某市社保局信息安全解决方案文档格式.docx
《某市社保局信息安全解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《某市社保局信息安全解决方案文档格式.docx(43页珍藏版)》请在冰豆网上搜索。
2.3.1威胁来源∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙11
2.3.2非人为的安全威胁∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙12
2.3.3人为的安全威胁∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙12
2.4网络安全风险分析∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙15
2.4.1物理安全风险∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙15
2.4.2终端安全风险∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙15
2.4.3网络安全风险∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙16
2.4.4系统安全风险∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙17
2.4.5管理安全风险∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙17第三章建设需求分析∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙19
3.1自身安全防护的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙19
3.1.1互联网出口单点故障∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙19
3.1.2对基础防护平台的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙20
3.1.3对统一运维审计平台的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙21
3.1.4对集中安全管理的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙21
3.1.5管理安全的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙22
3.2芜湖社保局的符合政策层面的需求∙∙∙∙∙∙∙∙∙∙∙∙∙∙22第四章整体方案设计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙24
4.1方案设计原则∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙24
4.2信息安全规划图∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙26
4.3规划内容简介∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙26第五章方案详细设计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙27
5.1详细设计概述∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙27
5.2计算环境防护∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙27
5.2.1终端安全管理∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙27
5.3安全边界防护∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙31
5.3.1防火墙部署∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙31
5.3.2网闸部署∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙32
5.4保护通信网络∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙34
5.4.1负载均衡系统∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙34
5.4.2安全运维审计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙37
5.5安全管理平台∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙39
5.5.1安全措施选择∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙39
5.5.2安全措施整合∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙40
5.5.3技术部署选择∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙40
5.5.4安全策略设计∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙41
5.5.5安全功能要求∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙41第六章天融信公司简介∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙43
第一章项目背景
1.1信息安全严峻形势
近几年以来全球网络威胁持续增长,网络罪犯在恶意代码和服务的开发、传播和使用上愈发趋于专业化,目的愈发商业化,行为愈发组织化,手段愈发多样化。
