《系统设计安全保障体系规划》由会员分享,可在线阅读,更多相关《系统设计安全保障体系规划(9页珍藏版)》请在金锄头文库上搜索。
1、第1章 系统安全保障体系规划QYBZJG信息化系统运行在QYBZJG内部网络系统上,依托内网向系统相关人员提供相关 信息与服务,系统中存在着大量非公开信息,如何保护这些信息的机密性和完整性、以及系 统的持续服务能力尤为重要,是QYBZJG信息化系统建设中必须认真解决的问题。1.1 系统安全目标与原则1.1.1 安全设计目标QYBZJG 信息化系统安全总体目标是:结合当前信息安全技术的发展水平,设计一套科 学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢 复能力,从物理、网络、系统、应用和管理等方面保证QYBZJG信息化系统”安全、高效、 可靠运行,保证信息的机密
2、性、完整性、可用性和操作的不可否认性,避免各种潜在的威胁。具体的安全目标是: 具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制,保证关 键业务操作的可控性和不可否认性。确保合法用户合法使用系统资源; 能及时发现和阻断各种攻击行为,特别是防止DoS/DDoS等恶意攻击,确保QYBZJG 信息化系统不受到攻击; 确保 QYBZJG 信息化系统运行环境的安全,确保主机资源安全,及时发现系统和 数据库的安全漏洞,以有效避免黑客攻击的发生,做到防患于未然; 确保 QYBZJG 信息化系统不被病毒感染、传播和发作,阻止不怀好意的 Java、ActiveX 小程序等攻击内部网络系统; 具有与
3、QYBZJG 信息化系统相适应的信息安全保护机制,确保数据在存储、传输 过程中的完整性和敏感数据的机密性; 拥有完善的安全管理保障体系,具有有效的应急处理和灾难恢复机制,确保突发 事件后能迅速恢复系统; 制定相关有安全要求和规范,1.1.2 安全设计原则QYBZJG信息化系统安全保障体系设计应遵循如下的原则:1) 需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定 是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性 与可用性相容,做到技术上可实现,组织上可执行。2) 分级保护原则:系统有多种信息和资源,每类信息对保密性、可靠性要求不同。 以应用为主导,科
4、学、合理划分信息安全防护等级,并依据安全等级确定安全防 护措施。3) 多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。建立多重保护 系统,各层保护相互补充,提供系统安全性。4) 整体性和统一性原则:QYBZJG信息化系统安全涉及各个环节,包括设备、软件、 数据、人员等,只有从系统整体的角度去统一看待、分析,才可能实现有效、可 行的安全保护。5) 技术与管理相结合原则:QYBZJG信息化系统安全是一个复杂的系统工程,涉及人、 技术、操作等要素,单靠技术或单靠管理都不可能实现。因此在考虑 QYBZJG 信 息化系统安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育 与技术培训
5、、安全规章制度建设相结合。6) 统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变 化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据系统 的实际需要,先建立基本的安全保障体系,保证基本的、必须的安全性。随着今 后系统应用和复杂程度的变化,调整或增强安全防护力度,保证整个系统最根本 的安全需求。7) 动态发展原则:要根据系统安全的变化不断调整安全措施,适应新的系统环境, 满足新的系统安全需求。1.2 系统安全需求分析要保证QYBZJG信息化系统的安全可靠,必须全面分析QYBZJG信息化系统面临的所有威 胁。这些威胁虽然有各种各样的存在形式,但其结果是一致的,
