信息系统三级等级保护建设.docx
《信息系统三级等级保护建设.docx》由会员分享,可在线阅读,更多相关《信息系统三级等级保护建设.docx(61页珍藏版)》请在冰点文库上搜索。
信息系统三级等级保护建设
宿松县审计信息系统三级等保和机房改造项目招标
技
术
方
案
2017年10月11日
第1章.信息系统三级等级保护建设
1.1.现状与需求分析
1.1.1.项目现状
1.1.1.1.项目建设背景
本项目是宿松县审计局为加快金审三期工程建设,促进审计信息化工作,提升信息安全的的重要内容。
根据安徽省审计厅关于进一步做好全省审计机关网络及信息安全工作的通知(皖审信〔2016〕41号)、安徽省审计厅关于全面实施“五年创新计划”的意见(皖审发〔2016〕59号)、安徽省审计厅关于印发全省审计机关开展“审计技术创新年”实施方案的通知(皖审发〔2017〕65号)等文件要求,建立健全数据采集与管理的制度规范和机制,加强大数据技术运用,加强对各领域、各层级、各系统间数据的关联分析,增强判断评价宏观经济、感知经济风险等方面能力,维护国家信息安全,加强信息安全和保密工作,树立防护新理念,注重应用新技术、新方法做好网络安全防护工作,大力提高信息化条件下审计监督能力和水平。
经宿松县人民政府和有关部门批准,宿松县审计局于2017年启动审计信息系统叁级安全等级保护和机房标准化建设。
审计技术创新取得突破性进展,省级审计数据中心基本建立,数字化审计指挥平台、大数据综合分析平台、审计综合作业平台架构基本形成,运用信息化技术查核问题、评价判断、宏观分析的能力大幅提升。
在此基础上信息系统的安全就尤为重要,根据文件精神和实际需要,经宿松县人民政府和有关部门批准,宿松县审计局于2017年启动审计信息系统叁级安全等级保护和机房标准化建设。
1.1.1.2.宿松县审计信息系统简介
宿松县审计局已部署运用的系统有《审计管理系统》(简称OA系统)与《政府投资审计管理平台》。
从2006年起,国家审计署开始在全国审计机关推广应用《审计管理系统》(简称OA系统)。
该系统是各级审计机关审计业务工作的组织、管理和决策的平台,提供了公文交互、审计业务管理、培训学习、邮件服务、数据存储等各项服务。
2015年安徽省审计厅根据金审工程三期建设要求,在全省审计机关开发、部署“政府投资审计管理平台”。
宿松县政府投资审计管理平台是对宿松县政府和国有企业事业单位投资的建设项目实施审计进行项目及资料申报、审计实施、审计结果核定后发布、相关审计信息数据交互等审计管理平台系统。
利用《审计管理系统》与《政府投资审计管理平台》可以实现与审计人员《现场审计实施系统》与《政府投资审计管理平台》的信息交互、数据传输和公文传递。
有关审计专网的网络运行、信息交换、公文传递,以及数据的使用、存储等安全保密工作。
宿松县审计管理系统(OA)部署在审计专网即审计内网上的三台服务器集群上,与安徽省审计厅审计管理系统互联互通,用户只能通过审计内网访问终端。
宿松县政府投资管理平台分别部署在审计内网和投资审计专用外网上的两台独立服务器集群中,两台服务器通过网闸交换数据,用户通过审计内网或者投资审计专用外网访问平台系统,上传或查询数据信息;在内、外网都设有防火墙和交换机进行数据交换。
1.1.1.3.现有网络及安全设备清单
目前,宿松县审计局已建成了独立的计算机房,建筑面积约50平方米。
接通了审计专网(独立专线)和投资审计专网(互联网专线)、政务外网等3条光纤网络;配置了8台服务器,其中:
AO系统3台、数据分析系统2台、档案管理系统1台和投资管理系统2台;配置了网闸、防火墙、局域网路由器、交换机等网络及安全设备;配备了保证停电延时12小时的UPS备用电源;按物理隔离网络安全要求布置了审计专网和互联网2套办公网络系统布线;按审计工作需要,全局审计人员每人均配备了一台外网用计算机和一台内网用一体机(安装运行OA系统和其他内网信息系统及网站)。
同时,基本实现了计算机和服务器设备及操作系统国产化,个人计算机操作系统正版化,公文流转及审计项目数据电子化。
1.1.1.4.存在问题
1.1.1.4.1.未做等保测评整改
安徽省审计厅已完成核心系统、核心网络的整改,并通过了系统安全等级保护测评,宿松县审计局已经完成审计管理系统和政府投资审计平台两个系统的三级等保登记、备案,但尚未完成系统的测评和整改,存在安全隐患与漏洞,具有一定的风险。
1.1.1.4.2.安全防护薄弱
网络安全设备中防火墙设备数量占比较高,整体信息安全工作仅处于网络层防护层面,网络应用防护手段严重不足。
无审计类设备;终端认证与安全防护手段缺失。
1.1.1.4.3.数据缺乏体系化防护策略
在数据的产生、加工、传输、存储各环节缺少相应安全级别的针对性防护策略,各审计业务人员对采集的财务及其他数据通过移动存储介质、本机存放等方式,未对数据采取统一管理和统一存放。
存在发生敏感数据泄露风险,而且数据泄露后难以溯源。
1.1.1.5.项目参考标准
遵循以国家信息安全等级保护指南等最新安全标准以及开展各项服务工作,配合本项目的等级保护建设工作。
本项目建设参考依据:
指导思想
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
公信安[2009]1429《关于开展信息安全等级保护安全建设整改工作的指导意见》
