《引绰济辽工程网络安全等级保护建设方案.doc》由会员分享,可在线阅读,更多相关《引绰济辽工程网络安全等级保护建设方案.doc(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、引绰济辽工程网络安全等级保护建设方案目 录目 录I1. 项目概述11.1. 项目概述11.2. 项目建设背景11.2.1. 法律依据11.2.2. 政策依据21.3. 项目建设目标及内容31.3.1. 建设目标31.3.2. 建设内容42. 方案设计说明62.1. 设计依据62.2. 设计原则62.2.1. 分区分域防护原则62.2.2. 均衡性保护原则62.2.3. 技管并重原则72.2.4. 动态调整原则72.2.5. 三同步原则72.3. 设计思路72.4. 设计框架93. 安全现状及需求分析93.1. 安全需求分析93.1.1. 物理环境安全需求103.1.2. 通信网络安全需求113
2、.1.3. 区域边界安全需求113.1.4. 计算环境安全需求133.1.5. 安全管理中心安全需求143.1.6. 安全管理制度需求143.1.7. 安全管理机构需求143.1.8. 安全管理人员需求153.1.9. 安全建设管理需求153.1.10. 安全运维管理需求164. 技术体系设计方案174.1. 技术体系设计框架174.2. 安全技术防护体系设计174.2.1. 安全通信网络防护设计174.2.2. 安全区域边界防护设计24.2.3. 安全计算环境防护设计34.2.4. 安全管理中心设计75. 管理体系设计方案75.1. 管理体系设计目标75.2. 管理体系设计框架85.3. 安
3、全管理防护体系设计85.3.1. 安全管理制度设计85.3.2. 安全管理机构设计95.3.3. 安全管理人员设计95.3.4. 安全建设管理设计105.3.5. 安全运维管理设计116. 产品清单与部署拓扑16.1. 总体规划拓扑16.2. 产品清单及部署区域17. 方案收益28. 公司及服务介绍58.1. 公司介绍58.2. 相关资质68.3. 售后服务88.3.1. 服务优势88.3.2. 服务支持101. 项目概述1.1. 项目概述引绰济辽工程是一项从嫩江支流绰尔河引水到西辽河,向沿线城市及工业园区供水的大型引水工程,是缓解内蒙古自治区东部西辽河流域严重缺水状况,促进区域水资源优化配置
4、和蒙东地区经济社会可持续发展的一项大型引水工程,是国务院确定的“十三五”期间实施的172项节水供水重大水利工程之一。实施引绰济辽工程,通过文得根水库调节绰尔河来水,可改善绰尔河下游农业灌溉条件,向输水沿线城市及工业园区供水,可缓解通辽市地下水超采状况,对促进蒙东地区经济社会可持续发展、改善少数民族地区生产生活条件、促进区域生态环境修复进程等具有重要意义。引绰济辽调水工程由文得根水利枢纽及输水工程两部分组成,水源工程为文得根水利枢纽,输水工程为文得根水利枢纽至西辽河流域通辽市科尔沁区莫力庙水库输水主干线工程,工程规模为大(1)型,工程等别为等。文得根水利枢纽地处嫩江支流绰尔河流域中游,坝址位于内
5、蒙古自治区兴安盟扎赉特旗音德尔镇上游90公里处,是绰尔河流域的骨干性控制工程。输水工程全长390.263公里,自北向南穿越洮儿河、霍林河,涉及兴安盟、通辽市,采用自流的方式输水,最终到达西辽河干流通辽市的莫力庙水库。工程总体布置方案为:水库枢纽河床布置拦河主坝,右岸布置岸边溢洪道,左岸垭口布置副坝和鱼道,左岸山体布置引水发电系统和导流洞,引水发电压力钢管岔管后接灌溉兼生态放水管;输水工程取水口布置在坝址右岸上游约3.2公里处。主坝采用粘土心墙砂砾石坝,坝顶长度为1358.00米,坝顶高程为381.44米,坝顶宽度为8米,最大坝高47.94米。输水工程由取水口、隧洞、暗涵、倒虹吸、压力管道及其附
6、属建筑物等组成,输水线路总长约390.263公里,共布置隧洞6座,长约173.757公里;倒虹吸2座,长约6.368公里;暗涵3座,长约3.59公里;PCCP管12段、管线总长约203.811公里;压力钢管5段、总长约6.13公里。文得根水利枢纽主坝、岸坡溢洪道、副坝及鱼道防洪闸为1级建筑物。承担有灌溉任务的电站进水口、引水发电隧洞建筑物级别为2级。电站厂房建筑物级别为3级。鱼道提升建筑物级别为3级。粘土心墙砂砾石坝、岸坡溢洪道、副坝、鱼道防洪闸校核洪水标准采用5000年一遇(P=0.02%);设计洪水标准采用500年一遇(P=0.2%)。引水式发电系统及其附属建筑物设计洪水标准采用50年一遇
