门户网站系统等级保护建设方案.docx
《门户网站系统等级保护建设方案.docx》由会员分享,可在线阅读,更多相关《门户网站系统等级保护建设方案.docx(23页珍藏版)》请在冰点文库上搜索。
门户网站系统等级保护建设方案
X管理局
门户网站系统等级保护建设方案
文档修订记录
版本
日期
准备
批准
修订描述
V1.0
X年9月17日
发行以评审
V2.0
文档审批信息
审阅人
审阅时间
审阅意见
一、网站平台现状分析
1.1项目背景
X管理局为了落实和贯彻公安部、X保密局、X密码管理局等X有关部门信息安全等级保护工作要求,全面完善我局门户网站信息安全防护体系,落实我局门户网站安全防护策略,确保等级保护工作的顺利实施,提高我局门户网站系统信息安全防护水平,对门户网站系统开展等级保护建设工作。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。
1.2网络现状
1.3面临风险
X管理局门户网站平台主要面临以下安全风险:
⏹网站安全防护不足
门户网站缺少针对网站防篡改的防护系统,对各类非法篡改如SQL注入、跨站脚本攻击、网站篡改和WEB网页挂马等攻击行为无法及时的阻断和防御。
⏹僵尸网络、木马攻击无法抵御
网站页面被篡改、恶意软件传播、内部信息被窃取、网络遭受木马攻击、僵尸网络横行等恶意行为,已经成为重大的网络安全隐患,门户网站平台同样面临如此严峻的网络安全威胁。
⏹恶意入侵行为安全检测
对网络数据进行实时采集和实时分析,帮助网管人员及时发现网络中的各种攻击和违规行为,掌握网络流量的变化,发现异常流量的出现,并通过与内网其他安全设备联动封堵攻击源。
目前门户网站平台只有一台防火墙安全设备,不能进行主动监测入侵行为,安全防御比较被动。
1.4需求分析
综合考虑监狱管理局门户网站安全防护现状,与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距。
为满足信息系统安全等级保护基本要求,保障门户系统稳定、安全运行,需对监狱管理局门户网站等级保护建设符合以下要求:
网络安全检测—为保证内网与互联网数据交互的安全性,需对内网和外网之间的数据流做安全过滤,以确保能及时检测并抵御DDOS、拒绝服务、入侵行为、僵尸网络、木马行为等网络恶意攻击行为。
所以需要专门针对僵尸网络、木马行为攻击的预警系统。
主机安全防护—主机安全可包括两种方式对主机进行防护:
系统本身的安全防护和通过第三方安全软件进行系统防护。
系统本身主要通过身份鉴别、安全审计、访问控制、安全策略等措施构建系统级别的防护堡垒,第三方安全软件主要依靠软件本身的病毒库、特征码、安全策略对系统提供系统防护。
网站安全防护—需对网站提供恶意代码主动防御、网页防篡改保护、防SQL注入、跨站脚本攻击和拒绝服务攻击等网站系统面临的安全威胁。
安全审计—为了帮助安全人员有效针对系统日志、数据库日志和各种网络设备安全设备的日志进行统计分析,及时发现安全漏洞并对妨碍系统运行的明显企图及时报告给安全控制台,及时采取措施。
部署安全审计设备是一种高效的解决手段。
二、总体方案建设
2.1方案建设参照标准
Ø信息安全技术信息系统安全等级保护基本要求
Ø信息安全技术信息系统安全保护等级定级指南
Ø信息安全技术信息安全等级保护实施指南
Ø信息安全技术信息系统安全等级保护测评指南
ØGB/T20271-2006信息安全技术信息系统通用安全技术要求
ØGB/T20270-2006信息安全技术网络基础安全技术要求
ØGB/T20984-2007信息安全技术信息安全风险评估规范
ØGB/T20269-2006信息安全技术信息系统安全管理要求
ØGB/T20281-2006信息安全技术防火墙技术要求与测试评价方法
ØGB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法
ØGB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求
ØGB/T20277-2006信息安全技术网络脆弱性扫描产品测试评价方法
ØGB/T20279-2006信息安全技术网络端设备隔离部件技术要求
ØGB/T20280-2006信息安全技术网络端设备隔离部件测试评价方法
2.2方案建设目标
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。
使得X管理局门户网站系统满足二级等级保护建设的相关要求,又能为门户网站系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
等级保护建设基本要求如下:
2.3系统平台规划
2.3.1网络架构设计及描述
X管理局门户网站系统由出口防火墙、日志审计系统、僵尸木马网络检测系统、网站防护系统、防病毒系统、数据交换系统组成,整个系统主要为两台门户网站服务器提供安全防护。
出口防火墙作为第一层安全防护,通过安全策略和防护功能抵御互联网的攻击。
僵尸木马网络攻击行为预警系统作为第二层安全防护,通过过滤检测进出入内外网的数据流检测入侵行为和恶意攻击,并通过预警机制提供解决方案。
数据交换系统主要为内网服务器之间的数据流、外网与内网之间的数据流提供中转平台和数据安全过滤。
网站防护系统和防病毒系统,为网站服务器和网站程序提供安全防护,防止网站遭非法篡改和病毒攻击。
2.4网络安全建设
2.4.1结构安全与网段划分
Ø网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
Ø设计和绘制与当前运行情况相符的网络拓扑结构图;
Ø根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
Ø在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
