基于等级保护2.0三级要求的
信息系统安全等级保护设计建议方案
本项目所建XXX系统的安全性和稳定性直接会影响到XX日常工作情况。各因素导致信息系统被攻击、中断、瘫痪都可能直接影响各部门正常工作,并给如果系统遭受破坏,将会导致XX信息的泄露,影响XX工作人员工作的正常开展,对社会秩序和公共利益造成严重损害给XX带来不可衡量的损失。由于XX系统具有敏感信息多,数据价值高,稳定性要求高的特点,因此,系统按照等级保护三级建设,满足等级保护2.0三级要求,根据国家网络安全等级保护有关标准,从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制进行应用安全设计。建成后需通过等级保护三级测评。
-
- 需求调研与需求分析
通过全面细致的调研,对XXX系统相关信息安全需求进行调研与梳理,充分了解相关物理、网络、主机、应用、数据和管理体系的安全情况,按照等级保护2.0三级要求,分别从等级保护技术要求和等级保护管理要求两个方面对XXX系统相关信息安全进行详细的需求分析。
物理和环境安全是信息系统安全运行的基础前提,是系统安全建设的重要组成部分。在等级保护中将物理和环境安全划分为技术要求的第一部分,从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。
物理和环境安全考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。物理和环境anq 主要考虑如下方面的内容:
- 物理位置的选择
- 物理访问控制
- 防盗窃和防破坏
- 防雷击
- 防火
- 防水和防潮
- 防静电
- 温湿度控制
- 电力供应
- 电磁防护
网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境,是应用安全运行的基础设施之一,是保证应用安全运行的关键,也是实现内部纵向交互、与其它单位横向交流的重要保证。
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为,包括病毒、蠕虫、远程溢出、口令猜测等攻击行为,都可以通过网络实现。网络和通信安全主要考虑如下方面的内容:
- 网络架构
- 通信传输
- 边界防护
- 访问控制
- 入侵防范
- 恶意代码防范
- 安全审计
- 集中管控
设备和计算安全包括各类服务器、终端和其他办公设备操作系统层面的安全风险。设备和计算层面临的安全风险主要来自两个方面,一方面来自系统本身的脆弱性,另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能。设备和计算安全主要考虑如下方面的内容:
- 身份鉴别
- 访问控制
- 安全审计
- 入侵防范
- 恶意代码防范
- 资源控制
应用和数据安全是在前面层次的基础之上,可以提供给最终用户真正办公功能的层次,这个层次包括图表处理、图形化展示分析、意见发表、意见审批、预警情况展示、数据上报等应用,这些功能依靠相应的IE浏览器、数据传输、数据存储和数据库访问控制等实现。
应用和数据安全主要考虑如下方面的内容:
- 身份鉴别
- 访问控制
- 安全审计
- 软件容错
- 资源控制
- 数据完整性
- 数据保密性
- 数据备份和恢复
- 剩余信息保护
- 个人信息保护
安全管理制度是企业或单位安全管理的根本,它需要制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架,并对安全管理活动中的各类管理内容建立安全管理制度,严格规定安全管理制度的授权和制定,使之能完全符合企业或单位的实际情况。
安全管理制度主要考虑如下方面的内容:
- 管理制度
- 制定和发布
- 评审和修订
安全管理机构是信息安全管理职能的执行者,该职能部门应该是独立的,同时设定相关的管理职责,实现信息安全管理工作有效进行的目标。加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题。
安全管理机构主要考虑如下方面的内容:
- 岗位设置
- 人员配备
- 授权和审批
- 沟通和合作
- 审核和检查
人员安全管理是管理要求重要的组成部分,指定并授权专门的部门责人员录用,签署保密协议,并从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员进行全面、严格的安全审查和技能考核,并考核结果进行记录和保存。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
人员安全管理主要考虑如下方面的内容:
- 人员录用
- 人员离岗
- 人员考核
- 安全意识教育和培训
- 外部人员访问管理
系统建设管理,是针对信息系统定级、设计、建设等工作的管理要求。明确信息系统的边界和安全保护,组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施,指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划,对产品采购和自行开发进行规范化的管理。
系统建设管理主要考虑如下方面的内容:
- 系统定级
- 安全方案设计
- 产品采购和使用
- 自行软件开发
- 外包软件开发
- 工程实施
- 测试验收
- 系统交付
- 系统备案
- 等级测评
- 安全服务商选择
系统运维管理是安全管理时间占比最大的一项内容,需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理;建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为,建立统一的监控和安全管理中心。