6、都将导致对信息或资源的破 坏或非法占有,并可能造成严重后果。QYBZJG 信息化系统应考虑以下安全需求,如下表所示。安全层面安全需求安全需求描述物理安全异地容灾异在容灾主要是预防场地问题带来的数据不可用等突发情况。这 些场地问题包括:电力中断、通信线路破坏及战争、地震、火灾、 水灾等造成机房毁坏或不可用等。通过异地容系统将这种故障造 成的损失减到最小。由QYBZJGIT整体建设考虑。机房监控机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手 段有门禁系统、监视系统、红外系统等。安全层面安全需求安全需求描述后续项目可利用目前已有机房设施。设备备份设备备份用于预防关键设备意外损坏。后续项目中
7、关键服务器、存储系统应有冗余设计。线路备份线路备份主要是预防通信线路意外中断。后续项目中服务器与网络连接,以及网络岀口应考虑线路备份电源备份电源备份用于预防电源故障引起的短时电力中断。 后续项目可利用目前已有机房电源设施。防电磁泄漏防电磁泄漏用于预防电磁泄漏引起的数据泄漏。防电磁泄漏手段 有屏蔽机房、安装干扰器、线路加密等。后续项目可利用目前已有机房设施。媒体安全媒体安全用于预防因媒体不可用引起的数据丢失。要求对数据进 行备份,且备份数据的存放环境要满足防火、防高温、防震、防 水、防潮的要求。后续项目应考虑存储媒体的安全。采用磁带机进行离线备份。网络与 系统安全深层防御深层防御就是采用层次化保
8、护策略,合理划分安全域,对每个安 全域及边界采用适当的有效保护。后续项目系统部署时应加以考虑。边界防护边界防护用于预防来自本安全域以外的各种恶意攻击和远程访 问控制。边界防护机制有VLAN、防火墙、入侵检测、网闸等 措施。后续项目实施时应加以考虑。网络防病毒网络防病毒用于预防病毒在网络内传播、感染和发作。 后续项目利用已有网络防病毒系统。系统监测系统监测用于保护QYBZJG信息化系统WEB页面保护。 后续项目实施方案设计时统筹考虑。备份恢复备份恢复用于意外情况下的数据备份和系统恢复。后续项目方案设计时应加以考虑利用数据库提供的备份工具进 行备份恢复处理。漏洞扫描漏洞扫描用于及时发现操作系统、数
9、据库系统、应用系统以及网 络协议安全漏洞,防止安全漏洞引起的安全隐患。后续项目实施时应加以考虑。安全审计用于事件追踪。要求网络、安全设备和操作系统、数据库系统有 自代审计功能。后续项目实施时应加以考虑。应用安全身份认证身份认证用于保证用户身份的真实性。QYBZJG信息化系统用户采用实名制,实行严格的身份认证,5 保系统用户身份的合法性。权限管理权限管理指对QYBZJG信息化系统中的操作和访问进行权限管 理,防止非授权访问和操作。安全层面安全需求安全需求描述QYBZJG信息化系统实行严格的权限管理,防止越权访问。数据完整性数据完整性指对QYBZJG信息化系统中存储、传输的数据进行 数据完整性保护
10、。QYBZJG信息化系统开发与实施中应满足数据完整性要求。数据传输 机密性数据传输机密性指对QYBZJG信息化系统与其它安全域之间传 输的敏感信息进行加密保护。鉴于QYBZJG信息化系统部署在内网,数据机密性要求不咼, 对数据传输机密不做要求。抗抵赖抗抵赖就是通过米用数字签名方法保证当事人行为的不可否认 性。根据QYBZJG信息化系统的信息秘密性等级,暂不要求抗抵赖 能。安全审计对涉密信息的访问和操作要有完善的日志记录,并提供相应的申 计工具。QYBZJG信息化系统应提供日志记录功能。安全管理组织建设安全管理组织建设包括:组织机构、人才队伍、应急响应支援体 系等的建设。后续项目要求相应的组织保
