收藏
下载资源

等级保护技术方案范本

上传人:新** 文档编号:456379719 上传时间:2023-09-22 格式:DOCX 页数:22 大小:62.93KB
返回 下载 相关 举报
等级保护技术方案范本_第1页
第1页 / 共22页
等级保护技术方案范本_第2页
第2页 / 共22页
等级保护技术方案范本_第3页
第3页 / 共22页
等级保护技术方案范本_第4页
第4页 / 共22页
等级保护技术方案范本_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《等级保护技术方案范本》由会员分享,可在线阅读,更多相关《等级保护技术方案范本(22页珍藏版)》请在金锄头文库上搜索。

1、等级保护技术方案信息系统等级保护建设指导要求(三级)目录1-范围错误!未定义书签。2. 项目背景错误!未定义书签。2-1-前言错误!未定义书签。2.2.开展信息安全等级保护的法规、政策和技术依据错误味定义 书签。2.2.1信息安全等级保护有关法规、政策、文件错误味定义书 签。2.2.2信息安全等级保护技术标准体系及其关系错误味定义书 签。3. 方案设计要求错误!未定义书签。3.L 方案设计思想错误!未定义书签。3.1.1构建符合信息系统等级保护要求的安全体系结构错误!未定义书签。3.1.2建立科学实用的全程访问控制机制.错误!未定义书签。3.1.3加强源头控制,实现基础核心层的纵深防御错误味定

2、义书签。3.1.4面向应用,构建安全应用支撑平台.错误!未定义书签。3.2. 建设原贝U错误!未定义书签。3.3. 建设内容错误!未定义书签。3.3.1信息系统定级整改规划错误!未定义书签。3.3.2信息系统安全等级保护整体架构设计(三级)错误!未定义书签。3.4. 计算环境安全设计错误!未定义书签。5.1.1用户身份鉴别错误!未定义书签。5.1.2强制访问控制错误!未定义书签。5.1.3系统安全审计错误!未定义书签。5.1.4用户数据完整性保护错误味定义书签。5.1.5用户数据机密性保护错误味定义书签。5.1.6客体安全重用错误!未定义书签。5.1.7程序可执行保护错误!未定义书签。3.5.

3、 区域边界安全设计错误味定义书签。5.2.1区域边界访问控制错误!未定义书签。5.2.2区域边界包过滤错误味定义书签。5.2.3区域边界安全审计错误味定义书签。5.2.4区域边界完整性保护错误!未定义书签。3.6. 安全通信网络设计错误!未定义书签。3.7. 安全管理中心设计错误!未定义书签。4. 物理安全要求错误!未定义书签。4.1 .信息系统中心机房安全现状错误!未定义书签。4.2 .信息系统物理安全方面提出的要求错误!未定义书签。4.3.信息系统物理安全建设错误!未定义书签。5.3.1环境安全错误味定义书签。5.3.2设备安全错误味定义书签。5.3.3介质安全错误味定义书签。5. 管理安

4、全要求错误!未定义书签。5.1 .信息系统安全管理的要求错误味定义书签。5.2 .信息系统安全管理建设设计错误味定义书签。6.2.1安全管理建设原贝错误味定义书签。6.2.2安全管理建设指导思想错误味定义书签。6.2.3安全管理建设具体措施错误味定义书签。5.3.信息系统安全建设总结错误!未定义书签。6. 设备要求错误!未定义书签。6.1. 设备选型原则错误味定义书签。6.2. 产品分类选型指标错误!未定义书签。6.2.1. 主机安全管理平台指标错误味定义书签。6.2.2. 应用安全防护系统指标错误味定义书签。6.2.3. 终端安全防护系统(服务器版)指标.错误!未定义书签。6.2.4. 终端