7、(P=2%),校核洪水标准采用100年一遇(P=1%);根据厂房建筑物设计洪水标准采用100年一遇(P=1%),校核洪水标准采用200年一遇(P=0.5%)。溢洪道消能防冲的设计洪水标准为100年一遇(P=1%)。溢洪道边坡级别为1级,发电厂房及开关站上游边坡级别为4级,引水发电系统进水口边坡级别为2级,鱼道边坡级别为4级。枢纽工程区及输水线路桩号T295+000以前场地地震基本烈度为6度,后段通辽附近输水线路基本烈度为7度,大坝为1级壅水建筑物,抗震设计烈度提高1度为7度;其他建筑物按地震基本烈度设防。工程施工总工期为56个月,设计最大年调水量4.88108m3。工程开发任务为:从嫩江支流绰
8、尔河引水至西辽河下游通辽市,向沿线城市和工业园区供水,结合灌溉,兼顾发电等综合利用;工程的受水区范围为通辽市政府所在地科尔沁区、兴安盟府所在地乌兰浩特市,两盟市所辖的开鲁县、扎鲁特旗、科左中旗、科左后旗,科右前旗、科右中旗、突泉县等七个旗县城区,以及通辽经济技术开发区、兴安盟经济技术开发区等11个工业园区。工程自文得根水库多年平均引水4.54亿立方米,计入输水损失后,骨干工程末端多年平均供水量为4.36亿立方米。按行政区划,分配兴安盟为1.49亿立方米,通辽市为2.87亿立方米。文得根水库死水位为351米,正常蓄水位为377米,设计洪水位为377.7米,校核洪水位为379.8米,水库总库容19
9、.64亿立方米;电站装机容量为36兆瓦。输水工程总体布局为:以文得根水利枢纽为水源,自北向南穿过洮儿河、霍林河,供水至西辽河流域通辽市的莫力庙水库,线路全长约390.263公里;输水工程渠首设计流量为18.58立方米每秒,乌兰浩特至通辽段起点处设计流量为14.17立方米每秒,输水工程末端(入莫力庙水库)设计流量为8.83立方米每秒。随着信息化的普及,信息系统的基础性、全局性日益突出,信息资源已成为重要的战略资源之一,保障信息安全成为信息化发展中的重要课题。然而现实中存在信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信
10、息安全监督管理缺乏依据和标准;监管措施有待到位,监管体系尚待完善。安全等级测评的目的是通过对目标系统在安全技术及管理方面的测评,对目标系统的安全技术状态及安全管理状况做出初步判断,给出目标系统在安全技术及安全管理方面与其相应安全等级保护要求之间的差距,测评结论作为进一步完善系统安全策略及安全技术防护措施依据。按照等级保护相应标准的要求,对系统的安全风险点进行安全加固。1.2. 项目建设背景1.2.1. 法律依据1994年中华人民共和国计算机信息系统安全保护条例(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门
11、制定”。2017年网络安全法第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。网络安全法的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面
12、实施。1.2.2. 政策依据2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。2004年7月3日审议通过的关于信息安全等级保护工作的实施意见(公通字200466号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和
13、促进信息化建设健康发展的一项基本制度。自2007年信息安全等级保护管理办法(公通字200743号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,国务院关于推进信息化发展和切实保障信息安全的若干意见(国发201223号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。除此之外,下列政策文件也对等级保护相关工作提出了要求: 关于开展信息系统安全等级保护基础调查工作的通知(公信安20051431号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号) 关于加强国家电子政务工程建设项目信息安全风险评估工
14、作的通知(发改高技20082071号) 国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技20082544号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号) 关于进一步推动中央企业信息安全等级保护工作的通知(公通字201070号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号) 关于进一步加强国家电子政务网络建设和应用工作的通知(发改高技20121986号) 全国人民代表大会常务委员会关于加强网络信息保护的决定(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过) 网络安全
