三级系统等级保护技术建设可行性分析报告.docx

华为三级等级保护建设技术建议书1 概述32 等级保护实施概述42.1 参照标准42.2 基本原则42.3 角色和职责52.4 实施的基本流程63 信息系统安全定级83.1 参照标准83.2 定级原理83.2.1 信息系统安全保护级别.83.2.2 信息系统安全保护等级的定级要素83.3 信息系统定级阶段的工作流程94 信息系统详细设计方案114.1.1 安全建设需求分析114.1.2 1.l网络结构安全.114.1.3 边界安全风险与需求分析.114.1.4 运维风险需求分析.124.1.5 关键服务器管理风险分析./24.1.6 关键服务器用户操作管理风险分析134.1.7 数据库敏感数据运维风险分析.144.1.8 “人机”运维操作行为风险综合分析.144.2 安全管理需求分析154.3 整改建议154.4 安全保障体系总体建设164.5 安全技术体系建设184.5.1 建设方案设计原则.184.5.2 外网安全设计.204.5.3 内网安全设计.224.5.4 主机安全体系建设.234.5.5 应用通信安全体系244.5.6 应用数据安全.245. 整改建议（依据项目增加内容）256. 1.l整改后拓扑255.1.2 软硬件新增设备清单255.1.3 软硬件产品介绍.256 三级等级保护基本要求点对点应答256.1 技术要求256.1.1 物理安全.256.1.2 网络安全.286.1.3 主机安全.316.1.4 应用安全.336.1.5 数据安全.357 信息系统安全等级测评377.1 参照标准377.2 等级测评概述377.3 等级测评执行主体387.4 等级测评内容387.5 等级测评过程397.5.1 测评准备活动.407.5.2 方案编制活动.417.5.3 现场测评活动.427.5.4 分析与报告编制活动.438 信息系统备案履行468.1 信息安全等级保护备案实施细则461概述需要补充2等级保护实施概述2.1 参照标准等级保护实施过程主要参见信息安全技术信息系统安全等级保护实施指南，其它标准参见国家及行业统一标准。在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859-1999.GB/T22239-2008、GBT20269-2006.GBT20270-200611GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。 计算机信息系统安全保护等级划分准则 信息安全技术信息系统安全等级保护定级指南 信息安全技术信息系统安全等级保护基本要求 信息安全技术信息系统安全等级保护实施指南 信息安全技术信息系统安全等级保护测评要求 信息安全技术信息系统安全等级保护测评过程指南2.2 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则：a）自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。b）重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。C）同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。d）动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。2.3 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下： 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。 信息安全服务机构负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。2.4 实施的基本流程信息系统实施等级保护的基本流程参见下图:等馒变更AiiS在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。3信息系统安全定级3.1 参照标准计算机信息系统安全保护等级划分准则（GB17859）3.2 定级原理3.2.1 信息系统安全保护级别第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。3.2.2 信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。3.2.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a）公民、法人和其他组织的合法权益；b）社会秩序、公共利益；C）国家安全。3.2.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：a）造成一般损害；b）造成严重损害；c）造成特别严重损害。3.2.2.3 定级要素与等级的关系定圾要索与安全保护等级的关系受侵害的客体对客体的侵害每度一般根害严篁授害特别产基接古公艮、法人和其他编纲的合法税部第一爆社会秩序、公共利敲第二蛰m三*国军安全第三级第五B3.3 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T22240-2008,确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。