软件系统安全等级保护方案.docx

《软件系统安全等级保护方案.docx》由会员分享，可在线阅读，更多相关《软件系统安全等级保护方案.docx（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、XX烟厂等级保护建议书2014年08月主机安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统 及数据库系统层面的安全。323.1 操作系统安全主机操作系统安全按照等保要求结合可行性分析，应重点从身份鉴别、访问 控制、安全审计、入侵防范、恶意代码防范等几个方面实现。现有终端/工作站计算机本地登录方式主要采用用户名+静态密码方式，应通 过内网安全管理系统提供基于第三方的认证机制；另外服务器操作系统主要采用 远程登录，应归并智能运维网关统一管理,提供双因素认证机制。通过以上两种 技术手段的加强，实现主机操作系统在身份鉴别、访问控制、安全审计的安全建 设要求。现有计算机中均部署了网

2、络防病毒系统，同时其防病毒引擎和防病毒特征库 与防病毒网关非同一提供商，满足了恶意代码方面的防护要求。 主机操作系统在补丁管理方面还缺乏必要的防护手段，建议措施如下： 通过专业安全服务人员对全网进行网络安全评估； 终端/工作站进行操作系统升级处理，搭建统一升级服务器； 服务器按情况进行操作系统升级并部署主机安全加固系统； 部署网络安全评估系统，以提供日常的补丁管理措施； 针对Windows XP必须提供专版的系统加固解决方案；数据库系统安全主机操作系统安全按照等保要求结合可行性分析，应重点从身份鉴别、访问 控制、安全审计、入侵防范等几个方面实现。现有数据系统仅采用用户名+静态密码方式进行身份鉴

3、别，在权限控制上亦 未精细化，存在较大风险。建议在重要的数据库服务器区域部署数据库安全审计系统,提供数据库审 计、数据库防火墙功能、数据库漏洞分析、SQL注入防护；数据库的远程应归并智能运维网关统一管理，联动数据库审计提供细腻的管控机制。324应用安全应用系统的安全就是保护系统的各种应用程序安全运行。包括基本应用，如: 消息发送、web浏览等；业务应用，如：电子商务、电子政务等。目前，网络中已部署SSL VPN网关，在家办公或出差人员已得到应用，提 高了应用安全。另外，从等级保护要求和可行性分析，对于已上线的应用系统重 点可按照身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、 软

4、件容错、资源控制等几个方面进行改造。改造可以从以下几个方面实现： 针对安全认证机制不够完善的关键应用系统，部署PKI/CA系统，提供 对应用系统的身份鉴别、访问控制、抗抵赖等几个方面的加强。烟厂主 要应用还是以终端接入为主，对于此系统的建设可作为标准参考，后期 按需扩展。 针对软件开发商无法提供后续开发能力且关键应用系统，部署应用审计 系统，以提供统一的安全审计需求。 针对核心关键应用，可提供专业安全服务人员进行代码审计服务，可按 需扩展。对于新设计的应用必须完成软件安全开发生命周期的7个阶段和16个安全 活动，以实现相关要求。图1软件安全开发生命周期的阶段和安全活动数据安全数据安全主要是保护

5、用户数据、系统数据、业务数据的保护。将对数据造成 的损害降至最小。备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包 括数据备份、硬件冗余和异地实时备份。数据备份目前，企业部分重要数据已采用基本的备份机制，存储也采用磁盘阵列技术。 根据实际需要增加双机备份软件。为提供灾难恢复措施，建议采用基于私有云技术的异地数据中心解决方案。资源及服务业务部署逻辑图 虚拟服务器 专属高可用防火墙 专属高可用负载均衡 专属数据库服务器 专属文件存储+高可用虚拟网关+ WEB系统漏洞扫描+ NAS存储 I-LiveX酢流“I$2，KK 虚拟网关(ha)www专属歇墙7(HA)跑|题9负载均衡HA)同城DC #

6、1二7Z7 DC #2配置特点：二、：日柚 CO K1 混合云（云+专属）架构 两地三中心资源互联 虚拟服务器按需可扩展 同城DC间负载均衡实现 访问分发，异地DC实现应用服务器 “MW应用服务器（“ iE53分Khm专属存储霆数据库朋务器,一勺一；.注）数据库服务器,一勺一;W）专凰db .容灾备份 NAS云存储进行数据冷备业务系统1 1业务系统数据冷备同城双活生产环境 异地灾备中心图2异地数据中心灾难恢复解决方案示意图3.252硬件冗余目前，关键的网络节点、核心服务器均已采用冗余部署，满足等保要求。4产品部署4.1 产品部署示意图电信 专线 摘路负段均U 衡（新增）一 I电信 专线 摘路负