系统运维管理主要考虑如下方面的内容:
- 环境管理
- 资产管理
- 介质管理
- 设备管理
- 监控管理和安全管理中心
- 网络安全管理
- 系统安全管理
- 恶意代码防范管理
- 密码管理
- 变更管理
- 备份与恢复管理
- 安全事件处置
- 应急预案管理
- 信息安全深化设计
- 信息安全总体架构
- 信息安全深化设计
XXX系统的安全体系包括安全技术、安全管理两大方面,信息安全设计等级保护2.0三级要求,分别物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理制度、安全管理机构、人员安全管理、系统运维管理各个方面上全面打造安全体系,如下图所示:
图表11.8‑1 XXX系统安全等级保护架构图
XXX系统在技术层面可分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个模块,均采取严格的安全技术措施,“物理和环境安全” 包括机房安全、防盗防破坏、防水防火、防雷防静电、电力供应、电漏防护等,“网络和通信安全” 主要包括结构安全、访问控制、边界完整性、入侵防范、恶意代码防范等,“设备和计算安全”主要包括网络设备、安全设备、操作系统、数据库、中间件等,“应用和数据安全”主要从数据完整性、数据备份与恢复、数据保密性安全审计、控制安全、身份鉴别、应用安全检测方面进行考虑。
XXX系统安全管理分为系统运维管理、人员安全管理,安全机构管理、安全制度管理四个模块,其中系统运维管理包括设备管理、网络安全管理、系统安全管理、变更管理、安全事件处理、应急预案管理六个方面;人员安全管理主要包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问和管理等;安全管理机构包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等;安全管理制度包括管理制度、制定和发布、评审和修订等;
系统按照相关的保密性和等保要求进行设计,并提供系统自检功能增强系统的安全性和容错性,从网络布局、系统架构、权限划分机制等实现系统、数据安全稳定。系统支持支持CA认证、业务操作流程数据签名等相关功能。
通过应用软件层面的CA认证、三员管理、权限控制、数据容灾备份、身份认证、安全审计、日志管理等模块与相应的网络建设和可靠的规范管理制度相结合,建立一套完善的安全体系。通过数据安全备份机制、数据加密、数字签名以及数字证书CA认证中心、操作日志、痕迹跟踪、数据库系统的安全机制等确保数据数据备份和恢复、数据保密性、数据完整性;网络和系统级安全措施,包括:安全分区的构架、防火墙、端到端VPN、安全审计系统、入侵检测、网络漏洞扫描、网络性能分析。
在采取严格的安全技术措施外,还必须加强安全管理体系建设。主要包括建立安全管理组织机构、完善安全管理制度及规范和建立安全服务体系三个方面。
安全管理组织机构:建立统一领导、分工负责的安全工作组织体系。
安全管理制度包括:系统管理、访问管理、系统应用、问题处理、保密管理等内容。
安全服务体系包括安全评估、安全运维、应急响应等内容。
XXX系统基于XX应用支撑平台的统一身份认证建设。
CA身份认证系统的建设是为了满足系统对身份鉴别、安全审计、事件追踪、责任认定以及应用授权的需要,保证各个应用系统在网上安全运行。XXX系统以应用支撑平台的统一门户为基础,引入CA身份认证机制。统一门户通过与CA系统接口,加强对系统的安全性控制,保证数据安全访问。
统一身份认证服务依托统一用户管理进行工作,认证过程包括证书验证和身份确认两部分内容,证书验证需要调用电子认证基础设施的相关服务。
用户的身份由唯一身份识别号进行标识,身份识别号同时作为数字证书项签发,实现用户和数字证书的唯一绑定。
统一身份认证服务完成用户的身份跨网认证和信任传递,实现在任何位置登录,都能完成身份认证。
统一身份认证服务包括服务端和客户端两部分内容,身份认证客户端整合在安全客户端中。
具体功能如下:
1.认证客户端示证
示证是认证客户端的重要功能之一,用户通过示证模块向认证服务发起认证请求,并根据认证协议应答挑战和提交数字证书。
2.示证响应
对来自认证客户端所发出的认证请求进行响应,生成并向认证客户端发出认证所需要的挑战码。
3.证书验证
通过调用安全中间件的接口,完成数字证书的获取、解析,检查证书是否同根,是否在有效期内,并通过密码服务中间件调用电子认证基础设施的OCSP服务,确定数字证书是否有效。
4.身份确认
在确认用户所持数字证书有效的基础上,通过确认持证用户是否为业务网的注册用户,只有完成了证书验证和身份确认这两个步骤,才算完成了身份认证。身份确认完成后由可信身份与单点登录服务系统对其进行鉴权并生成可信身份票据。
5.认证客户端票据管理
认证客户端在用户完成认证后对获得的票据进行安全管理,包括安全保存,持身份票据申请单点登录票据等。
为满足等保三级对身份鉴别的要求,XXX系统提供专用的登录控制模块,同时充分运用CA认证系统,使用CA认证的方式实现双因子认证实现用户登录控制。系统提供两种用户登录控制模式:
1、对非CA用户,采用输入用户名和密码方式进行登录管理和控制(非双因子认证);
2、对CA用户,采用CA身份认证方式进行登录管理和控制(双因子认证)。
登录流程如下图:
图表11.8‑3 CA用户登录验证
XXX系统在创建新用户时,会对用户信息进行有效性、唯一性验证,具有用户身份唯一标识和鉴别信息复杂度检查功能,保证应用系统中不存在重复的用户身份标识,身份鉴别信息不易被冒用。
新增用户时,系统会对用户的用户名称进行有效性、唯一性判断,当用户名称中包含非法字符、超出规定长度或者与已有用户名称重复时,则会弹出相应提示,并且会对用户的基本信息进行校验,保证应用系统中不存在重复的用户身份标识,身份鉴别信息不易被冒用。例如:通过登录系统用户管理后台,先建立一个用户名为“用户1”的用户,然后继续尝试添加一个用户名为“用户1”的用户,系统会提示“用户名或别名用户1已存在”。
