《2020年信息安全等级保护三级建设方案.doc》由会员分享,可在线阅读,更多相关《2020年信息安全等级保护三级建设方案.doc(44页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护(三级)建设方案Xx信息安全等级保护(三级)建设方案目录1.前言31.1概述31.2相关政策及标准32.现状及需求分析52.1.现状分析52.2.需求分析53.等保三级建设总体规划63.1.网络边界安全建设63.2.日志集中审计建设63.3.安全运维建设63.4.等保及安全合规性自查建设63.5.建设方案优势总结74.等保三级建设相关产品介绍94.1.网络边界安全防护94.1.1标准要求94.1.2明御下一代防火墙104.1.3明御入侵防御系统(IPS)134.2.日志及数据库安全审计154.2.1标准要求154.2.2明御综合日志审计平台174.2.3明御数据库审计与风险控制
2、系统194.3.安全运维审计224.3.1标准要求224.3.2明御运维审计和风险控制系统234.4.核心WEB应用安全防护264.3.1标准要求264.3.2明御WEB应用防火墙274.3.3明御网站卫士304.5.等保及安全合规检查314.5.1标准要求314.5.2明鉴WEB应用弱点扫描器324.5.3明鉴数据库弱点扫描器344.5.4明鉴远程安全评估系统374.5.5明鉴信息安全等级保护检查工具箱384.6.等保建设咨询服务404.6.1服务概述404.6.2安全服务遵循标准414.6.3服务内容及客户收益415.等保三级建设配置建议421. 前言1.1 概述随着互联网金融的快速发展,
3、金融机构对信息系统的依赖程度日益增高,信息安全的问题也越来越突出。同时,由于利益的驱使,针对金融机构的安全威胁越来越多,尤其是涉及民生与金融相关的单位,收到攻击的次数日渐频繁,相关单位必须加强自身的信息安全保障工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升我国重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件关于开展全国重要信息系统安全等级保护定级工作的通知和信息安全等级保护管理办法,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,涉及到政府机关、金融等核心
4、信息系统,构筑至少应达到三级或以上防护要求。互联网金融行业是关系经济、社会稳定等的重要单位,等级保护制度的确立和实施,无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看,在重点行业、单位推行等级保护制度是关系到国家信息安全的大事,为确保重要行业和单位的等级保护信息系统顺利开展实施,同时出台了一系列政策文件来规范、指导和推动风险评估工作的进行,等级保护也积极响应各种标准和政策,以保障重点行业信息系统安全。1.2 相关政策及标准国家相关部门对等级保护安全要求相当重视,相继出台多个信息安全相关指导意见与法规,主要有:中华人民共和国计算机信息系统安全等级保护条例(国务
5、院147号令)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303)GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T209842007 信息安全技术 信息安全风险评估规范GB17859-1999 信息系统安全等级保护测评准则其中,目前等级保护等保主要安全依据,主要参照GB17859-1999 信息系统安全等级保护测评准则和GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求,本方案亦主要依据这两个标准,以其他要求为辅,来建立本技术方案。2. 现状及需求分析2.1. 现状分析xx核心业务系统为互联网客户提供在线
6、业务以及线下业务支持。通过该系统平台,实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化,为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级,通过第三方测评、整体分析与风险分析,xx业务系统中存在与国家等级保护三级标准要求不符合项。2.2. 需求分析为了满足达到国家GB/T 22239-2008信息技术信息系统安全等级保护基本要求相应的等级保护能力要求,xx业务管理系统启动等级保护安全整改工作,以增强系统的安全防护能力,有效抵御内部和外部威胁,为切实达到国家及行业信息安全等级保护相应要求,使xx业务管理系统在现有运行环境下风险可控,能够为xx客户及内部各部门
7、提供安全、稳定的业务服务。本次方案结合初步检查报告,由于xx业务系统只采用防护墙进行安全防护措施,针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处,建议部署相关安全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。一、安全防护:安全防护设计网络安全、主机安全等多个测评内容,针对所发现的安全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。二、审计分析:审计分析在三级等级保护要求中,占据重要地位,涉及网络安全、主机安全、应用安全等诸多环节,xx业务系统在第三方审计相关建设上缺乏必要手段,并且对部分重要系统的安
