等级保护技术方案.docx

1、等级保护技术方案信息系统等级保护建设指导要求（三级）1.方案设计要求2.2.1.2.2.2.3.2.4.2.5.2.6.2.7.2.8.2.9.方案设计思想2.9.1.构建符合信息系统等级保护要求的安全体系结构平台安全建设需要在整体信息安全体系指导下进行实施，保证信息安全建设真正发挥效力。随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得越来越复杂。从体系架构角度看，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的安全是信息系统安全的核心，是授权和

2、访问控制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施控制和保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个层次中，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证整个信息系统的安全。2.9.2.建立科学实用的全程访问控制机制访问控制机制是信息系统中敏感信息保护的核心，依据计算机信息系统安全保护等级划分准则（GB17859-1999）（以下简称GB17859-1999）：三级信息系统安全保护环境的设计策略，应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。 基于“一个中心支撑下的三重保障体系结

3、构”的安全保护环境，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制，阻止对非授权用户的访问行为以及授权用户的非授权访问行为。2.9.3.加强源头控制，实现基础核心层的纵深防御终端是一切不安全问题的根源，终端安全是信息系统安全的源头，如果在终端实施积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击信息系统安全，防范内部用户攻击

4、的问题迎刃而解。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑，终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑，以此为基础实施深层次的人、技术和操作的控制。2.9.4.面向应用，构建安全应用支撑平台在当前的信息系统中，不仅包括单机模式的应用，还包括C/S和B/S模式的应用。虽然很多应用系统本身具有一定的安全机制，如身份认证、权限控制等，但是这些安全机制容易被篡改和旁路，致使敏感信息的安全难以得到有效保护。另外，由于应用系统的复杂性，修改现有应用也是不现实的。因此，在不修改现有应用的前提下，以保护应用的安全为目标，需要构筑安全应用支撑平台。本方案拟采用安

5、全封装的方式实现对应用服务的访问控制。应用服务的安全封装主要由可信计算环境、资源隔离和输入输出安全检查来实现。通过可信计算的基础保障机制建立可信应用环境，通过资源隔离限制特定进程对特定文件的访问权限，从而将应用服务隔离在一个受保护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出安全检查截获并分析用户和应用服务之间的交互请求，防范非法的输入和输出。2.10.建设原则信息系统安全建设项目依托现有网络环境，基于严格的管理架构及信息系统运营模式。要实现信息安全整体体系及安全联动机制的统一规划，需要严格遵循一定的建设原则与标准。主要包括：需求、风险、代价平衡分析的原则综

6、合性、整体性原则易操作性原则多重保护原则可评价性原则考虑到信息系统安全建设依托单位网络信息中心实现系统管理和运维，其直接实现信息安全管理与技术建设。需要在网络信息中心的统一规划指导下开展信息安全建设。建议按照“统一规划、分步实施”原则，针对单位内管理及使用的各信息系统按安全等级划分后进行信息安全等级保护的统一规划设计与分步建设实施。参照信息系统（三级）的技术设计思路和建设内容，遵照等级保护相关标准和要求，按照等保相应级别系统的安全要求，进行信息安全等级保护的规划设计。2.11.参考标准中华人民共和国计算机信息系统安全保护条例 （国务院14号令）国家信息化领导小组关于加强信息安全保障工作的意见（

7、中办发200327号）关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护管理办法（公通字200743号）计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全 等级保护定级指南信息系统等级保护安全设计技术要求（GB/T25070-2010）信息系统安全 等级保护基本要求（GB/T22239-2008）信息系统安全 等级保护实施指南信息系统安全 等级保护测评要求信息安全技术 操作系统安全评估准则（GB/T20009-2005）信息安全技术 信息系统安全管理要求（GB/T20269-2006）信息安全技术 网络基础安全技术要求（GB/T20270-200

8、6）信息安全技术 信息系统通用安全技术要求（GB/T20271-2006）信息安全技术 操作系统安全技术要求（GB/T20272-2006）信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）2.12.建设内容平台安全基本涉及到如下方面：作为海量数据的处理平台，平台安全控制要做到如下：安全可靠：能够有效屏蔽恶意的访问可伸缩：能够随着规模的扩大，无需更改架构就可以支持易于管理：支持大规模分布式管理，单入口就可以管理所有设备和系统及应用的安全方便用户：不能因为安全要求高，而降低了用户的交互友好度2.13.安全拓扑示意图部署说明：1、网络边界部署抗DDos系统，防护外部僵尸主机对

9、网络及业务系统的攻击，保障网络的高可用性；2、部署边界防火墙设备，并开启VPN模块，防护来自外部的安全威胁及访问控制，并对网络间传输的数据进行加密；3、部署入侵防护系统，避免业务系统遭受来自外部的入侵攻击；4、在虚拟化平台部署安装虚拟防火墙，对东西向流量进行防护，及各VM间进行隔离。 2.14.详细设计方案2.14.1.计算环境安全设计计算环境安全是整个安全建设的核心和基础。计算环境安全通过终端、应用服务器和数据库的安全机制服务，保障应用业务处理全过程的安全。系统终端和服务器通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有