为保证XX系统用户信息安全性,用户密码设置为必须符合以下规则:
1)每半年修改一次密码,修改日期前一星期每日提醒一次密码即将到期;
2)不包含全部或部分用户名(任意连续3个字符);
3)长度至少为8个字符;
4)至少包含有英文大写字母、小写字母、数字、特殊字符这四种类型字符中的3种字符。
5)有效期最长为6个月。
6)近三次密码设置不能重复
XXX系统部署于政务外网,虽然此网络与互联网不同,属于相对独立的内部网络。但由于网络涉及范围广、用户多、结构复杂等原因,仍然存在系统被攻击的风险,因此必须做好系统安全防护工作。鉴于来访者的不确定性和不可控性,应该优先考虑做好技术防范工作,主要可采取以下技术手段:
XXX系统基于XX应用支撑平台的统一单点登录建设。
在多个同时使用的应用系统中,需要统一用户身份存储和访问管理,用户身份信息的管理通常基于LDAP实现,在多个应用集成到门户中展现时,需要实现单点登录功能。
1.提供单点登录(SSO)的功能,用户只需登录一次,即可到处通行。
2. 提供可配置的SSO组件,应用只需要做配置就可以获得单点登录的能力,当单点登录的策略变化时,应用不需要修改。
3.单点登录覆盖面极广,支持跨域认证,支持不同类型的应用和服务器,主要支持:
(1)与应用SSO集成。
(2)与应用服务器或Portal服务器SSO集成。
(3)与其他应用服务器的SSO集成。
这些补丁程序包含操作系统、应用程序、数据库等,都需要打上最新的安全补丁,这个步骤是非常必要的,因为是程序内部的问题,是安全产品难以替代的,主要是为了防止缓冲溢出和设计缺陷等攻击。
对于Windows 2000而言可以用TCP/IP筛选器,对于Windows 2003可以用自带的防火墙,当然也可以通过操作比较复杂的IP安全策略来实现,Linux可以用自带的IPTable防火墙,本工作是一个非常简单的任务,但会大大降低服务器被入侵的可能性。
系统设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置,尽量不要采用第三方不明开发插件,将系统的程序名字按照一定的规律进行命名以便识别;编写代码过程重要注意对输入串进行约束,过滤可能产生攻击的字符串,需要权限的页面要加上身份验证代码。
无论是系统管理员Administrator,还是FTP及设备管理员的密码,都务必要设置为复杂密码,原则如下:
不少于8位、至少包含有字母大写、字母小写和数字及特殊字符(@#!$%^&()等)、不要明显的规律。
服务器权限设置包括访问系统目录文件的权限和虚拟目录的权限,系统目录文件权限设置原则是:只给需要写入的目录以写的权限,其它全为只读权限;虚拟目录的权限设置原则是;只给需要执行脚本的目录赋予执行脚本的权限,其它目录均为无。
很多系统安装有防火墙仍然被黑客入侵了,经过分析发现,其实这些用户大多安装的是普通硬件防火墙或个人防火墙,普通硬件防火墙大多是以过滤IP和端口为主,辅以NAT地址转换和身份认证等管理功能,对于Web应用安全防护方面几乎没有什么价值,而个人防火墙是面向个人电脑不太考虑可靠性和资源占用,实际应用上不仅对网站防护起不到作用,相反可能会导致网速变慢、系统不稳定等问题。XX系统建设防护方面我们建议用专业的网络防火墙,网络防火墙是针对应用防护的专业级防火墙,有禁用代理、防CC攻击、HTTP过滤、网站哨兵、可信脚本等专业Web防护模块。
-
-
-
- 防止ARP欺骗的发生
-
-
从ARP欺骗其实就是利用了ARP包不经认证的特点,比较有效的是在路由器和交换机上对IP和MAC进行绑定,不支持绑定的可在服务器上设定为从服务器到网关为静态ARP表。
为满足等保三级对访问控制的要求,在XX信息中心内网机房部署下一代防火墙,根据IP和端口设置安全策略,只有符合策略的数据包才能通过,其实现流程示意如下图所示:
图表11.8‑5 网络防火墙
对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;限制网络最大流量数及网络连接数;启用下一代防火墙的ARP防欺骗功能;关闭磁盘默认共享功能;禁用Windows身份登录方式;重命名Administrator用户。
对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
XXX系统审计日志可用于安全事件中定位问题原因及划分事故责任,审计日志中记录用户操作信息,可以快速定位系统是否遭受恶意的操作和攻击。审计日志包括但不限于如下内容:
- 集群管理、服务管理、实例管理、主机管理、维护管理等方面的操作日志信息;
- DDL(数据定义)语句、DML(数据操作)语句等方面的操作日志信息;
- 元数据操作、数据维护、权限管理、文件操作等方面的操作日志信息;
- 程序运行(启动、停止、查询Container)的操作日志信息。
XXX系统会记录应用的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。
XXX系统基于XX应用支撑平台的统一审计管理。
应用程序的审计日志包含应用程序执行周期内发生的事件的有关信息,分析这些事件可以对系统的安全性、可靠性、性能有所了解。审计日志系统在大型项目中是必不可少的,审计日志系统在项目应用程序的设计开发阶段可以起到帮助调试和跟踪线程的作用,而且完备的日志也可以成为一个很好的审计与分析工具。目前各应用系统各自编写日志模块处理日志信息,这些日志信息格式各异,日志模块的可重用性低,为了让应用程序更专注于其业务逻辑,有必要将日志功能提取出来,形成公用的审计日志管理系统。
