等级保护安全设计方案DOC 45页Word格式.docx

上传人:b****6 文档编号:22028436 上传时间:2023-02-02 格式:DOCX 页数:55 大小:213.85KB
下载 相关 举报
等级保护安全设计方案DOC 45页Word格式.docx_第1页
第1页 / 共55页
等级保护安全设计方案DOC 45页Word格式.docx_第2页
第2页 / 共55页
等级保护安全设计方案DOC 45页Word格式.docx_第3页
第3页 / 共55页
等级保护安全设计方案DOC 45页Word格式.docx_第4页
第4页 / 共55页
等级保护安全设计方案DOC 45页Word格式.docx_第5页
第5页 / 共55页
点击查看更多>>
下载资源
资源描述

等级保护安全设计方案DOC 45页Word格式.docx

《等级保护安全设计方案DOC 45页Word格式.docx》由会员分享,可在线阅读,更多相关《等级保护安全设计方案DOC 45页Word格式.docx(55页珍藏版)》请在冰豆网上搜索。

等级保护安全设计方案DOC 45页Word格式.docx

结合等级保护的技术和管理要求,提交XXXX运行监控系统的安全设计方案。

召开项目成果专家验收评审会,XXXX运行监控系统的安全设计方案进行评审。

4、成果输出:

后期建设期间,提供咨询和支持,协助客户和集成商最终完成等级保护测评。

5、辅助测评:

在第三方测评的前期准备,中期过程支持,后期遗漏修补,以帮助客户测评合格。

二.2设计原则

根据本次项目的目标,本项目应当遵循以下项目原则:

一、符合性原则

符合国家等级保护的相关标准、管理文件和流程要求;

二、规范性原则

工作中的过程文档和最终文档,具有很好的规范性,可以便于项目的跟踪和控制;

三、最小影响原则

评估工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等);

四、连续性原则

网络平台在进行网络设计时,不仅需要满足目前的需求,还要考虑到技术的发展,具备适度的前瞻性,能够满足现今和将来一段时期的需要。

同时还要为未来系统的扩充与扩建留有余地和基础。

既要考虑原有投资的保护,又要兼顾未来的发展和变化。

本原则的贯彻主要体现在网络系统设计和应用系统设计方面。

五、实用性原则

实用性的原则的目的是在保证实用要求和技术可行性的前提下,要选择易于操作和管理,应用见效快的技术和方案,以及适当档次和价格的设备。

这主要指:

“从实际出发,讲求实效”,在通讯网络平台的设计中,首先要考虑的是实用性和易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备和资源的充分利用,保护原有的投资。

六、先进性原则

为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用,将整个网络系统的技术水平定位于一个较高的层次上,从而保证系统的先进性,以适应新世纪的发展需要。

七、可扩展性原则

可扩充性和可延展性主要包括两个方面的内容:

一是为网络将扩充新的节点和新的分支预先作好硬件、软件和管理接口。

二是网络必须具有升级能力,能够适应网络新技术发展的要求。

八、可靠性原则

鉴于通讯网络规模较大,数据类型复杂,要求网络系统必须具有较高的可靠性,和良好的网络管理能力,要充分考虑设备、线路和网络设计的冗余备份,网络模块要能够热插拔,以便在线更换和扩充。

另外,通讯网络系统较大,应能对其进行有效的管理与维护。

九、安全性原则

在系统建设中,安全性原则应在各个方面予以高度重视,计算机网络的建设也不能例外,特别是网络中和其他不可信网络进行了连接,有可能会发生这样那样的蓄意破坏事件,威胁到网络的可靠安全运行。

因此在网络系统设计和实施等各个环节将严格遵循这项原则。

在设计上采用恰当的技术手段为系统提供保护、监视、审计等手段。

十、标准化、规范化

方案所采用的技术和设备材料等,都必须符合相应的国际标准或国家标准,或者符合相关系统内部的相应规范。

便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通。

二.3依据标准

XXXX运行监控系统属于国家信息建设的组成部分,其信息安全保障体系的建设必须要符合国家相关法律和要求,我国对信息安全保障工作的要求非常重视,国家相关监管部门也陆续出台了相应的文件和要求,从标准化的角度,XXXX运行监控系统的安全规划应参考以下的政策和标准:

二.3.1主要依据标准

在本次安全策略开发中,依据的主要标准以等级保护为主,具体标准如下:

✧《证券期货业信息系统安全等级保护基本要求》(送审稿)

✧《信息系统安全等级保护基本要求》(GB/T22239-2008)

✧《计算机信息系统安全保护等级划分准则》(GB17859-1999)

✧《信息系统安全保护等级定级指南》(GB/T22240-2008)