7、段均U 衡（新增）一 I路由网络出口层 和服务器、 网络管理层联通 专康下一代防火馔r、 （新熠替换）互联网接入区服务器区安全管短服务（新增或利旧）服务器 接入层交换机网络管理区网络管理区万兆光纤 千兆光纤 双线线 百兆光纤网络核心层下一代防火墙（新增）行为管理系统数据序审计系 统（新增）网络汇聚层网络接入层A配线间H配线间综合楼二、四楼东、西配线间片烟醇化库、香精香料库配饯间图3安全产品部署示意图4.2 产品部署说明安全产品部署说明实现效果链路负载均衡行业网接入区，网关部署。提供链路负载均衡、ISP选 路、链路备份、智能DNS 等功能。下一代防火墙 （互联网）互联网接入区，替换原有传统 防火

8、墙网关部署，日志由安全 管理服务器存储。提供传统防火墙、入侵防 御、恶意代码防护、持续攻 击防护等功能。下一代防火墙 （行业网）行业网接入区，透明部署在行 业网接入交换机和核心交换机 之间，日志由安全管理服务器 存储。提供传统防火墙、入侵防 御、恶意代码防护、持续攻 击防护等功能。入侵检测系统网络汇聚层或服务器区域，旁通过攻击代码库深度检测路接入在交换机上（管理口）， 对服务器的访问流量通过交换 机镜像到设备监听口，日志由 安全管理服务器存储。已知攻击行为，提供及时告 警、产品联动等响应方式。网络准入网关网络核心层，旁路部署在核心 交换机上，联动接入层交换机 的802.1 x功能进行接入认证。

9、严格管控接入终端设备，实 现合规、合法的接入。智能运维网关网络核心层，旁路部署在核心 交换机上，保证智能运维网关 路由和策略可达任何网络设 备、服务器等，可提供外部存 储。运维人员在登录网络设备、 服务器等，必须通过智能运 维网关，实现集中的帐号、 认证、授权以及审计，规避 对设备的风险操作。数据库审计系 统服务器区域，旁路接入在服务 器接入交换机上（管理口），对 数据库服务器的访问流量通过 交换机镜像到设备监听口，可 提供外部存储。提供细腻的数据库审计、数 据库漏洞以及三层审计功 能，有效提高数据库操作系 统的管控力度。内网安全管理 系统网络接入层，特定的工作站操 作系统部署，管控端部署在安

10、 全管理服务器，以实现统一管 理。提供对终端计算机进行集 中的安全保护、监控、审计 和管理，同时提供统一补丁 管理、资产管理、避免私自 外联。主机加固系统服务器区域，特定的操作系统 部署，管控端部署在安全管理 服务器，以实现统一管理。提供强身份认证和数字签 名技术，增强主机操作系统 的抗攻击能力。安全管理服务 器服务器区域，提供内网安全管 理系统、主机加固系统的管控 端系统平台支持，部分安全设 备日志存储。提供安全设备管理、安全日 志管理的功能。双机热备软件服务器区域，对特定服务器进 行双机热备，包括系统、文件、 数据库的备份。提供可视和自动化的备份 机制，有效保证数据的安 全。私有玄灾备中

11、心互联网，异地机房，可提供智 能、可视、安全的远程管理。前期主要实现数据异地备 份，减少和缓解灾难性事件 的损失。5产品清单和预算见附件。131 项目概况11.1 背景分析11.2 信息安全等级保护政策1系统定级21.3 定级工作21.4 不同等级的安全保护能力21.5 定级参考3等级保护方案设计41.6 设计依据41.7 方案设计4物理安全41.7.1 网络安全5主机安全81.7.2 应用安全9数据安全92 产品部署112.1 产品部署示意图112.2 产品部署说明11产品清单和预算121项目概况背景分析烟草行业已建成以国家烟草专卖局为核心的，遍布全行业的内联网。行业卷 烟生产经营决策系统、

