等级保护(三级)方案 深信服科技
网络的边界完整性。具体如下:
? 在线主机监测
可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。
? 主机授权认证
可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。
? 非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。
? 网络白名单策略管理
可生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。
? IP和MAC绑定管理
可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。
7.4.5 安全管理中心设计
由于朔州市交警队网络覆盖面广,用户众多,技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况,统一部署安全策略,应进行安全管理中心的设计,根据要求,应在系统管理、审计管理和安全管理几个大方面进行建设。
33
等级保护(三级)方案 深信服科技
在安全管理安全域中建立安全管理中心,是有效帮助管理人员实施好安全措施的重要保障,是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设,真正实现安全技术层面和管理层面的结合,全面提升用户网络的信息安全保障能力。
7.4.5.1 系统管理
通过系统管理员对系统的服务器、网络设备、安全设备、应用系统进行统一的管理包括:
? 用户身份管理:统一管理系统用户身份,按照业务上分工的不同,合理
地把相关人员划分为不同的类别或者组,以及不同的角色对模块的访问权限。权限设置可按角色划分,角色分为普通用户、系统管理员、安全管理员、审计管理员等。
? 系统资源配置:进行系统资源配置管理与监控,包括CPU负载、磁盘使
用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等,通过配置采样时间,定时检测。
? 系统加载和启动:进行系统启动初始化管理,保障系统的正常加载和启
动。
? 数据备份与恢复:数据的定期备份与恢复管理,识别需要定期备份的重
要业务信息、系统数据及软件系统,规定备份信息的备份方式、备份频度、存储介质、保存期等;根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,定期执行备份与恢复策略。 ? 恶意代码防范管理:建立恶意代码管理中心,进行防恶意代码软件的统
一管理。恶意代码管理中心实现:杀毒策略统一集中配置;自动并强制进行恶意代码库升级;定制统一客户端策略并强制执行;进行集中病毒报警等。
? 系统补丁管理:集中进行补丁管理,定期统一进行系统补丁安装。注意
34
等级保护(三级)方案 深信服科技
应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
? 系统管理员身份认证与审计:对系统管理员进行严格的身份鉴别,只允
许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
7.4.5.2 审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
具体集中审计内容包括: ? 日志监视
实时监视接收到的事件的状况,如最近日志列表、系统风险状况等;监控事件状况的同时也可以监控设备运行参数,以配合确定设备及网络的状态;日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
? 日志管理
日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口采集管理对象的日志信息,转换为统一的日志格式,再统一管理、分析、报警;自动完成日志数据的格式解析和分类;提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理,下级管理中心的日志数据可以发送到上级管理中心进行集中管理
? 审计分析
集中审计可综合各种安全设备的安全事件,以统一的审计结果向用户提供可定制的报表,全面反映网络安全总体状况,重点突出,简单易懂。
35
等级保护(三级)方案 深信服科技
系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表;支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析;支持基于多种条件的统计分析,包括:对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志,可按照入侵攻击事件、源地址、被攻击主机进行统计分析,生成各类趋势分析图表。
系统可以生成多种形式的审计报表,报表支持表格和多种图形表现形式;用户可以通过IE浏览器访问,导出审计结果。可设定定时生成日志统计报表,并自动保存以备审阅或自动通过邮件发送给指定收件人,实现对安全审计的流程化处理。
7.4.5.3 监控管理
统一监控管理将集中进行系统安全监测,并为安全计算环境、安全区域边界、安全通信网络进行统一的监控与告警。
对全网的安全设备、安全事件、安全策略、安全运维进行统一集中的监控、调度、预警和管理。集中安全管理平台针对每个安全域的设备提供灵活的策略制定和管理,实现本安全域内的信息收集和处理。同时,在安全管理安全域中部署设备管理系统服务器和控制台,通过与各事件服务器组件或安全设备通信,实现整个网络的全局监控。
管理员在安全管理安全域的控制台上,可以集中的对设备的报警策略进行指定和下发,同时,监视可处理报警信息。安全管理平台可以以拓扑图的方式来直观清晰的显示设备关键属性和运行状态。
通过部署集中安全管理平台实现:安全事件的深度感知、安全事件的关联分析、安全威胁的协同响应。通过部署集中安全管理平台,提高安全管理的效率,保障网络的安全运行
36
等级保护(三级)方案 深信服科技
8 安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计:
? 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
? 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责; 设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度; 建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。 ? 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执
37