XXX
等级保护三级
建设方案
1 概述
1.1 等级保护工作背景
2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号强调信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。2007年7月四部委会签《 关于印发《信息安全等级保护管理办法的通知 》公通[2007]43号。2016年11月十二届全国人大第二十一次三次审议表决通过了网络安全法,这部我国网络领域的基础性法律将于2017年6月1日正式实施。网络安全法第二十一条明确国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
XXX经过多年的信息化推进建设,信息化应用水平正不断提高,信息化建设成效显著。为促进XXX信息安全发展,响应国家和上级要求,进一步落实等级保护,夯实等级保护作为国家信息安全国策的成果,XXX计划参照《计算机信息系统安全等级保护划分准则》(GB/T17859-1999) 和《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)要求将XXX系统和XXX系统拟定为三级,按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)完成两个系统三级等保建设。同时为提高全网安全防护能力,XXX计划整网参照等保标准建设。
1.2 等级保护工作流程
图1 等级保护工作流程
1.3 安全等级划分
根据《关于印发信息安全等级保护管理办法的通知》(公通字[2007]43号):国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:
信息系统安全保护等级
1.3.1 定级流程
确定信息系统安全保护等级的一般流程如下:
l 确定作为定级对象的信息系统;
l 确定业务信息安全受到破坏时所侵害的客体;
l 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
l 根据业务信息安全等级矩阵表得到业务信息安全等级;
l 确定系统服务安全受到破坏时所侵害的客体;
l 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
l 根据系统服务安全等级矩阵表得到系统服务安全等级;
l 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
上述步骤如下图流程所示:
业务信息安全等级矩阵表
系统服务安全等级矩阵表
1.3.2 定级结果
根据上述定级流程,各主要系统定级结果为:
一、XXX系统
业务信息安全保护等级:
系统服务安全保护等级:
因此XXX系统定级结果为S3A3G3。
二、XXX系统
业务信息安全保护等级:
系统服务安全保护等级:
因此XXX系统定级结果为S3A3G3。
2 需求分析
2.1 安全现状
XXX系统和XXX系统的基本情况,按照物理、网络、主机、应用、数据、管理六个层面进行,可根据实际情况进行修改;同时根据安全域划分的结果,在分析过程中将不同的安全域所面临的风险与需求予以对应说明。
2.2 整体网络架构
现网总体拓扑图
2.3 需求分析
2.3.1 安全技术需求分析
2.3.1.1 安全计算环境需求分析
计算环境的安全主要是物理、主机以及应用层面的安全风险与需求分析,包括:物理机房安全、身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
根据XXX自评估结果,现网如要达到等级保护三级关于安全计算环境的要求,还需要改进以下几点:
物理机房安全:根据物理机房情况描述,看看是否需要整改。
数据库审计:现网XXX系统和XXX系统都缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒机:现网XXX系统和XXX系统都未实现管理员对网络设备和服务器管理时的双因素认证,计划通过部署堡垒机来实现。
主机审计:现网XXX系统和XXX系统主机自身安全策略配置不能符合要求,计划通过专业安全服务实现服务器整改加固。
主机病毒防护:现网XXX系统和XXX系统缺少主机防病毒的相关安全策略,需要配置主机防病毒系统。
备份与恢复:现网没有完善的数据备份与恢复方案,需要制定相关策略。同时现网没有实现对关键网络设备的冗余,本期计划部署双链路确保设备冗余。
另外还需要对用户名/口令的复杂度,访问控制策略,操作系统、WEB和数据库存在的各种安全漏洞,主机登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略的合理性和存在的问题进行一一排查解决。
2.3.1.2 安全区域边界需求分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
根据XXX自评估结果,现网如要达到等级保护三级关于安全区域边界的要求,还需要改进以下几点:
边界访问控制:需要优化网络结构,根据XXX业务情况合理划分安全域,合理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问控制需要在构建安全计算环境的基础上,依托防火墙等安全设备进行访问控制。现网需要在边界部署下一代防火墙实现边界访问控制,在各个重点安全域部署下一代防火墙来实现各安全域的重点隔离防护。
边界入侵防范:现网没有实现边界攻击防护,需要新增入侵防御系统/或新增下一代防火墙IPS功能模块。
恶意代码防范:主机恶意代码防护通过部署终端病毒查杀软件实现,网络边界恶意代码防护需要部署下一代防火墙,开启AV防病毒功能,并且要求网络层与主机的恶意代码库不同。
防web应用层攻击:现网目前未做应用层攻击防护,计划新增WEB应用防火墙和网页防篡改系统。
互联网出口安全审计:现网未实现对网络行为进行精细化识别和控制,需要部署上网行为管理产品来保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计。
边界完整性保护:边界没有实现非法外联,需要部署终端安全管理设备。
2.3.1.3 安全通信网络需求分析
通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
根据XXX自评估结果,现网如要达到等级保护三级关于安全通信网络的要求,还需要改进以下几点:
网络结构:网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。现网核心交换需要实现双机冗余部署,提高通信网络高可用性。
通信完整性和保密性:由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性,因此现网需要部署VPN等安全设备。
网络审计:如果有些管理用户出现误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追溯带来困难。有必要进行基于网络行为的审计。同时可以震慑有恶意企图的少部分用户,利于规范正常的网络应用行为。