12、办公自动化系统、专卖准运证系统和电子交易系统等信息 化系统已建成并开始应用。为保证烟草企业信息系统持续、稳定的运行，保证在 其行业中核心竞争力，必须按照国家规范进行信息安全建设。本方案是安装国家等级保护要求，针对绵阳烟草公司网络现状提出的信息安 全建设意见，可作为绵阳烟草公司信息安全建设依据和参考。1.1 信息安全等级保护政策1994年国务院颁布的计算机信息系统安全保护条例中已经规定：我国 的“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部 会同有关部门制定”。1999年，国家质量技术监督局正式发布了强制性国家标准: GB17859-1999：计算机信息系统安全保护等级划分

13、准则。2003年中央办公 厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意 见（中办发200327号文件）明确指出，“要重点保护基础信息网络和关系国 家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保 护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月15日， 由公安部、国家保密局、国家密码管理局和国信办联合下发关于信息安全等级 保护工作的实施意见（66号文件），明确实施等级保护的基本做法。2007年6 月22日又由四单位联合下发信息安全等级保护管理办法（43号文件），规范 了信息安全等级保护的管理。2007年7月20日，公安部、国务院信

14、息办等4 部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”, 部署在全国范围内开展重要信息系统安全等级保护定级工作。2系统定级定级工作2008年国家烟草专卖局下发了国家烟草专卖局办公室关于做好烟草行业 信息系统安全等级保护定级工作的通知文件。我国烟草行业的信息安全等级保 护工作正式开展。该通知要求各烟草行业单位成立工作机构，明确主管部门，确 定安全定级，并对二级以上信息系统进行审核备案。2.1 不同等级的安全保护能力根据国家标准“GB/T 222392008：信息安全技术信息系统安全等级保护 基本要求”，对不同等级的信息系统应具备的基本安全保护能力要求如下：第一级安全保护

15、能力：应能够防护系统免受来自个人的、拥有很少资源的威 胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的 关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量 资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁 所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损 害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、 以及其他相当危害程度的威胁所造成的主要

16、资源损害，能够发现安全漏洞和安全 事件，在系统遭到损害后，能够较快恢复绝大部分功能第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、 以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事 件，在系统遭到损害后，能够迅速恢复所有功能。第五级安全保护能力：（略）。2.2 定级参考根据国家烟草专卖局办公室关于做好烟草行业信息系统安全等级保护定级 工作的通知要求，信息系统定级要符合信息安全等级保护管理办法的规定 和信息系统安全等级保护定级指南的要求。重要信息系统要定为三级，较重 要信息系统要定为二级，

17、一般信息系统定为一级。行业统一联网运行的信息系统 由国家局确定安全保护等级。在行业内作用和功能基本相同的信息系统要确定相 同的安全保护等级。定级的信息系统要具备信息系统基本要素，对于仅作为用户 使用的信息系统不需定级。涉密信息系统按照国家保密工作部门的有关规定进行 定级。根据以上定级相关要求，我们认为在信息系统定级对象中应合理定级，国家 级系统应按照国家级相关要求进行定级。而各省市级自行开发和使用的系统中三 级系统数量建议小于二级定级系统数量。本单位信息系统安全保护等级定级可参照以下定级系统清单（只例举到本单 位涉及的信息系统）：系统名称影响客体侵害程度拟定等级保护级别办公自动化（远程 公文传

18、输）系统企业利益严重损害3级行业卷烟生产经营 决策管理系统公众利益、企业利益严重损害3级网络系统企业利益严重损害3级行业电视会议系统企业利益一般损害2级3等级保护方案设计设计依据本方案主要参考一下标准和依据：国家标准： GB/22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求 信息系统等级保护安全设计技术要求.信安秘字2009059号行业标准： YC/Z204-2006烟草行业信息化标准体系 YC/T4532012烟草行业信息安全体系建设规范YC/T389-2011烟草行业信息系统安全等级保护与信息安全事件的定

19、 级准则行业依据： 烟草系统特大、重大安全事故行政责任追究的规定.国烟法【2001】278 号 烟草行业信息系统技术管理规定（试行）.国烟法【2001】383号 烟草行业网络信息安全事件信息报告制度.国烟办20091343号方案设计321物理安全物理安全方面，绵阳烟厂中心机房已达到B级机房标准，本节只简述，不 必再考虑进行安全建设。321.1 机房环境机房的门、墙壁、天花板以及装修已参照电子信息系统机房设计规范 (GB50174-2008)相关标准规定实施。另外，在电力供应、防雷、防火、温湿度控制、综合布线上均采取有效措施, 具体如下： 已安装冗余电路、配置UPS、供电线路上配置稳压器和过电压

