网络安全等级保护2.0解决方案(网络安全等级保护2.0解决方案三级)
1. 项目概述
法律法规
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
《网络安全法》的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
1.1.1. 政策及文件
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。
2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。
除此之外,下列政策文件也对等级保护相关工作提出了要求:
Ø 《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕1431号)
Ø 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
Ø 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
Ø 《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》(发改高技〔2008〕2544号)
Ø 《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)》
Ø 《关于进一步推动中央企业信息安全等级保护工作的通知》(公通字〔2010〕70号)
Ø 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号)
Ø 《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技〔2012〕1986号)
Ø 《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
此外,在2019年5月13日,《信息安全技术网络安全等级保护基本要求》(以下简称:等保2.0)正式发布,2019年12月1日起正式实施,标志着等级保护标准正式进入2.0时代。等保2.0是我国网络安全领域的基本国策、基本制度和基本方法。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制系统等级保护对象的全覆盖。
1.1. 项目建设目标及内容
1.1.1. 建设目标
网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。
依据网络安全等级保护相关标准和指导规范,对XXXX系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。
最终使XXXX系统达到安全等级保护第三级要求。经过建设后使整体网络形成一套完善的安全防护体系,提升整体网络安全防护能力。
对于三级网络,经过安全建设整改,网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正常运行状态的能力; 对于服务保障性要求高的网络,应该能够快速恢复正常运行状态; 具有对网络资源、用户、安全机制等进行集中控管的能力。
1.1.2. 建设内容
本项目以XXX系统等级保护建设为主线,以让XX系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段,建立全网的安全防控管理服务体系,从而全面提高XXXX系统的安全防护能力。
建设内容包括XXXXXX、XXXXXX等。
2. 安全需求分析
2.1. 安全技术需求
2.1.1. 安全物理环境需求
物理和环境安全主要影响因素包括机房环境、机柜、电源、服务器、网络设备、电磁防护和其他设备的物理环境。该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。具体安全需求如下:
Ø 由于机房容易遭受雷击、地震和台风等自然灾难威胁,需要通过对物理位置进行选择,及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题;
Ø 由于机房物理设备要定期进行巡检,机房出入口应配置电子门禁系统或者专门的人员值守,并对出入机房的人员进行控制、鉴别和记录。
Ø 由于机房容易遭受水患和火灾等灾害威胁,需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁;
Ø 由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常,应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁;
Ø 由于机房电压波动影响,需要合理设计电力供应系统来解决因电压波动带来的安全威胁;
Ø 针对机房供电系统故障,需要合理设计电力供应系统,如:购买UPS系统、建立发电机机房,铺设双电力供电电缆来保障电力的供应,来解决因供电系统故障带来的安全威胁;
Ø 针对机房容易遭受静电、设备寄生耦合干扰和外界电磁干扰,需要采取防静电和电磁防护措施来解决静电、设备寄生耦合干扰和外界电磁干扰带来的安全威胁;
Ø 针对机房容易遭受强电磁场、强震动源、强噪声源等污染,需要通过对物理位置的选择、采取适当的电磁防护措施,来解决强电磁场、强震动源、强噪声源等污染带来的安全隐患;
Ø 针对利用非法手段进入机房内部盗窃、破坏等安全威胁,需要通过进行环境管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施,来解决非法手段进入机房内部盗窃、破坏等带来的安全问题;
Ø 针对利用工具捕捉电磁泄漏的信号,导致信息泄露的安全威胁,需要通过采取防电磁措施,来解决电磁泄漏带来的安全问题。
2.1.2. 安全通信网络需求
通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的安全部件。是利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。具体安全需求如下:
Ø 针对网络架构设计不合理而影响业务通信或传输问题,需要通过优化设计、划分安全域改造完成。
Ø 针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性和保密性,需要通过数据加密技术、数据校验技术来保障。
Ø 针对内部人员未授权违规连接外部网络,或者外部人员未经许可随意接入内部网络而引发的安全风险,以及因使用无线网络传输的移动终端而带来的安全接入风险等问题,需要通过违规外联、安全准入控制以及无线安全控制措施来解决。
Ø 针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务或服务停止的安全风险,需要通过抗DDoS攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。
Ø 针对攻击者越权访问文件、数据或其他资源,需要通过访问控制、身份鉴别等技术来解决。
Ø 针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如碎片重组,协议端口重定位等),需通过网络入侵检测、恶意代码防范等技术措施来解决。
Ø 针对利用网络结构设计缺陷旁路安全策略,未授权访问网络,需通过访问控制、身份鉴别、网络结构优化和调整等综合方法解决。
Ø 针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析,以及集中安全策略分发、漏洞补丁升级等安全管理问题,需要通过集中安全管控机制来解决。
Ø 针对通信线路、关键网络设备和关键计算设备单点故障,要增加通信线路、关键网络设备和关键计算设备的硬件冗余,并保证系统的可用性。
2.1.3. 安全区域边界需求
区域边界包括安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,区域边界安全即各网络安全域边界和网络关键节点可能存在的安全风险。需要把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
