终端安全管理体系设计开发与建设要求97.docx

1、终端安全管理体系设计开发与建设要求97终端安全管理体系设计开发与建设要求2010年9月1项目建设背景1.1江苏地税系统内网终端安全管理现状分析终端安全是网络与信息安全的重要方面，也是网络与信息安全管理的主要内容。终端安全是容易被忽视的网络边界安全，也是全体终端计算机使用者的行为安全。总体来看，目前内网终端安全主要反映在运行安全与信息安全两方面。运行安全主要以准入控制和桌面管理功能为主。信息安全主要包括边界安全、内网信息防扩散和终端自身安全三个方面。由于终端计算机管理具有点多、面广、量大的特点，加之地税部门安全管理人手少，终端应用和服务事件多，情况复杂，使得目前地税终端安全管理处于一种疲于应付、

2、无序的境况。在内网终端安全管理方面，按照总局信息化安全管理制度相关要求，虽然在安全教育培训、技术防范、规章制度建立、安全检查评估及整改等方面做了大量的工作，取得了很大的成绩，但仍然存在很多问题，一些问题相对还比较严重，归纳起来主要有：一是难以对终端安全问题实施主动防范。如（1）按规定终端和移动存储介质只能专网专用、专人专用，内网终端不能上外网，这些规定难以落实，无法防止借用无线网络、手机、无线上网卡等方式在线上互联网，非认证授权计算机不得上内网，外来计算机授权上内网应全程跟踪审计。（2）对终端计算机上可能存有工作秘密、商业秘密或其他不宜公开的信息等，应依据信息的重要性进行分类管理和采取安全防控

3、措施，否则这些重要信息在内网随意扩散的危险。（3）终端自身使用安全和运行安全状态监控。因目前国内终端安全防护产品功能较弱，大多数产品没有同时将终端运行安全和信息安全整合联动，并满足行业安全态势分析和管理监控，因此现有技术防护手段较弱，同时也难以采取其它有效措施弥补，重视程度也欠缺，造成终端信息安全目前主要依赖于制度和使用者行为信用进行被动式防范，主动防范控制把握较难实施。二是难以有效进行终端信息安全风险管控。去年虽然在全省已经实行征管数据大集中模式，但在信息安全管理尤其是信息终端安全管理上，尚没有一个能够适应全省大集中需要的，功能强大、系统全面的终端信息安全管理平台，省市局也无法及时掌握所辖地

4、区终端信息安全的现状，及时进行风险排查和处置，还停留在人工方式为主进行风险排查和处置，导致安全风险定位、处置较难，时间较长，终端安全管控无法有效开展，难以满足省级大集中后对终端信息安全风险有效管控的要求。三是组织管理中的人为因素、制度因素导致终端安全隐患严重。（1）工作人员只有一台终端计算机用于内网工作，少数单位虽然因工作需要上外网，但因设备不足，导致终端在内外网交叉使用，存在严重的安全违规行为。（2）对非本单位的外来人员，特别是公司服务人员，在允许上内网工作的前提下，缺少安全管控，一旦发生风险也无法追溯和定位。（3）各地在终端安全应急预案上存在严重的不足。以上问题的存在，某种程度上讲也可以说

5、反映了全省的信息终端安全管理的现状。2009年江苏地税信息化建设取得了重大突破，各地征管系统顺利完成了由地级市集中处理模式向省级集中处理模式的转换。省级大集中系统的全面上线，标志着江苏地税税收管理最重要的省级一体化信息平台初步建成。随着征管系统的管理机构、工作模式、岗位职责、人员分工等变化，征管系统面临的安全风险也发生了变化。以往各地的风险仅仅是局部影响，现在是互动影响，各地问题相互交替，范围扩大，继而影响全省；各地小风险会导致全局大风险，甚至可能演变成全省灾难性风险。在当前省级大集中的情况下，我省基于安全等级保护的终端信息安全防护体系还没有完全建立。如何系统地研究分析各地自身终端信息安全，从

6、而保证省级大集中系统安全，存在着盲点。依据目前安全规范要求，更需要重点关注大集中后各地终端运行安全和信息安全管控，关注应急防范处置。安全认识不到位、技术手段的管控力度低、信息资料的定密不清、外来人员的监控不力等问题，在全省大集中后显得更为突出。当前情况下，出现问题和风险后的排查和处置还基于人工方式为主，面对人手少、范围广、事件多的困难局面，面对全省征管大集中的新形势，必须在全省范围内考虑对信息终端有效开展安全管理的方法和手段，以满足省级大集中后全省信息安全有效管控的需要。1.2终端安全管理平台开发的必要性信息安全管理体系的建立是一个目标叠加的过程，是在不断发展变化的技术环境中进行的，是一个动态

