检察院信息系统安全建设解决方案.docx
《检察院信息系统安全建设解决方案.docx》由会员分享,可在线阅读,更多相关《检察院信息系统安全建设解决方案.docx(57页珍藏版)》请在冰豆网上搜索。
检察院信息系统安全建设解决方案
检察院信息安全系统
解决方案
编写:
技术支持部
审核:
批准:
正文目录
1信息系统安全现状分析
检察院信息化建设从无到有,经历了迅速建立与逐步改善的过程,在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩,随着网络技术的不断发展,信息量的增加,网络规模的扩大,数据量,业务量的增加,网络安全方面的建设却显得滞后了。
并且随着业务的不断增长和网络威胁的不断增多,检察院的信息安全已经不能满足在现代高威胁网络环境下的安全需求。
现有的信息系统缺乏完整的安全防护体系。
目前的设备很难对用户的文档安全、网络隔离、互联网访问进行有效的控制,导致网络极易感染病毒,网络大部分带宽被与工作无关的应用长期占用,严重影响单位的正常业务的运行。
对互联网访问的内容无法实现有效的控制及审计。
网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少,网络安全管理体系还未形成。
另外针对已经部署的产品和系统合理有效的配置使用,使其充分发挥其安全防护作用方面,以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面,都还需要做进一步的工作。
信息系统是电子检务工程的中枢神经,信息安全对于电子检务具有至关重要的意义。
从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。
如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为电子检务工作中的一大难点。
在经典的IATF纵深防御理论中,针对类似于检察院电子检务这样大规模信息系统的运营,提出了“信息保障”的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。
人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?
都是我们在保障信息安全时所面临的严峻挑战。
为检察院电子检务的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!
”,有效提升人对目前安全态势(securitysituation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。
根据充分的调查研究,检察院的信息系统安全建设的需求有以下四个方面:
1.1网络安全
1.1.1网络现状
本工作网按照《政务网络建设规范》进行建设。
检察院是按照省电子政务办公室确认的网络连接方式,与县局、省局建立了三级网络。
工作网与涉密内网之间在物理上完全分开,局域网由此形成物理上断开的内网(运行管理信息系统)和政务网(运行信息发布和社会化服务系统)两部分,分别连入政务网和国际互联网。
政务网络主要由四部分组成:
——内部运行信息系统的局域网(内网);
——上下级互联的广域网(政务网);
——提供信息发布查询等社会化服务的国际互联网(外网);
——市级各部门信息资源共享的政务外网。
1.1.2检察院的安全风险分析
检察院内外网、上下级互联互通涉及数据的交换,必然带来一定的安全风险。
原来在外部网上传播的病毒、在下级县市单位存在的安全隐患可能因为数据交换而感染到本单位检察院内网;原来利用互连网发动攻击的黑客、下级单位的人员疏忽、恶意试探也可能利用检察院内部网络的数据交换的连接尝试攻击本单位检察院内部政务网,可以影响到本单位内部网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。
综合分析网络的攻击的手段,检察院内外部网络的数据交换可能面临的安全风险包括:
问题类型
问题
问题描述
协议设计
安全问题被忽视
制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题
架构在其他不稳固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题
设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误
协议设计错误,导致系统服务容易失效或招受攻击。
软件设计
设计错误
协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误
程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作
操作失误
操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
网络通讯
信息泄密
由于未采用加密手段导致通讯内容被侦听,或用户名/口令在网上明文传输,导致窃取用户身份登录。