确定等级一般流程信息系统定级要先确定好定级对象，然后再根据其系统对国家安全、社会秩序和公共利益、公民、法人和其他组织的合法权益的危害程度等进行分析，来确定定级对象的安全保护等级，并出具信息系统定级报告。4信息系统详细设计方案4.1 安全建设需求分析4.1.1 网络结构安全网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。4.1.2 边界安全风险与需求分析边界的安全主要包括：边界访问控制、边界入侵防范、边界恶意代码防范方面。4.1.2.1 边界访问控制对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完整性。4.1.2.2 入侵攻击风险分析各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。41,2.3恶意代码攻击风险分析现今，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internets广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。4.1.3 运维风险需求分析在各种网络信息应用中，服务器都充当了极其重要的角色，如何管理和维护好服务器,如何保证服务器的安全等就成了首先需要解决的问题。面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。4.1.4 关键服务器管理风险分析关键服务器所面临的安全风险是多方面的，主要有以下几种现象值得关注： 对服务器构成的安全风险中，有近80%是发生在系统内部服务器的应用相当复杂，维护起来非常困难，当然服务器操作系统也是一样的更杂，配置和管理都需要充足的专业知识。而企业中众多的服务器管理人员的技术水平参差不齐，在管理和维护的过程中，难免会有不当的操作。或是给服务器的安全留下隐患，或是对服务器运行造成影响。更可怕的还有商业间谍可能伪装成第三方厂商维护人员，从而轻易的从系统内部窃取核心数据，给企业造成巨大的损失。 身份认证及授权使用问题不同级别、不同行业的众多管理人员，对于某些核心资源，如重要的应用系统及数据库系统，不同级别不同岗位的领导或管理员具有不同的访问权限，管理人员的身份越权或假冒将会造成非授权使用的问题，同时将给办公系统造成重大混乱和损失。比如：由于生产的特殊性，常常需要用户具有RoOT账户权限。这就造成生产和管理的矛盾，临时ROoT权限分发可以解决RoOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。分散的多点登录管理方式，无法准确的身份认证和授权控制多点登录的分散管理方式无法进行强有效的授权控制，致使用户的登录操作难以管理、难以审计。 有规范、规章制度，但没有相应的过程监控手段去监督虽然企业内部制定了一系列的操作规范和管理制度，但管理人员有没有严格地按照规范、规章去执行，我们无从知道。当发生安全事件时无法进行责任鉴定和事件追溯。 大型、异构的网络环境难于统一、准确的对用户的行为进行审计和控制企业因为业务发展需要，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，在服务器端UnixZLinux和Windows操作系统共存形成异构网络,甚至于许多相异的网络设备都具有不同安全设置，而至今还没有一个即定的方法来解决这个问题。黑客对服务器的攻击黑客攻击对服务器所造成的破坏往往是不可估量的。黑客为了炫耀其高超的技术，或是为了谋取不正当的利益，都会妨害服务器的正常运行，修改服务器配置，破坏服务器的数据，严重影响服务器的正常运行，给企业和部门造成重大影响。 木马、间谍窃取机密数据针对中国的网络间谍攻击正变得越来越多，中国的国家安全从来没有像现在这样与网络密切相关。目前境外有数万个木马控制端IP紧盯着中国大陆被控制的电脑，数千个僵尸网络控制服务器也针对着大陆地区，甚至有境外间谍机构设立数十个网络情报据点，疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。中国是木马、间谍战的最大受害国。中国的互联网正处在一个普及阶段的大规模扩张时期，网络安全比较脆弱，安全意识淡薄，缺乏真正有效的安全管理手段。而且，网络管理、使用不规范，涉密电脑、非涉密电脑混杂使用，内部工作网和外网没有真正物理隔离，机密资料可以随意接触，随便使用，安全漏洞百出。4.1.5 关键服务器用户操作管理风险分析 UNlX/LINUX类字符操作系统，命令的复杂性、脚本的隐蔽性等等因素使的我们很难对用户的行为做有效的深层审计1）用户可能使用长命令、冷僻命令做一些非法操作，甚至将一些高危命令用alias命令以别名的方式去执行，刻意避开一些简单审计工具监控。2）对于菜单式操作管理，由于技术上的难度，很少有审计工具可以做到完整的记录和操作过程日志的回放。比如：AIX中SMlTTY命令操作、INFoRMIXDBACCESS数据库前端操作。3）别有用心的用户，可能会将一些非法的命令操作编辑为shell脚本去执行，达到逃避监控的目的。 图形化界面中用户操作的不透明性，使得事后审计难以进行RDP、XlKVNC等远程图形化窗口操作的不透明性，使得审计人员无法准确的对管理人员操作的审计，从而，对资源的滥用和泄露机密信息，以及管理维护的误操作等问题的鉴定工作带来了很大的困难。 文件传输安全审计，是最让信息主管头疼的问题使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发资料泄密的方式之一。如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。 