全国人大《关于加强网络信息保护的决定》
国发[2012]23号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
国发[2013]7号《国务院关于推进物联网有序健康发展的指导意见》
公信安[2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)
安徽省审计厅发(皖审信〔2016〕41号)《安徽省审计厅关于进一步做好全省审计机关网络及信息安全工作的通知》
(皖审发〔2016〕59号)《安徽省审计厅关于全面实施“五年创新计划”的意见》
安徽省审计厅发(皖审发〔2017〕65号)《安徽省审计厅关于印发全省审计机关开展“审计技术创新年”实施方案的通知》
等级保护
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T25058-2010信息系统安全等级保护实施指南
系统定级
GB/T22240-2008信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T25066-2010信息安全产品类别与代码
GB/T17900-1999网络代理服务器的安全技术要求
GB/T20010-2005包过滤防火墙评估准则
GB/T20281-2006防火墙技术要求和测试评价方法
GB/T18018-2007路由器安全技术要求
GB/T20008-2005路由器安全评估准则
GB/T20272-2006操作系统安全技术要求
GB/T20273-2006数据库管理系统安全技术要求
GB/T20009-2005数据库管理系统安全评估准则
GB/T20275-2006入侵检测系统技术要求和测试评价方法
GB/T20277-2006网络和终端设备隔离部件测试评价方法
GB/T20279-2006网络和终端设备隔离部件安全技术要求
GB/T20278-2006网络脆弱性扫描产品技术要求
GB/T20280-2006网络脆弱性扫描产品测试评价方法
GB/T20945-2007信息系统安全审计产品技术要求和测试评价方法
GB/T21028-2007服务器安全技术要求
GB/T25063-2010服务器安全侧评要求
GB/T21050-2007网络交换机安全技术要求(EAL3)
GB/T28452-2012应用软件系统通用安全技术要求
GB/T29240-2012终端计算机通用安全技术要求与测试评价方法
GB/T28456-2012IPsec协议应用测试规范
GB/T28457-2012SSL协议应用测试规范
管理方面
GB/T20269-2006信息系统安全管理要求
GB/T28453-2012信息系统安全管理评估要求
GB/T20984-2007信息安全风险评估规范
GB/T24364-2009信息安全风险管理指南
GB/T20985-2007信息安全事件管理指南
GB/T20986-2007信息安全事件分类分级指南
GB/T20988-2007信息系统灾难恢复规范
方案设计
GB/T25070-2010信息系统等级保护安全设计技术要求
等保测评
GB/T28448-2012信息系统安全等级保护测评要求
GB/T28449-2012信息系统安全等级保护测评过程指南
1.1.2.整改建设方案
宿松县审计信息系统等保及机房改造建设内容
序号
项目
主要内容
现有信息系统及网络安全设备
备注
1
三级等保测评整改
审计管理系统、投资审计管理系统测评
《审计管理系统》(内网,4台服务器)
2
安全等级保护整改服务
《投资审计管理系统》(内、外网,2台服务器)
3
系统等保加固及机房改造项目设计
4
系统信息安全工程
终端安全管理系统(IPS)
审计专用光纤网路(内网,含视频专线)
5
日记审计系统
投资审计专光纤网路(专用外网)
6
数据库审计系统
政务办公光纤网路(政务外网)
7
入侵防御系统
防火墙(内、外网边界,共3台)
8
漏洞扫描系统
网神网闸(投资审计系统内、外网服务器数据交换)
9
网页防篡改
出入口交换机(共4台)
数据备份一体机
楼层交换机(共3台)
10
堡垒机
KVM(2台)
11
核心交换机
12
其他网络安全设备(含利旧)
13
机房改造工程
空间布局
机房(建筑面积约50平方米)
14
装饰装修(包括吊顶、地面、内墙柱面、隔断、门窗及安全处理,上下通风、防静电、防火、防湿、防尘、防虫鼠、防幅射、保温处理等)
10KVA单进单出UPS及电池组(含承重加固)
15
供配电系统(包括外电接入、UPS供电、配电设备及线路、照明系统等)
三相四线供电线(单相220V)
16
防雷接地系统
机柜(4组)
17
空调新风系统(含精密空调、新风机等)
空调(挂壁式、柜式各1台)
18
消防系统
机房综合布线
19
安全监控系统(含门禁、视频监控系统等)
20
动环监测预警系统
21
统一机柜
22
机房内综合布线
23
其他(含利旧)
1.1.2.1.设计依据
依据宿松县审计局现有网络系统架构和拟建主要项目内容,并勘查现场机房环境,同时依据宿松县审计局提供“宿松县审计信息系统等保及机房改造建设内容”
a)网络建设原则
针对本项目,等级保护整改方案的设计和实施将遵循以下原则:
