XXX信息安全建设项目实施方案
1. 项目概述
XXXX公司信息安全一期建设需求:
信息安全建设在XXXX公司信息化建设中整体基础较为薄弱,主要表现在以下几个方面:
第一、信息安全缺乏体系建设
目前信息安全建设偏重于信息安全技术,以技术和产品为主,忽视了战略、机构、人员等方面的建设,由于人员紧张,未设立专门信息安全管理岗位,并且信息安全体系也没有将公司全员纳入,造成信息安全运维审计、管理等方面职能缺失。因此,信息安全体系建设将是未来3年信息安全建设重点。
第二、网络架构需要优化
公司前期网络建设缺乏统一规划,呈网状架构,结构不够清晰。特别是网络架构没有层次性、区域性,网络核心业务应用及楼层接入交换机都直接接入核心交换机,网络架构存在安全隐患;同时,公司主干网络缺乏冗余,特别是核心业务系统网络缺乏应用级、网路级、设备级的冗余,影响核心业务系统的稳定运行。
第三、身份认证及访问控制薄弱
未建立统一的身份认证管理平台,包括用户身份认证、接入设备的身份认证,目前认证都分散在防火墙、VPN等多处,很难进行统一管理,由于缺乏域控,无法有效对用户的行为进行管控,特别是目前公司主要通过无线办公,许多用户共享同一个AP(或AC),因为无线动态分配IP地址的原因,对AP下的用户不能很好的跟踪和管控,因此,身份认证建设在未来一年中必须加强;同时,目前对关键资源(无论是应用级还是网络级)均只通过用户名和密码等简单手段进行访问控制,缺乏更深层次的控制手段,一旦用户名和密码被破解将形成对关键资源很大的威胁。
第四、核心业务系统业务连续性需要加强,缺乏容灾及备份
按照信息系统等保3级的要求,核心业务系统必须要保证业务连续性和具备异地容灾,而本次信息规划也重点指出了需要加强核心业务系统业务连续性,特别是加油自动化系统需要采取虚拟化等方式尽快解决应用层面和业务系统层面无法升级的问题,并且在网络层面要形成冗余,在数据层面要形成本地备份和异地容灾。针对其他核心系统同样要做好虚拟化和异地容灾的调研和准备工作。
第五、加强防病毒安全,建立防病毒安全管理体系
公司目前仅在入端(即防火墙)有防病毒功能,其余服务器及终端均采用360等免费的杀毒软件,不能有效构建防病毒安全管理体系,特别对终端是否安装杀毒软件以及病毒库是否及时更新的监管工作量大,并且效率低下,因此,需要建立防病毒安全管理体系,统一制定公司防病毒策略、统一更新病毒库、统一进行漏洞及补丁的更新,并且对中毒机器进行安全区隔离和强制断开网络及访问。
第六、加强终端管理、防止信息泄密
目前对关键用户终端和关键系统服务器未进行防泄密控制,用户对保密信息的访问没有制度和技术等方面保障,并且缺少对泄密后的跟踪、追述,难以有效的保护公司信息秘密。
第七、缺乏信息安全审计及管理
目前未建立完善的信息安全审计,并缺少通过信息安全管理系统对信息安全运行各方面的工作进行检查、审计,从而发现、记录、报告安全运行过程中的问题,进而解决问题。
2. 总体需求描述
2.1 应用服务器需求
本次招标采购的服务器部署网络拓扑结构主要如下图所示:
图 1 XXXX网络现状
图 2 XXXX采购服务器部署拓补
(1) 1台Imperva web应用防火墙,负责XXXX办公网DMZ区域的web网站(针对DMZ区域的web系统进行安全防护)
(2) 2台办公网核心防火墙,负责XXXX的核心区域安全
(3) 2台生产网虚拟网络防火墙,负责XXXX生产网的区域安全
(4) 1台灾备一体系统,负责XXXX服务器的备份工作
(5) 1台上网行为管理,负责XXXX网络中的上网行为审计
(6) 1台运维审计系统,负责XXXX网络中对服务器的操作审计
(7) 1台办公网准入、终端控制设备,负责XXXX网络中的准入认证安全
(8) 1台日志审计系统,负责XXXX网络中所有主机系统的日志安全审计
(9) 1台网管平台系统,负责实时监控XXXX网络中的设备状态
(10) 所有设备搭建利用已有网络环境;
2.2 第三方产品需求
本项目所需第三方产品主要包括:2台AD域认证服务器、1台Windows Server Update Service 服务器
2.3 项目建设目标
构建一个统一的安全架构平台,集中解决XXXX的安全管理问题,同时兼顾后期向统一安全管理平台建设的平滑过渡。
主要目标如下:
实现对DMZ区域的Web网站安全防护管理。有效地保障Web网站系统安全可靠地运行。提供对跨站脚本、SQL注入、目录遍历、蠕虫攻击的安全防护。
实现Windows活动目录以及部署WSUS服务。办公网络的PC均加入Windows域,用户登录PC需通过域身份认证,设置Windows域策略,指定所有加入域的服务器、工作站及PC必需通过该WSUS服务更新微软产品补丁,WSUS通过互联网与微软更新服务器同步,由管理员审批允许分发的补丁。
实现对各类型IT资产帐号、认证、授权和审计的集中控制和管理。有效地保障运维支撑系统安全可靠地运行。为运维支撑系统提供机制统一、多样化的认证与授权安全服务,实现平滑过渡并实现与其他统一安全管理平台之间的数据交互。
实现集中化、基于角色的的主从帐号管理,实现角色属性级别的细粒度权限分配和管理。自然人与其拥有的主帐号关联,统一规划用户身份信息和角色,对不同系统中的帐号进行创建、分配、同步,最终建立业务支撑系统中自然人的单一视图(主帐号管理)、建立业务支撑系统中资源的单一视图(从帐号管理)。