15、等级保护条例(征求意见稿) (2018年6月)1.3. 项目建设目标及内容1.3.1. 建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。依据网络安全等级保护相关标准和指导规范,对引绰济辽工程单位信息系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
16、依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。最终使引绰济辽工程互联网系统达到安全等级保护第三级要求。经过建设后,使整个网络形成一套完善的安全防护体系,提升整体网络安全防护能力。对于三级网络,经过安全建设整改,网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能
17、力;遭到损害后,具有能够较快恢复正常运行状态的能力; 对于服务保障性要求高的网络,应该能够快速恢复正常运行状态; 具有对网络资源、用户、安全机制等进行集中控管的能力。1.3.2. 建设内容引绰济辽工程开展等保建设的主要工作任务包括:定级备案、建设与整改、等级测评、安全管理与运维等等。等保测评是按照系统来测评的,因此我们以引绰济辽工程业务系统来做说明。引绰济辽工程业务系统要达到等保三级要求,需要具备对抗来自大型的、有组织的团体(如商业情报组织或犯罪组织等)发起的恶意攻击,可以应对较为严重的自然灾难、内部人员的恶意威胁、设备的较严重故障(如宕机、硬盘损坏等),并在威胁发生后,能够很快恢复绝大部分功
18、能。三级系统等保建设步骤包括:1、系统识别。引绰济辽工程对执法记录仪系统进行深入的识别和描述,包括系统基本信息、系统所涵盖的信息资产范围、使用者和管理者范围、行政和网络区域范围等。2、风险评估。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,全面分析业务系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成风险评估报告。3、方案设计与评审。根据风险评估及差距分析情况,结合业务系统安全实际需求和建设目标,制定完整的等级保护安全建设方案,组织信息安全技术专家委员会对方案进行论证、评审。4、整改建设。整改建设内容包括:(1)安全域划分。通过安全域划分,实现对不同系统的差异
19、防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。(2) 边界安全防护。主要防护手段包括防火墙、入侵防御、WEB应用防火墙等等,等保三级要求终端防恶意代码软件与边界网关设备异构部署。为了达到更高的安全性,防火墙和UTM网关也可以采用异构模式部署。(3) 网络环境安全防护。网络环境安全防护建设可有效阻止恶意人员通过网络对应用系统进行攻击,同时阻止对网络设备的攻击。可以通过日志审计系统(SOC)汇集各类安全事件和设备日志,及时发现攻击意图和系统异常,进行事
20、件追踪、事件源定位以定位恶意人员位置,尽早发现网络、主机、操作系统、中间件、数据库、业务应用、机房等IT设施的异常并实时报警以便迅速处置。(4) 备份与恢复。备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。对于核心交换设备、外部接入链路以及系统服务器采用双机、双线的冗余结构,保障系统不间断运行的需要。(5)身份鉴别。业务系统应按照信息安全等级保护制度等要求,采用堡垒机满足等保要求。 5、等级测评。委托相关权威测评机构,依据国家信息安全等级保护制度规定,根据等保测评相关标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保
21、护状况进行全面测试与综合评估。三级信息系统每年要至少进行一次信息安全等级测评。为提升通过率,可首先选择专业安全公司进行辅助测评,在正式测评时选择具有等级保护测评资质的合法测评机构进行测评,并出具测评报告。6、安全运维。引绰济辽工程应该按照PDCA持续改进的工作机制,在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保障,确保系统稳定、安全的运行,并使整个系统随着环境的变化达到持续的安全。2. 方案设计说明2.1. 设计依据本方案是根据2019年5月13日最新发布的GB/T 22239-2019信息安全技术 网络安全等级保护基本要求的安全通用要求和安全目标,参照GB/T 2507
