网络安全等级保护设计要求应用指南.docx
《网络安全等级保护设计要求应用指南.docx》由会员分享,可在线阅读,更多相关《网络安全等级保护设计要求应用指南.docx(174页珍藏版)》请在冰豆网上搜索。
网络安全等级保护设计要求应用指南
网络安全等级保护设计要求
应用指南
第1章概述
1.1编制目的
1.2读者对象
本指南主要针对网络运营者以及网络服务提供商,指南中的大多数场景均为比较成熟的设计案例,同时对网络安全等级保护安全设计技术要求进行了详细的分析和解读,能够协助网络运营这和网络服务提供商更为准确的理解标准要求的意图,帮助其设计建设满足网络安全等级保护要求的网络和信息系统;同时,本指南也可为网络安全厂商、网络安全从业者在进行网络安全等级保护方案设计、安全产品的部署、安全技术的使用提供正确的指导。
1.3文档结构
1.4术语说明
安全通信网络
对网络和信息系统安全计算环境之间进行信息传输及实施安全策略的相关部件。
安全区域边界
对网络和信息系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
安全计算环境
对网络和系统的信息进行存储、处理及实施安全策略的相关部件。
安全管理中心
对网络和信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。
信息系统互联
通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。
云计算
一种通过网络将将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。
云服务商
供云计算服务的参与方。
云服务客户
为使用云计算服务而处于一定业务关系中的参与方。
云计算平台
云服务商提供的云基础设施及其上的服务软件的集合。
云计算环境
云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。
移动互联系统
采用了移动互联技术,以移动应用为主要发布形式,用户通过mobileinternetsystem移动终端获取业务和服务的信息系统。
物联网
将感知节点设备通过互联网等网络连接起来构成的系统。
感知层网关
将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。
感知节点设备
对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。
1.5网络安全等级保护设计要求总体情况
1.5.1设计要求主要变化
●安全能力要求的变化
网络安全等级保护安全设计技术要求在安全能力要求方面强调变被动防御为主动防御、变单点防御为全局防御、变静态防御为动态防御、变粗放粒度防护为精准粒度防护。
构建网络和信息系统安全综合防控体系,实现精准、及时的预警,实时构建弹性防御体系,以期最大限度上避免、转移、降低信息系统所面临的风险。
●保护对象范围的变化
新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
一方面将传统计算机信息系统之外的新型网络系统全部涵盖进来,另一方面,也增强了新标准的灵活可扩展性,随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,特别是互联网快速发展带来大数据价值的凸显,等级保护对象的外延将不断拓展。
●安全防护机制的变化
在安全防护机制方面,新标准的变化一方面强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求;另一方面提出了集中管控的理念,实现对全网主机的接入、登录、使用和全部终端、服务器的所有软硬件资源、外部接口以及电子文档、网络行为进行安全可靠的管控与审计,从而保证内部网络系统的整体安全。
1.5.2安全防护技术体系设计原则
●主动防御原则
知己知彼,百战不殆。
在网络空间安全攻防对抗博弈日益剧烈的今天,必须打破以往的“被动挨打”的局面,以真实有效的攻击作为假想敌,全面、深入地了解对手的攻击方法、使用的工具、攻击的能力,而后针对各种攻击不断建设完善网络安全防护体系,变被动为主动,才能在网络安全建设中有的放矢,实现有效防护。
主动防御是一种阻止恶意攻击和恶意程序执行的技术,就是在入侵行为对网络和信息系统发生影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低网络和信息系统面临的风险。
