本方案是根据《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》的基本要求和安全目标,参照《信息安全技术网络安全等级保护设计技术要求第1部分:通用设计要求》具体内容,针对第三级系统而提出的安全保护等级设计方案。
本方案构建设计与编制主要参考下述法律、法规和安全标准,具体如下:
Ø 《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)
Ø 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
Ø 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
Ø 《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)
Ø 《信息安全等级保护管理办法》(公通字[2007]43号)
Ø 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
Ø 《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)》
Ø 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
Ø 《全国人民代表大会常务委员会关于加强网络信息保护的决定》
Ø 《中华人民共和国网络安全法》
Ø
Ø 《信息技术安全技术信息安全管理体系要求》(ISO/IEC 27001:2013)
Ø 《信息技术 安全技术 信息安全控制实用规则》(ISO/IEC 27002:2013)
Ø 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
Ø 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
Ø 《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》(GB/T 22239.1-20XX)
Ø 《信息安全技术 信息系统安全等级保护定级指南》(GB/T22240-2008)
Ø 《信息安全技术网络安全等级保护设计技术要求第1部分:通用设计要求》(GB/T 25070.1-20XX)
Ø 号)《信息安全技术 信息系统安全等级保护实施指南》(GB-T 25058-20XX)
Ø 《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》(GB-T 28448.1-20XX)
Ø 信息安全技术网络安全等级保护测评过程指南(GB-T 28449-20XX)
任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个信息系统,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。
对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求、安全风险与安全保护代价的关系。因此,结合适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。
信息安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。
信息系统在新建、改建、扩建时应当同步建设信息安全设施,确保其具有支持业务稳定、持续运行性能的同时,保证安全技术措施同步规划、同步建设、同步使用,以保障信息安全与信息化建设相适应。
参考等级保护安全设计要求,本方案的设计思路如下:
Ø 根据信息系统的安全定级结果,明确该等级对应的总体防护描述;
Ø 根据系统和子系统划分结果、安全定级结果将保护对象归类,并组成保护对象框架;
Ø 根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架中;
Ø 根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到物理和环境、网络和通信、设备与计算、应用和数据等层面上;
Ø 根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边界和安全域互联策略;
Ø 根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施;根据安全技术体系和安全管理体系的划分,各安全措施共同组成了安全措施框架;
Ø 各保护对象根据系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分;各安全区域将保护对象框架划分成不同部分,即各安全措施发生作用的保护对象集合。
Ø 根据选择好的各保护对象安全措施、安全措施框架、实际的具体需求来设计安全解决方案。
物理和环境安全主要影响因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。具体安全需求如下:
Ø 由于机房容易遭受雷击、地震和台风等自然灾难威胁,需要通过对物理位置进行选择,及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题;
Ø 由于机房容易遭受水患和火灾等灾害威胁,需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁;
