XX大学网络安全等级保护解决方案.docx
《XX大学网络安全等级保护解决方案.docx》由会员分享,可在线阅读,更多相关《XX大学网络安全等级保护解决方案.docx(59页珍藏版)》请在冰豆网上搜索。
XX大学网络安全等级保护解决方案
XX大学
网络安全等级保护解决方案
1.项目背景
随着网络技术的高速发展,校园网络建设也一直走在网络发展的前端。
而随着网络技术的发展,网络的安全问题日益突出。
近几年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。
在高校校园网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,高校校园网的管理者已经将安全因素看作网络建设、改造的关键环节。
国内高校校园网的安全问题有其历史原因:
在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,高校网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。
随着网络规模的急剧膨胀,网络用户的快速增长,一方面校园网已从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题;另一方面,高校是思想政治和意识形态的重要阵地,确保学生的身心健康,使他们具备一个积极向上的意识形态,必须使学生尽可能少地接触网络上的不良信息。
因此,解决网络安全问题刻不容缓。
2.需求分析
2.1.信息系统等级保护定级需求
根据《教育信息系统安全等级保护定级指南》、《教育行政部门及高等院校信息系统安全等级保护定级指南》相关指导说明,教育系统的等级保护定级原则,是根据省级教育行政部门及高等院校特点,分析相关信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定信息系统受到破坏时所侵害的客体。
其中针对高等学校说明如下:
高等学校的信息系统中,部分校务管理类、教学科研类信息系统业务信息安全或系统服务安全受到破坏,可能严重影响学校正常秩序,影响高等学校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷。
部分招生就业类、综合服务类信息系统的业务信息安全或系统服务安全受到破坏,可能使高等学校工作秩序和工作职能受到严重影响,对社会将产生一定范围的不良影响,对社会秩序和公共利益造成严重损害,对学生及部分社会公众造成严重损害。
参考等级保护关于定级要素与信息系统安全保护等级的关系表,建议XX大学校园网整体等级为三级。
2.2.信息系统安全风险需求
XX大学校园网现有信息系统包括校务管理类系统、教学科研类系统、招生就业类系统、综合服务类系统,信息系统在运行和管理过程中存在的安全风险,包括技术风险和管理风险两大部分,技术风险包括物理安全风险、网络安全风险、主机安全风险、应用安全风险、数据安全风险;管理风险包括组织机构、人员安全、管理制度、系统建设、运行维护等。
2.2.1.技术风险
2.2.1.1.物理安全风险
根据数据中心机房的总体要求、国家《电子信息系统机房设计规范》(GB50174-2008)等相关标准进行安全建设,采取门禁、消防报警、环境动力设施监控管理、视频监控、防雷击和防静电等措施,做好符合要求的电力供应,关键基础设施、设备和磁介质应通过部署防电磁屏蔽机柜等措施建立电磁防护机制。
2.2.1.2.网络安全风险
根据XX大学现有网络建设状况和业务系统特点,经过前期的调研结果可以从以下方面对网络进行整体安全分析:
网络结构、访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。
网络结构安全:
目前XX大学互联网接入分别是联通、移动、教育网,三网汇聚到两台RGRSR7708路由设备,没有通过负载均衡对多链路进行优化;互联网出口防火墙没有采用冗余设计,存在单点故障风险。
访问控制:
在校园网服务器前端没有部署防火墙等访问控制设备进行安全防护。
安全审计:
网络中只有第三方网络监控软件,但不能网络中的各硬件设备、中间件、应用等的日志信息进行及时的审计,不能对用户上网进行日志审计,不能针对网络运维行为进行日志审计,不能针对数据库访问行为进行日志审计。
边界完整性检查:
内部网络没有相关的策略或设备,对服务器等重要资产未通过准许私自联到外部网络的行为进行检查。
网络入侵防范及恶意代码检测:
基础网络应具备对网络入侵防范及恶意代码的检测,目前XX大学的网络中没有在网络边界,使得端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等不安全因素随时入侵到内部网络。
2.2.1.3.主机安全风险
