等级保护技术方案

《等级保护技术方案》由会员分享，可在线阅读，更多相关《等级保护技术方案（19页珍藏版）》请在装配图网上搜索。

1、信息系统等级保护建设指导要求（三级）目录1. 范围 错. 误 !未定义书签。2. 项目背景 错. 误!未定义书签。2.1. 前言 错. 误 ! 未定义书签。2.2. 开展信息安全等级保护的法规、政策和技术依据 错误 !未定义书签。2.2.1 信息安全等级保护有关法规、政策、文件 错误 !未定义书签。2.2.2 信息安全等级保护技术标准体系及其关系 错误 !未定义书签。3. 方案设计要求 53.1. 方案设计思想 53.1.1 构建符合信息系统等级保护要求的安全体系结构 53.1.2 建立科学实用的全程访问控制机制 53.1.3 加强源头控制，实现基础核心层的纵深防御 63.1.4 面向应用，构

2、建安全应用支撑平台 73.2. 建设原则 73.3. 建设内容 93.3.1 信息系统定级整改规划 错误 !未定义书签。3.3.2 信息系统安全等级保护整体架构设计（三级） 错误 !未定义书签。3.4. 计算环境安全设计 1.15.1.1 用户身份鉴别 错. 误 !未定义书签。5.1.2 强制访问控制 错. 误 ! 未定义书签。5.1.3 系统安全审计 1.25.1.4 用户数据完整性保护 1.25.1.5 用户数据机密性保护 错. 误 !未定义书签。5.1.6 客体安全重用 错. 误 !未定义书签。5.1.7 程序可执行保护 错. 误 !未定义书签。3.5. 区域边界安全设计 1.25.2.

3、1 区域边界访问控制 1.25.2.2 区域边界包过滤 1.55.2.3 区域边界安全审计 1.65.2.4 区域边界完整性保护 错. 误 ! 未定义书签。3.6. 安全通信网络设计 1.73.7. 安全管理中心设计 错. 误 !未定义书签。4. 物理安全要求 错. 误 !未定义书签。4.1. 信息系统中心机房安全现状 错. 误 !未定义书签。4.2. 信息系统物理安全方面提出的要求 错误 !未定义书签。4.3. 信息系统物理安全建设 错. 误 !未定义书签。5.3.1 环境安全 错. 误 !未定义书签。5.3.2 设备安全 错. 误 !未定义书签。5.3.3 介质安全 错. 误 ! 未定义书

4、签。5. 管理安全要求 错. 误 !未定义书签。5.1. 信息系统安全管理的要求 错. 误 !未定义书签。5.2. 信息系统安全管理建设设计 错. 误 !未定义书签。6.2.1 安全管理建设原则 错. 误 !未定义书签。6.2.2 安全管理建设指导思想 错误 !未定义书签。6.2.3 安全管理建设具体措施 错误 !未定义书签。5.3. 信息系统安全建设总结 错. 误 !未定义书签。6. 设备要求 错. 误 !未定义书签。6.1. 设备选型原则 错. 误 !未定义书签。6.2. 产品分类选型指标 错. 误 !未定义书签。6.2.1.主机安全管理平台指标 错误 !未定义书签。6.2.2. 应用安全

5、防护系统指标 错误 !未定义书签。6.2.3. 终端安全防护系统（服务器版）指标 错误 !未定义书签。6.2.4. 终端安全防护系统（ PC 版）指标 错误 !未定义书签。6.2.5. 身份认证网关指标 错. 误 !未定义书签。6.2.6. 数据库审计系统指标 错. 误 !未定义书签。6.2.7. 防火墙选型指标 错. 误 ! 未定义书签。6.2.8. 防病毒网关指标 错. 误 ! 未定义书签。6.2.9. 入侵检测系统指标 错. 误 !未定义书签。6.2.10. 漏洞扫描系统指标 错. 误 !未定义书签。6.2.11. 抗拒绝服务系统指标 错. 误 !未定义书签。6.2.12. 流量控制网关

