IT项目安全架构设计

《IT项目安全架构设计》由会员分享，可在线阅读，更多相关《IT项目安全架构设计（31页珍藏版）》请在装配图网上搜索。

1、1.1. 安全架构设计1.1.1. 安全架构设计目标整体平台的信息安全体系，必须为金融业务工作的有效开展提供 有力支撑，信息系统的安全可靠对于金融业务工作十分重要。建设终 端、应用、系统、网络、物理以及业务增强安全能力，围绕身份鉴权、 访问控制、内容审计、监控审计、合规和业务连续性设计。整个平台 安全体系建设满足等级保护2.0 III级标准。安全作为金融平台的重要组成部分，是衔接金融平台应用安全与 底层资源安全保障的纽带，也是金融平台各子系统之间实现软硬件资 源的安全共享的保障。同时，为了落实和贯彻公安部、国家保密局、 国家密码管理局、全市高法系统等国家有关部门信息安全等级保护工 作要求，全面

2、完善金融平台信息安全防护体系，落实“双网双机、分 区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作 在各相关环节的顺利实施，提高整体信息安全防护水平。本次规划初步设计与金融业务相适应的、可靠的安全防护体系， 实现金融平台硬件及网络环境、金融平台应用、金融平台数据等安全 防护与管理，实现应用服务及数据调用的安全认证和安全审计，主动 的异常数据操作行为的监控分析、预警机制，并提供异常问题的倒查 追溯能力；访问轨迹记录跟踪与查询；金融平台及系统安全审计；安 全日志记录存储及查询；金融平台安全预警机制；数据级、应用级容 灾备份及恢复机制，建立金融平台的异地容灾备份能力，以确保金融 平台的高

3、可用性和数据安全性。1.1.2. 安全架构设计原则金融平台安全设计一般考虑以下几个方面：合理规划网络的安全区域以及不同区域之间的访问权限，保证接 入用户和终端的合法授权许可，防止非法的访问以及恶性的攻击入侵 和破坏；建立高可靠的网络平台，为数据在网络中传输提供高可用的 传输通道，避免数据的丢失，并且提供相关的安全技术防止数据在传 输过程中被篡改和窃取；提供对网络平台自身的安全保护支撑，保证 网络平台能持续稳定运行。需求、风险、代价平衡分析的原则：对任一网络，绝对安全难以 达到，也不一定是必要的。对一个网络要进行实际的研究（包括任务、 性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承

4、 担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定 系统的安全策略。综合性、整体性原则：应运用系统工程的观点、方法，分析网络 的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制 度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访 问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等）。一 个较好的安全措施往往是多种方法适当综合的应用结果。一致性原则：一致性原则主要是指网络安全问题应与整个网络的 工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络 的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及 实施计划、网络验证、验收、运行等，都要有安

5、全的内容及措施。实 际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再 考虑安全措施，不但容易，且花费也少得多。易操作性原则：安全措施需要人去完成，如果措施过于复杂，对 人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系 统的正常运行。适应性及灵活性原则：安全措施必须能随着网络性能及安全需求 的变化而变化，要容易适应、容易修改和升级。多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破 时，其它层保护仍可保护信息的安全。可评价性原则：如何预先评价一个安全设计并验证其网络的安全 性，这需要通过国家有关网络信息

6、安全测评认证机构的评估来实现。技术与管理并重原则：“三分技术，七分管理”，从技术角度出发 的安全方案设计必须有与之相适应的管理制度同步制定，并管理的角 度评估安全设计方案的可操作性。对于金融行业网络安全体系的建立，我们建议采取以上的原则， 先对整个网络进行整体的安全规划，然后，根据实际状况建立一个从 防护一一检测一一响应的基础的安全防护体系，提高整个网络基础的 安全性，保证应用系统的安全性。按照以上原则，分别做好物理层安全、网络层安全、操作系统安 全、内容安全、应用层安全、PKI体系、安全审计、安全集中管理的 建设，并此基础上，做好信息安全管理、技术、运维、知识体系的建 设。1.1.3. 网络

7、安全总体设计1.1.3.1. 安全域划分根据安全域划分方法，可以划分为核心计算域、内部接入域、外 联域以及管理支撑域等安全区域。有了安全区域的划分，网络就有了 明确的边界，可以进行有效防护和纵深防御。（1）核心计算域核心计算域主要承载金融平台局的所有应用，是金融平台网络的 核心。该区域防护重点为边界防护、入侵检测、安全审计、鉴别认证。（2）内部接入域内部接入域主要是分中心和各外部系统与总部的接入区域。该区 域主要防护重点为终端保护、边界防护、数据防护等。（3）外联接入域外联区域为金融平台与非本平台机构相连的接口，包括第三方机 构等。该区域主要防护重点为边界隔离和入侵检测，通过这两种手段 便于隔