主机安全风险是指主机系统面临的安全的安全风险,包括网络设备、服务器系统、数据库系统,数据中心服务器主机应建立备份冗余机制,保障系统的持续稳定运行,针对核心重要信息系统应采用主机安全加固系统,建立“三权分立”的访问控制机制,确保系统最小化的访问控制配置实现。
核心服务器应确保采用两种以上的身份鉴别机制,与PKI/CA系统进行结合,运行维护管理可配合堡垒主机,确保实现细粒度的访问控制、敏感信息加密以及日志审计功能。
各类服务器应采用系统补丁管理和防病毒系统提高系统的防护能力,并通过系统配置优化减少自身的安全隐患。
对于操作和使用服务器的业务终端应进行统一的管理,确保业务终端的专业程度,加强终端的自身安全性,包括系统配置优化、防病毒、补丁管理等。
2.2.1.4.应用安全风险
应用安全风险是指应用系统所面临的安全风险,XX大学现有应用系统包括网站、邮件、一卡通、图书管理等,这些应用系统普遍由第三方软件厂商开发,开发的标准与规范都不相同,且全部采用B/S架构开发,均存在一定的安全风险,这些安全风险包括:
身份认证:
按照等级保护要求,应提供两种或两种以上身份认证方式,目前所有系统只有口令认证方式,获取用户名口令即可获得相应的访问权限,存在一定的安全风险;
访问控制:
所有应用系统都采用B/S架构,目前基于B/S架构的WEB应用程序普遍存在较高的安全风险,且教育管理系统面向互联网提供应用,被入侵攻击的可能性很高,仅通过防火墙无法保证应用系统的安全,需要提供针对WEB应用的安全的安全防护。
安全加密:
目前所有应用系统为WEB应用模式,采用HTTP协议登录访问,HTTP为非加密协议,无法确保通信的安全,存在一定的安全风险。
安全审计:
应用系统自身的审计功能较弱,不能完全符合等级保护的要求,尤其对于管理人员的运维操作缺少完全的审计行为记录和报表功能。
2.2.1.5.数据安全风险
数据是校园网信息系统的核心资产,需要确保数据的保密、完整、可靠。
已部署应用系统已采用双机模式,可以基本实现数据库的可靠运行,但仍然存在以下安全风险:
数据的传输加密:
目前应用系统数据、管理数据等没有完成实现数据的传输加密,无法确保数据的保密性;
数据的完整性:
对于应用系统数据、管理数据没有安全审计措施,数据在传输过程中可能造成破坏;
数据备份与恢复:
按照等级保护要求,信息系统数据应具备本地备份和恢复功能、异地备份功能,本地备份要求第天一次完全备份,关键数据要实现异地备份,目前尚未实现以上备份要求。
2.2.2.管理风险
2.2.2.1.安全管理机构
XX大学网络安全组织应遵循层次化设计原则,分别为网络安全决策层、网络安全管理层和网络安全执行层。
设立管理机构,接受网络安全工作职能部门领导,配备必要的管理和技术人员;负责信息系统安全的集中控制管理,行使防范与保护、监控与检查、响应与处置职能,统一管理信息系统的安全,统一进行信息系统安全机制的配置与管理;适时汇集各种安全机制所获取的与系统安全运行有关的信息;根据应急处置预案作出快速处理;应对安全事件和处理结果进行管理;建立安全管理控制平台,完善管理信息系统安全运行的技术手段;负责接受和配合政府有关部门的网络安全监管工作。
2.2.2.2.人员安全管理
对于XX大学人员安全管理,应结合校方实际情况,按照等级保护相关要求进行人员安全管理。
重点考虑以下两个方面:
1)内部人员安全管理。
内部人员管理从人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面都要制定相应的管理制度和规定。
建立安全教育和培训制度,定期进行技能考核。
2)外部人员安全管理。
对于外来人员管理,应包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员,以及临时因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的“第三方”人员。
而非临时“第三方”人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在本单位临时工作的“第三方”人员,应制定相应包含访问、安全要求等管理制度。
2.2.2.3.安全管理制度
结合各类安全管理要求和信息系统面临的实际安全风险,应制定必要的网络安全总体方针、策略、安全管理制度和技术规范,内容覆盖安全管理机构、安全管理制度、人员安全管理、系统建设安全管理和系统运行维护安全管理等相关内容。
2.2.2.4.信息系统建设安全管理
信息系统建设安全管理应当与整体的工程管理相结合,落实“同步规划、同步建设、同步运营”的原则,制定信息系统规划、立项、需求分析、设计、建设、测试、集成等方面的安全管理规定。
同时要结合信息系统的开发和部署制定相配套的信息系统安全开发和部署的规范,确保信息系统和数据中心建设过程中的安全。