22、0-2019信息安全技术 网络安全等级保护安全设计技术要求 的通用设计技术要求,针对第三级系统而提出的安全保护等级设计方案。除上述两个标准外,还参考了如下相关标准: 信息技术 安全技术 信息安全管理体系要求(ISO/IEC 27001:2013) 信息技术 安全技术 信息安全控制实用规则(ISO/IEC 27002:2013) 计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术 信息安全风险评估规范(GB/T 20984-2007) 信息安全技术 信息系统安全等级保护定级指南(GB/T 222402008) 网络安全等级保护定级指南(GA/T 1389-2017)
23、信息安全技术 信息系统安全等级保护实施指南(GB/T 25058-2010) 信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019) 信息安全技术 网络安全等级保护测评过程指南(GB/T 28449-2018)2.2. 设计原则2.2.1. 分区分域防护原则任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个网络,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。2.2.2. 均衡性保护原则对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求、安全风险与安全保护代价的关系。因此,结合
24、适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。2.2.3. 技管并重原则网络安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。因此在考虑网络安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合,坚持管理与技术并重,从而保障网络安全。2.2.4. 动态调整原则由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全保护措施,加强安全防护力度,以适应新的网络安
25、全环境,满足新的网络安全需求。当安全保护等级需要变更时,应当根据等级保护的管理规范和技术标准的要求,重新确定网络安全保护等级,根据调整情况重新实施安全保护。2.2.5. 三同步原则网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施,确保其具有支持业务稳定、持续运行性能的同时,保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。3. 安全现状及需求分析3.1. 安全需求分析根据等级保护三级相关要求,引绰济辽工程互联网区建设都应符合等级保护三级的业务系统应满足以下安全需求。3.1.
26、1. 物理环境安全需求物理环境安全主要影响因素包括机房环境、机柜、电源、通信线缆和其他设备的物理环境。该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。具体安全需求如下: 由于机房容易遭受雷击、地震和台风和暴雨等自然灾难威胁,需要考虑机房场地位置的选择,以及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题; 由于机房容易遭受水患和火灾等灾害威胁,需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁; 由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常,应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁; 由于机房电压波动影响,需要合理
27、设计电力供应系统来解决因电压波动带来的安全威胁; 针对机房供电系统故障,需要合理设计电力供应系统,如:购买UPS系统、建立发电机机房,铺设双电力供电电缆来保障电力的供应,来解决因供电系统故障带来的安全威胁; 针对机房容易遭受静电和线缆电磁干扰,需要采取防静电和电磁防护措施来解决静电和线缆电磁干扰带来的安全威胁;并对关键设备采取电磁屏蔽措施; 针对利用非法手段进入机房内部盗窃、破坏等安全威胁,需要通过采取物理区域访问控制及监控报警装置等控制措施,来解决非法手段进入机房内部盗窃、破坏等带来的安全问题; 针对利用工具捕捉电磁泄漏的信号,导致信息泄露的安全威胁,需要通过采取防电磁措施,来解决电磁泄漏带
28、来的安全问题。3.1.2. 通信网络安全需求通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的安全部件。是利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。引绰济辽工程信息系统所在的生产网,入口为百兆级带宽充分满足目前所有系统之间的互联需求,接入区域有路由器、交换机、防火墙等设备,办公网到生产网之间防火墙未配置策略。办公网区域未部署堡垒机。 对网络拓扑进行查看,发现依据网络安全防护要求,目前拓扑图就主要存在以下问题: 1、信息网络内设备之间的访问数据、服务、端口和协议等没有监控手段; 2、信息网络没有部署网络安全监