6、指标 错. 误 !未定义书签。6.2.13. 网络审计系统指标 错. 误 !未定义书签。6.2.14. VPN 设备选型指标 错误 !未定义书签。6.3. 信息系统安全等级保护建设安全产品配置清单（三级） 错误 !未定义书签。附件一：术语和定义 错. 误 !未定义书签。附件二：方案设计参考法规、政策、标准（含国标、行标、已送批）列表 错误 !未 定义 书 签。可编辑1. 方案设计要求2.9. 方案设计思想2.9.1. 构建符合信息系统等级保护要求的安全体系结构平台安全建设需要在整体信息安全体系指导下进行实施， 保证信 息安全建设真正发挥效力。随着计算机科学技术的不断发展， 计算机产品的不断增加

7、， 信息 系统也变得越来越复杂。 从体系架构角度看， 任何一个信息系统都由 计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用 户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件 以及外部设备及其连接部件组成， 计算环境的安全是信息系统安全的 核心，是授权和访问控制的源头；区域边界是计算环境的边界，对进 入和流出计算环境的信息实施控制和保护； 通信网络是计算环境之间 实现信息传输功能的部分。 在这三个层次中， 如果每一个使用者都是 经过认证和授权的， 其操作都是符合规定的， 那么就不会产生攻击性 的事故，就能保证整个信息系统的安全。2.9.2. 建立科学实用的全程访问控制机

8、制访问控制机制是信息系统中敏感信息保护的核心， 依据计算机 信息系统安全保护等级划分准则( GB17859-1999 )(以下简称GB17859-1999 ）：三级信息系统安全保护环境的设计策略， 应“提供有关安全策略 模型、数据标记以及主体对客体强制访问控制”的相关要求。 基于 “一个中心支撑下的三重保障体系结构” 的安全保护环境， 构造非形 式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按 照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。 由安全管理中心统一制定和下发访问控制策略， 在安全计算环境、 安 全区域边界、 安全通信网络实施统一的全程访问控制， 阻止对非授

9、权 用户的访问行为以及授权用户的非授权访问行为。2.9.3. 加强源头控制，实现基础核心层的纵深防御终端是一切不安全问题的根源，终端安全是信息系统安全的源 头，如果在终端实施积极防御、综合防范，努力消除不安全问题的根 源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终 端，内部恶意用户更是无法从网内攻击信息系统安全， 防范内部用户 攻击的问题迎刃而解。安全操作系统是终端安全的核心和基础。 如果没有安全操作系统 的支撑，终端安全就毫无保障。 实现基础核心层的纵深防御需要高安 全等级操作系统的支撑， 以此为基础实施深层次的人、 技术和操作的 控制。2.9.4. 面向应用，构建安全应用支撑

10、平台在当前的信息系统中，不仅包括单机模式的应用，还包括 C/S 和 B/S 模式的应用。 虽然很多应用系统本身具有一定的安全机制， 如 身份认证、权限控制等，但是这些安全机制容易被篡改和旁路，致使 敏感信息的安全难以得到有效保护。另外，由于应用系统的复杂性， 修改现有应用也是不现实的。因此，在不修改现有应用的前提下，以 保护应用的安全为目标，需要构筑安全应用支撑平台。本方案拟 采用安全封装的方式实现对应用服务的访问控制 。应用 服务的安全封装主要由可信计算环境、 资源隔离和输入输出安全检查 来实现。通过可信计算的基础保障机制建立可信应用环境， 通过资源 隔离限制特定进程对特定文件的访问权限 ，

11、从而将应用服务隔离在一 个受保护的环境中， 不受外界的干扰， 确保应用服务相关的客体资源 不会被非授权用户访问。 输入输出安全检查截获并分析用户和应用服 务之间的交互请求，防范非法的输入和输出。2.10. 建设原则信息系统安全建设项目依托现有网络环境， 基于严格的管理架构 及信息系统运营模式。 要实现信息安全整体体系及安全联动机制的统 一规划，需要严格遵循一定的建设原则与标准。主要包括： 需求、风险、代价平衡分析的原则综合性、整体性原则易操作性原则多重保护原则可评价性原则 考虑到信息系统安全建设依托单位网络信息中心实现系统管理 和运维，其直接实现信息安全管理与技术建设。 需要在网络信息中心 的