Ø根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
Ø重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
2.4.2网络访问控制
Ø能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
2.4.3拨号访问控制
Ø在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
Ø限制具有拨号访问权限的用户数量。
2.4.4网络安全审计
Ø对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
Ø于每一个事件,其审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
2.4.5边界完整性检查
Ø能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
2.4.6恶意代码防范
Ø在网络边界及核心业务网段处对恶意代码进行检测和清除;
Ø维护恶意代码库的升级和检测系统的更新;
Ø支持恶意代码防范的统一管理。
2.4.7网络设备防护
Ø对登录网络设备的用户进行身份鉴别;
Ø对网络设备的管理员登录地址进行限制;
Ø网络设备用户的标识应唯一;
Ø身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
Ø具有登录失败处理功能,如:
结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
2.5主机安全建设
2.5.1防病毒软件
Ø控制对网络资源的访问并保护边界免遭Web相关的威胁侵扰;
Ø能够深入了解自身环境,实现更有效的防护;
Ø利用可靠的可操作情报,前瞻性预测威胁并最大限度减少停机。
2.5.2身份鉴别
Ø操作系统和数据库管理系统用户的身份标识应具有唯一性;
Ø对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
Ø操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
Ø具有登录失败处理功能,如:
结束会话、限制非法登录次数,当登录连接超时,自动退出。
2.5.3自主访问控制
Ø依据安全策略控制主体对客体的访问;
Ø自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
Ø自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
Ø由授权主体设置对客体访问和操作的权限;
Ø严格限制默认用户的访问权限。
2.5.4安全审计
Ø安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
Ø安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
Ø安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
Ø审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
2.5.5系统保护
Ø系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
2.5.6剩余信息保护
Ø保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
Ø确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
2.5.7恶意代码防范
Ø服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
Ø主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
2.5.8资源控制
Ø限制单个用户的会话数量;
Ø通过设定终端接入方式、网络地址范围等条件限制终端登录。
2.6应用安全建设
2.6.1网站安全防护
Ø针对网站攻击如SQL注入攻击(SQLinjections)、跨站脚本攻击(cross-sitescriptingattacks)、进程窃取(sessiontampering)及缓存溢出(bufferoverflows)、网站篡改等各类恶意攻击,对WEB应用提供安全防护;
Ø网站防护系统支持主动防御,利用文件过滤驱动技术保护网页和动态脚本不被非法篡改,从源头上杜绝各类非法篡改行为。
2.6.2身份鉴别
Ø用系统用户的身份标识应具有唯一性;
Ø对登录的用户进行身份标识和鉴别;
Ø系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
Ø具有登录失败处理功能,如:
结束会话、限制非法登录次数,当登录连接超时,自动退出。
2.6.3访问控制
Ø依据安全策略控制用户对客体的访问;
Ø自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
Ø自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
Ø由授权主体设置用户对系统功能操作和对数据访问的权限;
Ø实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;
Ø权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;
Ø严格限制默认用户的访问权限。
2.6.4安全审计
Ø安全审计应覆盖到应用系统的每个用户;
Ø安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等;