Ø 由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常,应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁;
Ø 由于机房电压波动影响,需要合理设计电力供应系统来解决因电压波动带来的安全威胁;
Ø 针对机房供电系统故障,需要合理设计电力供应系统,如:购买UPS系统、建立发电机机房,铺设双电力供电电缆来保障电力的供应,来解决因供电系统故障带来的安全威胁;
Ø 针对机房容易遭受静电、设备寄生耦合干扰和外界电磁干扰,需要采取防静电和电磁防护措施来解决静电、设备寄生耦合干扰和外界电磁干扰带来的安全威胁;
Ø 针对机房容易遭受强电磁场、强震动源、强噪声源等污染,需要通过对物理位置的选择、采取适当的电磁防护措施,来解决强电磁场、强震动源、强噪声源等污染带来的安全隐患;
Ø 针对利用非法手段进入机房内部盗窃、破坏等安全威胁,需要通过进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施,来解决非法手段进入机房内部盗窃、破坏等带来的安全问题;
Ø 针对利用工具捕捉电磁泄漏的信号,导致信息泄露的安全威胁,需要通过采取防电磁措施,来解决电磁泄漏带来的安全问题。
网络和通信层指利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。具体安全需求如下:
Ø 针对网络架构设计不合理而影响业务通信或传输问题,需要通过优化设计、安全域改造完成。
Ø 针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性和保密性,需要通过数据加密技术、数据校验技术来保障。
Ø 针对内部人员未授权违规连接外部网络,或者外部人员未经许可随意接入内部网络而引发的安全风险,以及因使用无线网络传输的移动终端而带来的安全接入风险等问题,需要通过违规外联、安全准入控制以及无线安全控制措施来解决。
Ø 针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务或服务停止的安全风险,需要通过抗DDoS攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。
Ø 针对攻击者越权访问文件、数据或其他资源,需要通过访问控制、身份鉴别等技术来解决。
Ø 针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如碎片重组,协议端口重定位等),需通过网络入侵检测、恶意代码防范等技术措施来解决。
Ø 针对利用网络结构设计缺陷旁路安全策略,未授权访问网络,需通过访问控制、身份鉴别、网络结构优化和调整等综合方法解决。
Ø 针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析,以及集中安全策略分发、漏洞补丁升级等安全管理问题,需要通过集中安全管控机制来解决。
设备和计算安全包括各类网络设备、服务器、管理终端和其他办公设备系统层的安全风险。主要涵盖两个方面,一是来自系统本身的脆弱性风险;另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下:
Ø 针对用户帐号权限设置不合理、帐号暴力破解等等安全风险,需要通过帐号管理、身份鉴别、访问控制等技术手段解决。
Ø 针对在网页浏览、文档传递、介质拷贝或文件下载、邮件收发时而遭受恶意代码攻击的安全风险,需通过恶意代码防范技术手段解决。
Ø 针对操作用户对系统错误配置或更改而引起的安全风险,需通过安全配置核查、终端安全管控等技术手段解决。
Ø 针对设备系统自身安全漏洞而引起被攻击利用的安全风险,需要通过漏洞扫描技术、安全加固服务等手段解决。
Ø 针对通过恶意代码或木马程序对主机、网络设备或应用系统进行攻击的安全威胁,需通过恶意代码防护、入侵检测、身份鉴别、访问控制、安全审计等技术手段解决。
应用和数据安全涉及业务应用系统及重要数据传输、存储的安全问题。具体安全需求如下:
Ø 针对利用各种工具获取应用系统身份鉴别数据,进行分析获得鉴别内容,从而未授权访问、使用应用软件、文件和数据的安全风险,需要采用两种或两种以上鉴别方式来,可通过应用系统开发或第三方辅助系统来保证对应用系统登录鉴别安全;
Ø 针对应用系统缺陷、接口设计等导致被恶意攻击利用、数据丢失或运行中断而影响服务连续性的安全风险,需要通过对产品采购、自行软件开发、外包软件和测试验收进行流程管理,同时保证应用软件具备自我容错能力;
Ø 针对应用系统过度使用内存、CPU等系统资源,需要对应用软件进行实时的监控管理,同时对系统资源进行管控来解决;
Ø 针对由于应用系统存储数据而引发的数据损毁、丢失等数据安全问题,需通过本地数据备份和异地容灾备份等手段来解决;
Ø 针对通过伪造信息进行应用系统数据的窃取风险,需要加强网络边界完整性检查,加强对网络设备进行防护、对访问网络的用户身份进行鉴别,加强数据保密性来解决。
安全策略和管理制度涉及安全方针、总体安全策略、安全管理制度、审批流程管理和安全检查管理等方面。其安全需求如下:
Ø 需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
Ø 需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