审计日志管理系统通过统一管理支撑层进行认证授权控制,通过基础服务支撑层发布对外提供的服务接口。
审计日志管理系统由两大类核心模块功能组成,一是日志采集器模块,负责各应用系统的日志记录工作,任何一个需要统一日志记录的应用系统均需要配置一个日志采集器。二是日志管理器模块,包括日志的查看、查询、导入导出、数据统计、统计分析等功能,为应用系统提供运维监控必要的数据信息。
XXX系统提供了操作日志功能,XXX系统将自动记录操作人员对系统的登录和使用情况,并将对记录的修改操作记录现场信息,记录修改操作发生时的用户代码、工作站名、时间、修改内容和原数据等。系统操作日志如下图:
图表11.8‑6 操作日志
审计日志管理系统由两大类核心模块功能组成,一是日志采集器模块,负责各应用模块的日志记录工作。二是日志管理器模块,包括日志的查看、查询、导入导出、数据统计、统计分析等功能,为应用系统提供运维监控必要的数据信息。
为保存业务日志,保证业务操作不被抵赖,并通过日志安全分析操作行为,发现安全问题。安全日志审计达到以下要求:
1)在服务器端日志记录客户端的IP地址、认证者身份、操作时间、操作类别和操作结果等信息;
2)在服务器端记录程序错误信息日志;
3)对日志信息的访问权限要做访问控制策略;
4)对重要日志进行专门的采集、备份、管理,定期对日志进行安全分析,生成审计报表。
用户痕迹跟踪的重要性随着 Web 应用的复杂化,用户在系统上的操作过程日益复杂。系统功能的多样化和交互性的提高为用户提供了多种可能的浏览路径。对于一个复杂的Web,用户在系统上操作的行为模式和操作习惯的分析,会给系统的优化提供基础的数据支撑。而从技术上要为这种分析提供支持,就需要记录下每个用户在系统上的操作过程。另一方面,这种数据的记录也有助于解决用户在使用中出现的问题。我们只要知道用户遇到问题的时间和一些基本信息,就可以从日志中查出此用户遇到问题时的操作过程,从而有助于再现用户的出错场景,进而帮助用户解决问题。此外,用户的安全审计和分析用户特征的数据挖掘等工作也需要提供一个方法能对用户的操作进行跟踪和纪录。
XXX系统使用了 Log4J 作为日志系统的 API 接口,在每一条日志上保存用户上下文信息,为用户跟踪保存基本的访问数据。下面简单介绍Log4J在XXX系统的运用情况:
1、记录器(Loger)的设置:日志记录的优先级,分为OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL或者自定义的级别。在XXX系统中默认设置为INFO,此配置可以根据管理要求进行调整。
2、输出源(Appenders):由于XXX系统并非每日都有大量人员操作,所以系统默认输出源设置为org.apache.log4j.RollingFileAppender(文件大小到达指定尺寸的时候产生一个新的文件),同时指定文件大小为1024KB。
3、布局(Layouts):系统采用org.apache.log4j.HTMLLayout布局。
为满足等保三级对系统安全事件记录的要求,除对软件进行详细日志输出外,建议在XX信息中心内网机房部署日志分析系统,提供基于日志分析的功能,如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等,系统配备全球IP归属及地理位置信息数据,为安全事件的分析、溯源提供了有力支撑,综合日志分析系统能够同时满足单位实际运维分析需求及审计合规需求,也是日常信息安全工作的重要支撑平台。
通常情况下,应用系统在使用完内存中信息后,是不会对其使用过的内存进行清理的。这些存储着信息的内存在程序的身份认证函数(或者方法)退出后,仍然存储在内存中,如果攻击者对内存进行扫描就会得到存储在其中的信息。为了达到对剩余信息进行保护的目的,需要身份认证函数在使用完用户名和密码信息后,对曾经存储过这些信息的内存空间进行重新的写入操作,将无关(或者垃圾)信息写入该内存空间,也可以对该内存空间进行清零操作。
XXX系统在剩余信息保护方面,对用户鉴别信息所在的存储空间被释放或在分配给其他用户前得到完全清除,无论这些信息是存放在硬盘还是内存上。包括但不限于应用系统内存中的剩余用户信息,FTP剩余用户信息,数据库剩余用户信息,均先清除或改写后再进行删除。
保证系统内的文件、目录、数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除,包括但不限于应用系统内产生的剩余文件资源、关联的FTP资源和数据库记录资源、均先清除或者改写后在进行安全删除,防止数据恢复工具对其进行恢复。
为满足等保三级对剩余信息保护的要求,设置如下:
| 配置类别 | 配置项 | 状态 |
| 交互式登录 | 不显示最后的用户名 | 已启用 |
| 设置关机 | 清除虚拟内存页面文件 | 已启用 |
| 验证后清除 | 用户登录验证后清空相应内存区域 | 已启用 |
确保系统中的敏感数据在存储空间被释放或者进行重新登陆时得到完全清除。
数据完整性是信息安全的三个基本要点之一,指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。
XXX系统为满足等保三级对通信完整性的要求,采用密码技术保证通信过程中数据的完整性:如系统根据校验码判断对方数据包的有效性,用密码计算通信数据报文的报过文验证码;可通过Hash函数(如MD5、SHA和MAC)对完整性进行校验,但不能使用CRC;采用校验码技术保证传输过程中数据的完整性。门户使用https协议进行数据传输。
XXX系统主要通过VPN或者绑定IP地址来保证通信过程中数据的保密性。系统对于重要数据及指令的传输应进行通信加密和校验。另外用户通过HTTPS访问应用系统,对传输的数据内容进行双向加密。系统对于系统数据的通信和传输,采取如下的方式来确保通信的完整性:
