等级保护(三级)方案 深信服科技
于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
? 访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
? 系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
? 入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
? 软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计
13
等级保护(三级)方案 深信服科技
算机系统的正常运行。
? 数据安全
主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性;保护鉴别信息的保密性
? 备份与恢复
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。
? 资源合理控制
资源合理控制包括主机和应用两个方面。
主机系统以及应用系统的资源是有限的,不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制,制定包括:登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。
6.3 区域边界安全风险与差距分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
? 边界访问控制
朔州市交警队公共服务平台业务系统可划分为如下边界:互联网接入边界、对外发布边界
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
14
等级保护(三级)方案 深信服科技
? 边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
? 边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
? 边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。
6.4 通信网络安全风险与差距分析
通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
? 网络结构
网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。
? 网络安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企
15
等级保护(三级)方案 深信服科技
图的少部分用户,以利于规范正常的网络应用行为。
? 网络设备防护
由于朔州市交警队公共服务平台业务系统中将会使用大量的网络设备,如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。
? 通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
? 网络可信接入
对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到朔州市交警队公共服务平台业务系统网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。
16
等级保护(三级)方案 深信服科技
7 技术体系方案设计
7.1 方案设计目标
三级系统安全保护环境的设计目标是:落实GB 17859-1999对三级系统的安全保护要求,在三级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得朔州市交警队公共服务平台业务系统等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
7.2 方案设计框架
根据《信息系统安全等级保护基本要求》,分为技术和管理两大类要求,具体如下图所示:
17