8、离外部威胁，同时也便于区分不同区域的安全责任。（4）运维管理域管理支撑域部署的管理整个金融平台的网络管理、安全管理、内 部办公的核心区域，该区域防护采用边界隔离、安全审计、入侵检测、 行为控制等手段。以上为金融平台的主要安全区域划分，各个安全域内部还可以进 一步根据业务系统重要性等级进一步细化分成不同安全子域。这些域和其中的子域划分，都需要通过网络层实现，并通过网络 层进行边界防护和权限控制。1.1.3.2. 结构安全（1）安全要求要求域（边界）间通过核心交换机进行子网、网段划分和IP地 址规划；要求子域间通过3层交换机进行子网、网段划分和IP地址规划；域间和重要子域间配置防火墙进行边界划分，

9、普通子域间可以通 过虚拟方式进行划分和防护；对重要业务的网络质量和带宽采用QoS方式进行保证。（2）建设要点和内容结构安全将通过增加网络交换机、防火墙，以及对网络环境的规 划和设计来实现。在计算核心域边界部署防火墙、管理支撑域边界部 署防火墙、外联接入域边界部署防火墙。各个域内部可以采用VLAN 划分及三层交换设备的ACL控制来实现子域的划分。1.1.3.2.1. 边界抗DDoS设备在主用金融平台互联网出口部署抗拒绝服务攻击系统，针对分布 式拒绝服务攻击（DDoS）、P2P下载、蠕虫等异常流量进行探针式检 测和异常流量清洗。1.1.3.2.2. 边界防火墙防火墙技术是目前网络边界保护最有效也是

10、最常见的技术。采用 防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火 墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合 安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。由于互联网服务器区安全边界面临的安全风险较多，需要通过严 格执行安全策略发挥防火墙最佳功效：（1）集中放置面向Internet服务的主机，在一个集中、受控的 环境下监控网络流量；（2）关闭不必要的服务；（3）严格限制进、出网络的ICMP流量和UDP流量；（4）允许网络管理流量进局域网系统；（5）严格制定防火墙策略，限制所有无关访问。由于面对的是外部复杂的网络环境，因此这些边界防火墙需要具 备更多

11、的深度过滤功能：能够阻止常见的蠕虫扩散，能够对P2P带宽 进行流量管理等。同时能够精细的进行设备管理，减轻管理员管理负 担。1.1.3.2.3. 边界防病毒一体化网关远程专线各接入单位的外部边界上部署UTM统一威胁管理设备， 可以通过制定严格的访问策略、保证接入单位访问行为的合法性以及 金融平台与接入单位进行数据交互行为的合法性。同时对个单位进行 全方位的安全防护。采用UTM设备来构成本方案的核心产品既有效节约了建设资金， 又达到了更好的防护效果。可根据实际需要开启相应的功能模块，采 用UTM部署在互联网边界是一个一举两得的解决方案。各功能模块配置说明：（1）防火墙首先需要配置防火墙功能。对重

12、要节点和网段进行边界保护，可 以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有 不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止非法 攻击；可以对网络流量进行精确的控制，可以对用户进行多种认证等。（2）防病毒据ICSA（国际计算机安全协会）的统计表明，超过90%的病毒是 通过Internet传播的。而利用ASIC硬件技术进行数据包内容病毒扫 描，在性能上有了质的飞跃，可以提供近乎实时的病毒过滤性能。网 关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系 统漏洞肆意传播，大量消耗系统资源和网络带宽所造成的DoS/ DDoS （拒绝服务/分布式拒绝服务）攻击。（3）入侵

13、检测/防护网络入侵检测/防护系统（IDS/IPS）是一种实时网络入侵检测传 感器，它能对外界各种可疑的网络活动进行识别及采取行动。为通知 系统管理员有攻击行为发生，IDS将此攻击及一切可疑流量记录到攻 击日志中，并根据设置发送报警邮件UTM可以检测并阻断多种类型 攻击，例如DoS/ DDoS （拒绝服务/分布式拒绝服务）攻击（包括TCP SYN flood, UDP flood 和 ICMP flood， Ping of Death， Tear drop 等）。通过配置网络中UTM的IDS/IPS模块，可以防止各类网络攻击 和入侵行为的发生。直接对网络入侵行为进行阻断，不给黑客以任何可乘之机U

14、TM可以进行手动、自动的更新攻击特征库，扩充攻击特征数量，防范最新攻击。1.1.3.3. 入侵防范（1）安全要求要求在网络中部署入侵防范检测设备。（2）建设要点和内容通过在核心计算域、管理支撑域、外联接入域边界部署入侵检测 系统解决。其中在核心计算域部署高端入侵检测系统、管理支撑域部 署普通入侵检测系统、外联接入域边界部署普通入侵防御系统。1.1.3.3.1. 入侵检测系统（IPS）入侵防护系统（IPS）就是安全防护体系中重要的一环，它能够 及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新 一代安全保障技术。它监视计算机系

