等级保护技术方案样本.docx
- 文档编号:13992991
- 上传时间:2023-06-19
- 格式:DOCX
- 页数:13
- 大小:172.22KB
等级保护技术方案样本.docx
《等级保护技术方案样本.docx》由会员分享,可在线阅读,更多相关《等级保护技术方案样本.docx(13页珍藏版)》请在冰点文库上搜索。
等级保护技术方案样本
信息系统级别保护建设
指引规定
(三级)
1.方案设计规定
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.方案设计思想
2.9.1.构建符合信息系统级别保护规定安全体系构造
平台安全建设需要在整体信息安全体系指引下进行实行,保证信息安全建设真正发挥效力。
随着计算机科学技术不断发展,计算机产品不断增长,信息系统也变得越来越复杂。
从体系架构角度看,任何一种信息系统都由计算环境、区域边界、通信网络三个层次构成。
所谓计算环境就是顾客工作环境,由完毕信息存储与解决计算机系统硬件和系统软件以及外部设备及其连接部件构成,计算环境安全是信息系统安全核心,是授权和访问控制源头;区域边界是计算环境边界,对进入和流出计算环境信息实行控制和保护;通信网络是计算环境之间实现信息传播功能某些。
在这三个层次中,如果每一种使用者都是通过认证和授权,其操作都是符合规定,那么就不会产生袭击性事故,就能保证整个信息系统安全。
2.9.2.建立科学实用全程访问控制机制
访问控制机制是信息系统中敏感信息保护核心,根据《计算机信息系统安全保护级别划分准则》(GB17859-1999)(如下简称GB17859-1999):
三级信息系统安全保护环境设计方略,应“提供关于安全方略模型、数据标记以及主体对客体强制访问控制”有关规定。
基于“一种中心支撑下三重保障体系构造”安全保护环境,构造非形式化安全方略模型,对主、客体进行安全标记,并以此为基本,按照访问控制规则实现对所有主体及其所控制客体强制访问控制。
由安全管理中心统一制定和下发访问控制方略,在安全计算环境、安全区域边界、安全通信网络实行统一全程访问控制,制止对非授权顾客访问行为以及授权顾客非授权访问行为。
2.9.3.加强源头控制,实现基本核心层纵深防御
终端是一切不安全问题根源,终端安全是信息系统安全源头,如果在终端实行积极防御、综合防范,努力消除不安全问题根源,那么重要信息就不会从终端泄露出去,病毒、木马也无法入侵终端,内部恶意顾客更是无法从网内袭击信息系统安全,防范内部顾客袭击问题迎刃而解。
安全操作系统是终端安全核心和基本。
如果没有安全操作系统支撑,终端安全就毫无保障。
实现基本核心层纵深防御需要高安全级别操作系统支撑,以此为基本实行深层次人、技术和操作控制。
2.9.4.面向应用,构建安全应用支撑平台
在当前信息系统中,不但涉及单机模式应用,还涉及C/S和B/S模式应用。
虽然诸多应用系统自身具备一定安全机制,如身份认证、权限控制等,但是这些安全机制容易被篡改和旁路,致使敏感信息安全难以得到有效保护。
此外,由于应用系统复杂性,修改既有应用也是不现实。
因而,在不修改既有应用前提下,以保护应用安全为目的,需要构筑安全应用支撑平台。
本方案拟采用安全封装方式实现相应用服务访问控制。
应用服务安全封装重要由可信计算环境、资源隔离和输入输出安全检查来实现。
通过可信计算基本保障机制建立可信应用环境,通过资源隔离限制特定进程对特定文献访问权限,从而将应用服务隔离在一种受保护环境中,不受外界干扰,保证应用服务有关客体资源不会被非授权顾客访问。
输入输出安全检查截获并分析顾客和应用服务之间交互祈求,防范非法输入和输出。
2.10.建设原则
信息系统安全建设项目依托既有网络环境,基于严格管理架构及信息系统运营模式。