29、测设备,对网络内 TCP/IP 协议和工控协议的异常流量、异常协议和入侵行为等进行检测,发现利用漏洞或关键指令进行攻击的行为; 3、无线网络的使用控制没有对所有使用无线通信的终端设备提供唯一性标识和鉴别措施,没有提供无线连接的授权、监控以及权限控制措施,没有无线安全检测、防护措施,识别和阻断未经授权无线设备接入信息网络的行为,没有对无线扫描、无线破解、无线 Dos 等攻击行为的检测和阻断能力; 4、目前存在大量的交换机可以使用 telnet 进行远程访问,存在较大安全隐患; 5、目前办公区域未部署堡垒机; 6、与单位外部进行数据交互的线路边界 WAF 未部署策略; 7、信息系统中控室或操作站无
30、终端准入控制措施;引绰济辽工程网络安全;8、信息系统重要系统未将人员的操作行为的日志进行留存; 9、信息系统核心交换没有主备,存储没有异地备份。 3.1.3. 区域边界安全需求区域边界包括安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,区域边界安全即各网络安全域边界和网络关键节点可能存在的安全风险。需要把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。各类网络设备、服务器、管理终端和其他办公设备系统层的安全风险。主要涵盖两个方面,一是来自系统本身的脆弱性风险;另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下: 针对内部人
31、员未授权违规连接外部网络,或者外部人员未经许可随意接入内部网络而引发的安全风险,以及因使用无线网络传输的移动终端而带来的安全接入风险等问题,需要通过违规外联、安全准入控制以及无线安全控制措施来解决。 针对跨安全域访问网络的行为,需要通过基于应用协议和应用内容的细粒度安全访问控制措施来解决,以实现网络访问行为可控可管。 针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务或服务停止的安全风险,需要通过抗DDoS攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。 针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如碎片重组,协议端口重
32、定位等),尤其是新型攻击行为,需通过网络入侵检测和防范等技术措施来解决。 针对通过恶意代码传播对主机、应用系统和个人隐私带来的安全威胁,需要通过恶意代码防护技术手段解决。 针对邮件收发时遭受恶意代码攻击的安全风险,需要通过垃圾邮件防护等技术手段解决。 针对违规越权操作、违规访问网络等用户行为,需要采取安全审计手段来实现安全事件的有效追溯和用户行为的审计分析。 针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁,边界设备需要通过采取动态可信验证机制来确保程序运行安全可信,从而保障业务系统安全可信。3.1.4. 计算环境安全需求计算环境安全涉及业务应用系统及重要数据处理、存储的安全问题。具体安全
33、需求如下:引绰济辽工程信息系统主机主要包括应用服务器、数据库服务器、存储服务器,除存储服务器外互为主备。其中应用服务器 6 台、数据库服务器 2 台、存储服务器 1 台。引绰济辽工程信息系统主机主要包括应用服务器、数据库服务器、存储服务器,除存储服务器外互为主备。其中应用服务器 6 台、数据库服务器 2 台、存储服务器 1 台。本次信息系统风险评估抽查所用的主机设备如下: l HIS 系统应用服务器 l EMR 系统应用服务器 l Pacs 应用服务器 l Pacs 应用服务器 l 体检应用服务器 l 智能患者服务医用服务器 l HIS 系统数据服务器 l EMR 系统数据服务器 1、目前信息
34、系统服务器无法对操作系统的日志进行留存和审计分析,当事件发生时无法进行追查、定责及审计; 2、对日后操作系统服务器本身出现的新漏洞没有相应的措施进行排查,对主机安全漏洞无法进行主动发现和管控; 3、对各人员登录服务器的路径、IP、操作过程、使用工具的均未进行限制,需要部署服务器端管理的相应措施; 4、所有服务器部署在 vmware 虚拟平台,缺少对虚拟平台的进行有效防护;引绰济辽工程网络安全风险评估报告 5、服务器未进行安全加固3.1.5. 安全管理中心安全需求 针对系统管理员、审计管理员、安全管理员的违规操作行为,需要采取角色权限控制、身份鉴别、安全审计等技术手段对其操作行为进行限定,并对其