2.3.1.4 安全管理中心需求分析
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,安全管理中心是实现安全管理的有力抓手。
根据XXX自评估结果,现网如要达到等级保护三级关于安全管理中心的要求,还需要改进以下几点:
现网没有一个能对整网安全事件、安全威胁进行分析响应处理的平台,本期需要新增统一安全监控管理平台对信息系统涉及的设备使用情况和安全事件、系统健康程度等进行识别,要能进行统一的监控和展现。通过对安全事件的告警,可以发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。
2.3.2 安全管理需求分析
从等保思想出发,技术虽然重要,但人才是安全等级保护的重点,因此除了技术措施,XXX还需要运用现代安全管理原理、方法和手段,从技术上、组织上和管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生。需要优化安全管理组织,完善安全管理制度,制定信息系统建设和安全运维管理的相关管理要求,规范人员安全管理。
3 总体设计
3.1 项目目标
结合XXX的实际情况,按照《信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求》等相关标准要求,以“一个中心、三重防护”为核心指导思想,从安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个方面构建安全建设方案,以满足等级保护三级系统的相关要求。
3.2 项目依据
本项目方案编制依据和参考下列政策法规和标准规范。
3.2.1 政策法规
n中华人民共和国计算机信息系统安全保护条例(1994国务院147号令)
n计算机信息系统安全保护等级划分准则(GB17859-1999)
n《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
n关于信息安全等级保护工作的实施意见(公通字[2004]66号)
n《信息安全等级保护管理办法》公通字[2007]43号
n关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
n《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
3.2.2 标准规范
n《计算机信息系统安全保护等级划分准则》(GB/T17859-1999)
n《信息安全技术_信息系统安全等级保护基本要求》GBT22239-2008
n《信息安全技术_信息系统安全等级保护定级指南》GBT22240-2008
n《信息安全技术信息系统等级保护安全设计技术要求》
n《信息安全技术信息系统安全等级保护实施指南》
n《信息安全技术信息安全等级保护整改规范》(GB/T20984-2007)
n《信息系统安全等级保护整改实施指南》
n《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)
n《信息技术安全技术信息安全管理实用规则》(GB/T22081-2008)
n《信息技术安全技术信息技术安全管理指南》(ISO/IECTR13335)
n《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)
n《信息安全等级保护整改指南》
n《信息安全风险管理指南》
3.3 安全区域划分
XXX的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。因此,安全域划分是进行信息安全等级保护的首要步骤。需要通过合理的划分网络安全域,针对各自的特点而采取不同的技术及管理手段。从而构建一整套有针对性的安防体系。而选择这些措施的主要依据是按照等级保护相关的要求。
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
经过梳理后的XXX信息系统安全区域划分如下图所示(下图为例,建议按实际情况调整):
3.4 方案设计框架
根据《信息系统安全等级保护基本要求》,分为技术和管理两大类要求,具体如下图所示:
本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。同时结合管理要求,形成如下图所示的保护环境模型:
4 安全技术体系设计
4.1 整体网络架构改造设计
这里放根据用户网络架构改造后的拓扑图。
4.1.1 计算环境安全设计
4.1.1.1 物理安全
物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
Ø 机房选址
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
Ø 机房管理
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。
对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
Ø 机房环境
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
Ø 设备与介质管理
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
4.1.1.2 主机和应用安全加固
需要通过专业安全服务实现主机和应用安全加固,加固内容主要有以下几点:
一、身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面:
主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
Ø 对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
Ø 根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
Ø 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
Ø 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。
Ø 对主机管理员登录进行双因素认证方式,采用USBkey+密码进行身份鉴别。
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括:
Ø 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
Ø 根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
Ø 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
Ø 应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