1、发送端使用MD5或级别更高的散列算法作为指纹,将数据加密,然后在接收端进行比对。
2、在数据传输网络方面,开辟专门的VPN通道,保证带宽,以确保数据传输过程稳定性、可靠性和加固安全性。
3、在技术实现上,利用可靠的消息引擎,能保证数据在传输的过程中稳定性和完整,支持断点续传。
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议是内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
系统根据数据的安全级别而使用不同的加密方式,如对弱安全级别数据采用了对称加密,对高安全级别的数据采用了非对称加密技术,这样在保证安全的同时减少了数据的传输量,提高了系统的整体性能。
-
-
-
- VPN网关设备加密
-
-
VPN隧道是指在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。现有两种类型的网络隧道协议,一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建远程访问虚拟专网(AccessVPN);另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建政府部门内部虚拟专网(IntranetVPN)和扩展的政府部门内部虚拟专网(ExtranetVPN)。
VPN网关设备加密的最大优点就是易用性高,安装设置简单和与应用的无关性,即VPN设备只是加密第二、三层的底层数据,与高层协议无关,不论何种网络应用,都可以通过VPN设备来传输加密。
同时VPN设备支持以下特性:
密钥长度:对称128位,非对称1024位;应用代理支持的协议:FTP、TELNET、HTTP、SMTP、POP3、DNS等;支持的协议:IPSEC、TCP/IP、UDP、ICMP、IPSECESP/AH、IKE、PUPP等;还支持QoS等。
在条件以及政策允许的情况下,为保障单线网络故障导致的数据传输中断,各相关部门在接入网络设计上建议通过两条光纤分别连接至政务外网和Internet,线路为双冗余设计,在接入政务外网和Internet的线路上选择两条不在同一接入点的线路,相互冗余,即不能使用从一台专网交换机或路由器接出两条链路,而是从专网的两台不同的专网交换机或路由器接出两条链路,防止单点故障。
如果网络出现故障,XXX系统的数据报送工作采用线下模式进行。
地方各级XX或相关各部委在进行数据报送时,遇到网络中断,可以通过系统提供的智能客户端进行本地数据上报,其数据保存在本地,等到网络通畅时系统会自动上传到服务器,完成数据报送。
对于紧急的业务,可以采用离线数据库的方式进行报送。利用智能客户端将数据进行离线下载,并加密保存。在政策允许的条件下,此文件可以通过互联网方式发送至XX专用邮箱或者网盘中。为进一步保障数据安全,此文件可保存至移动硬盘或者U盘中由人工报送至XX。XX接收到离线数据库后,对其进行解密处理,再导入进系统中,完成数据上报工作。
离线报送支持多种文件格式。它能导出xml、html、access等格式的数据文件。导入导出功能可以采用对称加密(可选用3DES、DES等算法来实现数据加密)或非对称两种加密技术对数据进行加密处理,以保护在介质中数据的安全。
国家安全管理部门发布了《信息安全等级保护管理办法》,提出了“计算机信息系统实行安全等级保护”的要求,等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。因此,XXX系统全面应用CA认证系统。通过基于PKI密码技术的CA认证体系建设和基于数字证书的安全应用支撑,实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能。同时,利用用户痕迹追踪技术,为后期用户操作的分析取证提供有效数据支撑。
系统的安全,核心是保证数据的安全,数据的安全可靠性是整个系统可靠性的一个关键环节。数据的可靠性是指为了防止各种意外情况(包括:系统崩溃、灾难发生或设备损坏等)对数据库造成全部或部分数据的损失而采取的措施,包括利用各种RAID技术、备份技术等等。
在设计备份系统时,我们(建议)采用双机热备份系统,共享磁盘阵列的方案,用户数据全部存储在具有高容错、高可靠性的磁盘阵列设备上,磁盘阵列采用RAID技术,实现存储设备的高度可靠性,以避免存储设备故障造成数据丢失。
图表11.8‑9 备份系统架构设计
由数据库管理员、系统管理员、网络管理员和开发人员一起根据系统运行的实际情况,制定完备的多级备份策略。包括数据库的全备份,增量备份,重要配置文件的备份,定期的数据导出等。对制定的备份策略进行全面的测试,形成文档和自动脚本,并定期调整,确保其有效性。培训相关数据库管理员、系统管理员,确保其熟悉备份、恢复操作。
备份策略包括备份方式、备份内容的设定,存储和备份空间的规划,以及备份计划的制定。
备份服务器本地存储规划存储空间作为数据备份的一级存储,提高备份速率,备份数据量达到阈值时再导入磁带库。
备份主要采用无人值守方式,全备与增量备份相结合并定时自动运行。
数据库备份包括数据库数据信息和日志信息。
拟定备份计划,数据保留周期如下:
(1)数据全备:周六夜间;
(2)增量备份:周日~周五夜间(如3:00~4:00);
(3)数据过期:2年(或3年);
(4)临时备份:当数据存储系统出现较大调整时,或系统软件需要进行变更、升级时,应考虑由手动方式进行临时增添的全备或增量备份。
系统对数据字典、业务核心数据、流程定义数据等重要数据将实现自动备份。
对于系统用户错误性操作,系统需能给出提示或提供自动纠正功能,为校验数据输入的准确性,系统需采取代码校验,数据逻辑关系校验等方法。对于系统用户的非法操作,系统需具备自我保护能力,自动处理此类问题,让非法输入不能对系统运行造成任何影响。另外系统需具有对错误类型进行分类的能力,且需要根据不同的错误类型给予用户不同的错误提示信息。