信息系统建设过程中必须要加强网络安全等级保护工作,通过对信息系统进行定级、备案、等级测评和监督检查等工作落实具体的网络安全等级保护内容。
信息系统正式启动和运行前,必须经过专项安全评估并得到专家或程序的认可,才能正式投入使用。
现有信息系统或子系统、信息系统设备需要终止运行的,应采取必要的安全措施,进行数据和软件备份,对终止运行的设备进行不可恢复的数据清除,如果存储设备损坏则必须采取销毁措施,并得到相应领导和技术负责人认可才能正式终止运行。
2.2.2.5.运行维护安全管理
信息系统的运行维护安全管理要实现运行维护管理体系化,对环境、资产、介质、设备进行综合监控管理,对支撑重要信息系统的资源进行监控保护。
对于信息系统安全运行维护所需要的密码保护、病毒扫描、变更等事件,必须按照定义好的安全管理策略措施,建立一套运行维护管理制度,并通过培训等方式全面落实。
还应通过建立统一的安全预警与监管中心,实现省本级计算环境、设备、资源、应用系统和网络安全工作的统一管理、监控与预警,能够与教育部安全预警与监管平台对接,实现联动,及时上报网络安全漏洞和事件发生和处理情况。
3.建设目标与设计原则
3.1.建设目标和原则
根据国家和教育部关于网络安全等级保护的政策规范和技术标准,统一规划建设XX大学校园网安全保障体系。
该体系覆盖技术体系(物理网络、主机、应用、数据和管理等多层次的整体网络网络安全。
遵循以下原则:
●整体性:
从数据中心的整体出发、全面考虑各个方面的安全问题,综合运用技术手段和管理手段进行安全防护;
●合规性:
符合国家教育部网络安全保障体系的总体要求,符合国家网络安全等级保护相关制度、标准的要求;
●针对性:
根据教育数据中心的组织结构特点、网络特点和业务特点,有针对性地提供安全防护措施,对信息系统进行有效、适度的防护;
●可持续性:
满足信息系统全生命周期管理的安全保障要求;
●可实施性:
符合教育数据中心业务特性和安全现状,提供可行的实施方案与规划;
●先进性:
安全体系的设计要具有一定的前瞻性,要考虑安全态势以及安全技术的发展趋势,满足业务未来发展的需求。
3.2.参考标准
本方案遵循或参考如下国家政策、国家标准及国际标准:
国家政策相关文件
●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
●《国家信息化领导小组关于加强网络安全保障工作的意见》(中办发[2003]27号)
●《关于网络安全等级保护工作的实施意见》(公通字[2004]66号)
●《网络安全等级保护管理办法》(公通字[2007]43号)
●《网络安全等级保护备案实施细则》(公信安[2007]1360号)
●《关于开展网络安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
●……
国家标准
●GB/T20269-2006网络安全技术信息系统安全等级保护管理要求
●GB/T20271-2006网络安全技术信息系统通用安全技术要求
●GB/T20270-2006网络安全技术网络基础安全技术要求
●GB/T20272-2006网络安全技术操作系统安全技术要求
●GB/T20273-2006网络安全技术数据库管理系统安全技术要求
●GB/T20282-2006网络安全技术信息系统安全工程管理要求
●GB/T21082-2007网络安全技术服务器安全技术要求
4.安全总体策略
应根据等级保护的要求,通过网络安全技术和网络安全管理两个纬度的体系建设来做为总体安全策略,使XX大学校园网达到等级保护三级安全要求。
4.1.网络安全管理体系总体策略
1)建立网络安全领导小组和网络安全工作组,形成符合等级保护三级基本要求的网络安全组织体系职责;
2)建立网络安全管理制度和策略体系,形成符合等级保护三级基本要求的安全管理制度要求。
4.2.网络安全技术体系总体策略
1)以XX大学校园网整体为保障对象,以《基本要求》中等级保护三级要求为控制要求建设安全技术体系框架;
2)安全技术体系建设覆盖物理、网络、主机、应用、数据等各层面;
3)通过业界成熟可靠的安全技术及安全产品,结合专业技术人员的安全技术经验和能力,系统化的搭建安全技术体系,确保技术体系的安全性与可用性的有机结合,达到适用性要求。
5.技术体系设计说明
安全技术体系主要以等级保护技术要求三级为目标,结合XX大学校园网实际业务需求进行相应设计规划。
5.1.物理安全
物层安全主要涉及的范畴包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃防破坏等方面。
具体包括:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护要求。
对应措施如下:
5.1.1.物理位置选择