Ø 对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USBkey+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
二、系统审计包含主机审计和应用审计两个层面:
主机审计:
通过服务器安全加固,启用服务器操作系统本身的审计功能,实现对于主机层面的安全审计要求。
应用审计:
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。
应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。
三、应用资源监控:
为保证现网应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标。应用系统如具备上述功能则需要通过XXX用户或者安全服务工作开启相关功能,若不具备则需进行相应的功能开发,且使用效果要达到以下要求:
Ø 会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够及时检测并自动结束会话,释放资源;
Ø 会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段内可能的并发会话连接数进行限制,同时对单个帐户的多重并发会话进行限制,设定相关阈值,保证系统可用性。
Ø 登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端登录。
Ø 超时锁定:根据安全策略设置登录终端的操作超时锁定。
Ø 用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,保障正常合理的资源占用。
Ø 对重要服务器的资源进行监视,包括CPU、硬盘、内存等。
Ø 对系统的服务水平降低到预先规定的最小值进行检测和报警。
Ø 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
4.1.1.3 数据库安全审计
计划部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
数据库审计系统适用于等级保护标准和规范。数据库审计系统支持所有主流关系型数据库的安全审计,采用多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术,采用黑盒逆向协议分析技术,严格按照数据库协议规律,对所有数据库的操作行为进行还原,支持请求和返回的全审计,保证100%还原原始操作的真实情况,实现细粒度审计、精准化行为回溯、全方位风险控制,为XXX的核心数据库提供全方位、细粒度的保护功能。数据库审计系统可以帮助我们解决目前所面临的数据库安全审计缺失问题,避免数据被内部人员及外部黑客恶意窃取泄露,极大的保护XXX的核心敏感数据的安全,带来以下安全价值:
Ø 全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源
Ø 跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据泄漏
Ø 检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议
Ø 为数据库安全管理与性能优化提供决策依据
Ø 提供符合法律法规的报告,满足等级保护审计要求。
4.1.1.4 运维堡垒主机
计划部署运维堡垒主机,堡垒机可为XXX提供全面的运维管理体系和运维能力,支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能,能够有效的保障运维过程的安全。在协议方面,堡垒机全面支持SSH/TELNET/RDP(远程桌面)/FTP/SFTP/VNC,并可通过应用中心技术扩展支持VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、小型机管理等。
4.1.1.5 主机病毒防护
针对病毒的风险,通过部署主机防病毒软件进行管控,要求在所有终端主机和服务器上部署网络防病毒系统,加强主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。且主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
在XXX单位运维管控区中,可以部署防病毒服务器,负责制定和终端主机防病毒策略。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。
4.1.1.6 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
本地完全数据备份至少每天一次,且备份介质需要场外存放。并且要求提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
4.1.1.7 客体安全重用
为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。这部分工作也通过安全服务来实现。
4.1.2 区域边界安全设计
4.1.2.1 边界访问控制
通过对XXX网络的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。对现网进行安全域划分,每个安全域/或重要的安全域通过部署防火墙实现安全域隔离防护。
从防火墙的实现原理看,对七层应用协议的防护是非常薄弱的,因此外部服务区需要新增WEB应用防火墙和网页防篡改系统。
WEB应用防火墙专注于第七层防护,采用双引擎技术(用户行为异常检测引擎、透明代理检测引擎)实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护,并有效防护0day攻击。支持Web应用加速,支持在透明代理部署模式下的HA/Bypass,便于部署配置以及维护。此外,WEB应用防火墙支持透明代理模式、旁路监听模式、反向代理模式、网关模式等多种部署模式。
网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块,为网站安全建立全面、立体的防护体系。支持多种保护模式,防止静态和动态网站内容被非法篡改。采用内核驱动及文件保护技术,确保防护功能不被恶意攻击或者非法终止。采用核心内嵌技术,支持大规模连续篡改攻击保护。完全杜绝被篡改内容被外界浏览。支持继线/连线状态下篡改检测。支持多服务器、多站点、各种文件类型的防护。
4.1.2.2 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署的终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
4.1.2.3 边界入侵防范
在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。
鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。