各类网络设备、服务器、管理终端和其他办公设备系统层的安全风险。主要涵盖两个方面,一是来自系统本身的脆弱性风险;另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下:
Ø 针对在跨边界的访问和数据流防护、网页浏览、文档传递、介质拷贝或文件下载、邮件收发时而遭受恶意代码攻击的安全风险,需通过部署边界设备权限控制和恶意代码防范技术手段解决。
Ø 针对用户帐号权限设置不合理、帐号暴力破解等等安全风险,需要通过帐号管理、身份鉴别、访问控制等技术手段解决。
Ø 针对操作用户对系统错误配置或更改而引起的安全风险,需通过安全配置核查、终端安全管控等技术手段解决。
Ø 针对设备系统自身安全漏洞而引起被攻击利用的安全风险,需要通过漏洞扫描技术、安全加固服务等手段解决。
Ø 针对通过恶意代码或木马程序对主机、网络设备或应用系统进行攻击的安全威胁,需通过恶意代码防护、入侵检测、身份鉴别、访问控制、安全审计等技术手段解决。
Ø 针对在用户的所有操作都要进行审计,并对进行保存,审计应包括网络边界、重要网络接点,对用户行为和重要操作进行审计,需通过部署网络审计设备、用户行为审计等其它审计设备来解决。
2.1.4. 安全计算环境需求
计算环境安全涉及业务应用系统及重要数据处理、存储的安全问题。具体安全需求如下:
Ø 针对利用各种工具获取应用系统身份鉴别数据,进行分析获得鉴别内容,从而未授权访问、使用应用软件、文件和数据的安全风险,需要采用两种或两种以上鉴别方式来,可通过应用系统开发或第三方辅助系统来保证对应用系统登录鉴别安全;
Ø 针对应用系统缺陷、接口设计等导致被恶意攻击利用、数据丢失或运行中断而影响服务连续性的安全风险,需要通过对产品采购、自行软件开发、外包软件和测试验收进行流程管理,同时保证应用软件具备自我容错能力;
Ø 针对应用系统过度使用内存、CPU等系统资源,需要对应用软件进行实时的监控管理,同时对系统资源进行管控来解决;
Ø 针对由于应用系统存储数据而引发的数据损毁、丢失等数据安全问题,需通过本地数据备份和异地容灾备份等手段来解决;
Ø 针对通过伪造信息进行应用系统数据的窃取风险,需要加强网络边界完整性检查,加强对网络设备进行防护、对访问网络的用户身份进行鉴别,加强数据保密性来解决。
2.1.5. 安全管理中心需求
安全管理中心能够对网络设备、网络链路、主机系统资源和运行状态进行监测和管理,实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。
安全管理平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范式化和过滤归并处理,来实现对网络中各类安全事件的识别、关联分析和预警通报。
Ø 针对内部管理员的违规操作行为,需要采取身份鉴别、安全审计等技术手段对其操作行为进行限定,并对其相关操作进行审计记录。
Ø 针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析,以及集中安全策略分发、恶意代码特征库、漏洞补丁升级等安全管理问题,需要通过集中安全管控和集中监测审计机制来解决。
Ø 针对应用系统过度使用服务器内存、CPU等系统资源的行为,需要对应用软件进行实时的监控管理,同时对系统资源进行管控来解决。
2.2. 安全管理需求
2.2.1. 安全管理制度需求
安全策略和管理制度涉及安全方针、总体安全策略、安全管理制度、审批流程管理和安全检查管理等方面。其安全需求如下:
Ø 需要制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
Ø 需要建立安全管理制度,对管理活动进行制度化管理,制定相应的制定和发布制度;
Ø 需要对安全管理制度进行评审和修订,不断完善、健全安全制度;
Ø 需要建立相应的审批部门,进行相关工作的审批和授权;
Ø 需要建立协调机制,就信息安全相关的业务进行协调处理;
Ø 需要建立审核和检查部门,安全人员定期的进行全面的安全检查;
Ø 需要建立恰当的联络渠道,进行沟通和合作,进行事件的有效处理;
Ø 需要建立审核和检查的制度,对安全策略的正确性和安全措施的合理性进行审核和检查;
Ø 需要建立备案管理制度,对系统的定级进行备案;
Ø 需要建立产品采购,系统测试和验收制度,确保安全产品的可信度和产品质量;
2.2.2. 安全管理机构需求
安全管理机构涉及安全部门设置、人员岗位设置、人员安全管理等方面。其安全需求如下:
Ø 需要建立专门安全职能部门,设置安全管理岗位,配备安全管理人员、网络管理人员、系统管理人员;
Ø 需要对人员的录用进行必要的管理,确保人员录用的安全;
Ø 需要对人员离岗进行有效的管理,确保人员离岗不会带来安全问题;
Ø 需要对人员考核进行严格的管理,提高人员安全技能和安全意识;
Ø 需要对人员进行安全意识的教育和培训,提高人员的安全意识;
Ø 需要对第三方人员进行严格控制,确保第三方人员访问的安全。
2.2.3. 安全人员管理需求
安全人员管理需求,涉及到人员的岗位设置、职责分工、人员管理等方面,其安全需求如下:
Ø 需要对人员的录用进行必要的管理,确保人员录用的安全;
Ø 需要对人员离岗进行有效的管理,确保人员离岗不会带来安全问题;
Ø 需要对人员考核进行严格的管理,提高人员安全技能和安全意识;
Ø 需要对人员进行安全意识的教育和培训,提高人员的安全意识;
Ø 需要对外部人员进行严格控制,确保外部人员访问受控区域或接入网络时可控可管,并签署保密协议。
2.2.4. 安全建设管理需求
安全建设管理涉及定级备案管理、安全方案设计、产品采购和使用、软件开发管理、安全集成建设、测试验收交付、等级测评以及服务商选择等方面。其安全需求如下:
Ø 需要建立备案管理制度,对系统的定级进行备案;
Ø 需要具有总体安全方案设计、方案评审的流程和管理能力;
Ø 产品采购符合国家有关规定,密码算法和密钥的使用需符合国家密码管理的规定;
Ø 需要有专人对工程实施过程进行管理,依据工程实施方案确保安全功能的落地,实施过程需要有第三方工程监理来共同控制实施质量;
Ø 需要制定软件开发的相关制度和代码编写规范,并对源代码的安全性进行检测;
Ø 需要建立产品采购,系统测试和验收制度,确保安全产品的可信度和产品质量;
Ø 需要与符合国家的有关规定的服务供应商签订协议
Ø 需要定期组织开展等级测评并及时整改;
Ø 需要在工程实施过程中做好文档管理工作,并在系统交付时提供完整的资料交付清单,对运维人员进行技能培训。
2.2.5. 安全运维管理需求
安全运维管理涉及机房运行管理、资产管理、系统安全运行维护管理等方面。其安全需求如下:
Ø 需要保证机房具有良好的运行环境;
Ø 需要对信息资产进行分类标识、分级管理;
Ø 需要对各种软硬件设备的选型、采购、使用和保管等过程进行控制;
Ø 需要各种网络设备、服务器正确使用和维护;
Ø 需要对网络、操作系统、数据库系统和应用系统进行安全管理;
Ø 需要定期地对通信线路进行检查和维护;
Ø 需要硬件设备、存储介质存放环境安全,对其使用进行控制和保护;
Ø 需要对支撑设施、硬件设备、存储介质进行日常维护和管理;
Ø 需要对系统使用手册、维护指南等工具文档进行管理;
Ø 需要在事件发生后能采取积极、有效的应急策略和措施。
Ø 制定系统安全运维管理制度,指导系统日常安全运维管理、应急响应管理和外包运维管理活动
3. 技术体系设计方案
3.1. 安全通用要求安全技术防护体系设计
3.1.1. 安全物理环境
依据《网络安全等级保护基本要求》中的“安全物理环境”要求,同时参照《信息系统物理安全技术要求》(GB/T 21052-2007),对等级保护对象所涉及到的主机房、辅助机房和异地备份机房等进行物理安全设计,设计内容包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应及电磁防护等方面。
3.1.1.1. 物理位置选择
机房场地选择在具有防震、防风和防雨等能力的建筑内,机房和办公场地所在建筑物具有建筑物抗震设防审批文档;机房场地避免设在建筑物的顶层或地下室,受条件限制必须将机房场地设置在建筑物的顶层或地下室时,必须加强防水和防潮措施。
3.1.1.2. 物理访问控制
机房应设置单独出入口,出入口配置电子门禁系统,并对进入的人员进行控制、鉴别和记录,而不仅仅是简单地通过门禁限制人员的出入,必须有身份鉴别系统,通过授权管理,只有通过身份认证的合法人员方可进出门禁控制区域,从物理访问上加强对机房的管理。
