XX电子政务项目等级保护方案Word文档格式.docx

XX电子政务项目等级保护方案Word文档格式.docx

《XX电子政务项目等级保护方案Word文档格式.docx》由会员分享，可在线阅读，更多相关《XX电子政务项目等级保护方案Word文档格式.docx（12页珍藏版）》请在冰豆网上搜索。

4.1网络安全设计15

4.1.1网络基础设施安全15

4.1.2网络边界安全15

4.1.3统一安全认证与运维审计16

1

概述

1.1编制目的

根据福建XX的现状和将来的应用需求，并结合公安部关于等级化保护的相关要求，而制定针对性的技术方案与管理方案，可为XX的等级化安全体系改造和加固提供参考和实施依据。

本文将主要阐述和针对福建省XX的改造和信息安全体系的规划设计。

项目的主要内容是福建省XX的总体信息安全体系安全改造，包括以下几个方面：

●建设福建XX网络安全基础设施；

●福建XX的边界安全保护；

1.2编制背景

电子政务即政务信息化，是指国家机关在政务活动中，全面应用现代信息技术进行办公和管理，为社会公众提供服务。

主要包括四方面内容：

一是在因特网上发布政务信息，供公众了解和使用；

二是通过因特网对政府与公众之间的事务进行互动处理；

三是在政府机构内部实现办公自动化，提高政府机构办公效率；

四是公务员从网络中获得机构内部的工作信息和机构外部的业务信息，为日常的政务工作和领导决策提供服务。

2006年5月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于推进国家电子政务网网络建设的意见》（中办发【2006】18号），明确国家电子政务网络建设的目标是：

用3年左右的时间，形成中央到地方统一的国家电子政务传输骨干网，建成基本满足各级政务部门业务应用需求的政务内网和政务外网，健全国家电子政务网络安全保障机制，完善国家电子政务网络管理体制，为电子政务发展提供网络支持。

2007年3月5日，温家宝总理在全国人大五次会议上作政府工作报告时指出：

“要以转变政府职能为核心，改进政府管理与服务方式，大力推进政务公开，加快电子政务和政府网站建设”。

2007年4月5日，温家宝总理签署国务院第492号令，公布《中华人民共和国政府信息公开条例》（以下简称《条例》），自2008年5月1日起正式实施。

为了保证公众方便、及时获取政府信息，《条例》对信息公开的方式作了明确规定：

第一，行政机关应当将主动公开的政府信息通过政府公报、政府网站、新闻发布会以及报刊、广播、电视等等便于公众知晓的方式公开；

第二，行政机关根据需要设立公共查阅室、资料索取点、信息公告栏、电子信息屏等场所、设施公开政府信息。

2007年8月4日，国务院办公厅下发了《关于做好施行〈中华人民共和国政府信息公开条例〉准备工作的通知》（国办发[2007]54号），以下简称《通知》），明确要求，要充分发挥政府网站公开政府信息的平台作用，各级政府网站要成为政府信息公开的第一平台。

本次公安、地税等无线专网客户通过XX与国家电子政务外网相连，了贯彻国家对电子政务信息系统安全保障工作的要求以及等级化保护“坚持积极防御、综合防范”的方针，全面提高信息安全防护能力，无线专网建设需要进行整体安全体系规划设计及特殊网站安全保护设计，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进福建省电子政务外网信息化的深入发展。

1.3等级安全体系设计目标

根据对福建XX信息系统的全面了解，并结合国家的相关政策标准，福建XX的信息安全建设目标如下。

1.3.1总体目标

为了落实《关于信息安全等级保护工作的实施意见》（公通字【2004】66号）和《关于开展信息系统安全等级保护基础调查工作的通知》（公信安【2005】1431号），实施符合国家标准的安全等级保护体系建设，通过对福建XX的安全等级划分，合理调配财力资源、信息科技资源、业务骨干资源等，重点确保核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。

实现如下总体安全目标：

（1）依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。

（2）通过信息安全需求分析，判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。

（3）达到公安部关于信息系统安全保护等级保护相关要求。

1.3.2安全技术体系目标

按照公安部和相关国家部门关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统风险，协助合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。

该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。

具体包括：

✧保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

✧保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

✧保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

✧安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合实际，建立一套切实可行的安全管理体系。

2安全需求分析

本次公安、地税等无线专网客户通过XX与国家电子政务外网相连，需要满足国家电子政务外网三级等保要求，其中主要涉及物理安全、网络安全、主机安全、应用安全、数据安全、管理要求。

