互联⽹数据中⼼等保三级解决⽅案
互联⽹数据中⼼等保三级
解决⽅案
Word⽂档-可编辑
编制单位:XX科技服务有限公司
⽬录
⼀. 前⾔ (1)
⼆. 项⽬背景 (1)
三. 安全风险分析 (2)
3.1设备安全风险 (2)
3.2⽹络安全风险 (2)
3.3应⽤层安全风险 (3)
3.4数据安全风险 (3)
四. 需求分析 (4)
4.1技术需求分析 (4)
4.2管理需求分析 (4)
五. 等级保护建设 (5)
5.1参考标准与依据 (6)
5.1.1 相关法规和政策 (6)
5.1.2 国家标准及⾏业标准 (6)
5.2整体部署拓扑图 (8)
5.3安全技术防护 (9)
5.3.1 边界访问控制 ....................................................................................................................... - 9 -
5.3.2 边界⼊侵防护 ..................................................................................................................... - 14 -
5.3.3 ⽹站安全防护 ..................................................................................................................... - 28 -
5.3.4 安全审计 ............................................................................................................................. - 38 -
5.3.5 安全管理 ............................................................................................................................. - 47 -5.4等保建设咨询.. (69) 5.4.1 技术层⾯差距分析 ............................................................................................................. - 69 -
5.4.2 管理层⾯差距分析 ............................................................................................................. - 71 -
5.4.3 安全评估及加固 ................................................................................................................. - 72 -
5.4.4 安全管理体系建设 ............................................................................................................. - 74 -
5.4.5 应急响应及演练 ................................................................................................................. - 74 -
5.4.6 安全培训 ............................................................................................................................. - 74 -
5.4.7 测评辅助 ............................................................................................................................. - 75 -
六. 等保建设清单................................................................................................................................. - 76 -
七. 为什么选择绿盟科技..................................................................................................................... - 77 -
7.1典型优势 (78)
7.1.1 拥有最⾼级别服务资质的专业安全公司.......................................................................... - 78 -
7.1.2 先进且全⾯的信息安全保障体系模型.............................................................................. - 78 -
