互联网数据中心等保三级
解决方案
Word文档-可编辑
编制单位:XX科技服务有限公司
目录
一. 前言 (1)
二. 项目背景 (1)
三. 安全风险分析 (2)
3.1设备安全风险 (2)
3.2网络安全风险 (2)
3.3应用层安全风险 (3)
3.4数据安全风险 (3)
四. 需求分析 (4)
4.1技术需求分析 (4)
4.2管理需求分析 (4)
五. 等级保护建设 (5)
5.1参考标准与依据 (6)
5.1.1 相关法规和政策 (6)
5.1.2 国家标准及行业标准 (6)
5.2整体部署拓扑图 (8)
5.3安全技术防护 (9)
5.3.1 边界访问控制 ....................................................................................................................... - 9 -
5.3.2 边界入侵防护 ..................................................................................................................... - 14 -
5.3.3 网站安全防护 ..................................................................................................................... - 28 -
5.3.4 安全审计 ............................................................................................................................. - 38 -
5.3.5 安全管理 ............................................................................................................................. - 47 -5.4等保建设咨询.. (69)
5.4.1 技术层面差距分析 ............................................................................................................. - 69 -
5.4.2 管理层面差距分析 ............................................................................................................. - 71 -
5.4.3 安全评估及加固 ................................................................................................................. - 72 -
5.4.4 安全管理体系建设 ............................................................................................................. - 74 -
5.4.5 应急响应及演练 ................................................................................................................. - 74 -
5.4.6 安全培训 ............................................................................................................................. - 74 -
5.4.7 测评辅助 ............................................................................................................................. - 75 -
六. 等保建设清单................................................................................................................................. - 76 -
七. 为什么选择绿盟科技..................................................................................................................... - 77 -
7.1典型优势 (78)
7.1.1 拥有最高级别服务资质的专业安全公司.......................................................................... - 78 -
7.1.2 先进且全面的信息安全保障体系模型.............................................................................. - 78 -
7.1.3 可实现且已证明的体系建设内容 ..................................................................................... - 78 -
7.1.4 资深且经验丰富的项目团队 ............................................................................................. - 79 -
7.1.5 先进的辅助工具 ................................................................................................................. - 79 -7.2资质荣誉. (79)
7.3客户收益 (82)
前言
经过多年的信息化推进建设,企事业和政府机构信息化应用水平正不断提高,信息化建设成效显著。作为信息化发展的重要组成部分,信息安全的状态直接制约着信息化发展的程
度。
作为企事业和政府机构重要的公众平台APP及web应用系统,由于其公众性质,使其成为攻击和威胁的主要目标,WEB应用所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站
脚本、Web应用安全漏洞利用等,极大地困扰着政府和公众用户,给政府的政务形象、信息
网络和核心业务造成严重的破坏。随着后“棱镜门”时代,国家对重要信息系统(包括网站)的安全问题越来越重视,相继发布了一系列的政策要求,例如:公安部、发改委和财政部联
合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:
“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。
为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护(三级)安全建设工作,绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂
商,结合自身多年的安全建设经验、业界领先的技术与产品,为政府单位等级保护安全建设
提供本方案。
项目背景
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并将于2017年6月1日施行。该法案明确规定:建设、运营网络或
