方案模板XX省电子政务外网平台安全方案文档格式.docx

1、1工程项目概述添加项目背景情况介绍XX省电子政务外网工程将建设政务外网传输网络，统一硬件平台，操作系统与数据库平台，共享数据平台，基础业务在线办理与跨部门综合应用等内容。按照XX省电子政务外网工程可行性研究报告（简称：可研报告）的规划，省政务外网工程的总体建设目标为：建设一个统一的基础通信网络平台；建立一个统一的系统支撑平台；逐步整合和建立所有政务部门的业务应用系统；构筑统一管理的安全保障体系。其中安全保障体系是即将开展的迫切工作内容之一，本建设方案旨在提供省政务外网工程在信息安全保障体系建设方面的思路，通过阅读本方案可以清晰的知道本期建设的内容，同时根据业务保护的重要程度进行分期建设方案设计

2、。2安全建设路线2.1设计原则2.1.1等级保护建设原则XX省电子政务外网属国家重要信息系统，其安全建设不能忽视国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合信息系统安全等级保护基本要求。2.1.2体系化的设计原则系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。2.1.3产品的先进性原则XX省电子政务外网安全保障体系建设规模庞大，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定

3、性等特点，共同打好工程的技术基础。2.1.4按步骤有序建设原则XX省电子政务外网安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。2.1.5安全服务细致化原则要使得安全保障体系发挥最大的功效，除安全产品的部署外还提供安全服务，根据XX电子政务外网具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合XX省电子政务外网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。2.2等级化建设思路“等级化安全体系”是依据国家

4、信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。“等级化”设计方法，是根据需要保护的信息系统确定不同的安全等级，根据安全等级确定不同等级的安全目标，形成不同等级的安全措施进行保护。“体系化”设计方法，是根据业务目标确定安全目标，通过结构化方法进行分解，将问题、对象或目标拆分成子问题、对象或目标的迭代方法。这一设计方法包含三个主要原则，分别是“充分覆盖”、“互补重叠”和“不可再细分”。整体的安全保障体系包括技术和管理两大部分，其中管理部分可以分为策略、组织和运作三个部

5、分。即，整个体系分为四部分，包括策略体系、组织体系、技术体系和运作体系。整个安全保障体系的四个部分既有机结合，又相互支撑，之间的关系为“根据策略体系中策略，由组织体系（或人员），利用技术体系作为工具和手段，进行操作来维持运行体系”。根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：1.系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2.安全域设计：根据第一步的结果，通

6、过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3.安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。4.确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。5.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等

7、级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。6.安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。7.安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障系统整体的安全。3安全需求分析3.1安全技术层面需求分析3.1.1外网平台安全需求外部边界防护主要指数据中心网络平台的所有外部网络边界，包括：国家电子政务外网边界：该边界位于信息中心网络与国家电子政务外网

8、之间。专网边界两侧都是内部用户，网络环境、应用环境、用户身份及规章制度都很接近，所面临的网络安全风险及相应的需求也基本类似。主要需要考虑防止内部的非法访问以及病毒、蠕虫等恶性安全事件的快速蔓延。互联网边界：互联网接入主要用于提供对外基于互联网的WEB业务、各厅局/县级单位的VPN接入，因此在同一个边界具备两种属性。外网边界直接面临社会各界用户，使用环境复杂面临的安全风险极大。各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个数据中心不被外部侵入。内部安全域边界在数据中心网络中，可以划分处多个网络安全域，包括多个服务器区、办公区、多个

9、接入区、维护管理区等等。这些安全域之间存在着内部边界，为能更加有针对性的对各安全域进行防护，在不同的边界应采取不同的边界防护措施。数据传输安全对于外部单位用户的接入存在两种方式：专线方式、互联网方式。通过互联网进行接入传输的数据属于电子政务内部的信息，这些敏感的数据信息在互联网上十分容易被非法窃取、篡改或删除。因此必须采用技术手段保证数据的机密性、完整性以及可用性。3.1.2计算环境安全需求保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS，应用软件等的安全需求。包括：终端行为的管理终端设备部署较为分散，难于统一