12、统一规划指导下开展信息安全建设。建议按照“统一规划、分步实 施”原则，针对单位内管理及使用的各信息系统按安全等级划分后进 行信息安全等级保护的统一规划设计与分步建设实施。参照信息系统（三级）的技术设计思路和建设内容，遵照等级保 护相关标准和要求， 按照等保相应级别系统的安全要求， 进行信息安 全等级保护的规划设计。2.11. 参考标准中华人民共和国计算机信息系统安全保护条例 （ 国务院 14 号令） 国家信息化领导小组关于加强信息安全保障工作的意见 （中办发 200327 号）关于信息安全等级保护工作的实施意见 （公通字 200466 号） 信息安全等级保护管理办法 （公通字 200743 号

13、） 计算机信息系统安全保护等级划分准则 （GB17859-1999 ） 信息系统安全 等级保护定级指南信息系统等级保护安全设计技术要求 （ GB/T25070-2010 ） 信息系统安全 等级保护基本要求 （GB/T22239-2008 ） 信息系统安全 等级保护实施指南信息系统安全等级保护测评要求信息安全技术操作系统安全评估准则(GB/T20009-2005)信息安全技术信息系统安全管理要求(GB/T20269-2006)信息安全技术网络基础安全技术要求(GB/T20270-2006)信息安全技术信息系统通用安全技术要求(GB/T20271-2006 )信息安全技术操作系统安全技术要求(GB

14、/T20272-2006)信息安全技术数据库管理系统安全技术要求(GB/T20273-2006 )2.12. 建设内容平台安全基本涉及到如下方面:作为海量数据的处理平台，平台安全控制要做到如下:安全可靠：能够有效屏蔽恶意的访问可伸缩：能够随着规模的扩大，无需更改架构就可以支持易于管理：支持大规模分布式管理，单入口就可以管理所有设备和系统及应用的安全方便用户：不能因为安全要求高，而降低了用户的交互友好度2.13. 安全拓扑示意图Internell/iDDosVM VM VM VM艸 VM VM vFU J VM VM VM VkfJJJJJJJJJJJJI iiiittfl:网络监控平台部署说明

15、：1、网络边界部署抗DDos系统，防护外部僵尸主机对网络及业务系统的攻击，保障网络的高可用性；2、部署边界防火墙设备，并开启 VPN模块，防护来自外部的安全威胁及访问控制，并对网络间传输的数据进行加密；3、部署入侵防护系统，避免业务系统遭受来自外部的入侵攻击；4、在虚拟化平台部署安装虚拟防火墙，对东西向流量进行防护，及各 VM 间进行隔离。2.14. 详细设计方案2.14.1. 计算环境安全设计计算环境安全是整个安全建设的核心和基础。 计算环境安全通过 终端、应用服务器和数据库的安全机制服务， 保障应用业务处理全过 程的安全。系统终端和服务器通过在操作系统核心层和系统层设置以 强制访问控制为主

16、体的系统安全机制， 形成严密的安全保护环境， 通 过对用户行为的控制， 可以有效防止非授权用户访问和授权用户越权 访问，确保信息和信息系统的保密性和完整性， 从而为业务系统的正 常运行和免遭恶意破坏提供支撑和保障。2.14.1.1. 系统安全加固1）操作系统加固：进行操作系统裁剪，只安装满足业务需求的 “最 小操作系统”2）加强安全基线配置3 ）数据库加固：操作系统和数据库程序数据文件安装在不同分区 上；在非系统卷上安装数据库程序和文件；只安装业务需要的组 件，不安装如升级工具、开发工具、代码示例、联机丛书等不必 要组件；限制客户端计算机连接到数据库服务器所能够使用的协 议的范围，并确保这些协

