安全等级保护建设方案.docx
- 文档编号:10757252
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:81
- 大小:79.80KB
安全等级保护建设方案.docx
《安全等级保护建设方案.docx》由会员分享,可在线阅读,更多相关《安全等级保护建设方案.docx(81页珍藏版)》请在冰豆网上搜索。
安全等级保护建设方案
Xx
信息安全等级保护(三级)建设方案
信息安全等级保护(三级)建设方案
1.前言 ....................................................................3
1.1概述 ...............................................................3
1.2相关政策及标准 .....................................................3
2.现状及需求分析 ..........................................................5
2.1.现状分析 ..........................................................5
2.2.需求分析 ..........................................................5
3.等保三级建设总体规划 ....................................................6
3.1.网络边界安全建设 ..................................................6
3.2.日志集中审计建设 ..................................................6
3.3.安全运维建设 ......................................................6
3.4.等保及安全合规性自查建设 ..........................................6
3.5.建设方案优势总结 ..................................................7
4.等保三级建设相关产品介绍 ................................................9
4.1.网络边界安全防护 ..................................................9
4.1.1标准要求.....................................................9
4.1.2明御下一代防火墙............................................10
4.1.3明御入侵防御系统(IPS).....................................13
4.2.日志及数据库安全审计 .............................................15
4.2.1标准要求....................................................15
4.2.2明御综合日志审计平台........................................17
4.2.3明御数据库审计与风险控制系统................................19
4.3.安全运维审计 .....................................................22
4.3.1标准要求....................................................22
4.3.2明御运维审计和风险控制系统..................................23
4.4.核心 WEB 应用安全防护 .............................................26
4.3.1标准要求....................................................26
4.3.2明御 WEB 应用防火墙..........................................27
4.3.3明御网站卫士................................................30
4.5.等保及安全合规检查 ...............................................31
4.5.1标准要求....................................................31
4.5.2明鉴 WEB 应用弱点扫描器......................................32
4.5.3明鉴数据库弱点扫描器........................................34
4.5.4明鉴远程安全评估系统........................................37
4.5.5明鉴信息安全等级保护检查工具箱..............................38
4.6.等保建设咨询服务 .................................................40
4.6.1服务概述....................................................40
4.6.2安全服务遵循标准............................................41