7.1.3 可实现且已证明的体系建设内容 ..................................................................................... - 78 -
7.1.4 资深且经验丰富的项⽬团队 ............................................................................................. - 79 -
7.1.5 先进的辅助⼯具 ................................................................................................................. - 79 -7.2资质荣誉. (79)
7.3客户收益 (82)
前⾔
经过多年的信息化推进建设,企事业和政府机构信息化应⽤⽔平正不断提⾼,信息化建设成效显著。作为信息化发展的重要组成部分,信息安全的状态直接制约着信息化发展的程
度。
作为企事业和政府机构重要的公众平台APP及web应⽤系统,由于其公众性质,使其成为攻击和威胁的主要⽬标,WEB应⽤所⾯临的Web应⽤安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如⿊客攻击、蠕⾍病毒、DDoS攻击、SQL注⼊、跨站
脚本、Web应⽤安全漏洞利⽤等,极⼤地困扰着政府和公众⽤户,给政府的政务形象、信息
⽹络和核⼼业务造成严重的破坏。随着后“棱镜门”时代,国家对重要信息系统(包括⽹站)的安全问题越来越重视,相继发布了⼀系列的政策要求,例如:公安部、发改委和财政部联
合印发的《关于加强国家级重要信息系统安全保障⼯作有关事项的通知》(公信安[2014]2182号)要求,加强对47个⾏业、276家单位、500个涉及国计民⽣的国家级重要信息系统的安全监管和保障。2014年12⽉,中办国办《关于加强社会治安防控体系建设的意见》要求:
“完善国家⽹络安全监测预警和通报处置⼯作机制,推进完善信息安全等级保护制度”。
为进⼀步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护(三级)安全建设⼯作,绿盟科技作为国内具有⼀流技术优势和国际竞争⼒的信息安全⼚
商,结合⾃⾝多年的安全建设经验、业界领先的技术与产品,为政府单位等级保护安全建设
提供本⽅案。
项⽬背景
2016年11⽉7⽇第⼗⼆届全国⼈民代表⼤会常务委员会第⼆⼗四次会议通过《中华⼈民共和国⽹络安全法》,并将于2017年6⽉1⽇施⾏。该法案明确规定:建设、运营⽹络或
通过⽹络提供服务,须依照法律、法规和国家标准强制性要求,采取各种措施,落实⽹络安
全等级保护制度,保障⽹络安全稳定运⾏。发⽣安全事件时还要向主管部门报告。对于不履
⾏该法案规定的,由有关主管部门责令改正,给予警告;拒不改正或导致危害⽹络安全等后
果的,处⼀万元以上⼗万元以下,并对直接负责的主管⼈员处五千元以上五万元以下罚
款。
上海市公安局、⽹信办、经信委、通管局联合发布的《沪公通字【2015】65号》⽂中,也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。
xxx⽬前运营的⽹站类系统主要有官⽅⽹站、xxx系统等;数据中⼼建成后,除满⾜xxx ⾃⾝需求外,还将为下属各⼦平台单位提供服务。
xxx信息系统⽹络架构为简单的互联互通架构,除⼊⼝处安装有防⽕墙外,其他安防⼿段、措施均缺失,距离等级保护三级要求有⾮常⼤的差距,安防状况堪忧。
不论是《中华⼈民共和国⽹络安全法》的规定,还是从⾃⾝信息系统安全⾓度考虑,xxx 都需要建设⾃⼰的安全管理体系和技术体系的建设,提升整体信息系统及数据的安全性。
⼀. 安全风险分析
1.1 设备安全风险
信息系统⽹络设备的安全风险主要来⾃两个⽅⾯,⼀个是设备⾃⾝的安全风险,另外⼀个是外界环境的安全风险。具体的设备安全风险如下:
设备⾃⾝的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利⽤,
web应用防护系统影响信息系统业务的连续性、可靠性和完整性;
承载业务系统硬件、⽹络环境等⽅⾯的威胁;
业务系统⾃⾝安全威胁。
1.2 ⽹络安全风险
⽹络安全风险主要如下:
来⾃内部和外部可能的⽹络攻击,如DDOS攻击、利⽤系统漏洞进⾏的各类攻击等
等;
蠕⾍病毒⼊侵,局域⽹内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使
⽤等导致的病毒扩散;
利⽤管理和技术漏洞,或者内部资源成为僵⼫⽹络、⽊马的被控资源,信息系统资
源被⽤作攻击外部⽹络的⼯具
WEB类应⽤被挂马,成为⽊马⼤范围传播的主要途径;
由于对信息系统⽹络进⾏维护不恰当,⽽导致的安全威胁。
1.3 应⽤层安全风险
应⽤层的安全威胁主要来⾃以下两个⽅⾯:
来⾃原互联⽹、内部恶意⽤户的安全威胁;
⽊马病毒的肆意传播,导致⽹络瘫痪。
1.4 数据安全风险
(1) ⽹管数据
⽹管数据,主要指设备管理层⾯的数据,其安全威胁主要如下:
数据传输过程中被窃取,篡改、破坏;
越权访问;
病毒⼊侵导致丢失;
其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。
(2) 内部业务数据
内部业务数据,主要指信息系统各个业务区域数据,其安全威胁⼀⽅⾯来⾃于各个业务的不同要求,另外更主要的⼀⽅⾯是这些业务数据的存放,具体如下:
病毒、⽊马、间谍软件的⼊侵;
针对敏感数据的⾮法篡改、获取;
数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁
等。
(3) 帐号⼝令
⼝令密码明⽂保存导致失窃;
弱⼝令导致的暴⼒破解;
⽹络监听明⽂传输的帐号⼝令。
⼆. 需求分析
2.1 技术需求分析