对于接入边界,IPS可针对于内网对于外网的存取应用进行管理。可支持深入七层的分析检测技术,能检测防范的攻击类型包括:蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等,支持P2P、IM、视频等网络滥用协议的检测识别,可支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议(网络快车、网络蚂蚁)等P2P应用, MSN、QQ、ICQ等IM应用, PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。IPS采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。
本期计划在互联网接入区和专网接入区各部署一套入侵防御系统/或在下一代防火墙开启IPS功能模块。
4.1.2.4 边界安全审计
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。XXX计划开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时将所有审计信息通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。并部署网络审计系统,实现对于所有访问业务系统的行为的审计,并能够记录该行为的源IP、目的IP等,并可以方便的生成报表等。网络审计系统通过网络旁路侦听的方式对网络数据流进行采集、分析和识别,并对应用层协议进行完整还原,根据制定的安全审计策略进行审计响应。将边界安全审计、主机审计、应用审计和网络审计等一起构成完整的、多层次的审计系统。
另外,在互联网接入网出口已部署上网行为管理系统,实现对于所有内部用户访问互联网的安全审计,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,为用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
4.1.2.5 边界恶意代码防范
一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。
现网网络层面没有恶意代码防护措施,本期计划在边界部署下一代防火墙,并开启AV防病毒功能/或部署一套入侵防御系统。
4.1.3 通信网络安全设计
4.1.3.1 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XXX网络,选用主要网络设备时会充分考虑业务处理能力的高峰数据流量,考虑冗余空间满足业务高峰期需要;网络各个部分的带宽需要保证接入网络和核心网络满足业务高峰期需要;本期对XXX网络核心交换区进行升级改造,实现双机冗余部署。按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
4.1.3.2 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,通过安全服务对网络设备需要进行一系列的加固措施,包括:
l 对登录网络设备的用户进行身份鉴别,用户名必须唯一;
l 对网络设备的管理员登录地址进行限制;
l 身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度不少于8位,并定期更换;
l 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
l 启用SSH等管理方式,加密管理数据,防止被网络窃听。
l 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需采用USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。
4.1.3.3 通信完整性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。
对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。
通过部署VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验则由应用系统和数据库系统完成。
4.1.3.4 通信保密性
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。
对于信息传输的通信保密性通过部署VPN系统保证远程数据传输的数据机密性。
4.1.3.5 网络安全审计
计划在XX网络核心交换机上部署网络安全审计系统,形成对全网网络数据的流量监测并进行相应安全审计,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件,同时和其它网络安全设备共同为安全管理中心提供监控数据用于分析及检测。
4.1.4 安全管理中心设计
计划部署以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统,该安全管理中心的特点是:定位于以面向业务的安全管理中心,围绕着资产和业务,融合对安全、网络、应用的管理,实现设备管理及策略部署管理、运转监控、风险预警、到安全联动响应的完整安全闭环管理,实现安全风险的可视可管可预防。
整个一体化安全管理中心功能要求如下:
4.1.4.1 安全可视化
在虚拟化技术、大数据分析技术快速发展的背景下,安全管理中心需考虑围绕着资产和业务为核心,以数据挖掘技术为依托,对云、网、端提供一体化安全管理,实现安全服务从规划开通、运行监控、到闭环响应的完整生命周期管理。
全网资产管理可以做到:
1)监控到的性能指标可用于事件关联分析,比如,DDOS事件与CPU利用率进行关联,以确认攻击的实效是否达成;
2)确保安全设备的正常运转,提供配置文件管理、设备状态监控、拓扑监控等,从而保障关键安全节点正常行使功能;
3)攻击溯源:基于拓扑关系,提供从源到目的端的真实拓扑路径,管理员可进行更有针对性的实施管理动作。
4.1.4.2 资产风险管理
安全管理中心可以对被管对象进行基础信息管理,包括其IT属性、普通属性以及安全属性,主要用于当产生安全问题时,快速找到资产基本信息来辅助问题的解决,比如,快速找到责任人、存放位置、资产重要程度等,另外,资产详细信息中的资产重要程度也将作为资产风险评分计算的重要参数。
安全管理中心关注的资产不仅包含安全设备、网络设备、服务器和应用,同时还可以由操作者自定义新的资产类型,并向其下面增添资产。除了对资产的信息管理,还支持资产运行监控以及风险监控。
4.1.4.3 业务风险监控
业务是最上层安全风险监控的组织单元。业务由应用、服务器、网络设备组成。通过业务建模,将应用、服务器、网络设备组织成起来形成一个业务。
