3 分区分域结构图 实行分区 分级区域划分 配备分区分域结构图 并简要描述 4 3 3 2 带宽流量负载管理 考虑到网络架构中业务应用系统带宽分配和处理能力需要 以及针对业务 应用系统中资源控制要求 通过专业流量负载均衡或应用交付系统能够有效支 撑网络链路负载 服务器负载 应用协议优化与加速 保障流量带宽资源的合 理管控 4 3 3 3 通信网络安全传输 通信安全传输要求能够满足业务处理安全保密和完整性需求 避免因传输 通道被窃听 篡改而引起的数据泄露或传输异常等问题 通过采用VPN技术而形成加密传输通道 即能够实现对敏感信息传输过程中 的信道加密 确保信息在通信过程中不被监听 劫持 篡改及破译 保证通信 传输中关键数据的的完整性 可用性 4 3 3 4 远程安全接入防护 针对有远程安全运维需求 或者远程安全访问需求的终端接入用户而言 应采用VPN安全接入技术来满足远程访问或远程运维的安全通信要求 保证敏感 关键的数据 鉴别信息不被非法窃听 暴露 篡改或损坏 4 3 3 5 通信网络安全审计 通信网络安全审计需要启用 设置安全审计功能 将用户行为和重要安全事 件进行安全审计 并统一上传到安全审计管理中心 同时 审计记录产生时的时间应由系统范围内唯一确定的时钟产生 如部 署NTP服务器 以确保审计分析的正确性 4 3 3 6 可信连接验证 通信网络设备需要具备可信连接保护功能 在设备连接网络时 对源和目 标平台身份 执行程序及其关键执行环节的执行资源进行可信验证 4 3 4 安全管理中心设计 依据等级保护要求第三级中网络和通信安全相关安全控制项 结合安全管 理中心对系统管理 安全管理和审计管理的设计要求 安全管理中心建设主要 通过运维审计 网络管理系统 综合安全管理平台等机制实现 通过安全堡垒机 运维审计系统 能够对系统管理员 审计管理员和安全 管理员进行身份鉴别 并对操作权限进行控制 记录相关操作审计日志 通过网络管理系统能够对网络设备 网络链路 主机系统资源和运行状态 进行监测和管理 实现网络链路 服务器 路由交换设备 业务应用系统的监 控与配置 通过综合安全管理平台对安全设备 网络设备和服务器等系统的运行状况 安全事件 安全策略进行集中监测采集 日志范式化和过滤归并处理 来实 现对网络中各类安全事件的识别 关联分析和预警通报 5 管理体系设计方案 5 1 管理体系设计目标 管理体系设计目标是根据等级保护对象当前安全管理需要和安全技术保障 需要 提出与等级保护对象安全总体方案中管理部分相适应的本期安全实施内 容 以保证在安全技术建设的同时 安全管理得以同步建设 根据客户项目具体目标进行增删或调整 5 2 管理体系设计框架 总体方针 安全策略 信息安全管理制度 技术标准 操作规程 记录 表单 5 3 安全管理防护体系设计 安全管理防护体系的设计 可结合定级系统自身的特点 并结合行业安全 监管要求及相关标准 综合考虑各类措施来达到基本要求提出的安全保护能力 信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标 以及完成这些目标所用的方法和体系 以等保安全管理基本要求为基础 结合ISO270001的体系的PDCA过程和ISO2 7002的14个控制域规范 同时兼顾监管部门的相关安全规范 整合企业自身的I T服务管理体系和安全技术防护体系 通过体系规范化 管理流程化 测量指标 化 操作工具化的手段来确保体系设计的落地 根据项目规模和实际情况 决定是否结合 ISO27000信息安全管理体系的相 关内容展开来进行详细的安全管理体系设计 本方案模板仅从等保合规的基本管理要求来描述 5 3 1 安全管理制度设计 安全管理制度是对信息安全目标和工作原则的规定 其表现形式是一系列 安全策略体系文件 安全管理制度是信息安全保障体系的核心 