初级主动防御采用的技术为隐患扫描或网络安全漏洞扫描技术,部署传统的入侵检测系统进行入侵检测等;中级主动防御技术采用联动方式,如防火墙与防病毒、入侵检测、日志处理等实现联动;高级主动防御技术采用取证、入侵诱骗、自动恢复、主动响应等。
●动态防御原则
动态防御是将现有的安全技术进行整合,相关产品“协同作战”,防护、检测、响应相结合,以实现对网络的整体防护。
理想的防御措施是将防火墙、IDS、病毒防护和其他各种安全手段进行互动与联合,比如IDS在检测到网络受到攻击之后,会立即进入互动程序,及时通知防火墙做出响应,修改相关安全策略来封堵攻击源;防病毒系统对网络中传输的文件进行监控,一旦发现异常信息也会自动告知防火墙重新进行动态安全设置。
这种联动包括多种方式,入侵检测和防火墙的联动,可以有效阻止外部入侵或攻击;入侵检测和内部监控系统的联动可以有效控制恶意用户,等等。
从信息安全整体防御的角度出发,这种联动是很有必要的。
●纵深防御原则
纵深防御是从网络全局视角构建整体的网络安全防御体系,过度地强调任何单一的安全防御不能够最大限度地确保整体网络的安全性,恶意攻击者可能通过安全防护薄弱的其它环节进入并危害网络。
纵深防御实质是一个多层防御的理念,从数据层面、应用层面、服务器层面、网络层面和网络边界构筑多道防御,恶意攻击者必须突破所有防线才能接触到核心数据资产,使得攻击成本大大提高,长时间的时间证明,纵深防御也是目前最行之有效的网络安全防御体系。
●整体防控原则
建立健全网络安全整体防控体系是控制和降低网络安全攻击的有效保障。
网络安全整体防控体系设计涵盖网络安全技术和网络安全管理两大方面,目的是抵御恶意攻击者进行网络入侵、信息窃取、数据篡改等危害网络安全的活动。
技术上通过建设网络入侵检测、分析、告警体系,网络脆弱性检测体系、病毒和垃圾邮件防范体系、访问控制体系以及安全审计体系等;管理上一方面通过加强网络安全监督检查机制来规范网络安全管理日常工作,定期开展对网络接入单位、第三方安全服务机构安全事项的审查,另一方面加强自身安全管理机制,定期对网络安全策略、制度进行审核、修订和发布,并组织开展安全教育培训等活动,同时加强协同管理机制,组织社会各界力量,建立网络安全应急响应联动体系,达到网络安全工作的“群防群治”效果。
●精准防护原则
精准防御原则主要体现在既有安全策略的优化调整方面,对重点保护的网络资产的安全防护策略进行细化,比如将访问控制策略限制到特定的端口或服务,其它端口或服务的访问流量将被拒绝。
安全管理中心是目前实现精准防御的最佳实践,目前业界较为成熟的安全管理中心均集成日志采集器、数据库、大容量存储、日志分析、审计、报表等功能部件。
可对所有安全设备的进行集中管理和精细化安全策略的统一下发,利于网络安全措施的快速部署、全面了解设备的运维信息。
对来自于网络、安全等设施的安全信息与事件进行分析,关联和聚类常见的安全问题,过滤重复信息,发现隐藏的安全问题,使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能根据预先制定的策略做出快速的响应,保障网络安全。
●联防联控原则
网络和信息系统的复杂化导致全新的网络安全攻击方法不断涌现,这就使得单一功能的安全产品已经无法满足安全需求。
多种安全技术或产品的相互结合、相互联动成为目前网络安全的主要发展方向。
联防联控主要通过集中对入侵检测子系统、访问控制子系统、病毒防范子系统、安全接入认证子系统等进行统一管理和策略下发,来实现各子系统安全日告警日志的集中收集和关联分析,来最大限度的还原网络攻击者的攻击方法和路径,降低安全事件的误报和漏报。
1.5.3安全防护技术体系设计策略
●变被动防御为主动防御,构建安全可信网络
以安全准入控制技术为基础,通过对网络内接入的各类设备进行识别、过滤、阻断,确保接入设备的合法性和安全性,以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。
可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
与此同时对运行中的设备进行实时监控,利用感知发现技术,及时、主动发现网络中伪冒、入侵、异常的设备,保障整体网络安全可信运行。
从技术角度来看,主动防御技术包括两种,一种是陷阱技术,它包括蜜罐技术和蜜网技术,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
另一种是取证技术,包括静态取证技术和动态取证技术,静态取证技术也可以称之为事后取证技术,主要涉及软硬件恢复技术、数据恢复技术以及数据格式分析检索技术等。