3.1.1.3. 防盗窃和防破坏
将等级保护对象中的信息设备或主要部件安装在机房机架中,使用导轨、机柜螺丝等方式进行固定,并在设备的明显位置粘贴固定签进行标记;将通信线缆铺设在隐蔽处,不随意放置,从而降低被盗窃和被破坏的风险,譬如在机房内可铺设在地下或管道中,在机房外可铺设在竖井、桥架中;机房配备防盗报警系统或视频监控系统,并设置有专人值守。
对机房的防盗窃和防破坏也可以采用一些手段或技术辅助措施的智能化落地,如部署信锐红外人体感应传感器,通过红外人体感应和对接视频监控系统,可实现在人员入侵的时候,联动摄像头进行抓拍图片,实现入侵抓拍防盗。同时,可通过额外软件定制开发,实现直接在信锐物联网平台上直接跳转到监控页面。
3.1.1.4. 防雷击
各类机柜、设施和设备等通过接地系统安全接地,接地设置专用地线或交流地线,对于交流供电的系统设备的电源线,应使用三芯电源线,其中地线应与设备的保护接地端连接牢固;机房内采取防止感应雷措施,例如配电柜中安装防雷保安器或过压保护装置等,同时防止感应雷装置需要通过验收或国家有关部门的技术检测,机房内所有的设备和部件应安装在设有防雷保护的范围内。
3.1.1.5. 防火
机房内配备火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火,同时设有备用电源启动装置,保障在停电的状态下依然能够正常使用灭火系统进行灭火;机房及相关的工作房间和辅助房土建施工和内部装修采用具有耐火等级的建筑材料,且耐火等级不低于相关规定的耐火等级;同时对机房划分区域进行管理,可以划分为脆弱区、危险区和一般要求区三个区域,各区域之间设置隔离防火措施。
通过信锐的烟雾探测器,能与原有消防系统形成互补,出现火灾时进行多种方式人性化告警(短信、电话、语音、web大屏提醒等);针对最可能发生的电力火灾,对原有空气开关可能导致火灾的漏电、短路、打火等情况进行彻底改进,通过物联网空气开关的方式,直接在用电异常问题进行预警并处理。
3.1.1.6. 防水和防潮
机房窗户、屋顶和墙壁采取防水防潮措施防止雨水渗透;采取措施防止机房内水蒸气结露和地下积水的转移与渗透,机房中最可能出现漏水的地方是空调冷凝水渗透,空调冷凝水渗水可采取安装冷凝水排放箱的方式,通过提升泵提升后,引至大楼同层卫生间排水口,通过温差结露渗水;机房安装对水敏感的检测仪表或元件检测系统,对机房进行防水检测和报警。
通过信锐的漏水检测方案,可以对机房内的空调的冷凝水出水管的位置进行监测,在机房易漏水的下方或周围铺设漏水探测器,再将传感器的输出信号通过采集器传输到物联网平台,如果出现漏水的情况,系统在第一时间弹窗报警,同时发出APP、短信、电话告警报警,及时通知有关人员排除漏水故障。
3.1.1.7. 防静电
机房内安装防静电地板或地面,安装防静电地面可用导电橡胶与建筑物地面粘牢,防静电地面的体积电阻率均匀,并采用必要的接地防静电措施;机房作业中采取措施防止静电的产生,例如采用防静电工作台面、静电消除器、佩戴防静电手环等。
3.1.1.8. 温湿度控制
机房内配备温、湿度自动调节设施(空调系统),保证机房各个区域的温、湿度变化的变化在设备运行、人员活动和其它辅助设备运行所允许的范围之内。对设备布置密度大、设备发热量大的主机房宜采用活动地板下送上回方式,空调系统无备份设备时,单台空调制冷设备的制冷能力应留有15%~20%的余量,机房环境温度建议保持在20℃~25℃,环境湿度建议保持在40%~55%。
温湿度控制亦可部署专业的温湿度传感器,如信锐自主研发的室内型物联网温湿度传感器或机架式物联网温湿度传感器,对机房内重要区域/机柜内部的温度、湿度进行实时监测,温湿度传感器(根据实际需要可以选择有线或无线的方案)采集机房内的温度、湿度信息,实时显示温度、湿度变化情况。支持采集当前环境温度,通过温度的变化可以联动空调设备进行环境改善,同时也可以通过上层平台进行物联策略设置,智能化调节室内温度。支持采集环境湿度,通过湿度的变化可以联动加湿器、除湿器等设备进行环境改善,同时也可以通过上层平台进行物联策略设置,智能化调节室内湿度。
3.1.1.9. 电力供应
机房建立独立配电系统,供电线路上配备稳压器和过电压防护设备,保证机房供电电源质量符合相关规定要求;机房内建立UPS不间断供电系统,为机房内信息设备备用电力供应,保障信息设备在公用电网供电中断情况下,关键业务服务的持续性;机房设置冗余或并行的电力电缆线路为计算机系统供电。
3.1.1.10. 电磁防护
机房内部综合布线的配置应满足实际的需求,电源线应尽可能远离通信线缆,避免并排铺设,当不能避免时,应采取相应的屏蔽措施,避免互相干扰;建立屏蔽机房或机房采取屏蔽机柜等措施对关键设备或者关键区域实施电磁屏蔽,防止外部电磁场对计算机及设备的干扰,同时也抑制电磁信息的泄漏;机房内综合布线电缆与附近可能产生电磁泄漏设备的最小平行距离应大于1.5m以上,机房到桌面的信息传输可采用光纤信道或六类屏蔽双绞线的布线方式。
3.1.2. 安全通信网络防护设计
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求,安全通信网络防护建设主要通过通信网络安全传输、通信网络安全接入,及通信网络安全审计等机制实现。
3.1.2.1. 网络架构
网络层架构设计应重点关注以下方面:
Ø 主要网络设备、安全设备(如核心交换机、核心路由器、关键节点安全设备等)的业务处理能力应能满足业务高峰期需要,保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构,以满足业务连续性需求。
Ø 网络带宽应能满足业务高峰期的需求,保证各业务系统正常运行的基本带宽。
Ø 划分不同的子网,按照方便管理和控制的原则为各子网、网段分配地址段。
Ø 避免将重要网络区域部署在网络边界处且没有边界防护措施。
3.1.2.2. 通信网络安全传输
通信安全传输要求能够满足业务处理安全保密和完整性需求,避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。
通过采用VPN技术而形成加密传输通道,即能够实现对敏感信息传输过程中的信道加密,确保信息在通信过程中不被监听、劫持、篡改及破译;保证通信传输中关键数据的的完整性、可用性。
3.1.2.3. 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3.1.2.4. 远程安全接入防护
针对有远程安全运维需求,或者远程安全访问需求的终端接入用户而言,应采用VPN安全接入技术来满足远程访问或远程运维的安全通信要求,保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。
3.1.2.5. 通信网络安全审计
通信网络安全审计需要启用/设置安全审计功能,将用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
3.1.3. 安全区域边界防护设计
依据等级保护要求第三级中网络和通信安全相关控制项,结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等安全设计要求,安全区域边界防护建设主要通过网络架构设计、安全区域划分,基于地址、协议、服务端口的访问控制策略;通过安全准入控制、终端安全管理、流量均衡控制、抗DDoS攻击、恶意代码防护、入侵监测/入侵防御、APT攻击检测防护、非法外联/违规接入网络、无线安全管理,以及安全审计管理等安全机制来实现区域边界的综合安全防护。具体如下:
3.1.3.1. 边界防护
网络划分安全区域后,在不同信任级别的安全区域之间形成了网络边界。目前存在着互联网、跨边界的攻击种类繁多、破坏力也比较强。要在划分的不同域之间部署相应的边界防护设备进行防护。
通过部署边界防护设备保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信,对非授权设备私自联到内部网络的行为进行检查或限制,来自内部用户非授权联到外部网络的行为进行检查或限制,并限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
3.1.3.2. 访问控制