15、统或网络中发生的事件，并对它 们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过 安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和 分析过程，并且执行阻断的硬件产品。将IPS串接在防火墙后面，在防火墙进行访问控制，保证了访问 的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检 测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断 来自内部的数据攻击以及垃圾数据流的泛滥。由于IPS对访问进行深 度的检测，因此，IPS产品需要通过先进的硬件架构、软件架构和处 理引擎对处理能力进行充分保证。1.1.3.3.2. 入侵防御系统（IDS）IDS作为旁路的检测设

16、备，可以在旁路检测网络中的威胁行为， 用以满足在网络在面临海量攻击事件情况下的威胁检测与呈现需求。 通过对事件的智能分析，帮助管理员找到真正具有威胁能力的事件， 这大大降低了运维工作量，使威胁处理成为可能。1.1.3.3.3. 访问控制（1）安全要求域和子域间通过路由策略、访问控制、安全访问路径设计等 进行访问防护进行端口级别的协议种类和端口控制和过滤核心区域必须部署内容过滤产品建立用户级的帐户控制（2）建设要点和内容结构安全将主要通过对现有网络环境的规划和设计来实现，通过 在边界控制设备的访问控制策略进行网络访问控制。用户级的帐户控 制通过集中身份认证系统及CA数字证书实现，确保各类网络设备

17、管 理帐户的安全。1.1.3.3.4. 集中身份认证系统通过内部的AD或者Radius认证服务器来完成集中身份认证。1.1.3.3.5. CA数字证书通过部署CA数字认证证书来完实现网络访问控制1.1.3.4. 安全审计(1) 安全要求要求网络要有审计；要求能够进行网络分析和故障底层定位、排错。(2) 建设要点和内容网络审计由信息安全审计解决方案统一解决；对网络进行底层的 协议分析，对网络协议和通讯内容进行直接监控，这部分主要由部署 在管理支撑域的安全审计设备及安全管理平台实现，其中管理支撑域 的安全审计设备起到网络设备操作行为审计，安全管理平台实现各类 设备的操作日志审计。1.1.3.4.1

18、. 网络综合审计系统网络安全审计系统是针对业务网络资源进行策略化审计与管理 的新一代安全系统，它集内容审计、访问控制及身份认证于一体，通 过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与 阻断，实现对主机、服务器、数据库等资源的重点保护，从而为客户 业务网络系统提供强大的集中审计管理平台。功能如下：(1) 对网络操作进行实时监控、过程回放网络审计系统对数据库、FTP、Telnet、应用(业务)系统等登录 的操作进行详细的审计，包括登录者输入的各种命令、操作结果等。 实时监控、过程回放，就像网络世界的摄像机，真实地展现用户的操 作，系统管理员通过本系统看到的就是当时的实际操作界面和过

19、程。 利用这项功能，系统管理员可以直观、方便地了解系统被使用的情况， 尤其是在出现安全问题后，可以迅速地查找出责任人。（2）进行命令级的审计和访问控制网络审计系统可以对数据库操作、FTP、Telnet、应用（业务）系 统等进行命令级的审计和访问控制。审计系统在各主机系统原有的用 户权限基础上，进一步细分了主机、服务器、数据库系统的权限设置， 使得每个用户仅能够从事与自己身份相符合的操作。即使是多个人使 用同一个账号进行登录，审计系统也能区分出不同的用户，并且根据 不同的身份采取不同的审计和访问控制措施。（3）强大的审计报表网络审计系统提供了强大的审计报表功能，系统管理员可以根据 自己关心的内容

20、设置审计报表的输出。通过设置合理的审计报表，管 理员可以迅速、直观地了解到系统的运行情况、使用情况；如果发现 异常，可以利用审计系统的查询、分析、跟踪功能，定位出现问题的 人员、时间、操作内容等。1.1.3.4.2. 日志审计系统日志审计系统能通过主被动结合的手段，实时不间断地采集用户 网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及 各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心， 进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报 表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。面向系统的使用者，提供一个图形化的显示界面，展现安全审计 系统的

21、各功能模块，提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。1.1.3.5. 边界完整性（1）安全要求边界完整性强调内部用户不能私自通过拨号、无线网络等连接公 司外部的网络，外部用户不能私自接入到公司内网。（2）建设要点和内容这部分功能通可过部署准入控制及终端管理控制解决方案解决。控制及终端管理产品需要紧密围绕“合规”，以内网终端计算机 为管理对象，通过“终端准入控制、终端安全控制、桌面合规管理、 终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力 和合规管理水平，帮助用户构建起安全可信的合规内网。应该包括：终端准入控制终端安全控制

