网络安全建设方案文档格式.docx
《网络安全建设方案文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全建设方案文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
2、自主访问控制
3、强制访问控制
4、安全审计
5、系统保护
6、剩余信息保护
7、入侵防范
8、恶意代码防范
9、资源控制
2.4.专业安全服务需求
现有安全防护措施(传统基于应用层和网络层的安全解决方案)无法有效保护信息系统,网络防火墙/IDS/IPS对目前流行的各种攻击行为如网站挂马、拒绝服务攻击、SQL注入、跨站攻击等无能为力;
同时缺乏系统内部漏洞的主动发现手段;
目前的安全运维管理,特别是针对应用系统的应用层安全加固、安全巡检、新上线系统检查以及针对性安全策略,缺少一套有效的安全管理制度,缺乏专业的安全人员实现对业务系统全生命周期的安全检测和加固。
因此,需要通过第三方专业的安全服务机构的安全服务人员对系统进行全方位的安全评估、渗透测试和安全加固,深入挖掘发现系统存在的安全漏洞、隐患及风险,并从根本上实现对业务系统的安全加固防护工作。
3.建设依据和目标
3.1.设计思路
安全体系的方案设计中,将根据目前网络安全现状,通过分析待建信息系统的实际安全需求,结合其业务信息的实际特性,并依据及参照相关政策标准,建立符合等保2.0要求的信息安全保障体系框架,设计安全保障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。
具体设计将遵循以下思路开展:
1.合规性建设与业务风险结合分析的思路
通过对信息系统现状的梳理,利用差距分析的方法,掌握信息系统防护现状与等保2.0要求间的实际差距。
将差距分析结果进行充分结合与提炼,综合形成能够符合国家相关建设要求并充分保障业务安全的建设需求。
2.安全保障体系框架设计思路
设计方案将遵循《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)(以下简称“《安全设计技术要求》”),结合《信息保障技术框架》(IATF),落实《基本要求》与建设需求,从宏观层面为信息系统构建符合纵深防御战略思想的多重防御体系框架,充分保证建立的安全保障体系的合规性、完整性、先进性与高可用性。
3.基于应用的安全策略设计思路
以安全保障体系框架为主体,深入开展基于系统应用的流程分析与策略梳理,通过对信息系统安全建模,将信息系统每一层面的安全控制有效落实至安全保障体系框架的各层防护之中,实现安全保障体系建设的高灵活性、高符合性与高适应性。
4.统一规划、分步实施的思路
方案设计过程中,将立足于单位信息化的长期发展规划,从宏观战略层面制定完整统一的安全保障体系规划。
并且充分考虑信息化建设每一阶段的切实的安全需求,制定符合信息系统发展需求的阶段性安全规划。
保证信息化安全建设的合理性与可持续性。
3.2.设计依据
在开展《信息系统等级保护安全体系建设设计方案》的设计过程中将严格按照国家的相关法律标准展开,为信息系统安全防护建设提供符合自身实际需求及满足等级保护建设规范的优质方案,方案编写参考的标准文件包含如下:
国家信息安全相关文件:
●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
●《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
●《信息安全等级保护管理办法》(公通字[2007]43号)
●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
●《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
●《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
●《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
●《中华人民共和国网络安全法》
●以及其他相关文件。
国信安标委组织制定的国家标准:
●GB17859-1999计算机信息系统安全保护等级划分准则
●GB/T22240-2008信息安全技术信息系统安全保护等级定级指南
●GB/T25058-2010信息安全技术信息系统安全等级保护实施指南
●GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
●GB/T20269-2006信息安全技术信息系统安全等级保护管理要求
●GB/T20270-2006信息安全技术网络基础安全技术要求
●GB/T20271-2006信息安全技术信息系统通用安全技术要求
●GB/T20272-2006信息安全技术操作系统安全技术要求
●GB/T20273-2006信息安全技术数据库管理系统安全技术要求
●GB/T20282-2006信息安全技术信息系统安全工程管理要求
●GB/T21082-2007信息安全技术服务器安全技术要求
3.3.设计目标
通过方案的设计工作实现以下目标:
根据国家信息安全等级保护2.0相关政策要求,对信息系统进行整体安全防护整改工作,逐步提升信息系统安全防护能力,最终满足国家等级保护防护要求。
通过本次项目可增强单位信息系统抵御风险的能力,提升单位信息安全管理水平以及符合国家标准政策。
3.4.总体安全策略
3.4.1.信息安全管理体系总体策略
1.建立信息安全领导小组和信息安全工作组,形成符合等保2.0三级基本要求的信息安全组织体系职责;
2.建立信息安全管理制度和策略体系,形成符合等保三级基本要求的安全管理制度要求。
3.4.2.信息安全技术体系总体策略
1.以单位或企业信息系统为保障对象,参考《基本要求》中三级要求为控制要点,结合单位和企业的实际情况,分期逐步建设安全技术体系框架;
2.安全技术体系建设策略需要覆盖物理、网络、主机、应用、数据各层面;