依据等级保护要求第三级中网络和通信安全相关安全要求,区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备(如下一代防火墙、统一威胁网关等),并配置细颗粒度的基于地址、协议和端口级的访问控制策略,实现对区域边界信息内容的过滤和访问控制。
3.1.3.3. 入侵防护
区域边界网络入侵防护主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测,诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为,进行及时检测、阻止和报警。
3.1.3.4. 边界恶意代码防护和垃圾邮件防范
网络区域边界的恶意代码防范工作是在关键网络节点处部署网络防病毒网关/防垃圾邮件网关对恶意代码和垃圾邮件进行及时检测和清除,或在下一代防火墙/统一威胁网关中启用防病毒模块/防垃圾邮件模块,并保持网络病毒库和垃圾邮件库的升级和更新。
3.1.3.5. 安全审计
区域边界安全审计需要对区域网络边界、重要网络节点进行用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
3.1.3.6. 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3.1.3.7. 带宽流量负载管理
考虑到网络架构中业务应用系统带宽分配和处理能力需要,以及针对业务应用系统中资源控制要求,通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速,保障流量带宽资源的合理管控。
3.1.3.8. 无线网络安全管理
无线网络安全管理主要用于限制和管理无线网络的使用,确保无线终端通过无线边界防护设备认证和授权后方能接入网络。无线网络安全管理通常包括无线接入、无线认证、无线防火墙、无线入侵防御、无线加密、无线定位等技术措施。
3.1.3.9. 抗DDoS攻击防护
作为第一道安全防线,异常流量及抗DDoS攻击防护能够通过分析网络中的网络流信息(包括NetFlow、sFlow等),及时发现针对网络中特定目标 IP 的DDoS攻击等异常流量,通过流量牵引的方式将DDoS攻击等异常数据流清洗处理,将干净的流量回注到网络环境中继续转发。
3.1.3.10. APT攻击检测防护
高级持续性威胁(APT)通常隐蔽性很强,很难捕获。而一旦APT攻击渗透进网络内部,建立起桥头堡,然后在相当长一段时间内,十分隐蔽地盗取敏感数据信息或实施重大破坏行动,潜在危害极大。高级可持续性威胁APT攻击检测能够对此类安全威胁具有细粒度检测效果,可实现对未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等攻击利用行为的检测。
3.1.3.11. 违规外联/安全接入控制
针对终端计算机非授权连接外部网络,或者未经安全检测和授权而随意接入网络中的情况,通常是采用安全准入控制和违规外联控制技术来进行检查和控制。违规外联控制能够及时监测终端计算机违规连接外网/互联网的终端访问行为,并及时进行阻断和报警;安全准入控制能够对接入到内部网络中的终端计算机进行安全检查,使其必须满足一定安全基线要求、经过认证授权的情况下方能使用网络系统,保障网络区域边界的完整性保护。
3.1.4. 安全计算环境防护设计
依据等级保护要求第三级中设备和计算安全、应用和数据安全等相关安全控制项,结合安全计算环境对于用户身份鉴别、自主与标记访问控制、系统安全审计、恶意代码防护、安全接入连接、安全配置检查等技术设计要求,安全计算环境防护建设主要通过身份鉴别与权限管理、安全通信传输、主机安全加固、终端安全基线、入侵监测/入侵防御、漏洞扫描、恶意代码防护、Web应用攻击防护、网络管理监控、安全配置核查、安全审计,重要节点设备冗余备份,以及系统和应用自身安全控制等多种安全机制实现。具体如下:
3.1.4.1. 身份鉴别
身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、安全堡垒机、4A平台系统等。
3.1.4.2. 安全审计
主机系统、数据库和应用组件启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。如部署日志审计系统,通过日志审计系统收集操作系统、网络设备、中间件、数据库和安全设备运行和操作日志,集中管理,关联分析。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
3.1.4.3. 入侵防范
网络入侵监测/入侵防御主要用于检测和阻止针对内部计算环境中的恶意攻击和探测,诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、SQL注入、XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测和主动阻断,以及对网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等行为进行及时检测和报警。
3.1.4.4. 恶意代码防范
恶意代码是指以危害信息安全等不良意图为目的的程序或代码,它通常潜伏在受害计算机系统中伺机实施破坏或窃取信息,是安全计算环境中的重大安全隐患。其主要危害包括攻击系统,造成系统瘫痪或操作异常;窃取和泄露文件、配置或隐私信息;肆意占用资源,影响系统、应用或系统平台的性能。恶意代码防护能够具备查杀各类病毒、木马或恶意软件的服务能力,包括文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。
3.1.4.5. 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3.1.4.6. 数据完整性
数据完整性指传输和存储的数据没有被非法修改或删除,也就是表示数据处于未受损未丢失的状态,它通常表明数据在准确性和可靠性上是可信赖的。其安全需求与数据所处的位置、类型、数量和价值有关,涉及访问控制、消息认证和数字签名等安全机制,具体安全措施包括防止对未授权数据进行修改、检测对未授权数据的修改情况并计入日志、与源认证机制相结合以及与数据所处网络协议层的相关要求相结合等。
数据完整性保障技术的目的是对数据完整性进行预防和恢复。预防是指对威胁数据完整性的各种不利因素采取预防措施,如常用的数据备份等;恢复是指在数据遭受损失或破坏后,采取有效的恢复技术,使得被破坏的数据尽快得到恢复。确保数据完整、正确性的方法包括数据校验技术、数字签名技术等。
1) 数据校验
数据校验技术是为了保证数据的完整性,用一种指定的算法对原始数据计算出的一个校验值。接收方用同样的算法计算一次校验值,如果和原始数据提供的校验值一样,就说明数据是完整的。
1) 数字签名
数字签名是为了保证对信息主体的认证,以实现信息的真实性、完整性和不可抵赖性,它提供了一种保护电子文档的真实性和完整性的方法。在公钥机制下,数字签名通过一个单项函数对要传送的报文进行处理,得到用以核实报文是否发生变化的一个字母数字串,以此来判断报文的完整性。在私钥机制下,通过专属私钥加密报文,接收方只能通过对应公钥进行解密,证明该报文的真实来源,用以核实报文的不可抵赖性。
对等级保护对象的用户数据完整性防护,重点体现在数据库中的结构化数据上。对数据完整性的保护体现在两个方面。一方面,在数据的存储与操作时,在数据库管理系统中,利用对数据表的主键、外键来保障数据完整性;另一方面,在数据的传输时,应尽量利用身份认证系统、数字签名、VPN等加密技术,保障数据传输的完整性。
3.1.4.7. 数据保密性
数据保密性是指防止信息被未经授权者访问和防止信息在传递过程中被截获并解密的功能。
数据保密性可分为动态信息保密性和静态信息保密性。动态信息保密性表现为数据在传输过程中的保密性,而静态信息保密性表现为数据在存储过程中的保密性。
1) 动态数据加密
在动态数据保密性方面,通过部署VPN、安全通信协议或其他密码技术等措施实现数据传输过程中的保密性防护,如通过VPN实现同城/异地备份中心的传输加密。
对鉴别信息、重要业务数据和重要个人信息进行加密传输,即确保传输的数据是加密后传输。
2) 静态数据加密
在静态数据保密性方面,一般通过密码加密技术实现数据存储过程中的保密性防护。对于特别重要的数据,使用数据加密系统或其他加密技术实现关键管理数据、鉴别信息以及重要业务数据存储的保密性。