7、、闭环的风险管理过程。要真正实现有效的安全管控，首先必须要提高全体地税干部对信息安全管理重要性的认识，全系统各级领导和广大地税干部都必须高度重视信息安全工作。其次全体税务干部都要积极参与信息安全管理工作，七分管理、三分技术，在安全管理的防护、监管、应急响应到恢复等环节，绝不仅仅是技术人员的事，更多的是每一名地税干部的管理责任和管理工作。三是要尽快地开发适应大集中条件下的功能全面的终端安全管理平台，通过技术平台结合领导重视、制度建设、宣传教育、组织管理实现信息安全的有效管控，全面实现风险预防、应急处理、责任追究的一体化。终端安全管理平台的开发还有以下三方面的现实要求：一是国家有关安全管理标准规范

8、，总局和省局相关安全建设与管理规范的要求。要有效落实这些制度，就必须要有一个综合的管理平台。二是信息安全与运行安全有序控管并实施有效管理的要求。三是全面了解终端信息系统的安全态势的要求。通过终端管理平台的建设，对安全管理实现全局一盘棋。我们可以对各类风险予以完整、全面的识别、管控和分析，结合风险展示，来达到直观展示终端信息安全管理成果，分析管理效果和不足；发现终端信息安全管控中的隐患，更有效地揭示终端信息安全风险的发生规律；对各类风险和事件进行关联分析，实现风险和事件分类统计、风险趋势分析，产生各类报表，提供预警信息；进行信息安全风险责任认定和处罚；为领导决策提供依据。1.3江苏地税系统三级机

9、构情况本次项目建设的范围包含省局、13个省辖市局、苏州工业园区局（统一价格报价），张家港保税区局和各区县党组局（统一价格报价）。其中省局不少于500终端，各地市局（包括区局）不少于3000终端，各区县党组局不少于500终端。江苏地税系统三级结构配置情况序号单位省局部署套数市局部署套数区县局部署套数备 注1省局1含江宁数据处理中心2南京地税局15含溧水、高淳、江宁、浦口、六合局3徐州地税局17含丰县、沛县、铜山、睢宁、邳州、新沂、贾汪局4无锡地税局14含江阴、宜兴、锡山、惠山局5盐城地税局18含东台、大丰、盐都、建湖、射阳、滨海、阜宁、响水局6宿迁地税局14含宿豫、沭阳、泗阳、泗洪局7连云港地税

10、局14含赣榆、东海、灌云、灌南局8淮安地税局16含淮阴、楚州、涟水、洪泽、金湖、盱眙局9扬州地税局15含宝应、高邮、江都、仪征、邗江局10泰州地税局14含靖江、泰兴、姜堰、兴化局11南通地税局16含启东、海门、通州、如东、如皋、海安局12常州地税局13含武进、金坛、溧阳局13镇江地税局14含丹阳、扬中、丹徒、句容局14苏州地税局17含吴江、张家港、常熟、昆山、太仓、相城、吴中局15苏州工业园区地税局116张家港保税区地税局1合 计114681.4项目应用范围，实施和招标组织本项目终端安全管理平台主要用于内网（业务专网）终端（含移动存储介质）安全管理，采用省市县三级分布式部署管理、省市两级集中式

11、监控模式，在现有终端安全管理产品的基础上通过二次开发进行功能完善。盐城市地方税务局为试点单位，在试点成功的基础上，进行全省推广应用。省局正式委托盐城市地方税务局负责全省地税系统终端安全管理平台的招标和项目实施。2项目建设目标2.1总体建设目标本次内网终端安全管理项目总体建设目标为：统一和规范全省地税系统内网终端安全管理的内容和流程，提高内网终端的安全防护能力，提升内网终端运行维护的自动化程度，提高内网终端服务的水平，实现终端安全风险可控，安全态势可知。使日常的内网终端安全由被动管理向主动的流程化管理转变，最终真正实现内网终端安全管理理念上质的飞跃，初步建立起真正实用并且合规的内网终端安全管理体

