《XXX烟厂等级保护建议书》由会员分享,可在线阅读,更多相关《XXX烟厂等级保护建议书(15页珍藏版)》请在金锄头文库上搜索。
1、啦 80 軒 moCM目录1项目概况 11.1 背景分析 11.2 信息安全等级保护政策 12系统定级 22.1 定级工作 22.2 不同等级的安全保护能力 22.3 定级参考 33等级保护方案设计 43.1 设计依据 43.2 方案设计 43.2.1 物理安全 43.2.2 网络安全 53.2.3 主机安全 83.2.4 应用安全 93.2.5 数据安全 94产品部署 114.1 产品部署示意图 114.2 产品部署说明 115产品清单和预算 121 项目概况1.1背景分析烟草行业已建成以国家烟草专卖局为核心的,遍布全行业的内联网。行业卷 烟生产经营决策系统、办公自动化系统、专卖准运证系统和
2、电子交易系统等信息 化系统已建成并开始应用。为保证烟草企业信息系统持续、稳定的运行,保证在 其行业中核心竞争力,必须按照国家规范进行信息安全建设。本方案是安装国家等级保护要求,针对绵阳烟草公司网络现状提出的信息安 全建设意见,可作为绵阳烟草公司信息安全建设依据和参考。1.2 信息安全等级保护政策1994 年国务院颁布的计算机信息系统安全保护条例中已经规定:我国 的“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部 会同有关部门制定”。1999 年,国家质量技术监督局正式发布了强制性国家标准: GB17859 1999:计算机信息系统安全保护等级划分准则2003年中央办公 厅、
3、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意 见(中办发200327 号文件)明确指出,“要重点保护基础信息网络和关系国 家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保 护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月15日, 由公安部、国家保密局、国家密码管理局和国信办联合下发关于信息安全等级 保护工作的实施意见(66号文件),明确实施等级保护的基本做法。2007年6 月22日又由四单位联合下发信息安全等级保护管理办法(43号文件),规范 了信息安全等级保护的管理。2007 年 7 月 20 日,公安部、国务院信息办等 4 部门在
4、北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”, 部署在全国范围内开展重要信息系统安全等级保护定级工作。2 系统定级2.1定级工作2008 年国家烟草专卖局下发了国家烟草专卖局办公室关于做好烟草行业 信息系统安全等级保护定级工作的通知文件。我国烟草行业的信息安全等级保 护工作正式开展。该通知要求各烟草行业单位成立工作机构,明确主管部门,确 定安全定级,并对二级以上信息系统进行审核备案。2.2不同等级的安全保护能力根据国家标准“GB/T 222392008 :信息安全技术信息系统安全等级保护基本要求”,对不同等级的信息系统应具备的基本安全保护能力要求如下:第一级安全保护能力:应
5、能够防护系统免受来自个人的、拥有很少资源的威 胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的 关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量 资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁 所造成的重要资源损害,能够发现重要的安全 漏洞和安全事件,在系统遭到损 害后,能够在一段时间内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、 以及其他相当危害程度的威胁所造成的主要资源损
6、害,能够发现安全漏洞和安全 事件,在系统遭到损害后,能够较快恢复绝大部分功能第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有 丰富资源的威胁源发起的恶意攻击、严重的自然灾难、 以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事 件,在系统遭到损害后,能够迅速恢复所有功能。第五级安全保护能力:(略)。2.3 定级参考根据国家烟草专卖局办公室关于做好烟草行业信息系统安全等级保护定级 工作的通知要求,信息系统定级要符合信息安全等级保护管理办法的规定 和信息系统安全等级保护定级指南的要求。重要信息系统要定为三级,较重 要信息系统要定为二级,一般
7、信息系统定为一级。行业统一联网运行的信息系统 由国家局确定安全保护等级。在行业内作用和功能基本相同的信息系统要确定相 同的安全保护等级。定级的信息系统要具备信息系统基本要素,对于仅作为用户 使用的信息系统不需定级。涉密信息系统按照国家保密工作部门的有关规定进行 定级。根据以上定级相关要求,我们认为在信息系统定级对象中应合理定级,国家 级系统应按照国家级相关要求进行定级。而各省市级自行开发和使用的系统中三 级系统数量建议小于二级定级系统数量。本单位信息系统安全保护等级定级可参照以下定级系统清单(只例举到本单位涉及的信息系统):系统名称影响客体侵害程度拟定等级保护级别办公自动化(远程 公文传输)系