10、管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非授权访问、内部攻击等都都对数据中心安全造成威胁。各类终端和服务器系统的补丁管理同样是一个重要问题。不及时的给系统打漏洞补丁会造成蠕虫以及不怀好意者的入侵。终端防病毒病毒是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整个数据中心。主机审计对于服务器和重要主机需要进行严格的行为控制，对用户的行

11、为、使用的命令等进行必要的记录审计，同时生成审计报表，便于日后的分析、调查、取证。数据库审计对于关键的数据库系统需要进行审计。异常的数据库操作将会造成数据的不完整和数据丢失，必须对管理员特别是数据库管理员的操作行为进行审计，一方面完整记录数据库的操作行为，另一方面对高危操作进行及时阻止干预。最大限度的保护审计署核心信息资产的安全。网络入侵行为检测攻击行为不仅来自于大家公认的互联网等外部网络，在内部也要防止攻击行为。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核

12、心信息资产的免受攻击危害。安全加固无论是审计、入侵检测或是防病毒，某种意义上来说都是被动防御，大都不具备主动防御的能力。如在危险来临之前就能主动加固系统，增强系统本身的抵御能力，则在实际运行中发挥十分重要的作用。3.1.3应用系统安全需求对于存在于电子政务外网平台上的众多应用系统，同样存在着多种类型安全需求，包括：1.网络行为审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。2.统一双因素身份认证对于系统资源以及设备的管理访问，大

13、都局限于简单的用户名/口令这样的单因素认证方式。单一密码方式被公认为弱身份，存在问题很多。如：容易受到强力攻击、社会工程学指导下可以猜测密码、用户设置的密码强度较低（采用经常采用名字、生日、电话号码等因素构成密码）。因此需要建立一种全新的认证授权方式，双因素身份认证是目前有效且安全性很高的解决手段。3.系统风险评估管理对于外网平台上大量的服务器系统，因此，对服务器各项服务的安全配置就显得尤为重要，如果有一点疏忽也会直接造成审计署信息系统被攻击。我们建议定期/不定期的全面掌握网络设备、安全设备、主机、应用系统、数据库系统的风险情况，并以此在安全事件发生前进行加固，全面提高抗风险能力。4.WEB页

14、面防护Web应用的普及使得在电子政务外网平台上中存在的Web服务器很容易成为黑客的攻击目标。被篡改的网页将给业务系统带来很大的安全隐患，造成信息丢失、泄露等安全事件。需要专业的主页防篡改工具有效阻止主页篡改事件的发生，维护Web页面的安全。5.应用安全管理从用户角度看，其业务系统的正常运转是最关心的核心问题，而业务系统能否实施良好的监控管理则是关键因素之一。因此需要技术手段对应用系统的状况进行全面监控，能够全盘呈现业务环境，实施主动监控，进行运行趋势分析，及时发现存在的问题。6.数据统一备份数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问

15、题。建立数据的统一备份，是应对突发事件的必要措施。3.1.4基础设施安全需求电子政务得很多应用，如：网上审批、企业资质年检等都是面向各政府部门、企业单位的应用，很多基于互联网环境传递敏感信息，因此在政务处理过程中需要采取必要得安全认证与授权服务，建立统一的、集中的身份认证和权限控制机制。通过身份认证、授权管理及责任认证平台，为全网所有的应用系统及业务系统提供统一的身份认证和授权管理服务，并可对事故责任进行追查。建设应根据XX省具体情况分析。3.1.5管理系统安全需求完整的安全技术体系的搭建需要众多的安全设备和安全系统，型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。有限的管理人员难以

16、对安全设备进行集中管理、及时快捷的部署安全策略，全面掌握设备运行和网络运行的风险状况。如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的问题。所以，需要建立安全管理中心，进行运行监控和安全风险管理。集中运行监控能够实现对防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的进行全面的监控管理，生成拓扑地图，实时掌握各设备的部署情况、运行状况、设备的接入断开变动。当网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。统一风险管理实现集中采集防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/