动态取证技术主要是通过网络取证,涉及网络数据抓取分析技术、海量数据与协议分析技术、软件功能分析技术等。
从层次结构来看,主动防御技术主要包括三层,分别为资源访问控制层、资源访问扫描层和进程活动行为判定层。
具体如下图所示:
图主动防御层次结构图
第一层:
资源访问控制层(即HIPS)
它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
第二层:
资源访问扫描层(即传统的文件监控、邮件监控等)
通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
第三层:
进程活动行为判定层(危险行为判定、DNA识别)
进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。
瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意行为判定引擎。
无需用户参与,该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
●变静态防御为动态防御,构建安全可控网络
网络安全态势感知技术是实现网络安全动态防御的有效手段。
网络安全态势感知的主要功能包括数据采集、数据处理、数据存储、数据服务接口、数据分析、展示和告警。
网络安全态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。
借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对遭受攻击的网络采取措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
图2网络安全态势感知的系统框图
网络安全态势感知的系统框图如图2所示,包括:
1)核心态势感知,即网络安全态势感知系统的能力,包括数据采集、数据处理、数据存储、数据服务接口、数据分析、展示和告警,安全管理;
2)各类前端数据源,如流量探针、服务器探针、监测平台等;
3)影响态势感知的要素:
人工辅助、应急处置、安全决策、数据共享等。
数据采集主要是系统支持的采集方式、前端采集源管理和数据源类型等;数据处理关注如何处理采集到的数据;数据存储关注存储什么类型的数据、支持的存储格式;数据服务接口关注支持的数据服务接口及格式;数据分析关注系统具备数据分析能力,从而进行安全事件辨别、定级、关联分析等;展示和告警关注安全态势展示、统计分析和安全告警等;安全管理关注系统的安全管理要求,包括安全策略管理、安全事件管理、时间同步,以及包括标识与鉴别、角色管理、远程管理、自身审计等自身安全的要求;利用系统结果进行决策和处置以及数据共享是构建网络安全态势感知能力的关键环节。
●实施多层防御,构建网络安全纵深防御体系
任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个网络,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。
网络安全纵深防御体系框架如图所示:
图网络安全纵深防御框架
边界安全是实现网络安全纵深防御的重要手段之一,边界防御通常是通过防火墙来实现的。
防火墙技术的功能主要在于及时发现并处理网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对网络安全当中的各项操作实施记录、检测和审计,以确保计算机网络运行的安全性,保障用户资料与信息的完整性;网络层面的安全措施主要包括通信传输安全、数据交换安全、信息内容安全等;服务器层面主要涉及帐号与口令安全,用户权限分配、服务器安全配置以及对用户的操作行为进行限制与审计;应用安全主要包括用户、密码安全、应用访问控制、应用服务安全以及应用攻击的安全防护(如web攻击防护)等措施;数据安全主要包括通过加密等机制实现数据的保密性,通过密码技术或校验机制保证数据的完整性以及数据的备份恢复等手段。
●实施精准安全防御策略,构建安全可管网络
通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而构建以“人、技术、制度流程”为核心,从法律、制度、标准、技术等安全保障可管体系,通过对网络基础设施全面的安全监测、预警、分析及快速处理,做到安全问题可管理、可控制、可度量、可治理、可预防。
从而保证信息系统安全可管。
