安全体系的要素.docx
《安全体系的要素.docx》由会员分享,可在线阅读,更多相关《安全体系的要素.docx(29页珍藏版)》请在冰豆网上搜索。
安全体系的要素
1.1.安全体系的要素
税务信息系统的安全建设包括三个方面--安全策略、安全管理和安全技术。
安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等,安全策略是信息安全体系的核心问题,是整个信息安全建设的依据;
安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实手段;
安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。
根据上述三个方面,金税工程(三期)的信息系统安全解决方案不仅仅包含各种安全产品和技术,而是要建立一个策略、技术和管理三位一体、目标一致的信息安全体系。
1.2.安全体系的基本框架
根据对税务信息系统安全项目不同方面的需求分析,税务信息系统将建立一整套完善的安全体系。
该体系包括税务信息系统建立安全管理体系和具体技术产品的技术体系。
通过两个体系的建立,可以对税务信息系统信息网的所有信息资产进行安全的管理和安全的技术保护。
同时通过多层次、多角度的安全服务和产品,覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。
第2章
安全体系
2.1.总体目标
根据总局金税工程(三期)的建设目标,充分考虑各子系统数据交互中安全需求,建立统一的、覆盖整个系统的安全管理体系和安全技术体系,使整个系统置于整体安全的环境当中。
具体地说,深圳地税安全体系的设计要达到以下目标:
(1)适应税务系统分级、多管理域的管理模式,针对种类繁多、多种密级的信息保密需求,提供全网统一的身份认证和访问控制手段,防止内部人员(合法用户)滥用权力,有意犯罪。
(2)抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,保证网络和系统服务的可用性,保证信息的真实性、保密性、完整性。
(3)防止有害信息(如病毒等)的传播等。
(4)提供一定的容错能力,在系统软硬件故障时提供数据恢复手段,保证系统的可用性。
(5)提供一定的容灾能力,在自然灾害或人为的物理破坏(如战争)发生时,提供有效的灾难恢复机制,保证网络的可用性。
以确保深圳地税计算机网络系统稳定、安全、可靠地运行为基本目标,完善安全措施,建立安全平台,强化安全管理。
通过一到两年的时间,构造一个以安全策略为核心,集安全管理、防护、检测、反应为一体的、动态适应的计算机网络安全体系。
最终达到具有整体防护能力、技术先进、稳定可靠、适应未来发展需要的总目标。
2.2.指导方针
加强管理,执行策略,堵塞漏洞,正视威胁,适度防护,增强检测,落实反应,全面提升,建立威慑。
2.3.安全体系建设策略
以整体防护,分层负责,面向全局,加强管理作为安全防护体系建设的基本策略。
整体防护:
深圳地税网络是一个有机的整体,现行的很多重要应用系统都是基于全行业计算机网络平台运行的。
为适应目前以及未来业务发展的需要、为用信息技术改造和提升整体运营能顺利进行提供可靠的安全保障,需要有一个完整、可靠的计算机网络安全平台。
分层负责:
深圳地税计算机网络是由市局、区分局所构成。
各市局网的规模、结构、应用系统等都类似,对安全的要求也类似。
因此,应结合各自的具体情况,按市局、区分局和管理这几个方面进行安全防御体系的建设。
面向全局:
各分局网是整个深圳地税计算机网络的组成部分,其自身的安全是整个深圳地税计算机网络安全的组成部分。
同时,由于这些子网的相互连接,某些有害信息包(如计算机病毒等)也可能通过互连渠道在子网间传播。
因此,各分支在安全体系建设工作中,要树立全局观念,不但要重视自身的安全建设,同时也要充分考虑到自身对整个深圳地税计算机网络中其它节点(特别是市局)所应承担的安全义务。
加强管理:
没有相应的安全管理规章制度作为保障,任何安全体系都不能发挥其应有的作用。
因此,必要、合理、切实可行的计算机网络安全管理措施及其相应的规章制度是计算机网络安全策略中不可缺少的重要组成部分。
另外,安全体系的建设应充分考虑到未来业务发展的需要、安全风险变化的需要以及网络整体性能提升的需要。
2.4.体系结构
威胁深圳地税计算机网络安全的风险主要来自三个方面:
市局网、各地市网、安全管理。
所以,可分别从市局、区分局、管理这三个层次来考虑安全体系结构(参见图4-1)。
图41网络安全体系结构示意图
2.4.1.