实现集中化的身份认证和访问入口。根据安全需要选择不同的身份认证方式,在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的应用上,增加强身份认证手段。最终实现认证手段和应用的相对隔离和灵活使用。
实现集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理。对用户使用业务支撑系统中资源的具体情况进行合理分配,实现不同用户对不同部分实体资源的访问。最终建立完善的资源对自然人的授权管理。
实现集中安全日志管理,收集、记录用户对业务支撑系统关键重要资源的使用情况。便于统计自然人对资源的访问情况,在出现安全事故时,可以责任追踪。对人员的登录过程、操作行为进行审计和处理。最终建立完善针对“自然人→资源”访问过程的日志审计。
实现核心业务数据应用系统的数据全备份。防止因设备存储介质损坏而导致的数据信息丢失;建立业务应用系统快速备份与恢复系统,防止因设备硬件故障而导致信息系统不可用,通过快熟恢复工具快速恢复系统,保障核心业务系统正常运行。
3. 安全架构分析
3.1 物理安全分析
物理安全主要指物理环境相关的安全保障,包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
3.1.1 物理安全要求
根据等保三级本项要求:
1) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
3) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
3.2 网络安全分析
网络安全主要包括:入侵防御安全、网络访问控制、边界完整性、安全审计、网络设备防护等方面。
3.2.1 入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DOS/DDOS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
3.2.2 网络访问控制
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
3.2.3 边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
3.2.4 安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用行为。
3.2.5 网络设备防护
网络系统使用大量的网络设备和安全设备,如交换机、防火墙等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被篡改等都将成为威胁网络系统正常运行的风险因素。
3.3 主机系统安全需求分析
计算环境的安全主要指主机、应用及数据安全层面的安全风险与需求分析,包括:身份鉴别、访问控制、系统审计、主机恶意代码防范、数据安全、补丁安全、域环境等方面。
3.3.1 身份鉴别
3.3.2 访问控制
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
3.3.3 系统审计
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。
3.3.4 主机恶意代码防护
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。
3.3.5 数据安全
主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性。
3.3.6 补丁更新
操作系统并非完美无缺,发布的时间越长、系统漏洞暴露的也就越多,针对操作系统漏洞,主机系统要及时下载系统补丁,进行系统修补。通过安全措施,要实现主机系统定期系统漏洞扫描以及补丁下发更新。
3.3.7 域环境
XXXX公司办公网络和生产网络独立的网络系统,导致主机系统分散,增加了IT人员管理难度。通过安全措施,要实现所有主机系统处于统一的管理模式中,进行有效的帐号、资源、权限、软件分发等控制。
3.4 应用安全需求分析
3.4.1 身份鉴别
数据库登陆以及应用系统登录均必须采用“双因素认证”的防止进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
3.4.2 安全审计
对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
3.4.3 入侵防护
应用系统面临着各类具有针对性的入侵威胁,最主要的威胁来至于WEB应用,现如今各企业WEB应用越来越多,同样存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得应用系统本身的安全性给整个系统带来巨大的安全风险,因此对于应用系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
3.5 数据安全需求分析
数据安全主要包括数据存储、备份和恢复方面,防止XXXX公司业务系统的数据丢失等安全性问题。
3.5.1 存储
数据是企业的重要资源,因此数据的存储非常重要。同时,主机系统故障也会对存储于本地的数据造成损坏。因此办公网络和生产网络中产生的重要数据,需要使用统一存储方式存储,保证数据安全。
3.5.2 备份和恢复