本次设计主要涉及网络安全，一下针对此部分进行评估分析。

2.1现状分析

福建XX是涉及多个行政部门及各类繁杂的信息系统等特征的系统，具有以下特点：

✧涉及的部门多、范围广；

✧信息系统种类繁多、应用众多、服务类型多并且结构复杂；

✧网络建设涉及互联网访问的诸多需求。

XX通过两台路由器与国家电子政务外网（省级网络互联），其中国家电子政务采用MPLSVPN承载不同业务。

现有网络拓扑图

2.2安全风险威胁分析

福建XX覆盖范围较大，并涉及用户面广，业务应用众多复杂，并需要与相关网络互联。

因此，其面临很多的安全威胁，经过总结分析主要包括了以下几类：

✧身份假冒，一个实体假装成另一个不同的实体，从而获得对福建XX的访问。

✧恶意代码，通过恶意程序，计算机病毒等恶意代码程序可获取信息或破坏福建XX的正常运行。

✧破坏信息完整性，改变系统信息的内容或形式。

✧行为抵赖，信息发送方或接收方否认自己发送过或接收到特定的信息，从而对福建XX的正常运行造成潜在的安全威胁。

✧破坏网络的可用性，通过执行命令，发送数据或执行其它操作使系统资源对用户失效，使合法用户不能正常访问网络资源或使有严格时间要求的服务不能及时得到响应。

也可能以物理方式盗窃或破坏网络的设备、设施。

✧操作失误，人为操作失误可能会对福建XX造成破坏。

✧漏洞利用，大部分服务器普遍存在高风险漏洞，导致服务器或应用系统存在被远程控制的可能。

✧通信中断，由于目前部分网络设备和网络链路均未做冗余，因此，存在通信中断而导致业务中断的威胁。

其中，福建XX所面临的最大的风险之一，就是一旦攻击者获得对福建XX资源的控制权，就可以随意进行破坏活动，这包括：

l信息泄露：

将信息系统中的信息散发到了不该获得该信息的人手中，造成信息泄露；

l盗取信息：

获得不该获得的信息，破坏了信息的机密性；

l修改信息：

任何对存储（或传输）中数据、文件的非授权修改，破坏了信息的完整性；

l盗用服务：

非法盗用系统的服务，盗用服务会影响福建XX为其它合法用户提供正常服务；

●拒绝服务：

攻击的直接后果就是将系统的服务性能降低或完全瘫痪，无法为合法用户提供正常的服务，破坏了系统的可用性。

2.3安全问题总结

通过上述对福建XX的现状和安全威胁分析，目前福建XX的信息系统面临多方面的安全问题。

主要包含以下几点：

2.3.1网络安全问题

●入侵防护方面

缺乏入侵检测手段，不能及时掌握网络系统内部非法事件的动态。

●边界安全方面

在XX边界缺乏专门的安全设备（防火墙），对进出数据流量进行防护。

●网络设备防护方面

对网络设备进行远程管理时，没有采取必要的防护措施

未采取措施，实现对设备的特权用户进行权限分离，存在多个帐号权限相同的情况。

2.3.2安全保障和应用支撑

●缺乏完善的安全保障

目前，整个网络系统没有一套完善的信息安全保障体系，无法满足系统对物理安全、网络及计算机系统安全、应用及数据安全和安全管理的需要，不能有效抵御来自内部、外部的各种安全威胁和攻击。

2.4安全需求总结

根据对福建XX的安全问题总结，可以得出福建XX的信息安全需求，主要内容可体现在以下几个方面：

2.4.1入侵防御与边界防护

福建XX的用户遍布相关单位，使用者成分极其复杂，不可信任，因此需要考虑到针对网络攻击的安全应对措施。

准确识别出可能的攻击者，对于计算机系统来说具有重要意义，因为攻击往往是在“暗中”发生的，我们只有先找到假想敌，才有可能采取正确的对策，但安全又是要付出代价的，不正确的假设不仅无助于安全的解决，还有可能是浪费资源。