5、安全防护系统(PC版)指标错误!未定义书签。6.2.5. 身份认证网关指标错误!未定义书签。6.2.6. 数据库审计系统指标错误!未定义书签。627. 防火墙选型指标错误!未定义书签。628. 防病毒网关指标错误!未定义书签。629. 入侵检测系统指标错误!未定义书签。6.2.10.漏 洞 扫 描 系 统 指 标错误!未定义书签。6.2.11肮拒绝服务系 统指 标错误!未定义书签。6.2.12.流 量控制网关指标错误!未定义书签。6.2.13.网 络审计系统指标错误!未定义书签。6.2.14.VPN设备选型指标错误!未定义书签。6.3 .信息系统安全等级保护建设安全产品配置清单(三级)错误!未

6、定义书签。附件一:术语和定义错误!未定义书签。附件二:方案设计参考法规、政策、标准(含国标、行标、已送批)列表错误!未定义书签。1-方案设计要求2.9方案设计思想2.9.1. 构建符合信息系统等级保护要求的安全体系结构平台安全建设需要在整体信息安全体系指导下进行实施,保 证信息安全建设真正发挥效力。随着计算机科学技术的不断发展,计算机产品的不断增加, 信息系统也变得越来越复杂。从体系架构角度看,任何一个信息 系统都由计算环境、区域边界、通信网络三个层次组成。所谓计 算环境就是用户的工作环境,由完成信息存储与处理的计算机系 统硬件和系统软件以及外部设备及其连接部件组成,计算环境的 安全是信息系统

7、安全的核心,是授权和访问控制的源头;区域边 界是计算环境的边界,对进入和流出计算环境的信息实施控制和 保护;通信网络是计算环境之间实现信息传输功能的部分。在这 三个层次中,如果每一个使用者都是经过认证和授权的,其操作 都是符合规定的,那么就不会产生攻击性的事故,就能保证整个 信息系统的安全。2.9.2. 建立科学实用的全程访问控制机制访问控制机制是信息系统中敏感信息保护的核心,依据计 算机信息系统安全保护等级划分准则(GB17859-1999)(以下 简称 GB17859-1999):三级信息系统安全保护环境的设计策略,应“提供有关安全 策略模型、数据标记以及主体对客体强制访问控制”的相关要

8、求。基于“一个中心支撑下的三重保障体系结构”的安全保护环 境,构造非形式化的安全策略模型,对主、客体进行安全标记, 并以此为基础,按照访问控制规则实现对所有主体及其所控制的 客体的强制访问控制。由安全管理中心统一制定和下发访问控制 策略,在安全计算环境、安全区域边界、安全通信网络实施统一 的全程访问控制,阻止对非授权用户的访问行为以及授权用户的 非授权访问行为。2.9.3. 加强源头控制,实现基础核心层的纵深防御终端是一切不安全问题的根源,终端安全是信息系统安全的 源头,如果在终端实施积极防御、综合防范,努力消除不安全问 题的根源,那么重要信息就不会从终端泄露出去,病毒、木马也 无法入侵终端,

9、内部恶意用户更是无法从网内攻击信息系统安 全,防范内部用户攻击的问题迎刃而解。安全操作系统是终端安全的核心和基础。如果没有安全操作 系统的支撑,终端安全就毫无保障。实现基础核心层的纵深防御 需要高安全等级操作系统的支撑,以此为基础实施深层次的人、 技术和操作的控制。2.9.4. 面向应用,构建安全应用支撑平台在当前的信息系统中,不但包括单机模式的应用,还包括C/S 和B/S模式的应用。虽然很多应用系统本身具有一定的安全机 制,如身份认证、权限控制等,可是这些安全机制容易被篡改和 旁路,致使敏感信息的安全难以得到有效保护。另外,由于应用 系统的复杂性,修改现有应用也是不现实的。因此,在不修改现