17、议的安全性， 如限制只使用 TCP/IP 协议； 限制客户端计算机连接到数据库服务器所使用的特定端口，不使 用默认端口。2.14.1.2. 系统安全审计计算环境各区域中的安全控制点，包括防火墙、IPS、防病毒网关等设备功能的审计模块记录系统的相关安全事件。 审计记录包括安 全事件的主体、客体、时间、类型和结果等内容。审计管理平台提供 审计记录查询、分类、分析和存储保护，对特定安全事件进行报警， 同时终端安全加固系统能够确保审计记录不会被非授权用户访问。2.14.1.3. 用户数据完整性保护在 VPN 设备的安全功能支撑下，对通过网络传输的数据进行校 验、保证重要数据在网络传输过程中的完整性。2

18、.14.2. 区域边界安全设计安全区域边界是对定级系统的安全计算环境的边界，以及安全计 算环境与安全通信网络之间实现连接功能进行安全保护的部件。2.14.2.1. 区域边界访问控制防火墙在安全区域边界实施相应的访问控制策略， 对进出安全区 域边界的数据信息进行控制，阻止非授权访问。要求：1）网络构架设计上应根据 web服务器、应用服务器及数据库服 务器重要性和所涉及信息的重要程度等因素， 利用防火墙划分在不同 的网段，避免将应用服务器及数据库服务器等信息系统核心服务器部 署在网络边界处，不可将这类服务器直接连接外部信息系统。 重要服 务器与其他网段之间通过采取可靠的技术隔离手段；信息系统服务器

19、只开放web服务相关端口，关闭其它服务及端口。根据信息系统服务的具体内容，可以开放如下端口：端口服务25邮件发送服务110POP邮件服务80信息系统服务443安全信息系统服务2 ）流量控制设备对网络流量进行实时监控和合理限制，保证网 络带宽和业务服务的持续可用。3）抗拒绝服务系统有效防范拒绝服务等网络攻击，保证系统的 完整性和可用性。外部接入区的防病毒网关设备阻止恶意代码进入信息系统中，形成对局域网内部的设备和资源的有效保护。防病毒应采用防病毒网关与防病毒软件联动的方式，从而实现从 边界到内部全面有效的抵御病毒的攻击要求：1） 防病毒网关主要用于对病毒的查杀， 可是，由于这些软件是通 过病毒特

20、征库来实现对病毒的防御与查杀，因此对于新出现的病毒， 防病毒网关总会存在一定的迟滞时间， 给信息系统带来安全隐患。 因 此，需要通过对信息系统的服务器操作系统进行安全加固， 对业务应 用系统进行完整性保护， 使操作系统和业务应用对于病毒和恶意代码 实现自免疫，即使是新出现的病毒，也能够保证不会被入侵或破坏。2）信息系统系统中相关各个服务器及工作站必须安装计算机防 病毒软件，终端安全防护系统（服务器版、 PC 版），在网络边界安装 硬件统一威胁管理（ UTM ）等设备，形成服务器、终端操作系统加 固软件、 主机防毒软件及网络防毒硬件构成的病毒防御体系。 病毒防 御体系应具备如下功能：执行程序完整

21、性保护 恶意代码主动防御 病毒事件报警，病毒事件日志查询与统计 全网查杀病毒，实时监控客户端防毒状况 集中控制及管理防毒策略 防病毒系统自我保护 系统主动防御，恶意行为检测，隐藏进程检测 病毒库在线升级及离线升级 客户端漏洞检测与补丁分发 控制未知病毒、蠕虫、间谍软件执行3）信息系统管理人员应及时升级防毒墙和防病毒软件的病毒库，提高其抵御病毒的能力。 应定期利用防病毒软件扫描各个服务器及工 作站操作系统的安全现状。 定期查看主机恶意代码免疫软件中的审计 日志，及时发现服务器及工作站操作系统中存在的未知病毒、 木马等 恶意可执行代码。入侵检测系统在外部接入区检测外部对内部系统的入侵行为。 将网络

22、入侵检测产品放置在比较重要的网段内，监视网段中的各 种数据包。 对每一个数据包或可疑的数据包进行特征分析。 如果数据 包与产品内置的某些规则吻合， 入侵检测系统应发出警报甚至直接切 断网络连接。网络入侵检测系统应能够检测来自网络的攻击，能够检测到超过 授权的非法访问。 无需改变服务器等主机的配置， 不在业务系统的主 机中安装额外的软件， 不影响这些机器的 CPU、I/O 与磁盘等资源的 使用，不影响业务系统的性能2.14.2.2. 区域边界包过滤区域边界部署的防火墙产品通过检查数据包的源地址、 目的地址、 传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。在服务器前端开启防火墙的应