22、 桌面合规管理 终端泄密控制 终端审计1.1.3.6. 恶意代码防范（1）安全要求要求部署网络杀毒网关等。（2）建设要点和内容在外联接入区域、管理区域部署网络防毒墙实现。通过对网络流量的还原，分析，分析网络中的数据流的行为，检 测出隐藏的威胁。1.1.3.7. 网络设备防护（1）安全要求主要指网络设备的口令强度、登陆权限配置等。（2）建设要点和内容该部分的建设包含在“权限控制”章节中。1.1.3.8. 权限控制1.1.3.8.1. 安全要求安全标准对访问权限的控制提出了很高的要求，尤其是核心计算 域内。等保及PCI-DSS在权限控制方面主要提出了以下要求：（1）管理上要求制定详细的权限控制文档

23、，规范权限配置；（2）管理上要求制定明确的授权体系和授权方法；（3）技术上要求细致到帐户、用户级别的权限分配、控制和检 查；（4）技术和管理上同时要求权限使用行为可以追溯、审计。可以看出，权限控制需要一个管理和技术相结合的解决方案。根 据安全建设实践的经验，权限控制是一个长期动态的过程性任务，一 般通过自身管理制度整改+专家咨询服务+成品解决方案的联合部署 才能完成。1.1.3.8.2. 建设要点及内容（1）采用特权帐号管理系统着重解决登录密码的管理问题。实现：主机、网络设备的系统权限帐号集中管理，对密码的复杂度 进行设定，确保密码强度；定期自动修改系统权限帐号的密码。（2）采用堡垒机解决方案

24、着重解决登录的行为控制、审计问题。 实现：集中管理（堡垒机模式）：解决操作分散，无序的问题身份管理：解决操作者身份唯一的问题访问控制：解决操作者合法访问操作资源的问题 权限控制：解决操作者操作权限的问题操作审计：解决操作事故责任认定的问题1.1.3.9. 业务堡垒机系统业务堡垒机是针对企业内网的运维操作和业务访问行为进行细 粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的 身份进行认证，对各类运维操作和业务访问行为进行分析、记录、汇 报，以帮助用户事前认证授权、事中实时监控、事后精确溯源，加强 内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等） 的正常运行。1.1.4.

25、 数据安全总体设计1.1.4.1. 需求分析数据安全是降低敏感数据向内、外部泄露风险的最有效层面之一。 在该层面，防护的焦点在于数据本身，不论其传播途径如何，其目的 在于确保数据安然无恙。数据的移动性正日益加强，因此数据安全防 护至关重要。在市金融平台总体规划设计中，对于数据安全方面我们提出以下 要求或原则，以保证数据的安全、可靠：（1）根据数据安全程度要求不同，数据不同程度的加密原则数据加密特性为数据提供了一个额外的保护层。可以保护至关重 要的数据，甚至是介质被盗了，数据仍然是安全的。（2）为了实现数据安全、可靠的目的，数据需要细分或者分类市金融平台总体设计和规划中，对数据要提供最细的数据分

26、类支 持。数据分类利用多级安全性概念解决了市金融平台在实际中遇到的 数据安全和隐私问题。利用数据敏感度标签（例如“敏感”和“机密”）与用户标签授 权，提供完善的行级安全性控制。使用政策概念来存储标签定义和授权。该政策可直接在数据库中 进行管理，或在身份管理中进行集中管理。提供完善的API，可用于在数据库或身份管理中管理政策。（3）对数据限制性访问的要求在不影响应用程序功能的前提下快速而高效地保护现有程序：限制DBA和其他授权用户访问应用程序数据；防止应用程序DBA操纵数据库和访问其他应用程；更好的控制何人、何时、何地可以访问应用程序。可用于严格地控制应用程序的安全性，限制何人、何时、何地、 如

27、何访问应用程序。可以在不更改现有应用程序下灵活机变地使用这 些特性来实施授权。如日期时间、数据库客户端在网络上的位置之类 的因素，或特定于企业的客户因素可用于控制访问应用程序的能力。（4）数据审计要求数据库针对数据的各种操作提供标准的审计功能。既可以对用户 进行的数据库管理操作（登录、管理等）进行审计，也可以对用户的 各种DDL操作DML操作进行完整的审计。同时，如果某些敏感数据需要进行更细粒度的审计工作，数据库 提供了细粒度审计细粒度审计（FGA），可以理解为“基于政策的审 计气与标准的审计功能相反，FGA可用于指定生成审计记录必需的 条件：收集并整合审计数据。审计数据可以来自一个或多个数据

