《等级保护安全设计方案》由会员分享,可在线阅读,更多相关《等级保护安全设计方案(44页珍藏版)》请在金锄头文库上搜索。
1、等级保护安全设计方案文档编号密级商业机密版本编号日期目录一. 刖言1二. 概述12.1项目目标12.2设计原则22.3依据标准42.3.1主要依据标准42.3.2辅助参考标准5三. 安全现状、风险与需求分析53.1安全现状分析53.2安全需求分析63.2.1系统间互联安全需求分析错误!未定义书签。3.2.2 XX大厦信息系统安全需求分析错误!未定义书签。3.2.3投资广场信息系统安全需求分析错误!未定义书签。3.2.4 XX大厦信息系统安全需求分析错误!未定义书签。四. 方案总体设计114.1总体安全设计目标114.2总体安全技术框架114.2.1分区分域建设原则114.2.2 一个中心三重防
2、护的安全保障体系124.2.3安全防护设计13五. 等级保护详细安全建设方案145.1技术建设145.1.1网络安全建设错误!未定义书签。5.1.2主机及应用系统安全建设错误!未定义书签。5.1.3数据安全及备份恢复建设19一.前言随着我国信息化建设的不断深入,我们对信息系统的依赖越来越强,国家信 息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、 社会秩序,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度, 已引起各界的关注。由于信息系统的安全保障体系建设是一个极为复杂的工作,为信息系统组织 设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业
3、单位 的信息系统应用众多,结构复杂,覆盖地域广阔,涉及的行政部门和人员众多, 建设起来困难重重,我国多数信息系统安全一直停留在网络安全阶段。为了保障 我国现代化建设的有序进行,必须加强我国的信息系统安全体系建设。信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级 别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息 系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系 统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要 求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信 息安全的必要条件。二概述2.1项
4、目目标根据对XXXX运行监控系统的了解,并结合国家的相关政策标准,XXXX运 行监控系统的信息安全建设应落实关于信息安全等级保护工作的实施意见(公 通字【2004】66号)和关于开展信息系统安全等级保护基础调查工作的通知 (公信安【2005】 1431号),实施符合国家标准的安全等级保护体系建设,通过 对XXXX运行监控系统的安全等级划分,合理调配XXXX运行监控系统的资源、 信息科技资源、业务骨干资源等,重点确保XXXX运行监控系统的核心信息资产 的安全性,从而使重要信息系统的安全威胁最小化,达到XXXX运行监控系统信 息安全投入的最优化。实现信息资源的机密、完整、可用、不可抵赖和可审计性,
5、 基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”,具 体目标是:并协助完成如下任务:1、定级:根据国家等级保护的要求,对XXXX运行监控系统提出合理的定级 建议,组织专家评审定级是否合理,协助甲方完成定级工作;2、评估:XXXX运行监控系统等级保护工作不是在原有网络基础之上进行整 改,而是根据业务信息系统的需要全新构建一个安全的业务系统平台。在对XXXX 运行监控系统信息系统建设需求进行调研、分析的基础上,按照等级保护二级的 建设要求,以系统为单位进行安全风险评估,找出目标系统技术环节及管理环节 的不足以及面临的威胁,出具安全风险评估报告并提出安全加固建议;3、方案设计与评
6、审:结合等级保护的技术和管理要求,提交XXXX运行监控 系统的安全设计方案。召开项目成果专家验收评审会,XXXX运行监控系统的安全 设计方案进行评审。4、成果输出:后期建设期间,提供咨询和支持,协助客户和集成商最终完成等 级保护测评。5、辅助测评:在第三方测评的前期准备,中期过程支持,后期遗漏修补,以 帮助客户测评合格。2.2设计原则根据本次项目的目标,本项目应当遵循以下项目原则:一、符合性原则符合国家等级保护的相关标准、管理文件和流程要求;二、规范性原则工作中的过程文档和最终文档,具有很好的规范性,可以便于项目的跟踪和 控制;三、最小影响原则评估工作尽可能小的影响系统和网络的正常运行,不能对
7、现网的运行和业务 的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等);四、连续性原则网络平台在进行网络设计时,不仅需要满足目前的需求,还要考虑到技术的 发展,具备适度的前瞻性,能够满足现今和将来一段时期的需要。同时还要为未 来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护,又要兼顾未来 的发展和变化。本原则的贯彻主要体现在网络系统设计和应用系统设计方面。五、实用性原则实用性的原则的目的是在保证实用要求和技术可行性的前提下,要选择易于 操作和管理,应用见效快的技术和方案,以及适当档次和价格的设备。这主要指: “从实际出发,讲求实效”,在通讯网络平台的设计中,首先要考虑的
