等保项目XXXX大学信息安全网络项目.docx
《等保项目XXXX大学信息安全网络项目.docx》由会员分享,可在线阅读,更多相关《等保项目XXXX大学信息安全网络项目.docx(83页珍藏版)》请在冰豆网上搜索。
等保项目XXXX大学信息安全网络项目
xxxxx大学信息网络安全项目
等级保护方案
XXX科技股份有限公司
2016年4月5日
1项目概述
1.1建设背景
随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。
从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》(征求意见稿);教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函〔2010〕80号)。
1.2建设目标
本次项目建设目标:
为贯彻落实国家、教育部信息安全工作部署,完善xxxxx大学信息系统安全技术防护措施、安全管理制度和安全运维体系,全面建设完整的信息安全防护体系,为xxxxx大学信息化的健康快速发展保驾护航。
1.3建设依据
本方案依据《信息安全技术信息系统等级保护安全设计技术要求》GB/T25070-2010中信息安全系统建设需求,重点关注校园网信息安全体系规划。
1.4政策标准
本方案重点参考以下的政策和标准如图所述。
指导思想
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
等级保护
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T25058-2010信息安全技术信息系统安全等级保护实施指南
GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求
系统定级
GB/T22240-2008信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T20270-2006信息安全技术网络基础安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20272-2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
GA/T671-2006信息安全技术 终端计算机系统安全等级技术要求
GA/T709-2007信息安全技术信息系统安全等级保护基本模型
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
电子政务标准
《电子政务标准化指南第一部分:
总则》
《电子政务标准化指南第二部分:
工程管理》
《电子政务标准化指南第三部分:
网络建设》
《电子政务标准化指南第四部分:
信息共享》
《电子政务标准化指南第五部分:
支撑技术》
《电子政务标准化指南第六部分:
信息安全》
管理方面
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
ISO/IEC27001信息系统安全管理体系标准
方案设计
GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求
方案架构
IATF信息保障技术框架
1.5设计原则
等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。
对于信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务信息系统,在方案设计中遵循以下的原则:
Ø适度安全原则
任何信息系统都不能做到绝对的安全,在进行信息安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。
适度安全也是等级保护建设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对xxxxx大学校园网信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
Ø重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统
Ø技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范恶意入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障xxxxx大学校园网信息系统的整体安全性,形成技术和管理两个部分的建设方案。
Ø分区分域建设原则
对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;
Ø标准性原则
xxxxx大学校园网信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考ISO27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性;
Ø动态调整原则
信息安全问题不是静态的,它会随着xxxxx大学校园网管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;
Ø标准性原则
信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的国内及国际安全标准,从更全面的角度进行差异性分析,是本方案重点强调的设计原则;
Ø成熟性原则
本方案设计所采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的;
Ø科学性原则