✧《信息系统等级保护安全设计技术要求》

✧《信息安全等级保护实施指南》

✧《信息安全技术网络基础安全技术要求》(GB/T20270-2006)

✧《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)

✧《信息安全技术操作系统安全技术要求》(GB/T20272-2006)

✧《信息安全技术数据库管理系统通用安全技术要求》(GB/T20273-2006)

✧《信息安全技术信息系统安全等级保护基本模型》(GA/T709-2007)

二.3.2辅助参考标准

✧ISO27000

✧《关于开展信息安全风险评估工作的意见》2006年1月国家网络与信息安全协调小组

✧《关于印发《信息安全风险评估指南》的通知》2006年2月国信办(国信办综[2006]9号)

✧IATF:

《信息保障技术框架》。

由美国国家安全局组织编写,为信息与信息基础设施的安全建设提供了技术指南。

✧ISO/IEC15408(CC):

《信息技术安全评估准则》。

该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。

三.安全现状、风险与需求分析

三.1安全现状分析

说明:

此拓扑为逻辑拓扑图,接口和系统为逻辑接口和逻辑系统模型,如有与实际情况不符的地方可修改。

现状说明:

✓系统的数据仓库专用网在XX大厦,本系统的数据对外交换平台,也是整个系统的中枢环节。

XX大厦的数据仓库专用网包括五个对外的逻辑接口。

接口1主要接收来自上交所、深交所、中登总部主机、期货保证金监控中心、投保基金的数据;

接口2接收来自互联网供应商的数据;

接口3主要接收来自人民银行、外管局、发改委、统计局的数据;

接口4主要与投资广场进行数据交互;

接口5主要与XX大厦进行数据交互。

系统内部还包括WEB/APP、数据库服务器、磁盘阵列等。

✓投资广场的系统开发人员和运维人员主要负责数据仓库专用网的开发和运维工作,在投资广场包括两个接口,接口1主要负责与XX大厦进行数据交互;

接口2为互联网接口连接Internet,与内网系统物理隔离。

✓XX大厦通过接口1与XX大厦进行数据交互,用户终端和管理服务器对数据监控和管理。

并且通过手工导入的方式向会内网导入一些会内网需要的数据信息。

三.2安全技术需求分析

三.2.1主机安全需求分析

三.2.1.1身份鉴别

需要对整个XXXX运行监测系统的终端和服务器进行安全配置或部署安全产品,使操作系统和数据库系统的用户名不能相同且用户口令或密码具有不被仿冒的特点,满足密码复杂性要求并定期对口令或密码进行更换;

当用户口令或密码输入错误达到一定数量需要采取一定的限制措施;

远程管理时需要防止鉴别信息被窃听。

三.2.1.2访问控制

需要对XXXX运行监测系统的终端和服务器进行安全配置,删除多余的账号;

实现操作系统与数据库系统账户的权限分离;

限制默认账户的访问权限。

三.2.1.3安全审计

需要通过对XXXX运行监测系统的终端和服务器启用审计功能或部署安全产品,对重要用户的行为和系统的运行状况进行审计且应保障审计系统被恶意的删除、修改或覆盖;

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

三.2.1.4入侵防范

需要通过对XXXX运行监测系统的终端和服务器进行安全配置,保证其满足最小安装原则,仅安装业务所需的软件程序;

通过安全配置或部署安全产品进行补丁的更新。

三.2.1.5恶意代码防范

需要通过在XXXX运行监测系统的终端和服务器部署安全软件的方式,实现恶意代码的防范,安全软件应当支持统一管理。

三.2.1.6资源控制

需要通过对XXXX运行监测系统的终端和服务器进行安全配置,实现登陆操作系统超时锁定和设定用户对系统资源的使用限额;

通过部署安全产品的方式限制终端登陆方式。

三.2.2应用安全需求分析

三.2.2.1身份鉴别

XXXX运行监测系统的各应用模块需要提供身份鉴别功能,并且通过应用模块或者部署安全产品实现用户身份标识唯一化控制,提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。

三.2.2.2访问控制

通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品,控制用户对文件或表单等的访问,设置用户业务所需的最小权限并限制默认用户的访问权限。

三.2.2.3安全审计

通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品,对用户的关键性动作进行审计,审计信息事件日期、时间、发起者信息、类型、描述和结果等内容,并保证审计信息不能随意的添加、删除、修改和覆盖。

三.2.2.4通信完整性

通过在XXXX运行监测系统部署安全产品实现,XX大厦与上交所、深交所、中登主机、期货监控、投保基金,XX大厦与投资广场、XX大厦等在进行数据交换过程数据的完整性保护。

三.2.2.5通信保密性

通过在XXXX运行监测系统部署安全产品对传输数据进行加密实现,XX大厦与上交所、深交所、中登主机、期货监控、投保基金,XX大厦与投资广场、XX大厦等在进行数据交换过程数据的保密性保护。