在故障发生时,系统能够继提供一部分功能,并实施必要的措施将故障影响降到最低。应提供自动保护功能,当故障发生时自动保护当前所有的状态,保证系统能够进行恢复。
为满足等保三级对资源控制的要求,建议XX设立设备管理区,仅限制几台管理终端可以登录管理服务器,通过堡垒机和ACL策略设置限制设备的登录地址,如信息技术部的网段或若干个管理IP;启用带密码保护的屏幕保护程序;采取技术措施监控CPU,内存,硬盘等资源的使用率,并设置报警阈值。
在软件方面,XXX系统为满足对资源控制的要求做如下设计:
1、系统可以通过手工配置参数的方式,对系统的最大并发连接数进行限制,限制系统多个最大并发会话数,对一个时间段内可能的并发会话连接数进行限制。并禁止单个账户的多重并发会话。当需要修改系统最大并发连接数时,只需修改server.xml文件内相关参数即可,配置界面如下:
2、系统应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额,从而提高资源利用率。
3、应能够对系统服务水平降低到预先规定的最小值进行检测和报警。
4、应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。
XXX系统的权限体系结构基于XX应用支撑平台的统一组织、统一机构来构建完整的权限体系结构,系统设计开发按照XX应用支撑平台的相关要求来组织,确保符合XX信息化建设的相关规范性要求。
-
-
- 统一权限管理
- 权限分类与权限管理
- 统一权限管理
-
XXXX系统的权限管理基于角色,可灵活定义角色。实现角色、权限多对多关系的管理。提供角色自定义和权限自定义,可以按照系统级、模块级、操作级、数据级划分管理权限。具体内容包括:
1)管理和维护系统所需的权限管理信息和访问控制规则,为系统提供权限分配策略服务。主要信息包括权限整体分配策略以及具体的权限定义、授权访问信息对象及权限设置等要素,提供统一权限判断接口。
2)支持权限分类管理,按照模块分类各种权限,用户可以维护权限(名称、分类等)。
3)支持多级权限管理,即具有模块管理员权的人,可以把该模块的权限授给他人。
4)支持对人或单位授权,单位下的子单位及人具有该单位的权限。
5)支持可以查看人具有的权限,或某个权限哪些人或单位具有。
6)支持权限漫游。
7)支持ACL、RBAC等多种授权方式。
8)支持分级授权、工作流授权和协同授权。
(2)根据权限的功能树定义功能和界面要素定义功能
1)每个用户可以把自己有权限的功能重新组织成符合自己使用的功能树。
2)业务界面的要素(功能按钮)根据每个人的权限自动可用、不可用、隐藏等。
-
-
-
- 工作站管理
-
-
对可以登录系统的工作站进行管理。在没有系统管理员确认之前,任何客户端不能登录系统。
-
-
-
- 日志服务功能
-
-
通过应用支撑平台的“日志管理系统”的支持,存储、管理和维护系统所需的日志信息,为系统提供日志服务。主要信息包括访问者、访问时间、授权访问资源情况以及其他异常情况等信息。
-
-
-
- 与其他业务系统关联
-
-
(1)为其他系统授权提供授权接口。
(2)为其他系统权限判断提供接口。
用户是登录系统的楔子,角色是用户权限的基础。在系统安全管理方面,角色管理设计的是否合理、科学,对系统安全起着决定性的作用。同时多样化的角色,又为用户的管理提供了良好的管理手段。
XXX系统通过三员分立、经办与审核分离等措施严格划分用户权限,实现用户权限最小化。用户权限管理基于角色,实现角色、权限多对多关系的管理。
本系统按照信息系统分级保护管理标准和规范,在权限管理方面引入三员管理策略,实行系统管理员、安全保密管理员、安全审计员三员管理,不允许存在超级管理用户。三员之间相互独立、相互制约,业务权限与管理权限剥离。三员各负责的功能如下图:
|
三员管理 |
|
安全审计员 |
|
安全保密管理 |
|
员 |
|
系统管理员 |
|
系统初始化 |
|
基础数据管理 |
|
启用要素设置 |
|
功能菜单管理 |
|
方案类型管理 |
|
规则管理 |
|
流程管理 |
|
定时任务管理 |
|
角色管理 |
|
日常审计 |
|
|
|
工作日设置 |
|
用户管理 |
|
用户解锁 |
|
权限查重查漏 |
|
用户权限管理 |
|
系统配置审计 |
|
异常数据审计 |
图表11.8‑12 三员管理
为保证三员管理在安全保障方案起到实质的作用,XXX系统在设计中对三员管理增加约束条件,要求:
1、系统中不能存在超级管理员角色;
2、系统初始化三员角色及角色菜单授权,三员角色功能互斥,菜单按权限分开;
3、用户管理维护用户角色时,按三员权限最小化原则,控制三员角色的分配,三员角色不能同时授权给同一人。
-
-
- 与XX平台认证体系结合:统一身份认证
-
XXX系统XX应用支撑平台的统一身份认证相结合,并基于它开发建设。
统一身份认证服务依托统一用户管理进行工作,认证过程包括证书验证和身份确认两部分内容,证书验证需要调用电子认证基础设施的相关服务。
用户的身份由唯一身份识别号进行标识,身份识别号同时作为数字证书项签发,实现用户和数字证书的唯一绑定。
统一身份认证服务完成用户的身份跨网认证和信任传递,实现在任何位置登录,都能完成身份认证。
统一身份认证服务包括服务端和客户端两部分内容,身份认证客户端整合在安全客户端中。
具体功能如下:
1.认证客户端示证
示证是认证客户端的重要功能之一,用户通过示证模块向认证服务发起认证请求,并根据认证协议应答挑战和提交数字证书。
2.示证响应
对来自认证客户端所发出的认证请求进行响应,生成并向认证客户端发出认证所需要的挑战码。
