三级等保方案.docx
《三级等保方案.docx》由会员分享,可在线阅读,更多相关《三级等保方案.docx(78页珍藏版)》请在冰点文库上搜索。
三级等保方案
三级等保建设方案
1概述............................................................................................................................................2
1.1项目概况........................................................................................................................2
1.2方案说明........................................................................................................................3
1.3设计依据........................................................................................................................4
2方案总体设计............................................................................................................................4
2.1设计目标........................................................................................................................4
2.2设计原则........................................................................................................................6
2.3设计思路........................................................................................................................7
3需求分析..................................................................................................................................16
3.1系统现状......................................................................................................................16
3.2现有措施......................................................................................................................16
3.3具体需求......................................................................................................................16
4安全策略..................................................................................................................................18
4.1总体安全策略...............................................................................................................18
4.2具体安全策略...............................................................................................................19
5安全解决方案..........................................................................................................................19
5.1安全技术体系...............................................................................................................20
5.1.1区域边界..............................................................................................................20
5.1.2通信网络..............................................................................................................21
5.1.3计算环境..............................................................................................................22
5.2安全管理体系...............................................................................................................24
5.3安全运维体系...............................................................................................................27
6方案总结..................................................................................................................................28
第1页
1概述
1.1项目概况
随着我国信息技术的快速发展,计算机及信息网络对促进国民经
济和社会发展发挥着日益重要的作用。
加强对重要领域内计算机信息
系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我
国信息化顺利发展的重要保障。
为加大依法管理信息网络安全工作的
力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机
信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994
年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。
条例中规定:
我国的“计算机信息系统实行安全等级保护。
安全等级
的划分标准和安全等级保护的具体办法,由公安部会同有关部门制
定。
”1999年9月国家质量技术监督局发布了由公安部提出并组织
制定的强制性国家标准GB17859-1999《计算机信息系统安全保护等
级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。