Ø 需要对安全管理制度进行评审和修订,不断完善、健全安全制度;
Ø 需要建立相应的审批部门,进行相关工作的审批和授权;
Ø 需要建立协调机制,就信息安全相关的业务进行协调处理;
Ø 需要建立审核和检查部门,安全人员定期的进行全面的安全检查;
Ø 需要建立恰当的联络渠道,进行沟通和合作,进行事件的有效处理;
Ø 需要建立审核和检查的制度,对安全策略的正确性和安全措施的合理性进行审核和检查;
Ø 需要建立备案管理制度,对系统的定级进行备案;
Ø 需要建立产品采购,系统测试和验收制度,确保安全产品的可信度和产品质量;
安全管理机构和人员管理涉及安全部门设置、人员岗位设置、人员安全管理等方面。其安全需求如下:
Ø 需要建立专门安全职能部门,设置安全管理岗位,配备安全管理人员、网络管理人员、系统管理人员;
Ø 需要对人员的录用进行必要的管理,确保人员录用的安全;
Ø 需要对人员离岗进行有效的管理,确保人员离岗不会带来安全问题;
Ø 需要对人员考核进行严格的管理,提高人员安全技能和安全意识;
Ø 需要对人员进行安全意识的教育和培训,提高人员的安全意识;
Ø 需要对第三方人员进行严格控制,确保第三方人员访问的安全。
安全建设管理涉及安全方案设计、安全集成建设、变更控制管理、工程质量管理,以及应急事件处置等方面。其安全需求如下:
Ø 需要具有总体安全方案设计、安全评审的流程和管理能力;
Ø 密码算法和密钥的使用需符合国家密码管理的规定;
Ø 需要任何变更控制和设备重用要申报和审批,对其实行制度化管理;
Ø 需要对安全产品质量进行验证测试的能力;
Ø 需要安全工程的实施质量和安全功能的实现管理能力;
Ø 需要对信息安全事件实行分等级响应、处置的流程管理能力。
安全运维管理涉及机房运行管理、资产管理、系统安全运行维护管理等方面。其安全需求如下:
Ø 需要保证机房具有良好的运行环境;
Ø 需要对信息资产进行分类标识、分级管理;
Ø 需要对各种软硬件设备的选型、采购、使用和保管等过程进行控制;
Ø 需要各种网络设备、服务器正确使用和维护;
Ø 需要对网络、操作系统、数据库系统和应用系统进行安全管理;
Ø 需要定期地对通信线路进行检查和维护;
Ø 需要硬件设备、存储介质存放环境安全,对其使用进行控制和保护;
Ø 需要对支撑设施、硬件设备、存储介质进行日常维护和管理;
Ø 需要对系统使用手册、维护指南等工具文档进行管理;
Ø 需要在事件发生后能采取积极、有效的应急策略和措施。
机房场地物理位置要远离人造和自然灾害多发的地方,例如:加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等。机房场所应具备防震、防风、防雨等能力;机房不应建在建筑物的高层和地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
设置电子门禁系统,进入机房的人员进行身份鉴别并登记在案;设置视频监控系统,监控并限制进入机房人员的活动;对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域。
相应采取的措施有:监控设备;电子门禁系统。
主要设备存放位置物理受控;主要设备和部件固定,并加上不易拆除标记;通信线路隐藏铺设;存储介质分类标记和存储;安装防盗报警设备。
相应采取的措施有:防盗报警系统。
购置防雷设备,进行防雷击措施的保护;设置交流电接地线;防雷保安器,防止感应雷。
相应采取的措施有:防雷保安器或过压保护装置。
设置火灾自动消防系统,自动检测火情、自动报警、自动灭火;机房场所建筑材料应当采用耐火材料;机房采取防火隔离设施,将重要设备和其他设备隔离开。
相应采取的措施有:自动灭火报警系统;耐火材料、防火隔离设施。
在水管安装时,不要使得水管穿过屋顶和活动地板下,以免水管破裂或者爆裂造成水灾;对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;采取必要的措施防止雨水通过屋顶和墙壁渗透,造成水灾;采取措施防止室内水蒸气结露和地下积水的转移与渗透。
相应采取的措施有:安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
在机房场所设置必要的接地等防静电措施;可以采用防静电地板或地毯。
相应采取的措施有:采用静电消除器、佩戴防静电手环等。
购置恒温恒湿设备,保持机房的温湿度,保证设备运行在允许温湿度环境下,防止设备在非正常的情况下运行造成的安全隐患。
相应采取的措施有:空调;恒湿空调设备。
计算机系统供电应与其他供电分开;设置稳压和过压防护设备;提供短期电力供应系统,如UPS系统;电力供应系统配置冗余或者并行的电力电缆。
相应采取的措施有:稳压装置、过压保护器;UPS;备用发电机。
交流电一定要接地线,防止外界电磁干扰和寄生设备耦合;电力电缆与通信线缆要实行分离部署,防止电磁干扰;重要设备和磁介质实行电子屏蔽。
相应采取措施有:绝缘地板、防电磁干扰设备、关键设备实施电磁屏蔽。
根据等级保护安全技术要求第三级中三重防护的思想和控制要求,安全技术体系建设包括安全计算环境防护建设、安全区域边界防护建设、安全通信网络防护建设,以及安全管理中心建设等几个方面。
等级保护对多个层面都有相同的安全要求,以下是具体安全设计。