3.证书验证
通过调用安全中间件的接口,完成数字证书的获取、解析,检查证书是否同根,是否在有效期内,并通过密码服务中间件调用电子认证基础设施的OCSP服务,确定数字证书是否有效。
4.身份确认
在确认用户所持数字证书有效的基础上,通过确认持证用户是否为业务网的注册用户,只有完成了证书验证和身份确认这两个步骤,才算完成了身份认证。身份确认完成后由可信身份与单点登录服务系统对其进行鉴权并生成可信身份票据。
5.认证客户端票据管理
认证客户端在用户完成认证后对获得的票据进行安全管理,包括安全保存,持身份票据申请单点登录票据等。
-
- 软件开发安全管控
XXX系统在设计时,考虑软件架构的安全性,采用模块化设计思路,合理划分功能模块,确保安全可控。
XXX系统模块化设计目的在于用有限的产品品种和规格来最大限度又经济合理地满足用户的要求。设计原则是力求以少量的模块组成尽可能多的产品,并在满足要求的基础上使产品精度高、性能稳定、结构简单、成本低廉,模块间的联系尽可能简单。
XXX系统的模块设计保证各个子模块具有如下特征:
1.相对独立性,可以对模块单独进行设计、制造、调试、修改和存储,这便于由不同的专业化企业分别进行生产;
2.互换性,模块接口部位的结构、尺寸和参数标准化,容易实现模块间的互换,从而使模块满足更大数量的不同产品的需要;
3.通用性,有利于实现横系列、纵系列模块间的通用,实现跨系列的模块的通用。
XXX系统开发完成后,系统源代码、系统运行环境等在用户指导下配合完成国家有关机构的安全检测工作,包括安全技术测评、安全管理测评、信息系统全生命周期测评等,并对检测过程中发现的问题及时整个,确保软件系统符合国家有关安全和等保三级的要求。
我们建立完善的系统更新升级机制,定期或者不定期对XXX系统本身的漏洞和缺陷进行修复和更正,及时更新升级系统运行过程中发现的问题,或者对软件系统前版本的漏洞进行完善,或者对软件添加新的应用功能的更新,使软件更加完善好用。
XXX系统定制开发的系统源代码向用户提供,如有涉及知识产权的其源代码也向国家相关检测机构备案。
XXX系统配合支持源代码的安全审计,支持软件成熟度和可靠性测试,支持和配合相关安全检测机构对软件或系统的安全评估。对源代码安全审计和安全评测过程中发现程序错误、安全漏洞和违反程序规范的问题及时修正,确保符合国家相关源代码安全审计的要求。
XXX系统如根据运行的需要提供远程登录账号及服务,将建立严密安全的措施确保授权的真实性和安全性。正式运行的系统不留有非授权的远程登录账号及服务。
远程访问用户妥善保管远程访问证书及口令,并定期修改口令,以增强系统安全性,严禁用户将远程访问系统证书及口令泄露给他人使用。口令的设置应符合软件安全相关规定的要求。
如果发生远程访问用户证书丢失泄密、用户有违法、破坏网络安全行为或其它一些影响证书可信性的情况,将强行注销该用户证书。
-
- 网络硬件安全措施建议
建议在网络规划初期或者在调整优化网络结构时即采用防火墙分区的方式,把不同的功能区按照功能分开,如分为服务器核心区、网络交换核心区、接入区、防护区办公区等。保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;保证网络各个部分的带宽满足业务高峰期需要;在业务终端与业务服务器之间进行路由控制建立安全的访问路径;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
通过分区设计来保证安全,同时在每个区域的边界均部署防火墙,做到以下控制级别:
1、能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
2、对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3、在会话处于非活跃一定时间或会话结束后终止网络连接;
4、限制网络最大流量数及网络连接数;
5、重要网段应采取技术手段防止地址欺骗;
6、按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
6、限制具有拨号访问权限的用户数量。
通过在重要的分区网关处以串联或者旁路链接的方式部署安全审计设备,同时在重要的服务器上安装审计软件的客户端做到:
1、对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
2、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3、能够根据记录数据进行分析,并生成审计报表;
4、对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
通过部署入侵检测设备实现如下功能:
1、在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
2、当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
利用非法外联监控和非法内接监控设备来进行网络边界完整性检查。对于非法内联,应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。对于非法外连,应能够对内部网络用户私自联到(比如拨号连接)外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
通过在重要的分区网关处以串联或者旁路链接的方式部署防病毒网关。
将网关连接在网络出口处或者内网网段之间,对网络进出的流量进行病毒监控,可将网络威胁隔绝在网络边界,阻止病毒传播到上一级系统,或者传入其他网络中。在边界部署防病毒网关,可大大降低病毒入侵网络造成的风险。