Ø安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
Ø审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
2.6.5剩余信息保护
Ø保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
Ø确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
2.6.6通信完整性
Ø通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。
2.6.7通信保密性
Ø当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
Ø在通信双方建立连接之前,利用密码技术进行会话初始化验证;
Ø在通信过程中,应对敏感信息字段进行加密。
2.6.8软件容错
Ø对通过人机接口输入或通过通信接口输入的数据进行有效性检验;
Ø对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回退;
Ø在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。
2.6.9资源控制
Ø限制单个用户的多重并发会话;
Ø对应用系统的最大并发会话连接数进行限制;
Ø对一个时间段内可能的并发会话连接数进行限制。
2.6.10代码安全
Ø对应用程序代码进行恶意代码扫描;
Ø对应用程序代码进行安全脆弱性分析。
2.7数据安全及备份恢复
2.7.1数据完整性
Ø能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏;
Ø能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。
2.7.2数据保密性
Ø网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;
Ø网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性;
Ø当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
2.7.3数据备份和恢复
Ø提供自动机制对重要信息进行有选择的数据备份;
Ø提供恢复重要信息的功能;
Ø提供重要网络设备、通信线路和服务器的硬件冗余。
2.8安全管理建设
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。
分别从以下方面进行设计:
2.8.1安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。
从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
2.8.2安全管理机构
Ø根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
Ø设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;
Ø成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
Ø制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;建立内外部沟通合作渠道;
Ø定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
2.8.3人员安全管理
Ø根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;
Ø规定外部人员访问流程,并严格执行。
2.8.4系统建设管理
根据基本要求制定系统建设管理制度,包括:
系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。
从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
2.8.5系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:
环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
三、信息安全产品部署及功能需求
3.1数据交换系统
3.1.1网络部署
3.1.2系统功能
核心交换机需提供容错功能之双电源供应模块,与提供热插拔功能,即让交换机在不必停机的状态下可抽换模块,当其中一片模块故障异常时可于热机中抽换维修,整体网络传输作业不会中断。
核心交换机支持VRRP协议,可提供两台核心交换机互为备援,使得整体网络具备高容错备援性,达到具备24小时全年无休连续运作之机制功能。
核心交换机的功能介绍如下:
功能项
具体内容
VLAN功能
支持Access、Trunk、Hybrid方式
支持defaultVLAN
支持VLAN交换
支持QinQ、增强型灵活QinQ
支持基于MAC的动态VLAN分配
MAC地址功能
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
支持基于端口和VLAN的MAC地址学习限制
STP功能
支持STP(IEEE802.1d),RSTP(IEEE802.1w)和MSTP(IEEE802.1s)
支持BPDU保护、Root保护、环路保护
支持BDPUTunnel
IP路由功能
支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议