我们总结福建XX可能面对的攻击者可以分为四类：

●黑客：

狂热的技术迷，攻击是为了寻找技术挑战，绕过或攻破一个系统的安全机制就是最大的成功，并且喜好相互炫耀彼此的业绩；

●专业罪犯：

攻击系统的主要目的也是为了经济或其他利益；

●内部人员：

攻击系统的主要目的是为了兴趣、恶作剧或其他利益；

●蓄意破坏者：

攻击系统的目的纯粹是为了破坏。

鉴于福建XX内部环境用户的复杂性，因而需要在重要的网络边界处和重要网段配置入侵防御设备。

入侵防御系统通过对数据流的实时分析，能够洞察各种非法行为，及时弥补安全漏洞。

通过入侵防御，可以实时监控网络的数据流量，实时发现攻击行为，为动态网络安全防御提供了良好的基础设备支持。

利用入侵防御系统，可以进行7×

24的安全防御，一旦发现入侵行为，可以及时采取措施。

同时，由于入侵防御设备部署在网络出口关键位置，设备需具有多层次的冗余功能，能提供最高等级的高可用性，并方便用户灵活设置，包括提供内置BYPASS功能，支持Active-Active和Active-Passive的高可用性功能，支持联机自动切换功能等高可用性功能。

此外，防火墙作为网络边界设备，放置在XX出口上，保护XX与外部网络之间的相互访问，规划网络的信息流向，同时可以起到一定的用户隔离作用，一旦某个区域发生安全事故，避免波及其他区域。

对与无线政务外网边界区域必须使用防火墙作为其边界的安全保护。

2.4.2运维审计

运维审计通过收集并分析系统日志等数据，对运行维护过程中的异常行为，例如越权访问，执行不应执行的命令操作，及时通过邮件，短信等形式发送告警，提醒管理人员对异常行为的筛查处理，及早应对破坏行为。

需为远程设备运行维护提供安全加密通道，确保维护过程不被监听，不被匿名访问，不被冒充身份访问，并提供可信可靠的远程维护安全访问通道，保证接入访问的安全。

另外，需对设备实现不安全访问端口的安全转换，将非加密访问端口转换为加密访问。

另外需对用户的访问授权，定义用户可以访问哪些资源，以及以什么样的方式在什么时间访问，防止未被授权的用户、角色对资源的访问。

3等保安全体系总体设计

本章将对福建XX进行总体设计，在总体设计时，将首先描述等保体系和安全要求分析，其次遵循等保体系标准作为设计方法，并根据等级保护安全要求进行福建XX的安全体系总体设计。

3.1等级保护体系概述

3.1.1标准体系的内容

标准体系的基本思想概括为：

以信息安全的五个属性为基本内容，从实现信息安全的五个层面，按照信息安全五个等级的不同要求，分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理，实现对不同信息类别按不同要求进行分等级安全保护的总体目标，如下图所示。

图表31等级保护基本思想和分级、分层及控制过程

图表32等级保护五个层面内容和系统安全运行及安全防护

3.1.2标准体系的组成与相互关系

信息安全等级保护标准由运行过程控制标准、评测过程控制标准、构建过程控制标准、基础标准（GB17859）组成。

其中，基础性标准包括：

（1）GB17859—1999计算机信息系统安全保护等级划分准则，是其他标准的基础；

（2）信息系统安全等级保护实施指南，为等级保护的实施提供指导。

构建过程控制标准包括：

（1）技术要求标准；

（2）产品要求标准。

测评过程控制标准包括

（1）系统测试与评估标准；

（2）产品测试域评估标准。

过程控制标准包括：

（1）工程管理标准，为管理工程实施提供指导；

（2）系统管理标准，对系统运行过程的管理提供指导；

（3）监督、检查管理标准，为按等级保护要求对信息系统的构建、测评、运行过程进行监督、检查、管理提供指导。

3.1.3标准体系的主要特点

（1）完备性：

对信息安全的五个属性，从五个层面、按五个等级确定安全功能要求和安全保证要求：

对安全系统的构建、测评、运行三个过程进行全面控制。

（2）整体保护性：

实现信息的保密性、完整性和可用性（包括抗抵赖性、可控性和可操作性等），以及系统安全运行控制。

（3）技术先进性：

标准体系是在充分了解国际上当前信息安全技术及其标准发展的基础上，汲取先进的安全技术确定，并与国际接轨。

（4）实用性：

充分考虑到我国信息技术的发展和信息安全的现状，从制定可行的信息系统安全方案出发，适用于我国信息安全等级管理的需要。

（5）前瞻性和可扩展性：

标准体系所确定的技术和管理，具有一定的前瞻性，并可根据信息安全技术的发展改进和扩展。

（6）具有充分的法律依据和执法保证：

147号令、27号文件明确规定我国信息安全实施等级保护：

执行过程控制标准适用于安全等级管理对安全系统及安全产品从设计、实现、检测、评估到监督、检查的管理需要：

有相应的执法人员（如电子警察）确保等级保护的贯彻执行。

3.2等级化安全体系设计方法

3.2.1设计原则

在规划、建设、使用、维护整个福建XX项目的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。

具体体现为：

1）等级标准性原则

构建福建XX这样庞大的系统，必须坚持遵循相关的标准。

本方案从设计到产品选型都遵循国家等级保护三级相关标准。

2）需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。

应对一个网络进行实际分析（包括任务、性能、结构、可靠性、可用性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。