3.通过业界成熟可靠的安全技术及安全产品,结合专业技术人员的安全技术经验和能力,系统化的搭建单位的安全技术体系,确保技术体系的安全性与可用性的有机结合,达到适用性要求;
3.4.3.信息安全服务体系策略
1.建立持续的风险评估机制,将风险评估作为一项技术在信息系统生命周期的各个阶段起到不同的作用,保证安全体系的持续更新并为信息系统安全建设提供有效的信息安全运维保障;
2.通过安全加固服务,对每次安全风险评估所发现的安全风险及时弥补与处理;
3.根据安全风险评估的结果制定信息安全应急响应预案,在重大安全事件、安全检查和其他对单位或企业业务系统信息安全造成严重威胁等情况下,提供及时有效的应急响应服务。
4.通过阶段性的安全培训,有组织、有计划的提高员工的安全意识和安全能力,建立安全责任制度。
4.建设原则
“全面保障”原则:
信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。
“整体规划,分步实施”原则:
对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
“适度安全”原则:
没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
“内外并重”原则:
安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。
“标准化”原则:
管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。
“技术与管理并重”原则:
网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
5.技术解决方案
5.1.安全区域边界建设
5.1.1.边界访问控制
在等级保护2.0三级通用要求“安全区域边界”中规定:
Ø
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
根据等保三级要求,需要在网络边界处部署高性能防火墙,并配置详细的访问控制策略,对山东省戒毒管理局云中心进行访问控制防护,由于先期云机房已经在鲁中所、济东所、女子所、治疗所边界处部署了单机防火墙,本次需要对以上区域重新部署防火墙产品与现有防火墙组成双机热备;
另外需要在新接入的省局/烟台局、周村电子政务外网和互联网接入区域新增加三台防火墙实现边界的访问控制。
5.1.2.入侵防御系统
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
根据等保三级入侵防护要求,需要在网络边界处串联部署入侵防御系统,通过在互联网接入链路中部署入侵防御系统能够在网络边界处对来自外部的攻击进行检测和阻断;
通过在互联网接入区部署入侵检测设备能够实时检测来自内部和外部的网络威胁,并及时产生告警信息。
5.1.3.防病毒网关
在等级保护2.0三级通用要求“安全区域边界”和“安全计算环境”中规定:
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
根据等保三级恶意代码和垃圾邮件防范与恶意代码防范要求,需要在网络边界处中部署防病毒网关系统,以保证云中心不受病毒与黑客程序等方面的危害,进一步提升网络系统的安全性。
5.1.4.安全接入控制防护系统
应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
在信息网络的建设中,已经使用了很多技术管理手段,但根据等保三级要求和自身安全建设需要,在网络边界完整性检查、主机身份鉴别、访问控制、安全审计、入侵防范等还缺乏相应的技术手段。
但由于管理人员少、终端节点多、缺乏统一的管理手段,未授权的设备随意接入,内部网络访问得不到安全控制,因此带来的安全隐患比比皆是,如病毒引入、数据外泄等,都难以做到及时快速有效响应。
如果通过人工的办法,逐一检查解决,费时费力,且难以处理,给计算机管理员带来繁重的负担,又给单位的应用、网络乃至信息安全建设带来不可预测的严重后果。
因此部署安全接入控制防护系统,这不仅是等保建设的必须要求,也是单位自身安全建设的必须要求。
5.1.5.Web应用防火墙
应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
应在会话处于非活跃一定时间或会话结束后终止网络连接;
通过部署Web应用防火墙起到如下作用:
保障网络的可用性:
以降低网络故障、网络攻击、不合规网络协议传输对Web应用的影响为目标,主要包含网络访问控制、代理模式部署、协议合规、应用层DoS防护等功能。
保障Web应用的安全性:
以Web安全防护为主要目标,主要包含HTTP/HTTPS应用防护、Web请求信息限制、Web敏感信息防护、Cookie防篡改、网页防篡改、Web应用防护事件库升级等功能。
保障Web应用的快速访问:
以Web应用交付为主要目标,主要包含SSL卸载、多服务器负载均衡、Web服务器访问质量监控等功能。
5.1.6.安全隔离与信息交换系统
应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
通过在内网和外网之间部署一套安全隔离与信息交换系统(网闸),在物理隔离的基础上实现有限的信息交换。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。
由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"
摆渡"
,且对固态存储介质只有"
读"
和"
写"
两个命令。
所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"
黑客"
无法入侵、无法攻击、无法破坏,实现了真正的安全。
5.2.安全计算环境建设
5.2.1.数据库审计系统
在等级保护2.0三级通用要求“安全计算环境”中规定:
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
应对审计进程进行保护,防止XX的中断。