12、系。2.2具体建设目标实现内网终端安全管理标准化：对内网终端的安全访问、非法内联、非法外联、补丁更新、桌面管理、病毒防范等安全策略进行标准化管理。实现安全事件管理规范化：对安全事件的采集，汇总及处理规范化管理，规范安全事件的响应措施。实现内网终端安全维护管理流程化：对终端安全实施设备及使用的全生命周期管理、风险全过程管理和重要风险系统管理，并配合行政管理，实现终端安全管理流程化管理。终端安全态势可视化：对各类安全事件进行统一展现，并从各种不同角度进行分析，针对不同的安全事件，提供安全预警分析。实现内网终端运行管理自动化：增强终端管理的自动化，事件响应自动化，提高管理效率，减少人力投入，从而大幅

13、度降低管理成本，提高效益。实现内网终端运行管理指标化：对终端安全事件量化处理，实现终端运行监测点及相关考核指标标准化。通过建立终端安全防护平台对基础管理类、运行安全管理类及信息安全管理类的功能进行控制。通过建立终端安全管理平台提供终端安全管理各类状态、信息的报表管理、历史分析、监控视图等功能，以便日常统计、查询、管理和辅助风险处理。3项目设计与建设依据对于本项目的系统设计与安全建设应主要遵循和参照如下信息安全法律法规、政策要求和安全标准，及其他相关规定和标准：中华人民共和国保守国家秘密法及相关法规新修订的中华人民共和国保守国家秘密法及相关法规均对涉及保密行为做出明确的规定和要求，如一切国家机关

14、、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。在本项目中，如何保证内网（业务专网）没有国家涉密信息，不会泄漏相关敏感信息，则必须采取相应的技术手段和管理手段来防止安全保密事件的发生。信息安全技术 信息系统安全等级保护技术要求（GB/T 22239-2008）2008年颁布的信息安全等级保护国家标准信息安全技术 信息系统安全等级保护技术要求中，在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取终端安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。信息安全技

15、术信息安全风险评估规范（GB/T20984-2007）风险评估是以安全设计与建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。国家标准信息安全技术信息安全风险评估规范提出了风险评估的基本概念、要素关系、分析原理、实施

16、流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。在本项目中，首先通过风险评估可以发现目前网络中的安全现状，以便在后期进行整体的系统设计、安全规划与建设。信息技术 安全技术 信息技术安全性评估准则（GB/ T 18336）GB/T 18336信息技术 安全技术 信息技术安全性评估准则（等同于ISO/IEC 15408，通常也简称通用准则CC），该标准是评估信息技术产品和系统安全特性的基础准则。它提出了目前公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。功能和保证要求又以类子类组件的结构表述，

17、组件作为安全要求的最小构件块，可以用于保护轮廓、安全目标和包的构建，例如由保证组件构成典型的包评估保证级。因此，针对本系统的设计与开发也应遵循该国家标准对产品安全性的要求。信息技术 安全技术 信息安全管理体系要求（ISO/IEC 27001:2005）在信息安全管理体系方面，国际标准ISO 27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准。目前国家已经等同采用该国际标准成为国家标准信息技术 安全技术 信息安全管理体系要求（GB/T 22080-2008）。它详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。信息技术 安全技术 信息安全管理

18、实用规则（ISO/IEC 27002:2005）信息安全管理使用规则ISO27002:2005综合了信息安全管理方面优秀的控制措施，为组织在信息安全方面提供建议性指南。目前我国已经等同采用了ISO 27002:2005国际标准，成为了国家标准信息技术 安全技术 信息安全管理实用规则（GB/T 22081-2008）。在本项目中，对于内网终端安全管理体系的设计与建设，也应遵循和参考上述两个信息安全管理体系的实践和要求。江苏省地方税务系统工作人员信息安全手册该手册结合江苏地税工作实际，立足地税干部的日常应用，从增强全员信息安全意识出发，提出了“四禁止”、“三不准”、“三必须”的要求。通过强化技术手

19、段，安装内网外联监控、外网内联监控等等系统来提高税务系统技术防护能力。其它有关法律法规和规范制度要求4项目建设原则对于本项目，面对数万台计算机终端这一个庞大、复杂的内网终端安全管理系统建设，构建稳固、完整的技术防护和管理平台是实现信息系统安全、稳定运行的关键，而这也是设计的难点。因此，在设计和建设本项目时，应该首先以保证应用系统安全运行为前提，确保系统自身的安全可靠性和安全管理提升的可持续性，遵循一体化建设原则。此外，本系统还将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严谨管理的原则进行安全体系的整体设计和实施，并要充分考虑到合规性、系统化、完整性、可扩展性等。4.1合规性原则