17、主机等设备的安全日志和事件，并进行统一的存储、备份、管理和统计分析，能够协助管理员实时监测网络中的攻击行为和安全风险，以及时调整安全设备策略，积极应对安全威胁，从而实现网络的整体安全。建立集中的安全运行监控系统和统一的风险管理系统是有效帮助安全管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。3.2安全管理层面需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关

18、标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。3.3安全服务层面需求分析安全技术手段是从系统与网络层面解决问题的方式之一，可以发挥具体的安全防护作用，但是如果把这些安全技术手段有效的利用起来，成为安全体系建设的重中之重。安全体系中除了技术体系、管理体系之外，还需要专业的技术人员配合技术与管理手段达到更高的具体防护效果。专业的技术人员是安全体系中更关键更重要的因素，除了利用好安全技术产品外，还需要利用其专业的技术经验与行业经验，通过专业的安全服务来具体解决问题。4安全方案设计4.1方案设计框架根据信息系统安全等级保护基本要求，分为技术和管理两大类要求，具体如下图所示：为使得信

19、息系统安全等级保护基本要求能够进行落地实施建设，通过对等级保护要求的整合分析，结合业界成熟的信息安全体系建设理论，提出了从安全管理、基础设施、网络平台、计算区域、应用系统几个层面，进行整体安全设计的思路。安全防护体系框架如下图所示：同时考虑以安全管理中心为管理建设重点，形成长治久安的管理核心，以安全运维为长期服务，共同构建起XX电子政务外网整体安全建设框架。4.2安全区域框架XX省电子政务外网安全建设核心内容是将中心机房网络进行全方位的安全防护，构建一整套有针对性的安防体系。因此，需要通过合理的划分网络安全域，针对各自的特点而采取不同的技术及管理手段。选择这些措施的主要依据是按照等级保护相关的

20、要求。经过梳理后的XX省电子政务外网信息系统安全区域划分如下图所示：4.3安全等级划分按按照公安部信息系统安全保护等级定级指南（试用稿v3.2）（以下简称定级指南）的要求，非涉密信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严

21、重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。4.3.1定级流程确定信息系统安全保护等级的一般流程如下：确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；根据业务信息安全等级矩阵表得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；根据系统服务安全等级矩阵表得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。上述步骤如下图流程所

22、示。业务信息安全等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级社会秩序、公共利益第三级第四级国家安全第五级系统服务安全等级矩阵表系统服务安全被破坏时所侵害的客体4.3.2定级结果根据上述定级流程，XX省电子政务外网各主要系统定级结果为：序号部署环境系统名称业务系统安全保护等级1.省数据中心单个部门服务器区所承载的业务系统32.跨部门服务器区所承载的业务系统3.共享信息资源安全域承载的业务系统4.安全管理域业务系统5.网络管理域业务系统6.互联网服务器区承载得互联网业务系统7.各厅局等互联用户单位局域网各厅局单

23、位局域网8.县级单位局域网各县级单位局域网29.乡镇级单位局域网各乡镇单位局域网4.4安全体系技术层面设计4.4.1外网平台安全设计XX省电子政务外网平台的安全设计主要指边界内、外部边界的安全防护措施。总体部署图如下所示：根据内、外部不同边界的不同属性分别进行了防护措施设计，采用了防火墙、VPN网关、入侵防护系统、安全隔离网闸、AV防病毒网关、异常流量管理等设备。4.4.1.1外部边界4.4.1.1.1防火墙防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对XX省电子政务外网重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或