8、是实用性和 易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备 和资源的充分利用,保护原有的投资。六、先进性原则为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用,将整 个网络系统的技术水平定位于一个较高的层次上,从而保证系统的先进性,以适 应新世纪的发展需要。七、可扩展性原则可扩充性和可延展性主要包括两个方面的内容:一是为网络将扩充新的节点 和新的分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力,能够 适应网络新技术发展的要求。八、可靠性原则鉴于通讯网络规模较大,数据类型复杂,要求网络系统必须具有较高的可靠 性,和良好的网络管理能力,要充分考虑设备、线
9、路和网络设计的冗余备份,网 络模块要能够热插拔,以便在线更换和扩充。另外,通讯网络系统较大,应能对 其进行有效的管理与维护。九、安全性原则在系统建设中,安全性原则应在各个方面予以高度重视,计算机网络的建设 也不能例外,特别是网络中和其他不可信网络进行了连接,有可能会发生这样那 样的蓄意破坏事件,威胁到网络的可靠安全运行。因此在网络系统设计和实施等 各个环节将严格遵循这项原则。在设计上采用恰当的技术手段为系统提供保护、 监视、审计等手段。十、标准化、规范化方案所采用的技术和设备材料等,都必须符合相应的国际标准或国家标准, 或者符合相关系统内部的相应规范。便于系统的升级、扩充,以及与其它系统或 厂
10、家的设备的互连、互通。2.3依据标准XXXX运行监控系统属于国家信息建设的组成部分,其信息安全保障体系的建 设必须要符合国家相关法律和要求,我国对信息安全保障工作的要求非常重视, 国家相关监管部门也陆续出台了相应的文件和要求,从标准化的角度,XXXX运行 监控系统的安全规划应参考以下的政策和标准:2.3.1主要依据标准在本次安全策略开发中,依据的主要标准以等级保护为主,具体标准如下: 证券期货业信息系统安全等级保护基本要求(送审稿) 信息系统安全等级保护基本要求(GB/T22239-2008) 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全保护等级定级指南(GB/
11、T22240-2008) 信息系统等级保护安全设计技术要求 信息安全等级保护实施指南 信息安全技术网络基础安全技术要求(GB/T 20270-2006) 信息安全技术信息系统通用安全技术要求(GB/T 20271-2006) 信息安全技术操作系统安全技术要求(GB/T 20272-2006) 信息安全技术数据库管理系统通用安全技术要求(GB/T 20273-2006) 信息安全技术信息系统安全等级保护基本模型(GA/T 709-2007)2.3.2辅助参考标准 ISO27000 关于开展信息安全风险评估工作的意见2006年1月国家网络与 信息安全协调小组 关于印发信息安全风险评估指南的通知20
12、06年2月国信办(国信办综20069号) IATF:信息保障技术框架。由美国国家安全局组织编写,为信 息与信息基础设施的安全建设提供了技术指南。 ISO/IEC15408(CC):信息技术安全评估准则。该标准历经数 年完成,提出了新的安全模型,是很多信息安全理论的基础。三.安全现状、风险与需求分析3.1安全现状分析说明:此拓扑为逻辑拓扑图,接口和系统为逻辑接口和逻辑系统模型,如有与 实际情况不符的地方可修改。现状说明:系统的数据仓库专用网在XX大厦,本系统的数据对外交换平台,也是整 个系统的中枢环节。XX大厦的数据仓库专用网包括五个对外的逻辑接口。 接口 1主要接收来自上交所、深交所、中登总部
13、主机、期货保证金监控中 心、投保基金的数据;接口2接收来自互联网供应商的数据;接口3主要 接收来自人民银行、外管局、发改委、统计局的数据;接口4主要与投资 广场进行数据交互;接口 5主要与XX大厦进行数据交互。系统内部还包 括WEB/APP、数据库服务器、磁盘阵列等。投资广场的系统开发人员和运维人员主要负责数据仓库专用网的开发和运维工作,在投资广场包括两个接口,接口 1主要负责与XX大厦进行数 据交互;接口 2为互联网接口连接Internet,与内网系统物理隔离。 XX大厦通过接口 1与XX大厦进行数据交互,用户终端和管理服务器对数 据监控和管理。并且通过手工导入的方式向会内网导入一些会内网需
14、要的 数据信息。3.2安全技术需求分析3.2.1主机安全需求分析3.2.1.1身份鉴别需要对整个XXXX运行监测系统的终端和服务器进行安全配置或部署安全产 品,使操作系统和数据库系统的用户名不能相同且用户口令或密码具有不被仿冒 的特点,满足密码复杂性要求并定期对口令或密码进行更换;当用户口令或密码 输入错误达到一定数量需要采取一定的限制措施;远程管理时需要防止鉴别信息 被窃听。3.2.1.2访问控制需要对XXXX运行监测系统的终端和服务器进行安全配置,删除多余的账号; 实现操作系统与数据库系统账户的权限分离;限制默认账户的访问权限。3.2.1.3安全审计需要通过对XXXX运行监测系统的终端和服
15、务器启用审计功能或部署安全产 品,对重要用户的行为和系统的运行状况进行审计且应保障审计系统被恶意的删 除、修改或覆盖;审计记录应包括事件的日期、时间、类型、主体标识、客体标 识和结果等。3214入侵防范需要通过对XXXX运行监测系统的终端和服务器进行安全配置,保证其满足最 小安装原则,仅安装业务所需的软件程序;通过安全配置或部署安全产品进行补 丁的更新。3.2.1.5恶意代码防范需要通过在XXXX运行监测系统的终端和服务器部署安全软件的方式,实现恶 意代码的防范,安全软件应当支持统一管理。3.2.1.6资源控制需要通过对XXXX运行监测系统的终端和服务器进行安全配置,实现登陆操作 系统超时锁定和设定用户对系统资源的使用限额;通过部署安全产品的方式限制 终端登陆方式。3.2.2应用安全需求分析3.2.2.1身份鉴别XXXX运行监测系统的各应用模块需要提供身份鉴别功能,并且通过应用模块 或者部署安全产品实现用户身份标识唯一化控制,提供登录失败处理功能,可采 取结束会话、限制非法登录次数和自动退出等措施。3.222访问控制通过对X