20、任何行业信息系统的安全建设除了满足自身行业信息化和行业运营的发展之外，也必须按照国家、行业的相关法律法规的要求下进行。因此，对于本项目，必须在国家相关法律法规的要求下进行，而且必须合规、合法，不能偏离国家、行业相关法律法规和安全标准。4.2安全风险与建设投入平衡原则任何网络的绝对安全都是难以达到的也不一定是必要的，必须考虑安全需求、安全风险与安全建设代价之间的平衡。对于本系统而言，要进行实际的研究，并对网络面临的威胁及可能承担的风险进行分析然后确定本系统的安全策略。4.3综合性、整体性原则 应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施可以包括：行政法律手段、各种管理制度(人

21、员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之，不同的安全措施的代价、效果对不同的网络并不完全相同。在本项目中，应根据确定的安全策略制定出合理的内网终端安全防护设计体系结构和内网终端安全管理体系建设结构。 4.4一致性原则 一致性原则是指网络安全问题应存在于整个网络的工作周期必须与终端安全管理的需求相一致系统设计及实施计划、网络验证、验收、运行等都要满足安全管理的内容及措施。因此，在本项目建设的初期就要考虑相应的内网终端安全管理体系对策，不仅较为容易地进行内网终端安全设计与建设，而且也会节省项目建设成本。4.5易操作性原则任何安全措施需要人为去完成

22、，如果措施过于复杂，对人员的要求过高，本身就降低了安全性。因此，对于本系统的设计与建设必须围绕符合易于操作、易于使用、易于管理和易于维护的“四易”原则。4.6无缝接入原则安全系统的部署、运行和应用应不改变现有网络的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全系统的运行应该不会对网络传输造成通信“瓶颈”和对其他应用产生影响。因此，本系统中涉及的安全技术和产品应尽量遵循无缝接入原则，不应轻易改变网络结构和业务系统的配置。系统的各个基础功能模块应尽可能地实现可选择性地独立应用。4.7保护原有投资的原则在进行本项目内网终端安全体系建设时，应充分考虑原有的安全投资，要充分利用系统中已有的建设

23、基础，然后进行相应的体系设计与建设。4.8综合治理原则在本项目中，内网终端系统的安全保护同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。5项目建设预期效果5.1预期效果通过在全省全行业内网中部署内网终端安全管理系统，将构建出一个完整的覆盖至全省全行业（省局地市，含区县）办公内网的内网终端安全管理体系。建立全新的内网终端安全管理理念，构建一个可集中管理的内网终端安全管理平台，保证行业内网终端的安全性。示例如下：对目前行业内存在的所有安全风险做到可知、可管和可控，从内网终端的状态、行为、事件三个方面进行防

24、御。在加强安全管理的同时，提供安全预警机制，针对所有安全事件采集出的数据进行统计分析，并按照不同的安全等级，加以预警，形成安全规范行为管理行为分析安全预警安全规范一整套的管理流程；将在内网终端安全管理过程中遇到的问题进行积累，并吸收归纳形成经验库，在全省，直至全行业进行推广和应用。通过统一实施部署内网终端安全管理系统，江苏全省地税行业内网将在风险事件管理、终端安全加固、终端安全管理三个方面实现全面的安全防护，杜绝各类安全事件的发生。对系统审计的信息通过统一的管理平台能够进行展示、统计、分析，并根据不同的风险等级加以归类，以供管理员评估当前内网的风险态势。对于重要风险优先进行解决，能从源头上对所

25、有风险进行识别和防范，即使不能完全避免某些风险，也应当能够主动管控的方式降低这些风险的级别、减少风险发生的次数。通过终端安全防护平台对终端的系统自身类、基础管理类、运行安全管理类及信息安全管理类的功能进行控制，而在终端安全管理平台上对安全防护平台处理的审计信息和报警记录进行各种所需的汇总展示、历史分析，并通过各种技术展现方式将这些信息进行推送服务。最终，通过终端安全管理平台所展示的信息能够根据风险级别进行分类展现，危险级别高的信息将在最前端提醒管理员及时处理，对于所有的风险的处理都能产生记录，具体如处理管理员名、处理时间、是否处理等信息都能够清晰可见。5.2尚存隐患本次项目的要求本着从全方位的