28、库， 可集中各个设计数据。简化合规性报告。内建的报告；定制的报告。检测及预防内部威胁。提早检测及警报嫌疑活动；监控及检测 数据变化。可伸缩性和安全性。采用审计策略导致更低的IT成本。集中管 理和供应使审计过程中操作和执行的复杂度降低，并减少整个系统中 软硬件的投入。集中的审计使各个数据源头的操作有了一个方便的对 比审查的功能，最终消除了审计孤岛现象。数据库审计可用来进行早期的检测和报警功能，可以定义警报来 检测以下情形:非应用程序用户尝试查看敏感列敏感系统中的新用户敏感系统中的角色授权所有系统中的DBA授权应用程序用户登录失败通过审计设置，数据库审计评估接受到的审计数据后发出警报。 并且能够向

29、电子邮件或PDA发送警报。最后，针对可疑操作生成警告 报表。针对以上数据安全要求，市金融平台总体规划设计中，对于数据 安全框架设计如下：图1数据安全框架图1.1.4.2. 技术方案1.1.4.2.1. 传输信息加密传输信息加密将传输的数据变为看上去无用的乱码，数据到达传 输的目的地再进行解密。在此期间攻击者无法读懂信息的内容从而保护数据信息。传输数据信息加密是保障信息安全的最基本、最核心的技术措施和理论基础，也是现代密码学的主要组成部分。1.1.4.2.2. 数据完整性数据完整性保护用于防止非法篡改，利用密码理论的完整性保护 能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务， 当信息

30、源的完整性可以被验证却无法模仿时，收到信息的一方可以认 定信息的发送者。1.1.4.2.3. 数据分类市金融平台总体设计和规划中，对数据要提供最细的数据分类支 持。数据分类利用多级安全性概念解决了市金融平台在实际中遇到的 数据安全和隐私问题。利用数据敏感度标签（例如“敏感”和“机密”）与用户标签授 权，提供完善的行级安全性控制。使用政策概念来存储标签定义和授权。该政策可直接在数据库中 进行管理，或在身份管理中进行集中管理。提供完善的API，可用于在数据库或身份管理中管理政策。1.1.4.2.4. 数据权限在不影响应用程序功能的前提下快速而高效地保护现有程序：（1）限制DBA和其他授权用户访问应

31、用程序数据；（2）防止应用程序DBA操纵数据库和访问其他应用程；（3）更好的控制何人、何时、何地可以访问应用程序。可用于严格地控制应用程序的安全性，限制何人、何时、何地、 如何访问应用程序。可以在不更改现有应用程序下灵活机变地使用这 些特性来实施授权。如日期时间、数据库客户端在网络上的位置之类 的因素，或特定于企业的客户因素可用于控制访问应用程序的能力。1.1.4.3.核心域数据安全1.1.4.3.1. 安全要求在安全规范中，对不同级别的域有不同的数据安全要求。而在实 际实施中，同样为了简化设计和降低运维难度，将采取就高原则，对 不同的域部署相同的数据安全策略，再对一些重点子域进行加强处理。数

32、据安全在类别上必须包括数据库、文件等数据类别，而在技术实现上将涉及到5个方面：（1）数据载体比如数据库、文件共享目录、主机、终端等没有安 全漏洞，具有有效的安全访问权限控制，没有偷窃数据的恶意代码等； 这方面已经在安全域划分、安全漏洞和权限控制等其他章节进行表达;（2）数据完整性保障和恢复，和存储方式、数据校验和数据备份有关，其中要求对备份下来的数据进行加密处理；（3）数据传输安全，要求在数据传输过程中对敏感数据加密，实 践中可通过现有网络进行VLAN，VPN配置以及使用协议加密方式来实 现；（4）防止数据泄露，需要对机密数据进行标识，即对数据进行分 类，可在使用过程中进行机密数据的鉴别，根据

33、企业的安全策略针对 数据泄露情况进行审计和报警；（5）为保证数据安全需要牵涉很多解决方案，大部分会在其他的 安全领域解决方案中被覆盖，比如网络层安全覆盖传输加密、备份系 统覆盖数据恢复，邮件审计覆盖邮件安全等。数据防止泄露是专门针 对数据安全领域的解决方案，该领域的解决方案有多种实现方法，其 中以数据内容检查为引擎的防泄露解决方案同时覆盖机密数据标识 和数据防泄露功能。1.1.4.3.2. 建设要点及内容针对以上的几点安全要求，需要不同的解决方案联合解决。其中 第一条和第三条在网络安全域划分、权限控制、安全漏洞等领域已经 得到解决。第二条数据的完整性和恢复。而针对剩余二点针对机密数 据的标识和