【等保要求】
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
【技术措施】
1)所在机房位置具有防震、防风和防雨等能力;
2)所在机房非建筑物高层或地下室,非用水设备的下层或隔壁。
5.1.2.物理访问控制
【等保要求】
1)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
4)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
【技术措施】
1)机房安排机房管理员专人值守,控制、鉴别和记录进入的人员;
2)进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
3)机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置过渡区域;
4)机房整体配置电子门禁系统,控制、鉴别和记录进入的人员。
5.1.3.防盗窃和防破坏
【等保要求】
1)应将主要设备放置在机房内;
2)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
4)应对介质分类标识,存储在介质库或档案室中;
5)应利用光、电等技术设置机房防盗报警系统;
6)应对机房设置监控报警系统。
【技术措施】
1)所有设备放置在机房内;
2)设备全部通过放置机柜并进行固定,每台设备有标签进行标识;
3)所有通信线缆铺设在地下或管道中;
4)对介质分类标识,存储在档案室中;
5)机房设置防盗报警系统;
6)机房设置监控报警系统。
5.1.4.防雷击
【等保要求】
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)机房应设置交流电源地线。
【技术措施】
1)机房配置避雷装置;
2)机房配置防雷保安器,防止感应雷;
3)机房配置交流电源地线。
5.1.5.防火
【等保要求】
1)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
3)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
【技术措施】
1)机房配置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2)机房和工作房间采用具有耐火等级的建筑材料;
3)机房配置区域隔离防火措施,将重要设备与其他设备隔离开。
5.1.6.防水和防潮
【等保要求】
1)水管安装,不得穿过机房屋顶和活动地板下;
2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
3)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
4)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
【技术措施】
1)机房屋顶和活动地板下禁止水管安装;
2)机房物理位置和装修保证不存在雨水渗透的情况;
3)机房物理位置和装修保证不存在内水蒸气结露和地下积水的转移与渗透;机房使用可调节湿度的空调,空调依据机房面积和设备数量安装,保证设备工作在湿度45-60%之间。
4)安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
5.1.7.防静电
【等保要求】
1)主要设备应采用必要的接地防静电措施;
2)机房应采用防静电地板。
【技术措施】
1)主机设备采用接地防静电措施;
2)机房采用防静电地板。
5.1.8.温湿度控制
【等保要求】
1)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
【技术措施】
1)机房使用可调节湿度的空调,空调依据机房面积和设备数量安装,保证设备工作在湿度45-60%之间、温度20-25度之间。
5.1.9.电力供应
【等保要求】
1)应在机房供电线路上配置稳压器和过电压防护设备;
2)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
3)应设置冗余或并行的电力电缆线路为计算机系统供电;
4)应建立备用供电系统。
【技术措施】
1)机房供电线路上配置稳压器和过电压防护设备;
2)机房配置UPS电源供电措施,满足主要设备在断电情况下的正常运行要求;
3)设置并行的电力电缆线路为计算机系统供电;
4)建立备用供电系统。
5.1.10.电磁防护
【等保要求】
1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离铺设,避免互相干扰;