关键技术
网络安全关键性技术大致可以归类为:
防火墙、VPN、安全隔离、认证、防病毒、入侵检测/监控/恢复、安全漏洞探查、防DDOS攻击等。
其中信息加密、防火墙、安全隔离、认证、防病毒等属于防护技术,入侵检测、安全漏洞探查等属于检测技术,响应一般是由人参与的行为,如:
当发现系统漏洞或入侵行为后,立即调整防火墙策略、路由的设置以及提高信息加密强度等,网页监控及恢复也属于反应技术。
(1)VPN技术
VPN技术主要是在广域网(也可以在帧中继等电信网)上构造自己的虚拟专网,实际上是IP加密技术的进一步应用。
为了适应广域网的开放性,增加了严格、开放式认证机制。
只有在IPSecV6协议中,VPN技术才更能体现其完善的性能。
近几年VPN技术发展较快,但采用VPN技术传输数据时存在复杂严格的认证过程,其传输效率不如IP加密产品。
另外VPN技术中的核心协议,如L2TP、IPsec等,尚未形成统一的标准,存在不同厂商产品之间的兼容性问题,在产品选型时应予以充分的注意。
(2)防火墙技术
防火墙是一个用以阻止网络中的黑客或其他非授权者访问网络的屏障,也可称之为控制进/出两个方向通信的门槛。
在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络中非法(非授权)访问者的侵入。
防火墙可以限制访问目的地、访问协议等。
尤其对安全策略要求不同的网络,防火墙是一种比较有效的安全解决方法。
(3)检测及恢复技术
入侵检测:
利用在局域网适当的部位安放探测设备,对进出局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
安全漏洞检测:
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议需要采取的补救措施和安全策略,达到增强网络安全性的目的。
安全审计:
安全审计是通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,从而对资源使用情况进行事后分析。
审计也是发现和追踪事件的常用措施。
配合身份认证措施,可以检查出绝大部分违规行为。
从另外一个角度上讲,审计具有威慑作用,可以在一定程度上迫使人们自觉地去规范自身的行为。
网页监控与恢复:
网站监控恢复系统采用信息安全技术中的签名机制,实现对Web站点发布的信息进行实时扫描与监控,一旦发现Web站点上的某个页面发生了异常变化(非法更新、篡改),立即报警并自动予以恢复,将被篡改页面(证据)保存在安全事件日志中,从而降低了网站的安全风险。
(4)安全隔离技术
采用专用硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、协议分析、内容检测、访问控制,安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据交换,提供可靠的信息交换服务。
(5)抗DDOS攻击技术
当今DDOS攻击以成为网上最流行、最有效的攻击方式、加上DDOS攻击工具的随手可得、使之发动一次DDOS攻击以成为一件最平凡不过的攻击!