10、有应用的前提下,以保护应用的安全为目标,需要构筑安全应用 支撑平台。本方案拟采用安全封装的方式实现对应用服务的访问控制。 应用服务的安全封装主要由可信计算环境、资源隔离和输入输出 安全检查来实现。经过可信计算的基础保障机制建立可信应用环 境,经过资源隔离限制特定进程对特定文件的访问权限,从而将 应用服务隔离在一个受保护的环境中,不受外界的干扰,确保应 用服务相关的客体资源不会被非授权用户访问。输入输出安全检 查截获并分析用户和应用服务之间的交互请求,防范非法的输入 和输出。2.10建设原则信息系统安全建设项目依托现有网络环境,基于严格的管理 架构及信息系统运营模式。要实现信息安全整体体系及安全

11、联动 机制的统一规划,需要严格遵循一定的建设原则与标准。主要包 括:需求、风险、代价平衡分析的原则综合性、整体性原则易操作性原则多重保护原则可评价性原则考虑到信息系统安全建设依托单位网络信息中心实现系统管 理和运维,其直接实现信息安全管理与技术建设。需要在网络信 息中心的统一规划指导下开展信息安全建设。建议按照“统一规 划、分步实施”原则,针对单位内管理及使用的各信息系统按安 全等级划分后进行信息安全等级保护的统一规划设计与分步建设 实施。参照信息系统(三级)的技术设计思路和建设内容,遵照等 级保护相关标准和要求,按照等保相应级别系统的安全要求,进 行信息安全等级保护的规划设计。2.11.参考

12、标准中华人民共和国计算机信息系统安全保护条例(国务院14号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发27号)关于信息安全等级保护工作的实施意见(公通字66号)信息安全等级保护管理办法(公通字43号)计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护定级指南信息系统等级保护安全设计技术要求(GB/T25070-)信息系统安全等级保护基本要求(GB/T22239-)信息系统安全等级保护实施指南信息系统安全等级保护测评要求信息安全技术操作系统安全评估准则(GB/T 9-)信息安全技术信息系统安全管理要求(GB/T20269-)信息安全技术网络基础安全

13、技术要求(GB/T20270-)信息安全技术信息系统通用安全技术要求(GB/T20271-)信息安全技术操作系统安全技术要求(GB/T20272-)信息安全技术数据库管理系统安全技术要求(GB/T20273-)2.12.建设内容平台安全基本涉及到如下方面:作为海量数据的处理平台,平台安全控制要做到如下:安全可靠:能够有效屏蔽恶意的访问可伸缩:能够随着规模的扩大,无需更改架构就能够支持易于管理:支持大规模分布式管理,单入口就能够管理所有设备和系统及应用的安全方便用户:不能因为安全要求高,而降低了用户的交互友好度2.13安全拓扑示意图J ti t ernetVM0 J!bEVM VM VMII:9

14、.VMJlVM VM11VMa.vFV.刖VMJILtiEVMJVM VM部署说明:1、网络边界部署抗DDos系统,防护外部僵尸主机对网络及业 务系统的攻击,保障网络的高可用性;2、部署边界防火墙设备,并开启VPN模块,防护来自外部的 安全威胁及访问控制,并对网络间传输的数据进行加密;3、部署入侵防护系统,避免业务系统遭受来自外部的入侵攻 击;4、在虚拟化平台部署安装虚拟防火墙,对东西向流量进行防 护,及各VM间进行隔离。2.14.详细设计方案2.14.1. 计算环境安全设计计算环境安全是整个安全建设的核心和基础。计算环境安全 经过终端、应用服务器和数据库的安全机制服务,保障应用业务 处理全过程的安全。系统终端和服务器经过在操作系统核心层和 系统层设置以强制访问控制为主体的系统安全机制,形成严密的 安全保护环境,经过对用户行为的控制,能够有效防止非授权用 户访问和授权用户越权访问,确保信息和信息系统的保密性和完 整性,从而为业务系统的正常运行和免遭恶意破坏提供支撑和保 障。2.14.1.1. 系统安全加固1)操作系统加固:进行操作系统裁剪,只安装满足业务需求的“最小操作系统”2)加强安全基线配置3)数据库加固:操作系统和数据库程序数据文件安装在不同 分区上;在非系统卷上安装数据库程序和文件;只安装业务需 要的组件,不安装如升级工具、开发工具、代

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号