以访问控制技术为核心,实现主体对客体的细粒度受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。
对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证系统的信息安全可控。
从业务应用角度构建核心网络域、计算环境域、网络接入域三大区域技术可管措施,涉及各级网络相关的网络设备、终端、服务器、应用系统、数据库等。
区域遵循满足业务发展、适度防护的原则,采用边界安全接入、入侵检测、网络审计、漏洞扫描、防病毒、日志审计、系统加固等安全技术措施进行安全防护,层层防御多级联动,确保业务安全可用、策略安全可控。
●强化可信计算技术,构建主动免疫的网络安全体系
可信计算技术通过在计算机中嵌入可信平台模块硬件设备,提供秘密信息硬件保护存储功能;通过在计算机运行过程中各个执行阶段(BIOS、操作系统装载程序、操作系统等)加入完整性度量机制,建立系统的信任链传递机制;通过在操作系统中加入底层软件,提供给上层应用程序调用可信计算服务的接口;通过构建可信网络协议和设计可信网络设备实现网络终端的可信接入问题。
由此可见,可信计算技术是从计算机系统的各个层面进行安全增强,提供比以往任何安全技术更加完善的安全防护功能,可信计算这个概念的应用范畴包含从硬件到软件、从操作系统到应用程序、从单个芯片到整个网络、从设计过程到运行环境。
可信安全管理中心支持下的主动免疫三重防护框架如下图所示:
●技管并施,构建网络安全整体防控体系
网络攻击技术在信息技术快速发展的大背景下,不断更新,形成了新的发展趋势,对网络和信息系统的安全造成很大威胁。
因此,管理者要根据其发展的趋势,以及不同的网络攻击,给出相应的防范措施,避免网络系统受到攻击,积极引入新的技术与管理方法,技管并施,以形成适应自身网络的安全解决方案营造出一个安全的网络环境。
技术方面主要包括但不限于网络加密技术、防火墙技术、虚拟专用网技术、入侵检测与防御技术,管理方面主要包括但不限于内部安全管理、网络安全管理、应用安全管理。
1.5.4安全防护技术体系设计过程
安全防护体系设计过程如图3所示,主要包括安全需求分析、总体架构设计、安全详细设计和安全效能评价四个子过程。
其中安全需求分析子过程包括通信网络安全需求、区域边界安全需求、计算环境安全需求和安全管理中心需求;总体架构设计包括安全框架设计和安全区域划分两部分内容;安全详细设计主要包括安全通信网络设计、安全区域边界设计、安全计算环境设计和安全管理中心设计。
图3安全防护技术体系设计
通信网络安全需求分析主要包括网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面;区域边界的安全需求分析主要包括:
边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面;计算环境安全主要指主机以及应用层面的安全风险与需求分析,包括:
身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面;“安全管理中心”是纵深防御体系的“大脑”,通过“安全管理中心”实现技术层面的系统管理、审计管理和安全管理,同时通过“安全管理中心”实现整改云计算环境的集中管控。
“安全管理中心”并非一个机构,也并非一个产品,是一个技术管控枢纽,通过一个技术工具或多个技术工具实现一定程度上的集中管理,便于云计算资源进行调度、管理以及监控,同时能够对统一身份、认证、授权及密钥进行管理。
总体架构设计包括安全框架设计和安全区域规划两部分内容。
安全防护总体架构设计根据技术与管理要求同时进行设计,同时根据不同级别具体的设计技术要求设计本级系统安全保护环境建设模型,按照物理安全、通信网络安全、计算环境安全、区域边界安全、运维管理安全以及管理要求;安全总体架构设计的核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。
因此,安全域划分是进行网络安全等级保护设计的首要步骤。
需要通过合理的划分网络安全域,针对各自的特点而采取不同的技术及管理手段。
从而构建一整套有针对性的安全防护体系。
而选择这些措施的主要依据是按照等级保护相关的要求。
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
第2章通用环境安全设计
2.1安全需求分析指南
在网络安全等级保护建设工作中,对信息系统进行安全需求分析与评估是进行安全防护设计的前提。
根据信息系统在使用范围、重要程度、服务故障造成后果的严重程度、需要的安全程度和安全投资的不同,需要针对信息系统的具体安全需求进行分析。