服务器之间跳转嵌套登录操作当用户已经登录到一台服务器上操作之后，可能为了便捷不退出当前的系统而直接以SSH.RDP等方式跳转登录到另外一台服务器去做管理操作。 基于网络的IDS/IPS开始成熟，可以对部分明文协议进行审计，但面对加密协议却无能为力为了远程管理和维护的可靠性，SSH.RDP（远程桌面的协议）等都是加密的通信协议,尤其是RDP（RemoteDesktopPrOtOCOl远程桌面协议）作为MiCrOSOft公司的自有协议，并未公开其协议内容。要审计这些加密的通信协议，还是要费一番功夫的。4.1.6 数据库敏感数据运维风险分析 数据库身份管理、权限管理混乱，数据库业务账号与运维账号混乱，致使数据库敏感数据泄密事件时常发生业务系统用户常常通过数据库运维管理工具，直接登录数据库后台，查询、修改甚至下载数据库内数据，致使企业敏感数据时常外泄，给企业造成重大经济损失。 企业业务快速发展，企业数据库规模越发庞大，审计人为非法操作，堪比大海捞针由于业务系统也要对数据库进行大量正常的数据库协议访问，目前流行的数据库协议审计系统无法区分正常数据库业务行为和数据库人为运维行为，造成“噪音”过多，致使要审计的数据库非法操作行为，“淹没”在大量正常的业务数据库访问审计数据中，数据库审计系统形同虚设。 数据库后台运维手段多样，数据库人为非法操作既可以在数据库宿主系统上发生,也会通过数据库远程运维工具直接修改数据库数据发生，有时甚至可以通过业务系统后门或者业务系统设计缺陷发生，给数据库操作审计带来巨大难题数据库协议审计系统仅能部分解决数据库远程运维工具造成的运维风险，对数据库宿主机上发生的数据库直接修改行为，无能为力。 数据库中间件大量使用，给数据库行为审计“雪上加霜”数据库中间件通常采用固定的账号登录数据库，无法区分数据库操作行为真实操作者身份，操作者主体不明，针对数据操作者的行为审计和责任鉴定，也就失去了意义，没有任何价值。4.1.7 “人机”运维操作行为风险综合分析按照人机操作行为划分，运维管理方式基本包含三大类：控制台类：直接通过物理键盘、鼠标、监视器进行操作，控制台类人机行为控制可以通过KVMOverIP解决远程终端访问类：通过TELNET、SSH、FTP、SFTP、RDP、VNC>Xll远程登录目标设备操作系统，在目标设备上，通过远程访问协议，操作目标设备各种应用的B/S、C/S管理配置客户端，如针对ORACLE数据库，有SQLPLUS、ToAD、PL/SQLDevelopmentTools、OracleEnterpriseManagementCenter等，针对INFORMIX,有DBACCESS等管理工具企业应用的这些远程配置管理工具，可以直接远程登录应用，管理和配置应用，实现配置的远程修改及变更。但是运维管理的远程操作是把双刃剑，为我们工作带来便利、节省成本的同时，又隐藏着巨大的人为操作风险，越权操作、误操作、恶意操作时有发生。如何提高系统运维管理水平，满足相关标准要求，跟踪主机设备、服务器、数据库等重要资源上用户操作行为，降低运维成本，提供控制和审计依据，实现运维操作的规范化管理及风险防范与规避，已经成为每一位企业管理者需要认真考虑和面临的管理上的问题。4.2 安全管理需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括： 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。4.3 整改建议安全风险名称风险描述所需产品网络结构安全网络结构需要具备一定的冗余性,带宽能够满足业务高峰时期数据交换需求。提供产品都应满足网络结构安全需求核心采取双链路冗余配置互联网DDoS专业防护针对规模的DDOS攻击,流量行,应用型攻击,进行专业清洗,形成报表Anti-DDoS设备边界访问控制（医保）对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。防火墙边界访问控制（Internet出口）对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。防火墙/上网行为管理入侵攻击风险通过安全措施,要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。入侵防御系统恶意代码攻击风险网络边界处病毒、蠕虫、木马等恶意代码泛滥，导致核心资产收到严重威胁。防毒墙/防火墙带UTM功能运维风险面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。运维审计系统安全管理风险“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。终端安全管理系统TSM、网管软件、制定管理制度4.4 安全保障体系总体建设根据国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）（以下简称27号文件）的精神，按照信息系统安全保障评估框架（GB/T202742006）、信息安全管理实用规则（GB/T197162005）等有关标准要求，本指南提出了以策略为核心，管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架。