要实现信息安全整体体系及安全联动机制统一规划,需要严格遵循一定建设原则与原则。
重要涉及:
●需求、风险、代价平衡分析原则
●综合性、整体性原则
●易操作性原则
●多重保护原则
●可评价性原则
考虑到信息系统安全建设依托单位网络信息中心实现系统管理和运维,其直接实现信息安全管理与技术建设。
需要在网络信息中心统一规划指引下开展信息安全建设。
建议按照“统一规划、分步实行”原则,针对单位内管理及使用各信息系统按安全级别划分后进行信息安全级别保护统一规划设计与分步建设实行。
参照信息系统(三级)技术设计思路和建设内容,遵循级别保护有关原则和规定,按照等保相应级别系统安全规定,进行信息安全级别保护规划设计。
2.11.参照原则
《中华人民共和国计算机信息系统安全保护条例》(国务院14号令)
《国家信息化领导小组关于加强信息安全保障工作意见》(中办发[]27号)
《关于信息安全级别保护工作实行意见》(公通字[]66号)
《信息安全级别保护管理办法》(公通字[]43号)
《计算机信息系统安全保护级别划分准则》(GB17859-1999)
《信息系统安全级别保护定级指南》
《信息系统级别保护安全设计技术规定》(GB/T25070-)
《信息系统安全级别保护基本规定》(GB/T22239-)
《信息系统安全级别保护实行指南》
《信息系统安全级别保护测评规定》
《信息安全技术操作系统安全评估准则》(GB/T9-)
《信息安全技术信息系统安全管理规定》(GB/T20269-)
《信息安全技术网络基本安全技术规定》(GB/T20270-)
《信息安全技术信息系统通用安全技术规定》(GB/T20271-)
《信息安全技术操作系统安全技术规定》(GB/T20272-)
《信息安全技术数据库管理系统安全技术规定》(GB/T20273-)
2.12.建设内容
平台安全基本涉及到如下方面:
作为海量数据解决平台,平台安全控制要做到如下:
●安全可靠:
可以有效屏蔽恶意访问
●可伸缩:
可以随着规模扩大,无需更改架构就可以支持
●易于管理:
支持大规模分布式管理,单入口就可以管理所有设备和系统及应用安全
以便顾客:
不能由于安全规定高,而减少了顾客交互和谐度
2.13.安全拓扑示意图
布置阐明:
1、网络边界布置抗DDos系统,防护外部僵尸主机对网络及业务系统袭击,保障网络高可用性;
2、布置边界防火墙设备,并启动VPN模块,防护来自外部安全威胁及访问控制,并对网络间传播数据进行加密;
3、布置入侵防护系统,避免业务系统遭受来自外部入侵袭击;
4、在虚拟化平台布置安装虚拟防火墙,对东西向流量进行防护,及各VM间进行隔离。
2.14.详细设计方案
2.14.1.计算环境安全设计
计算环境安全是整个安全建设核心和基本。
计算环境安全通过终端、应用服务器和数据库安全机制服务,保障应用业务解决全过程安全。
系统终端和服务器通过在操作系统核心层和系统层设立以强制访问控制为主体系统安全机制,形成严密安全保护环境,通过对顾客行为控制,可以有效防止非授权顾客访问和授权顾客越权访问,保证信息和信息系统保密性和完整性,从而为业务系统正常运营和免遭恶意破坏提供支撑和保障。
2.14.1.1.系统安全加固
1)操作系统加固:
进行操作系统裁剪,只安装满足业务需求“最小操作系统”
2)加强安全基线配备
3)数据库加固:
操作系统和数据库程序数据文献安装在不同分区上;在非系统卷上安装数据库程序和文献;只安装业务需要组件,不安装如升级工具、开发工具、代码示例、联机丛书等不必要组件;限制客户端计算机连接到数据库服务器所可以使用合同范畴,并保证这些合同安全性,如限制只使用TCP/IP合同;限制客户端计算机连接到数据库服务器所使用特定端口,不使用默认端口。
2.14.1.2.系统安全审计
计算环境各区域中安全控制点,涉及防火墙、IPS、防病毒网关等设备功能审计模块记录系统有关安全事件。
