安全保障方案.docx
《安全保障方案.docx》由会员分享,可在线阅读,更多相关《安全保障方案.docx(12页珍藏版)》请在冰点文库上搜索。
安全保障方案
第1章.安全保障建设方案
1.1.概述
随着全国各行各业电子信息工程化的实施和互联网络的迅猛发展及业务发展和市场竞争的需要,以信息公开化、电子化为核心的电子化信息系统已经成为企业发展业务、提高服务水平、加强管理和提升效益的必备手段,但是,紧随信息化发展而来的网络安全问题日渐凸出,根据国家四部委联合下发的2007公通字43号文以及《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)要求,规定的重要信息系统,必须实施等级保护建设。
同时以GB/T22239-2008《信息系统安全等级保护基本要求》为评价基础,以《信息系统等级保护安全设计技术要求》和《信息安全等级保护安全建设整改工作指南》为设计指导,并充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架,提出以建立一个“安全物理环境”基础上的“一个中心”保障下的“三重防护体系”架构体系(一个中心是指安全管理中心,三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成),能够有效地帮助管委会解决日渐凸出网络安全问题,保障其业务系统可靠、稳定的运行,从而有效满足当前及未来一段时期安全需求。
本方案针对网络环境、应用系统以及当前的安全措施为基础,分析安全建设需求,结合国家等级保护的建设规范和技术要求而编制,一方面对平台的信息安全建设起到指导作用;另一方面可形成省市级别安全防护系统建设方案,为企业进行安全建设起到建议作用;还有就是通过将等级保护基本要求,在实际网络应用环境中落地,形成多系统复杂环境的等级保护建设方法,指导用户落实等级保护的制度和要求。
1.1.1.系统定级
重要信息系统的定级工作,是开展等级保护的首要环节,是进行信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。
如果信息系统有重大变更,需对信息系统进行定级备案工作。
根据信息系统的业务要求、信息系统的实际情况,定级咨询工作具体包括:
●沟通、培训国家等级保护相关政策精神、要求及最新进展;
●分析组织架构、业务要求、信息系统等内容,对重要信息系统进行摸底调查,确定定级对象;
●针对定级对象,基于国家《定级指南》等,初步确定重要信息系统的等级,完成《定级报告》;
●编写《安全等级保护定级指南》;
●经专家评审和审批,完成定级备案工作;
●进行定级工作总结
根据《GB17859-1999计算机信息系统安全保护等级划分准则》的系统定级要求,定级为信息系统等级保护三级。
1.1.2.设计范围
本方案对应用系统进行等级保护(三级要求)安全设计。
1.1.3.设计原则
等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。
对于信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、研发类信息系统,在方案设计中应当遵循以下的原则:
1、适度安全原则
任何信息系统都不能做到绝对的安全,在进行信息安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。
适度安全也是等级保护建设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
2、重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;本方案在设计中将重点保护涉及生产、研发、销售等关键业务的信息系统,对其他信息系统则降低保护等级进行一般性设计和防护;
3、技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性,形成技术和管理两个部分的建设方案;
4、分区分域建设原则
对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;
5、标准性原则
信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性;
6、动态调整原则
信息安全问题不是静态的,它总是随着相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;
7、标准性原则
信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析,是本方案重点强调的设计原则;
8、成熟性原则
本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的;
9、科学性原则
本方案的设计是建立在安全评估基础上的,在威胁分析、弱点分析和风险分析方面,是建立在客观评价的基础上而展开分析的结果,因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决信息网络中存在的安全问题,满足特性需求。
1.2.设计依据
1.2.1.信息系统安全等级保护标准和规范
本方案重点参考以下的的政策和标准:
指导思想
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
等级保护
GB17859-1999计算机信息系统安全保护等级划分准则
GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护实施指南
系统定级
GB/Taaaaa-xxxx信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T20270-2006信息安全技术网络基础安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20272-2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