依据等级保护要求第三级中设备和计算安全、应用和数据安全等相关安全控制项,结合安全计算环境对于用户身份鉴别、自主与标记访问控制、系统安全审计、恶意代码防护、安全接入连接、安全配置检查等技术设计要求,安全计算环境防护建设主要通过身份鉴别与权限管理、安全通信传输、主机安全加固、终端安全基线、入侵监测/入侵防御、漏洞扫描、恶意代码防护、Web应用攻击防护、网络管理监控、安全配置核查、安全审计,重要节点设备冗余备份,以及系统和应用自身安全控制等多种安全机制实现。
具体如下:
身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、安全堡垒机、4A平台系统等。
基础建设方案推荐使用“安全堡垒机”,通过限定服务器单一入口,对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。
服务器操作系统安全加固不仅能够实现基于文件自主访问控制,对服务器上的敏感数据设置访问权限,禁止非授权访问行为,保护服务器资源安全;更是能够实现文件强制访问控制,即提供操作系统访问控制权限以外的高强度的强制访问控制机制,对主客体设置安全标记,授权主体用户或进程对客体的操作权限,有效杜绝重要数据被非法篡改、删除等情况的发生,确保服务器重要数据完整性不被破坏。
通过终端安全基线管理能够对终端计算机的基础安全和使用控制实现自动化安全管理和防护,包括操作系统安全加固、关闭不必要的服务、端口、共享和来宾组等,为不同用户开放相应权限,防止安装不必要的应用软件;对终端外设接口、外联设备及使用的监视、有效控制计算机的资源利用率;实现系统密码口令安全策略管控、系统资源文件使用访问控制、终端计算机基础资源使用监控等安全功能。
基线安全影响安全计算环境多个层面,涉及多个安全控制点,如入侵防范、恶意代码防范、访问控制等。
基础建设方案推荐使用“终端管理系统”,包含防病毒功能,补丁管理功能,运维管控功能,对计算环境安全实现统一管理。
恶意代码是指以危害信息安全等不良意图为目的的程序或代码,它通常潜伏在受害计算机系统中伺机实施破坏或窃取信息,是安全计算环境中的重大安全隐患。其主要危害包括攻击系统,造成系统瘫痪或操作异常;窃取和泄露文件、配置或隐私信息;肆意占用资源,影响系统、应用或系统平台的性能。恶意代码防护能够具备查杀各类病毒、木马或恶意软件的服务能力,包括文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。
Web安全应用保护能够防止包括CGI漏洞扫描攻击、SQL注入攻击、XSS攻击、CSRF攻击防护,以及Cookie篡改防护、网站盗链防护、网页挂马防护、WebShell防护等各种针对Web系统的入侵攻击行为,结合网页防篡改技术实现系统运行过程中重要程序或文件完整性检测和恢复。
系统中若存在Web应用,则需要配备WAF,WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。
网络入侵监测/入侵防御主要用于检测和阻止针对内部计算环境中的恶意攻击和探测,诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、SQL注入、XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测和主动阻断,以及对网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等行为进行及时检测和报警。
漏洞扫描技术能够对网络主机(如服务器、客户机、网络打印机)、操作系统(如Microsoft Windows 系列、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等)、网络设备、应用系统(如Web应用、FTP、电子邮件等)、常用软件(如Office、Symantec、McAfee、Chrome、IE等)、网站开源架构(如phpmyadmin、WordPress 等)、主流数据库(SQL Server、Oracle、Sybase、DB2、MySQL等)进行系统漏洞、应用漏洞、安全配置扫描和检测,及时发现网络中各类设备和系统的安全脆弱性,提出修复和整改建议,保障设备和系统自身安全性
针对重要节点的远程运行资源监视,包括监视CPU、硬盘、内存等资源使用情况,以及业务应用系统运行环境资源状况可以通过网络监控系统进行远程在线实时监测,实现重要节点服务水平降低到预先规定的阈值时进行报警,保障业务应用运行环境的可靠性和可用性。
在IT系统中,由于服务和软件的不正确部署和配置会造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。特别是在当前网络环境中,无论是网络运营者,还是网络使用者,均面临着越来越复杂的系统平台、种类繁多的重要应用系统、数据库系统、中间件系统,很容易发生管理人员的配置操作失误造成极大的影响。由此,通过自动化的安全配置核查服务能够及时发现各类关键资产的不合理策略配置、进程服务信息和环境参数等,以便及时修复。
在安全计算环境防护中,安全审计管理包括对各类用户的操作行为审计,以及网络中重要安全事件的记录审计等内容,且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。因此,此类安全审计通常包括日常运维安全审计、数据库访问审计、Web业务访问审计,以及对所有设备、系统的综合日志审计。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
