如城街道信息系统等级保护建设整改方案.docx
《如城街道信息系统等级保护建设整改方案.docx》由会员分享,可在线阅读,更多相关《如城街道信息系统等级保护建设整改方案.docx(16页珍藏版)》请在冰豆网上搜索。
如城街道信息系统等级保护建设整改方案
如皋工业园区(如城街道)信息系统
等级保护建设整改方案
江苏安国信检测技术有限公司
二零一五年二月
文档信息
文档名称
如皋工业园区(如城街道)信息系统等级保护建设方案
文档管理编号
DBCP201502-RCJD-04
保密级别
商密
文档版本号
V2.0
制作人
薛陈根
制作日期
2015年2月
复审人
复审日期
2015年2月
版本变更记录
时间
版本
说明
修改人
2015-02
V1.0
创建文档
薛陈根
2015-02
V2.0
修改文档
吴鹏飞
适用性声明
本报告由江苏安国信检测技术有限公司撰写,适用于如皋工业园区(如城街道)信息系统等级保护项目。
目录
1.项目概述3
1.1目标与范围3
1.2方案设计3
1.3参照标准3
2.建设总目标4
2.1等级保护建设总体目标4
3.信息系统安全现状4
3.1信息网络现状4
4.信息安全管理建设5
4.1建设目标5
4.2物理安全6
4.2.1物理安全建设目标6
4.2.2整改方案7
4.3网络安全建设方案8
4.3.1网络安全建设目标8
4.3.2整改方案8
4.4主机安全9
4.4.1主机安全建设目标9
4.4.2整改方案10
4.5应用安全14
4.5.1应用安全建设目标14
4.5.2整改方案14
4.6数据安全及备份恢复15
4.6.1数据安全及备份恢复建设目标15
4.6.2整改方案15
1.项目概述
根据公安部《信息安全等级保护管理办法(公通字[2007]43号)》提出的要求,落实等级保护各项任务,提高如皋工业园区(如城街道)信息系统安全防护能力,特制定本方案。
1.1目标与范围
为了落实和贯彻公安部等国家有关部门信息安全等级保护工作要求,全面完善信息安全防护体系,落实“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各单位的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。
在前期的信息系统等级保护测评工作,对如皋工业园区(如城街道)信息系统进行测评工作,范围核心业务信息系统、网上银行信息系统和核心网络系统业务系统分析测评结果与等级保护要求之间的差距,提出本的安全建设方案。
本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《信息系统信息安全等级保护测评指南》《信息系统信息安全等级保护实施指引》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。
通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1.2方案设计
根据等级保护前期测评结果,对信息系统存在的漏洞、弱点提出相关的整改意见,并最终形成安全解决方案。
1.3参照标准
GB/T22239-2008《信息安全技术信息安全等级保护基本要求》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
ISO/IEC27001信息安全管理体系标准
ISO/IEC13335信息安全管理标准
2.建设总目标
2.1等级保护建设总体目标
综合考虑如皋工业园区(如城街道)现有的安全防护措施,针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使如皋工业园区(如城街道)信息系统满足《信息安全技术信息系统安全等级保护基本要求》、《信息系统信息安全等级保护实施指引》、《信息安全等级保护测评服务安全指引》中二级系统的要求。
3.信息系统安全现状
3.1信息网络现状
如皋工业园区网络结构如下:
如皋工业园区信息系统通过1台山石SG6000防火墙连接互联网。
网络方面通过华为S-3700交换机用于设备互联。
存储方面通过IBM高端磁盘阵列配置成虚拟化存储集群系统,并做磁盘阵列级热备保护。
服务器由3台IBMx3650M4服务器组成,分别作为数据库服务器、公文应用服务器、资源管理服务器,安装Windows服务器操作系统及Linux操作系统,并安装ORACLE数据库软件。
在后台连接IBM存储阵列,将数据集中存放和统一分配管理。
4.信息安全管理建设
4.1建设目标
如皋工业园区(如城街道)信息系统的管理与运维总体水平较高,各项管理措施比较到位,经过多年的建设,已形成一整套完备有效的管理制度。
如皋工业园区(如城街道)通过严格、规范、全面的管理制度,结合适当的技术手段来保障信息系统的安全。
管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行改进。