整体系统由WEB应⽤、⽹络设备、操作系统、数据库、中间件等⽹络元素共同构建,系统承担着数据采集、存储、分析、展⽰等功能,依据《信息安全技术信息安全等级保护基本技术要求》,物理层⾯、⽹络层⾯、系统层⾯、应⽤层⾯和数据层⾯⾯临如下安全威胁: 1.物理层安全:物理层⾯⾯临盗窃和破坏、雷击、⽕宅、静电、停电等威胁。
2.系统层安全:该层的安全问题来⾃⽹络运⾏的操作系统。安全性问题表现在两⽅⾯:⼀是操作系统本⾝的不安全因素,主要包括⾝份认证、访问控制、系统漏洞等;⼆是操作系统的安全配置存在问题。
3.⽹络层安全:该层的安全问题主要指⽹络信息的安全性,包括⽹络层⾝份认证,⽹络资源的访问控制,数据传输的保密与完整性、远程接⼊、域名系统、路由系统的安全,⼊侵检测的⼿段等。
4.应⽤层安全:该层的安全考虑⽹络对⽤户提供服务所采⽤的应⽤软件和数据的安全性,包括:数据
库软件、Web服务、域名系统、交换与路由系统、防⽕墙及应⽤⽹管系统、业务应⽤软件以及其它⽹络服务系统等。
5.数据层风险:数据传输泄露、数据损坏等。
因此,有必要通过安全产品与安全服务的⽅式,发现以上五个层⾯存在的安全隐患,⽐对问题采取相应的加固和处理措施,满⾜信息安全等级保护的技术要求。
2.2 管理需求分析
该系统不仅需要考虑技术防护⼿段,也需要通过合理的安全管理规范,避免⼈为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系,以满⾜系统的安全管理要求,管理体系应考虑如下五个⽅⾯:
1.安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂⾏规定。从安全策略主⽂档中规定的安全各个⽅⾯所应遵守的原则⽅法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推⾏和实施的制度。
2.安全管理机构
根据基本要求设置安全管理机构的组织形式和运作⽅式,明确岗位职责;
设置安全管理岗位,设⽴系统管理员、⽹络管理员、安全管理员等岗位,根据要求进⾏⼈员配备,配备专职安全员;成⽴指导和管理信息安全⼯作的委员会或领导⼩组,其最⾼领导由单位主管领导委任或授权;制定⽂件明确安全管理机构各个部门和岗位的职责、分⼯和技能要求。
3.⼈员安全管理
根据基本要求制定⼈员录⽤,离岗、考核、培训⼏个⽅⾯的规定,并严格执⾏;规定外部⼈员访问流程,并严格执⾏。
4.系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全⽅案设计、产品采购和使⽤、⾃⾏软件开发、外包软件开发、⼯程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等⽅⾯。从⼯程实施的前、中、后三个⽅⾯,从初始定级设计到验收评测完整的⼯程周期⾓度进⾏系统建设管理。
5.系统运维管理
根据基本要求进⾏信息系统⽇常运⾏维护管理,利⽤管理制度以及安全管理中⼼进⾏,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中⼼、⽹络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
三. 等级保护建设
通过xxx信息系统的特点以及⾯临的安全风险,参考业界主流安全标准和规范要求,制定了针对xxx等级保护建设解决⽅案,⽅
案包括了整体部署拓扑、安全技术要求和安全服务三部分,从三个不同的层⾯来建设本单位信息系统安全防护体系,有效降低信息系统的安全风险,保障业务的顺畅运⾏,满⾜等级保护建设要求。
3.1 参考标准与依据
3.1.1 相关法规和政策
国家信息安全相关⽂件:
●《中华⼈民共和国计算机信息系统安全保护条例》(国务院147号令)
●《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》(中办发[2003]27号)
●《关于信息安全等级保护⼯作的实施意见》(公通字[2004]66号)
●《信息安全等级保护管理办法》(公通字[2007]43号)
●《关于开展全国重要信息系统安全等级保护定级⼯作的通知》(公信安[2007]861
号)
●《公安机关信息安全等级保护检查⼯作规范》(公信安[2008]736号)
●《关于开展信息安全等级保护安全建设整改⼯作的指导意见》(公信安[2009]1429
号)
●《关于推动信息安全等级保护测评体系建设和开展等级测评⼯作的通知》(公信安
[2010]303号)
●以及其他相关⽂件。
3.1.2 国家标准及⾏业标准
国信安标委组织制定的国家标准:
●GB17859-1999 计算机信息系统安全保护等级划分准则
●GB/T22240-2008 信息安全技术信息系统安全保护等级定级指南
●GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南
●GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求
●GB/T20269-2006信息安全技术信息系统安全等级保护管理要求
●GB/T20270-2006信息安全技术⽹络基础安全技术要求
●GB/T20271-2006信息安全技术信息系统通⽤安全技术要求
●GB/T20272-2006信息安全技术操作系统安全技术要求
●GB/T20273-2006信息安全技术数据库管理系统安全技术要求
●GB/T20282-2006信息安全技术信息系统安全⼯程管理要求
●GB/T21082-2007信息安全技术服务器安全技术要求
●GBT 25070-2010信息系统等级保护安全设计技术要求(报批稿)
●GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南●GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求
3.2 整体部署拓扑图
核⼼交换机
WEB 服务器
发表评论