是信息安全管 理工作 技术工作和运维工作的目标和依据 具体安全管理制度可参考以下内 容建设 制定一套网络安全总体方针和安全策略 明确组织机构的总体目标 范 围 原则和安全框架 制定一套安全管理制度 形成安全策略 管理制度 操作规程 记录表 单四级管理制度体系 指派专人或者成立专门的部门负责制度的制定 安全管理制度要正式发 布 并进行有效的版本控制 应定期对制度进行评审和修订 至少每年 建议 进行一次评审和修订 5 3 2 安全管理机构设计 安全管理机构建设将决定整个安全管理体系的成败 成立网络安全领导小 组及其办公室机构 网络安全领导小组应由单位高层领导和有关部门的管理人 员组成 负责协调 指导及管理信息安全各个方面的工作 设置网络安全管理工作的部门 并明确其职责 根据三权分立的原则设置 工作岗位 设置三员角色 必须配备专职的安全管理员 建立授权审批制度 明确职责和要求 重要活动逐级审批 并对审批事项 进行定期审查 建立定期协调会议制度 协调处理网络安全问题 加强与外部资源的沟通 与合作 建立外部单位联系表 以便及时获取外部资源支持 建立定期安全检测制度 检查内容覆盖技术 管理 策略等 并对检查结 果进行分析 形成报告 并对结果进行通报 5 3 3 安全管理人员设计 需要有专人或部门负责人员录用 需要对专业技能 身份 背景 专业资 格资质进行审核 并确定保密协议和岗位责任协议 并对被录用人员所具有的 技术技能进行考核 人员离岗及时终止各种权限 回收各类访问权限 软硬件设备 履行离职 手续 并签订离职保密协定 针对不同岗位制定不同培训计划 对安全意识 安全基础知识 岗位操作 规程等进行培训 并定期对不同岗位的人员进行技能考核 要有惩戒措施 制定外部人员访问审批流程 访问网络申请流程 访问结束立刻终止权限 高 危系统访问需签订保密协议 5 3 4 安全建设管理设计 安全建设管理应贯穿到信息系统整个生命周期 在系统审批 建设 安全 定级与备案 安全方案设计 软件开发与实施 验收与测试 系统交付与等级 测评 以及服务商选择等过程均需要进行安全管理 根据系统定级等级设计安全方案 并组织专家进行评审 经过批准后方可 以实施 需要根据网络的安全保护等级和安全需求 采购使用符合国家法律法规和 有关标准要求的网络产品 对于软件开发 要确保将开发环境与实际运行环境物理分开 测试数据和 测试结果收到控制 制定软件开发管理制度 明确说明开发过程的控制方法和 人员行为准则 制定代码编写安全规范并要求开发人员参照规范编写代码 应 具备软件设计的相关文档和使用指南 并对文档使用进行控制 应保证在软件 开发过程中对安全性进行测试 在软件安装前对可能存在的恶意代码进行检测 应对程序资源库的修改 更新 发布进行授权和批准 并严格进行版本控制 应保证开发人为专职人员 开发人员的开发活动受到控制 监视和审查 当 软件开发采取外包模式时 还需要开发单位提供软件设计文档 使用指南及软 件源代码 并对软件中可能存在的后门和隐蔽信道进行技术审查 在项目实施过程中 要指定或授权专门的部门或人员负责工程实施过程的 管理 制定安全工程实施方案 并通过第三方工程监理控制项目的实施过程 在项目测试验收阶段 应制订测试验收方案 并依据测试验收方案实施测 试验收 形成测试验收报告 系统上线前还需要进行安全性测试 并出具安全 测试报告 安全测试报告应包含密码应用安全性测试相关内容 系统交付使用时 应制定交付清单 并根据交付清单对所交接的设备 软 件和文档等进行清点 并对负责运行维护的技术人员进行相应的技能培训 还 要提供建设过程文档和运行维护文档 5 3 5 安全运维管理设计 安全运维管理是整个系统安全运营的重要环节 其内容涵盖机房环境管理 资产管理 介质管理 设备管理 漏洞和风险管理 网络及系统安全管理 恶意代码防范 配置管理 