基于等级保护的恶意代码防护体系建设方案.pdf
《基于等级保护的恶意代码防护体系建设方案.pdf》由会员分享,可在线阅读,更多相关《基于等级保护的恶意代码防护体系建设方案.pdf(27页珍藏版)》请在冰点文库上搜索。
基于等级保护的恶意代码防护体系建设方基于等级保护的恶意代码防护体系建设方案案目录目录一、概述一、概述.441.11.1信息安全等级保护政策要求信息安全等级保护政策要求.441.21.2信息安全等级保护方案的整体思路信息安全等级保护方案的整体思路.551.31.3信息安全等级保护方案总体目标信息安全等级保护方案总体目标.661.41.4信息安全等级保护建设目标信息安全等级保护建设目标.66二、信息系统安全现状分析二、信息系统安全现状分析.772.12.1物理安全物理安全.882.22.2网络安全网络安全.882.2.1结构安全.92.2.2访问控制.102.2.3安全审计.102.2.4边界完整性检查.102.2.5入侵防范.112.2.6恶意代码防范.112.2.7网络设备防护.112.32.3主机安全主机安全.12122.3.1身份鉴别.122.3.2访问控制.132.3.3安全审计.132.3.4剩余信息保护.132.3.5入侵防范.132.3.6恶意代码防范.142.3.7资源控制.142.42.4应用安全应用安全.14142.52.5数据安全及备份恢复数据安全及备份恢复.15152.5.1数据完整性.152.5.2数据保密性.162.5.3备份和恢复.162.62.6安全管理安全管理.16162.6.1安全管理体系的建设内容.162.6.2安全管理机构建设.172.6.3安全管理制度建设.182.6.4安全标准体系建设.182.6.5安全教育和培训.182.6.6应急响应计划.19三、基于等级保三、基于等级保护的恶意代码防护体系设计护的恶意代码防护体系设计.19193.13.1设计原则设计原则.19193.23.2参考标准参考标准.20203.33.3基于等级保护的恶意代码防护体系建设方案基于等级保护的恶意代码防护体系建设方案.21213.3.1针对恶意代码防护在不同等级中的技术要求.213.3.2针对恶意代码防护在不同等级中的管理要求.223.3.3针对恶意代码防护在不同等级中的集中控制管理要求.233.3.4信息安全等级保护所需解决方案对应表.233.3.5安全等级解决方案与亚信安全产品等级满足情况.243.3.6等级保护细则要求与亚信安全解决方案对应.24一、一、概述概述1.1信息安全等级保护政策要求信息安全等级保护政策要求随着我国网上交易、电信运营、政府网上信息公开、企业信息化进程的快速发展,信息系统越来越与公民权益、社会秩序、公共利益、直至国家安全紧密相关,基础信息网络和各行各业的重要信息系统已经成为国家的关键基础设施。
随着安全攻防技术的不断进步与发展,信息安全保障工作的重要性显而易见。
为了提高信息安全保障能力和水平,保障和促进信息化建设,国家正在大力推行信息安全等级保护制度。
等级保护已经成为一项国家层面的信息安全基本制度。
为了加强对国家信息系统的保密管理,确保信息安全,国家明确提出了信息系统的建设使用单位必须根据分级保护管理办法和有关标准,对信息系统分等级实施保护。
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布了信息安全等级保护管理办法。
办法将信息系统的安全保护等级分为以下五级:
第一级,第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
1.2信息安全等级保护信息安全等级保护方案的整体思路方案的整体思路根据对等级保护要求的理解,我们设计了基于等级保护的安全解决方案,方案主要分为4个阶段来进行:
现状评估:
分析信息安全现状;差距分析:
识别企业目前的安全现状与等级保护之间的差距;需求分析:
确定信息安全战略以及相应的信息安全需求;安全规划:
规划未来3-5年内的需要实施的安全项目。
1.3信息安全等级保护信息安全等级保护方案方案总体目标总体目标落实关于信息安全等级保护工作的实施意见(公通字【2004】66号)和关于开展信息系统安全等级保护基础调查工作的通知(公信安【2005】1431号),实施符合国家标准的安全等级保护体系建设,通过对信息系统的安全等级划分,合理调配相关资源,重点确保核心信息资产的安全性,从而使重要信息系统的安全威胁最小化,达到系统信息安全投入的最优化。
实现如下总体安全目标:
(1)依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标,来划分信息系统的安全等级。
(2)通过信息安全需求分析,判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划,以指导后续的信息系统安全建设工程实施。
(3)达到公安部关于信息系统安全保护等级保护相关要求。
1.4信息安全等级保护信息安全等级保护建设目标建设目标按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室和相关国家部门关于信息系统在物理、网络安全运行、主机安全、应用安全、备份及容灾等技术方面和管理等方面的总体要求,科学合理评估网站系统风险,协助其合理确定安全保护等级,在此基础上科学规划设计一整套完整的安全体系建设方案。
具体包括:
保障基础设施安全保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
保障网络连接安全保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
保障计算环境的安全保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
