XXXX集团办公及邮件系统等级保护三级安全整改建设方案.docx
《XXXX集团办公及邮件系统等级保护三级安全整改建设方案.docx》由会员分享,可在线阅读,更多相关《XXXX集团办公及邮件系统等级保护三级安全整改建设方案.docx(85页珍藏版)》请在冰豆网上搜索。
XXXX集团办公及邮件系统等级保护三级安全整改建设方案
XXXX集团公司
办公及邮件系统
信息等级保护(三级)建设方案
2016年5月
1
总述
1.1项目背景
随着国家信息化发展战略的不断推进,信息资源已经成为代表国家综合国力的战略资源。
信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。
信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化设计健康发展的一项基本制度,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施,保障信息安全与信息化设计相协调;有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全设计成本;能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。
实行信息安全等级保护制度具有重大的现实意义和战略意义,是国家对重要工程项目信息系统安全保护设计提出的强制性要求。
XXXX公司(以下简称为“XXXX”)的前身是中国航空技术进出口总公司。
XXXX由中国航空工业集团公司控股,全国社会保障基金理事会、北京普拓瀚华投资管理中心(有限合伙)和中航建银航空产业股权投资(天津)有限公司共同持股。
XXXX是中国航空工业的重要组成部分,是中国航空工业发展的先锋队,改革的试验田,是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。
XXXX从自身信息化业务需求和安全需求角度出发,为了满足XXXX总部各类业务信息系统的安全稳定运行,提高对重要商业信息安全的基本防护水平,更好的实现与中航工业金航商网的对接,决定针对企业内部的办公系统和邮件系统,按照国家信息安全等级保护三级水平开展安全整改建设工作,确保信息系统安全、可靠、稳定运行和长远发展。
1.2设计依据
本方案主要依据以下文件和技术标准进行编写:
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010)
1.3设计目标
通过开展等级保护安全体系设计,从“保密性、完整性、可用性”角度为XXXX办公系统和邮件系统提供安全保障,实现系统安全和信息安全,保障系统资源和信息资源的最大化安全使用,达到通过国家信息安全等级保护(三级)测评的水平,最终实现有效支撑办公系统和邮件系统安全、可靠、长远发展的总体目标。
1.4设计范围
XXXX办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统,本建设方案将以国家信息安全等级保护相关文件和技术标准为依据,将以自主知识产权和国产化信息安全装置为基础,对XXXX的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身,从管理和技术两个方面进行总体的规划和设计。
2安全目标分析
2.1系统定级情况
编号
系统名称
安全等级
系统状态
1
办公系统(含门户系统、OA系统端和移动端)
三级
拟定级
2
邮件系统
三级
拟定级
2.2定级系统现状
XXXX的办公系统和邮件系统是本次开展等级保护建设的目标系统。
两个系统尚未进行定级备案,拟定级为等保三级。
(一)定级系统概述
办公系统主要用于XXXX内部工作人员办公使用。
办公系统由门户系统和OA系统两个子系统组成,OA系统又包括PC系统端和移动端两部分。
办公系统可通过办公内网或互联网进行访问,系统用户总数约为1800人,XXXX总部大厦约有办公人员500人。
办公系统可通过PC和智能移动终端进行访问,PC端系统为B/S架构,智能移动终端系统为C/S架构,需安装相应的APP客户端软件。
邮件系统为XXXX内部工作人员提供邮件服务,系统总用户数为3023人,用户分布于国内和国外。
邮件系统通过互联网访问,用户可使用Web方式或第三方邮件客户端软件进行收发操作。
图:
定级系统现状拓扑图
(二)定级系统服务器情况
办公系统共有6台服务器,均部署在北京总部机房中。
这6台服务器的功用:
OA数据库服务器、OA应用服务器、移动OA应用服务器、OA数据库备份服务器及门户数据库服务器、门户应用服务器(虚拟机)。
OA系统的PC系统端和移动端有各自的应用服务器,后端数据库为同一个数据库。
OA数据库服务器和OA应用服务器划分在Internet访问入口区的DMZ区中,移动OA应用服务器、OA数据库备份服务器、门户数据库服务器和门户应用服务器(虚拟机)均划分在内网服务器区中。
OA系统的4台服务器均采用Windows操作系统,系统版本为Windows2003;门户系统服务器均采用红帽子(RHEL)Linux操作系统,系统版本为5.4。
邮件系统服务器共有两台,这两台服务器采用镜像方式部署,分别安装于北京总部机房和深圳总部机房中。
深圳节点为源节点,北京节点为镜像节点,两服务器之间通过一条10M电信邮件专线互联、同步。
邮件服务器操作系统为红帽子Linux6.3。
由于等级保护采用属地化管理,因此,本次安全保护建设将只针对邮件系统北京节点服务器,不涉及深圳节点服务器。
表:
定级系统服务器列表
序号
系统
用途
操作系统
版本
安全域
1
办公系统
OA数据库服务器
Windows
2003