通过等级保护管理机构与制度建设,完善信息系统管理机构和管理制度,落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高信息系统管理与运维水平。
如皋工业园区(如城街道)二级系统是如皋工业园区(如城街道)政务协同办公软件系统,按照国家相关标准对其进行防护。
如皋工业园区(如城街道)二级系统等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,实现信息系统二级系统独立分域,完善二级系统边界防护、配置合理的网络环境、增强主机系统安全防护及二级系统各应用的安全。
针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,为保障其稳定、安全运行,本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。
4.2物理安全
4.2.1物理安全现状
如皋工业园区(如城街道)机房应按照《信息安全技术信息系统安全等级保护基本要求》二级系统机房物理环境要求,对机房进行等级保护整改,目前环境如下:
1)机房出入口门禁无法控制、鉴别和记录进入人员,机房无专人值守;
2)机房来访人员无申请和审批流程;
3)部分网络设备和线路没有做标签或其他明显标识;
4)机房未安装必要的防盗报警设施;
5)机房未设置灭火设备和火灾自动报警系统;
6)未采取措施防止地下积水转移和渗透;
7)机房机柜未采用必要的接地防静电措施;
8)供电线路未配置稳压器和过电压防护设备;
9)电源线和通信线缆同时在防静电地板下铺设,且未通过线槽或管道隔离,无法避免互相干扰。
4.2.2整改方案
如皋工业园区(如城街道)信息系统物理安全现状与等级保护要求存在一定的差距,需完善以下几点
10)为机房出入口设置门禁系统,对出入机房人员进行记录,并在出入口配置专人值守,建立相关审批流程和相应的审批记录对来访人员进出机房进行控制;
11)为各机柜、设备以及线缆上设置明显的标识,如名称、IP、型号、用途等;
12)为机房部署监控摄像头和CK红外报警装置,使其能够监控机房内所有重要区域;
13)部署消防灭火系统,能够自动检测火情、自动报警,并提供灭火功能;
14)部署水敏感的检测仪表或元件(如漏水绳等),并与报警系统联动,对机房进行防水检测和报警;
15)机房供电线路配置稳压器和过电防护设备,防止电压不稳或瞬间电压过大导致的设备异常发生,并将机柜进行接地;电源线和通信线缆应隔离铺设,避免互相干扰
4.3网络安全
4.3.1网络安全建设目标
如皋工业园区(如城街道)机房应按照《信息安全技术信息系统安全等级保护基本要求》二级系统网络安全要求,对网络进行等级保护整改,目标如下:
16)系统中的重要设备不要出现单点故障;
17)采取相关措施检测内部用户非法外联行为或采取其他同等效力的监控措施,无法对违规外联行为进行检查和阻断;
18)系统中应具有入侵检测措施,并且对设备的管理地址具有限制;
19)网络设备应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
20)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
4.3.2整改方案
根据信息安全测评结果,如皋工业园区(如城街道)网络中网络设备及技术方面主要存在以下问题:
21)系统中所有设备在网络中均存在单点故障威胁;
22)未采取相关措施检测内部用户非法外联行为或采取其他同等效力的监控措施,无法对违规外联行为进行检查和阻断;
23)系统中入侵检测措施不完善,部分网络设备口令复杂度较弱,且未定期修改,部分网络设备会话超时配置为永不超时,且未对管理员登录IP进行限制;
24)部分网络设备使用http未加密协议进行远程管理。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
25)为系统中主要网络设备部署冗余备份措施,如冷备等,避免单点故障的发生;
26)建议部署违规外联监控设备对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
(建议采用域控方式,禁止改变IP、安装软件、驱动等满足以下所有条件1.限制或禁止内部网络用户私自使用电话拨号、adsl拨号、手机、pda、无线网卡等连接方式将内网设备连接到外部网络;2.限制终端使用USB等口;3.监控设备连接异常情况,一旦连接变更,产生报警记录;4.物理的访问控制,包括设备连接方面变更的严格审批制度;5.网络连接日志);
27)建议部署入侵检测系统(或开启防火墙入侵检测模块)对各种网络攻击行为进行检测,同时为入侵检测或入侵防范设备配置声、光、电等报警措施,在发生严重入侵事件时及时通知到相关负责人进行处理;
28)关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如SSH和https。