依据等级保护要求第三级中网络和通信安全相关控制项,结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等安全设计要求,安全区域边界防护建设主要通过网络架构设计、安全区域划分,基于地址、协议、服务端口的访问控制策略;通过安全准入控制、终端安全管理、流量均衡控制、抗DDoS攻击、恶意代码防护、入侵监测/入侵防御、APT攻击检测防护、非法外联/违规接入网络、无线安全管理,以及安全审计管理等安全机制来实现区域边界的综合安全防护。具体如下:
依据等级保护要求第三级中网络和通信安全相关安全要求,区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备(如下一代防火墙、统一威胁网关等),并配置细颗粒度的基于地址、协议和端口级的访问控制策略,实现对区域边界信息内容的过滤和访问控制。
网络区域边界的恶意代码防范工作是在关键网络节点处部署网络防病毒网关/防垃圾邮件网关对恶意代码和垃圾邮件进行及时检测和清除,或在下一代防火墙/统一威胁网关中启用防病毒模块/防垃圾邮件模块,并保持网络病毒库和垃圾邮件库的升级和更新。
考虑到网络架构中业务应用系统带宽分配和处理能力需要,以及针对业务应用系统中资源控制要求,通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速,保障流量带宽资源的合理管控。
作为第一道安全防线,异常流量及抗DDoS攻击防护能够通过分析网络中的网络流信息(包括NetFlow、sFlow等),及时发现针对网络中特定目标 IP 的DDoS攻击等异常流量,通过流量牵引的方式将DDoS攻击等异常数据流清洗处理,将干净的流量回注到网络环境中继续转发。
区域边界网络入侵防护主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测,诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为,进行及时检测、阻止和报警。
高级持续性威胁(APT)通常隐蔽性很强,很难捕获。而一旦APT攻击渗透进网络内部,建立起桥头堡,然后在相当长一段时间内,十分隐蔽地盗取敏感数据信息或实施重大破坏行动,潜在危害极大。高级可持续性威胁APT攻击检测能够对此类安全威胁具有细粒度检测效果,可实现对未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等攻击利用行为的检测。
针对终端计算机非授权连接外部网络,或者未经安全检测和授权而随意接入网络中的情况,通常是采用安全准入控制和违规外联控制技术来进行检查和控制。违规外联控制能够及时监测终端计算机违规连接外网/互联网的终端访问行为,并及时进行阻断和报警;安全准入控制能够对接入到内部网络中的终端计算机进行安全检查,使其必须满足一定安全基线要求、经过认证授权的情况下方能使用网络系统,保障网络区域边界的完整性保护。
无线网络安全管理主要用于限制和管理无线网络的使用,确保无线终端通过无线边界防护设备认证和授权后方能接入网络。无线网络安全管理通常包括无线接入、无线认证、无线防火墙、无线入侵防御、无线加密、无线定位等技术措施。
区域边界安全审计需要对区域网络边界、重要网络节点进行用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求,安全通信网络防护建设主要通过网络架构的设计,通信网络安全传输、通信网络安全接入,及通信网络安全审计等机制实现。
一、 网络架构设计
网络层架构设计应重点关注以下方面:
Ø 主要网络设备、安全设备(如核心交换机、核心路由器、关键节点安全设备等)的业务处理能力应能满足业务高峰期需要,保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构,以满足业务连续性需求。
Ø 网络带宽应能满足业务高峰期的需求,保证各业务系统正常运行的基本带宽。
Ø 划分不同的子网,按照方便管理和控制的原则为各子网、网段分配地址段。
Ø 避免将重要网络区域部署在网络边界处且没有边界防护措施。
二、 安全区域划分
安全区域通常也称“安全域”,通常是由安全计算环境和安全区域边界组合形成。具体而言,安全域是指同一系统内有相同的安全保护需求、相互信任,并且具有相同的访问控制和边界控制策略的子网或网络。
同时,安全域还可以根据其更细粒度的防护策略,进一步划分安全子域,以便能够落实重点防护思想,形成重要资源重点保护的策略方针。
安全域及安全子域划分时应重点考虑以下要素:
Ø 各业务系统/子系统在同一个管理机构的管理控制之下,保证遵循相同的安全策略;
Ø 各业务系统/子系统具有相似的业务类型或相似的用户群体,安全需求相近,保证遵循相同的安全策略;
Ø 各业务系统/子系统具有相同的物理位置或相似的运行环境,有利于采取统一的安全保护机制;
Ø 各业务系统/子系统面临相似的安全威胁,需采用相似的安全控制措施来保证安全性。
三、 分区分域结构图
实行分区、分级区域划分,配备分区分域结构图,并简要描述。
通信通信安全传输要求能够满足业务处理安全保密和完整性需求,避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。
通过采用VPN技术而形成加密传输通道,即能够实现对敏感信息传输过程中的信道加密,确保信息在通信过程中不被监听、劫持、篡改及破译;保证通信传输中关键数据的的完整性、可用性。
针对有远程安全运维需求,或者远程安全访问需求的终端接入用户而言,应采用VPN安全接入技术来满足远程访问或远程运维的安全通信要求,保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。