系统维护
默认值不安全
软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下,如匿名登录、访问权限不当等。
容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统
软件和操作系统的各种补丁程序没有及时修复。
内部安全问题
对由信任系统和网络发起的各种攻击防范不够。
信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
1.2系统安全
<1>随着检察院网络系统规模的迅速扩张,对终端管理系统的需求也随之增加。
一方面,个人电脑、服务器和移动设备的数量正在随着网络应用规模的不断扩大而快速增加;另一方面,各种应用软件和补丁更新换代速度加快,来自检察院内、外部的网络攻击也日益猖獗;终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在,却没有一套有效的辅助性管理工具,依然沿用传统的手工作业模式,缺乏采用统一策略下发并强制策略执行的机制,进行桌面安全监管、行为监管、系统监管和安全状态检测,实现对局域网内部桌面系统的管理和维护,能有效保护用户系统安全和机密数据安全。
<2>检察院网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统,这些系统在工作过程中将有针对性地记录各种网络运行日志,这些日志对于监控用户的网络安全状态,分析安全发展趋势,有着重要的意义,是用户网络安全管理的重要依据。
但是,由于各网络安全产品一般独立工作、各自为战,产生的安全事件信息也是格式不一,内容不同,且数量巨大,导致安全管理员难于对这些信息进行综合分析,对网络中各种安全事件也就无法准确识别、及时响应,以致直接影响整个安全防御体系效能的有效发挥。
<3>电子检务应用系统,其数据关系到整个检查业务的运行,为最大化保证业务的连续性,电子检务系统云主机应采取可靠的冗余备份机制,确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。
<4>在内网系统中,还没有配置一套整体的基于大数据的网络安全态势系统,将分散的网络威胁通过大数据分析呈现,便于分析决策。
<5>缺乏信息安全管理平台,通过信息安全平台集中同时实时的了解设备,服务器的运行状态和系统资源使用情况,大大提高了运维的效率,防止由于管理人员的遗漏造成问题解决的不及时。
网络中的各产品之间没有联系,给管理工作带来了一定的难度,难以发挥应有的整体效果。
另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中,对发现的违规操作或感染病毒的计算机,不能快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备和人员。
1.3应用安全
省现有检察专网未来需要接入国家电子政务内网,主要任务是要将原有检察专网按照电子政务内网的要求做好网络交换路由和服务器以及终端的地址配置,迁移所有的检察业务应用系统。
我省检察系统将有三套网络:
检察内网、检察专网、互联网。
各套网络承载业务情况如下表所示:
三套网络承载业务情况统计表
序号
系统名称
检察业务网
检察内网
互联网
1
智能运维管理平台
◆
2
资源体系管理系统
◆
3
数据资源整合系统
◆
4
以统一业务为核心的业务应用系统
◆
5
综合事务协同管理平台
◆
6
职务犯罪智慧侦查信息共享应用平台
◆
7
行政执法与刑事司法共享应用系统
◆
8
政法协同办案及信息共享应用系统
◆
9
智能视讯管理平台
◆
10
检察职能延伸拓展互联网应用
◆
11
检察技术与司法鉴定管理应用系统
◆
12
检察培训信息化系统
◆
13
智能门户系统
◆
14
移动检务平台
◆
15
数据中心全局视图系统
◆
16
数据共享交换系统
◆
目前文档密级管理主要靠制度管理,人工完成密级的标识,但是往往存在标识错误甚至人员忘记标识的风险,从而导致存在机密信息泄漏。
部署一套密级标识系统既可用于涉密信息的保护。
系统采用先进的加解密技术,对保护对象进行加密,对涉密信息进行密级标志,保证电子密级标志与信息主体不可分离,不可篡改。
同时通过对密级标志属性信息的提取和验证,实现基于标志的涉密信息系统安全域管控、边界防护、涉密文档安全访问控制等拓展应用。
1.4数据安全
电子检务系统作为检查工作的支撑应用系统,其数据关系到整个检察院业务的运行,其重要性不言而喻,所有数据需要备份到一套备份系统将数据进行实时备份。
2建设原则
省检察院网络安全保护总体方案的设计遵从“规范定密、准确定级,依据标准、同步建设,突出重点、确保核心,明确责任、加强监督”的原则。
安全保护方案的设计遵从“统筹规划,分步实施,安全可靠,经济实用,灵活方便,技术成熟,统一标准,统一规范”的原则。
1、安全设备本身确保安全
信息安全的核心和基础是软硬件必须是自主可控,自主可控的核心在于设备的核心处理器自主可控,核心处理器都存在后门,何来安全?