对存放在关系型数据库中的原始数据,建议使用国产密码算法技术对数据的存取进行加解密操作。
3.1.4.8. 数据备份恢复
数据备份恢复作为网络安全的一个重要内容,其重要性却往往被人们忽视,只要发生数据传输、存储和交换,就有可能产生数据故障,如果没有采取数据备份和灾难恢复的手段与措施,就会导致数据丢失并有可能造成无法弥补的损失。一旦发生数据故障,组织就陷入困境,数据可能被损坏而无法识别,而允许恢复时间可能只有短短几天或更少。如果系统无法顺利恢复,最终可能会导致无法想象的后果。因此组织的信息化程度越高,数据备份和恢复的措施就越重要。
1) 数据备份
数据备份是为了在系统出现故障时,能够确保恢复整个系统,因此需要制定详细的备份策略,明确何时进行备份、用什么备份方法、备份哪些数据等。目前采用最多的备份策略主要有以下三种。
a) 完全备份
备份全部选中的文件夹,不依据文件的存档属性来确定备份哪些文件。在备份过程中,任何现有的标记都将被清除,每个文件都被标记为已备份。
a) 差异备份
差异备份是相对于完全备份而言,它只备份上一次完全备份后发生变化的所有文件。差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,即备份后不标记为已备份文件。
b) 增量备份
增量备份是针对上一次备份的,即备份上一次备份后所有发生变化的文件。增量备份过程中,只备份有标记的选中的文件和文件夹,它清除标记。
3) 数据异地备份
从地理位置上来看,异地备份提供了一种新的备份方式,使得备份后的数据不一定要保存在本地,也可保存在网络上的另一服务器上,这种方式是将数据在另外的地方实时产生一份可用的副本,此副本的使用不需要做数据恢复,可立即投入使用。数据异地备份的数据复制主要有如下几种实现方式:
a) 基于主机
基于主机的数据复制技术是在异地的不同主机之间,不考虑存储系统的同构问题,只要保持主机是相同的操作系统即可进行数据的复制。此外,目前也存在支持异构主机之间的数据复制软件,可以支持跨越广域网的远程实时复制。
c) 基于存储系统
基于存储系统的数据复制技术是利用存储系统提供的数据复制软件进行数据的复制,复制的数据流在存储系统之间传递,和主机无关。
d) 基于光纤交换机
基于光纤交换机的数据复制技术是利用光纤交换机的功能,或者利用管理软件控制光纤交换机,首先对存储系统进行虚拟化,然后管理软件对管理的虚拟存储池采用卷管理、卷复制和卷镜像等技术,来实现数据的远程复制。
e) 基于应用的数据复制
基于应用的数据复制技术有一定局限性,一般只能针对特定的应用使用,主要利用数据库自身提供的复制模块来完成异地数据的备份。
4) 数据恢复
恢复是备份的逆操作,但恢复的操作比备份复杂,也容易出问题。数据恢复策略主要有如下几种:
a) 完全恢复
将备份策略指定备份的所有数据,恢复到原来的存储池。主要用于灾难、系统崩溃和系统升级等情况。
f) 个别文件恢复
对指定的文件进行恢复。在个别文件被破坏,或想要某个文件备份时的版本等情况下,进行个别文件恢复操作。
g) 重定向恢复
将所备份的文件,恢复到指定的存储位置,而不是备份时的位置。重定向恢复可以是完全恢复,也可以是个别文件恢复。
5) 重要数据处理系统热冗余
备份与恢复包括两方面内容,一方面是数据备份与恢复,另一方面是重要数据处理系统(关键网络设备、安全设备、应用服务器和数据库服务器等)热冗余,重要数据处理系统的冗余对数据备份起到重大作用,为数据的备份和恢复提供支持,保证系统的高可用性。
3.1.4.9. 剩余信息保护
1) 内存中的剩余信息保护
内存中剩余信息保护的重点是:在释放内存前,将内存中存储的信息删除,也即将内存清空或者写入随机的无关信息。通常情况下,应用系统在使用完内存中信息后,是不会对其使用过的内存进行清理的。这些存储着信息的内存在程序的身份认证函数(或者方法)退出后,仍然存储在内存中,如果攻击者对内存进行扫描就会得到存储在其中的信息。为了达到对剩余信息进行保护的目的,需要身份认证函数在使用完用户名和密码信息后,对曾经存储过这些信息的内存空间进行重新的写入操作,将无关(或者垃圾)信息写入该内存空间,也可以对该内存空间进行清零操作。
2) 硬盘中的剩余信息保护
硬盘中剩余信息保护的重点是:在删除文件前,将对文件中存储的信息进行删除,也即将文件的存储空间清空或者写入随机的无关信息。
在应用系统剩余信息保护的检测方面,主要从访谈、检查和测试三部分分别描述。
1)访谈
询问应用系统开发人员,是否对应用系统中的剩余信息进行了保护。如果开发人员连剩余信息保护的概念都不清楚,那么也就不可能对剩余信息进行保护。
2)检查
查看源代码,看在内存释放或者删除文件前,应用系统是否进行了处理。检查应用系统操作手册中是否有相关的描述。
3)测试
为了确认内存中是否有剩余信息,可以在采用内存扫描软件(或者内存监视软件)进行扫描。对于存储在磁盘中的文件,可以尝试在应用系统删除文件后,用恢复软件恢复文件,并对比恢复文件和原文件。
3.1.4.10. 个人信息保护
等级保护对象中业务系统在需要采集个人信息时,应当仅采集和保存必需的用户个人信息,与业务无关的个人信息应当禁止被业务系统或其组件采集。可以采用上网行为管理等设备的部署或应用安全配置项,通过访问控制限制对用户信息的访问和使用进行限制,实现禁止未授权访问和非法使用用户个人信息。同时,组织应当按照等级保护相关要求,制定保障个人信息安全的管理制度和流程,严格按照个人信息保护管理制度和流程进行操作,对违反个人信息保护管理制度和流程的人员进行处罚,保障用户个人隐私数据信息和利益不受到侵害。
采集的个人信息包括但不限于:姓名、性别、年龄、电话、地址等个人隐私数据,应当按照法律法规要求妥善保管,必要时采取加密措施对数据的传输和存储进行加密处理,以保障用户的个人数据不会被泄露或篡改。按照工作职能和人员的岗位职责分配业务系统账号和访问权限,保证业务系统数据库内存储的数据信息不被用户越权访问。
3.1.4.11. 安全通信传输
通过VPN技术能够在管理终端与主机设备之间创建加密传输通道,实现远程接入数据安全传输服务,保证数据传输的完整性和保密性。
通过将VPN安全系统与安全堡垒机系统相互关联和联动,能够实现网络设备、主机系统、数据库等重要设备的远程安全管理,防止鉴别信息在网络传输过程中被恶意窃听。
3.1.4.12. 主机安全加固
主机操作系统安全加固不仅能够实现基于文件自主访问控制,对服务器上的敏感数据设置访问权限,禁止非授权访问行为,保护服务器资源安全;更是能够实现文件强制访问控制,即提供操作系统访问控制权限以外的高强度的强制访问控制机制,对主客体设置安全标记,授权主体用户或进程对客体的操作权限,有效杜绝重要数据被非法篡改、删除等情况的发生,确保服务器重要数据完整性不被破坏。
3.1.4.13. 终端安全基线
通过终端安全基线管理能够对终端计算机的基础安全和使用控制实现自动化安全管理和防护,包括操作系统安全加固、关闭不必要的服务、端口、共享和来宾组等,为不同用户开放相应权限,防止安装不必要的应用软件;对终端外设接口、外联设备及使用的监视、有效控制计算机的资源利用率;实现系统密码口令安全策略管控、系统资源文件使用访问控制、终端计算机基础资源使用监控等安全功能。
3.1.4.14. 漏洞检测扫描
漏洞扫描技术能够对网络主机(如服务器、客户机、网络打印机)、操作系统(如Microsoft Windows 系列、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等)、网络设备、应用系统(如Web应用、FTP、电子邮件等)、常用软件(如Office、Symantec、McAfee、Chrome、IE等)、网站开源架构(如phpmyadmin、WordPress 等)、主流数据库(SQL Server、Oracle、Sybase、DB2、MySQL等)进行系统漏洞、应用漏洞、安全配置扫描和检测,及时发现网络中各类设备和系统的安全脆弱性,提出修复和整改建议,保障设备和系统自身安全性。
3.1.4.15. Web应用安全防护
Web安全应用保护能够防止包括CGI漏洞扫描攻击、SQL注入攻击、XSS攻击、CSRF攻击防护,以及Cookie篡改防护、网站盗链防护、网页挂马防护、WebShell防护等各种针对Web系统的入侵攻击行为,结合网页防篡改技术实现系统运行过程中重要程序或文件完整性检测和恢复。
