《安全等级保护建设方案》由会员分享,可在线阅读,更多相关《安全等级保护建设方案(41页珍藏版)》请在金锄头文库上搜索。
1、Xx信息安全等级保护(三级)建设方案目录1?前言?错误!未定义书签。11概述?错误!未定义书签。1、2相关政策及标准错误!未定义书签。2现状及需求分析错误!未定义书签。2、1、?现状分析?错误!未定义书签。2、2、?需求分析?错误!未定义书签。3、?等保三级建设总体规划?错误!未定义书签。3、1、网络边界安全建设?错误!未定义书签。错误 ! 未定义书签。错误!未定义书签。.错误!未定义书签。错误3、2、33?安全运维建设34?等保及安全合规性自查建设3、5、?建设方案优势总结4等保三级建设相关产品介绍?错误!未定义书签。4、1、网络边界安全防护?错误!未定义书签。411标准要求74、1、2?明
2、御下一代防火墙?错误!未定义书签。4、1、3?明御入侵防御系统(IPS)?错误!未定义书签。42?日志及数据库安全审计?错误!未定义书签。4、2、1标准要求?错误!未定义书签。4、2、2明御综合日志审计平台错误!未定义书签。4、2、3?明御数据库审计与风险控制系统错误!未定义书签。43?安全运维审计?错误!未定义书签。431标准要求?错误!未定义书签。4、3、2?明御运维审计与风险控制系统错误!未定义书签。4、4、?核心W田应用安全防护?错误!未定义书签。4、3、1?标准要求?错误!未定义书签。4、3、2?明御WEB应用防火墙?错误!未定义书签。433明御网站卫士?错误!未定义书签。45?等保
3、及安全合规检查错误!未定义书签。451?标准要求错误!未定义书签。4、5、2明鉴WEBS用弱点扫描器?错误!未定义书签。453明鉴数据库弱点扫描器?错误!未定义书签。4、5、4明鉴远程安全评估系统错误!未定义书签。4、5、5明鉴信息安全等级保护检查工具箱错误!未定义书签。4、6、?等保建设咨询服务?错误!未定义书签。4、 6、 1 .服务概述?错误!未定义书签。错误 ! 未定义书签。4、6、2?安全服务遵循标准463?服务内容及客户收益?错误!未定义书签。5?等保三级建设配置建议?错误!未定义书签。1. 前言1.1 概述随着互联网金融得快速发展,金融机构对信息系统得依赖程度日益增高,信息安全得
4、问题也越来越突出。同时,由于利益得驱使,针对金融机构得安全威胁越来越多,尤其就是涉及民生与金融相关得单位,收到攻击得次数日渐频繁,相关单位必须加强自身得信息安全保障工作,建立完善得安全机制来抵御外来与内在得信息安全威胁。为提升我国重要信息系统整体信息安全管理水平与抗风险能力。国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件关于开展全国重要信息系统安全等级保护定级工作得通知与信息安全等级保护管理办法,要求涉及国计民生得信息系统应达到一定得安全等级,根据文件精神与等级划分得原则,涉及到政府机关、金融等核心信息系统,构筑至少应达到三级或以上防护要求。互联
5、网金融行业就是关系经济、社会稳定等得重要单位,等级保护制度得确立与实施,无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性得指导意义。从国家层面上瞧,在重点行业、单位推行等级保护制度就是关系到国家信息安全得大事,为确保重要行业与单位得等级保护信息系统顺利开展实施,同时出台了一系列政策文件来规范、指导与推动风险评估工作得进行,等级保护也积极响应各种标准与政策,以保障重点行业信息系统安全。1.2 相关政策及标准国家相关部门对等级保护安全要求相当重视,相继出台多个信息安全相关指导意见与法规,主要有:中华人民共与国计算机信息系统安全等级保护条例(国务院147号令)关于推动信息安全等级保护测评体
6、系建设与开展等级测评工作得通知(公信安2010303)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T209842007信息安全技术信息安全风险评估规范GB17859-1999信息系统安全等级保护测评准则其中,目前等级保护等保主要安全依据,主要参照GB17859-1999信息系统安全等级保护测评准则与GB/T22239-2008信息安全技术信息系统安全等级保护基本要求本方案亦主要依据这两个标准,以其她要求为辅,来建立本技术方案。2. ?现状及需求分析2.1 现状分析xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台,实现互联网金融业务信息全面融
7、合、集中管理、内部管理得流程化、标准化与信息化,为xx管理工作提供全面得系统支持。该系统定级为安全保护等级三级,通过第三方测评、整体分析与风险分析,xx业务系统中存在与国家等级保护三级标准要求不符合项。2.2 需求分析为了满足达到国家GB/T22239-2008信息技术信息系统安全等级保护基本要求相应得等级保护能力要求,xx业务管理系统启动等级保护安全整改工作,以增强系统得安全防护能力,有效抵御内部与外部威胁,为切实达到国家及行业信息安全等级保护相应要求,使xx业务管理系统在现有运行环境下风险可控,能够为xx客户及内部各部门提供安全、稳定得业务服务。本次方案结合初步检查报告,由于xx业务系统只
8、采用防护墙进行安全防护措施,针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面得薄弱之处,建议部署相关安全防护设备,结合安全管理制度,将满足相应得等级保护防护能力。一、 安全防护:安全防护设计网络安全、主机安全等多个测评内容,针对所发现得安全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统得网络边界部署相应得安全防护设备来进行解决。二、 审计分析:审计分析在三级等级保护要求中,占据重要地位,涉及网络安全、主机安全、应用安全等诸多环节,xx业务系统在第三方审计相关建设上缺乏必要手段,并且对部分重要系统得安全现状难以了解,加强系统安全检测能力,与审计分析能力十分必要。三、