通信网络安全审计需要启用/设置安全审计功能,将用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全管理中心对系统管理、安全管理和审计管理的设计要求,安全管理中心建设主要通过网络管理系统、综合安全管理平台等机制实现。
通过网络管理系统能够对网络设备、网络链路、主机系统资源和运行状态进行监测和管理,实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。
通过综合安全管理平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范式化和过滤归并处理,来实现对网络中各类安全事件的识别、关联分析和预警通报。
等级保护测评体现了“三分技术,七分管理”。安全管理是等级保护当中最重要的得分及失分环节,所以健全的安全管理体系是系统等级保护的重中之重。
安全管理体系设计包括安全策略和管理制度建设、安全管理机构和人员建设、安全建设管理,及安全运维管理等几个部分。
安全策略和管理制度是对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略和管理制度是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。具体安全策略和管理制度可参考以下内容建设:
Ø 设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人,定义各负责人的职责;
Ø 设立系统管理人员、网络管理人员、安全管理人员岗位,定义各工作岗位的职责;
Ø 成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
Ø 制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求;配备安全管理专职人员,不可兼任;
Ø 授权审批部门及批准人,对关键活动进行审批;建立各审批事项的审批程序,按照审批程序执行审批过程;
Ø 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;
Ø 信息安全领导小组应定期召开例会对信息安全工作进行指导、决策;
Ø 加强与供应商、安全企业、安全机构的合作与沟通,获取信息安全的最新发展动态;
Ø 聘请信息安全专家,作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审;
Ø 由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等;
Ø 由安全管理部门定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
Ø 制定、实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
安全管理机构和人员管理建设将决定整个安全管理体系的成败。信息安全领导小组应由单位高层领导和有关部门的管理人员组成,负责协调、指导及管理信息安全各个方面的工作。
人员安全管理应作为安全管理的重中之重,需要重点考虑人员录用、人员离岗、安全意识教育和培训,以及外部人员管理等。信息安全领导小组应履行如下职责:
Ø 就整个单位的信息安全策略方针和责任达成一致;
Ø 就信息安全的重要和原则性的方法、处理过程达成一致,并提供支持,如风险评估、信息分类方法等;
Ø 确保将安全作为制定业务系统建设和维护计划的重要部分;
Ø 授权对安全控制措施是否完善进行评估,并协调新系统或新服务的特定信息安全控制措施的实施情况;
Ø 审查重大的信息安全事故,制定改进措施;
Ø 审核信息安全建设和管理的重要活动,如重要安全项目建设、重要安全管理措施出台等。
安全建设管理应贯穿到信息系统整个生命周期,在系统审批、建设、安全定级与备案、安全方案设计、软件开发与实施、验收与测试、系统交付与等级测评,以及服务商选择等过程均需要进行安全管理。
安全运维管理是整个系统安全运营的重要环节,其内容涵盖机房环境管理、资产管理、介质管理、设备管理、漏洞和风险管理、网络及系统安全管理、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复管理、安全应急处置,以及安全服务管理工作等内容。具体如下:
在机房环境管理中需要对机房供配电、空调、温湿度控制等设施指定专人或专门部门定期进行维护管理;
同时还应建立机房安全管理制度,对机房人员出入、物品带进带出和机房环境安全等方面作出规定;配置电子门禁系统和监控录像系统,对机房出入人员实行电子记录和监控录像。
针对资产管理,应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,规范资产管理和使用的行为;编制并保存与信息系统相关的资产、资产隶属关系、安全级别和所处位置等资产清单。
同时应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施,确定信息分类与标识的原则和方法,对信息的使用、传输和存储作出规定。
应建立介质安全管理制度,对介质存放环境、使用、维护和销毁等方面作出规定;如介质的归档和查询须有记录,并对存档介质的目录清单定期盘点。除此之外,还应对存储介质的数据安全进行管理和防范,具体如下:
