等级保护(三级)方案 深信服科技
本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。
7.3 安全域的划分
7.3.1 安全域划分的依据
对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。因此,安全域划分是进行信息安全等级保护的首要步骤。
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。当然,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。对信息系统安全域(保护对象)的划分应主要考虑如下方面因素:
1. 业务和功能特性
? 业务系统逻辑和应用关联性
? 业务系统对外连接:对外业务,支撑,内部管理 2. 安全特性的要求
? 安全要求相似性:可用性、保密性和完整性的要求,如有保密性要求的
资产单独划区域。
? 威胁相似性:威胁来源、威胁方式和强度,如第三方接入区单独划区域。 ? 资产价值相近性:重要与非重要资产分离,如核心生产区和管理终端区
18
等级保护(三级)方案 深信服科技
分离。 3. 参照现有状况
? 现有网络结构的状况:现有网络结构、地域和机房等 ? 参照现有的管理部门职权划分
7.3.2 安全域划分与说明
根据朔州市交警队公共服务平台业务系统的实际情况,将安全域划分为如下几个:
? 互联网接入域:互联网接入域主要为内网用户部分和业务应用部分提供
互联网接入访问支撑。
? 对外发布服务域:业务人员提供业务系统的访问。
7.4 安全技术体系设计
7.4.1 机房与配套设备安全设计
机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
? 机房选址
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
? 机房管理
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。 对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域
19
等级保护(三级)方案 深信服科技
前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 ? 机房环境
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
? 设备与介质管理
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
20
等级保护(三级)方案 深信服科技
7.4.2 计算环境安全设计 7.4.2.1 身份鉴别
身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面: 主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
? 对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户
名的唯一性。
? 根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度
不少于8位并定期更换;
? 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数
和自动退出等措施。
? 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。 ? 对主机管理员登录进行双因素认证方式,采用USB key+密码进行身份鉴
别
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括: 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
21
等级保护(三级)方案 深信服科技
对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USBkey+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
7.4.2.2 访问控制
三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现:在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。 强制访问控制实现:在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级。
由此主要控制的是对应用系统的文件、数据库等资源的访问,避免越权非法使用。采用的措施主要包括:
启用访问控制功能:制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。
权限控制:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。
账号管理:严格限制默认帐户的访问权限,重命名默认帐户,修改默认口令;及时删除多余的、过期的帐户,避免共享帐户的存在。
访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。
22