三.2.2.6软禁容错

XXXX运行监测系统各应用模块的开发要满足容错的要求,提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;

在软件故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。

三.2.2.7资源控制

资本运行监测系统通过自身开发或者部署安全产品,对用户访问资源的情况进行限制,对系统的最大并发连接进行限制,应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。

三.2.3数据安全及备份恢复

三.2.3.1数据完整性保护

通过在XXXX运行监测系统部署安全产品或通过应用软件的开发,保护数据在传输过程中完整性不遭到随意破坏。

三.2.3.2数据保密性保护

通过在XXXX运行监测系统部署安全产品或通过应用软件的开发,对鉴别信息进行保密性保护。

三.2.3.3备份和恢复

XXXX运行监测系统通过备份恢复的机制,对于重要数据要每天进行备份,并且定期进行恢复检测;

关键设备要有备机、备件,通信链路也要有冗余机制。

三.3安全管理需求分析

三.3.1安全管理制度

为保障资本运行监测系统安全运行,应当有专门的部门和人员负责安全管理制度的制定,说明机构安全工作的总体目标、范围、原则和安全框架等;

并对管理制度进行评审和修订。

三.3.2安全管理机构

为保障资本运行监测系统安全运行,应设立专门的安全管理机构,并对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面进行管理和规范。

三.3.3人员安全管理

为保障资本运行监测系统安全运行,应制定人员安全管理规定,在人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面制定相应的管理办法。

三.3.4系统建设管理

为保障资本运行监测系统安全运行,在系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务上选择等系统建设管理方面要制定相应的管理制度和手段。

三.3.5系统运维管理

为保障资本运行监测系统安全运行,在系统运维过程中要有环境管理、资产管理、介质管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等管理制度和规定。

四.方案总体设计

四.1总体安全设计目标

通过分区分域的安全建设原则,根据XXXX运行监控系统业务流的特点,将整个信息系统进行区域划分,突出了安全建设的重点,并且为“一个中心,三重防护”的安全保障体系提供了清晰的脉络,针对重点区域部署相对应的安全产品,达到等级保护要求的标准。

四.2总体安全技术框架

四.2.1分区分域建设原则

安全访问控制的前提是必须合理地分区分域,通过划分安全域的方法,将信息系统按照业务流程的不同层面划分为不同的安全域,各个安全域内部又可以根据功能模块划分为不同的安全子域,安全域之间的隔离与控制通过部署不同类型和功能的安全防护设备和产品,从而形成相辅相成的多层次立体防护体系。

通过对系统的分区分域,不仅使网络结构清晰,而且防护重点明确,从而实现信息系统的结构化安全保护。

对于信息系统,分区分域的过程应遵循以下基本原则:

Ø

等级保护的符合性原则:

对此模拟平台的搭建要符合等级保护相关标准的“一个中心、三重防护”的要求。

业务保障原则:

分区分域方法的根本目标是能够更好的保障网络上承载的业务,在保证安全的同时,还要保证业务的正常运行和效率;

结构简化原则:

分区分域方法的直接目的和效果是将信息(应用)系统整个网络变得更加简单,简单的逻辑结构便于设计防护体系。

比如,分区分域并不是粒度越细越好,区域数量过多,过杂可能会导致安全管理过于复杂和困难;

立体协防原则:

分区分域的主要对象是信息(应用)系统对应的网络,在分区分域部署安全设备时,需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防;

生命周期原则:

对于信息(应用)系统的分区分域建设,不仅要考虑静态设计,还要考虑变化因素,另外,在分区分域建设和调整过程中要考虑工程化的管理。

在遵循以上原则的前提下,对信息系统进行安全区域划分。

为了突出重点保护的等级保护原则,根据XXXX运行监控系统的业务信息流的特点,将XXXX运行监控系统进行区域划分。

分区分域规划图

四.2.2一个中心三重防护的安全保障体系

分区分域的建设原则按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以计算环境安全为基础对这三部分实施保护,构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。

安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理,确保系统配置完整可信,确定用户操作权限,实施全程审计追踪。

从功能上可细分为系统管理、安全管理和审计管理,各管理员职责和权限明确,三权分立,相互制约。

计算环境安全是信息系统安全保护的核心和基础。

计算环境安全通过终端、服务器操作系统、上层应用系统和数据库的安全机制服务,保障应用业务处理全过程的安全。

通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制,形成严密的安全保护环境,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统得保密性和完整性,从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障。

区域边界对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界,边界的安全保护和控制是信息系统的第二道安全屏障。