&全分技术体系 ,管碑体系Br 3行政执法和城管行业信息安全保障体系框架在安全策略方面，应依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合自身的安全环境，制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面，对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。在管理体系方面，应按照27号文件的有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。在技术体系方面，应按照P2DR2模型，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面，应制订和完善各种流程规范，制订阶段性工作计划，开展信息安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。国家信息安全系统级保护基本要求框架，参见下图:基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类，管理部分分为：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应有专人负责，进入的人员登记在案。”本方案中也是通过安全技术体系建设、安全管理体系建设两套安全体系统进行规划建设。4.5 安全技术体系建设4.5.1 建设方案设计原则在规划、建设、使用、维护整个信息系统的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：1）符合性原则：信息安全保障体系建设要符合国家的有关法律法规和政策精神，以及行业有关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范。2）需求、风险、代价平衡的原则对任何网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析（包括任务、性能、结构、可靠性、可用性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。3）综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。4）易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的耍求过高，本身就降低了安全性。5）设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。6）无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。7）可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。8）保护原有投资的原则在进行信息系统安全体系建设时，除了要按照国家信息安全等级保护相关要求外，还外遵循行政执法行业的相关信息安全保障体系统建设框架的要求，充分考虑原有投资，要充分利用先行系统系统已有的建设基础进行规划.9）综合治理信息安全体系统建设是一个系统工程，信息网络安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。4.5.2 外网安全设计数据中心互联网接入区是数据中心的Internet出口，直接面对外部风险，安全需求比较迫切，互联网接入区一般会部署面向客户的业务前端系统，比如：业务前置机、WEB服务器，DNS服务器，FTP服务器，EMAIL服务器等，互联网接入区需要考虑的安全问题主要有： DDOS防护：DDoS全称分布式拒绝服务，以瘫痪网络服务为宜接目的，以耗尽网络设施性能为手段，利用网络中分布的傀儡主机向目标设施发送恶意攻击流量。DDoS攻击流量大且难以溯源，导致无法准确防范。其简单的工作原理和攻击方式导致大量的不法之徒可以轻易的掌握某种DDOS攻击技术。DDoS攻击在当今社会呈现愈演愈烈之势，是数据中心可用性的头号威肋飞 访问控制：数据中心作为内部网络，对外呈现相关服务，大部分业务处理在内部网络完成，对于外网来说，数据中心内部网络是黑盒，所以需要对外网的访问进行访问控制。 安全接入：作为数据中心连接Internet的唯出口，需要部署VPN接入设备，满足客户和外出员工的远程安全接入等需要。 业务系统安全：DMZ区会部署可供外网访问的业务系统，这些业务服务器平台一般基于通用操作系统，比如WindoWs,IinUX等等，未知的操作系统漏洞会经常会被黑客利用；而且针对Web业务，EnlaiI业务等出现了新的基于应用层的攻击方式，这些攻击常常会导致业务故障，数据泄露或篡改等问题。基于以上儿点，互联网接入区安全方案的部署架构如下图所示：图4-21互联网接入区安全设计 第一道安全防御，Anti-DDoS检测及防护：旁路或直路部署专业的Anti-DDOS设备，提供流量型攻击防护，有效保护服务器免受DDOS攻击。 第二道安全防御，域间访问控制：直路部署防火墙，进行域间访问控制，对不同安全域的业务进行有效的隔离和防护，并且也可以提供NAT、AV、IPSecsIPS等功能。 第三道安全防御，远程接入安全：旁路部署SSLVPN设备，对远程接入的用户提供认证、授权和数据加密传输功能。 第四道安全防御，应用层检测防护：前几道防御系统主要是针对网络层的保护，属于边界安全防护；但针对业务系统的攻击，比如，通过SQL注入、跨站脚本等方式攻击网站；修改网站文件，造成组织的信誉损失；加载网马等恶意软件,转而攻击访问的客户端等，边界防火墙己经无法满足要求了，需要部署基于应用层检测的IPS/IDS或WAF系统。WAF部署在Web服务器群的入口，对访问Web系统的网络流量进行实时检测。