三级系统等级保护技术建设可行性分析报告Word格式文档下载.docx
《三级系统等级保护技术建设可行性分析报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《三级系统等级保护技术建设可行性分析报告Word格式文档下载.docx(51页珍藏版)》请在冰点文库上搜索。
c)同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d)动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
2.3角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
⏹国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
⏹信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
⏹信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;
根据已经确定的安全保护等级,到公安机关办理备案手续;
按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;
使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;
制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;
制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
⏹信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
⏹信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;
对信息安全产品供应商提供的信息安全产品进行安全测评。
⏹信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;
按照等级保护相关要求销售信息安全产品并提供相关服务。
2.4实施的基本流程
信息系统实施等级保护的基本流程参见下图:
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;
但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
3信息系统安全定级
3.1参照标准
——计算机信息系统安全保护等级划分准则(GB17859)
3.2定级原理
3.2.1信息系统安全保护级别
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.2.2信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3.2.2.1受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
3.2.2.2对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
3.2.2.3定级要素与等级的关系
3.3信息系统定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T22240-2008,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
信息系统定级要先确定好定级对象,然后再根据其系统对国家安全、社会秩序和公共利益、公民、法人和其他组织的合法权益的危害程度等进行分析,来确定定级对象的安全保护等级,并出具信息系统定级报告。
4信息系统详细设计方案
4.1安全建设需求分析
4.1.1网络结构安全
网络结构是否合理直接影响着是否能够有效的承载业务需要。
因此网络结构需要具备一定的冗余性;
带宽能够满足业务高峰时期数据交换需求;
并合理的划分网段和VLAN。
4.1.2边界安全风险与需求分析
边界的安全主要包括:
边界访问控制、边界入侵防范、边界恶意代码防范方面。
4.1.2.1边界访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
4.1.2.2入侵攻击风险分析
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。
通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
4.1.2.3恶意代码攻击风险分析
现今,病毒的发展呈现出以下趋势:
病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络(包括Internet、广域网、局域网)形态进行传播,因此为了安全的防护手段也需以变应变。
迫切需要网关型产品在网络层面对病毒予以查杀。
4.1.3运维风险需求分析
在各种网络信息应用中,服务器都充当了极其重要的角色,如何管理和维护好服务器,如何保证服务器的安全等就成了首先需要解决的问题。
面对系统和网络安全性、IT运维管理和IT内控外审的挑战,管理人员需要有效的技术手段,按照行业标准进行精确管理、事后追溯审计、实时监控和警报。
如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,已经成为越来越困扰这些企业的问题。
4.1.4关键服务器管理风险分析
关键服务器所面临的安全风险是多方面的,主要有以下几种现象值得关注:
●对服务器构成的安全风险中,有近80%是发生在系统内部
服务器的应用相当复杂,维护起来非常困难,当然服务器操作系统也是一样的复杂,配置和管理都需要充足的专业知识。
而企业中众多的服务器管理人员的技术水平参差不齐,在管理和维护的过程中,难免会有不当的操作。
或是给服务器的安全留下隐患,或是对服务器运行造成影响。
更可怕的还有商业间谍可能伪装成第三方厂商维护人员,从而轻易的从系统内部窃取核心数据,给企业造成巨大的损失。
