等保三级方案x.docx
《等保三级方案x.docx》由会员分享,可在线阅读,更多相关《等保三级方案x.docx(64页珍藏版)》请在冰豆网上搜索。
等级化保护三级方案
目 录
1.需求分析 1
2.设计原则 1
3.参考标准与规范 2
4.方案详细设计 3
4.1.功能要求设计 3
4.1.1.防火墙 3
4.1.2.入侵检测系统 5
4.1.3.入侵防御系统 7
4.1.4.网闸 8
4.1.5.防病毒网关 10
4.1.6.数据库审计 10
4.1.7.网络审计 14
4.1.8.安全管理平台 17
4.1.9.堡垒机 22
4.1.10.终端安全管理系统 26
4.2.性能设计要求 54
4.2.1.防火墙 54
4.2.2.入侵检测系统 54
4.2.3.入侵防御系统 54
4.2.4.网闸 54
4.2.5.防病毒网关 55
4.2.6.数据库审计 55
4.2.7.网络审计 55
4.2.8.安全管理平台 56
4.2.9.堡垒机 56
4.2.10.终端安全管理系统 56
4.3.部署方案设计 56
4.3.1.防火墙 56
4.3.2.入侵检测系统 57
4.3.3.入侵防御系统 57
4.3.4.网闸 58
4.3.5.防病毒网关 58
4.3.6.数据库审计 58
4.3.7.网络审计 59
4.3.8.安全管理平台 59
4.3.9.堡垒机 60
4.3.10.终端安全管理系统 60
5.整体部署示意图 61
1.需求分析
(1)建立完善的访问控制体系,制定完善的访问控制策略,细粒度为端口级、单个用户。
(2)建立完善的审计、监控体系。
(3)建立完善的边界防御体系。
(4)建立完善的计算机病毒、恶意代码防护体系。
(5)建立完善的运维管理体系。
2.设计原则
本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施,并充分考虑到先进性、现实性、持续性和可扩展性。
具体体现为:
(1)等级标准性原则
本方案从设计到产品选型都遵循信息系统安全等级保护——第三级要求。
(2)需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。
应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定安全策略。
(3)综合性、整体性原则
安全模块和设备的引入应该体现系统运行和管理的统一性。
一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节,必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度,以保证组成系统的各个部分协调一致地运行。
(4)易操作性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
(5)设备的先进性与成熟性
安全设备的选择,既要考虑其先进性,还要考虑其成熟性。
先进意味着技
第61页
北京启明星辰信息安全技术有限公司
术、性能方面的优越,而成熟性表示可靠与可用。
(6)无缝接入
安全设备的安装、运行,应不改变网络原有的拓扑结构,对网络内的用户应是透明的,不可见的。
同时,安全设备的运行应该不会对网络传输造成通信
“瓶颈”。
(7)可管理性与扩展性
安全设备应易于管理,而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制,能够在网上监控设备的运行状况,进行实时的安全审计。
(8)保护原有投资的原则
在进行信息安全体系建设时,应充分考虑原有投资,要充分利用已有的建设基础,规划整体安全体系。
3.参考标准与规范
(1)中共中央办公厅、国务院办公厅 [2002]17号文《国家信息化领导小组关于我国电子政务建设指导意见》
(2)ISO17799/BS7799:
《信息安全管理惯例》
(3)1999GB17859-1999 (中华人民共和国国家标准)计算机信息系统安全保护等级划分准则
(4)公安部《信息安全等级保护管理办法》
(5)公安部《信息系统安全等级保护实施指南》
(6)公安部《信息系统安全等级保护定级指南》
(7)公安部《信息系统安全等级保护基本要求》
(8)公安部《信息系统安全等级保护测评准则》
(9)ISO/IECTR13335系列标准
(10)信息系统安全保障理论模型和技术框架IATF理论模型及方法论
(11)……
4.方案详细设计
4.1.功能要求设计
4.1.1.防火墙
(1)基于状态检测技术;支持路由、透明及混合模式部署。
(2)可针对源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全策略。
(3)支持静态路由和策略路由,可通过源接口、目标接口、源IP、目标
IP、协议类型、时间等条件设定策略路由;支持RIP、OSPF、BGP动态路由协议;支持ISP路由,能够提升用户对不同ISP网络访问时的路由效率,内置电信和联通地址库,同时用户可定义新的地址库。
(4)支持虚拟防火墙功能,可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置。
(5)支持802.1QVLAN。
(6)支持链路聚合(Link-Aggregation)功能以增加链路带宽并起到负载均衡和链路备份的作用,支持通过手动方式、IEEE802.3ad LACP方式来创建聚合链路。
(7)能够检测并阻断DDoS攻击和协议扫描,如Jolt2、Land-
Base、Smurf、Ping of death、winnuke 、teardrop、Syn flag、TCP