通信网络设备通过对通信双方进行可信鉴别验证,建立安全通道,实施传输数据密码保护,确保其在传输过程中不会被窃听、篡改和破坏,是信息系统的第三道安全屏障。

四.2.3安全防护设计

安全部署图

注:

产品部署图为逻辑拓扑图,实际产品部署方式和数量要根据网络系统建设完成后的状况进行修订。

XX大厦的计算环境中,测试区和WEB/APP、数数据库服务器分别建立不同的网段进行隔离;

在所有主机上部署防病毒软件;

服务器都要进行安全配置。

区域边界方面,测试区与应用数据区进行数据交换式,要通过防火墙进行隔离;

WEB/APP与数据库服务器进行数据交换时,只在核心交换区开放数据交换需要通信的IP和端口;

在核心交换区部署网络审计系统,对通过核心交换区的数据进行审计,并对数据库的使用进行审计;

在应用数据区前部署IPS,保护重要服务器免受入侵;

在在核心交换区部署IDS系统,对网络中的入侵行为进行审计追踪。

传输网络方面上交所、深交所、中登主机等于XX大厦通信的数据保密性要求较高,需要通过加密机对数据进行加密处理。

XX大厦的计算环境方面,终端和服务器要安装杀毒软件,用户终端需要安装桌面管理系统进行统一管理,服务器需要进行安全配置;

用户终端和服务器区分配不同的网段进行隔离,通过交换区进行数据交换。

区域边界方面,在交换区部署网络审计系统,对数据流量进行审计核查;

在外部边界区部署防火墙。

投资广场的计算环境方面,终端和服务器要安装杀毒软件,内部用户终端需要安装桌面管理系统进行统一管理,服务器需要进行安全配置;

外部开发人员、内部开发人员和维护人员分配不同的网段进行隔离,通过交换区进行数据交换。

在外部边界区部署防火墙;

与互联网通信的终端,要和内网用户做完全的物理隔离,并且通过防火墙和内容安全管理系统进行隔离和对网络访问行为进行核查。

五.等级保护详细安全建设方案

根据系统总体安全状况与需求分析指标的符合程度,针对信息系统中不符合指标的各个分析对象,如安全控制、管理制度等,提出相应的整改建议和措施,对信息系统的安全防护进行加固,从而保障信息系统运营、使用的安全性和连续性,也为信息系统安全运维及后续等级保护测评做好充足的准备和良好的铺垫。

五.1技术建设方案

资本运维监控平台信息安全技术建设的核心设计思想是:

构建集防护、检测、响应、恢复于一体的安全保障体系。

以全面贯彻落实等级保护制度为核心,打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力,切实保障信息安全。

另外,资本运维监控平台信息系统技术层面的设计充分遵从国家特别是公安部等级保护的相关标准要求。

按照公安部颁布的《信息系统等级保护定级指南》完成信息系统的定级备案工作、按照《信息系统等级保护技术要求》进行技术保障设计。

信息安全技术体系的作用是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。

安全技术体系由物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复五个部分组成。

五.1.1主机安全建设

五.1.1.1终端管理系统和杀毒软件

终端管理系统

通过终端管理系统所提供的安全机制。

如通过身份认证机制可以确保非授权用户无法登录服务器,从而保证能够访问服务器的用户是可控的;

通过访问控制机制可以限制用户的权限,规定用户能做什么,不能做什么,防止越权访问,确保服务器中的重要数据无法被非法泄露或窃取;

通过数据加密保护机制,确保非授权用户无法获取服务器中的的重要数据;

通过执行程序真实性和完整性度量,确保服务器操作系统无法被病毒、木马、攻击程序等恶意代码破坏;

通过用户行为审计机制,可以防违规行为的抵赖,做到事后追查。

杀毒软件

查杀整个系统中的各种病毒、木马等恶意代码,并且能够对所有主机的病毒库进行统一升级和管理。

【合规性要求】:

控制类

控制点

指标名称

措施名称

改进动作

改进对象

主机安全

访问控制

a

应启用访问控制功能,依据安全策略控制用户对资源的访问;

访问控制策略

安全产品配置

操作系统

b

应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

管理用户权限最小化

c

应实现操作系统和数据库系统特权用户的权限分离;

特权用户权限分离

d

应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

限制默认帐户

e

应及时删除多余的、过期的帐户,避免共享帐户的存在。

清理帐户

入侵防范

应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

采购与配置主机入侵检测软件

应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

配置主机入侵检测软件的完整性检测和恢复功能

操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

主机最小安装

设置补丁服务器

资源控制

应通过设定终端接入方式、网络地址范围等条件限制终端登录;

主机安全配置与加固

应根据安全策略设置登录终端的操作超时锁定;

应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

采购部署网管监控系统,实现重要服务器监控

应限制单个用户对系统资源的最大或最小使

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 表格模板 > 调查报告

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1