《XXXX集团办公与邮件系统等级保护(三级)安全整改建设》由会员分享,可在线阅读,更多相关《XXXX集团办公与邮件系统等级保护(三级)安全整改建设(70页珍藏版)》请在金锄头文库上搜索。
1、XXXX 集团公司办公及邮件系统信息等级保护(三级)建设方案2016 年 5 月目目 录录1总述总述.41.1项目背景 41.2设计依据 51.3设计目标 51.4设计范围 52安全目标分析安全目标分析62.1系统定级情况 62.2定级系统现状 62.3等保三级安全要求 102.3.1基本要求三级要求.122.3.2设计技术要求三级要求.142.4安全需求分析 152.4.1合标差距分析安全需求.162.4.2风险评估分析安全需求.213等级保护总体设计等级保护总体设计 243.1方案设计原则 243.2方案设计思想 253.3总体安全框架 273.3.1分区分域设计.283.3.2安全技术架
2、构.303.3.3安全管理架构.323.4等级保护建设流程规范化.324等级保护安全技术建设等级保护安全技术建设.344.1物理安全 344.1.1物理安全设计.344.1.2物理安全设计具体措施.344.2技术安全 354.2.1技术安全设计.354.2.2等级保护安全建设后网络拓扑.404.2.3安全区域划分.404.2.4等级保护安全技术措施.414.3应用安全 434.3.1应用安全设计.434.3.1办公系统和邮件系统应开发安全功能.444.4等级保护所需安全产品清单.445安全管理建设安全管理建设455.1安全管理要求 455.2信息安全管理体系设计.465.2.1安全管理体系设计
3、原则.465.2.2安全管理体系设计指导思想.465.2.3安全管理设计具体措施.465.3信息安全管理体系设计总结.556安全产品选型及指标安全产品选型及指标.566.1设备选型原则 566.2安全产品列表 586.3主要安全产品功能性能要求.596.3.1网络接入控制系统.596.3.2服务器操作系统安全加固软件.646.3.3主机监控与审计系统.661 总述总述1.1 项目背景项目背景随着国家信息化发展战略的不断推进,信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法
4、权益的重要保证。2003 年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化设计健康发展的一项基本制度,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施,保障信息安全与信息化设计相协
5、调;有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全设计成本;能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义,是国家对重要工程项目信息系统安全保护设计提出的强制性要求。XXXX 公司(以下简称为“XXXX” )的前身是中国航空技术进出口总公司。XXXX 由中国航空工业集团公司控股,全国社会保障基金理事会、北京普拓瀚华投资管理中心(有限合伙)和中航建银航空产业股权投资(天津)有限公司共同持股。XXX
6、X 是中国航空工业的重要组成部分,是中国航空工业发展的先锋队,改革的试验田,是中国航空工业开拓国际市场、发展相关产业、扩大国际投资的综合平台。XXXX 从自身信息化业务需求和安全需求角度出发,为了满足 XXXX 总部各类业务信息系统的安全稳定运行,提高对重要商业信息安全的基本防护水平,更好的实现与中航工业金航商网的对接,决定针对企业内部的办公系统和邮件系统,按照国家信息安全等级保护三级水平开展安全整改建设工作,确保信息系统安全、可靠、稳定运行和长远发展。1.2 设计依据设计依据本方案主要依据以下文件和技术标准进行编写:关于信息安全等级保护工作的实施意见 (公通字200466 号)信息安全等级保
7、护管理办法 (公通字200743 号)计算机信息系统安全保护等级划分准则 (GB17859-1999)信息安全技术 信息系统等级保护安全设计技术要求 (GB/T25070-2010)信息安全技术 信息系统安全等级保护基本要求 (GB/T22239-2008)信息安全技术 信息系统安全等级保护实施指南 (GB/T25058-2010)1.3设计目标设计目标通过开展等级保护安全体系设计,从“保密性、完整性、可用性”角度为XXXX 办公系统和邮件系统提供安全保障,实现系统安全和信息安全,保障系统资源和信息资源的最大化安全使用,达到通过国家信息安全等级保护(三级)测评的水平,最终实现有效支撑办公系统和
8、邮件系统安全、可靠、长远发展的总体目标。1.4设计范围设计范围XXXX 办公系统和邮件系统是本等级保护安全整改建设项目要保护的目标系统,本建设方案将以国家信息安全等级保护相关文件和技术标准为依据,将以自主知识产权和国产化信息安全装置为基础,对 XXXX 的办公系统和邮件系统相关的物理环境、硬件平台、软件平台以及定级系统自身,从管理和技术两个方面进行总体的规划和设计。2 安全目标分析安全目标分析2.1系统定级情况系统定级情况编号编号系统名称系统名称安全等级安全等级系统状态系统状态1办公系统(含门户系统、OA系统端和移动端)三级拟定级2邮件系统三级拟定级2.2定级系统现状定级系统现状XXXX 的办