数据是信息资产的直接体现,所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。
需要每天对业务数据进行全备,定期进行数据恢复测试,存储介质场外存放,提供异地备份功能。
4. 设备清单
|
此次项目建设需求落实到设备表上如下: |
||||
|
序号 |
名称 |
性能要求 |
数量 |
单位 |
|
|
Imperva Web应用防火墙 |
1、专用WEB应用防火墙。2、千兆接口:大于等于4个千兆电口。3、工作模式:旁路模式、在线模式、透明桥模式支持高可用性、支持故障bypass。4、大于等于100M吞吐量 |
1 |
台 |
|
|
办公网核心防火墙(飞塔) |
1、防火墙吞吐量不小于16Gbps。2、SSL VPN吞吐量不小于500Mbps,并发用户数不小于500用户。3、防病毒功能开启后,网络吞吐量不低于2.5Gbps。4、开启IPS功能后,性能不低于2.8Gbps。 |
2 |
台 |
|
|
生产网核心防火墙(飞塔) |
1、防火墙吞吐量不小于16Gbps。2、SSL VPN吞吐量不小于500Mbps,并发用户数不小于500用户。3、防病毒功能开启后,网络吞吐量不低于2.5Gbps。4、开启IPS功能后,性能不低于2.8Gbps。 |
2 |
台 |
|
|
生产网虚拟网络防火墙(深信服) |
1、10个电口;8个SFP接口,2、防火墙吞吐量不小于10Gbps。3、SSL VPN并发用户数不小于500用户。4、防病毒功能开启后,网络吞吐量不低于2Gbps。5、开启IPS功能后,性能不低于2.2Gbps。 |
2 |
台 |
|
|
办公网数据区域防火墙(深信服) |
1、10个电口;8个SFP接口,2、防火墙吞吐量不小于10Gbps。3、SSL VPN并发用户数不小于500用户。4、防病毒功能开启后,网络吞吐量不低于2Gbps。5、开启IPS功能后,性能不低于2.2Gbps。 |
2 |
台 |
|
|
灾备一体系统(企业一体化数据存储备份系统+企业级硬盘+服务器许可) |
1、企业级一体化数据存储备份系统,2U12盘位,8G内存,1颗四核处理器,2*1000M电口。2、支持iSCSI/NAS功能,支持 RAID 0,1,5,50,6,60 等;具有自动数据备份、数据备份压缩、加密、支持重复数据删除技术、数据压缩技术,支持 RAID 在 线扩容、支持全局热备盘技术等。3、支持Windows、Mac、linux、Unix操作系统,支持对数据库及虚拟机备份。4、配备12块4TB硬盘、10个Windows服务器备份许可、15个Vmware客户端许可。 |
1 |
台 |
|
|
行为管理(深信服) |
400用户管理(支持最大扩展到800用户) |
1 |
台 |
|
|
运维审计设备(含许可证) |
1、专用硬件平台,1U,多核处理器,8G内存,1T存储,1000M电口*4,管理口*1。 2、B/S架构,采用HTTPS方式远程安全管理,无需安装管理客户端.3、系统配置100个设备许可证;支持最大扩展到1000个设备许可证。 |
|
|
|
|
办公网准入、终端控制设备 |
1、具有独立的自主知识产权,软硬件一体化产品,采用标准机架式硬件和专用安全操作系统,无需额外增加服务器等设备。2、专用硬件平台,1U,多核高性能超线程CPU,32G内存,4T,6*1000M电口,支持Bypass,含1年保修。3、设备应至少提供安全客户端(Agent)、无客户端并无插件(Agentless)等多种可供自定义的部署、管理模式。4、准入控制300用户许可(支持最大扩展到800用户);5、采用策略路由方式部署 |
1 |
台 |
|
|
生产网准入、终端控制设备 |
1、具有独立的自主知识产权,软硬件一体化产品,采用标准机架式硬件和专用安全操作系统,无需额外增加服务器等设备。2、专用硬件平台,1U,多核高性能超线程CPU,32G内存,4T,6*1000M电口,支持Bypass,含1年保修。3、设备应至少提供安全客户端(Agent)、无客户端并无插件(Agentless)等多种可供自定义的部署、管理模式。4、准入控制300用户许可(支持最大扩展到800用户)、桌面管理及数据放泄露各10用户许可。5、采用策略路由方式部署 |
1 |
台 |
|
|
日志审计 |
1、专用硬件平台,1U,多核超高性能处理器,32G内存,4T,8*1000M电口,建议支持600个以内的审计设备规模。2、含200个审计许可,日志吞吐量3000EPS,日志存储量10亿条。 |
1 |
台 |
|
|
网管平台 |
1、标配100个监控管理节点,可加购至200个监控管理节点。2、专用硬件平台,1U, 多核处理器,8G内存,1T,4*1000M电口。 |
|
|
|
|
信息安全建设实施费用 |
|
1 |
|
第二章 等保总体设计方案
1. 设计目标
信息安全等级保护,是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中产生的信息安全事件分等级响应、处置。本方案侧重于实现对信息、信息系统的分等级安全保护的设计目标。
总体设计目标:以信息系统的实际情况和现实问题为基础,遵照国家的法律法规和标准规范,参照国际的安全标准和最佳实践,依据相应等级信息系统的基本要求和安全目标,设计出等级化、符合系统特点、融管理和技术为一体的整体安全保障体系,指导信息系统的等级保护建设工作。