3.1.4.16. 主机运行监控
针对重要节点的远程运行资源监视,包括监视CPU、硬盘、内存等资源使用情况,以及业务应用系统运行环境资源状况可以通过网络监控系统进行远程在线实时监测,实现重要节点服务水平降低到预先规定的阈值时进行报警,保障业务应用运行环境的可靠性和可用性。
3.1.4.17. 安全配置核查
在IT系统中,由于服务和软件的不正确部署和配置会造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。特别是在当前网络环境中,无论是网络运营者,还是网络使用者,均面临着越来越复杂的系统平台、种类繁多的重要应用系统、数据库系统、中间件系统,很容易发生管理人员的配置操作失误造成极大的影响。由此,通过自动化的安全配置核查服务能够及时发现各类关键资产的不合理策略配置、进程服务信息和环境参数等,以便及时修复。
3.1.5. 安全管理中心设计
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全管理中心对系统管理、审计管理、安全管理和集中管控的设计要求,安全管理中心建设主要通过网络管理系统、综合安全管理平台等机制实现。
3.1.5.1. 系统管理
系统管理主要是对等级保护对象系统运行维护工作。为了保障等级保护对象信息系统网络和数据不被入侵和破坏,对系统进行维护时使用加密传输,例如使用SSH登录,禁止Telnet明文传输,为了加强系统管理过程中的安全性,建议部署安全运维审计系统,通过运维审计系统对网络和服务器资源的直接访问进行管控和审计。在对等级保护对象日常维护时,切断运维终端对目标资源的直接访问,必须经过运维审计系统,对资源的访问进行记录和审计。
可通过在运维管理域中部署运维审计系统,将重要信息系统资产的地址均纳入到运维管理系统的管理范围,通过运维审计系统使用系统管理员账号对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。
3.1.5.2. 审计管理
审计管理主要负责对系统的审计数据进行记录、查询、统计、分析,实现对系统用户行为的监测和报警功能,能够对发现的安全事件或违反安全策略的行为及时告警并采取必要的应对措施。
审计管理的范围包括对人员操作、网络设备、安全设备、主机、操作系统、中间件、数据库等网络和系统资源进行综合审计管理。
可通过在运维管理域中部署网络安全审计、日志审计和数据库审计等相关审计设备开展安全事件分析和安全审计工作,并在审计设备上设置独立的审计管理员角色,由信息部门相关技术人员担任,根据审计工作内容为审计管理员分配审计权限。通过审计管理员对分布在系统各个组成部分的安全审计机制进行集中管理,审计管理员主要负责对审计日志进行分类、查询和分析,并根据审计结果对安全事件进行处理,在事件处理完成后提供安全事件审计报告。信息部门应在安全策略里明确安全审计策略,明确安全审计的目的、审计周期、审计账号、审计范围、审计记录的查询、审计结果的报告等相关内容,并按照安全审计策略对审计记录进行存储、管理和查询。
3.1.5.3. 安全管理
安全管理主要负责实现系统的统一身份管理、统一授权管理,并配置一致的安全策略,对相关安全事项进行集中管理和分析,实现对安全事件的监测与分析。
可通过在运维管理域中部署运维审计系统,建立统一运维的安全管理入口,同时,运维审计系统应部署在管理平面,实现和业务数据的隔离。运维审计系统主要实现如下功能:
1) 集中账号管理:建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接;
6) 集中访问控制:通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理;
7) 集中安全审计:基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件的及时发现预警,并准确可查。
3.1.5.4. 集中管控
根据建立统一的纵深防御体系的要求,应建立安全管理中心,实现对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管控,确保系统安全可靠运行。安全管理中心是一个集合的概念,由安全管理区域或平台实现,核心是实现所有安全机制的统一集中管理。
在等级保护对象网络中按照安全域分域防护原则,单独划分特定的运维管理域,该区域部署所有涉及到网络安全的设备或组件,包括终端安全管理系统、威胁感知系统、日志审计系统、数据库审计系统、运维审计系统和漏洞扫描系统等,对分布在网络中的安全设备或安全组件进行集中管控。
在对路由器、交换机、防火墙和其他网络和安全设备进行远程运维时应采用加密技术措施对数据包进行加密传输,可通过运维审计系统实现安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
部署综合网络管理平台或安全管理平台对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,监测内容包括设备故障管理、配置参数管理、设备性能管理和设备安全管理等。
部署日志审计系统,对分散在各个设备上的审计数据进行收集汇总和集中分析,并安排专人定期对系统日志进行集中分析,设备日志留存时间至少要6个月以上。
部署网络防病毒系统及补丁分发系统,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
部署检测探针 安全感知平台建立网络安全通报预警体系,对网络中发生的各类安全事件进行识别、报警和分析,一旦出现安全事件,应立即通过邮件、短信、声光等方式进行报警,形成快速告警、通报、响应、处置机制。
4. 管理体系设计方案
4.1. 安全通用要求安全管理防护体系设计
4.1.1. 安全管理制度设计
安全策略和审计制度是对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略和审计制度是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。具体安全策略和审计制度可参考以下内容建设:
4.1.1.1. 安全策略
制定适合本单位信息系统网络安全工作的总体方针和安全策略,明确本单位安全工作的总体目标、范围、原则和安全框架等安全策略。实现信息系统安全可控的原则,并依照“分区、分级、分域”的总体安全防护策略,执行信息系统安全等级保护制度。
4.1.1.2. 管理制度
制定安全管理活动中各类管理内容建立安全管理制度,制定管理人员或操作人员执行的日常管理操作建立操作规程,并形成安全策略、管理制度、操作规程、记录表单四级制度体系。其中包括各个安全区域网络设备、安全设备、主机系统、数据库和应用程序应遵守的安全配置和管理技术标准和规范。标准和规范应作为网络设备、安全设备、主机系统和应用程序的安装、配置、维护、评审遵照的标准,不允许违规操作。
4.1.1.3. 制定和发布
指定或授权专门的部门和人员负责安全管理制度的制定和发布,安全管理制度在应通过正式、有效的方式发布,并进行版本控制;安全制度文档制定和发布后,必须有效执行。发布和执行过程中要得到管理层的大力支持和推动,并要求发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都熟知与其相关部分的内容。
设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人,定义各负责人的职责;设立系统管理人员、网络管理人员、安全管理人员岗位,定义各工作岗位的职责;成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求;配备安全管理专职人员,不可兼任;授权审批部门及批准人,对关键活动进行审批;建立各审批事项的审批程序,按照审批程序执行审批过程;
4.1.1.4. 评审和修订
定期对安全管理制度的合理性和适用性进行论证和审定,对存在的不足或需要改进的安全管理制度进行修订。至少每年(建议)或者业务系统、机构人员发生变化事及时进行评审和修订,并做好修订记录。
4.1.2. 安全管理机构设计
安全管理机构管理建设是整个安全管理体系的重要部分。信息安全领导小组应由单位高层领导和有关部门的管理人员组成,负责协调、指导及管理信息安全各个方面的工作。
4.1.2.1. 岗位设置