4.6.3服务内容及客户收益..........................................41
5.等保三级建设配置建议 ...................................................42
第 2 页 共 44 页
信息安全等级保护(三级)建设方案
1.前言
1.1 概述
随着互联网金融的快速发展,金融机构对信息系统的依赖程度日益增高,信息安全的
问题也越来越突出。
同时,由于利益的驱使,针对金融机构的安全威胁越来越多,尤其是
涉及民生与金融相关的单位,收到攻击的次数日渐频繁,相关单位必须加强自身的信息安
全保障工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。
为提升我国重要信
息系统整体信息安全管理水平和抗风险能力。
国家公安部、保密局、国家密码管理局、国
务院信息化领导小组办公室于 2007 年联合颁布 861 号文件《关于开展全国重要信息系统安
全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息
系统应达到一定的安全等级,根据文件精神和等级划分的原则,涉及到政府机关、金融等
核心信息系统,构筑至少应达到三级或以上防护要求。
互联网金融行业是关系经济、社会稳定等的重要单位,等级保护制度的确立和实施,
无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。
从国家层
面上看,在重点行业、单位推行等级保护制度是关系到国家信息安全的大事,为确保重要
行业和单位的等级保护信息系统顺利开展实施,同时出台了一系列政策文件来规范、指导
和推动风险评估工作的进行,等级保护也积极响应各种标准和政策,以保障重点行业信息
系统安全。
1.2 相关政策及标准
国家相关部门对等级保护安全要求相当重视,相继出台多个信息安全相关指导意见与
法规,主要有:
《中华人民共和国计算机信息系统安全等级保护条例》(国务院 147 号令)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安
〔2010〕303)
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
《GB/T20984—2007 信息安全技术 信息安全风险评估规范》
《GB17859-1999 信息系统安全等级保护测评准则》
其中,目前等级保护等保主要安全依据,主要参照《GB17859-1999信息系统安全等
第 3 页 共 44 页
信息安全等级保护(三级)建设方案
级保护测评准则》和《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》,
本方案亦主要依据这两个标准,以其他要求为辅,来建立本技术方案。
第 4 页 共 44 页
信息安全等级保护(三级)建设方案
2.现状及需求分析
2.1. 现状分析
xx 核心业务系统为互联网客户提供在线业务以及线下业务支持。
通过该系统平台,实
现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化,为 xx
管理工作提供全面的系统支持。
该系统定级为安全保护等级三级,通过第三方测评、整体
分析与风险分析,xx 业务系统中存在与国家等级保护三级标准要求不符合项。
2.2. 需求分析
为了满足达到国家 GB/T22239-2008《信息技术信息系统安全等级保护基本要求》相
应的等级保护能力要求,xx 业务管理系统启动等级保护安全整改工作,以增强系统的安全
防护能力,有效抵御内部和外部威胁,为切实达到国家及行业信息安全等级保护相应要求,
使 xx 业务管理系统在现有运行环境下风险可控,能够为 xx 客户及内部各部门提供安全、
稳定的业务服务。
本次方案结合初步检查报告,由于 xx 业务系统只采用防护墙进行安全防护措施,针对
安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处,建议部
署相关安全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。
一、安全防护:
安全防护设计网络安全、主机安全等多个测评内容,针对所发现的安
全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应
的安全防护设备来进行解决。
二、审计分析:
审计分析在三级等级保护要求中,占据重要地位,涉及网络安全、主
机安全、应用安全等诸多环节,xx 业务系统在第三方审计相关建设上缺乏必要手段,并且
对部分重要系统的安全现状难以了解,加强系统安全检测能力,和审计分析能力十分必要。
三、安全运维:
安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安
全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户的接入访问
控制,敏感资源的访问控制等,可通过加强安全运维管理和部署相应管理设备加以解决。
四、管理制度:
管理制度的完善,在等级保护建设中具有非常重要的意义,通过第三方
专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足,从管理制度整
体协助满足等级保护的相关要求。
第 5 页 共 44 页
信息安全等级保护(三级)建设方案
3.等保三级建设总体规划
根据现有安全形势特点,针对三级等级保护的各项要求,需针对网络边界安全、日志
集中审计、安全运维、合规性自查四个层面进行建设,选择典型安全系统构建。
3.1. 网络边界安全建设
在网络边界处需加强对网络防护、WEB 应用防护措施,通过相关的网络安全设备部署
核心链路中,按照信息安全等级保护标准进行建设。
3.2. 日志集中审计建设
数据库审计系统为旁路部署,需要将客户端请求数据库的的数据和数据库返回给客户
端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口,如需同时审计 WEB 应
用的访问请求等同样需要把数据进行镜像。
综合日志审计系统为旁路部署,仅需要将系统分配好 IP 地址,对各型服务器、数据库、
安全设备、网络设备配置日志发送方式,将自动收集各类设备的安全日志和运行日志,进
行集中查询和管理。
数据库弱点扫描器部署在专用电脑上,定期对数据库进行安全检测。
3.3. 安全运维建设
将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备
的允许登录 IP,仅允许运维审计与风险控制系统可登录操作,运维和管理人员对各类服务
器、网络设备、安全设备的操作,均需先得到运维审计与风险控制系统的许可,所有操作
均会被运维审计与风险控制系统审计下来,并做到资源控制的设定。
3.4. 等保及安全合规性自查建设
为提高核心业务系统内部网络安全防护性能和抗破坏能力,检测和评估已运行网络的
安全性能,需一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实
时保护,在网络系统受到危害之前可以提供安全防护解决措施,通过远程安全评估系统实
现网络及系统合规性自查;
为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求,平衡信息系统安
全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据
四个安全领域的安全,需提供一套针对基线配置的安全检查工具,定期检查其配置方面的
与安全基准的偏差措施;
核心业务系统的信息安全等级保护建设过程中,以及在正式测评之前徐利用信息安全
等级保护检查工具箱进行自测,根据结果和整改措施进行信息安全建设。
将工具箱的检测
第 6 页 共 44 页
信息安全等级保护(三级)建设方案
报告和整改措施建议作为整改的依据和参考的标准。
由于信息安全是个动态的过程,整改
完成不代表信息安全建设工作完成,可利用工具箱进行不断的自检自查。
3.5. 建设方案优势总结
通过安全运维、安全防护、审计分析、安全制度四部分的部署加固,满足事前检测
(数据库弱点扫描器)、事中防护(明御 WEB 应用防火墙、运维审计与风险控制系统)、事
后追溯(明御综合日志审计系统、明御数据库审计与风险控制系统)的安全要求,结合安
全服务对管理制度的完善,提供对重要信息系统起到一体化安全防护,保证了核心应用和
重要数据的安全。
满足三级等级保护对相关检测项目的要求。
一、通过部署事前检测工具,依据权威数据库安全专家生成的最全面、最准确和最新
的弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及
准确评估。
通过 WEB 应用弱点扫描器及明鉴数据库弱点扫描器的部署,可以定期对 WEB 应
用和数据库进行安全检测,从而发现安全问题及相关隐患后能够及时修补。
二、通过部署事中防御设备,针对黑客的恶意进行全方位的攻击防护,防止各类对网
站的恶意攻击和网页木马等,确保网站安全健康运行;同时采用智能异常引擎及关联引擎
准确识别复杂攻击,有效遏制应用层 DDOS 攻击,依靠高速环境下的线速捕获技术实现 100%的
数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证
据,可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以
对网站应用实时监控。
通过网络安全网关、IPS、WEB 应用防火墙的部署,实现核心业务系
统、应用的攻击防护,确保所定级的核心业务系统安全健康运行。
三、通过部署事后追溯设备,一方面采用独有的三层审计的数据库审计设备实现 WEB
应用与数据库的自动关联审计,并提供细粒度的安全审计,实时监控来自各个层面的所有
数据库活动,包括数据库操作请求、返回状态及返回结果集。
另一方面通过综合日志审
计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时
发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间
断运营安全。
通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设
备、数据存储、WEB 应用、数据库、主机及其它软硬件资产的日志审计,并可以进行行为
的还原和回放。
四、通过加强管理制度的建设,利用第三方安全公司长期在等级保护中的经验及专业
的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期
更高效的通过等级保护测评,减少因自身经验不足而产生的测评不通过的风险,减少在时
第 7 页 共 44 页
信息安全等级保护(三级)建设方案
间与金钱方面的损失。
客户可以依托第三方安全公司在信息安全合规性建设中的经验,完
善自身规章制度,摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。
针对客户在等级保护建设中管理制度的经验不足,提供合规性制度解决方案,协助客
户一起加强信息安全管理制度建设,并顺利的通过等级保护。
第 8 页 共 44 页
1.1.1.1 访问控制(G3)
本项要求包括:
a) 应在网络边界部署访问控制设备,
启用访问控制功能;
b) 应能根据会话状态信息为数据流
提供明确的允许/拒绝访问的能
力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过
滤,实现对应用层
HTTP、FTP、TELNET、SMTP、POP
3 等协议命令级的控制;
d) 应在会话处于非活跃一定时间或
会话结束后终止网络连接;
e) 应限制网络最大流量数及网络连
接数;
f) 重要网段应采取技术手段防止地
