信息安全建设项目建议书xWord下载.docx
《信息安全建设项目建议书xWord下载.docx》由会员分享,可在线阅读,更多相关《信息安全建设项目建议书xWord下载.docx(114页珍藏版)》请在冰点文库上搜索。
4.1.1现网区域划分及拓扑 12
4.1.2安全域划分原则 12
4.1.3安全域划分与实现 13
4.1.4边界安全建设 14
4.2网络管理平台建设 15
4.3安全管理体系建设方案 16
4.3.1安全组织结构 16
4.3.2安全管理制度 20
4.3.3人员安全管理 23
4.3.4信息系统运维管理 26
第5章系统功能及主要技术经济指标 29
5.1核心交换机 29
5.2办公外联区汇聚交换机 32
5.3应用区域接入交换机 34
5.4办公外联区防火墙 37
5.5应用区防火墙 39
5.6WEB应用防火墙 40
5.7网管平台 40
5.8入侵防御 41
第6章 建设工期及时间安排 42
第7章 项目承担单位或项目法人及协作单位概况 42
第8章 投资估算、资金筹措方式及来源 42
第9章效益分析 48
9.1经济效益 48
9.2社会效益48
第1章 项目概述
项目名称
1.1海南省商务厅信息安全建设项目。
项目建设单位
建设单位:
海南省商务厅项目负责人:
项目责任人:
电话:
邮编:
1.2地址:
工程背景
1.3为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<
信息安全等级保护管理办法>
的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安
〔2007〕861号)要求,提高海南省商务厅(以下简称“商务厅”)网络和信息系统的信息安全保护能力和水平,规范“商务厅”信息系统安全保障体系,实现单位自身的信息化安全建设,根据其安全保护状况与相应等级保护要求的差距和存在的安全隐患,并结合商务厅业务发展需要,本建议方案主要针对信息系统安全防护中存在的问题进行设计建设。
建设规模
1.4本次在避免重复建设的前提下,充分利用现有的各种资源,从资源、技术、人力上提示“商务厅”的应用系统安全防护能力,建设内容主要涉及部署在商务厅的七个系统的网络安全、主机安全、应用安全、数据安全等方面完善安全体系建设,调整网络结构、优化安全策略、增加诸如防火墙等硬件设备,完善商务厅的基础网络及安全建设。
投资概算
表1-
1:
投
资概算
表
序号
建设内容
投资估算
(万元)
所占比例
备注
一
项目工程建设费用
125.82
72.25%
(一)
设备采购费
116.5
66.90%
1
网络设备
33
18.95%
2
服务器设备
0.00%
3
存储设备
4
备份设备
5
安全设备
83.5
47.95%
6
终端设备
7
系统及工具软件购
置费
(二)
软件开发与数据库
建设费用
应用系统开发
信息资源规划与数
据库建设
(三)
标准规范建设
(四)
系统集成费
9.32
5.35%
(五)
机房及配套工程
机房装修
机房电气
后备电源
机房空调
气体消防
机房机柜
综合布线
8
安全监控
(六)
软件平台建设
二
工程其他费用
48.33
27.75%
建设单位管理费
1.89
1.09%
项目招投标费
1.78
1.02%
可行性研究报告编
制
工程监理费
3.77
2.16%
等保测评费
24
13.78%
安全体系建设
15
8.61%
三
预备费
四
总投资
174.15
100.00%
第2章 项目的意义与必要性
2.1项目提出的背景和依据
海南省商务厅是商务厅信息系统的的主管方,是负责运维商务厅的11个信息系统。
而商务厅的机房承载着7个系统,分别是海南农产品流通公共信息服务平台、海南省省外境内招商引资项目统计工作信息管理系统、海南省城乡市场运行监测调控网、海南家政信息服务平台、海南重点外资企业经营情况统计系统、海南省商务厅专项资金项目征集系统、产业安全数据库海南子站。
为落实相关文件要求,进一步加强信息安全防护工作,商务厅现根据国家等级保护二级信息系统安全的要求来对商务厅机房进行安全建设。
方案设计依据:
(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
(2)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
(3)《信息安全等级保护管理办法》(公通字[2007]43号)