部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址;
29)修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均应要进行修改。
部分楼层接入交换机,应及时修改口令;交换机应修改其SNMP口令串;防火墙口令应满足口令强度要求。
;
30)所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施;
4.4主机安全
4.4.1主机安全建设目标
根据《信息安全技术信息安全等级保护基本要求》,从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面给出二级系统主机等级保护建设方案,对主机操作系统进行安全加固,使之满足《信息安全技术信息安全等级保护基本要求》中关于主机的安全防护要求。
4.4.2整改方案
如皋工业园区(如城街道)信息系统主机现状与等级保护要求存在一定的差距,需完善以下几点:
31)对主机的登录有严格的身份标识和鉴别;
32)启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
33)应禁用或严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令,账户不应一人多用;
34)操作系统管理用户身份标识具有不易被冒用的特点,口令有复杂度并定期更换;
35)登陆终端具有操作超时锁定功能,设定管理终端接入方式、网络地址范围等条件限制终端登录;
36)操作系统开启审计记录,对人员的操作都进行记录;
37)拥有相关技术手段,抵抗非法入侵和恶意代码攻击。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
38)限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户。
操作系统
操作方式
Linux
1.检查/etc/passwd密码域中存在默认帐户,删除不必要的账户,或增设口令;
WINDOWS
1.删除非法帐号或多余帐号,更改默认管理员帐号,将原Administrator名称改成不被人熟识的帐户,新建一个普通用户,将其重命名为Administrator,并将其权限设为最低,口令复杂度为32位以上;
2.选择“本地用户和组”的“用户”,可设置口令、删除或禁用非必需账户或禁用Guest账户。
注:
管理员账号Administrator重命名后,可能会导致某些服务不能用,如SQLServer数据库可能无法启动,修改前,需在备机上进行测试运行一周时间,无任何问题,再在主机上进行修改。
39)增强操作系统口令强度设置;
操作系统
操作方式
Linux
1.修改passwd参数:
/etc/login.defs;/etc/pam.d/system-auth
-PASS_MAX_DAYS:
90口令最长生存期90天
-PASS_MIN_DAYS:
2密码最短存留期
-PASS_MIN_LENS:
8密码长度最小值
-PASS_WARN_AGE:
7密码有效期警告
-passwordrequisitepam_cracklib.sominlen=8
ucredit=-1密码须包含大写字母个数
lcredit=-1密码须包含小写字母个数
dcredit=-1密码须包含的数字字符个数
ocredit=-1密码须包含的特殊符号个数
WINDOWS
1.修改“密码策略”,开启复杂性要求,设置口令最小长度等:
密码复杂性要求启用
密码长度最小值8字符
密码最长存留期90天
密码最短存留期0天
复位帐户锁定计数器10分钟
帐户锁定时间10分钟
帐户锁定阀值5次
注:
设置密码策略后可能导致不符合密码策略的帐号无法登录。
在修改密码策略前,需修改不符合帐号策略的密码使其符合策略要求,最后再修改密码策略。
40)启用登录失败处理功能,设置限制非法登录次数和自动退出等措施。
操作系统
操作方式
Linux
1.增加或修改/etc/profile文件中如下行:
TMOUT=600;
WINDOWS
1.修改“账户锁定策略”,设置帐户锁定相关设置:
复位账户锁定计数器15分钟
账户锁定时间15分钟
账户锁定阈值5次
41)设置不同的管理员对服务器进行管理,分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离,并对各个帐户在其工作范围内设置最小权限,如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等。
42)限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;
操作系统
操作方式
WINDOWS