8、统企业利益严重损害3级行业卷烟生产经营 决策管理系统公众利益、企业利益严重损害3级网络系统企业利益严重损害3级行业电视会议系统企业利益一般损害2级3 等级保护方案设计3.1 设计依据本方案主要参考一下标准和依据:国家标准: GB/22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求 信息系统等级保护安全设计技术要求. 信安秘字2009059 号 行业标准: YC/Z204-2006 烟草行业信息化标准体系 YC/T4532012 烟草行业信息安全体系建设规范 YC/T3892011 烟草行业信息系统安全等级保护与
9、信息安全事件的定级准则行业依据: 烟草系统特大、重大安全事故行政责任追究的规定.国烟法【2001 】278号 烟草行业信息系统技术管理规定(试行).国烟法【2001】383 号 烟草行业网络信息安全事件信息报告制度.国烟办20091343 号3.2方案设计3.2.1物理安全物理安全方面,绵阳烟厂中心机房已达到 B 级机房标准,本节只简述,不 必再考虑进行安全建设。3.2.1.1机房环境机房的门、墙壁、天花板以及装修已参照电子信息系统机房设计规范(GB50174-2008)相关标准规定实施。另外,在电力供应、防雷、防火、温湿度控制、综合布线上均采取有效措施, 具体如下:已安装冗余电路、配置UPS
10、、供电线路上配置稳压器和过电压防护设备;已安装防雷系统和接地线、设置防雷保安器; 已安装火灾自动消防系统; 已安装精密空调; 电源线路和通信线路隔离铺设。 已安装机房环境监控系统。3.2.1.2设备与介质管理中心机房在大楼 3 楼,与信息中心办公区相邻,在其他设备管理方面如下: 关键和敏感的业务信息处理设施已放置在机房安全的区域内; 已安装监控系统和防盗报警系统。 已指定严格的出入管理制度和环境监控制度,在物理上避免未授权访问、 损坏和干扰;3.2.2网络安全网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全 等。3.2.2.1网络结构目前,网络结构方面已实现以下几项: 网络设
11、备、关键节点链路均采用冗余部署机制按部门和行政职能划分了子网网段 关键设备保证了冗余空间 核心和外联带宽充裕 实现了路由控制机制基本满足等级保护第三级要求中对网络结构项的要求,建议通过交换机和路 由器的 QoS 功能,保证带宽中的业务流量优先级。另外,在行业网出口,建议部署两台链路负载均衡,利用设备专业选路算法, 对提供的两条链路进行流量负载和选路,并提供链路备份、抗DDOS等功能。3.2.2.2网络边界安全网络边界安全主要通过从访问控制、入侵防范、恶意代码过滤、安全审计、 边界完整性检查等几个方面实现。 访问控制互联网出口处已配备专业防火墙产品,核心交换机配备防火墙模块,通过状 态检测机制对
12、来自外部非法访问进行有效控制。行业网出口未采用安全防护措施,建议部署下一代防火墙以强化网络安全防 护。建议通过专业安全服务人员,对防火墙进行策略加固,在内部利用交换机 ACL 功能,访问控制策略需精确到端口级。 入侵防范互联网出口主要采用防火墙的入侵防御模块实现,防护效果和日志功能简 单。在行业网出口、关键服务器区域,未采用入侵防范的技术手段。建议在互联网出口部署下一代防火墙以替换原有防火墙,授权开启入侵防御 模块提供基本的网络入侵防护和持续性攻击防护的能力。规划部署的行业网出口 的下一代防火墙授权开启入侵防御模块,以提供相应防护。同时,针对于服务器 区域应采用检测机制,部署入侵检测系统,以及
13、时预警来自内部的网络入侵行为。 恶意代码防护互联网出口已采用防病毒网关设备,通过专业厂商提供的防病毒过滤引擎和 防病毒识别库,能有效抵御传统防火墙无法识别的病毒、木马等恶意程序,有效 拦截用户访问的含有恶意程序网页链接。行业网出口未采用恶意代码防护措施。由于等级保护相关要求,安全防护设备必须采用具有国有知识产权的品牌和 厂商,同时考虑成本节约和统一管理的需求,在互联网出口和行业出口,可开启 下一代防火墙的防病毒模块以达到原有的恶意代码防护要求。 安全审计互联网出口处已采用上网行为管理设备,并按照公安 82 号令要求,提供对 终端用户的上网行为安全审计。在网络内部,提供一台网络审计设备,但未有效
14、 使用。建议加强对上网行为管理设备的日常升级维护,同时合理利用现有网络审 计,加强策略配置。 边界完整性检查边界完整性检查主要开展两方面的工作:1、防止外部终端非法接入到企业 内部;2、在特定的区域,避免内部终端私自外接其他网络;现企业未在此方面 建立基本的安全机制。建议通过部署网络准入认证网关,外来访客必须经过合规检查和认证机制后 方能接入内部网络,同时对其访问区域按照接入对象进行有效控制;另外,针对 特定区域和部门,应在终端部署内网安全管理系统,保证其唯一出口路径。3.2.2.3网络设备自身安全目前,在网络中的网络设备已具备基本的安全机制功能,但未能有效利用。 另外,对网络设备的访问主要采
15、用静态用户名+密码的方式,极易产生安全管理 问题。建议通过专业安全服务人员对网络设备进行安全配置核查,提供配置文件定 时备份功能;考虑到日常的安全运维,应部署智能运维网关,将重要的网络设备 认证帐号进行回收并统一管理,所有网络管理员只能通过智能运维网关对网络设 备进行访问。在智能运维网关进行认证时,按需可提供如Ukey+静态密码的双因 素认证机制,以提高实现越权操作的门槛。3.2.3主机安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统 及数据库系统层面的安全。3.2.3.1操作系统安全主机操作系统安全按照等保要求结合可行性分析,应重点从身份鉴别、访问 控制、安全审计、入侵防范、恶意代码防范等几个方面实现。现有终端/工作站计算机本地登录方式主要采用用户名+静态密码方式,应通 过内网安全管理系统提供基于第三方的认