(4)《计算机信息系统安全保护等级划分准则》(GB17859-1999)
(5)《信息系统安全等级保护基本要求》(GB/T22239-2008)
(6)《信息系统安全保护等级定级指南》(GB/T22240-2008)
(7)《信息系统安全等级保护实施指南》(信安字[2007]10号)
(8)《信息系统通用安全技术要求》(GB/T20271-2006)
(9)《信息系统等级保护安全设计技术要求》(信安秘字[2009]059号)
(10)《信息系统安全管理要求》(GB/T20269-2006)
(11)《信息系统安全工程管理要求》(GB/T20282-2006)
(12)《信息系统物理安全技术要求》(GB/T21052-2007)
(13)《网络基础安全技术要求》(GB/T20270-2006)
(14)《信息系统安全等级保护体系框架》(GA/T708-2007)
(15)《信息系统安全等级保护基本模型》(GA/T709-2007)
(16)《信息系统安全等级保护基本配置》(GA/T710-2007)
(17)《信息系统安全等级保护测评要求》
(18)《信息系统安全等级保护测评过程指南》
(19)《信息系统安全管理测评》(GA/T713-2007)
(20)《操作系统安全技术要求》(GB/T20272-2006)
2.2现有信息系统装备和信息化应用状况
2.2.1业务和资源现状
海南省商务厅计算机网络建设时间比较早,其中核心交换机设备,其中的大部分设备已超过其保修服务周期,并且由于服役时间太久,很多设备已经老化,其稳定性不能得到保证,随着业务的增长,核心交换机的处理能力已不符合要求,必然给工作带来影响。
2016年商务厅拟新增设备中将替换现有核心交换机。
表2-1:
网络设备使用表
设备名称
设备型号
购入时间
数量
核心交换机
CISCO3560
2010年以前
1台
负载均衡设备
F5-BIG-IP1600
交换机
Cisco2960
华为S3300
H3CS1224
路由器
Cisco2800
2.2.2业务应用系统现状
海南省商务厅网络承载着海南农产品流通公共信息服务平台、海南省省外境内招商引资项目统计工作信息管理系统、海南省城乡市场运行监测调控网、海南家政信息服务平台、海南重点外资企业经营情况统计系统、海南省商务厅专项资金项目征集系统、产业安全数据库海南子站等业务。
2.2.3基础设施现状
2.2.3.1网络基础
海南省商务厅网络采用电信联通双线接入,两个应用系统服务器直连在核心交换机cisco3560,剩下五个系统服务器连接在华为S3300上,运维人员通过华为S3300接入到核心网络来进行运维,内部网络采用简单交换结构设计。
图2-1:
现网网络拓扑图
2.2.3.2安全基础
应用区域部署一台天融信防火墙及一台F5负载均衡设备。
应用区域防火墙主要作用为:
1、域间访问策略;
2、服务器端口映射;
3、NAT规则
2.2.3.3服务器基础
海南省商务厅业务系统部署涉及的服务器数量众多,总计13台服务器使用,其中农讯平台使用5台服务器,产业安全系统使用3台服务器,一台作为中间
件,4台服务器由剩下的5个系统使用。
2.2.3.4存储备份基础
现采用一台IBM-DS3400存储,作为农讯平台的数据备份。
2.2.3.5系统及工具软件基础
表2-3:
系统及工具软件现状表
种类
品牌及型号
使用情况
服务器操作系统
windows2003
在使用
windows2005
windows2008
Redhat5.3
2.2.3.6机房现状
海南省商务厅机房租用酒店场地建设而来,内部部署了静电地板、空调等,能为设备运行提供基本的环境,本次项目建设中不考虑物理环境的安全改造。
2.2.3.7项目建设的意义和必要性
海南省商务厅是我省商务领域的重要单位,其应用系统一旦遭受黑客攻击导致系统不可用、被控制、甚至数据泄露,将对商务厅的日常工作造成极大影响、在我省造成不良社会影响、甚至影响社会稳定和国家安全。
因此,商务厅的信息安全建设将是我省信息安全建设自身安全体系的一个重点。
该项目建立了对商务厅重要系统的全面安全防护,覆盖了从网络安全、系统安全、应用安全、数据安全、安全管理等多个层面,为海商务厅安全防护体系提供一个稳定、安全、高效的平台。
通过本次项目的建设,真正做到可防、可管、可查,将商务厅业务系统自身的网络安全建设工作迈上一个新的台阶。
第3章 现状及需求分析
3.1网络边界划分及边界安全需求分析