1.修改administrator名称,将原Administrator名称改成不被人熟识的帐户,同时将一个普通帐户名称改成Administrator,登录普通帐户执行系统所有操作;
2.禁用Guest账号。
43)开启并合理设置审计策略,能够对用户的重要操作行为进行审计记录;建立相关审计用户,定期对审计记录进行分析,并生成审计报表;采取审计进程保护措施,避免审计进程受到未预期的中断;对审计记录进行保护;
操作系统
操作方式
WINDOWS
1.修改安全审计策略:
审核策略更改
成功
审核登录事件
成功,失败
审核对象访问
成功,失败
审核过程追踪
无审核
审核目录服务访问
无审核
审核特权使用
无审核
审核系统事件
成功,失败
审核帐户登录事件
成功,失败
审核帐户管理
成功,失败
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等
操作系统
操作方式
WINDOWS
1.修改“事件查看器”的属性配置:
日志类型
大小
覆盖方式
应用日志
16384K
覆盖早于30天的事件
安全日志
16384K
覆盖早于30天的事件
系统日志
16384K
覆盖早于30天的事件
2.修改“事件类型”、“事件来源”等属性为“全部”;
44)操作系统需遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新;
操作系统
操作方式
WINDOWS
1.安装最新的补丁。
从下载最新的安装补丁进行安装。
2.关闭非必需服务:
常见的非必需服务有:
Alerter远程发送警告信息
ComputerBrowser计算机浏览器:
维护网络上更新的计算机清单
Messenger允许网络之间互相传送提示信息的功能,如netsend
remoteRegistry远程管理注册表,开启此服务带来一定的风险
PrintSpooler如果相应服务器没有打印机,可以关闭此服务
TaskScheduler计划任务,查看“控制面板”的“任务计划”中是否有计划,若有,则不关闭。
SNMP简单网管协议,如启用网管应用则不关闭。
3.关闭空连接:
编辑注册表如下键值:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的值修改为“1”,类型为REG_DWORD。
45)安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库,增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行。
4.5应用安全
4.5.1应用安全建设目标
如皋工业园区(如城街道)二级应用系统主要为如皋工业园区(如城街道)政务协同办公软件系统,根据等级保护前期测评结果,结合《信息安全技术信息安全等级保护基本要求》,针对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面提出相应的整改方案,进行应用系统安全等级保护建设与改造。
4.5.2整改方案
如皋工业园区(如城街道)应用的现状与等级保护要求存在一定的差距,应完善:
46)有相关的加密措施,保证应用系统数据在网络传输过程中的保密性、可靠性;
47)采取登录失败处理功能来结束会话、限制非法登录次数和自动退出等措施;
48)限制对系统的最大并发会话连接数。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改要求如下:
49)需限制用户对系统的最大并发会话连接数、限制单个帐户的多重并发会话、限制某一时间段内可能的并发会话连接数等;
50)采用密码技术保证通信过程中数据的完整性和保密性,且应用软件要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程、程序和应用中非相关组件访问到;
51)增加对客户信息系统操作员的登录失败锁定功能,或在登录界面添加随机验证码。
4.6数据安全及备份恢复
4.6.1数据安全及备份恢复建设目标
根据等级保护前期测评结果,结合《信息安全技术信息安全等级保护基本要求》对二级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
4.6.2整改方案
二级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:
52)系统管理数据、鉴别信息和重要业务数据在传输和存储过程中需进行加密,确保信息在传输和存储过程中的完整性和保密性;
53)应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
54)采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。
加密技术需满足以下要求:
55)建议在不影响系统使用的情况下,对系统中的网络、线路和数据处理设备进行硬件冗余(主要设备或使用冷备方式进行)。
升级会员 