保障应用系统安全保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
安全管理体系保障安全管理体系保障,根据国家有关信息安全等级保护方面的标准和规范要求,结合实际,建立一套切实可行的安全管理体系。
二、二、信息系统安全现状信息系统安全现状分析分析等级保护自上而下分别为:
类、控制点和项。
其中,类表示信息系统安全等级保护基本要求在整体上大的分类,其中技术部分分为:
物理安全、网物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。
”具体框架结构如图所示:
根据以上等级保护的基本框架,我们分析XXXX目前在物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理等几方面目前的安全现状。
2.1物理安全物理安全物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。
物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
具体包括:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
2.2网络安全网络安全网络安全为信息系统在网络环境的安全运行提供支持。
一方面,确保网络设备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的保密性、完整性和可用性等。
由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。
对网络安全的保护,主要关注两个方面:
共享和安全。
开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。
因此,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是我们实现网络安全的理想目标。
网络安全主要关注的方面包括:
网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:
结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。
为了保证互联网安全平台的信息的保密性、完整性、可控性、可用性和抗抵赖性,计算机信息化网络系统需要采用多种网络安全技术,如身份鉴别、访问控制、信息加密、电磁泄露发射防护、信息完整性校验、抗抵赖、安全审计、网络安全性能检测、入侵监控、操作系统安全、数据库安全等。
2.2.1结构安全结构安全互联网安全平台与其他系统所要处理的信息重要性不同,需要对整个网络进行子网划分。
并需要对接入进行资源(带宽、处理能力)保证、优先处理等方面来要求。
包括:
u保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;u保证网络各个部分的带宽满足业务高峰期需要;u在终端与服务器之间进行路由控制建立安全的访问路径;u划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;u避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
2.2.2访问控制访问控制信息系统应根据系统部署的位置和信息重要性划分系统安全域,在安全域与安全域之间用安全设备(如防火墙、多功能网关等)进行隔离和访问控制。
应按访问应当按照用户类别、信息类别控制。
由于信息系统与外部Internet互联网相联,所以信息系统会受到通过网络的来自外部网络的攻击。
如果信息系统的用户安全意识不强,口令设置缺乏科学性,易猜测,且更换频率低,致使共享资源长期暴露给网络邻居,可能被外部人员轻易偷取或被内部其他员工窃取。
主机操作系统漏洞和错误的系统设置也能导致非法访问的出现。
2.2.3安全审计安全审计信息安全等级保护技术要求:
审计系统具有详细的日志,记录每个终端用户的每次活动以及系统出错和配置修改等信息,应保证审计日志的保密性和完整性。
应保证审计不被旁路,防止漏计审计数据。
审计系统应具有存储器将满的告警和保护措施以防审计数据丢失。
信息系统要求:
操作系统必须启动日志与审计的功能,重点是基于Windows(或UNIX)操作系统上的安全审计。
数据库系统要做好重要数据库操作的日志和审计工作。
在信息系统的安全审计中,我们采用操作系统日志审计、网络审计和入侵检测的审计功能相结合的方法进行安全审计。
2.2.4边界完整性检查边界完整性检查虽然网络采取了防火墙、IDS等有效的技术手段对边界进行了防护,但如果内网用户在边界处通过其他手段接入内网(如无线网卡、双网卡、modem拨号上网),这些边界防御则形同虚设。
因此,必须在全网中对网络的连接状态进行监控,准确定位并能及时报警和阻断。
2.2.5入侵防范入侵防范按照不同的业务,针对信息系统划分不同的安全域,明确安全边界,在明确的安全边界实施有效的访问控制策略;进入系统安全域的数据都应当通过各自的安全边界完成。
在边界进行访问控制审计,域内采用主机审计模式,审计内容包括:
时间、地点、类型、主客体和结果。
边界安全防护措施包括:
u防火墙u防病毒网关u入侵检测u信息过滤u边界完整性检查2.2.6恶意代码防范恶意代码防范当前通过网络和各种存储介质进行病毒传播和攻击的活动非常普遍,新型病毒层出不穷,对互联网安全平台造成大量损害。
因此,对网络中的各类服务器和客户机进行定期的防病毒扫描和实时状态下的监控,对保护网络资源和保证网络中各种服务的正常提供是不可或缺的。