网络边界是内部网络与外部网络之间的区域边界,如果没有严格的访问控制、病毒防护、入侵检测等措施,那将会给商务厅的网络及信息系统带来极大的安全风险。
具体表现在以下方面:
1)黑客攻击
当前具有多个网络边界,因为网络的开放性,对于商务厅网络提供的每一项服务都有可能带来黑客攻击。
例如来自网络的黑客可以直接通过网络对服务器进行扫描,一旦发现漏洞即可实施攻击,盗取重要信息,造成服务终端或重要信息泄漏。
2)病毒入侵
当前各种病毒威胁非常严峻、传播速度十分快、扩散范围也相当广。
任何一台计算机爆发病毒,特别是蠕虫病毒,会立刻向整个管理局网络迅速蔓延,这样会占用大量网络带宽,造成网络性能严重下降甚至网络通信中断,以及导致计算机不可用,严重影响正常业务。
3)越权访问和资源滥用
虽然本次建设一个整体的网络平台,但商务厅网络运行众多的业务系统,数据资源众多,然而这些数据访问并不是面向内网中的所有计算机用户全部开放的,不合法的用户越权访问,将增加业务系统的服务压力和信息泄漏的风险,严重威胁业务系统的可用性、安全性,同时消耗大量带宽资源。
3.2应用安全需求分析
应用安全风险主要是指商务厅网络信息系统中各业务应用系统所面临的各种安全风险,包括基于B/S或C/S结构的各种专有业务平台,如:
Interlib商务
厅集群自动化管理系统、网站系统等。
这些业务应用系统开放的服务也可能会带来新的安全风险。
特别是将来可能有一些移动办公的人员,是通过基于
internet的方式接入访问,可能会带入病毒或木马等。
如果不做好安全防护,将给其它业务系统带来致命的危害。
具体包括以下几个方面:
nWeb服务器安全风险
1)Web服务脚本的安全漏洞,远程溢出(.Printer漏洞)。
2)通过Web服务获取系统的超级用户特权。
3)Web页面被恶意删除、篡改。
4)通过Web服务上传木马等非法后门程序,以达到对整个服务器的控制。
5)Web服务器的数据源被非法入侵,用户的一些私有信息被窃。
6)利用Web服务器作为跳板,进而攻击内部的重要数据库服务器。
7)拒绝服务攻击或分布式拒绝服务攻击。
8)针对IIS、Tomcat攻击的工具,如IISCrash。
9)各种网络病毒的侵袭,如Nimda,RedcodeII等。
10)恶意的JavaApplet,ActiveX攻击等。
11)Web服务的某些目录可写。
12)CGI-BIN目录未授权可写,采用默认设置,一些系统程序没有删除。
商务厅的网站服务器上,如果发布应用程序端的配置不够严谨,安全策略不当,随时都有可能造成安全事件的发生,导致网上业务受到影响并由此带来直接的经济损失。
n业务服务器安全风险
业务服务器为各种业务提供重要的支撑。
这些不同的业务系统大部分是由多家公司开发定制,对安全设计多为不足,这样可能会导致信息系统具有如下的潜在风险:
1)源程序中存在的BUG。
2)源程序中出于程序调试的方便,人为设置许多“后门”。
3)应用系统自身很弱的身份认证。
4)应用系统的用户名和口令以明文方式被传递,容易截获。
n数据库安全风险
商务厅网络中很多关键业务系统都运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也将无法正常运行。
通常在数据安全管理中,对管理员权限划分不细,往往都使用超级管理员进行查看、建库、更新等各种管理操作。
这也给黑客带来了很多的机会,如果因为管理员口令不强,数据库存十分容易被攻破,引起数据丢失、错误甚至数据库的瘫痪。
数据库补丁也要求及时更新,否则其安全漏洞一旦被利用,同样影响数据库安全。
3.3操作系统安全分需求析
传统网络层安全解决方案,虽然产品众多,但安全事件依然频发,究其原
因是其只能解决系统中某“点”的安全(如HIDS、HIPS、安全审计、文档安全、杀毒软件等产品的相应作用),即使联合使用多种产品,也只能分别解决相应几
“点”的安全。
因设计体系上的问题,即使“点”的安全解决再多也很难连成
“面”,所以无法从根本上解决系统层的安全问题,需要对核心业务上的服务器主机进行加固。
3.4网络管理需求分析
由于安全建设做为一个整体,不能各自为政,必须进行统一的安全管理、监控,才能保障全网安全。
如:
集中部署网络安全保护策略,确保网络安全策略的统一;
广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险。
管理风险还表现在如下几个方面:
n管理维护技术人员技能水平不一,对安全设备与安全措施的使用、理解与管理也存在着一定的风险。