安全管理中心应提供基于“业务”的风险监控。在展现上,以业务为对象,形成一个个“业务风险卡片”,呈现繁忙度、健康度、安全度等与业务运转强相关的监控内容,并提供攻击类型统计、漏洞类型统计、受攻击资产TOP10、资产风险情况统计、资产攻击源和目的统计等多项美观的统计图表,使管理员/领导及时关注到“业务”层面的宏观风险状况,快速发现业务的当前“安全度”状况,避免直接陷入细节而对业务运转风险难以一幕了然的展现。另外,当出现安全风险时,很可能业务性能也出问题了。 “风险卡片”帮助梳理这种内在联系。风险卡片中的业务安全度,由组成业务的各元素(如主机、应用等)的安全状况加权而得到。
4.1.4.4 实时攻击分析
动态展示最新发生的攻击事件以及攻击行为,并统计攻击源、攻击目的TOP N信息。通过该页面使企业面临的攻击威胁状况得以可视化展示,便于采取相应动作来削弱政务云所面临的风险。
4.1.4.4.1 整网安全态势实时监控
列出整网安全评分,最近一小时内的攻击状态,提供针对攻击目的IP、攻击源IP、攻击协议、安全威胁整体趋势等信息。同时提供业务风险雷达,将各个业务面临的风险状况(按风险程度高-中-低)在雷达中体现出来。
整网安全态势实时监控用来帮助管理员直观地了解到网内最新的安全状况,及时采取必要的行动。
4.1.4.4.2 事件概览
给出最近一小时内的安全事件统计信息。便于管理员快速获知当前的安全态势。事件概览中提供攻击源、攻击目的、产生事件最多的设备、产生最多的事件等多个TOP统计图表;同时提供IPS规则级别、攻击协议等统计图表;并支持查看安全事件趋势
4.1.4.4.3 实时事件列表
实时事件列表列出了最近一小时内的攻击事件,详细展示了最近一小时内的攻击事件,详细给出了事件包含的具体内容,包括日志级别、时间、源IP/用户、目的IP/用户、协议、攻击类型、事件数和设备名称。同时,提供了基于设备名称、协议、源用户、源IP、目的用户、目的IP的查询条件,方便管理员快速的查询到需要的攻击事件信息。
4.1.4.4.4 攻击拓扑溯源
基于强大的拓扑引擎,计算攻击源到目的的端到端路径,对攻击进行网络路径角度的可视化呈现,管理员可参考并实施针对性管理动作(为确保展现效果,相应设备应加入到管理中)。该功能用来协助操作员作出判断,可以对攻击源进行下线、走工单流程等处理动作,也可以参考着变更安全规则的部署。
4.1.4.5 安全评估
安全管理中心的安全评估特性,可以配合WEB、主机、数据库三种扫描器,支持扫描任务管理和部署、结果分析。
4.1.4.5.1 安全评估分析
安全管理中心可记录每次漏扫任务的执行详情。以列表的形式给出任务执行状态(成功or失败)、任务名称、启动时间、完成时间、扫描类型、执行人员、安全评分。以报表和列表的形式给出扫描结果和解决办法。基于每条评估历史,可查看到评估结果信息,包括该次评估的得分,该次评估扫描到的风险详细信息机改进建议等。
4.1.4.5.2 漏扫关联
支持漏扫结果与业务和资产进行关联,使重要IT管理对象的安全性得以直观呈现。这种关联是数据统计角度的关联。
4.1.4.6 安全行为管理
4.1.4.6.1 行为分析
除了SIEM从网络事件、主机信息角度的安全分析,行为分析从用户上网行为、用户流量模型角度分析和用户行为直接相关的安全威胁。关键技术包含深度的应用识别和用户行为识别、用户身份的识别等。
4.1.4.6.2 数据挖掘
安全管理中心可以通过对用户行为的跟踪,进行深度数据挖掘,从而满足公安部82号令等安全审计相关的要求。
4.1.4.6.3 行为异常审计
安全管理中心可以根据用户行为按敏感文件、可疑邮件、敏感词等审计点进行异常行为审计,并以横轴坐标展示异常行为的发生情况
4.1.4.7 安全风险联动
网络的风险无处不在,在实现安全风险可视化的基础上,下一步的动作就是针对风险报警采取相应的动作阻断攻击或威胁。而如何实时防范和抵御安全风险,最有效的手段还是能够将安全管理平台与现网部署的安全设备联动起来,实现风险的自动防御和应急响应。
4.1.5 不同网络互联互通
XXX现有6张网之间存在数据交互需求,根据系统业务要求和等级保护要求,两网之间部署网闸,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等,严格控制数据在不同网络以及不同安全等级系统之间的流动。
5 安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计,计划通过XXX和专业安全服务共同实现:
l 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
l 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由监所主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
l 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
l 系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
l 系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
6 安全运维体系设计
新华三根据用户当前安全运维需要和安全技术保障需要提出与信息系统安全总体方案中运维部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全运维的同步建设,具体活动内容包括:
结合系统实际安全运维需要和本次技术建设内容,确定本次安全运维建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全运维设计的内容主要考虑:日常安全运维、事件应急响应、安全咨询与评估、系统加固与培训等。
6.1 周期性安全评估
Ø 网络设备评估
根据信息系统中设备类型的不同,对核心层、交换层和接入层及防火墙、入侵检测等边界网络安全设备的访问控制和安全策略,现状有针对性进行风险评估。
Ø 操作系统评估
网络服务器及可互联终端的安全始终是信息系统安全的一个重要方面,攻击者往往通过控制它们来破坏系统和信息,或扩大已有的破坏。
网络攻击的成功与否取决于三个因素:攻击者的能力;攻击者的动机;攻击者的机会。正常情况下,我们是无法削弱攻击者的能力和动机这两个因素,但有一点我们可以做到减少他们的攻击机会。
对操作系统开放的服务、安全配置、访问控制、系统漏洞进行安全脆弱性风险评估。
Ø 应用程序评估
应用程序本身存在一定的安全缺陷和隐患,攻击者可以利用应用程序中的漏洞入侵系统、窃取信息及中断系统服务。为保证客户重要业务系统保密性、可用性,对操作系统上基于WEB服务及第三方应用程序做安全评估。
6.2 周期性安全加固
Ø 网络设备加固
网络设备的加固,是通过对人工评估对网络设备的配置进行评估,通过评估出的问题,进行安全加固,在进行安全加固前,应该对加固的配置进行检验,防止因为加固而导致网络的崩溃。在加固过程中,主要对以下内容进行加固:
ü 口令安全规范
ü 访问安全规范
ü 日志安全规范
ü 其它安全规范
ü 路由协议安全规范
Ø 安全设备加固
对网络安全设备进行加固,主要加固对象为防火墙、交换机、IPS系统。
Ø 安全域的划分:
根据评估结果确定防火墙划分的安全域(内、医院办公外网及DMZ区)是否合理,如果存在问题需要重新划分相关区域。