网络犯罪背后的黑色产业链获利能力大幅提高,互联网的无国界性使得全球各国用户都避之不及,造成的损失也随着范围的扩散而快速增多。
二十年前,黑客攻击网络、窃取信息主要是为了好奇或者想炫耀自己的能力。
而今,网络攻击更多的是获取经济利益的目的,已经形成了黑色产业链。
这意味着,网络安全形势已日趋严峻。
此外,近年来随着全球网络通讯技术高度发展,带宽的不断增加,互联网兼容人数迅速增长。
与此同时,公民的隐私及安全问题很突出,特别是涉及公众个人的隐私泄露,如银行卡及手机支付等个人账号密码信息的窃取,给公众带来很多损害,引起群众的强烈反响。
新兴IT技术的应用,物联网、云计算、移动互联、社交网络以及三网融合等等技术正成为IT领域发展的新动向,引起了企业的关注、用户的关注。
但是它们的发展正在成为病毒泛滥和黑客攻击的新的温床。
而且一旦出现问题,其破坏力将会越来越大。
近年来,利用信息网络的安全漏洞或后门窃取、倒卖涉密信息获取利益,或在互联网上恶意公开个人私密信息的事件频繁发生;
而传统网络IP化、设备实现软件化、3G业务等新技术、新形式的出现,电信网、互联网和重要信息系统面临的安全形势越来越严峻。
尤其是公共电话网络,已逐渐变成继互联网、短信网络之后一个新的骚扰平台,仅在2008年有记录可查的骚扰电话数量就超过9000万次,而未被投诉和发现的骚扰电话数量则至少超过2亿次。
信息安全问题随着国家信息化战略的推广凸显其重要地位。
信息安全不仅给国家信息化进程带来现实的挑战,而且基于信息网络的渗透、攻防、电子战
等概念,也影响到国防安全,给国家与国家之间带来新的竞争关系,直接影响到国家安全和社会稳定。
芜湖市人力资源与社会保障局各层领导对安全工作非常重视,从逐年加大在安全建设方面的投资,进行了一系列的安全组织、制度、管理和技术方面的安全建设工作,在近期要求的安全工作包括加强基础安全管理,包括落实组织保障和安全责任;
逐步开展安全建设。
要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系;
要集中统一建设必备的网络安全防护手段;
在划分安全区域,统一边界的基础上,实现重点防护和隔离。
1.2单位职能简介
芜湖市人力资源和社会保障局主要职责
l贯彻执行国家、省人力资源和社会保障工作方针政策和法律法规;
起草有关地方性法规规章草案;
l拟订人力资源和社会保障事业发展规划、政策并组织实施和监督检查。
拟订并组织实施全市人力资源发展规划、需求目录工作,拟定人才流动政策法规,负责全市人才开发、人才引进工作,建立全市统一规范的人力资源市场,促进人力资源合理、有效配置。
l负责促进就业工作,拟订统筹城乡就业发展的规划和政策,完善公共就业服务体系;
建立就业援助制度,完善职业资格制度;
统筹建立面向城乡劳动者的职业培训制度。
第二章安全风险分析
2.1风险分析方法
分析安全风险的方法,主要参考ISO13335,从信息资产、漏洞(弱点)、威胁等多个因素进行全面的评估,具体分析模型如下图所表示:
图3.3.1ISO13335以风险为核心的安全模型示意图
说明:
Ø
芜湖社保局所面临的安全风险的大小,是与芜湖社保局所拥有的信息资产对应的,因为信息资产拥有价值,这种价值则增加了安全风险的等级;
芜湖社保局信息资产总是存在一些弱点(即漏洞),这些弱点被安全威胁利用后,造成安全风险的增加;
针对芜湖社保局的信息资产,总是存在一些人为的或者非人为的威胁因素,而威胁只有利用了信息资产的弱点之后,才会转换为对信息资产的风险;
因为芜湖社保局存在安全风险,为降低安全风险,芜湖社保局必须采取必要的安全措施;
同时安全风险的存在使芜湖社保局产生了对安全的需求,安全需求只有在采取了相当的安全措施以后,才能够被满足。
下面,我们将根据所描述的信息资产分析的结果,进一步从安全威胁、安全弱点进行全面的分析,从而归纳出芜湖社保局信息网所存在的安全风险,并引导出芜湖社保局信息网对安全防护体系的需求。
2.2网络安全弱点分析
弱点是资产本身存在的,可以被威胁利用、引起组织信息资产或业务目标的损害,一般的,安全风险总是针对系统的安全弱点,所谓安全弱点就是系统在某个方面存在缺陷,而有可能被系统的攻击者利用,对系统发起攻击。
所以安全弱点是分析安全风险的首要因素,针对芜湖社保局信息网络,我们分析其存在以下的安全弱点:
2.2.1网络结构脆弱性
针对芜湖社保局信息网络的基础协议-TCP/IP,由于其自身的缺陷,也使芜湖社保局信息网络存在先天的一些弱点。
TCP/IP协议在产生之处,还没有全面考虑安全方面的因素,因而在安全方面存在先天的不足,典型利用TCP/IP协议的弱点,发起攻击行为的就是“拒绝服务攻击”,比如“SYN FLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。
利用TCP/IP协议弱点例子还有就是IP欺骗攻击,IP欺骗由若干步骤组成,首先,目标主机已经选定。
其次,信任模式已被发现,并找到了一个被目标主机信任的主机。
黑客为了进行IP欺骗,进行以下工作:
使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。
然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。
如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。
使被信任主机丧失工作能力,攻击者将要代替真正的被信任主机。
2.2.2系统和应用脆弱性
ID
名称
说明举例
1
Backdoor
各种后门和远程控制软件,例如BO、Netbus等
2
BruteForce
各种浏览器相关的弱点,例如自动执行移动代
码等
3
CGI-BIN
各种CGI-BIN相关的弱点,例如
PHF、wwwboard等
4
Daemons
服务器中各种监守程序产生弱点,例如amd,
nntp等
5
DCOM
微软公司DCOM控件产生的相关弱点
6
DNS
DNS服务相关弱点,例如BIND 8.2远程溢出弱
点
7
E-mail
各种邮件服务器、客户端相关的安全弱点,例
如Qpopper的远程溢出弱点
8
Firewalls
各种防火墙及其代理产生的安全弱点,例如
Gauntlet Firewall CyberPatrol内容检查弱点
9
FTP
各种FTP服务器和客户端相关程序或配置弱点,
例如WuFTPDsiteexec弱点
10
Information
Gathering
各种由于协议或配置不当造成信息泄露弱点,
例如
升级会员 