通过在网络中部署分布式、网络化的防病毒系统,不仅可以保证单机有效地防止病毒侵害,可以使管理员从中央位置对整个网络进行病毒防护,及时地对病毒进行查杀。
病毒防护包括:
防护策略、防护对象、范围、病毒库升级、接入控制。
2.2.7网络设备防护网络设备防护对网络安全的防护,除了对网络结构、网络边界部署相应的安全措施外,另外一个重要的方面就是对实现这些控制要求的网络设备的保护。
通过登录网络设备对各种参数进行配置、修改等,都直接影响网络安全功能的发挥。
因此,网络设备的防护主要是对用户登录前后的行为进行控制。
具体包括:
u应对登录网络设备的用户进行身份鉴别;ul应对网络设备的管理员登录地址进行限制;ul网络设备用户的标识应唯一;ul主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;ul身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;ul应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;ul当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;ul应实现设备特权用户的权限分离2.3主机主机安全安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。
终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。
主机系统是构成信息系统的主要部分,其上承载着各种应用。
因此,主机系统安全是保护信息系统安全的中坚力量。
主机系统安全涉及的控制点包括:
身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等七个控制点2.3.1身份鉴别身份鉴别为确保系统的安全,必须对系统中的每一用户或与之相连的服务器或终端设备进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入系统并在规定的权限内操作。
通常身份鉴别的方式采用用户名加口令或采用智能卡或USBKEY与口令相结合的方式进行身份鉴别,口令长度不得少于十个字符,口令更换周期不得长于一月,也可采用生理特征等认证方式2.3.2访问控制访问控制在系统中实施访问控制是为了保证系统资源(操作系统和数据库管理系统)受控合法地使用。
用户只能根据自己的权限大小来访问系统资源,不得越权访问。
主要包括:
ul系统应启用访问控制功能,依据安全策略控制用户对资源的访问;ul应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;ul应实现操作系统和数据库系统特权用户的权限分离;ul应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;ul应及时删除多余的、过期的帐户,避免共享帐户的存在。
ul应对重要信息资源设置敏感标记;ul应依据安全策略严格控制用户对有敏感标记重要信息资源的操作2.3.3安全审计安全审计对主机进行安全审计,目的是为了保持对操作系统和数据库系统的运行情况以及系统用户行为的跟踪,以便事后追踪分析。
主机安全审计主要涉及的方面包括:
用户登录情况、系统配置情况以及系统资源使用情况等。
2.3.4剩余信息保护剩余信息保护为保证存储在硬盘、内存或缓冲区中的信息不被非授权的访问,操作系统应对这些剩余信息加以保护。
用户的鉴别信息、文件、目录等资源所在的存储空间,操作系统将其完全清除之后,才释放或重新分配给其他用户。
2.3.5入侵防范入侵防范由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,它无法防范网络内单台主机、服务器等被攻击的情况。
基于主机的入侵检测,可以说是基于网络的“补充”,补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。
2.3.6恶意代码防范恶意代码防范恶意代码一般通过两种方式造成各种破坏,一种是通过网络,另外一种就是通过主机。
网络边界处的恶意代码防范可以说是防范工作的“第一道门槛”,然而,如果恶意代码通过网络进行蔓延,那么直接后果就是造成网络内的主机感染,所以说,网关处的恶意代码防范并不是“一劳永逸”。
另外,通过各种移动存储设备的接入主机,也可能造成该主机感染病毒,而后通过网络感染其他主机。
所以说,这两种方式是交叉发生的,必须在两处同时进行防范,才能尽可能的保证安全。
2.3.7资源控制资源控制操作系统是非常复杂的系统软件,其最主要的特点是并发性和共享性。
在逻辑上多个任务并发运行,处理器和外部设备能同时工作。
多个任务共同使用系统资源,使其能被有效共享,大大提高系统的整体效率,这是操作系统的根本目标。
为保证资源有效共享和充分利用,操作系统必须对资源的使用进行控制,包括限制单个用户的多重并发会话、限制最大并发会话连接数、限制单个用户对系统资源的最大和最小使用限度、当登录终端的操作超时或鉴别失败时进行锁定、根据服务优先级分配系统资源等。
2.4应用安全应用安全通过网络、主机系统的安全防护,最终应用安全成为信息系统整体防御的最后一道防线。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。
基于网络的应用是形成其他应用的基础,包括消息发送、web浏览等,可以说是基本的应用。
业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。
由于各种基本应用最终是为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。