设立指导和管理网络安全工作的委员会或领导小组,最高领导由单位主管领导担任或授权;设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并明确各负责人的职责;设立系统管理员、审计管理员和安全管理员等岗位,并明确部门及各个工作岗位的职责。
信息安全领导小组应履行如下职责:
Ø 就整个单位的信息安全策略方针和责任达成一致;
Ø 就信息安全的重要和原则性的方法、处理过程达成一致,并提供支持,如风险评估、信息分类方法等;
Ø 确保将安全作为制定业务系统建设和维护计划的重要部分;
Ø 授权对安全控制措施是否完善进行评估,并协调新系统或新服务的特定信息安全控制措施的实施情况;
Ø 审查重大的信息安全事故,制定改进措施;
Ø 审核信息安全建设和管理的重要活动,如重要安全项目建设、重要安全管理措施出台等。
4.1.2.2. 人员配备
设置网络安全工作的部门,必须配备相应数量的系统管理员、审计管理员和安全管理员,依据三权分立的原则设置工作岗位;必须配备专职的安全管理员,不可兼任。
4.1.2.3. 授权和审批
制定授权和审批制度,根据各个部门和岗位的职责明确授权审批事项、审批部门和审批人;针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,重要活动建立逐级审批制度;定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。并对审计记录进行登记,定期进行检查和审核。
4.1.2.4. 沟通和合作
加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;加强与外部资源的沟通与合作,建立外部单位联系表,以便及时获取外部资源支持。
4.1.2.5. 审核和检查
建立定期安全检测制度,定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞、设备性能、网络状况和数据备份等情况,检查内容覆盖技术、管理、策略等,并对检查结果进行分析,形成报告,并对结果进行通报。
4.1.3. 安全人员管理设计
安全人员管理是加强对安全人员的管理,人员录用、人员离岗、安全人员的安全意识教育和培训,以及外部人员访问管理。
4.1.3.1. 人员录用
需要有专人或部门负责人员录用,需要对专业技能、身份、背景、专业资格资质进行审核,并确定保密协议和岗位责任协议,并对被录用人员所具有的技术技能进行考核。
4.1.3.2. 人员离岗
人员离岗及时终止各种权限,回收各类访问权限、软硬件设备,履行离职手续,并签订离职保密协定。
4.1.3.3. 安全意识教育和培训
针对不同岗位人员制定不同培训计划,对安全意识、安全基础知识、岗位操作规程等安全相关技能进行培训,并定期对不同岗位的人员进行技能考核,制定惩戒措施。
4.1.3.4. 外部人员访问管理
制定外部人员访问制度,制定访问审批流程,访问网络申请流程,并登记白案,访问结束立刻终止权限。高危系统访问需签订保密协议。
4.1.4. 安全建设管理设计
安全建设管理应贯穿到信息系统整个生命周期,在系统审批、建设、安全定级与备案、安全方案设计、软件开发与实施、验收与测试、系统交付与等级测评,以及服务商选择等过程均需要进行安全管理。
4.1.4.1. 定级备案
明确保护对象的安全保护等级及确定等级的方法和理由,并对保护对象组织相关部门和专家进行论证和审定,专家评审通过后,上报主管和相关部门批准,将备案材料上报公安机关备案。
4.1.4.2. 安全方案设计
根据保护对象的安全保护等级进行安全整体规划和安全方案的设计,方案设计按照等级保护基本要求设计,满足“一个中心、三重防护”的防护体系,并组织相关部门和安全专家对安全整体规划进行论证和审定,经过批准后正式实施。
4.1.4.3. 产品采购和使用
根据网络的安全保护等级和安全需求,采购使用符合国家法律法规和有关标准要求的网络产品,并定期审定和更新候选产品名单。
4.1.4.4. 自行软件开发
对于软件开发,要确保将开发环境与实际运行环境物理分开,测试数据和测试结果收到控制;制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;制定代码编写安全规范并要求开发人员参照规范编写代码;应具备软件设计的相关文档和使用指南,并对文档使用进行控制;应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;应保证开发人为专职人员,开发人员的开发活动受到控制、监视和审查。当软件开发采取外包模式时,还需要开发单位提供软件设计文档、使用指南及软件源代码,并对软件中可能存在的后门和隐蔽信道进行技术审查。
4.1.4.5. 外包软件开发
要制定相应的外包软件开发相关制度,按照制度执行,软件在交付前要进行安全性检测,测试其中可能存在的恶意代码、后门和隐蔽通道;要保证开发单位提供软件设计文档和使用指南;需要开发开发提供软件源代码,并需跟软件外包开发商签订保密协议。
4.1.4.6. 工程实施
在项目实施过程中,要指定或授权专门的部门或人员负责工程实施过程的管理,制定安全工程实施方案,并通过第三方工程监理控制项目的实施过程。
4.1.4.7. 测试验收
在项目测试验收阶段,应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;系统上线前还需要进行安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
4.1.4.8. 系统交付
系统交付使用时,应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点,并对负责运行维护的技术人员进行相应的技能培训,还要提供建设过程文档和运行维护文档。
4.1.4.9. 等级测评
保护对象整改建设完成,需要测评机构对保护对象进行测评,测评机构应选择具有测评资质的测评机构,测评机构必须符合国家的有关规定;在测评过程中,发现不符合等保保护标准要求的要及时进行整改,在保护对象发生重大变更或级别发生变化时要进行等级测评,对于三级及以上系统,测评通过后,每年都要进行一次等级保护测评。
4.1.4.10. 服务供应商选择
服务供应商要选择符合国家的有关规定的服务商,并与服务供应商签到相关的协议,明确各方需要履行的网络安全相关义务,成立项目小组对服务供应商提供的服务进行监督、评审和审核,并对变更内容进行控制。
4.1.5. 安全运维管理设计
安全运维管理是整个系统安全运营的重要环节,其内容涵盖机房环境管理、资产管理、介质管理、设备管理、漏洞和风险管理、网络及系统安全管理、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复管理、安全应急处置,以及安全服务管理工作等内容。具体如下:
4.1.5.1. 环境管理
在机房环境管理中需要对机房供配电、空调、温湿度控制等设施指定专人或专门部门定期进行维护管理;
同时还应建立机房安全管理制度,对机房人员出入、物品带进带出和机房环境安全等方面作出规定;配置电子门禁系统和监控录像系统,对机房出入人员实行电子记录和监控录像。
4.1.5.2. 资产管理
针对资产管理,应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,规范资产管理和使用的行为;编制并保存与信息系统相关的资产、资产隶属关系、安全级别和所处位置等资产清单。
同时应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施,确定信息分类与标识的原则和方法,对信息的使用、传输和存储作出规定。
4.1.5.3. 介质管理
应建立介质安全管理制度,对介质存放环境、使用、维护和销毁等方面作出规定;如介质的归档和查询须有记录,并对存档介质的目录清单定期盘点。除此之外,还应对存储介质的数据安全进行管理和防范,具体如下:
Ø 对于需要送出维修或销毁的介质,应采用多次读写覆盖,清除介质中的敏感或重要数据,防止数据泄露;
Ø 根据数据备份需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
Ø 根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行专人管理;