10、效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，从而为业务系统的正常运行和免遭恶意破坏提供支撑和保障。2.14.1.1.系统安全加固1）操作系统加固：进行操作系统裁剪，只安装满足业务需求的“最小操作系统”2）加强安全基线配置 3）数据库加固：操作系统和数据库程序数据文件安装在不同分区上；在非系统卷上安装数据库程序和文件；只安装业务需要的组件，不安装如升级工具、开发工具、代码示例、联机丛书等不必要组件；限制客户端计算机连接到数据库服务器所能够使用的协议的范围，并确保这些协议的安全性，如限制只使用TCP/IP协议；限制客户端计算机连接到数据库服务器所使用的特定端口，不使

11、用默认端口。2.14.1.2.系统安全审计计算环境各区域中的安全控制点，包括防火墙、IPS、防病毒网关等设备功能的审计模块记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。审计管理平台提供审计记录查询、分类、分析和存储保护，对特定安全事件进行报警，同时终端安全加固系统能够确保审计记录不会被非授权用户访问。2.14.1.3.用户数据完整性保护在VPN设备的安全功能支撑下，对通过网络传输的数据进行校验、保证重要数据在网络传输过程中的完整性。2.14.2.区域边界安全设计安全区域边界是对定级系统的安全计算环境的边界，以及安全计算环境与安全通信网络之间实现连接功能进行安

12、全保护的部件。2.14.2.1.区域边界访问控制防火墙在安全区域边界实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。要求：1）网络构架设计上应根据web服务器、应用服务器及数据库服务器重要性和所涉及信息的重要程度等因素，利用防火墙划分在不同的网段，避免将应用服务器及数据库服务器等信息系统核心服务器部署在网络边界处，不可将这类服务器直接连接外部信息系统。重要服务器与其他网段之间通过采取可靠的技术隔离手段；信息系统服务器只开放web服务相关端口，关闭其它服务及端口。 根据信息系统服务的具体内容，可以开放如下端口：端口服务25邮件发送服务110POP邮件服务80信息系统

13、服务443安全信息系统服务2）流量控制设备对网络流量进行实时监控和合理限制，保证网络带宽和业务服务的持续可用。3）抗拒绝服务系统有效防范拒绝服务等网络攻击，保证系统的完整性和可用性。外部接入区的防病毒网关设备阻止恶意代码进入信息系统中，形成对局域网内部的设备和资源的有效保护。防病毒应采用防病毒网关与防病毒软件联动的方式，从而实现从边界到内部全面有效的抵御病毒的攻击要求：1)防病毒网关主要用于对病毒的查杀，可是，由于这些软件是通过病毒特征库来实现对病毒的防御与查杀，因此对于新出现的病毒，防病毒网关总会存在一定的迟滞时间，给信息系统带来安全隐患。因此，需要通过对信息系统的服务器操作系统进行安全加固

14、，对业务应用系统进行完整性保护，使操作系统和业务应用对于病毒和恶意代码实现自免疫，即使是新出现的病毒，也能够保证不会被入侵或破坏。2)信息系统系统中相关各个服务器及工作站必须安装计算机防病毒软件，终端安全防护系统（服务器版、PC版），在网络边界安装硬件统一威胁管理（UTM）等设备，形成服务器、终端操作系统加固软件、主机防毒软件及网络防毒硬件构成的病毒防御体系。病毒防御体系应具备如下功能：执行程序完整性保护恶意代码主动防御病毒事件报警，病毒事件日志查询与统计全网查杀病毒，实时监控客户端防毒状况集中控制及管理防毒策略防病毒系统自我保护系统主动防御，恶意行为检测，隐藏进程检测病毒库在线升级及离线升级

15、客户端漏洞检测与补丁分发控制未知病毒、蠕虫、间谍软件执行3)信息系统管理人员应及时升级防毒墙和防病毒软件的病毒库，提高其抵御病毒的能力。应定期利用防病毒软件扫描各个服务器及工作站操作系统的安全现状。定期查看主机恶意代码免疫软件中的审计日志，及时发现服务器及工作站操作系统中存在的未知病毒、木马等恶意可执行代码。入侵检测系统在外部接入区检测外部对内部系统的入侵行为。将网络入侵检测产品放置在比较重要的网段内，监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统应发出警报甚至直接切断网络连接。网络入侵检测系统应能够检测来自网络的攻击，能够检测到超过授权的非法访问。无需改变服务器等主机的配置，不在业务系统的主机中安装额外的软件，不影响这些机器的CPU、I/O与磁盘等资源的使用，不影响业务系统的性能2.14.2.2.区域边界包过滤区域边界部署的防火墙产品通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。在服务器前端开启防火墙的应用安全审计功能模块。能有效的审计各种恶意的网络攻击手段。