安全等级保护建设方案.docx

1、安全等级保护建设方案Xx信息安全等级保护（三级）建设方案1.前言31.1概述31.2相关政策及标准32.现状及需求分析 52.1.现状分析52.2.需求分析53.等保三级建设总体规划 63.1.网络边界安全建设 63.2.日志集中审计建设 63.3.安全运维建设63.4.等保及安全合规性自查建设 63.5.建设方案优势总结 74.等保三级建设相关产品介绍 94.1.网络边界安全防护 94.1.1标准要求94.1.2明御下一代防火墙 104.1.3明御入侵防御系统（IPS） 134.2.日志及数据库安全审计 154.2.1标准要求154.2.2明御综合日志审计平台 174.2.3明御数据库审计与

2、风险控制系统 194.3.安全运维审计224.3.1标准要求224.3.2明御运维审计和风险控制系统 234.4.核心WE旺用安全防护264.3.1标准要求264.3.2明御WEE用防火墙274.3.3明御网站卫士 304.5.等保及安全合规检查 314.5.1标准要求314.5.2明鉴WEK用弱点扫描器324.5.3明鉴数据库弱点扫描器 344.5.4明鉴远程安全评估系统 374.5.5明鉴信息安全等级保护检查工具箱 384.6.等保建设咨询服务 404.6.1服务概述404.6.2安全服务遵循标准 414.6.3服务内容及客户收益 415.等保三级建设配置建议 421.前言1.1概述随着互

3、联网金融的快速发展， 金融机构对信息系统的依赖程度日益增高， 信息安全的问题也越来越突出。同时，由于利益的驱使，针对金融机构的安全威胁越来越多，尤其是涉及 民生与金融相关的单位， 收到攻击的次数日渐频繁， 相关单位必须加强自身的信息安全保障工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。 为提升我国重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于 2007年联合颁布861号文件关于开展全国重要信息系统安全等级保 护定级工作的通知和信息安全等级保护管理办法 ，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级

4、划分的原则， 涉及到政府机关、金融等核心信息系统，构筑至少应达到三级或以上防护要求。互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度的确立和实施，无 疑对互联网金融单位加快自身信息安全建议具有前瞻性、 系统性的指导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信息安全的大事， 为确保重要行业和单位的等级保护信息系统顺利开展实施， 同时出台了一系列政策文件来规范、 指导和推动风险评估工作的进行，等级保护也积极响应各种标准和政策，以保障重点行业信息系统安全。1.2相关政策及标准国家相关部门对等级保护安全要求相当重视， 相继出台多个信息安全相关指导意见与法规，主要有：

5、中华人民共和国计算机信息系统安全等级保护条例 （国务院147号令）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 （公信安2010 303） GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T20984- 2007信息安全技术信息安全风险评估规范GB17859-1999信息系统安全等级保护测评准则其中，目前等级保护等保主要安全依据，主要参照 GB17859-1999信息系统安全等级保护测评准则和GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求，本 方案亦主要依据这两个标准，以其他要求为辅，来建立本技术方案。2.现状及需求分析2.

6、1.现状分析xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为 xx管理工作提供全面的系统支持。 该系统定级为安全保护等级三级， 通过第三方测评、整体分 析与风险分析，xx业务系统中存在与国家等级保护三级标准要求不符合项。2.2.需求分析为了满足达到国家 GB/T 22239-2008信息技术信息系统安全等级保护基本要求相应 的等级保护能力要求，xx业务管理系统启动等级保护安全整改工作，以增强系统的安全防 护能力，有效抵御内部和外部威胁， 为切实达到国家及行业信息安全等级保护相应要求， 使xx

7、业务管理系统在现有运行环境下风险可控，能够为 xx客户及内部各部门提供安全、稳定的业务服务。本次方案结合初步检查报告，由于 xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署 相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。一、 安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所发现的安全问题风险中，如网络边界未部署防恶意代码设备 ，可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。二、 审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络安全、主机安全、应用安全等诸多

8、环节， xx业务系统在第三方审计相关建设上缺乏必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能力，和审计分析能力十分必要。三、 安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在所发现安全问题风险中，对远程设备进行双因子认证， 实现特权用户分离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部署相应管理设备加以解决。四、 管理制度：管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、 协助管理制度的完善、 弥补安全管理制度中的不足， 从管理制度整体协助满足等级保护的相关要求。3.等保三级建设总体规划根据现有安