23、用安全审计功能模块。能有效的审 计各种恶意的网络攻击手段。2.14.2.3. 区域边界安全审计区域边界部署的防火墙、开启防病毒功能模块、部署 IPS 入侵防 御对确认的风险行为及时防御及报警。2.14.2.4. 网络入侵防御能力入侵防御是对防火墙极其有益的补充，入侵防御系统能在入侵攻 击对系统发生危害前， 检测到入侵攻击， 并利用报警与防护系统驱逐 入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被 入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加 入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵防 御被认为是防火墙之后的第二道安全闸门， 在不影响网络性能的情况

24、 下能对网络进行监听， 从而提供对内部攻击、 外部攻击和误操作的实 时保护 ,大大提高了网络的安全性。2.14.2.5. 防病毒能力边界防火墙开启防病毒功能，在出口处实时检查网络数据流，防 止恶意和不必要的应用及 web 内容进出网络，实现办公区域网络最 大化保护、控制与使用。通过利用 ASIC 加速的数据检查引擎，可在 不影响网络流量速度的前提下快速准确地检查并分类 HTTP/HTTPS 、FTP、SMTP 和 POP3 数据。此外，基于用户和用户 群的 URL 过滤引擎和应用控制可协助管理员实现网络应用策略。间 谍软件、病毒、 rootkit 攻击、广告软件和木马等恶意内容在网关处即可被识

25、别并拦截下来。 并保证防病毒软件并已升级到最新版本的病 毒库软件，大大减少病毒、木马等攻击行为。2.14.2.6. 应用安全防护能力服务器和存储系统承载的关键系统和重要数据，该网络是安全防 范的重点， 数据中心网络的出口部署高性能入侵防御系统， 可以有效 阻止针对数据中心网络的攻击行为，复用互联网出口的 DDoS 拒绝 服务攻击防护系统， 对服务器的应用层攻击进行清洗， 保证系统的正 常运行；2.14.3. 安全通信网络设计安全通讯网络是对定级系统安全计算环境之间进行信息传输实 施安全保护的部件。采用 VPN 技术实现远程通信数据传输的完整性和保密性。2.14.4. 虚拟化主机安全防护虚拟化主

26、机安全， 面向虚拟化主机层面的安全防护、 检测与审计。 通过 NFV 化的安全能力，提供主机层面的安全能力。提供安全能力包括：? 入侵防御（虚拟补丁） ；? 防病毒（ AV ）；? 虚拟机防火墙（ vFW ）。有效隔离，有效防护虚拟机安全，是虚拟化安全的重点，在云平 台安装软件虚拟防火墙vFW，解决VM之间的互访安全，对网络不 可见的东西向流量进行隔离和防护，从网络层和VM多层面解决虚拟 化网络安全问题。通过云安全服务平台，可以对部署于宿主机内的安全组件进行管 理和监控。使安全管理员可以方便的创建和管理安全策略，并提供基于主机层面的安全事件、网络行为可视化分析，以及安全报表等功能。2.14.5

27、. 系统运行保障该系统确保整体分布舆情系统的稳定运行和及时处置，在网络中 部署网络监控管理平台，对全网服务器运行状态进行监控；2.14 6设备清单选型及参数序号产品名称配置信息备注1流量清洗设备清洗容量10G ；小包防御能力1480万；2U机架式安装；台2防火墙/VPN设备吞吐 28Gbps ；建议用户数 3000-5000 ；最大并发连接数400W ；每秒新建连接数28W ；台防病毒吞吐量12G;IPS吞吐量8G;SSL最大并发用户数2,048 ;IPSEC吞吐 360Mbps ；IPSec 隧道数 10000 ；VRF个数（虚拟防火墙）512 ；2U机架式安装；3入侵防护系统IPS吞吐8G ；整机新建12w ；整机并发220w ；2U机架式安装；台4虚拟防火墙软件产品套