不同级别的信息系统应具备不同的安全保护能力,3级的信息系统应具备的基本安全保护能力要求(具体设计目标)如下:
应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。
上述对3级的信息系统的基本安全保护能力要求是一种整体和抽象的描述。信息系统所应该具有的基本安全保护能力将通过体现基本安全保护能力的安全目标的提出以及实现安全目标的具体技术要求和管理要求的描述得到具体化。
2. 设计原则
在进行等级保护系统解决方案设计时将遵循以下设计原则:
清晰定义模型的原则:在设计信息安全保障体系时,首先要对信息系统进行模型抽象,这样既能相对准确地描述信息体系的各个方面的内容及其安全现状,又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架),建立“保护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型,从而相对准确地描述信息系统的安全属性和等级保护的逻辑思维。
分域防护、综合防范的原则:任何安全措施都不是绝对安全的,都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层和多重保护。
需求、风险、代价平衡的原则:对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系,等级保护,适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行。
技术与管理相结合原则:信息安全涉及人、技术、操作等各方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
动态发展和可扩展原则:随着网络攻防技术的进一步发展,网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性,今后随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。
3. 设计思路
2.3.1 保护对象框架
保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:
图1. 保护对象框架的示意图
2.3.2 整体保障框架
就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。
整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。
整体保障框架的示意图如下:
图2. 整体保障框架的示意图
2.3.3 安全措施框架
安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。
安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管理系统和网络信任系统)。
安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。
安全措施框架示意图如下:
图3. 安全措施框架示意图
2.3.4 安全区域划分
不同的信息系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。如何保证系统的安全性是一个巨大的挑战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证系统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
随着安全区域方法的发展,发现力图用一种大一统的方法和结构去描述一个复杂的网络环境是非常困难的,即使描述出来其可操作性也值得怀疑。因此,我公司提出了“同构性简化的方法”,其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元进行拼接、递归等方式构造出一个大的网络。可以说,结构性简化好像将网络分析成一种单一大分子组成的系统,而同构性简化就是将网络看成一个由几种小分子组成的系统。“3+1同构性简化”的安全域方法就是一个非常典型的例子,此方法是用一种3+1小分子构造来分析venus customer的网络系统。(注:除了3+1构造之外,还存在其他形式的构造。)具体来说信息系统按照其维护的数据类可以分为安全服务域、安全接入域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
信息系统可以划分为以下四个大的安全域(3+1同构法):
安全接入域:由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全等级与其所能访问的安全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全等级应与这些安全服务域的最高安全等级相同。安全接入域应有明确的边界,以便于进行保护。
