《信息安全等级保护平台解决方案设计(DOC 404页)》由会员分享,可在线阅读,更多相关《信息安全等级保护平台解决方案设计(DOC 404页)(405页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护平台解决方案设计目 录1前言61.1设计目的61.2设计原则71.3参考标准91.3.1信息系统安全等级保护标准和规范91.3.2其他信息安全标准和规范101.4参考资料111.5其他说明112系统现状描述132.1网络架构描述132.2信息资产描述172.2.1网络设备情况172.2.2VLAN 划分172.2.3服务器设备情况192.2.4安全设备情况252.2.5应用系统描述333安全需求分析463.1系统定级建议463.1.1确定定级对象463.1.2确定系统定级473.1.3系统定级汇总523.2安全风险分析523.2.1根据风险扫描和调查问卷的结果进行分析523.2
2、.2根据安全管理调查问卷的反馈进行分析573.3安全需求分析683.3.1符合等级保护技术要求的需求683.3.2符合等级保护管理要求的需求803.3.3符合自身安全防护的需求914安全解决方案964.1安全方案设计概述964.1.1构建分域的控制体系964.1.2构建纵深的防御体系964.1.3保证一致的安全强度974.1.4实现集中的安全管理974.2安全技术方案详细设计974.2.1确定保护对象984.2.2保护计算环境1054.2.3保护区域边界1404.2.4保护通信网络1564.2.5安全管理平台1654.3安全管理方案详细设计1714.3.1安全管理机构规划1714.3.2安全管
3、理制度规划1804.3.3人员安全规划1854.3.4系统建设规划1884.3.5系统运维规划1934.4安全解决方案总结2004.4.1安全技术建设效果2004.4.2安全管理建设效果2205安全建设方案2245.1等级保护总体建设过程2245.2等级保护建设过程规划2255.2.1安全等级评估2255.2.2安全体系设计2265.2.3安全体系建设2275.2.4安全运维建设2285.3等级保护建设内容规划2285.3.1阶段一:实现基本的加固与配置2285.3.2阶段二:实现全面的安全配置2305.3.3阶段三:系统优化配置2336安全建设总结2367附录一 某安全建设投入概算2428附
4、录二 等级保护基本要求2488.1等级保护技术要求2488.1.1第3级信息系统的技术要求(JS_REQ_3)2488.1.2第2级信息系统的技术要求(JS_REQ_2)2618.1.3第1级信息系统的技术要求(JS_REQ_1)2718.2等级保护管理要求2758.2.1第3级信息系统的管理要求(GL_REQ_3)2758.2.2第2级信息系统的管理要求(GL_REQ_2)2898.2.3第1级信息系统的管理要求(GL_REQ_1)2991 前 言1.1 设计目的某是一家在国内从事信息安全业务的著名厂商,从1995年成立起,某以防火墙为基础,陆续推出各类安全解决方案及产品,形成了安全产品、安
5、全集成和安全服务三大业务体系,为政府、军队、金融、能源、电信、教育等众多行业用户提供安全技术及产品,协助用户搭建起安全保护平台,使其信息系统更好的服务于业务的应用。在对外开展业务的同时,某公司自身也非常重视信息化建设,逐步建成了覆盖全国35个分支机构,覆盖公司研发、销售、商务、财务、生产等各个业务环节的信息处理平台,信息化的建设为企业的发展,提升企业业务处理效率,降低企业管理成本起到了关键的作用。伴随着信息系统的快速发展,信息系统所面临的安全威胁日益复杂,对信息安全系统的需求与日俱增。某公司各层领导对安全工作非常重视,从96年起逐年加大在安全建设方面的投资,进行了一系列的安全组织、制度、管理和
6、技术方面的安全建设工作,在近期要求的安全工作包括加强基础安全管理,包括落实组织保障和安全责任;加强日常安全生产工作;逐步开展安全建设。要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系;要集中统一建设必备的网络安全防护手段;在划分安全区域,统一边界的基础上,实现重点防护和隔离。目前公司利用防火墙、VPN、防病毒、终端安全管理、安全信息管理等技术,为公司信息网络的安全防护起到了一定的效果。从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心
7、的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设,并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程,提出了具体的管理办法和实施指南,并对信息安全系统提出了技术和管理方面的建设要求。本方案针对某网络环境、应用系统以及当前的安全措施为基础,分析某公司的安全建设需求,结合国家等级保护的建设规范和技术要求而编制,一方面对某信息安全建设起到指导作用;另一方面可形成中小型企业(在业务以及信息化建设方面类似于某公司的客户)安全防护系统建设方案,为企业进行安全建设起到建议作用;还可通过将
8、等级保护基本要求在某公司的实际网络环境中落地,形成多系统复杂环境的等级保护建设方法,指导用户落实等级保护的制度和要求。1.2 设计原则等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。对于某公司信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、研发类信息系统,在方案设计中应当遵循以下的原则:适度安全原则任何信息系统都不能做到绝对的安全,在进行某信息安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此在
9、进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对某公司信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;本方案在设计中将重点保护某公司涉及生产、研发、销售等关键业务的信息系统,对其他信息系统则降低保护等级进行一般性设计和防护;技术管理并重原则信息安全问题从来就不是单纯的技术
10、问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖某所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障某信息系统的整体安全性,形成技术和管理两个部分的建设方案;分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区
11、域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;标准性原则某信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性;动态调整原则信息安全问题不是静态的,它总是随着某管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;标准性原则信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析,
12、是本方案重点强调的设计原则;成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的;科学性原则本方案的设计是建立在对某公司进行安全评估基础上的,在威胁分析、弱点分析和风险分析方面,是建立在客观评价的基础上而展开分析的结果,因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决某公司信息网络中存在的安全问题,满足特性需求。1.3 参考标准本方案根据国家提出的等级保护管理办法和实施指南,针对某信息系统的特点和安全建设需求,进行全面的安全保障规划,设计中重点参考的政策和标准包括以下两个部分:1.3.1 信息系
13、统安全等级保护标准和规范本方案重点参考以下的的政策和标准:指导思想中办200327号文件(关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知)公通字200466号文件(关于印发信息安全等级保护工作的实施意见的通知)公通字200743号文件(关于印发信息安全等级保护管理办法的通知)等级保护GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T aaaaa-某某 信息安全技术 信息系统安全等级保护实施指南系统定级GB/T aaaaa-某某 信息安全技术 信息系统安全保护等级定级指南技术方面GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 202
14、71-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求GA/T671-2006 信息安全技术终端计算机系统安全等级技术要求GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型GB/T aaaaa-某某 信息安全技术 信息系统安全等级保护基本要求管理方面GB/T aaaaa-某某 信息安全技术 信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准方案设计信息安全技术 信息系统等级保护安全建设技术方案设计规范方案架构IATF 信息保障技术框架1.3.2 其他信息安全标准和规范 ISO/IEC 15408(CC):信息技术安全评估准则。该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。 GB/T 18336:等同采用ISO 15408 ISO/IEC 17799/BS7799-1:信息安全管理体系实施指南。这是目前世界上最权威的信息安全管理操作指南,对信息安全工作具有重要指导意义。 ISO/IEC 13335,第一部分:IT安全的概念和模型;第二部分:IT安全的管理和计划制定;第三部分:IT安全管理技术;第四部分:安全措施的选择;第五部分:网络安全管理指南。