址欺骗;
g) 应按用户和系统之间的允许访问
规则,决定允许或拒绝用户对受
控系统进行资源访问,控制粒度
为单个用户;
h) 应限制具有拨号访问权限的用户
数量。
在网络边界部署安全网关。
1.1.1.2 安全审计(G3)
本项要求包括:
a) 应对网络系统中的网络设备运行
状况、网络流量、用户行为等进
行日志记录;
b) 审计记录应包括:
事件的日期和
时间、用户、事件类型、事件是
否成功及其他与审计相关的信息;
信息安全等级保护(三级)建设方案
4.等保三级建设相关产品介绍
4.1. 网络边界安全防护
4.1.1 标准要求
第 9 页 共 44 页
c) 应能够根据记录数据进行分析,
并生成审计报表;
d) 应对审计记录进行保护,避免受
到未预期的删除、修改或覆盖等。
部署专业的日志审计系统。
1.1.1.3 边界完整性检查(S3)
本项要求包括:
a) 应能够对非授权设备私自联到内
部网络的行为进行检查,准确定
出位置,并对其进行有效阻断;
部署终端安全管理系统,利用
IP/MAC 绑定及 ARP 阻断功能实
现非法接入控制。
b) 应能够对内部网络用户私自联到
外部网络的行为进行检查,准确
定出位置,并对其进行有效阻断。
部署终端安全管理系统,提供
非法外联监控功能。
1.1.1.4 入侵防范(G3)
本项要求包括:
a) 应在网络边界处监视以下攻击行
为:
端口扫描、强力攻击、木马
后门攻击、拒绝服务攻击、缓冲
区溢出攻击、IP 碎片攻击和网
络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击
源 IP、攻击类型、攻击目的、
攻击时间,在发生严重入侵事件
时应提供报警。
部署入侵检测系统。
1.1.1.5 恶意代码防范(G3)
本项要求包括:
a) 应在网络边界处对恶意代码进行
检测和清除;
b) 应维护恶意代码库的升级和检测
系统的更新。
部署病毒过滤网关系统。
信息安全等级保护(三级)建设方案
4.1.2 明御下一代防火墙
明御下一代防火墙 DAS-NGFW 是安恒公司自主研发、拥有知识产权的新一代安全网关产
品。
明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于 IP
和端口的防御机制。
百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境,包
第 10 页 共 44 页
功能
描述
部署方式
支持透明部署、路由部署、混合部署模式
攻击防护
TCP/IP 攻击防护(IP 碎片攻击、IP Option 攻击、IP 地址欺骗攻
击、Land 攻击、Smurf 攻击、Fraggle 攻击、Huge ICMP 包攻击、ARP 欺
骗攻击、WinNuke 攻击、Ping-of-Death 攻击、Teardrop 攻击)
扫描保护(IP 地址扫描攻击、端口扫描攻击)
Flood 保护(Syn Flood 攻击、ICMP Flood 攻击、UDP Flood 攻击、
DNS Query Flood 攻击)
二层攻击防护(IP-MAC 静态绑定、主机防御、ARP 防护、DHCP
Snooping)
网络行为控制
URL 过滤:
对用户访问某类网站进行控制和审计
网页关键字:
对用户访问含有某关键字的网页(包括 HTTPS 加密网
页)进行控制和审计
Web 外发信息:
对用户在某网站(包括 HTTPS 加密网站)发布信息
或者发布含有某关键字信息进行控制和审计
邮件过滤:
对用户使用 SMTP 协议及 Webmail 外发邮件(包括 Gmail
加密邮件)进行控制和审计
网络聊天:
对用户通过即时通讯工具聊天进行控制和审计
应用行为控制:
对 FTP 和 HTTP 应用程序行为进行控制和审计
日志管理(网络行为控制日志、日志查询统计与审计分析)
病毒过滤(AV)
协议防病毒扫描:
HTTP、FTP、SMTP、IMAP、POP3
压缩文件防病毒扫描(多层压缩扫描):
RAR、ZIP、GZIP、BZIP、TAR
控制方式:
中断连接、文件填充、日志记录
病毒特征库在线更新、本地更新
高可靠性(HA)
Active-Passive(A/P)模式
Active-Active(A/A)模式
VPN
IPSec VPN
SCVPN(基于 SSL 的远程登录解决方案)
拨号 VPN
PnPVPN
L2TP VPN
访问控制
基于安全域的访问控制
基于时间的访问控制
基于 MAC 的访问控制
IP-MAC-端口地址绑定
用户认证
本地用户认证
信息安全等级保护(三级)建设方案
括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。
丰富的软件功
能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访
问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。
1) 功能说明
第 11 页 共 44 页
功能
描述
外部服务器用户认证(RADIUS、LDAP、MS AD)
Web 认证
802.1X
NAT/PAT 功能
多个内部地址映射到同一个公网地址
多个内部地址映射到多个公网地址
外部网络主机访问内部服务器
内部地址映射到接口公网 IP 地址
应用协议的
NAT 穿越
FTP
TFTP
HTTP
SUN RPC
RTSP
Microsoft RPC
H323
SIP
RSH
SQL NETv2
网络
PPPoE
DHCP
DNS
DDNS
ARP
VSwitch
VRouter
路由
静态路由(目的路由、源路由、源接口路由)
动态路由(RIP 以及 OSPF)
策略路由(SBR 以及 SIBR)
ISP 路由
策略路由
出站就近路由
静态组播路由
IGMP 协议
管理
命令行接口(CLI)
WebU
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 等级 保护 建设 方案