9、全形势特点， 针对三级等级保护的各项要求， 需针对网络边界安全、 日志集中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系统构建。3.1.网络边界安全建设在网络边界处需加强对网络防护、 WEBS用防护措施，通过相关的网络安全设备部署核心链路中，按照信息安全等级保护标准进行建设。3.2.日志集中审计建设数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返回给客户端 的数据双向镜像到一个交换机接口作为数据库审计设备的采集口， 如需同时审计WEBZ用的访问请求等同样需要把数据进行镜像。综合日志审计系统为旁路部署， 仅需要将系统分配好IP地址，对各型服务器、数据库、 安全设备、

10、网络设备配置日志发送方式， 将自动收集各类设备的安全日志和运行日志， 进行集中查询和管理。数据库弱点扫描器部署在专用电脑上，定期对数据库进行安全检测。3.3.安全运维建设将运维审计与风险控制系统放置与办公内网， 并设定各服务器、网络设备、安全设备的允许登录IP,仅允许运维审计与风险控制系统可登录操作，运维和管理人员对各类服务器、 网络设备、安全设备的操作，均需先得到运维审计与风险控制系统的许可， 所有操作均会被运维审计与风险控制系统审计下来，并做到资源控制的设定。3.4.等保及安全合规性自查建设为提高核心业务系统内部网络安全防护性能和抗破坏能力， 检测和评估已运行网络的安全性能，需一种积极主动

11、的安全防护技术， 提供了对内部攻击、 外部攻击和误操作的实时保 护，在网络系统受到危害之前可以提供安全防护解决措施， 通过远程安全评估系统实现网络及系统合规性自查；为对核心业务系统提供配置安全保证，满足监管单位及行业安全要求，平衡信息系统安 全付出成本与所能够承受的安全风险 ，遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全，需提供一套针对基线配置的安全检查工具， 定期检查其配置方面的与安全基准的偏差措施；核心业务系统的信息安全等级保护建设过程中， 以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测， 根据结果和整改措施进行信息安全建设。 将工具箱的检测报告和整改措施建

12、议作为整改的依据和参考的标准。 由于信息安全是个动态的过程， 整改完成不代表信息安全建设工作完成，可利用工具箱进行不断的自检自查。3.5.建设方案优势总结通过安全运维、安全防护、审计分析、安全制度四部分的部署加固，满足事前检测（数 据库弱点扫描器）、事中防护（明御 WEE用防火墙、运维审计与风险控制系统） 、事后追溯（明御综合日志审计系统、 明御数据库审计与风险控制系统） 的安全要求，结合安全服务对管理制度的完善，提供对重要信息系统起到一体化安全防护， 保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。一、 通过部署事前检测工具，依据权威数据库安全专家生成的最全面、最准确和

13、最新 的弱点知识库，提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WE函用弱点扫描器及明鉴数据库弱点扫描器的部署， 可以定期对 WE旺用和数据库进行安全检测，从而发现安全问题及相关隐患后能够及时修补。二、 通过部署事中防御设备，针对黑客的恶意进行全方位的攻击防护，防止各类对网站的恶意攻击和网页木马等， 确保网站安全健康运行； 同时采用智能异常引擎及关联引擎准确识别复杂攻击，有效遏制应用层 DDO畋击，依靠高速环境下的线速捕获技术实现 100%的数据捕获，通过事件回放为安全事件的快速查询与定位、 成因分析、责任认定提供有力证据，可采取直连或者旁路部署模式， 在无需

14、更改现有网络结构及应用配置的情况下， 可以对网站应用实时监控。通过网络安全网关、 IPS、WEB应用防火墙的部署，实现核心业务系统、应用的攻击防护，确保所定级的核心业务系统安全健康运行。三、 通过部署事后追溯设备，一方面采用独有的三层审计的数据库审计设备实现 WEB应用与数据库的自动关联审计， 并提供细粒度的安全审计， 实时监控来自各个层面的所有数据库活动，包括数据库操作请求、返回状态及返回结果集。 另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各 种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安 全。通过数

15、据库审计与风险控制系统及综合日志审计系统实现网络设备、 安全设备、数据存储、WE旺用、数据库、主机及其它软硬件资产的日志审计， 并可以进行行为的还原和回放。四、 通过加强管理制度的建设， 利用第三方安全公司长期在等级保护中的经验及专业的测评工具，帮助客户快速的对业务系统进行专业的自查并提供评估报告， 以便客户后期更高效的通过等级保护测评， 减少因自身经验不足而产生的测评不通过的风险， 减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验， 完善自身规章制度，摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。协助客户针对客户在等级保护建设中管理制度的经验不足，

16、提供合规性制度解决方案,一起加强信息安全管理制度建设，并顺利的通过等级保护。4.等保三级建设相关产品介绍4.1,网络边界安全防护4.1.1标准要求1.1.1.1 访问控制（G3）本项要*包括：a） 应在网络边界部署访问控制设 备，启用访1可控制功能；b） 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力，控制粒度为端口级；c） 应对进出网络的信息内容进行过滤，实现对应用层 HIIR FTP、TELNET SMTP POP玲协议命令 级的控制；d） 应在会话处丁非活跃-7E时间或 会话结束后终止网络连接；e） 应限制网络最大流量数及网络连 接数；f） 重要网段应采取技术手段防止地 址