本方案的设计是建立在对xxxxx大学校园网进行安全评估基础上的,在威胁分析、弱点分析和风险分析方面,是建立在客观评价的基础上而展开分析的结果,因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决xxxxx大学校园网信息网络中存在的安全问题,满足特性需求。
2信息系统现状与安全需求分析
2.1信息系统现状
1.随着xxxxx大学信息化建设的推进,信息化建设初具规模,服务器等主机设备基本到位,大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大都配备完成,运行保障的基础技术手段基本具备;
2.xxxxx大学网络信息中心技术力量雄厚,在网络工程、数据库建设、系统设计、软件开发、信息安全等多项领域具有较强的实力和丰富的经验。
3.xxxxx大学随着信息系统的逐步建设,分别针对重要应用系统采用了负载均衡、防火墙、上网行为管理等常规安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力。
2.2技术体系结构现状
xxxxx大学由定淮门校区(总部)、东校区和应天校区组成,三校区由10G光纤连接,定淮门校区内有数据中心,其他校区人员可通过VPN访问部分资源,具体见下图:
校园内信息系统主要包括六大业务应用系统,学习平台、办公系统、认证系统、一卡通、网站、校园网。
学校内拥有1000余名教职员工,10000到15000名在校学生和100万网校注册学生。
学习平台是面向学生和老师的校内最重要的应用系统,连接全省70多个县市的分支结构。
学校外网出口拥有8条互联网连接线路,分别为4条500M电信线路,1条100M联通线路,1条100M移动线路,1条100M教育网IPV4线路、1条1000M教育网IPV6线路。
其中电信线路采用了进出数据流分开的方式进行分配。
根据进出数据流的不同分配,进入的数据流分别经过负载均衡系统,防火墙,WAF,上网行为管理到达核心交换机;出去的数据流分别经过上网行为管理,认证系统,防火墙和负载均衡系统。
网络采用核心层,汇聚层和接入层三层设计,在接入层对不同网络进行了区分,包括无线网络,一卡通和校园网。
数据中心存放有学校重要的学生资源和学习资源。
数据中心采用了两台EMC的存储系统进行数据存放,存储总容量为400T。
其中,80%的后台资源进行了虚拟化,包括接近200台虚拟机,虚拟软件采用了Vmware4.1(测试网),Vmware5.1(生产网)。
后台数据库主要采用SQLserver,ORACLE和MYSQL。
xxxxx大学网站系统为xxxxx大学校园的互联网窗口,起到学校对外介绍宣传和部分业务入口的功能。
目前具有100-200个子网站。
学校网络结构图如下:
2.3安全风险防范需求分析
2.3.1安全风险评估
风险就是威胁利用弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。
瞄准计算机网络系统可能存在的安全弱点,各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和网络应用服务等因素密切相关。
为了明确xxxxx大学建设管理校园网面临的各类安全风险,以及造成风险的各个要素之间的关系,根据国家标准《信息安全风险评估规范》(GB/T20984-2007),可建立一个信息系统安全风险关系模型。
如下图所示:
安全风险要素关系模型
图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。
风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
我们在进行风险分析时主要考虑资产、威胁、脆弱性三个基本要素。
每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
通过综合分析资产价值、威胁出现频率、脆弱性严重程度,可以判断出威胁利用脆弱性引发安全事件的可能性以及一旦发生安全事件可能造成的损失,从而最终确定特定资产的风险值。
在项目具体实施过程中,我们将对xxxxx大学建设管理校园网信息系统进行整体安全风险评估,不仅包括技术方面,还应包含管理方面,已充分了解xxxxx大学建设管理校园网环境安全状况,并提取出较高级别风险,有重点地进行防护措施设计。
2.3.2已知风险
2.3.2.1网络安全风险
三校区的网络和基础设施安全措施不足,需要更新升级,建立符合三级等保要求的网络环境。
Ø现有安全产品的部署方式导致网络安全风险防范不足。
Ø对来自内部的安全风险不设防。
各业务系统服务器群与校园网内部上网用户之间没有采取相应的安全防护措施,难以有效防止内部用户对Web、数据库、邮件等服务器的恶意访问和攻击。
Ø各信息系统边界的安全风险。
Ø网络安全设备存在单点故障和性能瓶颈。
Ø恶意代码特别是木马程序防范措施不够。
Ø网内无审计。
Ø不同等级保护的系统混杂部署。
Ø单个网站受攻击后会波及全网。
Ø存在ARP地址欺骗、仿冒网关攻击、地址盗用、流量异常、带宽滥用等问题,并且出现问题难以定位和管控。
2.3.2.2系统安全风险
系统面临的系统安全风险主要有:
Ø安全漏洞可能被黑客利用。
Ø计算机病毒的传播和攻击。
Ø没有安全审计措施。
Ø所有运行服务器由各系统管理员单独、直接管理,没有统一监控
2.3.2.3应用安全风险
Ø身份被假冒将造成非授权访问。
目前,统一认证系统以及未集成的各业务系统所采用的认证方式只是用户名/口令这种简单的、低强度的方式进行身份认证,很容易被黑客窃取到用户名和相应的口令,造成身份被假冒,信息被非授权访问。
Ø用户可能对操作进行事后抵赖。
目前由于没有建立有效的责任认定机制,当出现操作者事后抵赖、出现纠纷或争议时,无法进行有效的责任认定,从而影响业务的严肃性、权威性和公正性。
Ø网站挂木马。
Ø网页被篡改。