Flood、ARP攻击等攻击行为,以及TCP、UDP、PING扫描等扫描行为,可以设定扫描识别阈值,并对检测到的扫描主机进行屏蔽。
(8)支持QoS和带宽控制,能够基于策略针对特定对象进行控制,比如可以根据单个主机IP或子网段,目标IP和子网段,服务类型、时间分配等条件来进行带宽控制;支持策略带宽保证。
(9)具备完善的设备状态监控和会话管理功能:
可通过图形的方式动态显示设备的转发流量、系统连接数,以及根据不同的协议(如
Web、Email、FTP、UDP)区分的流量信息;可根据源地址、目的地址、端口号或协议类型等分类来查看目前设备的当前会话状态。
(10)支持免客户端的用户本地认证功能,用户必须在经过设备认证后才能访问特定网络。
(11)支持IPv6协议:
支持IPv6、IPv4双栈运行、支持ipv6路由、支持手工隧道、6to4隧道和ISATAP隧道。
(12)支持主动扫描IP-MAC对应关系,支持IP-MAC一键绑定功能。
(13)支持STP生成树协议。
(14)支持二三层链路状态联动。
(15)支持IGMPSnooping,能够优化防火墙工作在透明模式下时,对二层组播报文的转发控制。
(16)支持与IDS的联动功能。
(17)路由、透明、混合接入模式下均支持完整的NAT功能:
1)源地址NAT(多对一NAT)
2)目的地址NAT(多对一NAT)
3)目的端口转换
4)在DDNS应用模式下支持源地址NAT和目的地址/端口NAT
5)静态NAT(一对一NAT)
6)地址池NAT(多对多NAT)
7)服务器负载分担(一对多NAT)
(18)支持双机热备功能,包括主备模式(A/S)和主主模式(A/A)。
(19)支持连接状态自动同步。
(20)支持VRRP协议,包括VRRPV2和V3版本。
(21)支持三层链路监测。
(22)支持抢占优先级设置。
(23)支持配置自动同步。
(24)提供多种方式的管理界面,包括HTTPS、CONSOLE、SSH、TELNET
等。
(25)支持中英文管理界面。
(26)支持集中管理功能,可同时监控所有防火墙的运行状态,并支持对所有设备进行统一安全策略配置及进行版本升级。
(27)设备具有液晶显示屏,可在不登录设备的情况下实时显示设备运行状态、系统流量、管理地址等信息。
(28)支持管理员权限分级,支持用户自定义管理员权限表。
(29)支持本地日志、SYSLOG日志及NetFlow日志功能,支持在外接移动存储设备上存放本地日志;支持邮件报警功能,所发送邮件支持以加密
方式传送。
(30)支持集中日志存储、管理及分析功能,并配置相关软件;支持日志合并处理;支持日志压缩存储和传输。
(31)支持自动报表功能,用户可自行定义生成报表的周期、设备、日志类型、日志等级等;生成的报表可自动发送至用户指定邮箱。
(32)支持SNTP协议,可通过NTP服务器同步系统时间。
(33)支持双操作系统;支持多配置文件备份,最多可支持9个配置文件。
(34)支持配置向导,对于复杂配置可以通过向导的方式简化用户配置。
(35)支持设备运行状态自动记录,利于管理员分析问题。
4.1.2.入侵检测系统
(1)攻击检测能力
1)事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。
协议覆盖面广,事件库完备,能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件等各种攻击行为进行检测
2)具备基于原理的Web漏洞检测能力,精确识别SQL注入攻击,提供对重点服务器的入侵保护
3)支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和发现
4)具备碎片重组、TCP流重组、统计分析能力;具备分析采用躲避入侵检测系统技术的通信数据的能力;
5)采用基于行为分析的检测技术,对0day攻击能够很好防范。
具备协议自识别功能
6)具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量
(2)响应方式
1)应提供多种事件合并条件,避免事件风暴的产生
2)应支持下列实时响应方式:
实时告警、屏幕报警/声音报警、邮件报警、SNMP报警、自定义程序报警等
(3)日志与报表
1)应支持多种数据库类型,支持独立的日志报表模块部署。
同时提供专门的数据库维护功能
2)具备自定义报表功能,支持交叉统计和多元组合查询详细事件,支持导出为WORD\EXCEL\PDF\HTML等常用公文处理格式
(4)策略功能
1)应提供按照检测对象、攻击类型等分类的默认内置检测模版,且默认模版不可修改;提供向导化的策略编制方式
2)提供动态策略调整功能,对一些频繁出现的低风险事件,自动调整其响应方式
(5)管理功能
1)应具备集中管理功能,可实现分布部署、集中式安全监控管理和配置管理,日志报表模块可独立部署,适合大规模部署环境
2)各组件间(管理平台与引擎等)使用加密信道通信
3)简便易用的GUI管理界面,要求能够对显示窗口进行自定义
4)具有设备的拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑
5)同时支持多个用户监测台的设置,支持至少8个以上的多用户监测台设置
(6)用户管理
1)对授权用户根据角色进行授权管理,提供用户登录身份鉴别和防暴力猜解;可以严格按权限来进行管理
2)要求对用户分级,并能够调整对不同用户的具体权限,提供不同的操作。
对各级权限的用户行为进行审计
(7)升级管理
1)具备独立的升级管理中心,可对控制中心和设备进行升级
2)控制中心可以统一对下级控制台和设备进行升级
3)可
升级会员 