9、公系统和邮件系统是本次开展等级保护建设的目标系统。两个系统尚未进行定级备案,拟定级为等保三级。(一)定级系统概述(一)定级系统概述办公系统办公系统主要用于 XXXX 内部工作人员办公使用。办公系统由门户系统和OA 系统两个子系统组成,OA 系统又包括 PC 系统端和移动端两部分。办公系统可通过办公内网或互联网进行访问,系统用户总数约为 1800 人,XXXX 总部大厦约有办公人员 500 人。办公系统可通过 PC 和智能移动终端进行访问,PC 端系统为 B/S 架构,智能移动终端系统为 C/S 架构,需安装相应的 APP 客户端软件。邮件系统邮件系统为 XXXX 内部工作人员提供邮件服务,系统
10、总用户数为 3023 人,用户分布于国内和国外。邮件系统通过互联网访问,用户可使用 Web 方式或第三方邮件客户端软件进行收发操作。图:定级系统现状拓扑图图:定级系统现状拓扑图(二)定级系统服务器情况(二)定级系统服务器情况办公系统办公系统共有 6 台服务器,均部署在北京总部机房中。这 6 台服务器的功用:OA 数据库服务器、OA 应用服务器、移动 OA 应用服务器、OA 数据库备份服务器及门户数据库服务器、门户应用服务器(虚拟机) 。OA 系统的 PC 系统端和移动端有各自的应用服务器,后端数据库为同一个数据库。OA 数据库服务器和OA 应用服务器划分在 Internet 访问入口区的 DM
11、Z 区中,移动 OA 应用服务器、OA 数据库备份服务器、门户数据库服务器和门户应用服务器(虚拟机)均划分在内网服务器区中。OA 系统的 4 台服务器均采用 Windows 操作系统,系统版本为 Windows2003;门户系统服务器均采用红帽子(RHEL)Linux 操作系统,系统版本为 5.4。邮件系统邮件系统服务器共有两台,这两台服务器采用镜像方式部署,分别安装于北京总部机房和深圳总部机房中。深圳节点为源节点,北京节点为镜像节点,两服务器之间通过一条 10M 电信邮件专线互联、同步。邮件服务器操作系统为红帽子 Linux6.3。由于等级保护采用属地化管理,因此,本次安全保护建设将只针对邮
12、件系统北京节点服务器,不涉及深圳节点服务器。表:定级系统服务器列表表:定级系统服务器列表序号系统用途操作系统版本安全域1办公系统OA 数据库服务器Windows2003DMZ 区2办公系统OA 应用服务器Windows2003DMZ 区3办公系统移动 OA 应用服务器Windows2003内网服务器区4办公系统OA 数据库备份服务器Windows2003内网服务器区5办公系统门户数据库服务器RHEL5.4内网服务器区6办公系统门户应用服务器RHEL5.4内网服务器区7邮件系统邮件服务器RHEL6.3DMZ 区(三)现有安全资源(设备)(三)现有安全资源(设备)表:现有安全产品列表表:现有安全产
13、品列表编号编号设备类型和名称设备类型和名称数量数量单位单位说明说明1深信服负载均衡 M5400 AD1台访问出口安全防护;2山石 UTM-M61101台访问出口安全防护;3深信服流控系统 AC-20801台访问出口安全防护;4深信服负载均衡 AD-16801台访问入口安全防护;5启明星辰防火墙 USG-2010D1台访问入口安全防护;6绿盟入侵防护 NIPS N1000A1台访问入口安全防护;7深信服 Web 应用防火墙 WAF1台访问入口安全防护;8创佳互联移动设备管理1套移动安全防护;9江南信安移动安全接入网关1台移动接入安全防护;10深信服 SSL VPN1台移动接入安全防护;11绿盟网
14、络安全审计 SAS1000C1台网络安全及数据库审计;12绿盟 BVSS 安全核查1台网络安全审计;13安恒综合日志管理 DAS-2001台网络安全审计;14绿盟 WSMS 网站检测1台网络安全审计;15绿盟运维审计 SASNX3-H600C1台网络安全审计;16绿盟入侵检测 NIDS N1000A1台网络安全审计;17无线 AC1台无线网络控制管理;18启明星辰防火墙 USG-FW-2010D1台服务器区安全防护;19启明星辰天榕电子文档安全系统500点终端数据防泄漏;20绿盟堡垒机1台安全运维管理;21华为 Esigh 网管系统1套网络设备运维管理(仅限华为设备) ;22虚拟化移动 OA5
15、00点移动办公信息防泄漏;(四)其他安全措施(四)其他安全措施1、 设备管理权限a) 专线路由器和楼层交换机通过 ACL 控制,只允许管理员的 IP 地址登陆设备,并且创建不同级别的用户权限,超级管理员拥有所有权限,一般管理员只有访问权限不可修改;b)根据部门划分 VLAN,不同 VLAN 不能互访;c) 安全设备没有对登陆设备的源 IP 进行限制,创建不同级别权限的用户,网络管理员拥有最高权限,普通管理员只允许查看;2、 内外网访问设备途径;a)管理员统一通过绿盟堡垒机登录设备进行网管;b)管理员在公司以外的地方需要管理设备的时候,首先登录公司深信服VPN 设备,然后登录堡垒机对设备进行网管
16、;3、 每月月初根据 IPS 日志,汇总上月入侵防护事件,形成安全月报(专人负责);4、 内部用户上网,通过深信服行为管理实现上网认证,认证方式用户名加密码和短信认证;5、 网络入口和出口各部署一台深信服链路负载均衡设备,入口联通 20M,电信 20M;出口联通 40M,电信 40M;6、 网络入口负载均衡主要负责智能 DNS 和网络地址转换,有效隐藏内部服务器的 IP 地址;网络出口负载均衡主要负责针对内部员工上网进行地址转换和链路负载均衡;7、 通过网络入口防火墙,允许内部用户对 DMZ 区资源的访问,控制粒度为用户加端口;8、 通过内部服务器区防火墙,允许内部用户对内部服务器区资源的访问,控制粒度为用户加端口;9、 深信服上网行为管理的外置数据中心可以记录用户 6 个月内的上网行为;10、现有网络中,Esigh 网管软件只能对华为设备的运行状况产生日志,不支持第三方设备;11、IPS 可以对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等进行进行告警并有