DMZ区
2
办公系统
OA应用服务器
Windows
2003
DMZ区
3
办公系统
移动OA应用服务器
Windows
2003
内网服务器区
4
办公系统
OA数据库备份服务器
Windows
2003
内网服务器区
5
办公系统
门户数据库服务器
RHEL
5.4
内网服务器区
6
办公系统
门户应用服务器
RHEL
5.4
内网服务器区
7
邮件系统
邮件服务器
RHEL
6.3
DMZ区
(三)现有安全资源(设备)
表:
现有安全产品列表
编号
设备类型和名称
数量
单位
说明
1
深信服负载均衡M5400AD
1
台
访问出口安全防护;
2
山石UTM-M6110
1
台
访问出口安全防护;
3
深信服流控系统AC-2080
1
台
访问出口安全防护;
4
深信服负载均衡AD-1680
1
台
访问入口安全防护;
5
启明星辰防火墙USG-2010D
1
台
访问入口安全防护;
6
绿盟入侵防护NIPSN1000A
1
台
访问入口安全防护;
7
深信服Web应用防火墙WAF
1
台
访问入口安全防护;
8
创佳互联移动设备管理
1
套
移动安全防护;
9
江南信安移动安全接入网关
1
台
移动接入安全防护;
10
深信服SSLVPN
1
台
移动接入安全防护;
11
绿盟网络安全审计SAS1000C
1
台
网络安全及数据库审计;
12
绿盟BVSS安全核查
1
台
网络安全审计;
13
安恒综合日志管理DAS-200
1
台
网络安全审计;
14
绿盟WSMS网站检测
1
台
网络安全审计;
15
绿盟运维审计SASNX3-H600C
1
台
网络安全审计;
16
绿盟入侵检测NIDSN1000A
1
台
网络安全审计;
17
无线AC
1
台
无线网络控制管理;
18
启明星辰防火墙USG-FW-2010D
1
台
服务器区安全防护;
19
启明星辰天榕电子文档安全系统
500
点
终端数据防泄漏;
20
绿盟堡垒机
1
台
安全运维管理;
21
华为Esigh网管系统
1
套
网络设备运维管理(仅限华为设备);
22
虚拟化移动OA
500
点
移动办公信息防泄漏;
(四)其他安全措施
1、设备管理权限
a)专线路由器和楼层交换机通过ACL控制,只允许管理员的IP地址登陆设备,并且创建不同级别的用户权限,超级管理员拥有所有权限,一般管理员只有访问权限不可修改;
b)根据部门划分VLAN,不同VLAN不能互访;
c)安全设备没有对登陆设备的源IP进行限制,创建不同级别权限的用户,网络管理员拥有最高权限,普通管理员只允许查看;
2、内外网访问设备途径;
a)管理员统一通过绿盟堡垒机登录设备进行网管;
b)管理员在公司以外的地方需要管理设备的时候,首先登录公司深信服VPN设备,然后登录堡垒机对设备进行网管;
3、每月月初根据IPS日志,汇总上月入侵防护事件,形成安全月报(专人负责);
4、内部用户上网,通过深信服行为管理实现上网认证,认证方式用户名加密码和短信认证;
5、网络入口和出口各部署一台深信服链路负载均衡设备,入口联通20M,电信20M;出口联通40M,电信40M;
6、网络入口负载均衡主要负责智能DNS和网络地址转换,有效隐藏内部服务器的IP地址;网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡;
7、通过网络入口防火墙,允许内部用户对DMZ区资源的访问,控制粒度为用户加端口;
8、通过内部服务器区防火墙,允许内部用户对内部服务器区资源的访问,控制粒度为用户加端口;
9、深信服上网行为管理的外置数据中心可以记录用户6个月内的上网行为;
10、现有网络中,Esigh网管软件只能对华为设备的运行状况产生日志,不支持第三方设备;
11、IPS可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等进行进行告警并有效阻断;
12、IPS可以记录攻击源IP、攻击类型、攻击目的、攻击时间,在发送严重入侵事件时应提供报警;
13、IPS和VPN有专人负责策略下发和资源控制。
2.3等保三级安全要求
《计算机信息系统安全保护等级划分准则》(GB17859-1999)(以下简称为“《等级划分准则》”)中定义三级信息系统安全防护等级为安全标记保护级。
安全标记保护级的计算机信息系统可信计算基具有系统审计保护级的所有功能。
此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
《等级划分准则》中规定,信息系统需要具备以下安全特性以保证相应的安全等级:
⏹自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体地访问。
实施机制(例如:
访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。
并控制访问权限扩散。
自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。
访问控制的粒度是单个用户。
没有存取权的用户只允许由授权用户指定对客体的访问权。
阻止非授权用户读取敏感信息。
⏹强制访问控制
计算机信息系统可信计算基对所有主体及其所控制的客体(例如:
进程、文件、段、设备)实施强制访问控制。
为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。
计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。
计算机信息系统可信计算基控制的所有主体对客体的访问应满足:
仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。
计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
⏹标记
计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:
进程、文件、段、设备)相关的敏感标记。
这些标记是实施强制访问的基础。
为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。
⏹身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。
计算机信息系统可信计算基使用这些数据鉴别用户身份,并使用保护机制(例如:
口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。
通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。
计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
⏹客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤消客体所含信息的所有授权。
当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
⏹审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
计算机信息系统可信计算基能记录下述事件:
使用身份鉴别机制;将客体引入用户地址空间(例如:
打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。
对于每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。
对于身份鉴别事件,审计记录包含请求的来源(例如:
终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名及客体的安全级别。
此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。
这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
⏹数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。
在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。
2.3.1《基本要求》三级要求
《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)(以下简称为“《基本要求》”)。
《基本要求》中规定三级安全防护能力应能够在统一安全策略下防护系统免受来自内部操作性攻击和外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害并能够检测到此类威胁,并在威胁发生造成损害后,能够较快恢复绝大部分功能。
《基本要求》是针对不同安全等级信息系统应该具有的基本安全保护能力提出的安全要求,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;基本管理要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从“物理安全、网络安全、主机安全、应用安全和数据安全”几个层面提出;基本管理要求从“安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理”几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。
《基本要求》安全三级对信息系统安全防护能力所提出的具体要求参看《信息系统安全等级保护基本要求》(GB/T22239-2008)第七章节。
另外,在依据《基本要求》分层面采取各种安全措施时,还应考虑以下总体性要求,保证信息系统的整体安全保护能力。
a)构建纵深的防御体系
《基本要求》从技术和管理两个方面提出基本安全要求,在采取由点到面的各种安全措施时,在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证信息系统整体的安全保护能力。
应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施,形成纵深防御体系。
b)采取互补的安全措施
《基本要求》以安全控制组件的形式提出基本安全要求,在将各种安全控制组件集成到特定信息系统中时,应考虑各个安全控制组件的互补性,关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制组件共同综合作用于信息系统的安全功能上,使得信息系统的整体安全保护能力得以保证。
c)保证一致的安全强度
《基本要求》将基本安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容,分解到信息系统中的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。
应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。
如要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;要实现强制访问控制,则应保证在各个层面均基于低层操作系统实现强制访问控制,并保证标记数据在整个信息系统内部流动时标记的唯一性等。