Ø没有针对各应用系统、操作系统(OS)、应用服务器(web中间件)、数据库、文件服务器等的安全防护。
Ø本项目涉及应用系统大多数难以做代码级整改,应用系统自身可能存在安全问题,且难以通过修改代码彻底解决。
2.3.2.4数据安全风险
目前,各应用系统的数据库分散部署,分别划分局域网,没有安全措施。
2.3.2.5安全管理风险
Ø没有建立一套安全管理和监控系统,无法对校园网络和各应用系统的整体安全性进行管理和监控。
Ø在安全制度和组织管理方面,校园网络和应用系统的安全管理规范不够完善,缺乏统一的安全管理机制和制度保障,也没有完备和有效的组织机构对信息安全负责。
Ø各级用户的安全意识淡漠,比如,使用弱口令,不注意保管口令,网络访问控制不严格等。
Ø安全准入认证:
校内用户通过接入有线、无线网络后无需认证即可访问所有校内资源。
现有认证系统仅用于访问外网的计费认证。
2.3.3安全风险防范
参考业界经典的PDR安全模型,我们将通过采用安全防护、安全检测、安全响应等三类技术措施来建立一个的动态的、不断循环的信息安全风险防护体系,从“事前防护”、“事中检测”、“事后响应”等三个阶段为xxxxx大学建设管理校园网络环境提供安全保障。
PDR指的防护(Protection)、检测(Detection)、响应(Reaction),其核心目标是确保防护时间(Pt)大于检测时间(Dt)加响应时间(Rt),使得信息系统始终处在被保护的状态,而不会因为安全事件的发生对信息系统造成实质上的负面影响。
如下图所示。
PDR安全模型
下面我们分别从这三个方面分析针对xxxxx大学建设管理校园网目前已知可能面临的一些安全风险,如何进行有效应对。
2.3.3.1防护机制
安全防护机制属于事前控制手段,是通过技术和管理手段预先阻止可能发生安全事件。
为了避免单点故障,可以通过对统计内网核心交换机进行冗余备份的方式来提高网络服务的可用性。
为了保证内网安全,需要防止来自外部网络以及内部工作区发起的非授权访问、蠕虫木马侵袭及其他各种攻击。
因此需要在内网与外网的边界处及内网重要服务器区域边界处采取多种边界安全防护措施,包括防火墙、入侵防御、病毒过滤等,实现对网络边界实施全方位的安全保护。
同时,通过利用原有客户端安全管理系统,对接入内网的终端设备进行严格的接入认证,并实现对接入未授权移动存储设备的控制,防止攻击者在内网办公区内部发起攻击。
此外,应编制相应的安全管理规章制度,对人员、环境、设备、介质、运行、数据等各个方面提出要求,并辅以可行的操作规范和流程,确保信息系统按照规范的方式进行安全运行、使用和维护,提高信息系统的安全管理水平。
2.3.3.2检测机制
安全检测机制属于事中的安全控制手段,是信息安全保障体系中的十分重要的环节,通过技术和管理手段对信息系统进行实时或定期的安全检测监测。
为了达到实时检测的目标,需要在网络对外边界处部署入侵检测/防御设备,第一时间发现网络攻击行为并向管理人员发出报警通知,使管理人员能够迅速采取相应措施。
通过利用原有客户端安全管理系统可以对内网终端系统的安全状态实时监测,进而可对存在安全隐患的终端采取隔离、打补丁、升级病毒库等措施,有效防范来自终端的安全风险。
2.3.3.3响应机制
安全响应机制是事后安全控制手段,当信息系统中发生安全事件时,能够根据预先制定的安全策略、事件响应和应急处理流程对安全事件做出快速准确的响应、及时有效的处理。
通过部署安全审计系统可以实现事后审计时对安全事故的重现及安全漏洞的定位,尽快采取补救措施,防止同类事件的再次发生。
此外,应在制度层面建立灾难恢复预案和安全应急预案并定期进行演练和更新,提高对灾难性事件和安全事件的响应和恢复能力。
2.4等级保护合规需求分析
等保合规性需求分析的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
GB/T22239-2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)针对不同等级的信息系统提出了相应的基本安全保护要求,分为基本技术要求和基本管理要求两大类。
其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。
本方案将取《基本要求》中的第三级要求作为xxxxx大学校园网系统安全建设的基本需求。
对于部分拟定为二级的信息系统,如果不存在与三级系统共享网络或系统资源的,可适当降低保护要求。
以下将分别从技术和管理两个方面进行说明。
2.4.1技术合规性需求
2.4.1.1物理安全
在物理安全方面建设相对完善,本方案暂不涉及。
2.4.1.2网络安全
为保证安全一致性,防止局部安全短板造成全局安全事故,建议对xxxxx大学校园网络安全层面整体上按照等保三级要求进行防护。
Ø结构安全
本项标准要求的内容为:
一是应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;二是应保证网络各个部分的带宽满足业务高峰期需要;三是应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;四是应绘制与当前运行情况相符的网络拓扑结构图;五是应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;六是应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其它网段之间采取可靠的技术隔离手段;七是应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
Ø访问控制
本项标准要求的内容:
一是应在网络边界部署访问控制设备,启用访问控制功能;二是应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;三是应对进出网络的信息内容进行过滤,实现对应用层HTTP、、SMTP、POP3等协议命令级的控制;四是应在会话处于非活跃一定时间或会话结束后终止网络连接;五是应限制网络最大流量数及网络连接数;六是重要网段应采取技术手段防止地址欺骗;七是应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;八是应限制具有拨号访问权限的用户数量
Ø安全审计
本项标准要求的内容:
一是应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;二是审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;三是应能够根据记录数据进行分析,并生成审计报表;四是应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
Ø边界完整性检查
本项标准要求的内容:
一是应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;二是应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
Ø入侵防范
本项标准要求的内容:
一是应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;二是当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
Ø恶意代码防范
本项标准要求的内容:
一是应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;二是主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;三是应支持防恶意代码的统一管理。
Ø网络设备防护
本项标准要求的内容为:
一是应对登录网络设备的用户进行身份鉴别;二是应对网络设备的管理员登录地址进行限制;三是网络设备用户的标识应唯一;四是主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;五是身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;六是应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;七是当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;八是应实现设备特权用户的权限分离。
2.4.1.3主机安全
Ø身份鉴别
本项标准要求的内容为:
一是应对登录操作系统和数据库系统的用户进行身份标识和鉴别;二是操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;三是应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;四是当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;五是应为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;六是应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
Ø访问控制
本项标准要求的内容为:
一是应启用访问控制功能,依据安全策略控制用户对资源的访问;二是应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;三是应实现操作系统和数据库系统特权用户的权限分离;四是应严格限制默认帐户的访问权限,重命名系统默认帐户,并修改这些帐户的默认口令;五是应及时删除多余的、过期的帐户,避免共享帐户的存在。
六是应对重要信息资源设置敏感标记;七是应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
目前系统服务器主机已经建立了一定的访问控制策略,但不能完全符合上述要求。
拟采用的解决方法是通过人工检查结合专业工具扫描的方式,对主机系统中存在的配置缺陷和安全漏洞进行检查并生成报告,并根据发现的问题进行人工加固、安装补丁程序,及时修复漏洞,实现核心业务的自身安全性。
针对操作系统管理用户采用集中的访问控制机制如堡垒主机,实现统一的身份管理、认证管理、授权管理和审计管理机制。
Ø安全审计
本项标准要求的内容为:
一是审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;二是审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;三是审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;四是应能够根据记录数据进行分析,并生成审计报表;五是应保护审计进程,避免受到未预期的中断;六是应保护审计记录,避免受到未预期的删除、修改或覆盖等。
目前系统内网拟采用的解决方法是新增一套日志收集和分析系统,对服务器操作系统的日志记录进行统一收集、存储、分析、统计,实现对系统中安全相关事件的集中审计。
对于重要客户端(业务终端、管理终端等)的操作系统审计,也无法直接通过系统日志获得,可利用终端安全管理系统提供的主机审计功能来实现。
Ø剩余信息保护
本项标准要求的内容为:
一是应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;二是应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
Ø入侵防范
本项标准