8、全现状难以了解,加强系统安全检测能力,和审计分析能力十分必要。三、安全运维:安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户的接入访问控制,敏感资源的访问控制等,可通过加强安全运维管理和部署相应管理设备加以解决。四、管理制度:管理制度的完善,在等级保护建设中具有非常重要的意义,通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足,从管理制度整体协助满足等级保护的相关要求。3. 等保三级建设总体规划根据现有安全形势特点,针对三级等级保护的各项要求,需针对网络边界安全、日志集中审计、安全运维、合规
9、性自查四个层面进行建设,选择典型安全系统构建。3.1. 网络边界安全建设在网络边界处需加强对网络防护、WEB应用防护措施,通过相关的网络安全设备部署核心链路中,按照信息安全等级保护标准进行建设。3.2. 日志集中审计建设数据库审计系统为旁路部署,需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口,如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。综合日志审计系统为旁路部署,仅需要将系统分配好IP地址,对各型服务器、数据库、安全设备、网络设备配置日志发送方式,将自动收集各类设备的安全日志和运行日志,进行集中查询和管理。数据库弱点扫描
10、器部署在专用电脑上,定期对数据库进行安全检测。3.3. 安全运维建设将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备的允许登录IP,仅允许运维审计与风险控制系统可登录操作,运维和管理人员对各类服务器、网络设备、安全设备的操作,均需先得到运维审计与风险控制系统的许可,所有操作均会被运维审计与风险控制系统审计下来,并做到资源控制的设定。3.4. 等保及安全合规性自查建设为提高核心业务系统内部网络安全防护性能和抗破坏能力,检测和评估已运行网络的安全性能,需一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决措施
11、,通过远程安全评估系统实现网络及系统合规性自查;为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求,平衡信息系统安全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全,需提供一套针对基线配置的安全检查工具,定期检查其配置方面的与安全基准的偏差措施;核心业务系统的信息安全等级保护建设过程中,以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测,根据结果和整改措施进行信息安全建设。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程,整改完成不代表信息安全建设工作完成,可利用工具箱进行不断的自检自查。3
12、.5. 建设方案优势总结通过安全运维、安全防护、审计分析、安全制度四部分的部署加固,满足事前检测(数据库弱点扫描器)、事中防护(明御WEB应用防火墙、运维审计与风险控制系统)、事后追溯(明御综合日志审计系统、明御数据库审计与风险控制系统)的安全要求,结合安全服务对管理制度的完善,提供对重要信息系统起到一体化安全防护,保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。一、通过部署事前检测工具,依据权威数据库安全专家生成的最全面、最准确和最新的弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的部
13、署,可以定期对WEB应用和数据库进行安全检测,从而发现安全问题及相关隐患后能够及时修补。二、通过部署事中防御设备,针对黑客的恶意进行全方位的攻击防护,防止各类对网站的恶意攻击和网页木马等,确保网站安全健康运行;同时采用智能异常引擎及关联引擎准确识别复杂攻击,有效遏制应用层DDOS攻击,依靠高速环境下的线速捕获技术实现100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据,可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙的部署,实现核心业务系统、应用的攻击防护,确保所定级的
14、核心业务系统安全健康运行。三、通过部署事后追溯设备,一方面采用独有的三层审计的数据库审计设备实现WEB应用与数据库的自动关联审计,并提供细粒度的安全审计,实时监控来自各个层面的所有数据库活动,包括数据库操作请求、返回状态及返回结果集。 另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计,并可以进行行为的还原和回放。四、通过加强管理制
15、度的建设,利用第三方安全公司长期在等级保护中的经验及专业的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期更高效的通过等级保护测评,减少因自身经验不足而产生的测评不通过的风险,减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验,完善自身规章制度,摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。针对客户在等级保护建设中管理制度的经验不足,提供合规性制度解决方案,协助客户一起加强信息安全管理制度建设,并顺利的通过等级保护。4. 等保三级建设相关产品介绍4.1. 网络边界安全防护4.1.1 标准要求1.1.1.1 访问控制(G3)本项要求包括:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;d) 应在会话处于非活跃一定时间或会话结束后终止网络连