支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
组播功能
支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping
支持PIMDM、PIMSM、PIMSSM
支持MSDP、MBGP
支持用户快速离开机制
支持组播流量控制
支持组播查询器
支持组播协议报文抑制功能
支持组播CAC
支持组播ACL
MPLS功能
支持MPLS基本功能
支持MPLSOAM
支持MPLSTE
支持MPLSVPN/VLL/VPLS
可靠性
支持LACP、支持跨设备E-Trunk
支持VRRP、BFDforVRRP
支持BFDforBGP/IS-IS/OSPF/静态路由
支持NSF、GRforBGP/IS-IS/OSPF/LDP
支持TEFRR、IPFRR
支持以太网OAM802.3ah和802.1ag
支持ITU-Y.1731
支持DLDP
支持运行中软件升级ISSU
支持集群交换系统CSS
QoS功能
支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类
支持ACL、CAR、Remark、Schedule等动作
支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式
支持WRED、尾丢弃等拥塞避免机制
支持H-QOS
支持流量整形
配置与维护功能
支持Console、Telnet、SSH等终端服务
支持SNMPv1/v2/v3等网络管理协议
支持通过FTP、TFTP方式上载、下载文件
支持BootROM升级和远程在线升级
支持热补丁
支持用户操作日志
安全和管理功能
802.1x认证,Portal认证
支持NAC
支持RADIUS和HWTACACS用户登录认证
命令行分级保护,未授权用户无法侵入
支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击
支持1KCPU通道队列保护
支持ICMP实现ping和traceroute功能
支持RMON
3.2僵尸木马网络攻击行为预警系统
3.2.1网络部署
3.2.2系统功能
该系统需要能够针对僵尸网络和木马等网络攻击行为,为网络提供动态的、集成式的安全保护,最大程度保证对网络内潜伏的僵尸网络和木马一旦激活运行就会被发现及处置。
该系统需提供了从网络层到应用层的检测能力,能够为个人PC、移动终端和各级应用服务器提供保护。
该系统需可以针对传统的黑IP、黑域名以及端口进行检测,系统应该具体以下功能特征:
●基于网络通信特征,针对已知攻击行为的检测技术。
●基于网络通信行为分析,针对已知攻击行为的检测技术。
●采用黑洞引流技术,切断黑客与受控主机之间的通信联系,终止恶意代码的运行。
●采用时间序列和攻击五元组(攻击源IP、感染源IP和端口、感染源MAC、攻击方式、危害程度分级)的安全事件分析技术。
3.3日志审计系统
3.3.1网络部署
3.3.2系统功能
⏹统一日志监控
该系统能够实现环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对网络环境中的安全信息(日志)进行统一监控。
使得用户可以全面掌控网络环境中的安全状况,对安全威胁做出更加准确的判断。
⏹日志归一化与实时关联分析
该系统需收集并归一化网络环境中所有安全日志和告警信息,然后通过智能事件关联分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。
日志归一化和实时关联分析可为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、性能、协议等不同角度为用户提供了全面监视IT网络安全的工具。
⏹集中日志存储
系统可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了X标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。
⏹灵活的部署方式
系统采用旁路部署,对现有网络结构不做任何改动,支持多端口日志采集,支持通过硬件探针采集日志,支持级联部署。
⏹可视化日志分析
具备强大的事件可视化能力,变用户日常安全管理的认知为感知。
事件可视化不是简单的柱图、饼图、曲线图等统计趋势图表的展示,必须反映出大量事件之间的相互作用关系。
系统的可视化功能包括:
Ø事件全球定位系统
Ø主动事件图
Ø事件行为分析
Ø动态雷达图
Ø主页定制视图
Ø统计分析图
⏹快速响应
在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
通过综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息,能够更为精确地定位安全威胁,使得实时自动阻止攻击变得更加可行。
在发生告警后,可以通过电子邮件、SNMPTrap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
也可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。
⏹报表报告
报告报表要求图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。
报告可用PDF、HTML、Excel、CSV或RTF等格式存档。
用户可以自定义报表。
3.4网站防篡改系统
3.4.1网络部署
3.4.2系统功能
●杜绝网站向外发送被篡改的页面内容;
●检测模块内嵌于Web服务器软件中;
●可检测静态页面/动态脚本/多媒体文件;
●可以按不同容器选择待检测的网页;
●网页发布同时自动更新水印值;
●网页发送时比较网页和水印值;
●能够防范SQL注入式攻击;
●支持断线/连线状态下篡改
升级会员 