因此在信息系统应用软件的安全方面要考虑:
身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制方面的安全问题。
2.5数据安全及备份恢复数据安全及备份恢复信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。
一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。
由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
各个“关口”把好了,数据本身再具有一些防御和修复手段,必然将对数据造成的损害降至最小。
另外,数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容,在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。
保证数据安全和备份恢复主要从:
数据完整性、数据保密性、备份和恢复等三个控制点考虑。
2.5.1数据完整性数据完整性通常,实现数据的完整性校验的方法是:
发送方使用散列函数(如SHA、MD5等)对要发送的信息进行计算,得到信息的鉴别码,连同信息一起发送给接受方,接受方对收到的信息重新计算,将得到鉴别码与收到的鉴别码进行比较,若二者不相同,则可以判定信息被篡改了。
抗抵赖是为了防止发送方在发出数据后又否认自己发送过此数据,并防止接收方收到数据后又否认收到过此数据。
常用方法是数字签名。
同完整性校验一样,数字签名对于大容量的数据同样并不适用,完全超出了用户可接受的程度。
由此可见,常用的完整性校验和抗抵赖的技术和方法,在信息系统中是不可行的。
建议采用全方位的入侵检测和审计技术,来弥补完整性校验和抗抵赖的不足。
通过分析入侵检测和审计日志,来实现数据的完整性校验和抗抵赖。
2.5.2数据保密性数据保密性数据保密性主要从数据的传输和存储两方面保证各类敏感数据不被未授权的访问,以免造成数据泄漏2.5.3备份和恢复备份和恢复系统要求系统的主要设备、软件、数据、电源等应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。
包括:
ul制定备份与恢复策略ul对重要数据进行定期备份ul对应用数据的备份ul设备的备份ul电源的备份ul备份环境安全ul系统恢复与重建2.6安全管理安全管理在系统安全的各项建设内容中,安全管理体系的建设是关键和基础。
没有健全的安全管理,系统的安全性是很难保证的,任何网络系统仅在技术上是无法实现完整的安全要求的。
为此,建立一套科学的、可靠的、全面而有层次的安全管理体系是信息系统安全建设的必要条件和基本保证。
2.6.1安全管理体系的建设内容安全管理体系的建设内容信息系统的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息系统网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障信息系统安全的目的。
2.6.2安全管理安全管理机构建设机构建设按照统一领导和分级管理的原则,信息系统的安全管理必须设立专门的管理机构,配备相应的安全管理人员,并实行“一把手”责任制,明确主管领导,落实部门责任,各尽其职。
其主要内容包括:
各级管理机构的建立;各级管理机构的职能、权限划分;人员岗位、数量、职责的确定。
主要组建机构为:
主要组建机构为:
l安全管理决策机构安全管理决策机构信息系统安全管理决策机构由相关领导牵头组成非常设决策机构,每季度定期对信息系统的安全进行规划和检查,对信息系统的重大事项进行决策。
l安全管理日常执行机构安全管理日常执行机构信息系统安全管理日常执行机构是负责信息系统日常安全管理工作的各项事宜的常设机构。
l安全管理应急响应小组安全管理应急响应小组信息系统安全管理应急响应小组负责对信息系统突发安全事故的紧急响应和系统恢复,该小组在安全事件发生时,按照报告制度向有关领导汇报的同时,采取一切必要手段处理安全事故,并与上级部门和有关安全专业机构合作,在合适的情况下进行事故的分析和取证。
2.6.3安全管理制度建设安全管理制度建设建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。
所以安全管理制度是保证信息系统安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。
u安全管理制度主要包括:
安全人员管理、技术安全管理、场地设施安全管理。
u其中安全人员的管理主要包括:
人员审查、岗位人选、人员培训、签订保密合同、人员调离等。
u其中技术安全管理主要包括:
软件管理、设备管理、介质管理、信息管理、技术文档管理、传输链路和网络互连管理、应急响应计划等技术方面的管理。
u其中场地设施安全管理主要包括:
场地管理分类、管理要求、出入控制、电磁波防护、磁场防护、机房管理制度等。
2.6.4安全安全标准体系建设标准体系建设信息系统安全标准体系建设是整个信息系统正常运行的重要手段。
信息系统的安全标准将基于国家信息安全相关标准和政策而制定。
2.6.5安全教育安全教育和培训和培训根据用户的不同层次制定相应的教育培训计划及培训方案。
为了将安全隐患减少到最低,不仅需要对安全管理员进行专业性的安全技术培训,还需要加强对一般办公人员的信息安全教育,普及信息安全基本知识,通过对用户的不断教育和培训,增强全体工作人员的信息安全意识、法制观念和技术防范水平,确保互联网安全平台网络的安全运行。
2.6.6应急响应计划应急响应计划通过建立应急相应机构,制定应急响应预案,通过建立专
升级会员 