2003年的《国家信息化领导小组关于加强信息安全保障工作的
意见》(27号文)中指出:
“要重点保护基础信息网络和关系国家
安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安
第2页
全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全
面开展信息安全等级保护工作。
1.2方案说明
本方案是在信息系统经过安全定级之后,根据信息系统安全等级
保护的基本要求和安全目标,针对相应的安全等级而提出的等级保护
系统设计方案。
本方案依赖于对系统及其子系统进行的准确定级,即需要定级结
果作为安全规划与设计的前提与基础。
本方案应当作为进行信息系统等级保护工作部署的指南和依据。
可以根据本方案对于网络架构、威胁防护、策略、区域划分、系统运
维等多方面的安全进行设计、审查、改进和加强,是进行信息系统等
级保护规划和建设的参考性和实用性很强的文档。
本方案的应用建议:
在进行某个等级保护的具体工作规划时,可以参考方案中各个框
架的描述来策划安全策略、需求分析、安全措施选择等各个部分的工
作。
在考虑某一项安全建设时,可以依据本方案中对于相关的技术
和管理的基本要求和安全目标进行分析。
在具体的信息系统使用到本方案进行规划、设计和建设时,也
将用作相关部门进行等级保护测评和备案时的文档资料。
第3页
本方案的读者包括等级保护方案的设计者、项目的承建方和用户
方、信息系统的网络安全管理人员以及项目的评审者、监管方。
1.3设计依据
——公安部《信息安全等级保护管理办法》
——公安部《信息系统安全等级保护实施指南》
——公安部《信息系统安全等级保护定级指南》
——公安部《信息系统安全等级保护基本要求》
——公安部《信息系统安全等级保护测评准则》
——《北京市党政机关网络与信息系统安全定级指南》
——《北京市电子政务信息安全保障技术框架》
——《北京市公共服务网络与信息系统安全管理规定》(市政第163
令)
——DB11/T171-2002《党政机关信息系统安全测评规范》
——ISO/IEC17799信息安全管理标准
——ISO/IECTR13335系列标准
——信息系统安全保障理论模型和技术框架IATF
——《信息安全等级保护管理办法》(公通字[2007]43号)
2方案总体设计
2.1设计目标
第4页
信息安全等级保护,是指对国家秘密信息、公民、法人和其他组
织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分
等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管
理,对信息系统中产生的信息安全事件分等级响应、处置。
本方案侧
重于实现对信息、信息系统的分等级安全保护的设计目标。
总体设计目标:
以信息系统的实际情况和现实问题为基础,遵照
国家的法律法规和标准规范,参照国际的安全标准和最佳实践,依据
相应等级信息系统的基本要求和安全目标,设计出等级化、符合系统
特点、融管理和技术为一体的整体安全保障体系,指导信息系统的等
级保护建设工作。
不同级别的信息系统应具备不同的安全保护能力,3级的信息系
统应具备的基本安全保护能力要求(具体设计目标)如下:
应具有能够对抗来自大型的、有组织的团体(如一个商业情报组
织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)
的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较
大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害
程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并
在威胁发生后,能够较快恢复绝大部分功能。
上述对3级的信息系统的基本安全保护能力要求是一种整体和
抽象的描述。
信息系统所应该具有的基本安全保护能力将通过体现基
本安全保护能力的安全目标的提出以及实现安全目标的具体技术要
求和管理要求的描述得到具体化。
第5页
2.2设计原则
在进行等级保护系统解决方案设计时将遵循以下设计原则:
清晰定义模型的原则:
在设计信息安全保障体系时,首先要对信息系
统进行模型抽象,这样既能相对准确地描述信息体系的各个方面的内
容及其安全现状,又能代表绝大多数地区和各种类型的信息系统。
把
信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美
国信息安全保障技术框架),建立“保护对象框架”、“安全措施框
架”、“整体保障框架”等安全框架模型,从而相对准确地描述信息
系统的安全属性和等级保护的逻辑思维。
分域防护、综合防范的原则:
任何安全措施都不是绝对安全的,
都可能被攻破。
为预防攻破一层或一类保护的攻击行为无法破坏整个
信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层
和多重保护。
需求、风险、代价平衡的原则:
对任何类型网络,绝对安全难以
达到,也不一定是必须的,需正确处理需求、风险与代价的关系,等
级保护,适度防护,做到安全性与可用性相容,做到技术上可实现,
经济上可执行。
技术与管理相结合原则:
信息安全涉及人、技术、操作等各方面
要素,单靠技术或单靠管理都不可能实现。
因此在考虑信息系统信息
安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术
培训、安全规章制度建设相结合。
第6页
动态发展和可扩展原则:
随着网络攻防技术的进一步发展,网络
安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步
到位,一劳永逸地解决信息安全问题是不现实的。
信息安全保障建设
可先保证基本的、必须的安全性和良好的安全可扩展性,今后随着应
用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,
以适应新的网络安全环境,满足新的信息安全需求。
2.3设计思路
2.3.1保护对象框架
保护对象是对信息系统从安全角度抽象后的描述方法,是信息系
统内具有相似安全保护需求的一组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,
信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全
措施四类。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子
系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护
措施。
第7页
保护对象框架的示意图如下:
图1.保护对象框架的示意图
2.3.2整体保障框架
就安全保障技术而言,在体系框架层次进行有效的组织,理清保
护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是
对制定具体等级保护方案的重要指导。
根据中办发[2003]27号文件,“坚持积极防御、综合防范的方
针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要
第8页
求之一。
“积极防御、综合防范”是指导等级保护整体保障的战略
方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。
信息安
全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安
全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位
地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极
防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障
各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统
进行动态的、综合的保护,在攻击者成功地破坏了某个保护措施的情