34、监控需求，可以选择防数据泄露解决方案解决。1.1.4.3.3. 数据防泄漏DLP系统需要部署数据防泄漏系统，通过网关及服务器的防护来保护核心 数据的安全。1.1.4.4. 核心域应用安全1.1.4.4.1. 安全要求对核心域有明确的应用级安全要求，主要领域为：（1）使用者身份鉴别和访问控制，权限控制章节已经覆盖这个领 域；（2）应用级别的安全审计，由信息安全审计章节进行覆盖；（3）通信完整性和通信加密，由网络安全建设进行覆盖；（4）软件容错，由主机集群软件进行覆盖；（5）重要应用的应用级防护，比如针对网站通过web协议漏洞进 行攻击，普通防火墙无法防护。应用安全领域第一到第四条基本上都有其他领

35、域的安全建设进 行覆盖，而第五条必须独立建设。由于应用的复杂性，应用安全在实 践过程中非常难以实现，所以通常选择最可能受到应用级攻击的应用 进行防护，即对外提供服务的网站应用。1.1.4.4.2. 建设要点及内容在应用级安全上，主要依赖应用软件安全架构设计及开发过程控 制来实现。因此，应用软件开发立项需要有安全评审，软件开发过程 需要有较好的过程控制手段，并在上线前进行安全测评工作。1.1.4.4.3. Web应用防护系统针对不断进化的7层应用层攻击，需要部署Web应用防护系统来 解决XSS，SQL注入，中间人伪造等攻击。主要通过Web应用安全网 关完成。1.1.4.5. 安全漏洞1.1.4.

36、5.1. 安全要求安全漏洞是一个传统的企业安全防护领域，根据安全规范的要求 以及业务的需求，安全漏洞主要关注的领域：（1）能够根据金融平台的安全策略进行漏洞扫描和检查；（2）为不同的安全域、应用或模块设置单独的漏洞扫描策略；（3）扫描出漏洞后要给出对应的解决方案，比如漏洞修补、访问 权限修正；（4）有定期的安全漏洞扫描报告进行企业安全漏洞状况解释;(5) 全面覆盖数据库、主机、网络应用和防火墙等，除了传统的 网络漏洞扫描，还需要具体细致到详细配置、授权帐户安全、目录文 件系统、网络访问安全等。1.1.4.5.2. 建设要点及内容安全漏洞防护主要依赖于策略性的扫描，以及根据扫描结果给出 的整改方

37、案。由于漏洞检查的全面性，以及需要依据不用的安全级别、 设备类型和应用制定不同的扫描策略，所以安全漏洞扫描方案必须要 有一个后台知识库支撑，该后台知识库必须是全球视野、及时更新、 覆盖全面。安全漏洞的检查和修补往往涉及到一大片主机和终端桌面，所以 在考虑安全漏洞防护的解决方案时，必须考虑通过服务器和终端标准 化管理解决方案进行配合，比如统一分发补丁、统一部署安全软件等。具体实现通过在管理支撑域部署漏洞扫描、补丁管理系统、终端 管理控制系统综合解决。1.1.4.5.3. 漏洞扫描系统漏洞扫描系统也称脆弱性扫描与管理系统，是基于网络的安全性 能评估与分析系统，它采用实践性的方法扫描分析网络系统，综

38、合检 测网络系统中存在的弱点和漏洞，并以报表的方式提供给用户，实时 提出修补方法和安全实施策略。采用国际最新的漏洞扫描与检测技术， 包括快速主机存活扫描技术、操作系统识别技术、智能化端口服务识 别技术、黑客模拟攻击技术、入侵风险评估技术等多种扫描技术的综 合应用，帮助用户快速、高效、准确地发现系统安全隐患并在短时间内修复漏洞，最大限度地降低系统安全风险，消除安全隐患。1.1.4.6. 行为防抵赖1.1.4.6.1. 安全要求达到核心域安全要求的所有领域，除了必须进行安全行为审计， 还需要有技术手段防止违规者进行抵赖。防止抵赖从2个方面进行：（1）管理制度上要有防抵赖措施，比如角色和权限分离，关

39、键行 为的签字备案等；（2）技术上的防抵赖措施，包括：在重要系统前部署堡垒机，所有管理行为必须先登陆堡垒机 再实施，在堡垒机上进行录像、日志记录等信息。对重要管理员的登陆行为、重要应用的访问通过CA证书进 行电子签名。在网络层部署安全审记系统、入侵检测系统进行协议实时分 析，掌握网络实际运行状况，配合进行防抵赖和安全审计。1.1.5. 主机安全总体设计1.1.5.1. 终端安全管理1.1.5.1.1. 安全要求终端是安全规范实践中总结出来的重要领域，牵涉到安全域、边 界安全、数据安全、资产管理、安全审计、安全漏洞等几乎所有的等 保范围。终端安全控制在理论和实践上都远比主机安全更加复杂。必 须遵