24、不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。对于外部安全边界来说，需要在国家电子政务外网接入安全域、VPN接入安全域（中心端）、互联网服务器区安全域、远程专线各接入单位、远程VPN接入单位这六个安全域的安全边界上部署防火墙。在VPN接入安全域（中心端）安全边界上部署防火墙，可以对外部接入的访问进行访问控制，保证只有合法的用户可以访问授权的资源。对非法的访问行为，将拒绝访问，从而达到保护内部服务和系统的目的。同时，可以在防火墙上对访问行为进行记录和审计，对入侵和非法访问进行跟踪以及事后分析。各专线用户接入采用直接接入到核心交换机的方式，没有进行汇聚，因此对于来自与个专线用户接

25、入采用交换机自带的防火墙模块进行安全隔离。在互联网服务器区安全域的安全边界部署防火墙，将对外提供服务的服务器部署在防火墙的DMZ区，通过制定访问控制策略，来对对外的业务服务器进行专门的保护，可以对来自互联网的用户访问请求进行访问控制。同时，可以通过防火墙上集成的入侵检测功能，对来自互联网的入侵行为，进行检测并阻断。由于互联网服务器区安全边界面临的安全风险较多，需要通过严格执行安全策略发挥防火墙最佳功效：1）集中放置面向Internet服务的主机，在一个集中、受控的环境下监控网络流量2）关闭不必要的服务3）严格限制进、出网络的ICMP流量和UDP流量4）允许网络管理流量进局域网系统5）严格制定防

26、火墙策略，限制所有无关访问在国家电子政务外网接入安全域，部署一台防火墙，控制进出国家电子政务外网的数据流量。由于面对的是外部复杂的网络环境，因此这些边界防火墙需要具备更多的深度过滤功能：能够阻止常见的蠕虫扩散，能够对P2P带宽进行流量管理等。同时能够精细的进行设备管理，减轻管理员管理负担。4.4.1.1.2UTM统一威胁管理远程专线各接入单位的外部边界上部署UTM统一威胁管理设备，可以通过制定严格的访问策略、保证接入单位访问行为的合法性以及数据中心与接入单位进行数据交互行为的合法性。同时对个单位进行全方位的安全防护。采用UTM设备来构成本方案的核心产品既有效节约了建设资金，又达到了更好的防护效

27、果。可根据实际需要开启相应的功能模块，采用UTM部署在互联网边界是一个一举两得的解决方案。各功能模块配置说明：防火墙首先需要配置防火墙功能。对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止非法攻击；可以对网络流量进行精确的控制，可以对用户进行多种认证等。防病毒据ICSA（国际计算机安全协会）的统计表明，超过90%的病毒是通过Internet传播的。而利用ASIC硬件技术进行数据包内容病毒扫描，在性能上有了质的飞跃，可以提供近乎实时的病毒过滤性能。网关病毒过滤特性还可以有效地防止病毒进入内网之后利

28、用计算机系统漏洞肆意传播，大量消耗系统资源和网络带宽所造成的DoS/ DDoS（拒绝服务/分布式拒绝服务）攻击。入侵检测/防护网络入侵检测/防护系统（IDS/IPS）是一种实时网络入侵检测传感器，它能对外界各种可疑的网络活动进行识别及采取行动。为通知系统管理员有攻击行为发生，IDS将此攻击及一切可疑流量记录到攻击日志中，并根据设置发送报警邮件。UTM 可以检测并阻断多种类型攻击，例如DoS/ DDoS（拒绝服务/分布式拒绝服务）攻击（包括TCP SYN flood, UDP flood 和 ICMP flood，Ping of Death，Tear drop等）。通过配置网络中UTM 的IDS/IPS模块，可以防止各类网络攻击和入侵行为的发生。直接对网络入侵行为进行阻断，不给黑客以任何可乘之机。UTM 可以进行手动、自动的更新攻击特征库，扩充攻击特征数量，防范最新攻击。4.4.1.1.3异常流量管理数据中心提供面向互联网的服务，包括门户网站、互联网数据收集服务等，这些服务集中在互联网服务区安全域中。对于服务的访问流量，是我们需要保护的流量。但是，往往有一些“异常”的流量，通过部分或完全占据网