26、角度对整个行业内网终端安全管理存在的问题进行设计和构架，尽量解决考虑到的所有风险，但并不能代表完全杜绝安全隐患必须明确说明，及时提供相关信息和处理建议。6现有产品功能要求本项目中的招标产品是需要各厂商基于现有产品基础上经过二次开发进行功能完善，因此要求各厂商现有产品应具备以下列举功能，并要求在投标现场进行演示。以下内容必须提供可完整说明现有产品的总体设计及实现功能的相关文档资料。 序号功能分类功能名称对现有产品功能的具体要求现有产品具备的功能满足情况说明1准入控制未授权终端准入管理系统能发现并阻止未授权终端接入内网；允许未授权终端进入访客区，只能使用有限的网络资源。 2授权未注册终端强制安装客

27、户端程序管理未通过准入认证的授权终端能自动进入待安装客户端程序的区域，在该区域内系统能够强制其安装系统的客户端程序。3授权已注册终端准入管理已授权的终端能够自动进行准入认证，通过认证后接入内网，接受系统的管控。4授权已注册终端安全检测管理系统能对已接入内网的终端进行安全检测，包括检测系统漏洞、杀毒软件病毒库版本、木马检测等，对不符合安全检测标准的终端能及时隔离其与内网的连接，终端自动转入修复区进行相应的安全修复。5准入系统实施部署适应性准入系统能在多种网络环境中部署实施，包括在网络设备全部或部分支持802.1X协议的环境下都能实现对单个终端的准入控制功能。用户准入控制根据不同的用户类型进入不同

28、的访问区域；准入用户可自行注销登录，长时间无操作应强制注销登录快速撤消或恢复准入控制具备在紧急情况下快速撤销或恢复本地网络准入控制功能，确保网络或系统在遭遇严重故障时，保障正常工作不受影响。分级认证和双机热备认证服务器设置双机热备，在紧急情况下由上级认证服务器进行认证6桌面管理黑白名单管理系统能够自定义终端上禁止或只允许运行的进程、软件的名单。7违规外联管理系统能及时发现终端在任何情况意环境下违规接入除内网以外其他任意网络的行为，并能对违规行为进行取证，同时能及时阻断其与违规网络的连接。8进程管理系统能监控终端进程运行的情况，自动禁止非法进程、强制运行必须运行的进程，并能对终端的违规行为进行审

29、计。9终端服务管理系统能自动监控终端的服务运行情况，自动禁用违规服务、强制启用必须开启的服务等，并能对违规行为进行审计。10软件管理系统能对终端安装的软件情况进行统计和监控，自动统计终端安装的各类软件，通过黑白名单对应用软件进行管控。11外设端口管理系统能对终端外设及各类硬件接口进行管理，禁用违规外设端口，强制启用必须开启的外设端口等。12终端流量管理系统能够对终端流量进行管理，统计流量异常的终端，并能控制终端流量。13安全策略及注册表项管理系统能够监控终端的本地安全策略管理及对注册表项、键的各类操作，同时对于一些重要或敏感的注册表项、键值具有保护功能。14终端安全管理查询统计系统的管理端能够

30、及时查询终端实时的各类信息，包括运行的进程、服务开启禁用情况、终端各类日志情况、运行资源等，并能根据需要及时管控终端。桌面行为审计对终端的各类行为进行审计终端发现可以在短时间内发现私接入网的设备,不论此设备是否安装防火墙或安装准入软件15资产管理硬件资产统计系统能自动采集终端的硬件信息，并能统计所有终端的硬件资产信息。16硬件资产变更管理系统能及时发现并审计终端的硬件变更信息。17软件资产统计系统能自动采集终端的软件信息，并能统计所有终端的软件资产信息。18软件资产变化管理系统能及时发现并审计终端的软件变更信息。漏洞扫描及补丁管理漏洞扫描对终端进行漏洞扫描，发现系统漏洞19补丁自动分发能够自动检测终端已安装和未安装补丁，针对未安装补丁终端能够自动分发并安装。补丁下载和安装要求支持前台和后台的选择。根据补丁的重要性强制安装补丁和选择性安装补丁。20补丁手动分发能够对单个或多个补丁进行选择性的分发。补丁下载和安装要求支持前台和后台的选择。21补丁导入能够支持补丁增量更新导入