况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出
现的安全威胁与风险,保证系统长期稳定可靠的运行。
整体保障框架的建设应在国家和地方、行业相关的安全政策、法
规、标准、要求的指导下,制订可具体操作的安全策略,并在充分利
用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全
管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,
从而实现物理安全、网络安全、系统安全、数据安全、应用安全和管
理安全,以满足信息系统全方位的安全保护需求。
同时,由于安全的
动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,
调整和完善安全策略,改进安全措施,以适应新的安全需求,满足安
全等级保护的要求,保证长期、稳定、可靠运行。
整体保障框架的示意图如下:
第9页
图2.整体保障框架的示意图
2.3.3安全措施框架
安全措施框架是按照结构化原理描述的安全措施的组合。
本方
案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管
理与技术并重”的原则进行设计的。
第10页
安全措施框架包括安全技术措施、安全管理措施两大部分。
安全
技术措施包括安全防护系统(物理防护、边界防护、监控检测、安全
审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管
理系统和网络信任系统)。
安全技术措施、安全管理措施各部分之间的关系是人(安全机构
和人员),按照规则(安全管理制度),使用技术工具(安全技术)
进行操作(系统建设和系统运维)。
安全措施框架示意图如下:
图3.安全措施框架示意图
第11页
2.3.4安全区域划分
不同的信息系统的业务特性、安全需求和等级、使用的对象、面
对的威胁和风险各不相同。
如何保证系统的安全性是一个巨大的挑
战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证
系统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数
据分布进行区域划分,根据区域中数据的分类确定该区域的安全风险
等级。
目的是把一个大规模复杂系统的安全问题,分解为更小区域的
安全保护问题。
这是实现大规模复杂信息的系统安全等级保护的有效
方法。
随着安全区域方法的发展,发现力图用一种大一统的方法和结构
去描述一个复杂的网络环境是非常困难的,即使描述出来其可操作性
也值得怀疑。
因此,我公司提出了“同构性简化的方法”,其基本思
路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这
些网络结构元进行拼接、递归等方式构造出一个大的网络。
可以说,
结构性简化好像将网络分析成一种单一大分子组成的系统,而同构性
简化就是将网络看成一个由几种小分子组成的系统。
“3+1同构性简
化”的安全域方法就是一个非常典型的例子,此方法是用一种3+1小
分子构造来分析venuscustomer的网络系统。
(注:
除了3+1构造
之外,还存在其他形式的构造。
)具体来说信息系统按照其维护的数
据类可以分为安全服务域、安全接入域、安全互联域以及安全管理域
四类。
在此基础上确定不同区域的信息系统安全保护等级。
同一区域
第12页
内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安
全特性等。
信息系统可以划分为以下四个大的安全域(3+1同构法):
安全接入域:
由访问同类数据的用户终端构成安全接入域,安
全接入域的划分应以用户所能访问的安全服务域中的数据类和用户
计算机所处的物理位置来确定。
安全接入域的安全等级与其所能访问
的安全服务域的安全等级有关。
当一个安全接入域中的终端能访问多
个安全服务域时,该安全接入域的安全等级应与这些安全服务域的最
高安全等级相同。
安全接入域应有明确的边界,以便于进行保护。
安全互联域:
连接传输共同数据的安全服务域和安全接入域组成
的互联基础设施构成了安全互联域。
主要包括其他域之间的互连设
备,域间的边界、域与外界的接口都在此域。
安全互联域的安全等级
的确定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域:
在局域范围内存储,传输、处理同类数据,具有相
同安全等级保护的单一计算机(主机/服务器)或多个计算机组成了
安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的
基本依据。
根据数据分布,可以有以下安全服务域:
单一计算机单一
安全级别服务域,多计算机单一安全级别服务域,单一计算机多安全
级别综合服务域,多计算机多安全级别综合服务域。
安全管理域:
安全系统的监控管理平台都放置在这个区域,为整
个IT架构提供集中的安全服务,进行集中的安全管理和监控以及响
第13页
应。
具体来说可能包括如下内容:
病毒监控中心、认证中心、安全运
营中心等。
安全区域3+1同构示意图如下:
图4.安全区域3+1同构示意图
2.3.5安全措施选择
27号文件指出,实行信息安全等级保护时“要重视信息安全
风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护
措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度
和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。
由此可见,信息系统等级保护可视为一个有参照系的风险管理过程。
等级保护是以等级化的保护对象、不同安全要求对应的等级化的安全
第14页
措施为参照,以风险管理过程为主线,建立并实施等级保护体系的过
程。
安全措施的选择首先应依据我国信息系统安全等级划分的要求,
设计五个等级的安全措施等级要求(安全措施等级要求是针对五个等
级信息系统的基本要求)。
不同等级的信息系统在相应级别安全措施
等级要求的基础上,进行安全措施的调整、定制和增强,并按照一定
的划分方法组成相应的安全措施框架,得到适用于该系统的安全措
施。
安全措施的调整主要依据综合平衡系统安全要求、系统所面临风
险和实施安全保护措施的成本来进行。
信息系统安全措施选择的原理
图如下:
图5.安全措施选择的原理图
第15页
3需求分析
3.1系统现状
3.2现有措施
目前,信息系统已经采取了下述的安全措施:
1、在物理层面上,
2、在网络层面上,
3、在系统层面上,
4、在应用层面上,
5、在管理层面上,
3.3具体需求
3.3.1等级保护技术需求
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的
所有安全威胁和风险。
威胁是指可能对信息系统资产或所在组织造成
损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是
一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,
破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。
威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构
出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。
信
息系统可能面临的威胁的主要来源有:
第16页
图6.威胁的主要来源视图
威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬
的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切
相关。
被动攻击威胁与风险:
网络通信数据被监听、口令等敏感信息被
截获等。
主动攻击威胁与风险:
扫描目标主机、拒绝服务攻击、利用协议、
软件、系统故障、漏洞插入或执行恶意代码(如:
特洛依木马、病毒、
后门等)、越权访问、篡改数据、伪装、