17、欺骗；g） 应按用户和系统之间的允许访问 规则，决定允许或拒绝用户对受 控系统进行资源访问，控制粒度 为单个用户；h） 应限制具有拨号访问权限的用户 数量。在网络边界部署安全网关。1.1.1.2 安全审计（G3）本项要*包括：a）应对网络系统中的网络设备运行 状况、网络流量、用户行为等进 行日志记录；b）审计记录应包括：事件的日期和 时间、用户、事件类型、事件是 否成功及其他与审计相关的信 息；c） 应能够根据记录数据进行分析，并生成审计报表；d） 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。部署专业的日志审计系统。1.1.1.3 边界完整性检查（S3）本项要求包括：a）应能够对

18、非授权设备私自联到内 部网络的行为进行检查，准确定 出位置，并对其进行有效阻断；部署终端安全管理系统，利用IP/MAC绑定及ARP阻断功能实 现非法接入控制。b）应能够对内部网络用户私自联到 外部网络的行为进行检查，准确 定出位置，并对其进行有效阻断。部署终端安全管理系统，提供 非法外联监控功能。1.1.1.4 入侵防范（G3）本项要*包括：a） 应在网络边界处监视以下攻击行 为：端口扫描、强力攻击、木马 后门攻击、拒绝服务攻击、缓冲 区溢出攻击、IP碎片攻击和网络 蠕虫攻击等；b） 当检测到攻击行为时，记录攻击 源IP、攻击类型、攻击目的、攻 击时间，在发生严重入侵事件时 应提供报警。部署入

19、侵检测系统。1.1.1.5 恶意代码防范（G3）本项要*包括：a） 应在网络边界处对恶意代码进行 检测和清除；b） 应维护恶意代码库的升级和检测 系统的更新。部署病毒过滤网关系统。4.1.2明御下一代防火墙明御下一代防火墙 DAS-NGF飓安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于 IP和端口的防御机制。 百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境， 包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用

20、安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。1）功能说明功能描述部署方式支持透明部署、路由部署、混合部署模式攻击防护TCP/IP攻击防护（IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle 攻击、Huge ICMP包攻击、ARP欺骗攻 击、WinNuke 攻击、Ping-of-Death 攻击、Teardrop 攻击）扫描保护（IP地址扫描攻击、端口扫描攻击）Flood 保护(Syn Flood 攻击、ICMP Flood 攻击、UDP Flood 攻击、DNS Query Flood 攻击)二层攻击防护（I

21、P-MAC静态绑定、主机防御、 ARP防护、DHCFSnooping ）网络行为控制URL过滤：对用户访问某类网站进行控制和审计网贝关键字：对用户访1可含有某关键字的网贝（包括 HTTPS加密网页）进行控制和审计Web夕卜发信息：对用户在某网站（包括HiiP动日密网站）发布信息或 者发布含有某关键字信息进行控制和审计邮件过滤：对用户使用 SMT呦议及 Webmail外发邮件（包括 Gmail 加密邮件）进行控制和审计网络聊天：对用户通过即时通讯工具聊天进行控制和审计应用行为控制：对 FTP和HIIP应用程序行为进行控制和审计日志管理（网络行为控制日志、日志查询统计与审计分析）师过滤（AV）协议

22、防师扫描： HIIT FTR SMTP IMAR POP3压缩文件防师扫描（多层压缩扫描） ：RAR ZIP、GZIP、BZIP、TAR控制方式：中断连接、文件填充、日志记录病母特征库在线更新、本地更新局可靠性（HA）Active-Passive (A/P)模式Active-Active (A/A)模式VPNIPSec VPNSCVPN（基于SSL的远程登录解决方案）拨号VPNPnPVPNL2TP VPN访1可控制基于安全域的访问控制基于时间的访问控制盯MAC勺访问控制IP-MAC -端口地址绑定用户认证本地用户认证外部服务器用户认证（RADIUS LDAP MS ADWeb认证802.1X功

23、能描述NAT/PAT 功能多个内部地址映射到同一个公网地址多个内部地址映射到多个公网地址外部网络主机访问内部服务器内部地址映射到接口公网 IP地址应用协议的NAT穿越FTPTFTPHIIPSUN RPCRTSPMicrosoft RPCH323SIPRSHSQL NETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由静态路由（目的路由、源路由、源接口路由）动态路由（RIP以及OSPF策略路由（SBR以及SIBR）ISP路由策略路由出站就近路由静态组播路由IGMP协议管理命令行接口（ CLI）WebUI (HTTP HTTPSConsoleTelnetSSHSNMP