20、防护设备; 已安装防雷系统和接地线、设置防雷保安器； 已安装火灾自动消防系统； 已安装精密空调； 电源线路和通信线路隔离铺设。 已安装机房环境监控系统。321.2 设备与介质管理 心机房在大楼3楼，与信息中心办公区相邻，在其他设备管理方面如下： 关键和敏感的业务信息处理设施已放置在机房安全的区域内； 已安装监控系统和防盗报警系统。 已指定严格的出入管理制度和环境监控制度，在物理上避免未授权访问、 损坏和干扰；网络安全网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全 等。3.2.2.1 网络结构目前，网络结构方面已实现以下几项： 网络设备、关键节点链路均采用冗余部署机制 按部门

21、和行政职能划分了子网网段 关键设备保证了冗余空间 核心和外联带宽充裕 实现了路由控制机制基本满足等级保护第三级要求中对网络结构项的要求，建议通过交换机和路 由器的QoS功能，保证带宽中的业务流量优先级。另外，在行业网出口，建议部署两台链路负载均衡,利用设备专业选路算法, 对提供的两条链路进行流量负载和选路，并提供链路备份、抗DDOS等功能。3.2.2.2 网络边界安全网络边界安全主要通过从访问控制、入侵防范、恶意代码过滤、安全审计、 边界完整性检查等几个方面实现。 访问控制互联网出口处已配备专业防火墙产品，核心交换机配备防火墙模块，通过状 态检测机制对来自外部非法访问进行有效控制。行业网出口未

22、采用安全防护措施，建议部署:Ezr代防火墙以强化网络安全防 护。建议通过专业安全服务人员，对防火墙进行策略加固，在内部利用交换机 ACL功能，访问控制策略需精确到端口级。 入侵防范互联网出口主要采用防火墙的入侵防御模块实现，防护效果和日志功能简 单。在行业网出口、关键服务器区域，未采用入侵防范的技术手段。建议在互联网出口部署下一代防火墙以替换原有防火墙,授权开启入侵防御 模块提供基本的网络入侵防护和持续性攻击防护的能力。规划部署的行业网出口 的下一代防火墙授权开启入侵防御模块,以提供相应防护J同时，针对于服务器 区域应采用检测机制，部署入侵检测系统,以及时预警来自内部的网络入侵行为。 恶意代码

23、防护互联网出口已采用防病毒网关设备，通过专业厂商提供的防病毒过滤引擎和防病毒识别库，能有效抵御传统防火墙无法识别的病毒、木马等恶意程序，有效 拦截用户访问的含有恶意程序网页链接。行业网出口未采用恶意代码防护措施。由于等级保护相关要求，安全防护设备必须采用具有国有知识产权的品牌和 厂商，同时考虑成本节约和统一管理的需求，在互联网出口和行业出口，可开启 下一代防火墙的陵病毒模块以达到原有的恶意代码防护要求。 安全审计互联网出口处已采用上网行为管理设备，并按照公安82号令要求，提供对 终端用户的上网行为安全审计。在网络内部，提供一台网络审计设备，但未有效 使用。建议加强对上网行为管理设备的日常升级维

24、护，同时合理利用现有网络审 计，加强策略配置。 边界完整性检查边界完整性检查主要开展两方面的工作：1、防止外部终端非法接入到企业 内部；2、在特定的区域，避免内部终端私自外接其他网络；现企业未在此方面 建立基本的安全机制。建议通过部署网络准入认证网关，外来访客必须经过合规检查和认证机制后 方能接入内部网络，同时对其访问区域按照接入对象进行有效控制；另外，针对 特定区域和部门，应在终端部署内网安全管理系统,保证其唯一出口路径。3.2.2.3 网络设备自身安全目前，在网络中的网络设备已具备基本的安全机制功能，但未能有效利用。 另外，对网络设备的访问主要采用静态用户名+密码的方式，极易产生安全管理 问题。建议通过专业安全服务人员对网络设备进行安全配置核查，提供配置文件定 时备份功能；考虑到日常的安全运维，应部署智能运维网关,将重要的网络设备 认证帐号进行回收并统一管理，所有网络管理员只能通过智能运维网关对网络设 备进行访问。在智能运维网关进行认证时，按需可提供如Ukey+静态密码的双因 素认证机制，以提高实现越权操作的门槛。