40、循以下4点的原则进行终端域的划分：（1）所有的终端都采用一个统一终端管理平台进行管理；（2）有明显的相同安全需求特征的计算机划入一个子域处理，进 行加强的安全防护；（3）大部分的终端作为一个单独子域处理，按照子域内最高的安 全需求进行防护；（4）对特殊的用户进行例外处理，所有的安全防护以不影响业务 为准。1.1.5.1.2. 建设要点及内容依据等保等安全规范的具体细则，我们对终端域的安全防护主要 涉及建设的要点阐述如下：（1）身份鉴别要求：身份鉴别要求用户和帐户一一匹配，对密码强度、登陆行 为等有明确的规范。建设要点及内容：通过集中用户管理、CA数字证书系统确保终端 用户接入的实现。每个终端登

41、录应用可以采用USB Key数字证书实现 身份鉴别。（2）边界完整性要求：安全域内的网络边界完整性必须在终端域内进行防护，要 防止私自通过拨号、无线等方式进行接入和外联等活动。建设要点及内容：这部分通过终端管理控制系统解决，终端管理 控制系统可以控制各个终端软件安装、系统进程、硬件设备等。（3）安全审计要求：和主机安全的安全审计一样，对终端域内的安全状况进行 审计，并对重要的管理员和用户行为进行审计。建设要点及内容：这部分由信息安全审计章节覆盖。（4）剩余信息保护要求：终端的剩余信息主要指重要角色的个人计算机硬盘、优盘 等，比如重要领导计算机的硬盘如果需要更换或者废弃不用必须进行 数据销毁处理

42、。建设要点及内容：报废是通过专门部门实施销毁的，严格遵循管 理规范执行。（5）数据安全要求：要求对个人计算机上的数据进行保护，这种保护体现在2 个方面，一个是防止数据丢失，要求对重要数据进行备份；另外是数 据防泄露，防止数据通过终端的行为而丢失。建设要点及内容：这部分内容由数据安全章节覆盖。（6）恶意代码防范要求：要求在终端上安装网络版的防恶意代码软件，比如杀毒软 件等。建设要点及内容：建设网络防病毒系统。（7）安全漏洞防护要求：要求对终端操作系统的补丁、服务和权限配置、软件安装 等有统一的标准和强制规范措施。建设要点及内容：通过部署漏洞扫描系统，定期检测终端安全状况。1.1.5.2. 身份鉴

43、别(1) 安全要求身份鉴别要求用户和账户一一匹配，对密码强度、登陆行为等有 明确的规范。对于核心域，要求采用两种或两种以上组合的鉴别技术 对管理用户进行身份鉴别，即我们通常说的双因子认证。通常有令牌 方案、证书方案等。(2) 建设要点和内容可以通过部署集中身份认证系统和数字证书系统，对管理员登陆 主机的行为进行强认证。1.1.5.3. 访问控制访问控制在安全规范中是指不同管理员角色的权限分离，比如数 据库管理员和操作系统管理员权限分开。这部分内容已经在权限访问 章节中覆盖。1.1.5.4. 安全审计安全要求主机安全的安全审计采用“大平台”集中管理方式，并 对重要的管理员和用户行为进行审计。这部

44、分由信息安全审计章节覆 盖。1.1.5.5. 剩余信息保护剩余信息保护是指，主机内存或者硬盘上的数据，必须在分配给 另外一个应用之前进行清除。如果硬盘损坏需要进行更换，硬盘离开 场地之前必须把数据进行清楚。这部分内容由应用软件本身的内存使用机制进行保证，并建立主机维修制度保证在硬盘维修之前清除数据。1.1.5.6. 入侵防范主机的入侵防范可以由主机IDS或者网络IDS来实现，主机IDS 可能造成主机运行不稳定，因此实践中一般选用网络IDS。网络IDS 已经在网络安全中进行了部署和配置。1.1.5.7. 恶意代码防范要求在主机上安装网络版的防恶意代码软件，比如杀毒软件等。 建议通过部署网络防毒系

45、统进行解决。1.1.5.8. 资源控制要求对单个用户可使用的系统资源进行限制，可以通过OS配置 用户资源配额实现。要求对主机CPU、内存、硬盘等资源进行监控，根据预设阀值进 行报警。可以通过部署网络管理系统进行管理，对核心服务器、网络 设备的资源状况进行监控。1.1.6. 统一安全运维管理平台1.1.6.1. 需求分析在安全运维上实现平台化，即统一安全运维管理平台。统一安全 运维管理平台的核心是对企业范围内的安全日志进行全面收集，然后 对日志进行分析，根据等保所要求的安全策略进行安全审计；在此基 础上，可以进一步挑选安全运维所关心的标志性事件，达到安全事件 管理的目的；再进一步，可以在这个运维