24、流里统计Ping/Traceroute系统利用率报表用户行为流日志NAT转换日志攻击实时日志地址绑定日志功能描述流量告警日志上网行为管理日志头时流里统订和分析功目匕安全事件统计功能2）客户收益在复杂环境下提供给用户网络安全管理， 基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况， 进而尽早的确认威胁并采取干预措施， 实现主动防御，具备对数据的收集集中能力以及智能分析能力全面、多维的识别应用中安全风险，进行全大 24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧识别未知应用的安全风险，面对来自世界各地、随时随地涌现的新类型、新应用，提供一种机制，去第一时间

25、识别和控制应用， 保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力4.1.3明御入侵防御系统（IPS）1） 产品介绍安恒明御入侵防御系统（简称： DAS-IPS）是用于实现专业的入侵攻击检测和防御的安全产品。主要部署在服务器前端、 互联网出口以及内网防护等用户场景中， 广泛适用于政府、企业、高校等行业。安恒DAS-IPS采用专业的高速多核安全引擎，融合安恒的安全操作系统，全面实现网络 入侵攻击防御功能，除了提供 4000+的攻击特征检测还提供专业的 Botnet检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力， 为用户业务的正常运行和使用提供可信的

26、安全保障。2）功能介绍产品特色描述全面的L2-L7入侵防御安恒DAS- IPS内嵌4,000多种攻击特征，能够检测常见的病 毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞 攻击；封堵主流的高级逃逸攻击；检测和防御主流的异常流量，含 各类Flood攻击；提供用户自定义攻击特征码功能， 可指定网络层到应用层的对比内容；提供虚拟补丁功能，让没有及时修补漏洞的 客户，能够保障网络安全正常运行。业内领先的入侵检测技术安恒DAS-IPS提供了高效的安全检测引擎， 米用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进行完

27、整 性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包进 入企业内部网络采用； 采用流量异常检测与防护机制， 实现对各种网络层至应用层的 DoS/DDoS攻击，包括主流的 Flood攻击、扫描 类攻击等。专业的Botnet检测和防御安恒DAS- IPS提供业界最完整的 Botnet特征数据库，含C&C偷令及控制）特征库和 Real-time Black List （实时检测黑名单）库。当感染 Botnet的主机与Botnet C&务器联机以及与恶 意IP或URL通信时，认为该主机已被植入 Bot并触发相应的响应行为。从而真正做到对内网的全面专业的保护，保障内网 业务的正常运行。强大的安全

28、管 理在可视化管理方面，提供实时攻击事件和网络应用服务监控功 能以及丰富的报表呈现功能在局可用性方面，支持软硬件 Bypass功能和HA功能。在IPv6支持方面，可支持IPv4和IPv6双栈运行的网络环境， 可同时检测IPv4和IPv6的网络数据包。在灵活性管理方面，能够提供虚拟 IPS功能，每一个虚拟的IPS可以拥有独立的安全防御策略，可以增加 IPS在大型网络架构 中的使用灵活性。在网络部署方面，支持在线的IPS运行部署和旁路的IDS监控 部署。在管理接口方面，支持串口、 SSH WebUI（含SSL加密）以及SNMPf理等方式。3）客户收益为用户提供全面的L2-L7入侵防御，能够检测常见

29、的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；为用户提供领先的入侵检测技术，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及 Botnet的检测防御；采用协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包 进入企业内部网络采用为用户提供专业的 Botnet检测和防御，提供业界最完整的 Botnet特征数据库，含C&C偷令及控制）特征库和Real-time Black List （实时检测黑名单）库具备强大的安全管理， 在可视化管理方面，提供实时攻击事件和网络应用服务监控功能以及丰富的报

30、表呈现功能，在高可用性方面，支持软硬件 Bypass功能和HA功能。4.2.日志及数据库安全审讨4.2.1标准要求GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求类别条款号标准要求内容数据库审计产品符合项安全审计7.1.3.3审计范围应覆盖到服务器和重要客户端上的每个 操作系统用户和数据库用户；数据库风险控制与审计系统应在保证系统运行安全和效率的前提下，启用系统申计或米用第一方安全申计产叩实现申计要求数据库风险控制与审计系统审计内容应包括重要用户行为、系统资源的异常 使用和重要系统命令的使用等系统内重要的安全 相关事件；数据库风险控制与审计系统审计内容至少包括：用户的添加和删除、审计功 能的启动和关闭、审计策略的调整、权限变更、 系统资源的异常使用、重要的系统操作（如用