Ø 对于需要送出维修或销毁的介质,应采用多次读写覆盖,清除介质中的敏感或重要数据,防止数据泄露;
Ø 根据数据备份需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
Ø 根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行专人管理;
Ø 对介质物理运输过程中人员选择、打包、交付等情况进行控制;
Ø 保密性较高的信息存储介质未经批准不得自行销毁,销毁时必须做到双人监销,销毁记录应妥善保存;
Ø 重要数据存储介质带出工作环境应采取加密方式,并进行监控管理;
Ø 对存放的介质定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。
Ø 对信息系统相关的各种设备、线路等指定专人或专门部门定期进行维护管理;
Ø 对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立申报、审批管理规定;
Ø 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
Ø 按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器、网络设备等重要设备或系统的日志文件检查和监控;
Ø 建立软硬件设备维护管理制度,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
针对漏洞和风险管理,需要通过漏洞扫描系统对发现的系统安全漏洞进行及时修补;需要定期安装最新补丁程序,对重要漏洞进行及时修补;定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
Ø 指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析处理工作;
Ø 对网络设备和系统的安全策略维护、配置文件更改进行流程审批;
Ø 通过身份鉴别、访问控制等措施限制远程管理账户的操作行为;
Ø 指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
Ø 对能够使用系统工具的人员及数量进行限制和控制;
Ø 根据业务需求和系统安全确定系统的访问控制策略、文件及服务的访问权限;
Ø 对系统账户进行分类管理,权限设定应当遵循最小授权要求;
Ø 对于账户安全管理的执行情况进行检查和监督,定期审计和分析用户账户的使用情况;
Ø 定期检查违反规定无线上网及其他违反网络安全策略的行为。
Ø 提高全体员工的网络病毒、恶意代码安全防范意识,及时升级防病毒软件;
Ø 在读取移动存储设备上的数据以及接收文件或邮件之前,先进行病毒检查;
Ø 对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定;
Ø 定期检查恶意代码库的升级情况并进行记录,对防病毒软件、防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,形成书面报表和总结汇报。
应建立对包括网络拓扑结构、设备和系统安装的服务组件、组件版本和补丁信息、设备或系统的配置参数等进行记录和保存的管理模式;建立配置信息变更流程,及时更新配置信息库。
密码管理环节需要建立密码使用管理制度,保证密码算法使用符合国家密码管理规定。
Ø 建立变更管理制度,重要系统变更前需经过申请审批,变更和变更方案经过评审、审批后方可实施变更;
Ø 应建立变更控制的申报和审批程序,如变更影响分析应文档化,变更实施过程应记录,所有文档记录应妥善保存;
Ø 应明确变更过程控制方法和人员职责,必要时恢复过程应经过演练;
Ø 识别需要定期备份的重要业务信息、系统数据及软件系统等;
Ø 规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
Ø 根据数据的重要性和对系统运行的影响程度,制定数据备份和恢复策略;备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和离站运输的方法;
Ø 指定相应的负责人定期维护和检查备份及冗余设备的运行状况,确保需要接入系统时能够正常运行;
Ø 建立数据备份和恢复过程控制程序,如备份过程应记录,所有文件和记录应妥善保存;
Ø 建立备份及冗余设备的安装、配置、启动、操作及维护过程控制的程序,如记录设备运行过程状况,所有文件和记录应妥善保存;
Ø 定期执行恢复程序,检查和测试备份介质的有效性,确保可在规定的时间内完成备份恢复。
Ø 制定安全事件报告和处置管理制度,如规定安全事件的现场处理、事件报告和恢复的管理职责;
Ø 了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,如可能来自攻击、错误、故障、事故或灾难;
Ø 根据安全事件在本系统产生的影响,将安全事件进行等级划分;
Ø 制定的安全事件报告和响应处理程序,如确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
Ø 在安全事件响应处理过程中,应分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
Ø 应在统一应急预案框架下制定不同事件的应急预案。应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程,以及教育和培训等内容;