安全互联域:连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。主要包括其他域之间的互连设备,域间的边界、域与外界的接口都在此域。安全互联域的安全等级的确定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域:在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的基本依据。根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。
安全管理域:安全系统的监控管理平台都放置在这个区域,为整个IT架构提供集中的安全服务,进行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认证中心、安全运营中心等。
安全区域3+1同构示意图如下:
图4. 安全区域3+1同构示意图
2.3.5 安全措施选择
27号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。由此可见,信息系统等级保护可视为一个有参照系的风险管理过程。等级保护是以等级化的保护对象、不同安全要求对应的等级化的安全措施为参照,以风险管理过程为主线,建立并实施等级保护体系的过程。
安全措施的选择首先应依据我国信息系统安全等级划分的要求,设计五个等级的安全措施等级要求(安全措施等级要求是针对五个等级信息系统的基本要求)。不同等级的信息系统在相应级别安全措施等级要求的基础上,进行安全措施的调整、定制和增强,并按照一定的划分方法组成相应的安全措施框架,得到适用于该系统的安全措施。安全措施的调整主要依据综合平衡系统安全要求、系统所面临风险和实施安全保护措施的成本来进行。信息系统安全措施选择的原理图如下:
图5. 安全措施选择的原理图
第三章 系统详细设计方案
1. 系统总体设计
本次项目建设内容为XXXX信息安全防护平台建设,具体总体拓扑图如下:
图 3 总体架构
2. 信息安全建设流程
皓岭信息技术有限公司提出的“按需防御的等级化安全体系”是依据国家信息安全等级保护制度、国际ISO27001安全体系、金融行业PCI法规,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,整体的安全保障体系技分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设。
根据安全保障体系的设计思路,方案的设计与实施通过以下步骤进行:
Ø 系统识别与定级
确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
Ø 安全域设计
根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
Ø 确定安全域安全要求
参照相关安全体系要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
Ø 评估现状
根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
Ø 安全保障体系方案设计
根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。
Ø 安全建设
根据方案设计内容逐步进行安全建设,满足方案设计并要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。
Ø 持续安全运维
通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
第四章 风险分析及应对措施
|
序号 |
风险内容 |
可能性 |
规避措施 |
|
1 |
技术方案存在风险 |
低 |
详细论证方案可行性,争取有多种变通方法; 预先进行测试; 了解客户方情况的具体细节,在方案中进行考虑; |
|
2 |
项目接口人员 |
中 |
在项目启动会上明确项目组成员,成员的职责,接口,汇报周期、例会制度等; |
|
3 |
第三方设备方配合不好 |
中 |
根据项目计划预先通知第三方,要求配合 |
|
4 |
线路不通、质量不高 |
高 |
要求线路提供方提交线路误码测试纪录 |
|
5 |
缺货 |
低 |
明确供货计划,供货方定期报告供货状态,实现提交装向清单 |
|
6 |
机房不满足条件 |
低 |
原厂厂商提出明确的机房要求; 原厂厂商对核心站点进行现场勘查 客户方根据要求制定机房准备到位的时间计划,双方定期交换信息 |
|
7 |
意外的技术问题 |
低 |
要求厂家承诺最终解决 要求原厂厂商具有丰富的项目经验 |
|
8 |
项目时间计划与客户内部行政计划冲突 |
中 |
提高项目的优先级别 预先获得领导的支持 |
|
9 |
不可预测的风险 |
低 |
惯例应对措施 |
表 1 风险分析及应对措施
1. 割接回退-风险控制
XXXX业务网络割接需要按照需求分析进行设计回退方案,确保网络割接异常时能够快速恢复割接前的网络环境。
业务网络割接步骤可参考下面步骤进行:
Ø 安全设备提前按照需求进行初始化、安全配置;
Ø 备份现有交换机、防火墙配置,记录网络接口和线缆使用情况;
Ø 串联设备按照拓扑设计进行串联接入,旁路设备按照拓扑设计进行旁路接入;
业务测试与调整
若需要进行网络恢复,请参考下面步骤进行:
Ø 串联设备和旁路设备接入线路移除;
Ø 根据记录,恢复网络原有线路接入状态;
Ø 根据记录,恢复 交换机、防火墙原有配置