防病毒在网关出口处有效地拦截病毒,能够同时在网络层、传输层、应用层对病毒、蠕虫等混合型威胁分别进行过滤,针对通过SMTP、POP3、HTTP、FTP等协议传输的内容进行过滤处理,使有害数据无法通过邮件、Internet访问、文件传输等方式进入到被保护网络。
还可以实现蠕虫过滤和动态入侵防御。抵御蠕虫病毒的攻击和传播行为,可以阻断后门程序、蠕虫等动态攻击行为。在蠕虫入侵爆发时,可实时拦截入侵攻击流量,降低蠕虫传播对网络带宽的占用,有效保护网络资源。
漏洞扫描技术是一项重要的主动防范安全技术。不论攻击者是从外部还是从内部攻击某一网络系统,攻击的机会都是系统本身所存在的安全隐患。对于系统管理员来说,漏洞扫描技术是最好的助手,能主动发现主机系统和网络系统的安全隐患,在系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑坚固的系统安全。
-
- 安全管理体系建设建议
建立网络安全管理制度,明确管理人员的岗位职责,对安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出具体规定;
网络设备的软件升级由管理人员及时更新,在更新前需对重要文件保存备份;
按照有关制度定期由管理人员进行系统漏洞扫描,并采取措施及时修补;
对设备的配置实现最小服务配置,配置文件定期进行离线备份;
与外部系统的所有连接需得到授权和批准,采取技术手段控制和禁止非授权设备的接入,监控违规外联的相关行为。
根据安全管理需求和分析,制定系统访问控制策略;
系统补丁在安装前,需在测试环境进行测试通过,并对重要文件进行预先备份;
建立系统安全管理制度,明确系统安全策略、安全配置、日志管理和日常操作流程的相关具体规定,明确管理人员的角色划分、权限、责任和风险;
建立系统操作手册,依据操作手册进行系统维护,对系统的维护详细记录操作日志,禁止未经授权的操作行为;
定期对系统运行日志和审计数据进行分析,发现异常及时上报并处理。
加强对用户的防病毒知识培训;
建立防病毒系统管理制度,明确管理员职责、防病毒系统日常管理、病毒库升级、升级情况记录、病毒分析处理、定期总结汇报等内容;
管理员定期检查病毒库升级情况并记录,对防病毒系统、防病毒网关上截获的病毒或恶意代码进行及时分析处理,形成书面分析处理报告和总结汇报。
建立密码使用管理制度,明确用户的日常密码管理要求。
系统需要变更时,应确认变更,并制定变更方案;
建立系统变更管理制度,明确系统变更前的申请、方案评审和实施情况等的规定;
建立系统变更控制的申报和审批程序,对变更影响进行分析和记录;
建立中止变更的程序,明确过程控制和人员职责,按需进行恢复演练。
数据是最重要的系统资源,数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。
系统需要备份的数据包括:
1、用户数据库文件;
2、业务数据(含文件、图像等信息);
3、审计日志文件。
图表11.8‑11备份系统架构设计图
备份主要采用无人值守方式,全备与增量备份相结合并定时自动运行。
数据库备份包括数据库数据信息和日志信息。
拟定备份计划,数据保留周期如下:
(1)数据全备:周六夜间;
(2)增量备份:周日~周五夜间(如3:00~4:00);
(3)数据过期:2年(或3年);
(4)临时备份:当数据存储系统出现较大调整时,或系统软件需要进行变更、升级时,应考虑由手动方式进行临时增添的全备或增量备份。
建立安全事件报告和处置管理制度,明确有关规定;
根据国家有关要求,对安全事件进行等级划分;
建立安全事件报告和响应处理程序,明确有关规定;
安全事件报告和响应处理过程中,应分析鉴定原因,收集证据,记录处理过程,总结经验,完善补救措施,所有记录和文档都应妥善保存;
对有重大影响的安全事件(如系统中断、信息泄密等)采用不同的处理程序和报告程序。
建立统一的应急预案框架及不同事件对应的应急预案,明确相关内容;
确保应急预案的各方面保障到位;
每年至少举办一次对系统相关人员的应急预案培训,确保培训效果;
定期对应急预案进行演练,根据不同的恢复内容,确定演练周期;
建立预案审查和更新的相关管理规定,并按照执行。
系统正式上线运行后,建议采购人派出专人对相关安全制度的落实进行定期评估、不定期抽查等监督,以便及时查缺补漏,持续完善安全体系。
系统正式上线运行后,建议任何运维人员通过指定终端对生产环境中的设施、应用、服务进行连接访问调用、数据获取、文件上传、配置变更、脚本或程序执行等操作时,均需至少双人双岗同时进行,且二人不得为同一厂商。
一般为一人操作,另一人逐步骤查验许可并进行过程记录、异常阻断报告、结果验证和归档,以最大限度保障系统运行安全。
建议自本项目信息系统所有相关设施与服务正式投入运行之日起,凡是直接参与了核心设施与核心服务的部署、配置与运行维护的各厂商人员,一旦出现类似以下几种情况,均应由所在公司主动向采购人报备:
1)该人员的职岗等发生重大变化(包括升降职、奖惩、岗位调整等)
2)该人员的去向等发生重大变化(包括旅游、公务、学术交流等原因的出国出境,离职、退休、工伤、长期病事假、受到刑事处罚、拥有或新产生不良信用记录等)
3)该人员曾参与过的其他项目出现重大异常(包括任何原因导致的账户密码和业务数据泄漏、数据库对象记录或重要文件毁损、业务功能长期或频繁中断、受黑客攻击、被病毒感染等)
综上,采购人视具体情况来决定是否触发清查与安全重置等应对措施,以最大限度排除相关安全隐患。
清查是指要了解该人员在本项目中知道什么、做过什么;
安全重置是指确保该人员知道或可能知道的东西变得无关紧要或完全失效,确保该人员做过或可能做过的事情对当前及未来的运行无害(有害则恢复初始状态或用其他有效状态覆盖)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