抵御Web应用攻击，防网站挂马，防缓冲区攻击,防ddos攻击，防Sql注入等。4.5.3内网安全设计1）内网出口防火墙防火墙采用直路部署在核心交换机的外部，也可以做旁路部署，推荐直路推荐采用双机热备的部署方式为保证数据传输的私密性，可以在两端防火墙上启用IPSeCVPN为防止病毒等恶意软件和代码的传播可以在防火墙上启用IPS,AV等安全防护功能。2）内网核心防火墙基于安全区域的隔离防火墙的安全隔离是基于安全区域，这样的设计模型为用户在实际使用防火墙的时候提供了十分良好的管理模型。防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。÷可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）.非受信安全区域（UntrIIst）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。防火墙提供四个安全区域：trust、untrust>DMZ>local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet>ftp等访问。基于安全区域的策略控制防火墙支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的策略控制模型，可以清晰的分别定义从trust到UntrUSt、从DMZ到untrust之间的各种访问，这样的策略控制模型使得统一安全网关的网络隔离功能具有很好的管理能力。÷灵活的规则设定防火墙可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。> 可以依据报文的协议号设定规则> 可以依据报文的源地址、目的地址设定规则> 可以使用通配符设定地址的范围，用来指定某个地址段的主机> 针对UDP和TCP还可以指定源端口、目的端口> 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围> 针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文> 可以针对IP报文中的ToS域设定灵活的规则> 可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便高速策略匹配通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。防火墙采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。令MAC地址和IP地址绑定防火墙根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。令动态策略管理一黑名单技术防火墙可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。统一安全网关提供如下几种黑名单列表维护方式：> 手工添加黑名单记录，实现主动防御> 与攻击防范结合自动添加黑名单记录，起到智能保护> 可以根据具体情况设定“白名单”，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。4.5.4 主机安全体系建设采用NAC安全解决方案，从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，保护企业网络的安全性。应用安全体系建设 通过多种身份认证方式确认终端用户的合法性。 绑定检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况。 通过统一接入策略和安全策略管理，控制终端用户的网络访问权限。 通过桌面运维，完成进行桌面资产注册和监控、外设管理和软件分发。根据不同的应用场景，NAC方案分多种部署方式：4.5.5 应用通信安全体系按照等级保护要求，通过部署一套电子证书认证系统、身份认证网关、数字签名系统可以有效的保证应用数据传输过程中的完整性、保密性，可以保证整个会话过程加密，并能在双方会话建立前进行会话初始认证。通过PKI体系的电子证书及数字签名系统，可以有效的提供抗抵赖需求，可以有效的提供数据原发者或接收者提供数据原发证明、接收证据等。在本项目中通过电子证书认证系统进行电子数据证书的注册、颁发、撤消等证书管理，通过身份认证网关实现数据传输时隧道建立、数据完整性验证等工作，通过数据签名系统实现数据的完整性和抗抵赖性要求，有效的保证了数据通信安全，达到信息安全等级保护三级建设要求。按照等级保护要求，通过在核心应用服务器前端部署WEB应用网关设备，实现基于HTTPHTTPSFTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击行为、CGl扫描、漏洞扫描等扫描攻击行为、SQL注入攻击、XSS攻击等Web攻击的应用防护。从而保证了XXX信息系统各自区域内网站的用户数据交互的安全性，保障XXX信息系统对外发布网站的可用性和完整性。456应用数据安全数据作为单位的核心资产，直接关乎一个单位的核心利益，按照等级保护要求，在三级以上系统应建立数据备用场地，应提供本地数据备份及恢复功能，数据备份至少一天一次，备份介质要场外保存，并需要利用网络将备份数据传送到备用场地，同时关键链路也要采用冗余设计。5整改建议（依据项目增加内容）5.1.1 整改后拓扑增加拓扑图5.1.2 软硬件新增设备清单表格形式补充清单,