审计记录涉及安全事件主体、客体、时间、类型和成果等内容。
审计管理平台提供审计记录查询、分类、分析和存储保护,对特定安全事件进行报警,同步终端安全加固系统可以保证审计记录不会被非授权顾客访问。
2.14.1.3.顾客数据完整性保护
在VPN设备安全功能支撑下,对通过网络传播数据进行校验、保证重要数据在网络传播过程中完整性。
2.14.2.区域边界安全设计
安全区域边界是对定级系统安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接功能进行安全保护部件。
2.14.2.1.区域边界访问控制
防火墙在安全区域边界实行相应访问控制方略,对进出安全区域边界数据信息进行控制,制止非授权访问。
规定:
1)网络构架设计上应依照web服务器、应用服务器及数据库服务器重要性和所涉及信息重要限度等因素,运用防火墙划分在不同网段,避免将应用服务器及数据库服务器等信息系统核心服务器布置在网络边界处,不可将此类服务器直接连接外部信息系统。
重要服务器与其她网段之间通过采用可靠技术隔离手段;信息系统服务器只开放web服务有关端口,关闭其他服务及端口。
依照信息系统服务详细内容,可以开放如下端口:
端口
服务
25
邮件发送服务
110
POP邮件服务
80
信息系统服务
443
安全信息系统服务
2)流量控制设备对网络流量进行实时监控和合理限制,保证网络带宽和业务服务持续可用。
3)抗回绝服务系统有效防范回绝服务等网络袭击,保证系统完整性和可用性。
外部接入区防病毒网关设备制止恶意代码进入信息系统中,形成对局域网内部设备和资源有效保护。
防病毒应采用防病毒网关与防病毒软件联动方式,从而实现从边界到内部全面有效抵抗病毒袭击规定:
1)防病毒网关重要用于对病毒查杀,可是,由于这些软件是通过病毒特性库来实现对病毒防御与查杀,因而对于新浮现病毒,防病毒网关总会存在一定迟滞时间,给信息系统带来安全隐患。
因而,需要通过对信息系统服务器操作系统进行安全加固,对业务应用系统进行完整性保护,使操作系统和业务应用对于病毒和恶意代码实现自免疫,虽然是新浮现病毒,也可以保证不会被入侵或破坏。
2)信息系统系统中有关各个服务器及工作站必要安装计算机防病毒软件,终端安全防护系统(服务器版、PC版),在网络边界安装硬件统一威胁管理(UTM)等设备,形成服务器、终端操作系统加固软件、主机防毒软件及网络防毒硬件构成病毒防御体系。
病毒防御体系应具备如下功能:
⏹执行程序完整性保护
⏹恶意代码积极防御
⏹病毒事件报警,病毒事件日记查询与记录
⏹全网查杀病毒,实时监控客户端防毒状况
⏹集中控制及管理防毒方略
⏹防病毒系统自我保护
⏹系统积极防御,恶意行为检测,隐藏进程检测
⏹病毒库在线升级及离线升级
⏹客户端漏洞检测与补丁分发
⏹控制未知病毒、蠕虫、间谍软件执行
3)信息系统管理人员应及时升级防毒墙和防病毒软件病毒库,提高其抵抗病毒能力。
应定期运用防病毒软件扫描各个服务器及工作站操作系统安全现状。
定期查看主机恶意代码免疫软件中审计日记,及时发现服务器及工作站操作系统中存在未知病毒、木马等恶意可执行代码。
入侵检测系统在外部接入区检测外部对内部系统入侵行为。
将网络入侵检测产品放置在比较重要网段内,监视网段中各种数据包。
对每一种数据包或可疑数据包进行特性分析。
如果数据包与产品内置某些规则吻合,入侵检测系统应发出警报甚至直接切断网络连接。
网络入侵检测系统应可以检测来自网络袭击,可以检测到超过授权非法访问。
无需变化服务器等主机配备,不在业务系统主机中安装额外软件,不影响这些机器CPU、I/O与磁盘等资源使用,不影响业务系统性能
2.14.2.2.区域边界包过滤
区域边界布置防火墙产品通过检查数据包源地址、目地址、传播层合同、祈求服务等,拟定与否容许该数据包进出该区域边界。