35、相关操作进行审计记录。 针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析,以及集中安全策略分发、恶意代码特征库、漏洞补丁升级等安全管理问题,需要通过集中安全管控和集中监测审计机制来解决。 针对应用系统过度使用服务器内存、CPU等系统资源的行为,需要对应用软件进行实时的监控管理,同时对系统资源进行管控来解决。 针对设备违规操作或多通路运维带来的安全风险,需要对指定管理区域及安全管控通路。3.1.6. 安全管理制度需求安全管理制度涉及安全方针、总体安全策略、安全管理制度体系、评审与修订管理等方面。其安全需求如下: 需要制定信息安全工作的总体方针、政策性文件和安全策略等,说
36、明机构安全工作的总体目标、范围、方针、原则、责任等; 需要指定专门的部门对管理活动进行制度化管理,制定相应的制度和操作流程并正式发布; 需要定期对安全管理制度进行评审和修订,不断完善、健全安全制度。3.1.7. 安全管理机构需求安全管理机构涉及安全部门设置、人员岗位设置、人员安全管理等方面。其安全需求如下: 需要组建网络安全管理领小组,并设立专门的安全管理工作职能部门,设置相应的管理岗位,配备安全管理人员、审计管理员、系统管理员; 需要建立审批制度,根据岗位职责开展审批和授权相关工作; 需要建立协调机制,就信息安全相关的业务进行协调处理; 需要建立审核和检查部门,安全人员定期的进行全面的安全检
37、查; 需要建立恰当的联络渠道,进行沟通和合作,进行事件的有效处理; 需要建立审核和检查的制度,对安全策略的正确性和安全措施的合理性进行审核和检查。3.1.8. 安全管理人员需求 需要对人员的录用进行必要的管理,确保人员录用的安全; 需要对人员离岗进行有效的管理,确保人员离岗不会带来安全问题; 需要对人员考核进行严格的管理,提高人员安全技能和安全意识; 需要对人员进行安全意识的教育和培训,提高人员的安全意识; 需要对外部人员进行严格控制,确保外部人员访问受控区域或接入网络时可控可管,并签署保密协议。3.1.9. 安全建设管理需求安全建设管理涉及定级备案管理、安全方案设计、产品采购和使用、软件开发
38、管理、安全集成建设、测试验收交付、等级测评以及服务商选择等方面。其安全需求如下: 需要建立备案管理制度,对系统的定级进行备案; 需要具有总体安全方案设计、方案评审的流程和管理能力; 产品采购符合国家有关规定,密码算法和密钥的使用需符合国家密码管理的规定; 需要有专人对工程实施过程进行管理,依据工程实施方案确保安全功能的落地,实施过程需要有第三方工程监理来共同控制实施质量; 需要制定软件开发的相关制度和代码编写规范,并对源代码的安全性进行检测; 需要建立产品采购、系统测试和验收制度,确保安全产品的满足项目安全需求和功能需求,尤其是密码应用的安全性; 需要与符合国家的有关规定的服务供应商签订协议;
39、 需要每年组织开展等级测评并及时整改; 需要在工程实施过程中做好文档管理工作,并在系统交付时提供完整的资料交付清单,对运维人员进行技能培训; 需要提供建设过程文档和运行维护文档; 需要选择符合国家有关规定的服务供应商,并对服务情况进行定其评审和审核。3.1.10. 安全运维管理需求安全运维管理涉及环境管理、资产管理、系统安全运行维护管理、配置与变更管理、安全事件处置及应急响应管理等方面。其安全需求如下: 需要保证机房具有良好的运行环境; 需要建立机房安全管理制度来规范物理访问、物品进出和环境安全; 需要对信息资产进行分类标识、规范化管理; 需要对各种软硬件设备的选型、采购、使用和保管等过程进行
40、控制; 需要各种网络设备、服务器正确使用和维护; 需要采取措施对安全漏洞和隐患进行识别,并及时修补; 需要对网络、操作系统、数据库系统和应用系统进行安全管理; 需要定期地对通信线路进行检查和维护; 需要对恶意代码防范有效性进行验证; 需要对运维工具的使用和远程运维的权限进行管理控制; 需要硬件设备、存储介质存放环境安全,对其使用进行控制和保护; 需要对支撑设施、硬件设备、存储介质进行日常维护和管理; 需要对系统使用手册、维护指南等工具文档进行管理; 需要规范配置管理和变更管理流程; 需要在事件发生后能采取积极、有效的应急策略和措施; 需要建立应急响应机制来应对突发事件,做好应急预案并进行演练;
41、 需要与符合国家有关规定的外包运维服务商签订相关协议,并明确运维服务能力要求。3.2. 设计思路参考网络安全等级保护安全设计技术要求,本方案的设计思路如下: 根据系统定级的结果,明确该等级对应的总体防护措施; 根据系统和子系统划分结果、安全定级结果,将保护对象归类,并组成保护对象框架; 根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架中; 根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上; 根据由威胁引出的等级保护基本要