9、安全运维:安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户得接入访问控制,敏感资源得访问控制等,可通过加强安全运维管理与部署相应管理设备加以解决。四、管理制度:管理制度得完善,在等级保护建设中具有非常重要得意义,通过第三方专业人员得现场指导、协助管理制度得完善、弥补安全管理制度中得不足,从管理制度整体协助满足等级保护得相关要求。3. 等保三级建设总体规划根据现有安全形势特点,针对三级等级保护得各项要求,需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设,选择典型安全系统构建。3.1 网络边界安全
10、建设在网络边界处需加弓II对网络防护、WEB应用防护措施,通过相关得网络安全设备部署核心链路中,按照信息安全等级保护标准进行建设。3.2 日志集中审计建设数据库审计系统为旁路部署,需要将客户端请求数据库得得数据与数据库返回给客户端得数据双向镜像到一个交换机接口作为数据库审计设备得采集口,如需同时审计WEBS用得访问请求等同样需要把数据进行镜像。综合日志审计系统为旁路部署,仅需要将系统分配好IP地址,对各型服务器、数据库、安全设备、网络设备配置日志发送方式,将自动收集各类设备得安全日志与运行日志,进行集中查询与管理。数据库弱点扫描器部署在专用电脑上,定期对数据库进行安全检测。3.3 安全运维建设
11、将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备得允许登录IP,仅允许运维审计与风险控制系统可登录操作,运维与管理人员对各类服务器、网络设备、安全设备得操作,均需先得到运维审计与风险控制系统得许可,所有操作均会被运维审计与风险控制系统审计下来,并做到资源控制得设定。3.4 等保及安全合规性自查建设为提高核心业务系统内部网络安全防护性能与抗破坏能力,检测与评估已运行网络得安全性能,需一种积极主动得安全防护技术,提供了对内部攻击、外部攻击与误操作得实时保护,在网络系统受到危害之前可以提供安全防护解决措施,通过远程安全评估系统实现网络及系统合规性自查;为对核心业务系统提供配
12、置安全保证,满足监管单位及行业安全要求,平衡信息系统安全付出成本与所能够承受得安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域得安全,需提供一套针对基线配置得安全检查工具,定期检查其配置方面得与安全基准得偏差措施;核心业务系统得信息安全等级保护建设过程中,以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测,根据结果与整改措施进行信息安全建设。将工具箱得检测报告与整改措施建议作为整改得依据与参考得标准。由于信息安全就是个动态得过程,整改完成不代表信息安全建设工作完成,可利用工具箱进行不断得自检自查。3.5 建设方案优势总结通过安全运维、安全防护、审计分析、安全制度四部
13、分得部署加固,满足事前检测(数据库弱点扫描器)、事中防护(明御WB应用防火墙、运维审计与风险控制系统)、事后追溯(明御综合日志审计系统、明御数据库审计与风险控制系统)得安全要求,结合安全服务对管理制度得完善,提供对重要信息系统起到一体化安全防护,保证了核心应用与重要数据得安全。满足三级等级保护对相关检测项目得要求。一、通过部署事前检测工具,依据权威数据库安全专家生成得最全面、最准确与最新得弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点才3描器得部署,可以定期对WEBS用与数据库进行安全检测,从而发现安全问题及相关隐
14、患后能够及时修补。二、通过部署事中防御设备,针对黑客得恶意进行全方位得攻击防护,防止各类对网站得恶意攻击与网页木马等,确保网站安全健康运行;同时采用智能异常引擎及关联引擎准确识别复杂攻击,有效遏制应用层DDOS攻击,依靠高速环境下得线速捕获技术实现100%#数据捕获,通过事件回放为安全事件得快速查询与定位、成因分析、责任认定提供有力证据,可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置得情况下,可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙得部署,实现核心业务系统、应用得攻击防护,确保所定级得核心业务系统安全健康运行。三、通过部署事后追溯设备,一方面采用独有得三
15、层审计得数据库审计设备实现WEB应用与数据库得自动关联审计,并提供细粒度得安全审计,实时监控来自各个层面得所有数据库活动,包括数据库操作请求、返回状态及返回结果集。另一方面通过综合日志审计平台对客户网络设备、安全设备、主机与应用系统日志进行全面得标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局得视角,确保客户业务得不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产得日志审计,并可以进行行为得还原与回放。四、通过加强管理制度得建设,利用第三方安全公司长期在等级保护中得经验及专业得测评工具,帮助客户快速得对业务系统进行专业得自查并提供评估报告,以便客户后期更高效得通过等级保护测评,减少因自身经验不足而产生得测评不通过得风险,减少在时间与金钱方面得损失。客户可以依托第三方安全公司在信息安全合规性建设中得经验,完善自身规章制度,摆脱繁琐得制度合规性审查并切实有效得