所以本方案所有的网络安全设备核心处理器必须采用国产核心处理器(申威、龙芯、飞腾),软件必须是自主研发,安全设备本身确保安全。
2、分域分级防护原则
信息系统的安全保护应根据信息密级、行政级别等划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。
3、技术和管理并重原则
信息系统进行安全保护时应采取技术和管理相结合的、整体的安全保密措施。
4、最小授权与分权管理原则
信息系统内用户的权限应配置为确保其完成工作所必需的最小权限,网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小授权,并使不同用户的权限相互独立、相互制约,避免出现权限过大的用户或账号。
5、需求、风险、代价平衡分析的原则
对于任何一个信息化系统,绝对安全难以达到,也不一定是必要的。
对一个系统要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
6、综合性、整体性原则
运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度及专业技术措施。
7、一致性原则
一致性原则主要是指信息化系统安全问题应与整个系统的工作周期(或生命周期)同时存在,制定的安全建设内容必须与整个安全需求相一致。
安全的信息化系统设计(包括初步设计或详细设计)及实施计划、验证、验收、运行等,都要有安全的内容及措施。
8、易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
9、适应性及灵活性原则
安全措施必须能随着信息化系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
10、多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
3总体安全策略
安全策略是为管理和保护省检察院的敏感信息资源而制定的一组制度、规范和措施的总和,是对各种信息资源使用、管理的方式、规则的正式描述,是所有使用和管理人员必须遵守的制度和规范。
总体安全策略包括网络隔离,分域防护,访问控制,权限管理,多层防御,集中监控,管理规范,责任明确等。
1、自主可控,高效可用
在网络安全中首先得确保网络安全设备本身的安全,本次项目所有网络安全设备均采用国产自主研发的产品,核心处理器必须采用国产CPU,性能必须达到实际网络的需求。
2、网络隔离,分域防护
在网络内部根据业务和数据的重要性划分安全域。
从而为网络体系营建统一的基础信任环境,提供安全可信的网络接入、通信、交换和管理服务。
3、访问控制,权限管理
建立明确的访问控制和权限管理机制,用户访问应用程序和数据必须经过身份认证,只有合法用户才能进入系统,合法用户只能对授权使用的数据资源进行访问,拒绝未授权使用信息资源以及未授权公开和修改数据。
4、多层防御,集中监控
根据业务功能和安全要求,集成先进、成熟的安全产品和措施,构造从物理层到应用层的多层防御体系,实现集中的配置、授权、审计、监测、预警、响应以及恢复等方面的监控和管理。
5、管理规范,责任明确
详细规定主要业务应用和事件处理的流程、步骤及相关注意事项,明确安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任,加强业务人员、安全管理人员、网络和系统管理员的安全培训和教育。
4网络安全总体部署
4.1安全部署总体架构图
安全部署总体架构图
4.2工作内网安全部署方案
4.2.1省检察院安全部署方案
省检察院工作内网安全防护区划分为安全边界接入区、核心骨干区、安全运维区、数据中心区四个区域。
(1)安全边界接入区
检察院将省级和个市级网络及铁检、检察官学院互连,不同安全级别的网络相连接,就产生了网络边界。
防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
安全边界区部署防火墙,入侵检测,漏洞扫描各2台。
网络边界安全设备作为网络基础架构的重要出口,其可靠性要求不言而喻。
防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的业务的全部中断。
在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,都必然要承受因单点故障而导致网络中断的风险。
因此在网络架构设计的时候,通常会在网络的关键点部署两台或多台设备,并且通过VRRP或动态路由等机制实现网络的备份。