密码管理 变更管理 备份与恢复管理 安全应急 处置 以及安全服务管理工作等内容 具体如下 5 3 5 1 机房环境管理 在机房环境管理中需要对机房供配电 空调 温湿度控制 消防等设施指 定专人或专门部门定期进行维护管理 同时还应建立机房安全管理制度 对机房人员出入 物品带进带出和机房 环境安全等方面作出规定 不在重要区域接待来访人员 不将含有敏感信息的 纸档文件和移动介质随意放置 5 3 5 2 资产管理 针对资产管理 应建立资产安全管理制度 规定信息系统资产管理的责任 人员或责任部门 规范资产管理和使用的行为 编制并保存与保护对象相关的 资产清单 同时应根据资产的重要程度对资产进行定性赋值和标识管理 根据资产的 价值选择相应的管理措施 确定信息分类与标识的原则和方法 对信息的使用 传输和存储作出规定 5 3 5 3 介质管理 应建立介质安全管理制度 对介质存放环境 使用 维护和销毁等方面作 出规定 如介质的归档和查询须有记录 并对存档介质的目录清单定期盘点 除此之外 还应对存储介质的数据安全进行管理和防范 具体如下 对于需要送出维修或销毁的介质 应采用多次读写覆盖 清除介质中的 敏感或重要数据 防止数据泄露 根据数据备份需要对某些介质实行异地存储 存储地的环境要求和管理 方法应与本地相同 根据所承载数据和软件的重要程度对介质进行分类和标识管理 并实行 专人管理 对介质物理运输过程中人员选择 打包 交付等情况进行控制 保密性较高的信息存储介质未经批准不得自行销毁 销毁时必须做到双 人监销 销毁记录应妥善保存 重要数据存储介质带出工作环境应采取加密方式 并进行监控管理 对存放的介质定期进行完整性和可用性检查 确认其数据或软件没有受 到损坏或丢失 5 3 5 4 设备维护管理 对信息系统相关的各种设备 线路等指定专人或专门部门定期进行维护 管理 对信息系统的各种软硬件设备的选型 采购 发放或领用等过程建立申 报 审批管理规定 对终端计算机 工作站 便携机 系统和网络等设备的操作和使用进行 规范化管理 按操作规程实现服务器的启动 停止 加电 断电等操作 加强对服务器 网络设备等重要设备或系统的日志文件检查和监控 建立软硬件设备维护管理制度 包括明确维护人员的责任 涉外维修和 服务的审批 维修过程的监督控制等 5 3 5 5 漏洞和风险管理 针对漏洞和风险管理 需要通过漏洞扫描系统对发现的系统安全漏洞进行 及时修补 需要定期安装最新补丁程序 对重要漏洞进行及时修补 定期开展 安全测评 形成安全测评报告 采取措施应对发现的安全问题 5 3 5 6 网络和系统安全管理 指定专人对网络进行管理 负责运行日志 网络监控记录的日常维护和 报警信息分析处理工作 对网络设备和系统的安全策略维护 配置文件更改进行流程审批 通过身份鉴别 访问控制等措施限制远程管理账户的操作行为 指定专人对系统进行管理 删除或者禁用不使用的系统缺省账户 对能够使用系统工具的人员及数量进行限制和控制 根据业务需求和系统安全确定系统的访问控制策略 文件及服务的访问 权限 对系统账户进行分类管理 权限设定应当遵循最小授权要求 对于账户安全管理的执行情况进行检查和监督 定期审计和分析用户账 户的使用情况 定期检查违反规定无线上网及其他违反网络安全策略的行为 5 3 5 7 恶意代码防范管理 提高全体员工的网络病毒 恶意代码安全防范意识 及时升级防病毒软 件 在读取移动存储设备上的数据以及接收文件或邮件之前 先进行病毒检 查 对防恶意代码软件的授权使用 恶意代码库升级 定期汇报等作出明确 管理规定 定期检查恶意代码库的升级情况并进行记录 对防病毒软件 防病毒网 关上截获的危险病毒或恶意代码进行及时分析处理 形成书面报表和 总结汇报 5 3 5 8 配置管理 建立对包括网络拓扑结构 设备和系统安装的服务组件 组件版本和补丁 信息 设