●身份认证及授权使用问题
不同级别、不同行业的众多管理人员,对于某些核心资源,如重要的应用系统及数据库系统,不同级别不同岗位的领导或管理员具有不同的访问权限,管理人员的身份越权或假冒将会造成非授权使用的问题,同时将给办公系统造成重大混乱和损失。
比如:
由于生产的特殊性,常常需要用户具有ROOT账户权限。
这就造成生产和管理的矛盾,临时ROOT权限分发可以解决ROOT权限生产问题,但是,这极大增大管理的复杂性和不安全性,稍有疏忽,就可能造成管理的混乱。
不分发ROOT权限,可能导致生产不能正常进行,至少影响生产效率。
●分散的多点登录管理方式,无法准确的身份认证和授权控制
多点登录的分散管理方式无法进行强有效的授权控制,致使用户的登录操作难以管理、难以审计。
●有规范、规章制度,但没有相应的过程监控手段去监督
虽然企业内部制定了一系列的操作规范和管理制度,但管理人员有没有严格地按照规范、规章去执行,我们无从知道。
当发生安全事件时无法进行责任鉴定和事件追溯。
●大型、异构的网络环境难于统一、准确的对用户的行为进行审计和控制
企业因为业务发展需要,不断更新或升级网络,从而造成自身用户环境差异较大,整个网络系统平台参差不齐,在服务器端Unix/Linux和Windows操作系统共存形成异构网络,甚至于许多相异的网络设备都具有不同安全设置,而至今还没有一个即定的方法来解决这个问题。
●黑客对服务器的攻击
黑客攻击对服务器所造成的破坏往往是不可估量的。
黑客为了炫耀其高超的技术,或是为了谋取不正当的利益,都会妨害服务器的正常运行,修改服务器配置,破坏服务器的数据,严重影响服务器的正常运行,给企业和部门造成重大影响。
●木马、间谍窃取机密数据
针对中国的网络间谍攻击正变得越来越多,中国的国家安全从来没有像现在这样与网络密切相关。
目前境外有数万个木马控制端IP紧盯着中国大陆被控制的电脑,数千个僵尸网络控制服务器也针对着大陆地区,甚至有境外间谍机构设立数十个网络情报据点,疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。
中国是木马、间谍战的最大受害国。
中国的互联网正处在一个普及阶段的大规模扩张时期,网络安全比较脆弱,安全意识淡薄,缺乏真正有效的安全管理手段。
而且,网络管理、使用不规范,涉密电脑、非涉密电脑混杂使用,内部工作网和外网没有真正物理隔离,机密资料可以随意接触,随便使用,安全漏洞百出。
4.1.5关键服务器用户操作管理风险分析
●UNIX/LINUX类字符操作系统,命令的复杂性、脚本的隐蔽性等等因素使的我们很难对用户的行为做有效的深层审计
1)用户可能使用长命令、冷僻命令做一些非法操作,甚至将一些高危命令用alias命令以别名的方式去执行,刻意避开一些简单审计工具监控。
2)对于菜单式操作管理,由于技术上的难度,很少有审计工具可以做到完整的记录和操作过程日志的回放。
AIX中SMITTY命令操作、INFORMIXDBACCESS数据库前端操作。
3)别有用心的用户,可能会将一些非法的命令操作编辑为shell脚本去执行,达到逃避监控的目的。
●图形化界面中用户操作的不透明性,使得事后审计难以进行
RDP、X11、VNC等远程图形化窗口操作的不透明性,使得审计人员无法准确的对管理人员操作的审计,从而,对资源的滥用和泄露机密信息,以及管理维护的误操作等问题的鉴定工作带来了很大的困难。
●文件传输安全审计,是最让信息主管头疼的问题
使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发资料泄密的方式之一。
如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。
●服务器之间跳转嵌套登录操作
当用户已经登录到一台服务器上操作之后,可能为了便捷不退出当前的系统而直接以SSH、RDP等方式跳转登录到另外一台服务器去做管理操作。
●基于网络的IDS/IPS开始成熟,可以对部分明文协议进行审计,但面对加密协议却无能为力
为了远程管理和维护的可靠性,SSH、RDP(远程桌面的协议)等都是加密的通信协议,尤其是RDP(RemoteDesktopProtocol远程桌面协议)作为Microsoft公司的自有协议,并未公开其协议内容。
要审计这些加密的通信协议,还是要费一番功夫的。
4.1.6数据库敏感数据运维风险分析
●数据库身份管理、权限管理混乱,数据库业务账号与运维账号混乱,致使数据库敏感数据泄密事件时常发生
业务系统用户常常通过数据库运维管理工具,直接登录数据库后台,查询、修改甚至下载数据库内数据,致使企业敏感数据时常外泄,给企业造成重大经济损失。
●企业业务快速发展,企业数据库规模越发庞大,审计人为非法操作,堪比大海捞针
由于业务系统也要对数据库进行大量正常的数据库协议访问,目前流行的数据库协议审计系统无法区分正常数据库业务行为和数据库人为运维行为,造成“噪音”过多,致使要审计的数据库非法操作行为,“淹没”在大量正常的业务数据库访问审计数据中,数据库审计系统形同虚设。
●数据库后台运维手段多样,数据库人为非法操作既可以在数据库宿主系统上发生,也会通过数据库远程运维工具直接修改数据库数据发生,有时甚至可以通过业务系统后门或者业务系统设计缺陷发生,给数据库操作审计带来巨大难题
数据库协议审计系统仅能部分解决数据库远程运维工具造成的运维风险,对数据库宿主机上发生的数据库直接修改行为,无能为力。
●数据库中间件大量使用,给数据库行为审计“雪上加霜”
数据库中间件通常采用固定的账号登录数据库,无法区分数据库操作行为真实操作者身份,操作者主体不明,针对数据操作者的行为审计和责任鉴定,也就失去了意义,没有任何价值。
4.1.7“人机”运维操作行为风险综合分析
按照人机操作行为划分,运维管理方式基本包含三大类:
●控制台类:
直接通过物理键盘、鼠标、监视器进行操作,控制台类人机行为控制可以通过KVMOverIP解决
●远程终端访问类:
通过TELNET、SSH、FTP、SFTP、RDP、VNC、X11远程登录目标设备操作系统,在目标设备上,通过远程访问协议,操作目标设备