GA/T671-2006信息安全技术 终端计算机系统安全等级技术要求
GA/T709-2007信息安全技术信息系统安全等级保护基本模型
GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护基本要求
管理方面
GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护基本要求
ISO/IEC27001信息系统安全管理体系标准
方案设计
信息安全技术信息系统等级保护安全建设技术方案设计规范
方案架构
IATF信息保障技术框架
1.2.2.其他信息安全标准和规范
ØISO/IEC15408(CC):
《信息技术安全评估准则》。
该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。
ØGB/T18336:
等同采用ISO15408
ØISO/IEC17799/BS7799-1:
《信息安全管理体系实施指南》。
这是目前世界上最权威的信息安全管理操作指南,对信息安全工作具有重要指导意义。
ØISO/IEC13335,第一部分:
《IT安全的概念和模型》;第二部分:
《IT安全的管理和计划制定》;第三部分:
《IT安全管理技术》;第四部分:
《安全措施的选择》;第五部分:
《网络安全管理指南》。
ØGB9361:
《计算站场地安全要求》
Ø公安部第51号令:
《计算机病毒防治管理办法》
Ø《计算机信息系统安全专用产品检测和销售许可证管理办法》公安部令32号
Ø《计算机信息网络国际联网安全保护管理办法》公安部
1.3.安全总体设计
1.3.1.设计思路
根据《信息系统等级保护安全设计技术要求》与《信息系统安全等级保护基本要求》,在等级保护安全设计框架上,等级保护安全技术平台的防护体系继承了“一个中心”保障下的“三重防护体系”架构(一个中心是指安全管理中心,三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成),使得它们互为依存、相对独立。
在此基础上,进一步强调了管理中心、计算环境、区域边界及网络传输的可信性,使得其在整个生命周期中都建立有完整的信任链,确保它们始终都在安全管理中心的统一管控下有序地运行,不会进入任何非预期的状态空间,从而确保了平台的安全性不会遭受破坏。
安全计算环境是对定级系统的信息存储与处理进行安全保护的部件。
计算环境由定级系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成,也可以是单一的计算机系统。
安全计算环境按照保护能力可划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。
安全区域边界是对定级系统的安全计算环境的边界,以及安全计算环境与安全通信网络之间实现连接功能进行安全保护的部件。
安全保护主要是指对安全计算环境以及进出安全计算环境的信息进行保护。
安全区域边界按照保护能力可划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。
安全通信网络是对定级系统安全计算环境之间进行信息传输实施安全保护的部件。
安全通信网络按照保护能力可划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。
安全管理中心对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。
第二级及第二级以上的系统安全保护环境通常需要设置安全管理中心,分别称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。
信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。
定级系统安全互联由安全互联部件和跨系统安全管理中心组成。
不同级别的等级保护安全技术之间存在着层层嵌套的关系,从第一级开始,每一级在继承其第一级所有安全要求的基础上,增补一些安全要求,或对上一级的特定安全要求有所加强。
每一级都有自己的安全防护目标以及对应的关键技术。
1.3.2.安全域设计思路
用安全域方法论为主线来进行设计,从安全的角度来分析业务可能存在的安全风险。
所谓安全域,就是具有相同业务要求和安全要求的IT系统要素的集合。
这些IT系统要素包括:
•网络区域
•主机和系统
•人和组织
•物理环境
•策略和流程
因此,如果按照广义安全域来理解,不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。
通过划分安全域的方法,将网络系统按照业务流程的不同层面划分为不同的安全域,各个安全域内部又可以根据业务元素对象划分为不同的安全子域。
针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施;不同的安全子域之间和不同的安全域之间存在着数据流,这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。
安全域划分以及基于安全域的整体安全工作,对系统具有很大的意义和实际作用:
安全域划分基于网络和系统进行,是下一步安全建设的部署依据,可以指导系统的安全规划、设计、入网和验收工作;
可以更好的利用系统安全措施,发挥安全设备的利用率;
基于网络和系统进行安全检查和评估的基础,可以在运行维护阶段降低系统风险,提供检查审核依据;
安全域可以更好的控制网络安全风险,降低系统风险;
安全域的分割是出现问题时的预防,能够防止有害行为的渗透;
安全域边界是灾难发生时的抑制点,能够防止影响的扩散。
“同构性简化”的安全域划分方法,其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些进行拼接、递归等方式构造出一个大的网络。