11、障。制度建设安全管理制度建设包括:人员管理制度,机房管理制度,卡、机 具生产管理制度,设备管理制度等的建设后续项目要求相应的制度建设除有关的上述内容外,还应建立 明确的信息发布、维护管理制度。标准建设安全标准规范建设包括:数据交换安全协议、认证协议、密码服 务接口等标准规范的建立。根据QYBZJG信息化系统需要,建立相关的标准与规范。安全服务安全服务包括安全培训、日常维护、安全评估、安全加固、紧急 响应等根据QYBZJG信息化系统维护管理需要,明确安全需求,采取 要的安全服务措施,及时解决或预防各种安全问题。技术建设安全管理技术建设主要指充分利用已有的安全管理技术,利用和 开发相关的安全管理工
12、具,提高安全管理的自动化、智能化水平。 应根据QYBZJG信息化系统维护管理需要进行安全技术建设。基于前面的安全风险分析,QYBZJG信息化系统必须采取相应的应对措施与手段,形成 有效的安全防护能力、隐患发现能力和应急反应能力,切实保障QYBZJG信息化系统安全。1.3 系统安全需求框架根据上述的系统安全需求分析、系统安全目标及系统安全规划原则,阐述QYBZJG信息 化系统安全需求。QYBZJG 信息化系统安全需求框架可以概括为如下图所示的结构:实体缶全网銘姿全系址妄全应用妄全管理妄全防护 檢测 嗔应 恢复安全基础设施应用安全空全审毀统 tu 证安全策略QYBZJG 信息化系统安全需求主要包括
13、安全基础设施、系统应用安全和安全管理体系。1.4 安全基础设施QYBZJG 信息化系统安全基础设施主要包括以下内容: 安全隔离措施 网络防病毒系统 监控检测系统 设备可靠性设计 备份恢复系统以下分别阐述。1.4.1安全隔离措施根据QYBZJG信息化系统部署方案与安全域划分,需要将内网与其他BD的通信网络 采取适当的安全隔离措施,如可以通过VLAN、防火墙保护安全域边界安全。项目实施中根 据已有网络安全情况确定。1.4.2 防病毒系统:网络防病毒用于预防病毒在QYBZJG信息化系统所在安全域内传播、感染和发作。后续项目利用网络防病毒系统防范病毒入侵和传播。1.4.3 监控检测系统监控检测系统用于
14、及时发现操作系统、数据库系统、应用系统以及网络协议安全漏洞, 防止安全漏洞引起的安全隐患。同时保护QYBZJG信息化系统不受侵害。后续项目利用漏洞扫描系统解决漏洞扫描问题,发现和修补安全漏洞,对各种入侵和破 坏行为进行检测和预警,项目实施时统筹考虑。1.4.4 设备可靠性设计QYBZJG 信息化系统应考虑设备可靠性设计问题,系统关键设备服务器应考虑避免单 点故障问题。建议:服务器系统采用双机加磁盘柜模式。应用系统与数据库分别安装在二台服务器上, 其中一台作为应用系统生产机,另一台作为数据库生产机,二台服务器连接磁盘柜;应用系 统生产机为数据库系统提供备份支持,数据库生产机为应用系统提供备份支持
15、,二台互为备 份。以提高系统的可靠性。服务器及存储系统详见“*”相关内容。1.4.5 备份恢复系统QYBZJG 信息化系统应建立有效的备份恢复系统,确保在系统出现故障的情况下能够 重建恢复到出现故障前的状态。建议系统采用磁带机作为离线备份工具。1.5 系统应用安全信息系统设计归结起来要解决资源、用户、权限三类问题,在这三大要素中,用户是安 全的主体,应用系统的安全也就是围绕用户展开的。因此用户身份的验证便成了应用系统必 须解决的第一个问题;解决身份问题之后,第二个要解决的问题便是授权,就是确保每个用 户都能授以合适的权限;第三为解决资源的安全性与安全审计问题,需要解决数据完整性的 问题;这些构成了应用系统安全的主体。1.5.1 身份认证系统QYBZJG 信息化系统用户采用实名制,建立统一的用户信息库,为系统提供身份认证服 务,只有合法用户才能对QYBZJG信息化系统进行访问。基于分级保护的策略,身份认证系统支持用户名/口令认证方式,并支持CA数字证书认 证方式。身份认证应实现以下具体功能:
