目录
- 项目概述
1.1 项目背景
随着国家信息化的不断推进与当前电子政务的大力建设,信息已经成为最
能代表综合国力的战略资源,因此,信息资源的保护、信息化进程的健康是关乎
国家安危、民族兴旺的大事;保障信息安全是国家主权、政治、经济、国防、社
会安全和公民合法权益保障的重要保证。
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基
本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保
障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础
信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建
立信息安全等级保护制度。
为组织各单位、各部门开展信息安全等级保护制度工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、
等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策休系,为指导各单位、各部门开展等级保护工作提供了政策保障。同时,在国内有关部门、专家、企业的共同努力下,公安部和标准化工作部门组织制订了信息安全等级保护的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
《中华人民共和国计算机信息系统安全防护条例》(国务院令第 147 号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院 147 号令的要求而制订发布的强制性国家标准《计算机信息系统安全防护等级划分准则》(GB17859-1999)为计算机信息系统安全防护等级的划分奠定了技术基础。《国
家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《关于印发< 信息安全定级保护管理办法>的通知》(公通字[2007]43 号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。
1.2 现状描述
1.2.1业务现状
主要应用系统情况如下:
- XX 应用系统承载对 XXX 功能等。
- XX 的业务信息包括:等。
- XX 平台的业务信息包括: 。
- XX 系统的业务信息包括 XXX 等。
- XX 系统主要是 XXX。
1.2.2基础设施现状
主要业务应用系统方面
序号 |
软件名称 |
主要功能 |
重要程序 |
1 |
|||
2 |
|||
3 |
|||
... |
主要物理主机/存储设备
序号 |
设备名称 |
数量 |
操作系统/数据库管理系统 |
业务应用软件 |
1 |
||||
2 |
||||
3 |
||||
... |
主要网络互连设备
序号 |
设备名称 |
数量 |
用途 |
重要程度 |
1 |
||||
2 |
||||
3 |
||||
... |
主要网络安全设备
序号 |
设备名称 |
数量 |
用途 |
重要程度 |
1 |
||||
2 |
||||
3 |
||||
... |
1.2.3系统差距分析
为了配合信息安全等级保护实施工作的开展,信息中心对定级的信息系统进行了等级保护差距评估,找出了差距,弥补存在的问题,具体情况如下:
物理和环境安全方面的差距
测评单元 |
存在问题 |
建议 |
网络与通信安全方面的差距
测评单元 |
存在问题 |
建议 |
设备与计算安全方面的差距
测评单元 |
存在问题 |
建议 |
应用与数据安全方面的差距
测评单元 |
存在问题 |
建议 |
安全管理机构与人员方面的差距
测评单元 |
存在问题 |
建议 |
安全建设管理方面的差距
测评单元 |
存在问题 |
建议 |
安全运维管理方面的差距
测评单元 |
存在问题 |
建议 |
- 需求分析
2.1 从合规维度分析
按照《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求 第 1 部分:安全通用要求》中等级保护第三级要求进行防护。至少应涵盖等级保护基本要求中的管理与技术要求。
另一方面,等级保护合规的要求在不断的向前演进,等级保护也从 1.0 时代 迈向 2.0 时代,原有的防护体系、技术手段面临这新的威胁和挑战,所以需要一套“新”合规建设方案,真正落地等级保护、不止合规的理念,建立动态应对新的安全威胁。
2.1.1 安全管理体系要求
考虑到安全形势不断变化,新的攻击方式和手段在不断的升级变化,由局部
变为全局安全防护,安全管理体系的建设变的尤为重要,在等保建设过程中,需
具备完善的安全管理体系和与之配套的相应管理工具,逐渐完善安全管理体系。
2.1.2 安全技术措施要求
整体包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据
安全。具体覆盖物理和环境安全、网络架构安全、网络访问控制、网络安全审计、