同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
1.3.3.纵深防御设计思路
“一个中心支撑下的三重保障体系”的纵深防御体系是指以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保应用系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保应用系统的安全。
安全管理中心是三重防护体系的控制中枢,是管理员的工作场所,管理员通过在安全管理中心制定安全策略,强制计算环境、区域边界执行策略,从而确保系统的运行环境是可信和安全。
安全管理中心分成三个子系统:
系统管理子系统、安全管理子系统、审计子系统,分别对应管理员的三个角色。
系统管理子系统负责对安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护,包括用户身份管理、资源管理、应急处理等,为信息系统的安全提供基础保障。
安全管理子系统是系统安全的控制中枢,主要实施标记管理、授权管理及策略管理等。
安全管理子系统通过制定相应的系统安全策略,并且强制节点子系统、区域边界子系统、通信网络子系统执行,从而实现了对整个信息系统的集中管理,为重要信息的安全提供了有力保障。
审计子系统是系统的监督中枢,系统审计员通过制定审计策略,强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行,从而实现对整个信息系统的行为审计,确保用户无法抵赖违背系统安全策略的行为,同时为应急处理提供依据。
计算环境是应用系统的运行环境,包括应用系统正常运行所必须的终端、服务器、网络设备等,计算环境安全是应用系统安全的根本。
区域边界是应用系统运行环境的边界,是应用系统和外界交互的必经渠道,通过区域边界的安全控制,可以对进入和流出应用环境的信息流进行安全检查,既可以保证应用系统中的敏感信息不会泄漏出去,同时也可以防止应用系统遭受外界的恶意攻击和破坏。
通信网络是不同应用系统之间进行信息交互的通道,安全的通信网络设备能够保证应用系统之间交互信息的机密性和完整性。
三重防护体系为应用系统构建了一个严密的立体防护网,既能够防止应用环境之内的用户对系统安全进行破坏,又能够防止外部用户对系统安全的破坏,即能够做到“防内为主,内外兼防”,可以有效保护应用系统的安全。
1.3.4.整体安全框架
1.3.4.1.安全域划分
一个复杂而庞大的系统,建设过程要首先要明确各部分的安全功能和建设目标,从而有重点地实施安全防护。
1.3.4.2.分区分域的目的
通过划分区域,对整体网络进行清楚的规划,具有以下意义:
区域的划分使整体网络结构的界限清晰
具有相同安全保护要求的网络和设备划分到一个安全区域中
不同的安全区域内,可方便地部署不同类型和功能的安全防护设备和产品,同时形成相辅相成的多层次立体防护体系
同一个安全区域内可方便地部署相同或相似的安全防护策略
分区分域保护做到重点明确,将有效地安全资源投入到最需要保护的部分,并且由各个不同的区域组织多层次的立体防护体系。
1.3.4.3.分区分域的原则
分区分域的过程遵循以下基本原则:
业务保障原则:
分区分域方法的根本目标是能够更好的保障网络上承载的业务,在保证安全的同时,还要保证业务的正常运行和效率。
结构简化原则:
分区分域方法的直接目的和效果是将信息(应用)系统整个网络变得更加简单,简单的逻辑结构便于设计防护体系。
比如,分区分域并不是粒度越细越好,区域数量过多,过杂可能会导致安全管理过于复杂和困难。
立体协防原则:
分区分域的主要对象是信息(应用)系统对应的网络,在分区分域部署安全设备时,需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防。
生命周期原则:
对于信息(应用)系统的分区分域建设,不仅要考虑静态设计,还要考虑变化因素,另外,在分区分域建设和调整过程中要考虑工程化的管理。
1.3.4.4.安全区域的规划和划分
根据平台整体安全需求并结合《信息系统安全等级保护基本技术要求》(GB/T22239-2008)和《信息系统等级保护安全设计技术要求》(GB/T24856-2009)中的相关要求,将项目的网络划分为:
外部互联区、DMZ服务区、核心交换区、核心服务区、存储备份区、系统运维终端区和安全管理区。
安全域划分如下图所示:
1.3.4.5.一个中心支撑的三重防护体系
在分区分域的基础上,信息系统等级保护安全建设的体系结构和逻辑组成如图下图所示。
按照信息系统业务处理过程将系统划分为计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护,构成由安全管理中心支撑下的计算安全、区域边界安全、通信网络安全所组成的三重防护体系结构。
安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理,确保系统配置完整可信,确定用户操作权限,实施全程审计追踪。
从功能上可细分为系统管理、安全管理和审计管理,各管理员职责和权限明确,三权分立,相互制约。
计算环境安全是信息系统安全保护的核心和基础。
计算环境安全通过终端、服务器操作系统、上层应用系统和数据库的安全机制服务,保障应用业务处理全过程的安全。
通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制,形成严密的安全保护环境,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障。
区域边界对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背安全策略的信息流经过边界,边界的安全保护和控制是信息系统的第二道安全屏障。
通信网络设备通过对通信双方进行可信鉴别验证,建立安全通道,实施传输数据密码保护,确保其在传输过程中不会被窃听、篡改和破坏,是信息系统的第三道安全屏障。
升级会员 