证件管理系统解决方案.docx
《证件管理系统解决方案.docx》由会员分享,可在线阅读,更多相关《证件管理系统解决方案.docx(9页珍藏版)》请在冰豆网上搜索。
证件管理系统解决方案
1.天融信证件管理系统解决方案
编者按
作为国家信息安全建设的基本要求和方法,等级保护的相关政策和标准日益成熟。
近期,公安部已陆续发布了基于等级保护建设思想的整改办法和建设依据,以及衡量等级保护建设成果的基本要求和等级保护建设过程的实施指南,还有等级保护方案设计所参考的设计技术要求等.本文以设计技术要求和基本要求为主要参考对象,根据一个特定的案例—证件管理系统,以“一个中心下的三重防护"为目标,以整合为手段,进行了全面的规划,形成了相关的技术解决方案。
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度.作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,本方案根据《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》,结合天融信在等级保护试点的建设经验,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统-证件管理系统为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
方案背景
证件管理系统是用户建设和运营期间,证件管理工作的业务管理支撑系统.证件管理系统和与之协同工作的证件查验终端系统、证件制作系统组成了用户证件管理的工作平台。
管理系统平台整体框架结构可参考下图:
证件管理系统整体框架示意图
根据证件业务的结构关系和业务流程,支撑证件管理系统的网络环境从总体上可分为相关子系统部分、证件管理系统部门以及背景审查系统部门,其网络环境表示如下:
证件管理系统网络环境示意图
安全需求
目前,证件管理系统已经完成定级备案工作,在定级阶段中对该系统受到安全威胁或破坏时所影响到的客体,及对客体影响程度的分析,最终确定证件管理系统的安全性等级为三级,且对应等级保护要求选择措施为:
S3A3G3
设计思路
根据《信息安全技术信息系统等级保护安全设计技术要求》,对系统进行安全防护系统规划的过程中,必须按照分级、分域的办法进行规划和设计,要划分具体的安全计算环境、安全区域边界、安全通信网络,并根据系统的等级来确定不同环节的保护等级,同时通过集中的安全管理中心,实现对计算环境、区域边界、通信网络实施集中的管理,并确保上述环节执行统一的安全防护策略。
针对证件管理系统,确认的保护对象以及分区、分域的划分方式如下:
证件管理系统区域划分示意图
划分内容汇总如下:
类型
划分内容
保护强度
计算环境
证件管理系统区域
证件管理应用服务器区域
三级安全计算环境
证件管理数据库服务器区域
三级安全计算环境
证件数据交换内部区域
三级安全计算环境
证件管理业务终端区域
终端安全计算环境
证件数据交换外部区域
三级安全计算环境
证件受理终端区域
终端安全计算环境
区域边界
证件管理系统区域边界
证件管理应用服务器区域边界
三级安全区域边界
证件管理数据库服务器区域边界
三级安全区域边界
证件数据交换内部区域对内边界
三级安全区域边界
证件数据交换内部区域对外边界
三级安全区域边界
证件管理业务终端区域边界
终端安全区域边界
证件数据交换外部区域对内边界
三级安全区域边界
证件数据交换外部区域对外边界
三级安全区域边界
证件受理终端区域边界
终端安全区域边界
通信网络
相关子系统的广域网通信网络
三级安全通信网络
证件管理系统区域的内部通信网络
三级安全通信网络
安全数据交换平台的内部通信网络
三级安全通信网络
安全数据交换平台与公安专网之间的通信网络
三级安全通信网络
方案设计
本方案针对证件管理系统,严格参考了《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》,根据分级、分域的原则,进行了安全保障体系的建设与规划,从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心,使安全保障体系全面保障证件管理系统的正常、安全运行,并通过引入PKI/CA认证平台,以及建立应急响应预案,进一步提升系统的可靠性和应用安全性.