●各种应用的B/S、C/S管理配置客户端,如针对ORACLE数据库,有SQLPLUS、TOAD、PL/SQLDevelopmentTools、OracleEnterpriseManagementCenter等,针对INFORMIX,有DBACCESS等管理工具
企业应用的这些远程配置管理工具,可以直接远程登录应用,管理和配置应用,实现配置的远程修改及变更。
但是运维管理的远程操作是把双刃剑,为我们工作带来便利、节省成本的同时,又隐藏着巨大的人为操作风险,越权操作、误操作、恶意操作时有发生。
如何提高系统运维管理水平,满足相关标准要求,跟踪主机设备、服务器、数据库等重要资源上用户操作行为,降低运维成本,提供控制和审计依据,实现运维操作的规范化管理及风险防范与规避,已经成为每一位企业管理者需要认真考虑和面临的管理上的问题。
4.2安全管理需求分析
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。
除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。
主要包括:
●安全管理制度
●安全管理机构
●人员安全管理
●系统建设管理
●系统运维管理
根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。
4.3整改建议
安全风险名称
风险描述
所需产品
网络结构安全
网络结构需要具备一定的冗余性,带宽能够满足业务高峰时期数据交换需求。
提供产品都应满足网络结构安全需求
核心采取双链路冗余配置
互联网DDOS专业防护
针对规模的DDOS攻击,流量行,应用型攻击,进行专业清洗,形成报表
Anti-DDoS设备
边界访问控制(医保)
防火墙
边界访问控制(Internet出口)
防火墙/上网行为管理
入侵攻击风险
入侵防御系统
恶意代码攻击风险
网络边界处病毒、蠕虫、木马等恶意代码泛滥,导致核心资产收到严重威胁。
防毒墙/防火墙带UTM功能
运维风险
运维审计系统
安全管理风险
终端安全管理系统TSM、网管软件、制定管理制度
4.4安全保障体系总体建设
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称27号文件)的精神,按照《信息系统安全保障评估框架》(GB/T20274—2006)、《信息安全管理实用规则》(GB/T19716—2005)等有关标准要求,本《指南》提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架。
行政执法和城管行业信息安全保障体系框架
在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订完善的信息安全策略体系文件。
信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。
在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。
在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现。
在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。
国家信息安全系统级保护基本要求框架,参见下图:
《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:
类、控制点和项。
其中,类表示《基本要求》在整体上大的分类,其中技术部分分为:
物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类,管理部分分为:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。
控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。
而项则是控制点下的具体要求项,如“机房出入应有专人负责,进入的人员登记在案。
”
本方案中也是通过安全技术体系建设、安全管理体系建设两套安全体系统进行规划建设。
4.5安全技术体系建设
4.5.1建设方案设计原则
在规划、建设、使用、维护整个信息系统的过程中,本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施,并充分考虑到先进性、现实性、持续性和可扩展性。
具体体现为:
1)符合性原则:
信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。
2)需求、风险、代价平衡的原则
对任何网络,绝对安全难以达到,也不一定是必要的。
应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定安全策略。
3)综合性、整体性原则
安全模块和设备的引入应该体现系统运行和管理的统一性。
一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节,必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度,以保证组成系统的各个部分协调一致地运行。
4)易操作性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5)设备的先进性与成熟性
安全设备的选择,既要考虑其先进性,还要考虑其成熟性。
先进意味着技术、性能方面的优越,而成熟性表示可靠与可用。
6)无缝接入
安全设备的安装、运行,应不改变网络原有的拓扑结构,对网络内的用户应是透明的,不可见的。
同时,安全设备的运行应该不会对网络传输造成通信“瓶颈”。
7)可管理性与扩展性
安全设备应易于管理,而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制,能够在网上监控设备的运行状况,进行实时的安全审计。
8)保护原有投资的原则
在进行信息系统安全体系建设时,除了要按照国家信息安全等级保护相关要求外,还外遵循行政执法行业的相关信息安全保障体
升级会员 