n由于没有正确地配置安全设备,导致某一安全区域内的防护手段失效。
n同时,对于某一安全区域内发生突发安全事件,必须迅速准确采取措施,
部署或者更新安全策略,以及快速定位威胁来源,集中掌握整网安全情况。
第4章 建设内容、方案、规模
4.1边界划分及边界安全建设
4.1.1现网区域划分及拓扑
海南省商务厅网络采用电信联通双线接入,部署了负载均衡和天融信防火墙,内部网络采用简单交换结构设计,其网络拓扑如下图所示。
图4-1:
4.1.2安全域划分原则
商务厅基础网络的安全域划分与实现的过程应当遵循以下基本原则:
Ø
等级保护的符合性原则:
对网络结构的搭建要符合等级保护相关标准的“一个中心、三重防护”的要求并且满足等级保护结构化设计的要求。
业务保障原则:
安全域划分的根本目标是能够更好的保障网络上承载的业务,在保证安全的同时,还要保证业务的正常运行和效率;
结构简化原则:
安全域划分的直接目的和效果是将信息(应用)系统整个网络变得更加简单,简单的逻辑结构便于设计防护体系。
比如,安全域划分并不是粒度越细越好,区域数量过多,过杂可能会导致安全管理过于复杂和困难;
立体协防原则:
安全域划分的主要对象是信息(应用)系统对应的网络,在各安全域部署安全设备时,需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防。
4.1.3安全域划分与实现
结合等级保护“一个中心,三重防护”的理念并遵循以上原则,对信息系统进行安全域划分。
根据信息安全项目的业务信息流的一般特点并结合等级保护的相关标准,安全域划分如下:
图4-2:
安全建设拓扑图
整个网络可以划分为:
应用外联区域、办公外联区域、安全管理区域、WEB应用区域、应用区域、终端接入区域。
4.1.4边界安全建设
各功能区划分后,需适当配置接入交换机。
1)应用外联区域:
本区域主要实现本地七个系统连接互联网的安全设备部署,其中包含了F5负载均衡、IPS、天融信NGFW4000,主要实现了互联网边界区域的流量负载、访问控制及入侵防御功能。
2)办公外联区域:
本区域主要提供网上办公互联,带宽为50M的ADSL宽带。
网络出口处部署了下一代防火墙,同时通过100M的VPN 连接至党政中心。
运维人员可通过核心连接的安全管理区对设备进行运维。
3)安全管理区域:
该区域主要用于部署安全管理设备及管理终端,部署有网关检测设备、网管系统。
4)WEB服务器区域:
该区域部署了农讯网的服务器,通过服务器边界的WAF对数据安全进行防护。
5)应用区域:
该区域部署了海南省省外境内招商引资项目统计工作信息管理系统、海南省城乡市场运行监测调控网、海南家政信息服务平台、海南重点外资企业经营情况统计系统、海南省商务厅专项资金项目征集系统、产业安全数据库海南子站的服务器,通过一台传统的防火墙进行安全防护
6)终端接入区域:
该区域为办公接入区域,由两台思科交换机提供办公主机的终端接入。
4.2网络管理平台建设
为了解决商务厅网络以及多业务管理带来的问题,我们配置1套网络管理系统,部署智能管理中心,实现对整个系统网络设备实现统一在线可视化管理,制定可行的网络使用、管理制度配合相应的网络管理软件对网络设备及终端进行监控管理以保证网络正常运行。
一个完善的网络管理系统是计算机网络能够稳定可靠运行的保证,所以网络管理对于网络信息话建设来说是至关重要的。
网络管理做得好,整个网络至少可以得到以下好处:
1、确保业务不致中断,这对于网络系统是至关重要的;
高性能的网络有助于提高工作效率,网络管理员必须确保这些网络应用能顺利运行;
2、可以确保网络的规模和性能随需求的扩展而增长,不致于拖应用的后腿;
3、可以确保各种数据的安全性和一致性;
4、降低网络维护的成本。
网络管理系统的重要性是不言而喻的。
为了设计一个完善的网络管理系统,我们必须对网络管理领域的相关概念、技术有一个透彻的理解,在此基础上来配置我们的网络管理系统。
简单的说,网络管理就是对网络进行监视和控制。
按照国际标准化组织
(ISO)的定义,网络管理有五大范畴:
失效管理:
对网络中的问题或故障进行定位的过程,它包括:
发现问题,分离问题,找出原因,修复问题。
配置管理:
发现和设置网络设备的过程,它包括:
获得当前网络配置的信息;
提供远程修改配置的手段;
储存维护最新的设备清单并产生报告。
记帐管理:
跟踪每个个人和团体对网络资源的使用情况,对其收取合理的费用;
并且增加了网络管理员对用户使用网络资源的认识。
安全管理:
升级会员 