DoS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。
防拒绝服务攻击系统在1000/100M网络环境下,可分别提供千兆线速和百兆线速的抗拒绝服务能力,从而实现对高强度攻击的有效防护,由于采用了多种算法进行防护,它能够对SYNFlood、UDPFlood、ICMPFlood、StreamFlood和空连接等各类DoS、DDoS攻击进行防护。
(6)身份认证技术
身份认证是通过对访问者所特有的标识(ID)、口令字(PASSWORD)或证书(基于CA)等进行验证以确认来访者身份的合法性和真实性,以达到防止非授权用户进入系统的目的。
动态口令卡、安全应用代理服务器技术、CA等都属于身份认证技术。
●动态口令卡:
动态口令安全认证系统,由认证服务器和客户端的令牌(动态口令产生器)两大部分构成。
用户使用令牌每次产生一次性、可变的口令。
认证服务器对令牌产生的口令进行计算和认证。
优点:
成本较低。
缺点:
需要对应用系统做一些修改。
●安全代理服务器:
安全代理服务器技术是在某个或若干应用服务器的外面增加一个代理服务器。
客户端访问应用系统时需提供表明身份的证书,经代理服务器对来访者进行身份认证之后方可对数据信息进行访问。
代理服务器和客户端之间传送的信息为加密形式,可防止搭接窃听。
因此,具有较高的安全性。
其客户端既可以是具体的操作人员,也可以是另外一台服务器或其它设备,而且,在解决应用系统安全时无须修改具体的应用程序。
缺点:
在客户端需要安装IC读卡器。
●CA认证:
CA认证的基本原理是通过向所有用户发放CA证书,使这些用户拥有一对用于信息安全的密钥,即公钥和私钥。
系统可以通过这对密钥确认用户的身份,保证传输数据的安全性、完整性、防篡改、防抵赖。
从实际应用和技术发展两方面看,CA认证技术是彻底的、最为理想的认证解决方案,但其投资也相对较高。
(7)病毒防治技术及其相关产品
包括预防病毒、检测病毒和消毒三种技术:
预防病毒技术:
它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
这类技术有:
加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
检测病毒技术:
通过对计算机病毒的特征来判断有无病毒出现的技术,如自身校验、关键字、文件长度的变化等。
消毒技术:
通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
2.4.2.市局网安全体系
安全建设目标:
(1)安全管理:
建立安全管理体系;
(2)安全隔离:
内外网的物理隔离及信息交换系统;
(3)边界安全:
合理采用和配置边界防护技术如防火墙、防DDOS攻击系统以
保护内网安全;
(4)身份认证:
阻止非法用户进入网络系统;
(5)链路安全:
保证外网链路的高可用;
(6)通信安全:
保证链路的加密传输;
(7)内网安全:
检测内网访问,阻止相应攻击。
(8)访问控制:
防止对网络系统资源的非授权或违规访问;
(9)病毒防治:
防止病毒的危害,杜绝病毒的传播;
(10)内容安全:
防止内容人员访问非法网站,非法下载;
相关安全技术:
为实现安全建设目标中所提出的要求,对全网进行冗余结构改造,主干采用双链路设计,提高网络的可用性,同时拟采用:
VPN、隔离网闸、防火墙、防病毒、入侵检测、监控、漏洞扫描、负载均衡、网页防篡改、防DDOS攻击等技术。
防护措施在网络中的具体位置请参见图4-6。
(1)防火墙技术
市局网络各安全域的边界部署防火墙。
在互联网与外网服务区边界部署两台千兆防火墙,用于保护外网服务区各种服务系统不受互联网的攻击;
在外网服务区与外网数据区间部署两台防火墙进行双机热备;
在业务网区与下联业务网区之间部署两台双机热备千兆防火墙进行安全防护。
采用不同的防火墙安全配置策略,增强整个系统抵御外部攻击的能力;杜绝内外网穿透访问的现象。
(2)入侵检测技术
虽然安全防护技术在不断地完善和提高,但攻击技术也在发展和变化,采取了防护措施不等于就能永远安全了。
入侵检测能及时发现防护措施的漏洞和不足,以便及时调整安全策略和修补防护漏洞等响应措施,以保障整个系统始终能处于相对安全的状态,从而实现保证各种应用系统安全运行的目的。
在外网服务区核心交换机上作镜像配置,连接两台入侵检测,实现对内网服务区的网站服务器、邮件服务器、短信服务器等重要资产访问的监控。
在业务网核心交换机上同时部署两台入侵检测系统,实现对业务网内的业务访问数据流的监控,更有效地保护业务服务器。
(3)物理隔离技术
在信息平台中有些安全域内服务器系统中承载着税务系统的核心数据,其安全性在全网当中是至关重要的,若由于黑客攻击或内部员工误操作而使数据破坏或丢失会给税务系统带来不可估量的经济损失,因此保护核心数据要应用物理隔离技术将服务器与网络隔离。
应用安全隔离技术即要实现物理隔离的作用,又要完成数据交换的任务;应该自动完成内、外数据的同步。
在外网数据区与业务网区的边界部署两台安全网闸,做双机热备,保护核心业务数据。
(4)网页防篡改技术
网站已成为各级政府机关、企事业单位开展网上业务与网上服务的"门户",也成为各个单位的形象"窗口"。
然而,网站因需要被公众访问而暴露于互联网上,容易成为黑客的攻击目标。
其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的。