Ø 对介质物理运输过程中人员选择、打包、交付等情况进行控制;
Ø 保密性较高的信息存储介质未经批准不得自行销毁,销毁时必须做到双人监销,销毁记录应妥善保存;
Ø 重要数据存储介质带出工作环境应采取加密方式,并进行监控管理;
Ø 对存放的介质定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。
4.1.5.4. 设备维护管理
Ø 对信息系统相关的各种设备、线路等指定专人或专门部门定期进行维护管理;
Ø 对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立申报、审批管理规定;
Ø 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
Ø 按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器、网络设备等重要设备或系统的日志文件检查和监控;
Ø 建立软硬件设备维护管理制度,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
4.1.5.5. 漏洞和风险管理
针对漏洞和风险管理,需要通过漏洞扫描系统对发现的系统安全漏洞进行及时修补;需要定期安装最新补丁程序,对重要漏洞进行及时修补;定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
4.1.5.6. 网络和系统安全管理
Ø 指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析处理工作;
Ø 对网络设备和系统的安全策略维护、配置文件更改进行流程审批;
Ø 通过身份鉴别、访问控制等措施限制远程管理账户的操作行为;
Ø 指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
Ø 对能够使用系统工具的人员及数量进行限制和控制;
Ø 根据业务需求和系统安全确定系统的访问控制策略、文件及服务的访问权限;
Ø 对系统账户进行分类管理,权限设定应当遵循最小授权要求;
Ø 对于账户安全管理的执行情况进行检查和监督,定期审计和分析用户账户的使用情况;
Ø 定期检查违反规定无线上网及其他违反网络安全策略的行为。
4.1.5.7. 恶意代码防范管理
Ø 提高全体员工的网络病毒、恶意代码安全防范意识,及时升级防病毒软件;
Ø 在读取移动存储设备上的数据以及接收文件或邮件之前,先进行病毒检查;
Ø 对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定;
Ø 定期检查恶意代码库的升级情况并进行记录,对防病毒软件、防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,形成书面报表和总结汇报。
4.1.5.8. 配置管理
应建立对包括网络拓扑结构、设备和系统安装的服务组件、组件版本和补丁信息、设备或系统的配置参数等进行记录和保存的管理模式;建立配置信息变更流程,及时更新配置信息库。
4.1.5.9. 密码管理
密码管理环节需要建立密码使用管理制度,保证密码算法使用符合国家密码管理规定。
4.1.5.10. 变更管理
Ø 建立变更管理制度,重要系统变更前需经过申请审批,变更和变更方案经过评审、审批后方可实施变更;
Ø 应建立变更控制的申报和审批程序,如变更影响分析应文档化,变更实施过程应记录,所有文档记录应妥善保存;
Ø 应明确变更过程控制方法和人员职责,必要时恢复过程应经过演练;
4.1.5.11. 备份与恢复管理
Ø 识别需要定期备份的重要业务信息、系统数据及软件系统等;
Ø 规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
Ø 根据数据的重要性和对系统运行的影响程度,制定数据备份和恢复策略;备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和离站运输的方法;
Ø 指定相应的负责人定期维护和检查备份及冗余设备的运行状况,确保需要接入系统时能够正常运行;
Ø 建立数据备份和恢复过程控制程序,如备份过程应记录,所有文件和记录应妥善保存;
Ø 建立备份及冗余设备的安装、配置、启动、操作及维护过程控制的程序,如记录设备运行过程状况,所有文件和记录应妥善保存;
Ø 定期执行恢复程序,检查和测试备份介质的有效性,确保可在规定的时间内完成备份恢复。
4.1.5.12. 安全事件处置
Ø 制定安全事件报告和处置管理制度,如规定安全事件的现场处理、事件报告和恢复的管理职责;
Ø 了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,如可能来自攻击、错误、故障、事故或灾难;
Ø 根据安全事件在本系统产生的影响,将安全事件进行等级划分;
Ø 制定的安全事件报告和响应处理程序,如确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
Ø 在安全事件响应处理过程中,应分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
4.1.5.13. 应急预案管理
Ø 应在统一应急预案框架下制定不同事件的应急预案。应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程,以及教育和培训等内容;
Ø 应从人员、技术和财务等方面确保应急预案执行有足够的资源保障;
Ø 进行人员进行培训,以了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
Ø 应急预案须定期演练,应根据不同的应急恢复内容,确定演练周期。
4.1.5.14. 外包运维管理
Ø 应与外包运维服务商签订服务协议,约定外包运维的范围和内容;
Ø 建立外包运维服务商审核评定机制,保证其在技术和管理方面具有等级保护要求的安全运维能力;
Ø 与外包运维服务商签订的协议中应明确所有安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对基础设施中断服务的应急保障要求等。
4.1.5.15. 安全评估服务
安全风险评估服务将提供如下安全服务:
Ø 评估和分析网络上存在的技术和管理风险;
Ø 梳理业务访问关联关系,分析业务运作和管理方面存在的安全缺陷;
Ø 调查信息系统的现有安全控制措施,评价业务安全风险承担能力;
Ø 评价风险的优先等级,据此提出风险控制措施建议。
4.1.5.16. 渗透测试服务
现有业务系统的安全性与否可以通过渗透测试服务来进行测试和验证;针对现有安全防御措施是否发生最大效用也可以通过渗透测试服务来检测;
因此,通过渗透测试服务可以尽早发现现有安全技术和管理措施是否存在隐蔽性的安全弱点。
4.1.5.17. 源代码审计服务
通过源代码审计服务可以发现软件代码的隐形缺陷和编码设计错误;
通过源代码审计服务可以提供代码安全性验证,防止由于人为失误或有意嵌入恶意代码情况;还可以为软件安全编码提供技术指导和支持。
4.1.5.18. 安全加固服务
安全加固服务可以针对系统和网络中存在的安全漏洞、配置错误、设计错误等安全问题进行安全性加固和修复。
4.1.5.19. 安全值守服务
安全值守服务是针对网络中大量安全设备、安全措施、安全策略的日常维护和检查,而自身安全运维力量比较薄弱的情况下量身定做的现场安全运维服务。采用安全值守服务可以有效保障系统及网络安全运维的安全性和可靠性。
4.1.5.20. 安全培训服务
安全培训主要是从人员的角度出发来强化安全知识以增强抵御攻击的能力,主要培训建议如下:
Ø 安全基础知识培训:主要对普通人员提供个人计算机使用的基本安全知识,提高个人计算机系统的安全防范能力。
Ø 安全管理培训:主要对安全管理员进行系统安全管理培训,强化信息人员的安全技术水平。
Ø 安全技术培训:主要针对安全运维人员、系统维护人员提供安全技能及相关安全技术知识培训。
Ø 安全认证培训:主要针对安全运维人员、网络管理人员、系统管理人员提供系统化、体系化的安全知识技能培训,并通过国家专业安全机构的资格认证考试,提供人员自身安全技术能力。
5. 所需设备
根据客户实际情况进行编制。