针对本项目,等级保护整改方案的设计和实施等服务将遵循以下原则:
⏹保密性原则:
对项目服务的实施过程和结果将严格保密,在未经宿松县审计局授权的情况下不得泄露给任何单位和个人,不得利用此数据进行任何侵害客户权益的行为;
⏹标准性原则:
服务、设计和实施的全过程均依据国内或国际的相关标准进行;根据信息系统安全三级等级保护基本要求,分等级分安全域进行安全设计和安全建设。
⏹规范性原则:
在各项安全服务工作中的过程和文档,都具有很好的规范性(《安全服务实施规范》),可以便于项目的跟踪和控制;
⏹可控性原则:
服务所使用的工具、方法和过程都会在与宿松县审计局双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;
⏹整体性原则:
服务的范围和内容整体全面,涉及的IT运行的各个层面,避免由于遗漏造成未来的安全隐患;
⏹最小影响原则:
服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
⏹体系化原则:
在体系设计、建设中,充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。
⏹先进性原则:
为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。
⏹分步骤原则:
根据宿松县审计局要求,对宿松县审计局安全保障体系进行分期、分步骤的有序部署。
⏹服务细致化原则:
在项目建设过程中将充分结合自身的专业技术能力与行业经验相,结合宿松县审计局的实际信息系统量身定做,保障其信息系统安全稳定的运行。
1.1.2.2.整改后网络拓扑示意图
1.1.3.安全管理体系建设
1.1.3.1.详细方案设计管理部分
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。
信息安全管理体系主要包括组织机构、规章制度、人员安全、系统建设和系统运维等五个方面内容。
1.1.3.2.总体安全方针与安全策略
总体安全方针与安全策略是指导宿松县审计局所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。
总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。
本项目信息系统等保设计的总体安全方针与安全策略将具备以下特性:
⏹安全策略紧紧围绕行业的发展战略,符合宿松县审计局实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
⏹总体安全方针与安全策略中将明确阐述宿松县审计局所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
1.1.3.3.信息安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。
从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足并予以改进。
1.1.3.4.安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
1.1.3.5.人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。
培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
具体参照《信息系统安全管理要求》等。
1.1.3.6.系统建设管理
系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
1.1.3.7.系统运维管理
1、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。
对重要区域设置门禁控制手段,或使用视频监控等措施。
具体参照《信息系统安全管理要求》等。
2、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
具体参照《信息系统安全管理要求》等。
3、日常运行维护制度
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施,对运行安全进行监督检查。
具体参照《信息系统安全管理要求》等。
4、集中安全管理制度
第三级及以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。
具体参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
5、事件处置与应急响应制度
按照国家有关标准规定,确定信息安全事件的等级。
结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。
落实安全事件报告制度,第三级以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。
组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。