通过网络提供服务,须依照法律、法规和国家标准强制性要求,采取各种措施,落实网络安
全等级保护制度,保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履
行该法案规定的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后
果的,处一万元以上十万元以下罚款,并对直接负责的主管人员处五千元以上五万元以下罚
款。
上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中,也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。
xxx目前运营的网站类系统主要有官方网站、xxx系统等;数据中心建成后,除满足xxx 自身需求外,还将为下属各子平台单位提供服务。
xxx信息系统网络架构为简单的互联互通架构,除入口处安装有防火墙外,其他安防手段、措施均缺失,距离等级保护三级要求有非常大的差距,安防状况堪忧。
不论是《中华人民共和国网络安全法》的规定,还是从自身信息系统安全角度考虑,xxx 都需要建设自己的安全管理体系和技术体系的建设,提升整体信息系统及数据的安全性。
一. 安全风险分析
1.1 设备安全风险
信息系统网络设备的安全风险主要来自两个方面,一个是设备自身的安全风险,另外一个是外界环境的安全风险。具体的设备安全风险如下:
?设备自身的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利用,
影响信息系统业务的连续性、可靠性和完整性;
?承载业务系统硬件、网络环境等方面的威胁;
?业务系统自身安全威胁。
1.2 网络安全风险
网络安全风险主要如下:
?来自内部和外部可能的网络攻击,如DDOS攻击、利用系统漏洞进行的各类攻击等
等;
?蠕虫病毒入侵,局域网内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使
用等导致的病毒扩散;
?利用管理和技术漏洞,或者内部资源成为僵尸网络、木马的被控资源,信息系统资
源被用作攻击外部网络的工具
?WEB类应用被挂马,成为木马大范围传播的主要途径;
?由于对信息系统网络进行维护不恰当,而导致的安全威胁。
1.3 应用层安全风险
应用层的安全威胁主要来自以下两个方面:
?来自原互联网、内部恶意用户的安全威胁;
?木马病毒的肆意传播,导致网络瘫痪。
1.4 数据安全风险
(1) 网管数据
网管数据,主要指设备管理层面的数据,其安全威胁主要如下:
?数据传输过程中被窃取,篡改、破坏;
?越权访问;
?病毒入侵导致丢失;
?其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。
(2) 内部业务数据
内部业务数据,主要指信息系统各个业务区域数据,其安全威胁一方面来自于各个业务的不同要求,另外更主要的一方面是这些业务数据的存放,具体如下:
?病毒、木马、间谍软件的入侵;
?针对敏感数据的非法篡改、获取;
?数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁
等。
(3) 帐号口令
?口令密码明文保存导致失窃;
?弱口令导致的暴力破解;
?网络监听明文传输的帐号口令。
二. 需求分析
2.1 技术需求分析
整体系统由WEB应用、网络设备、操作系统、数据库、中间件等网络元素共同构建,系统承担着数据采集、存储、分析、展示等功能,依据《信息安全技术信息安全等级保护基本技术要求》,物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁: 1.物理层安全:物理层面面临盗窃和破坏、雷击、火宅、静电、停电等威胁。
2.系统层安全:该层的安全问题来自网络运行的操作系统。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
3.网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。
4.应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。
5.数据层风险:数据传输泄露、数据损坏等。
因此,有必要通过安全产品与安全服务的方式,发现以上五个层面存在的安全隐患,比对问题采取相应的加固和处理措施,满足信息安全等级保护的技术要求。
2.2 管理需求分析
该系统不仅需要考虑技术防护手段,也需要通过合理的安全管理规范,避免人为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系,以满足系统的安全管理要求,管理体系应考虑如下五个方面:
1.安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
2.安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3.人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
4.系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
5.系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
三. 等级保护建设
通过xxx信息系统的特点以及面临的安全风险,参考业界主流安全标准和规范要求,制定了针对xxx等级保护建设解决方案,方案包括了整体部署拓扑、安全技术要求和安全服务三部分,从三个不同的层面来建设本单位信息系统安全防护体系,有效降低信息系统的安全风险,保障业务的顺畅运行,满足等级保护建设要求。
3.1 参考标准与依据
3.1.1 相关法规和政策
国家信息安全相关文件:
●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
●《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
●《信息安全等级保护管理办法》(公通字[2007]43号)
●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861
号)
●《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
●《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429
号)
●《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安
[2010]303号)
●以及其他相关文件。
3.1.2 国家标准及行业标准
国信安标委组织制定的国家标准:
●GB17859-1999 计算机信息系统安全保护等级划分准则
●GB/T22240-2008 信息安全技术信息系统安全保护等级定级指南
●GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南
●GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求
●GB/T20269-2006信息安全技术信息系统安全等级保护管理要求
●GB/T20270-2006信息安全技术网络基础安全技术要求
●GB/T20271-2006信息安全技术信息系统通用安全技术要求
●GB/T20272-2006信息安全技术操作系统安全技术要求
●GB/T20273-2006信息安全技术数据库管理系统安全技术要求
●GB/T20282-2006信息安全技术信息系统安全工程管理要求
●GB/T21082-2007信息安全技术服务器安全技术要求
●GBT 25070-2010信息系统等级保护安全设计技术要求(报批稿)
●GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南●GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求