Ø 应从人员、技术和财务等方面确保应急预案执行有足够的资源保障;
Ø 进行人员进行培训,以了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
Ø 应急预案须定期演练,应根据不同的应急恢复内容,确定演练周期。
Ø 应与外包运维服务商签订服务协议,约定外包运维的范围和内容;
Ø 建立外包运维服务商审核评定机制,保证其在技术和管理方面具有等级保护要求的安全运维能力;
Ø 与外包运维服务商签订的协议中应明确所有安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对基础设施中断服务的应急保障要求等。
安全风险评估服务将提供如下安全服务:
Ø 评估和分析网络上存在的技术和管理风险;
Ø 梳理业务访问关联关系,分析业务运作和管理方面存在的安全缺陷;
Ø 调查信息系统的现有安全控制措施,评价业务安全风险承担能力;
Ø 评价风险的优先等级,据此提出风险控制措施建议。
现有业务系统的安全性与否可以通过渗透测试服务来进行测试和验证;针对现有安全防御措施是否发生最大效用也可以通过渗透测试服务来检测;
因此,通过渗透测试服务可以尽早发现现有安全技术和管理措施是否存在隐蔽性的安全弱点。
通过源代码审计服务可以发现软件代码的隐形缺陷和编码设计错误;
通过源代码审计服务可以提供代码安全性验证,防止由于人为失误或有意嵌入恶意代码情况;还可以为软件安全编码提供技术指导和支持。
安全加固服务可以针对系统和网络中存在的安全漏洞、配置错误、设计错误等安全问题进行安全性加固和修复。
安全值守服务是针对网络中大量安全设备、安全措施、安全策略的日常维护和检查,而自身安全运维力量比较薄弱的情况下量身定做的现场安全运维服务。采用安全值守服务可以有效保障系统及网络安全运维的安全性和可靠性。
安全培训主要是从人员的角度出发来强化安全知识以增强抵御攻击的能力,主要培训建议如下:
Ø 安全基础知识培训:主要对普通人员提供个人计算机使用的基本安全知识,提高个人计算机系统的安全防范能力。
Ø 安全管理培训:主要对安全管理员进行系统安全管理培训,强化信息人员的安全技术水平。
Ø 安全技术培训:主要针对安全运维人员、系统维护人员提供安全技能及相关安全技术知识培训。
Ø 安全认证培训:主要针对安全运维人员、网络管理人员、系统管理人员提供系统化、体系化的安全知识技能培训,并通过国家专业安全机构的资格认证考试,提供人员自身安全技术能力。
序号 | 安全产品 | 说明 |
1 | 下一代防火墙 | 包含传统防火墙安全策略、入侵防御、防病毒功能、VPN等功能。 |
2 | 日志审计 | 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录.根据记录数据进行分析,并生成审计报表,且满足日志记录至少保留180天。 |
3 | 终端管理系统 | 包含防病毒功能,补丁管理功能,运维管控功能,对计算环境安全实现统一管理。 |
4 | Web应用防火墙(WAF) | 如果系统包含web应用服务,则需要配备WAF。WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。 |
5 | 堡垒机 | 限定服务器单一入口,对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。 |
6 | 数据库审计 | 监控所有出入数据库的报文,将报文还原成完整数据库语句,根据相应的规则对其进行匹配并根据相应的风险等级实时告警。 |
7 | 上网行为管理 | 满足网络安全法,上网日志记录需求 |
序号 | 安全产品 | 说明 |
1 | 下一代防火墙 | 包含传统防火墙安全策略、入侵防御、防病毒功能、VPN等功能。 |
2 | 日志审计 | 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录.根据记录数据进行分析,并生成审计报表,且满足日志记录至少保留180天。 |
3 | 入侵检测/入侵防御(IDS/IPS) | 作为防火墙的补充,一般部署在防火墙内部,当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵时应提供报警。 |
4 | 终端管理系统 | 包含防病毒功能,补丁管理功能,运维管控功能,对计算环境安全实现统一管理。 |
5 | Web应用防火墙(WAF) | 如果系统包含web应用服务,则需要配备WAF。WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。 |
6 | 堡垒机 | 限定服务器单一入口,对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。 |
7 | 数据库审计 | 监控所有出入数据库的报文,将报文还原成完整数据库语句,根据相应的规则对其进行匹配并根据相应的风险等级实时告警。 |
8 | 上网行为管理 | 满足网络安全法,上网日志记录需求 |
9 | 漏洞扫描 | 能够对系统主机进行漏洞扫描,对新上线的系统进行准入安全扫描。 |
10 | 态势感知 | 监控典型安全风险,还原攻击历史,感知攻击现状,预测攻击态势 |
11 | APT沙箱 | 还原网络流量并提取文件,在虚拟的环境内进行分析,实现对未知恶意文件的检测。 |
12 | 网页防篡改 | 保护站点内容安全,防止黑客非法篡改网页 |