3）综合性、整体性原则

安全模块和设备的引入应该体现系统运行和管理的统一性。

一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。

4）易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

5）设备的先进性与成熟性

安全设备的选择，既要考虑其先进性，还要考虑其成熟性。

先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。

6）无缝接入

安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。

同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。

7）可管理性与扩展性

安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。

8）保护原有投资的原则

在进行福建XX信息安全体系建设时，应充分考虑原有投资，要充分利用福建XX已有的建设基础，规划其福建XX的整体安全体系和灾难恢复系统。

3.2.2总体设计参考标准与规范

总体设计参考了以下标准与规范：

1）中共中央办公厅、国务院办公厅[2002]17号文《国家信息化领导小组关于我国电子政务建设指导意见》

2）ISO17799/BS7799：

《信息安全管理惯例》

3）1999GB17859-1999（中华人民共和国国家标准）计算机信息系统安全保护等级划分准则

4）公安部《信息安全等级保护管理办法》

5）公安部《信息系统安全等级保护实施指南》

6）GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

7）GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

8）公安部《信息系统安全等级保护测评准则》

9）ISO/IECTR13335系列标准

10）信息系统安全保障理论模型和技术框架IATF理论模型及方法论

4安全保障技术体系详细设计

4.1网络安全设计

4.1.1网络基础设施安全

福建XX基础设施安全就是网络平台子系统的安全。

在方案设计中，需考虑出口区域路由器、防火墙、入侵防御等设备的冗余。

降低设备单点故障的风险。

同时需要对网络设备进行如访问控制列表（ACL）等安全配置。

4.1.2网络边界安全

边界安全措施是任何一个信息系统的基本安全措施，也是保障福建XX安全的第一步。

福建XX的边界安全措施主要包括两个方面：

边界的定义、边界的隔离和访问控制。

4.1.2.1边界定义

安全访问控制的前提是必须合理的建立安全域，根据不同的安全需求建立不同的安全域。

安全域的建立可以从物理上和逻辑上分别划分安全域。

在物理上将信息系统从地域上独立出来，划分不同物理区域。

在逻辑上将信息系统或用户分组，指定不同的访问权限。

安全域边界定义对目前及日后福建XX的安全运行都是非常重要的因素，同时也是建立福建XX等级保护安全保障体系的基础措施。

只有合理的划分了安全域，才能有效的采取系统分域技术手段保证福建XX的安全。

4.1.2.2边界隔离和访问控制

安全域定义完成后，就是如何设计各安全域间的边界控制问题。

一般对于边界的控制主要有两种，物理隔离和逻辑隔离。

针对XX网络的信息交换需求，安全域间通过防火墙实现边界隔离。

这是用在信任网络和不信任网络之间的一种访问控制技术。

利用防火墙的目的主要有两个：

一是控制福建XX用户与外部网络用户之间的相互访问，规划网络的信息流向；

另一个目的是起到一定的隔离作用，一旦某外部发生安全事故，避免波到XX。

4.1.2.3入侵防御系统

防火墙作为企业级安全保障体系的第一道防线，已经得到了非常广泛的应用，但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的，比如说应用层的攻击行为。

想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是对攻击进行实时的阻断与响应。

防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层的攻击以及其他非法行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。

想要实现完全的入侵防御，就需要将完全协议分析和在线防御相融合，这就是入侵防御系统（IDP）。

入侵防御系统以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、精确阻断，这意味着入侵防御系统是作为安全防御工具存在，解决用户面临的实际应用上的难题，进一步优化用户网络的风险控制环境。

因此，在XX出口区域部署入侵防御系统，可以有效阻止攻击行为。

4.1.3统一安全认证与运维审计

由于XX设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况不可避免，这些会严重影响整个系统的运行效能，并对客户声誉造成重大影响。

另外黑客的恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。

因此需提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足等保三级标准要求。

因此，需在XX部署统一安全认证与运维审计系统，扮演看门者的职责，对所有网络设备和服务器的访问请求都要从这扇大门经过。

系统提供集中统一的安全管理平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全运行。