Ø 更新版本或引擎:
和厂商确定防火墙的当前最新版本(引擎版本及管理平台版本),在相关人员配合下升级到最新版本。
Ø 防火墙安全配置:
根据评估结果对防火墙的整体配置进行加固,包括以下加固对象:
ü 防火墙管理策略
ü 访问策略
ü 绑定策略;
ü SNMP安全策略
ü 防攻击策略
ü HA策略
ü 审核策略
Ø 操作系统加固
用户按照其信息保护策略购入并部署好设备后,主机中的主要组成系统,包括操作系统、软件配置等,往往在一定时间段内是保持相对稳定的。在这段时间内,如果设备本身存在安全上的脆弱性,则往往会成为攻击者攻击的目标。这些需要加固的安全脆弱性包括:
ü 提供不必要的网络服务,提高了攻击者的攻击机会
ü 存在不安全的配置,带来不必要的安全隐患
ü 不适当的访问控制
ü 存在系统软件上的安全漏洞
ü 物理上没有得到安全存放,容易遭受临近攻击,针对这些安全弱点,我们提出如下几点设备的安全加固技术建议
ü 禁用不必要的网络服务
ü 修改不安全的配置
ü 利用最小特权原则严格对设备的访问控制
ü 及时对系统进行软件升级
ü 提供符合IPP要求的物理保护环境
Ø 应用程序加固
安全的威胁不仅来自设备和操作系统,应用程序本身由于设计缺陷、系统兼容、人为预留后门、病毒、WEB服务等各种因素所导致的弱点,针对应用程序中存在的安全隐患,提高信息系统整体的抗病毒能力,对所有外联应用程序采用非线测试的技术手段,进行风险分析加固。在线应用系统加固采用安全扫描技术、主页防篡改技术等。包括以下加固对象:
ü 网站代码优化及程序的功能修补
ü 网站程序脚本漏洞修补
ü 数据库安全策略
ü Web代码分析
ü 程序上线前测试
ü 病毒防落地、防传播、防扩散加固
6.3 定期安全巡检
Ø 巡检对象确定
安全关键点分析:
对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象,这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象;也可能包括安全标准和法律法规等外部对象。
形成巡检对象列表:
根据确定的巡检对象,分析巡检的必要性和可行性,形成监控对象列表。
Ø 巡检对象状态信息收集
巡检工具:
根据巡检对象的特点、巡检管理的具体要求、巡检工具的功能、性能特点等,选择合适的巡检工具。建立完善的运维巡检体系。
状态信息收集:
整理备案巡检对象的各类状态信息,包括网络流量、日志信息、安全报警、性能状况、外部环境的安全标准和变更信息。
Ø 巡检状态分析和报告
状态分析:
对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安全事件,分析其发展趋势。
影响分析:
根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的影响决定是否有必要作出响应。
形成安全状态分析报告:
根据安全状态分析和影响分析的结果,形成安全状态分析报告,上报客户安全事件或启动应急预案。
6.4 应急响应处置
紧急事件响应,是当安全威胁事件发生后迅速采取的措施和行动,其目的是最快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。
紧急事件主要包括:
Ø 病毒和蠕虫事件
Ø 黑客入侵事件
Ø 误操作或设备故障事件
但通常在事件爆发的初始很难界定具体是什么。所以,通常又通过安全威胁事件的影响程度来分类:
Ø 单点损害:只造成独立个体的不可用,安全威胁事件影响弱。
Ø 局部损害:造成某一系统或一个局部网络不可使用,安全威胁事件影响较高。
Ø 整体损害:造成整个网络系统的不可使用,安全威胁事件影响高。
当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟踪。
准备工作
Ø 建立客户事件档案
Ø 与客户就故障级别进行定义,详见6.5小节描述。
Ø 准备安全事件紧急响应服务相关资源
Ø 为一个突发事件的处理取得管理方面支持
Ø 组建事件处理队伍(1-10人)
Ø 提供易实现的初步报告
Ø 制定一个紧急后备方案
Ø 随时与管理员保持联系
识别事件
Ø 在指定时间内指派安全服务小组去负责此事件
Ø 事件抄送专家小组
Ø 初步评估,确定事件来源
Ø 注意保护可追查的线索,诸如立即对日志、数据进行备份(应该保存在磁带上或其它不联机存储设备)
Ø 联系客户系统的相关服务商厂商、
缩小事件的影响范围
Ø 确定系统继续运行的风险如何,决定是否关闭系统及其它措施
Ø 客户相关工作人员与本公司相关工作人员保持联系、协商
Ø 根据需求制定相应的应急措施
问题解决
Ø 事件的起因分析
Ø 事后取证追查
Ø 后门检查
Ø 漏洞分析
Ø 提供解决方案
Ø 结果提交专家小组审核
后续工作
Ø 检查是不是所有的服务都已经恢复
Ø 攻击者所利用的漏洞是否已经解决
Ø 其发生的原因是否已经处理
Ø 保险措施,法律声明/手续是否已经归档
Ø 应急响应步骤是否需要修改
Ø 生成紧急响应报告
Ø 拟定一份事件记录和跟踪报告
Ø 事件合并/录入专家信息知识库
6.5 新系统安全检测
系统上线前检测是应用系统生命周期中的一个重要环节,在对应用系统建设规划和现状充分调研的基础上,制订系统上线前的安全检测方案,并根据信息系统平台建设情况,按照系统上线前安全检测方案实施检测工作,进行彻底全面的安全弱点评估,发现潜在的安全漏洞。上线前检测需采用对系统非侵害的测试方法,检验系统的安全防护能力,发现安全风险及漏洞,采用方法至少包括远程渗透测试、设计文档检查等。
通过上线前的检测工作,对应用系统所覆盖的全部资产再次进行确认识别,完成对应用系统等级保护建设措施落实情况的合规性分析,对应用系统等级保护实施的各项安全措施和管理制度进行全面的风险评估,明确残余风险;依据风险评估结果、上线前检测结果、合规性分析结果,进行差距分析,提出安全改进建议。
7 等级保护服务流程
为实现项目目标,在本次等级保护服务项目中,将包括协助系统定级、差距分析、等级保护建设整改、等级保护管理制度建设、等保测评、安全运维。
系统定级备案
重要信息系统的定级工作,是开展等级保护的首要环节,是进行信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。
差距分析
差距分析工作内容就是根据网络和信息系统的安全保护等级,根据国家等级保护相应等级的技术和管理要求,分析评价网络和信息系统当前的安全防护水平和措施与相应等级要求之间的差距。
等保建设整改
等级保护建设整改是根据信息系统差距分析结果,对信息系统所依赖的服务器操作系统、数据库、网络及安全设备进行配置安全加固,安装和实施各项新增安全设备,保障信息系统的安全稳定性。
等保管理制度建设
等级保护管理制度建设是根据信息安全等级保护安全管理的要求,编写符合等级保护要求的信息安全管理规范和制度,通过安全管理的加强来规避管理风险。
7.1 定级备案
7.1.1 工作目的
协助完成安全等级保护的定级与备案。依据《信息系统安全等级保护定级指南》, 对客户进行未定级、备案信息系统进行梳理,协助客户完成信息系统安全等级保护的定级与备案工作。