46、平台上进行各种安全法则和 各类安全策略输入，实现统一的安全运维管理平台（框架见下图）。实时讣折分析C胞局性推4）投呈现协调分析鼓掘台并|1散南过泌1.项U化，标准化处理关联分折HI设库， 配置压信息收集网堵设备 安M件风险沏洞 评彷系统全球漏洞成 警系统图2安全运维管理平台框架图1.1.6.2. 建设要点及内容采用安全管理平台（SOC）解决方案进行统一安全运维管理平台 的建设，实现安全审计、安全事件管理，两者融合，成为最终的统一 的安全运维管理平台。1.1.6.3. 安全事件管理安全事件管理通过建立金融平台信息安全事件应急预案，建设应 急响应保障体系，通过采购应急响应安全服务实现全面、快速的安

47、全 事件响应能力。1.1.6.4. 安全审计1.1.6.4.1. 安全要求安全审计是现阶段安全要求的重中之重，在数据安全、应用安全、 行为防抵赖、网络嗅探、主机和终端标准化等等领域中都有对安全审 计进行表达的内容。但是要形成统一安全运维平台，则必须从安全日 志着手，进行日志统一收集、分析和展现，才能针对企业范围内所有 安全行为、事件的全面审计。要求：安全审计必须实现：（1）对主机设备、网络设备、安全设备、数据库及应用系统等原 始日志信息进行100%收集；（2）按关键字实时对原始日志信息全文检索；（3）可以定时或实时向企业现有的运维系统、系统管理、网络管 理、安全监控系统等平台转发原始日志信息；

48、（4）对原始日志进行归档保存，满足内控和外审的需要；（5）可以按规则对日志进行过滤、索引和展现；（6）具有开发接口，可以按照等保要求进行内部和外部审计报表 展现；（7）在有审计要求的情况下，对邮件的发送和接收证据提供原始 记录。1.1.6.4.2. 建设要点及内容（1）在安全审计的实施当中，采用网络安全审计系统对网络行为 进行安全审计；审计系统是针对业务环境下的网络操作行为进行细粒 度审计的合规性管理系统。通过对被授权人员和系统的网络行为进行 解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、 违规行为响应、事后合规报告、事故追踪溯源，从而，加强内外部网 络行为监管，保障核心资产（

49、数据库、服务器、网络设备等）的正常 运营。(2)对于系统日志审计通过安全管理平台实现，安全管理平台将 收集存储各类设备的日志进行集中分析、关联分析，从而实现日志审 计功能。1.1.6.5. 信息资产管理1.1.6.5.1. 安全要求安全要求企业建立信息资产管理平台，对企业范围的信息资产建 立资产管理库，以实现资产汇总和分类、资产变更管理、资产评估等 目的；同时信息资产管理库也是实现IT标准化运维、服务器和终端 标准化、安全配置管理、安全审计等任务的重要基础。资产管理在各 级别的安全域中都有规定，贯穿整个安全建设。1.1.6.5.2. 建设要点及内容信息资产的管理可以通过安全管理平台的信息资产管

50、理模块实 现。1.1.7. 安全管理依据信息安全国际标准及等级保护的要求，遵循国家政策法规和 相关标准，结合金融业务局信息化实际，提出金融平台信息安全保障 体系框架，主要包括安全策略体系、安全组织体系、安全技术体系和 安全建设体系：(1)信息安全技术体系信息安全技术体系重点目标是实现对计算环境、区域边界、通信 网络与基础设施等多层次的安全保护，覆盖并实现对物理、网络、应 用系统、数据、主机、终端等各方面的安全保障，实现信息的保密性、完整性和可用性。（2）信息安全制度体系根据金融业务局现状，参考 GB/T22080-2008/ ISO/IEC27001：2005最佳实践并结合信息安全等级保护基本

51、要求和国 家相关标准，建设并形成一套完善的安全管理制度，覆盖全面，保证 信息安全体系的有效运转和持续改进。（3）信息安全组织体系信息安全组织体系是信息安全管理得以实现的重要保障。良好的 组织建设可保证信息安全建设需要的资源、资金、人员有效落实，安 全策略得到遵循，并通过内外部审计，督促信息安全建设和发展的持 续改善。（4）信息安全运维体系信息安全运维体系建设是为了加强信息系统、网络和基础设施的 运行安全管理，以ITIL的管理理念为指导，认真、高质量地做好各 信息系统的运维管理工作，确保各信息系统的安全运行。（5）信息安全考核体系建立健全信息安全指标和权重体系，通过定量定性对比分析，对各单 位信息安全水平和信息安全工作情况进行综合考核，促进责权紧密结 合。积极调动各单位信息安全建设积极性，促进金融业务局信息化健 康、快速发展。