税务系统网站同时担负网上报税的业务,更容易因利益驱使成为被攻击的对象,应用网页防篡改系统提供网站监控、报警和自动恢复,管理维护等功能,并可以根据实际环境灵活构建复杂的网站防护系统。
在外网服务区部署网页防篡改系统,监控中心MC(Monitorcenter),以下简称MC,作为控制中心,主要负责管理监控代理和备份文件,以及监控信息、报警信息的审计、处理等工作。
监控代理MA(MonitorAgent),以下简称MA,作为监控引擎,负责监控文件系统的变化、并以此作为事件源进行分析,确定文件变化的合法性。
维护终端MT(MaintenanceTerminal),以下简称MT,MT是为了方便用户使用而提供的客户端工具,通过它的Windows标准界面,可以更加安全、便利的对网站系统进行远程维护。
(5)抗DDOS攻击系统
DoS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。
目前税务系统常会受到DDOS攻击,应用抗DDOS攻击技术是保障系统可用性的必要手段。
本规划中在互联网出口处部署两台抗DDOS攻击系统,阻断来自互联网的拒绝服务攻击。
(6)VPN技术
利用业务网与下联业务网千兆防火墙的VPN功能,在市局网与分局及税所网间形成VPN隧道,保护下联业务数据的安全性。
(7)认证技术(已有)
认证技术用于为各种关键应用系统提供一种强制的安全措施,以确保各应用系统的安全性。
由于建立CA中心涉及到比较复杂的技术、管理以及兼容性问题,建议采用技术实现比较简单成本较低的认证技术。
根据对动态口令卡和安全代理服务器技术所做的分析对比,同时考虑到避免修改现行应用系统本身以及对未来应用系统具有较强的适应能力,建议在总部子网中为关键应用业务系统采用安全代理服务器技术。
若需要,也可为总部子网中公共网络资源(如文件服务器,数据库服务器以及内部的WWW、DNS、MAIL等服务器)等提供安全代理,只要对安全代理服务器做必要的设置即可,无额外的工程量。
(8)企业级网络病毒防治技术(已有)
考虑到目前计算机病毒的传播速度和危害程度,总部子网应特别加强计算机病毒的防治措施。
建议采用多层次全方位病毒防护体系,并根据不同的需求采用以下各种防病毒系统:
1)客户端防病毒系统;
2)服务器防病毒系统;
3)网关防病毒系统。
(9)网络容灾备份(已有)
备份系统为一个目的而存在:
尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。
根据系统安全需求可选择的备份机制有:
场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
信息系统存有大量的重要文件和数据,对数据的备份及恢复有极高的要求,当数据因操作系统及存储介质自身的隐患,而造成文件或数据丢失后,系统能够提供一种手段,将数据和文件及时恢复,确保信息系统高可用性和高可靠性的要求。
2.5.安全技术及产品选用原则
2.5.1.安全技术选用原则
(1)先进:
对可预测新应用系统有较强的适应能力,对安全风险的发展变化有较强的应对能力。
(2)安全:
稳定性、可靠性、可维护性、抗攻击性好。
(3)实用:
简便易学、界面友好、易于升级。
2.5.2.安全产品选用原则
(1)成熟性:
采用成熟的安全技术是为了确保安全体系本身应具有的稳定性和可靠性,也即安全系统本身的安全性。
(2)先进性:
先进性是为了保障安全体系具有较强的生命力,在未来3到5年内不能落后。
(3)合法性:
合法性是指安全产品必须有国家主管部门的批准并持有认证证书和生产销售许可证书。
(4)可扩展性:
是指为了保证用户对现有网络和应用进行扩充时,已建安全系统能够满足用户需要,保护了用户的已有投资。
2.5.3.安全产品选用要求
一、确定信息安全策略
信息安全策略是一个有效的信息安全项目的基础。
从信息安全领域中发生的事件来看,
信息安全策略的核心地位变得越来越明显。
例如,没有安全策略,系统管理员将不能安全的
安装防火墙。
策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。
尽管信
息安全策略是廉价的实施控制方式,但它们也是最难实施的。
策略花费的仅仅是创建、批准、
交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。
即使是
雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小
的。
策略的制定需要达成下述目标:
减少风险,遵从法律和规则,确保组织运作的连续性、
信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。
组织为高层主管、董
事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策
略制定提供有用的依据,应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主
要特性,具体包括:
什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了
解组织当前的信息安全需求。
对曾出现的安全事件的总结,也是一份有价值的资料。
也需要
召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力
资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机
操作策略、应用系统开发策略、人力资源策略、物理安全策略。