边界完整性检查、网络入侵防御、网络设备防护、数据完整性。可采取的主要安
全措施和技术包括但不限于防火墙、入侵防御系统、安全审计系统、防病毒网关、
应急响应中心、虚拟化防护、云堡垒、集中的容灾备份中心等,通过构建完整的
数据安全保护能力,为数据中心提供完整的数据传输安全、数据存储安全、数据
审计安全提供支撑。
2.2 从快速应对新安全威胁分析
业务系统随着使用人数、开放面的增加,对于攻击者而言,这样的业务
系统的价值非常大,但过去的等级保护建设着眼于合规,如何持续合规,如何快速应对新的安全威胁,对等保建设而言,需要不断的加强。另一方面,随着新安全需求的产生,安全需求的交付一定不能够滞后于业务的交付,所以需要一套能够快速部署、交付的安全产品,能够匹配业务新建引入的安全需求。
外部的威胁是在不断升级的,应对外部威胁的手段也应该是在不断提升的,可以通过建立与之配套的安全团队,也可以通过快速的安全方案的匹配达到持续、快速对抗外部威胁的能力。
2.3 从整体运营、运维分析
等级保护的建设、实施、完善一个安全体系的建立,需要依托于整体的安全管理框架和相关安全技术。最终等保的建设成果,能够建立一套面向安全决策、安全事件应急响应的流程。所以在建设前期,必须健全与安全设备配套的运营流程,能够针对安全设备的安全事件,结合日常运维动作,完善等保建设后的安全运营与运维,具体实现:
1. 威胁和日志的整体管理与运营;
2. 实现安全组件或设备的统一管理,避免过去安全设备管理配置分散化的现象;
3. 基于威胁(事前威胁感知、事中威胁防御、事后威胁溯源)的安全运营,建立健全整体防护体系。
2.4 等级保护的重要性
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高
信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的积极作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展起到重要的推动作用。
为推进信息安全等级保护工作的开展,公安部根据《中华人民共和国计算机
信息系统安全保护条例》(国务院 147 号令)的授权,会同国家相关部门共同推出了一系列指导等级保护具体工作开展的指导意见和规范,共同构成了信息安全 等级保护政策体系。
2.5 设计方案的重要意义
《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《关于 印发<信息安全定级保护管理办法>的通知》(公通字[2007]43 号)确定了实施信 息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展 信息安全等级保护工作的基本内容、工作流程、工作方法等。并且在《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)中指明了信息系统安全等级保护建设实施的基本流程包括:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个基本流程。如下图:
图 二-1 信息系统安全等级保护实施的基本流程
可以看到在五个基本流程中安全设计与实施对信息系统等级保护建设起到了承上启下的关键作用,既是总体安全规划的具体描述,也是安全运行与维护的依赖基础。有效的做好安全设计与实施环节的工作,是保障信息系统合规性建设
的至关重要的任务。
按照《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)中对于安全设计与实施环节的工作规划,安全设计方案对整体的安全设计与实施环节起到了纲领性作用。可以说安全设计方案是安全设计与实施环节中,有效把握信息系统安全体系整体建设,制定信息系统的安全策略,落实安全体系建设的
防护手段,控制项目建设投资与保障建设成果的关键依据。
因此,可以将安全设计方案视为信息系统等级保护建设工作中的灵魂,为安
全体系的建设与落实规划出明确的方向与方法,为信息系统运维工作的开展奠定
了坚厚的基础。
2.6 二级等保安全技术层面需求分析
2.6.1 计算环境安全需求
保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留
客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS,应用
软件等的安全需求。包括:
l 终端防病毒
病毒是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕
虫病毒的爆发,会立刻向其他子网迅速蔓延,这样会大量占据正常业务十分有限
的带宽,造成网络性能严重下降甚至网络通信中断,严重影响正常业务开展。因
此必须采取有效手段进行查杀,阻止病毒的蔓延危害整个网络。
l 主机审计
对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命
令等进行必要的记录审计,同时生成审计报表,便于日后的分析、调查、取证。
l 网络入侵行为检测