42、求、等级保护实施过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边界和安全域互联策略; 根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施;根据安全技术体系和安全管理体系的划分,各安全措施共同组成了安全措施框架; 根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分;各安全区域将保护对象框架划分成不同部分,即各安全措施发生作用的保护对象集合。 根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设计安全解决方案。3.3. 设计框架4. 技
43、术体系设计方案4.1. 技术体系设计框架在“一个中心、三重防护”的理念的基础上,进行全方位的主动防御、安全可信、动态感知和全面审计。4.2. 安全技术防护体系设计4.2.1. 安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项,结合通信网络安全审计、通信网络数据传输完整性/保密性保护、可信连接验证等安全设计要求,安全通信网络防护建设主要通过网络架构设计、安全区域划分、流量均衡控制、通信网络安全传输、通信网络安全接入,及通信网络安全审计等机制实现。4.2.1.1. 网络架构及安全区域设计4.2.1.1.1. 网络架构设计网络层架构设计应重点关注以下方面: 主要网络设备、安全
44、设备(如核心交换机、核心路由器、关键节点安全设备等)的业务处理能力应能满足业务高峰期需要,保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构,以满足业务连续性需求。 网络带宽应能满足业务高峰期的需求,保证各业务系统正常运行的基本带宽。 划分不同的子网,按照方便管理和控制的原则为各子网、网段分配地址段。 避免将重要网络区域部署在网络边界处且没有边界防护措施。4.2.1.1.2. 安全区域划分安全区域通常也称“安全域”,通常是由安全计算环境和安全区域边界组合形成。具体而言,安全域是指同一系统内有相同的安全保护需求、相互信任,并且具有相同的访问控制和边界控制策略的子网或网络。同
45、时,安全域还可以根据其更细粒度的防护策略,进一步划分安全子域,以便能够落实重点防护思想,形成重要资源重点保护的策略方针。安全域及安全子域划分时应重点考虑以下要素: 各业务系统/子系统在同一个管理机构的管理控制之下,保证遵循相同的安全策略; 各业务系统/子系统具有相似的业务类型或相似的用户群体,安全需求相近,保证遵循相同的安全策略; 各业务系统/子系统具有相同的物理位置或相似的运行环境,有利于采取统一的安全保护机制; 各业务系统/子系统面临相似的安全威胁,需采用相似的安全控制措施来保证安全性;- 37 -4.2.1.2. 带宽流量负载管理考虑到网络架构中业务应用系统带宽分配和处理能力需要,以及针
46、对业务应用系统中资源控制要求,通过防火墙的负载均衡功能能够有效支撑网络链路负载,保障流量带宽资源的合理管控。4.2.1.3. 通信网络安全传输考虑到未来分支机构及远程移动办公相关需求,通信安全传输方面应能够满足业务处理安全保密和完整性需求,避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。通过防火墙采用VPN技术而形成加密传输通道,即能够实现对敏感信息传输过程中的信道加密,确保信息在通信过程中不被监听、劫持、篡改及破译;保证通信传输中关键数据的的完整性、可用性。4.2.1.4. 远程安全接入防护针对有远程安全运维需求,或者远程安全访问需求的终端接入用户而言,应采用防火墙和堡垒机建立安
47、全接入技术来满足远程访问或远程运维的安全通信要求,保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。4.2.1.5. 通信网络安全审计考虑到日常办公的业务流量保障需求及日常工作员工上网的应用管控及敏感信息防外泄需求,应部署上网行为管理系统启用/设置安全审计功能,将用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。4.2.2. 安全区域边界防护设计依据等级保护要求第三级中安全区域边界相关控制项,结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护及可信验证等安全设计要求,安全区域