在安全需求分析的基础上,对信息系统的完整性、保密性、可用性等安全保障性能进行科学的评估,生成安全需求分析报告。
在对信息系统进行安全需求分析的过程中,需要重点进行安全合规差异化分析。
在遵循《中华人民共和国网络安全法》、网络安全等级保护制度及相关标准的前提下,还应参照自身行业特点、有关监管单位要求等,对信息系统进行需求分析,最后能够满足如关键信息基础设施保护、行业监管等要求。
2.1.1安全需求分析工作流程
图安全需求分析工作流程图
安全需求分析工作分为五个阶段:
一、安全需求分析准备阶段
本阶段是开展安全需求分析工作的前提和基础,目标为明确安全需求分析的范围、制定安全需求分析方案、准备相关工具及表单等。
二、安全资产识别估价阶段
本阶段是开展安全需求分析工作的重要依据,通过对信息系统资产的收集和重要性识别,能够有针对性的分析当前最急迫的安全需求。
三、信息系统风险分析阶段
本阶段是开展安全需求分析工作的关键环节,通过对信息系统的威胁评估、脆弱性评估,结合信息系统的业务分析和外联情况分析,得到信息系统的风险评估结论。
通过此结论能够明确当前信息系统存在的问题。
四、安全合规差异分析阶段
本阶段是开展安全需求分析工作的重要参考环节,安全需求分析的前提是能够满足法律法规、相关标准的要求。
通过安全合规差异分析,能够在风险评估结论的基础上提炼出信息系统与相关标准要求的差距,更好的为安全需求的确认做准备。
五、安全需求确认阶段
本阶段是开展安全需求分析工作的收尾阶段,通过风险评估与差异化分析,能够得到信息系统当前最急迫、最真实的在安全方面的需求,能够为后面的安全架构设计及实施提供坚实的基础。
2.1.2安全需求分析主要任务
一、安全需求分析准备阶段主要任务:
●召开需求分析启动会议,制定需求分析纲要,统一思想;
●确认需求分析范围:
组织所有信息系统(内外网)及与业务系统关联的外部情况;
●阶段性成果:
生成《安全需求分析计划方案》;
●角色和责任:
成立评估小组,明确人员责任。
得到管理层的支持;
●准备适用表格、模板、问卷等。
二、安全资产识别估价阶段主要任务:
●信息系统资产收集及识别
对资产的选取、识别和划分保持科学性、合理性和可管理性。
信息系统资产包括信息系统相关的所有软硬件、人员、数据及文档等。
1.机房
以列表形式给出信息系统的部署机房,如下表示例。
序号
机房名称
物理位置
重要程度
1
主机房
XX省XX市XX区XX数据中心
非常重要
2
备份机房
XX省XX市XX区XX数据中心
重要
2.网络设备
以列表形式给出信息系统中的网络设备,如下表示例。
序号
设备名称
操作系统
品牌/型号
用途
数量
重要程度
1
出口路由器
专用系统
Cisco2921
互联网出口路由器
2
非常重要
2
核心交换机
专用系统
H3C7503-E
核心交换机
2
非常重要
3
服务器区汇聚交换机
专用系统
H3CS5528-HI
服务器区域汇聚交换机
2
非常重要
4
DMZ区汇聚交换机
专用系统
H3CS5528-HI
DMZ区域汇聚交换机
2
非常重要
5
办公区汇聚交换机
专用系统
H3CS5528-HI
办公区区域汇聚交换机
2
一般重要
3.安全设备
以列表形式给出信息系统中的安全设备,如下表示例。
序号
设备名称
操作系统
用途
数量
重要程度
1
互联网防火墙
专用系统
互联网出口防火墙
2
非常重要
2
服务器区入侵检测
专用系统
服务器区IPS
2
非常重要
3
DMZ区域WAF
专用系统
DMZ区域Web应用防护
2
非常重要
4
上网行为管理
专用系统
上网行为管理
1
非常重要
5
安全感知系统
专用系统
安全态势感知
1
一般重要
4.服务器/存储设备
以列表形式给出信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统,如下表示例。
序号
设备名称
操作系统/数据库管理系统
业务应用软件
数量
重要程度
1
门户网站服务器
CentOS7.6
门户网站后台管理系统
2
非常重要
2
综合业务管理系统服务器
CentOS7.6
综合业务管理后台系统
2
非常重要
3
数据库服务器
MySQL5.7
--
4
非常重要
5.终端
以列表形式给出信息系统中的终端,包括业务管理终端、业务终端和运维终端等,如下表示例。
序号
设备名称
操作系统
用途
数量
重要程度
1
运维终端
Windows10
日常运维终端
1
一般
6.业务应用软件
以列表的形式给出信息系统中的业务应用软件(包括含中
升级会员 