具体参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。
6、灾难备份制度
要对第三级以上信息系统采取灾难备份措施,防止重大事故、事件发生。
识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
具体参照《信息系统灾难恢复规范》。
7、安全监测制度
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
8、其他制度
对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。
按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
1.1.3.8.安全管理制度汇总
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。
定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。
经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
具体参照《信息系统安全管理要求》等。
最终提交安全制度包括但不限于以下内容:
⏹总体安全策略(组织、流程、策略、技术)
⏹岗位安全责任制度
⏹系统日常安全管理工作制度
⏹系统安全评估管理办法
⏹安全区域划分及管理规定
⏹管理信息区域网管制度
⏹系统建设管理制度
⏹设备入网安全管理制度
⏹账号和口令及权限管理制度
⏹加密技术使用管理办法
⏹应急预案管理制度
⏹安全事件报告和处置管理制度
1.1.4.安全建设技术要求分析
1.1.4.1.网络安全分析
评测信息系统的网络安全保障情况。
涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。
安全建设:
主要关注的方面包括网络结构、网络边界及网络设备的自身安全等。
主要建设涉及方面包括:
1、结构安全:
关键设备的冗余空间、核心网络带宽、子网/网段控制,主要设备的冗余空间、路由控制,整体网络带宽、带宽分配优先级,重要网段部署;
2、访问控制:
访问控制设备的用户、网段,端口控制、防止地址欺骗,拨号访问控制、应用层协议过滤,最大流量及最大连接数等;
3、安全审计:
日志记录,审计报表,审计记录的保护;
4、边界安全性检查(内部的非法联出)非授权的设备私自外联,定位及阻断;
5、入侵防范(检测常见攻击)记录、报警;
6、恶意代码防范(网络边界处防范)
7、网络设备防护(基本的登录鉴定)组合鉴定技术,特权用户的权限分离;
以上安全实现措施:
增加网络安全审计产品,增加违规外联检测阻断产品,网络设备特别配置服务等。
1.1.4.2.主机安全分析
评测信息系统的主机安全保障情况。
涉及对象为操作系统、数据库、应用系统等。
安全建设:
服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。
主要涉及方面包括:
1、身份鉴别(基本的身份鉴别)组合鉴别技术;
2、访问控制(安全策略、特权用户的权限分离)管理权限的分离、敏感标记的设置及操作;
3、安全审计(服务器基本运行情况审计)重要客户端的审计、审计报表,审计记录的保护;
4、剩余信息保护(空间释放及信息清除)(比较超前、目前较难实现);
5、入侵防范(最小安装原则、升级服务器)重要服务器检测、记录、报警,重要程序完整性;
6、恶意代码防范(防恶意代码软件、代码库统一管理)主机与网络的防范产品不同;
7、资源控制(对用户会话数及终端登录的控制)监视重要服务器、最小服务水平的检测及报警。
以上安全实现措施:
增加身份认证系统,访问控制策略配置服务,主机入侵防范策略配置服务,网管软件和主机配置服务。
1.1.4.3.应用安全分析
评测信息系统的应用安全保障情况。
涉及对象为操作系统、数据库、应用系统等。
安全建设:
基本应用包括消息发送、web浏览等;业务应用包括电子商务、电子政务等。
主要建设涉及的方面包括:
1、身份鉴别(基本的身份鉴别)组合技术鉴别;
2、访问控制(安全策率,最小授权原则)敏感标记的设置及操作;
3、抗抵赖性;
4、安全审计、运行情况审计、审计记录的保护,审计报表、审计过程的保护;
5、剩余信息保护(空间释放及信息清除)(比较超前、目前较难实现);
6、通信完整性(校验码技术)密码技术;
7、通信保密性(初始化验证、敏感信息加密)整个报文及会话过程加密;
8、软件容错(数据有效性检验、部分运行保护)自动保护功能;
9、资源控制(对用户会话数及系统最大并发会话数的限制)资源分配限制、资源分配优先级、最小服务水平的检测及报警。
以上安全实现措施:
应用软件本身的配置及升级,访问控制策略配置服务,系统审计配置服务,增加通讯加密手段,建立统一的CA中心等。
1.1.4.4.数据安全分析
数据安全测评将评测系统数据安全保障情况,包括保密性、完整性、安全性。
安全建设:
主要是保护用户数据、系统数据、业务数据的保护,将对数据造成的损害将至最小;备份恢复也是防止数据被破坏后无法恢复的重要手段,主要包括数据备份、硬件冗余和异地实时备份。
主要建设
升级会员 