同时设备之间采用全交叉方式互联,每台设备启用主备架构。
正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。
主备备份可以有效防止一台设备出现故障导致的网络中断,大大提高了网络的可靠性,常用于重点业务的入口或接入点上,在很大程度上避免了网络业务的中断。
(2)核心骨干区
在分层网络拓扑中,核心层是网络的高速主干,需要转发非常庞大的流量。
需要多少转发速率在很大程度上取决于网络中的设备数量。
通过执行和查看各种流量报告和用户群分析确定所需要的转发速率。
核心层的可用性也很关键,因此应尽可能的提供较多的冗余。
相对于第二层功能,第三层冗余功能在硬件出现故障时的收敛速度更快。
这里的收敛是指网络适应变化所花的时间,而不要与支持数据、语音和视频通信的融合网络相混淆。
核心层位于网络中心,主要负责可靠和迅速的传输大量的数据流。
用户的数据是在分配层进行处理的,如果需要的话,分配层会将请求发送到核心层。
如果这一层出现了故障将会影响到每一个用户,所以冗余设计及非常重要。
同时核心交换机主要功能是为了完成数据的快速转发,这个区域串接无关设备。
为了对在核心交换机上扭转的数据进行分析和审计,旁路部署入侵检测和集中日志审计设备。
对违规数据和行为进行记录和告警。
(3)安全运维区
IT运维是IT管理的核心和重点部分,也是等保要求中重要强调的一部分,主要用于IT部门内部日常运营管理,涉及的对象分成两大部分,即IT业务系统和运维人员。
从技术层面我们主要讲述IT业务系统的运维。
运维除了要维护设备的正常运行以外,还需要定期的查找设备存在的相关风险点,监控用户访问数据的合法性。
从安全管理运维行为的角度讲,如何规范和审计管理员的操作行为,也是我们解决的问题。
针对这些运维难点,我们设计采用以下几种安全设备来解决我们日常运维过程中面临的风险。
1)防火墙
配置1台防火墙作为安全运维区的边界防护。
3)漏洞扫描
漏洞扫描系统是包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描与管理评估系统。
不但可分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
为提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议提供一种有效实用的脆弱性评估工具。
漏洞扫描系统采用基于应用的检测技术,被动的非破坏性的办法检查应用软件包的设置,发现安全漏洞。
采用基于主机的检测技术,被动的非破坏性的办法检测系统的内核,文件的属性,操作系统的补丁等问题。
这种技术还包括口令解密,把一些简单的口令剔除。
因此,这种技术可以非常准确的定位系统的问题,发现系统的漏洞。
采用基于目标的漏洞检测技术,被动的非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。
通过消息文摘算法,对文件的加密数进行检验。
技术实现通过在一个运行的闭环上,不断地处理文件,系统目标,系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较,发现改变即通知管理员。
采用基于网络的检测技术,积极的非破坏性的办法来检验系统被攻击崩溃的可能性。
利用一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析,针对已知的网络漏洞进行检验。
网络检测技术常被用于发现一系列平台的漏洞,穿透实验和集中日志审计,使漏洞扫描系统成为辅助网络系统管理员进行穿透实验,集中日志审计,提供实时安全建议的有效脆弱性评估工具。
4)入侵检测
在安全运维区部署1台入侵检测设备,从而监控这各个区域的网络流量,及时发现各种安全攻击行为。
5)终端准入
基于802.1X方式准入,通过对支持此协议的交换机进行管理,利用交换机LAN架构的物理特性,实现LAN端口的设备认证。
准入方法支持:
pap、chap、md5、tls、peap和天融信私有准入方式。
支持传统PC有线和无线认证、健康检查、动态VLAN划分;支持智能终端无线准入,无需安装客户端(支持Android、IOS、WindowsPhone等主流操作系统)。
系统支持LDAP/AD域同步,采用域登陆用户进行身份认证,将网络接入认证同域认证有效结成一体。
终端计算机在入网身份认证通过后,进入终端安全合规检测环节,并通过评分制的形式对终端的健康状况做最后的评估。