3)应对关键设备和磁介质实施电磁屏蔽。
【技术措施】
1)采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离铺设,避免互相干扰;
3)对关键设备如CA认证系统采用屏蔽机柜实施电磁屏蔽。
5.2.网络安全
网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制。
对应到XX大学实际环境,网络层安全技术体系设计如下:
5.2.1.安全域划分
为了实现信息系统的等级化划分与保护,需要依据等级保护的相关原则规划与区分不同安全保障对象,并根据保障对象设定不同业务功能及安全级别的安全区域,以根据各区域的重要性进行分级的安全管理。
将XX大学校园网划分以下安全域:
外网接入区、核心交换区,数据中心区,校区终端接入区、安全管理区。
5.2.2.结构安全
【等保要求】
1)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
2)应保证网络各个部分的带宽满足业务高峰期需要;
3)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
4)应绘制与当前运行情况相符的网络拓扑结构图;
5)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
6)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
7)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
【技术措施】
1)网络核心区域以及关键设备全部为冗余结构,核心区域设计为万兆性能,互联网出口设计为千兆性能
2)根据“安全域划分”原则,合理规划安全域VLAN和IP段,包括:
外网接入区、核心交换区,数据中心区,校区终端接入区、安全管理区等;
3)每个安全域相互访问必须通过防火墙;
4)通过核心交换机、防火墙、负载均衡等设备的QoS功能,根据业务合理设置带宽优先级。
相关安全产品
360下一代智慧防火墙
5.2.3.访问控制
【等保要求】
1)应在网络边界部署访问控制设备,启用访问控制功能;
2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
3)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数;
6)重要网段应采取技术手段防止地址欺骗;
7)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
8)应限制具有拨号访问权限的用户数量。
【技术措施】
1)通过防火墙的安全策略,控制各网络边界的双向访问流量,明确允许/禁止动作,实现端口级访问控制;
2)通过防火墙的访问控制功能,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制和入侵防御;
3)通过防火墙的连接数控制和带宽控制功能,限制访问应用的最大连接数和最大宽带;
4)通过防火墙的超时机制在会话处于非活跃一定时间或会话结束后终止网络连接;
5)在核心交换机上针对关键服务器、网络设备、管理主机进行IP-MAC绑定,防止ARP欺骗;
6)通过防火墙的访问控制功能,按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
7)通过防火墙的访问控制功能,限制所有拨号访问功能。
【相关安全产品】
360下一代智慧防火墙
5.2.4.安全审计
【等保要求】
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
2)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3)应能够根据记录数据进行分析,并生成审计报表;
4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
【技术措施】
1)通过态势感知系统/安全管理平台的日志审计、运维监控、性能采集、安全事件监控、关联分析、报表分析等功能,对网络系统中多种网络设备日志进行采集记录,记录完整的审计信息,通过独立的数据库存储,根据需要可查询生成审计报表。
2)态势感知系统/安全管理中心日志功能可完整记录事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3)态势感知系统/安全管理中心具备报表功能,应能够根据记录数据进行分析,并生成审计报表;
4)态势感知系统/安全管理中心具备独立的日志存储功能及访问
升级会员 