在服务器前端启动防火墙应用安全审计功能模块。
能有效审计各种恶意网络袭击手段。
2.14.2.3.区域边界安全审计
区域边界布置防火墙、启动防病毒功能模块、布置IPS入侵防御对确认风险行为及时防御及报警。
2.14.2.4.网络入侵防御能力
入侵防御是对防火墙极其有益补充,入侵防御系统能在入侵袭击对系统发生危害前,检测到入侵袭击,并运用报警与防护系统驱逐入侵袭击。
在入侵袭击过程中,能减少入侵袭击所导致损失。
在被入侵袭击后,收集入侵袭击有关信息,作为防范系统知识,添加入知识库内,增强系统防范能力,避免系统再次受到入侵。
入侵防御被以为是防火墙之后第二道安全闸门,在不影响网络性能状况下能对网络进行监听,从而提供对内部袭击、外部袭击和误操作实时保护,大大提高了网络安全性。
2.14.2.5.防病毒能力
边界防火墙启动防病毒功能,在出口处实时检查网络数据流,防止恶意和不必要应用及web内容进出网络,实现办公区域网络最大化保护、控制与使用。
通过运用ASIC加速数据检查引擎,可在不影响网络流量速度前提下迅速精确地检查并分类HTTP/HTTPS、FTP、SMTP和POP3数据。
此外,基于顾客和顾客群URL过滤引擎和应用控制可协助管理员实现网络应用方略。
间谍软件、病毒、rootkit袭击、广告软件和木马等恶意内容在网关处即可被辨认并拦截下来。
并保证防病毒软件并已升级到最新版本病毒库软件,大大减少病毒、木马等袭击行为。
2.14.2.6.应用安全防护能力
服务器和存储系统承载核心系统和重要数据,该网络是安全防范重点,数据中心网络出口布置高性能入侵防御系统,可以有效制止针对数据中心网络袭击行为,复用互联网出口DDoS回绝服务袭击防护系统,对服务器应用层袭击进行清洗,保证系统正常运营;
2.14.3.安全通信网络设计
安全通讯网络是对定级系统安全计算环境之间进行信息传播实行安全保护部件。
采用VPN技术实现远程通信数据传播完整性和保密性。
2.14.4.虚拟化主机安全防护
虚拟化主机安全,面向虚拟化主机层面安全防护、检测与审计。
通过NFV化安全能力,提供主机层面安全能力。
提供安全能力涉及:
Ø入侵防御(虚拟补丁);
Ø防病毒(AV);
Ø虚拟机防火墙(vFW)。
有效隔离,有效防护虚拟机安全,是虚拟化安全重点,在云平台安装软件虚拟防火墙vFW,解决VM之间互访安全,对网络不可见东西向流量进行隔离和防护,从网络层和VM多层面解决虚拟化网络安全问题。
通过云安全服务平台,可以对布置于宿主机内安全组件进行管理和监控。
使安全管理员可以以便创立和管理安全方略,并提供基于主机层面安全事件、网络行为可视化分析,以及安全报表等功能。
2.14.5.系统运营保障
该系统保证整体分布舆情系统稳定运营和及时处置,在网络中布置网络监控管理平台,对全网服务器运营状态进行监控;
2.14.6.设备清单选型及参数
序号
产品名称
配备信息
备注
1
流量清洗设备
清洗容量10G;
小包防御能力1480万;
2U机架式安装;
台
2
防火墙/VPN设备
吞吐28Gbps;
建议顾客数3000-5000;
最大并发连接数400W;
每秒新建连接数28W;
防病毒吞吐量12G;
IPS吞吐量8G;
SSL最大并发顾客数2,048;
IPSEC吞吐360Mbps;
IPSec隧道数10000;
VRF个数(虚拟防火墙)512;
2U机架式安装;
台
3
入侵防护系统
IPS吞吐8G;
整机新建12w;
整机并发220w;
2U机架式安装;
台
4
虚拟防火墙
软件产品
套
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 技术 方案 样本
![提示](https://static.bingdoc.com/images/bang_tan.gif)