只有通过合规检测的,才能顺利通过入网认证管理,否则隔离处理,即入网必合规。
支持合规检测库的更新拓展,保持最新的安全检查项目内容,满足后续不断发展变化的安全合规检测需要。
常用安全合规检测项目:
(必须运行进程、必须安装软件、必须运行服务、系统运行时长、防火墙、文件共享、桌面屏保、杀毒软件、禁止进程、Guest用户、禁止服务、禁止安装的软件、系统时间等,支持用户自定义检测条件)
6)集中日志审计
综合日志审计平台将实现日志信息的采集、集中存储和分析处理,为安全管理提供安全审计、安全日志综合分析和安全日志追查的手段,网络信息系统的整体安全防护能力、提高管理和分析的工作效率。
综合日志审计系统具有审计报告生成功能。
所生成的审计报告至少应包括网络系统审计、安全系统审计、数据库审计、应用系统审计、主机审计、介质审计和管理员行为审计等内容(包括综合日志审计系统本身的各项审计)。
综合日志审计系统本身符合国家关于信息系统分级保护的要求(BMB17)
7)安全设备集中管控系统
各种设备集中管理:
网络安全配置若一台台设备进行配置管理,太过消耗人力,还会大量增加安全风险。
集中的设备管理系统可以管理多种类型的设备,单个设备集中管理系统可以管理高达上千台设备,还支持级联管理。
设备性能、网络流量实时监控:
安全技术人员可以从单个界面实时查看多台设备性能状态,还可以监测接口流量TOPN,NetFlow流量TOPN等各种实时统计数据。
方便对核心网络进行集中的安全监控,实时地掌握中各个部门、各个网段、各个应用系统的安全风险,以便能及时进行应对和响应。
实时报警:
集中的设备管理系统实时监控整个网络,为实时报警提供了数据基础,一旦设备性能下降,网络出现异常,集中的设备管理可以通过短信,邮件等方式通知网络管理员,提高了响应速度,减少了损失。
设备体检:
网络安全由各个安全设备组成,安全设备的健康对网络健康起到关键作用,而安全策略配置对设备安全起到决定作用。
集中设备管理系统可以选择安全规范对设备进行健康体检,检查出冗余,过期,冲突,不合规等策略,生成可视化体检报告,还支持对体检报告进行设备视角,时间视角,用户视角等多维度比较。
大大减少了安全技术人员的工作,从一定层度上缓和了项目中安全技术人员匮乏的问题。
清晰简单的报表:
作为的主管单位来说,经常想了解目前整体的安全情况和下一步安全建设的依据,但往往只能面对下级技术部门所提供的一大堆数据技术资料,根本无法做出正确的分析和安排,使得的安全建设不能有效得不到上层的理解和支持,集中设备管理系统在整个网络的数据基础上,生成各种数据报表,图形化的方式进行展示,更易理解。
集中设备管理系统内置七十种类型的报表,还提供自定义报表的功能,满足不同部门对数据的要求。
责任追溯:
集中设备管理系统实时跟踪安全设备配置信息,一旦发生改变可通过短信,邮件等方式通知管理员,管理员通过横向纵向对比设备配置,确定配置是否错误,若发生错误,可以一键还原配置。
提高管理员响应速度,保障网络安全,也可以进行责任追溯,避免下次犯错。
(4)数据中心区
数据库及应用区域是专网的重要保护业务区域。
内部重要业务系统均放置在这个区域需要增加访问控制系统,控制低密级区域对高密级区域的访问请求。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
同时采用两台防火墙组成HA的方式接入,解决单点故障的可能性,两台防火墙互为主备,一台防火墙(主墙)负责处理所有的数据流,而另一台防火墙(备墙)则处于待机状态,当主墙出现故障后备墙则立即接管主墙的所有数据信息,避免了关键业务的中断,彻底保证了关键业务的24小时运行。
4.2.2地市检察院安全部署方案
地市检察院以及铁检、省检察官学院,每个检察院边界部署一台防火墙和一台入侵防御系统。
考虑到每个地市检察院下联多个区县接入,为了保障网络链路访问的高效性,和业务压力,分开将边界安全分成防火墙、入侵检测及漏洞扫描分别部署,每个设备各司其职。
由防火墙提供不同网络域之间的可靠的技术隔离和安全的访问控制手段,由入侵检测、防火墙、漏洞扫描三者联动提供高质量的网络边界处攻击防护:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫等。
在核心交换机上部署一台终端准入系统,兼顾下联的每个区县管理,通过基于802.1X方式准入,对支持此协议的交换机进行管理,利用交换机LAN架构的物理特性,实现LAN端口的设备认证。
终端计算机在入网身份认证通过后,进入终端安全合规检测环节,并通过评分制的形式对终端的健康状况做
升级会员 