根据区域划分的原则,对证件管理系统划分为6个计算环境、8个区域边界以及4个通信网络,并且考虑到证件管理系统定级为三级,并且保护等级按照“A3S3G3”的标准来进行防护,除终端系统以外,其余环节均按照三级要求进行设计,形成如下图所描述的整体建设方案(简化版)。
证件管理系统安全防护总体示意图
部署措施
Ø保护计算环境
⏹针对三级计算环境的证件管理应用服务器、证件管理数据库服务器、安全数据交换服务器,采用安全操作系统,从而全面提升了操作系统的安全性,在身份认证、标记与强制访问控制、用户文件机密性/完整性保护、剩余信息保护实现有效的防护,弥补了商用操作系统在强访问控制、用户文件机密性/完整性保护、客体重用控制方面的不足。
⏹也可采用操作系统核心加固系统,来弥补商用操作系统的不足,核心加固系统也能够实现包括双因素身份认证、标记与强制访问控制、客体重用控制等方面的内容;
⏹针对数据库采用安全数据库管理系统,将有效弥补商用数据库在强制访问控制方面的不足,安全数据库管理系统支持强身份认证(双因素认证)、标记与强制访问控制、数据机密性/完整性保护、数据客体重用、数据库管理员的分权管理等安全机制,有效保障了证件管理信息系统的数据安全性;
⏹也可采用购买数据库安全模块的方法,ORACLE11G单独提供了实现安全机制的模块,通过模块也可实现强身份认证、标记与强制访问控制以及数据机密性/完整性保护,在配合数据库安全模块进行人工加固,也可实现三级计算环境所要求的内容,符合三级系统对数据安全和主机安全的一些要求;
⏹此外,在各个服务器、数据库开启审计功能,在采用安全操作系统以及安全数据库后,系统从底层上就有措施来保护审计进程的有效性;如果采取操作系统内核加固以及数据库安全模块加固后,系统也可对审计进程进行保护;然后再通过集中的日志审计系统,来收集各个服务器及数据库的日志信息,进行集中存储,也有效防范了日志信息被非法篡改或删除;
⏹此外,通过部署基于终端、服务器的防病毒软件,有效查杀感染到端点的病毒,防止病毒、木马、蠕虫等恶意代码对系统的破坏,并且通过部署的集中病毒管理服务器,实现对各个防病毒节点的病毒库统一升级,保持防病毒系统的有效性;
⏹在三级计算环境的服务器和数据库服务器上安装主机入侵检测,实时监控系统,自动检测可疑行为,分析来自主机内部的入侵信号,如果与预定义的事件匹配成功,则产生事件报警信息。
在系统受到危害前发出警告,实时对攻击作出反应,并提供补救措施,最大程度地为主机系统提供安全保障,保护重要的服务器和数据库服务器不受到攻击的威胁;
⏹另外,对于三级计算环境,部署本地和异地数据备份中心,将重要的数据库、用户文件分别在本地和异地进行定时备份,有效保障了系统服务的可用性,一旦发生以外,数据和用户文件将通过网络进行有效恢复,或实现系统服务的A/A、A/S切换;
⏹在所有的终端设备上安装终端管理平台,实现终端桌面安全监管、桌面行为监管、桌面系统监管、系统资源管理,通过统一定制、下发安全策略并强制执行的机制,实现对局域网内部桌面系统的管理和维护,能有效保障桌面系统的安全。
同时部署的终端管理平台有效监测了终端的非法外联和非法内联情况,从而满足三级系统的“边界完整性”保护要求。
Ø保护区域边界
⏹针对三级区域边界,采取防火墙进行隔离,并在隔离后的各个安全区域边界执行严格的访问控制,防止非法访问;
⏹在远程终端的边界也采用防火墙技术,实现基于源地址、目标地址、通信协议、端口、流量、事件等因素的访问控制;
⏹针对数据交换平台的内数据库服务器和外数据库服务器,根据保密系统提出的“涉密信息系统与非涉密信息系统的连接”技术要求,在证件管理信息系统实现三级防护强度后,并且证件管理信息系统与互联网物理隔离的情况下,可采取双向传输隔离网闸来实现非涉密的证件管理信息系统与涉密的审查部门专网之间的安全信息交换.网闸将有效实现证件申请信息从证件管理信息系统向审查部门专网的摆渡,以便审查部门进行相关的背景审查,审查结束后信息将再次从审查部门专网摆渡到证件信息管理系统内,进行后续操作;
⏹采取了网络入侵防护系统,实现区域边界的安全监测,监视来自外部的攻击行为,有效保护关键的服务器、数据库资源;
⏹在区域边界处,采取网络病毒过滤网关后,对网络传递的数据包进行病毒的监测和过滤,防止病毒在不同的安全区域之间传播,造成破坏;
⏹此外,部署的终端安全管理平台很好地解决了终端内联和外联监测的问题,从而有效实现了区域边界完整性检查.