也可以参考国际标准、行业
标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。
资料收集
不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。
也无法确保策
略中的要求与管理目标相一致。
如果提出一套与组织文化明显不一致的策略,更是一件很尴
尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结
构。
信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。
这一点不是针对信
息安全体系结构,而是针对信息系统体系结构。
信息安全策略一般在信息系统体系结构确立
以后制定,以保障信息安全体系实施、运行。
例如,互联网访问控制策略可使安全体系结构
具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信
息安全策略文档初稿。
初稿完成后,应当寻找直接相关人员对其进行小范围的评审。
对反馈
意见进行修改后,逐渐的扩大评审的范围。
当所有的支持部门做出修改后,交由信息安全管
理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清
晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。
在人员合同中应当表明能
予遵守并且这是继续雇佣的条件。
也应当发放到内部服务器、网页以及一些宣传版面上的显
眼位置,并附有高层管理者的签名,以表明信息安全策略文档得到高层领导强有力的支持。
如果让首席执行官签名不现实,由首席信息官签名也可以。
要注意仅有信息安全部门主管或
同级的部门主管签名,一般不足以表明高层管理者的同意和吏持。
虽然获得高层管理者的同
意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其
中最为重要的是信息安全管理委员会。
信息安全委员会一般由信息部门人员组成,参与者一
般包括以下部门的成员:
信息安全、内部审计、物理安全、信息系统、人力资源、法律、财
政和会计部。
这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼己提交的策
略,以便在整个组织内更好的实施落地。
如果组织内还没有信息安全管理委员会,在制定信
息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职
责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,
将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员
工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是
另外一回事。
管理层常常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。
虽然策略不可
能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益
一致。
策略告诉员工组织对位们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。
新策略的执行
可能会遇到多样化的问题。
可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。
发
现和惩罚违反策略的员工并不是目的。
如果大量的人都不遵守,这就表明策略和相关的意识
提升是无效的。
在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组
织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略一新策略应发布在组织内部网站上,加入相关链接
让用户能很快定位感兴趣的材料。
制定自我评估调查表一在新的策略实施时,制定评估表,填写实施情况,就能明确那些
部门没有遵守好、那些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表一一应当编辑一个反映员工该如何遵守信息安全
策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略一一调查员工是否理解安全策略文档中的重点。
通
过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。
不同策略对象可能要不
同的培训课程。
分配策略落实负责人一按部门或实际情况分配负责人,落实责任。
二、进行现状评估
三、设计依据与设计原则
2.6.设计依据
金税三期工程第一阶段中央投资部分项目初步设计的主要依据包括:
(1)国家发展与改革委员会令第55号;
(2)《国家电子政务工程建设项目管理暂行办法》;
(3)《国家发展改革委关于金税三期工程第一阶段中央投资部分项目可行性研究报告的批复》(发改高技[2007]758号);
(4)国家发改委关于《印发国家发改委关于审批金税工程(三期)项目建议书的请示的通知》(发改高技[2005]1853号);
(5)《金税工程(三期)第一阶段中央投资部分可行性研究报告》
(6)《国家税务总局关于报送<金税工程(三期)第一阶段中
升级会员 