根据等保三级安全计算环境中安全审计的要求,需要在网络中部署数据库审计系统,可通过旁路部署方式,旁路在核心交换机上。
数据库系统是一个关键业务中至关重要的组成部分。
数据库出现问题后,将带来巨大的损失后果。
因此对数据库进行审计并及时发现数据库的异常已经成为保证业务安全性的重要手段之一。
并且数据库出现异常后,数据库审计系统还可以帮助运维人员快速定位问题所在,方便运维人员及时处理安全问题。
5.2.2.日志审计系统
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
根据等保三级安全审计与安全管理中心建设要求,需要在核心交换机处旁路部署日志审计系统,实现对单位或企业主要网络设备集中日志审计。
同时运维人员可以通过日志审计系统对系统内设备进行日志分析,可以第一时间发现系统中的异常情况,并及时进行处理。
5.2.3.运维审计与访问控制系统
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
应对登录的用户分配账户和权限;
应授予管理用户所需的最小权限,实现管理用户的权限分离;
应由授权主体配置访问控制策略,访间控制策略规定主体对客体的访间规则;
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
根据等保三级身份鉴别和访问控制要求,需要在网络中部署运维审计与访问控制系统(堡垒机),部署堡垒机后,首先运维人员能够对单位信息化设备进行集中管控运维,提高了运维人员的工作效率,运维人员无需记忆繁多的目标服务器IP、账号、密码信息,而只需要记住自己的堡垒机账号、密码即可;
同时通过堡垒机可以限制不同运维人员的权限,保证了系统的安全性和可靠性;
堡垒机具备操作回放功能,能够对运维人员的操作内容进行审计,发生安全事件后,能够迅速定位到事故点和相关责任人等。
5.2.4.脆弱性扫描与管理系统
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,由于其开发厂商的各种原因(软件开发者设计不完善、编码错误等)存在安全漏洞,这些安全漏洞有可能存在重大安全隐患(例如在极端测试下造成程序溢出,进而让攻击者取得权限)。
因此,建立一个完全安全的没有漏洞的系统是不可能的,一个最佳方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,脆弱性扫描与管理系统就是这样一类系统。
部署脆弱性扫描与管理系统在单位或企业核心业务系统中,定期对全网的操作系统、网络设备、安全设备等进行全面漏洞评估。
脆弱性扫描与管理系统是一种主动检测本地或远程主机系统安全性弱点的程序,采用模仿黑客入侵的手法对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在,然后将扫描结果向系统管理员提供周密可靠的安全性分析报告,从而让管理人员从扫描出来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏洞,在系统安全防护中做到"
有的放矢"
,及时修补漏洞,从根本上解决网络安全问题,有效地阻止入侵事件的发生。
5.2.5.VPN安全网关系统
数据完整性:
数据校验传输采用VPN;
配置存储系统传输采用VPN;
三级要求在传输过程增加对系统管理数据的检测与恢复,配置存储系统;
数据保密性:
应用系统针对鉴别信息的存储开发加密功能;
应用系统针对存储开发加密功能,利用VPN实现传输保密性;
三级要求实现管理数据、鉴别信息和重要业务数据传输过程的保密性;
通过在外网安全安全管理中心部署一套VPN安全网关系统,让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN设备。
外地员工在当地连上互联网后,通过互联网连接VPN设备,进入公司网络实现移动办公的需求。
为了保证数据安全,VPN设备和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN如此广泛应用的原因。
5.2.6.恶意代码防范
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
应支持防恶意代码的统一管理。
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。
“杀毒软件”由国内的老一辈反病毒软件厂商起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件”、“安全防护软件”或“安全软件”。
集成防火墙的“互联网安全套装”、“全功能安全套装”等用于消除电脑病毒、特洛伊木马和恶意软件的一类软件,都属于杀毒软件范畴。
XXX杀毒软件是XXX推出的新一代企业级反病毒安全防护软件,为企业提供了一套专业可信赖的全方位终端安全解决方案。
产品完美融合了C/S与B/S双架构的模式,由安全防护终端、Web系统控制中心和企业私有云服务器共同组成了一体化的安防体系。
产品拥有终端实时防护、动态威胁检测、全网可视化安全管控等功能,可以有效防御已知病毒、未知安全威胁和APT攻击,是政府、军队、教育、医疗、金融等企事业单位采购终端安全防护类产品的理想选择。
功能特点:
私有云查
私有云查杀技术,能够有效降低本地引擎开销,云端的检出率在98%以上。
九重防护
九重防护
九重防护体系,主动防御逻辑,多项反恶意插件技术,可提供卓越的多级安全保护。
智能引擎
智能引擎,深度学习,即使一个月不升级病毒库检出率也不会下降,误报率<
0.1%>
。
闪电查杀
29秒“闪电查杀”,比同行快2倍!
极速扫描,7分钟内搞定全盘查杀,为用户提供专业贴心的反病毒服务。
超轻客户端
19M超轻客户端部署方便,网络压力小,远远低于竞品对系统资源的占用。
优化识别
特殊优化识别率,大幅降低样本免杀难度,变种病毒无所遁形。
过亿样本
VRV引擎统计样本达数十亿,训练样本集达数亿,训练样本置信度达到99.99%。
神经网络
大数据引擎结合深度神经网络技术,让杀毒软件更加智能,有效应对不断变化的变种病毒!
升级会员 