Ø保护通信网络
⏹针对三级通信网络,通过在核心交换机上部署网络入侵检测系统,有效监视从外部对网络的攻击行为,并通过与防火墙的联动,将攻击行为的数据包阻断在网络之外,有效保护了关键的服务器和数据库资源;
⏹在网络设备了开启审计措施,同时将网络设备的日志信息集中记录到日志审计服务器上,实现了日志信息的集中记录;
⏹对于证件管理信息系统的核心交换机,和关键的路由器以及防火墙、入侵防护等系统,则采用双机的方式,以提升系统的整体容错能力,防止出现单点故障;
⏹分别在证件受理终端区域的出口处,和证件管理信息系统的出口处,部署IPSECVPN网关,对远程通信数据提供机密性、完整性、抗抵赖、抗重放的保护,确保远程安全通信和数据传输;
⏹此外,在安全管理中心部署VPN集中管理服务器,实现对所有部署的VPN网关的集中策略管理,和隧道集中管理,保障VPN的有效性;
⏹通过ACS来实现对网络设备登录的双因素认证,保障网络设备的身份认证的强度;
⏹对网络设备进行安全加固,以提升网络设备的抗攻击能力,更好地支撑上层应用。
Ø实现集中安全管理
⏹集中管理海量安全事件:
建设安全管理平台,可以实现对以往基于“点"安全建设进行全面整合和综合管理,解决安全建设的零散性,进行跨产品、跨平台的安全信息的统一收集和处理,对多种数据进行相互沟通和关联,从海量安全事件中抽取真正有效的数据,并提供智能化分析手段发现更深层次的安全问题,解决已往安全管理分散、管理成本高等问题对安全管理所造成的瓶颈问题.
⏹构筑基于资产业务的风险管理体系:
建设安全管理平台,改变已往以安全事件和单个资产为视角的传统模式,结合证件信息管理系统的业务属性,使得用户系统管理人员能够直观清晰全面的认识到业务是否面临着风险、所产生风险的严重程度如何,该如何进行风险相关的处理工作,以及业务风险在未来的发展趋势和防范手段。
⏹形成统一的安全教育体系:
建设安全管理平台,可以为用户建立起一套完善的安全教育体系。
利用安全管理平台,可以进行安全意识宣讲、相关法律制度普及、安全技术培训、安全知识共享,从而提高用户各个层面人员整体的安全意识和安全水平.
⏹具备完善的风险响应控制能力:
建设安全管理平台,可以全面提高证件管理信息系统对于风险响应的能力.包括发现问题后必须能快速找到解决方法并最快速度进行响应,响应的过程中要求明确响应的责任人、响应办法并反馈响应结果,对响应的整个过程必须有记录和考核;建立一支有经验的响应队伍,这个队伍包括内部人员和外部专家支持;支持自动化的响应和通知手段,降低响应时间,提高响应效率。
⏹实现多级协同的安全管理模式:
建设安全管理平台,为用户各个层面的人员提供统一的安全窗口,不仅使得包括管理人员、技术人员、业务人员在内的各级人员能通过这个窗口能够寻找到自己所关心的信息,更能够利用这个平台明确不同层次人员在安全管理工作中所处的位置和肩负的职责,从而形成一套自上而下、分工明确、责任清晰、协同工作的安全管理模式.
此外,除了按照方案规范中要求的内容,方案还应当充分考虑应用软件的安全性,以及应急响应的有效性,因此通过应用系统整合PKI/CA平台,在应用软件层面实现强身份控制(数字证书+口令方式的双因素认证)、严格的访问控制、机密性/完整性保护、抗抵赖(数字签名)等安全保障;
通过制定的完善的应急响应机制,可在安全管理中心实现安全预警、关联分析、工单等措施,自动处理各类突发事件的基础上,进一步通过人工干预的方式,来保障应急的有效性,进一步保障三级信息系统的持续、可靠运行。
方案效果
从合规性的角度:
本次针对证件管理系统的安全等级保护建设工作,主要遵从《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》等标准中对S3A3G3建设要求,结合天融信以往等级保护安全建设经验以及对证件管理系统面对的不同风险的理解,以PKI/CA技术为依托,在计算环境、区域边界、通信网络等安全关注点采取层次化、有纵深的防护体系设计,满足等级保护的政策标准要求。
从业务保障的角度:
通过方案设计,将对业务实现全方位的保护,并达到以下效果:
⏹解决网络接入者的身份可信问题;
⏹解决合法终端的非法外联问题;
⏹解决授权用户的越权操作问题;
⏹解决重要信息泄露问题;
⏹解决商用操作系统易受威胁问题;
⏹解决对合法终端恶意行为问题;
⏹解决合法用户事后抵赖与数据破坏问题;
⏹解决接入终端状态安全问题;
⏹解决证件管理系统服务连续性问题;
⏹确保网络安全隔离与信息可控交换;
⏹减少跨安全域攻击事件;
⏹解决病毒跨网络扩散问题;
⏹解决全局风险监控与处置问题.
升级会员 