d)建立统一的支撑平台
《基本要求》在较高级别信息系统的安全功能要求上,提到了使用密码技术,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度,均要基于密码技术,为了保证信息系统整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。
e)进行集中的安全管理
《基本要求》在较高级别信息系统的安全功能管理要求上,提到了统一安全策略、统一安全管理等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制组件在可控情况下发挥各自的作用,应建立安全管理中心,集中管理信息系统中的各个安全控制组件,支持统一安全管理。
2.3.2《设计技术要求》三级要求
为贯彻和实施信息安全等级保护制度,国家出台了相关的法规、政策文件、国家标准和公共安全行业标准,这些内容为信息安全等级保护工作的开展提供了法律、政策、和技术标准依据。
《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)(以下简称为“《设计技术要求》”)规范了信息系统等级保护安全设计技术要求,为等级保护安全技术方案的设计和实施提供了指导,是进行信息系统安全建设和加固工作的重要依据。
《设计技术要求》对三级安全防护系统提出了总体的安全目标:
通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。
其核心安全策略为:
构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规则实现对主体及其客体的访问控制。
“统一管理、统一策略”和“访问控制”是《设计技术要求》的核心安全思想。
《设计技术要求》规定等级保护系统应按照“一个中心三重防护”体系架构进行安全技术体系规划和设计,构建“由安全管理中心进行统一管理,由安全计算环境、安全区域边界和安全通信网络三重防护环节”所组成的纵深、立体的信息安全防护体系。
安全计算环境、安全区域边界、安全通信网络必须在安全管理中心的统一管控下运转,各安全环节各司其职、相互配合,共同构成定级系统的安全保护环境,确保信息的存储、处理和传输的安全,并在跨域安全管理中心的统一安全策略控制下,实现不同定级系统的安全互操作和信息安全交换。
《设计技术要求》对安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个部分分别提出了明确的安全要求。
《设计技术要求》对安全计算环境提出了“用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护”等安全要求;对安全区域边界提出了“区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护”等安全要求;对安全通信网络提出了“通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入保护”等安全要求;要求安全管理中心需要由“系统管理分中心、安全管理分中心以及审计管理分中心”三个部分组成,即按照“三权分立,相互监督、相互制约”的架构进行设计和建设。
《设计技术要求》安全三级对等级系统安全防护体系所提出的具体要求请参看《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)第七章节。
2.4安全需求分析
信息安全建设是一个量体裁衣的过程,因此安全体系的规划和设计,应该以办公系统和邮件系统的信息安全现状为基础展开。
为了掌握办公系统和邮件系统当前信息安全现状,特通过信息安全现状合标差距分析以及安全风险评估两种方法,对系统安全现状进行了客观、细致、详实的调研和安全需求分析。
2.4.1合标差距分析安全需求
2.4.1.1物理安全
1)机房选址在建筑高层;
2)定级系统相关的服务器等设备,并非所有设备上都有标签;标签粘贴的位置、格式、内容等不统一,标签上信息不完整;
3)不明确办公系统、邮件系统有哪些相关的光、磁类存储介质;办公系统采用一块活动硬盘定期进行数据备份,该活动硬盘完全由系统管理员个人保管,管理不规范;
4)机房内无防盗报警装置或系统;
5)在机房过渡区存有大量空纸箱等易燃物,带来火灾隐患,影响通过顺畅。
2.4.1.2网络安全
1)网络设备存在着多人共用账号进行维护管理的情况;
2)网络设备通过用户名/口令方式进行登录身份鉴别,未采用双因子等强身份鉴别技术;
3)缺少网络准入控制措施。
2.4.1.3主机安全
1)操作系统均使用系统默认的管理员账户,容易被冒用;管理员账户口令复杂度未形成规范化、文档化要求;口令长时间不更换;
2)服务器操作系统和数据库系统未为每个用户分配不同的用户名,管理人员共用管理账户,一旦出现安全问题,无法落实责任到个人;
3)服务器本地登录只通过“用户名/口令”方式进行身份鉴别,远程登录限制了登录终端地址,但也仅通过“用户名/口令”这一种方式鉴别用户身份,未实现双因子或更强的身份鉴别要求;
4)应依据“三权分立”原则设置管理权限体系,即设置安全管理员、系统管理员、审计管理员等,根据管理员角色赋予相应的功能权限,避免出现超级用户;
5)无论是Windows还是Linux服务器操作系统,均使用系统默认的管理员账号进行维护管理,未重命名系统默认账户或采用自定义账户;
6)服务器和重要终端上并未安装专门的主机审计类产品,存在着审计信息不完整、不全面的问题;
升级会员 