7.1.2 工作方式
在定级咨询过程中,新华三咨询顾问将通过现场调研的方式来全面了解客户主要信息系统的基本情况,如数量、类别、名称、承载业务、服务范围、用户数量、部署方式,以进行汇总分析,初步进行系统归类、重要性划分,为下一步确定定级对象、确定级别、形成定级报告做准备。
现场信息资料收集,以及对系统管理员进行访谈及信息确认,是现场调研的主要工作。通过现场的了解,可以较深入理解信息系统的重要程度,重要信息的分类情况,以及用户分布情况。一般系统的定级结果,不依赖于现有保护措施,所以通过现场的工作,可以基本准确理解信息系统及承载重要信息的侵害客体以及侵害程度,从而为进一步定级报告的编写打下良好基础。
7.1.3 工作内容
7.1.3.1 协助定级
如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。
现场调研后,新华三咨询顾问会准备《信息系统安全等级保护定级报告模板》,给出定级报告示例。客户信息管理部门和业务部门依据定级报告模板,起草各信息系统安全等级保护定级报告,咨询顾问根据已经掌握的信息系统情况,对各信息系统定级报告的合理性进行初步研究和审核把关,请相关单位派人共同讨论,按照系统类别梳理定级报告,对照国家对不同等级的要求,在报告内容、行文格式、定级准确性等方面给出修改意见。根据讨论的定级报告修改意见,统一汇总、整理后,形成定级报告的专家评审稿。
7.1.3.2 专家评审
新华三咨询顾问还将根据需要协助聘请等级保护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,形成评审意见。
新华三咨询顾问将参考专家定级评审意见,最终协助确定信息系统等级,协助将各信息系统安全保护等级定级报告报经上级主管部门审批同意。
最后,咨询顾问将协助填写《信息系统安全等级保护备案表》,协助客户主要业务系统完成备案工作。
7.1.4 提交成果
《信息系统安全等级保护备案表》
《信息系统安全等级保护定级报告》
《专家评审意见》
7.2 差距分析
根据国家等级保护政策法规和标准规范,确定安全保护等级的信息系统应该具有相应级别的安全防护能力,其中主要是根据GBT22239-2008《信息安全技术_信息系统安全等级保护基本要求》来分析XXX目前的安全防护能力与基本要求中相应级别之间的差距。
7.2.1 工作目的
根据国家等级保护要求,对于确定了安全保护等级的信息系统规定了基本的安全保护要求,规定了应该具有的防护措施,以确保信息系统具有相当水平的安全防护能力。
差距分析就是根据GBT22239-2008《信息安全技术_信息系统安全等级保护基本要求》,结合云平台的业务情况和行业要求,从安全技术和安全管理两个方面,全面分析信息系统现有防护措施和能力与相应等级基本要求之间存在的差距,用以为等级保护建设提供客观依据并指导信息系统等级保护体系设计。
7.2.2 工作方式
业务系统差距分析工作计划通过以下方式进行。
n访谈
访谈是指评估人员与信息系统有关人员就差距分析所关注的问题进行有针对性的询问和交流的过程,该过程可以帮助评估者了解现状、澄清疑问或获得证据。
访谈深度(即访谈内容的详细程度)以及访谈的广度(即对被评估组织中员工角色类型以及每种类型中人数的覆盖程度)由评估人员依据不同的评估需要进行选择和判断。
n检查
检查是指对评估对象(如规范、机制或行为)进行观察、调查、评审、分析或核查的过程。与访谈类似,该过程可以帮助评估者了解现状、澄清疑问或获得证据。
比较典型的检查行为包括:对安全配置的核查、对安全策略的分析和评审等。
n测试
测试是指在特定环境中运行一个或多个评估对象(限于机制或行为)并将实际结果与预期结果进行比较的过程。测试的目标是判定对象是否符合预定的一组规格。测试过程可以帮助评估者获得证据。
n调查表
根据系统业务情况和系统现状,制定详细的调查表,并由安徽移动相关人员进行填写,以获得业务系统基础数据。具体包括应用信息系统调查表、物理资产调查表、软件资产调查表、各相关设备资产调查表。
7.2.3 工作内容
按照等级保护实施要求,不同安全等级的信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距,为等级化体系设计提供依据。
7.2.4 提交成果
XXX差距分析过程中将产生众多文档,其中包括过程文档和结果文档,过程文档用以支持咨询人员进行差距分析,并形成结果文档《XXX等级保护差距分析报告》。
信息系统等级保护差距分析报告主要内容:差距分析是以现场调查和测试所收集的信息为依据,满足等级保护要求为目标,对现有系统安全做出的一种客观的、真实的评价。报告内容包括对各信息系统现有安全防护水平与相应等级之间差距的描述和整改建议等。差距分析是制定信息系统安全等级保护体系设计方案前的一个非常关键的环节,为信息系统安全等级保护体系设计方案的撰写提供参考。
7.3 等保建设整改
7.3.1 工作目的
根据前期等级保护整改、差距分析结果,结合XXX的业务需求,对信息系统的服务器、网络设备、安全设备、数据库进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。
7.3.2 工作方式
安全加固与优化将采用如下工作方式:
会议交流:项目组将根据脆弱性检测结果,提出安全加固与优化建议,并通过组织交流会的形式,与相关负责人就每台主机、网络与安全设备的具体加固内容进行协商,明确操作风险,探讨利害关系,确定加固方式,最终确定安全加固方案;
现场实施:项目组将赴现场,以安全加固方案为依据,协助和指导系统运维人员进行加固与优化操作,逐项实施每台设备的安全加固项目。
7.3.3 工作流程
系统相关网络设备、安全设备、服务器操作系统以及数据库等配置安全加固与优化的工作流程如下图所示:
图 配置安全加固工作流程
配置加固流程描述如下(项目实施中,可以根据实际情况需要,对流程进行调整、合并和展开等):
1. 确定加固范围:确定实施范围,如应用系统、资产等;
2. 制定加固实施方案:确定实施人员、加固工具、进度计划等,为实施提供指导;
3. 向项目负责人汇报:就配置加固实施方案向项目负责人汇报,并得到同意;
4. 系统备份:对配置加固涉及的系统和数据进行备份;
5. 加固实施:根据配置加固实施方案进行加固实施;
6. 检验加固结果:验证配置加固的有效性;
7. 提交加固报告、总结汇报:总结配置加固实施情况,并进行汇报。
7.3.4 工作内容
根据前期对XXX进行的调研、评估与测评结果,以等级保护体系设计和等级保护差距分析报告为依据,根据网络安全特殊需求和业务流程制定安全加固方案,在不影响当前业务开展的前提下,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,降低恶意攻击者利用安全漏洞威胁系统安全运行的几率,从而有效控制因系统配置不当等因素引发的业务中断及信息外泄等风险,将高风险漏洞和中风险漏洞降低至可接受的范围内,使得应用系统的安全状况提升到一个较高的水平。
本次项目安全加固对象分为四类,即信息系统内的操作系统、数据库、中间件以及网络与安全设备。
7.3.5 提交成果
XXX安全加固与优化工作将产生如下文档:
《系统安全扫描人工分析报告》、《安全配置检查和加固建议报告》、《系统主机设备加固报告》、《网络设备加固实施报告》。
通过对系统相关主机、网络与安全设备配置的加固与优化,将会减少安全漏洞和设备配置策略的不合理性,提高系统抗攻击的能力,从而可有效防范攻击、限制危害蔓延,充分发挥各项安全措施的作用,增强系统的安全性和稳定性。
7.4 等级保护管理制度建设
7.4.1 工作目的
以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;XXX从贴合业务流程的原则出发,指导系统运维方按照等级保护三级系统的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。通过制定和完善管理制度,明确责任权力,规范操作,加强对人员、设备和业务系统的管理,完备应急响应机制,将显著提升XXX的信息安全管理水平,有效控制信息系统所面临的安全风险,从而确保业务系统的安全、稳定运行。
7.4.2 工作方式
等级制度建设的工作方式主要如下:
1、调研访谈:采用定制的调研问卷进行访谈,了解XXX的详细情况,如组织机构(部门设置、人员职务、外部联系和接口)、业务流程(目标、流程、人员、物理位置、外部联系和接口)、信息资产(网络拓扑、主机和设备资料)、内部文件(运维程序、安全管理制度、建设方案)、原有管理相关文件及需遵守的法律法规文件等。
2、项目会议:召开会议,以调研访谈记录和差距分析结果为依据,研究制定安全管理制度框架和编写相应的管理制度。
3、交流:与相关人员就管理制度框架、管理制度内容进行反复的沟通、讨论和修订,确保安全管理制度贴合业务实际,并满足等级保护标准和相关政策要求。
7.4.3 工作内容
制定和XXX的安全保护等级相适应的配套管理制度,制度相关内容如下:
1、安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
2、安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保安全管理制度的适用性。
3、人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
4、系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
5、系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
7.4.4 工作成果
依照等级保护标准,综合考虑安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理各方面的具体要求,建立安全管理框架,如图所示:
等级保护管理制度框架
以安全管理框架为基础,本次制度建设具体内容包括(不限于以下文件):
1、《信息安全管理手册》:规定了XXX安全管理的方针、目标和策略,明确应采取的相应控制措施,并对整套文档进行解释说明。
2、《组织机构及职责》明确安全管理机构及各成员职责,规定机房管理员、系统管理员、网络管理员、数据库管理员和安全管理员的岗位职责,并对单位对内对外的沟通等方面作出要求。
3、《机房管理》对机房环境要求、人员与设备进出、工作人员管理、日常监控管理、系统上线及变更管理等做出明确规定。
4、《办公场所保护》对办公场所安全管理和消防安全进行规定,以加强办公场所的防火、防盗、防信息泄露等工作。
5、《病毒防范》对防病毒的控制措施和操作程序制定管理规范,以预防病毒与各种恶意软件的入侵,提高对病毒的防御能力,保障XXX和日常工作的正常进行。
6、《资产分类分级》对资产进行分类和统一化标识,使XXX的资产受到有效的保护。
7、《介质管理》为加强对介质的使用控制和物理上的保护,防止其承载的敏感信息遭泄漏、篡改、丢失或破坏,对介质的处置做出明确规定。
8、《应用系统运维管理》对应用系统日常维护所涉及的巡检、配置管理、故障处置、系统优化、软件维护等工作进行相应规定,并明确考核措施。
9、《网络设备配置管理》对网络、安全设备配置的管理,以及配置变更所涉及的申请、审批和实施等事项作出明确规定。
10、《终端安全》规范终端的应用,对终端的使用和联网进行明确规定,以防止病毒、网络攻击及失泄密事件的发生。
11、《网站管理》对网站建设、信息发布、网站监控与维护作出明确规定,确保网站的安全性与可靠性。
12、《培训管理》要求定期开展培训,并对培训流程进行规范,对培训效果进行考核,确保人员的安全意识和技术水平得以有效提升。
13、《外包人员管理》对外包服务人员的派遣、监督和考核作出明确规定,确保外保服务质量。
14、《系统安全建设》以等级保护要求为依据,对信息系统建设的各阶段作出了相应规定,以提高XXX的安全保障能力和水平,保障并促进信息化建设。
15、《变更管理》明确需要执行申报审批手续的重要变更事项,如补丁更新、软件升级、设备更换等,并对变更的执行流程进行规定。
16、《设备管理》对设备的获取、接收、入账、维护、用途变更、报废处理等环节做出明确规定,防止因资产的丢失、损坏、失窃、使用不当而导致业务系统正常运行的中断。
17、《网络监控审计》监控网络运行状况,对安全审计、IDS等设备的使用作出明确规定,以保云平台网络安全、高效运行。
18、《补丁管理》对服务器操作系统、小型机操作系统、终端计算机操作系统、应用中间件和数据库软件的补丁更新要求和操作流程进行规范,确保系统防御病毒和网络攻击的能力。
19、《备份恢复》确定业务数据的备份策略,并从数据恢复的申请、申请的审批、实施数据恢复、结果检查等方面做出明确规定,以保证业务系统数据的完整性和可用性。
20、《帐户/口令管理》明确帐户的角色及权限管理,并对口令的设置、保管与更新进行了明确规定,以防止非授权访问。
21、《安全巡检》对网络与安全设备、服务器、应用系统和机房基础环境的巡检工作进行规范,以保证XXX的安全运行,有效消除安全隐患。
7.5 等保测评
7.5.1 工作目的
为XXX顺利通过等级保护测评认证。
7.5.2 工作内容
等级测评过程中将对系统的技术体系和管理体系进行全方位的安全测评。其中,技术体系包含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复5个方面安全测评。管理体系包含:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面的安全测评。
7.5.3 工作成果
通过等级测评工作,并成功备案。
7.6 安全运维
7.6.1 工作目的
为满足XXX的安全建设需求,提高信息系统安全保障能力。等级保护认证通过后,XXX希望通过三年等保运维服务来不断完善整网安全防护。
7.6.2 工作方式
定期和不定期运维。
7.6.3 工作内容
主要工作为推动安全管理制度的落实工作,包括但不限于以下工作内容:
1、 定期安全漏洞扫描工作;
2、 定期进行设备安全基线核查工作;
3、 组织安全整改工作;
4、 组织安全培训;
5、 其他安全管理工作。
7.6.4 工作成果
建立并落实完整的安全运维体系。其工作成果主要体现在日常工作内容和一系列安全工作报告中
8 涉及的安全服务
略
9 建设预算
略
