集团信息安全建设方案.doc

某某集集团团信信息息安安全全建建设设方方案案 2 20 01 11 1年年7 7月月 某集团信息安全建设方案 i 目录目录 1 前言前言 3 1 1 项目背景 3 1 2 安全目标 4 1 3 设计范围 4 1 4 设计依据 4 1 5 设计原则 5 2 信息系统分析信息系统分析 7 2 1 网络现状描述 7 2 2 计算机基础设施建设方面 8 2 3 业务应用系统现状 8 2 4 安全定级情况 8 3 安全需求分析安全需求分析 9 3 1 等级保护基本需求分析 9 3 1 1 信息系统安全等级保护基本要求 说明 9 3 1 2 技术类安全需求 11 3 1 2 1 物理安全 11 3 1 2 2 网络安全 12 3 1 2 3 主机安全 14 3 1 2 4 应用安全 15 3 1 2 5 数据安全及备份恢复 16 3 1 3 管理类安全需求 16 3 1 3 1 安全管理制度 16 3 1 3 2 安全管理机构 16 3 1 3 3 人员安全管理 17 3 1 3 4 系统建设管理 17 3 1 3 5 系统运维管理 17 3 2 额外 特殊保护需求分析 18 3 2 1 重要资产分析 18 3 2 2 安全弱点分析 18 3 2 3 安全威胁分析 20 3 2 4 安全风险分析 23 3 2 4 1 物理层面的安全风险 23 3 2 4 2 网络层面的安全风险 23 3 2 4 3 主机层面的安全风险 25 3 2 4 4 应用层面的安全风险 26 3 2 4 5 管理方面的安全风险 27 3 2 5 额外 特殊保护需求分析 28 3 3 安全需求总结 29 3 3 1 安全技术防护 29 某集团信息安全建设方案 ii 3 3 1 1 通信网络安全 30 3 3 1 2 区域边界安全 31 3 3 1 3 计算环境安全 31 3 3 1 4 安全管理中心 32 3 3 2 安全管理措施 33 3 3 2 1 安全管理组织 34 3 3 2 2 安全管理制度 34 3 3 2 3 安全运维服务 34 4 总体安全设计总体安全设计 35 4 1 安全体系框架 35 4 2 安全策略体系 35 4 3 安全组织体系 36 4 3 1 安全组织建设 36 4 3 2 人员安全管理 37 4 4 安全技术体系 38 4 4 1 安全技术体系框架 38 4 4 2 安全域划分 40 4 4 3 安全技术措施选择 41 4 4 3 1 区域边界安全保护措施 41 4 4 3 2 通信网络安全保护措施 42 4 4 3 3 计算环境安全保护措施 42 4 4 3 4 安全管理中心 46 4 4 4 安全软硬件产品部署 48 4 5 安全运行体系 50 5 信息安全建设规划信息安全建设规划 51 5 1 信息安全总体建设过程 51 5 2 信息安全工程实施规划 53 5 2 1 阶段一 实现基本的安全部署 53 5 2 2 阶段二 实现全面的安全部署 55 5 2 3 阶段三 实现全面的安全优化 56 6 安全产品采购预算安全产品采购预算 56 某集团信息安全建设方案 3 1 前言前言 1 1 项目背景项目背景 某集团为提高企业竞争力 适应新环境 实现科学管理 融入全球经济 已经启动 erp 项目 吹响了全面实施信息化管理的号角 企业 erp 是一个以管 理会计为核心的信息系统 识别和规划企业资源 从而获取客户订单 完成加 工和交付 最后得到客户付款 换言之 erp 将企业内部所有资源整合在一起 对采购 生产 成本 库存 分销 运输 财务 人力资源进行规划 从而达 到最佳资源组合 取得最佳效益 erp 系统的合理运用将改变企业运作的面貌 给企业的经营管理带来深刻变革 但与此同时 集中的数据处理 多方位多层 次的信息应用也将为某集团带来新的问题 信息安全 由于某集团的信息系统安全问题直接关系到生产 销售 人力资源管理等 诸多核心业务的顺利开展 因此 在不断加强企业 erp 建设的同时 信息安全 也成为集团企业必须努力解决的首要问题 某集团领导也充分认识到了在进行 信息系统建设的同时 同步建设信息安全保障体系的必要性 决定启动信息安 全建设项目 对信息系统可能面临的风险进行分析 控制 全面提升某集团信 息系统的安全防护能力 尽快打造出一个高效 稳定 安全的网络及系统环境 为某集团即将上线的 erp 系统保驾护航 对信息系统分级实行保护是国际上通行的做法 我国也已经把等级保护制 度列入国务院 关于加强信息安全保障工作的意见 之中 对影响到国家安全 社会稳定 公众利益的重要部门实施强制监管 对信息系统按照重要程度划分 不同的安全等级进行安全保护 并制定和发布了一系列相应的信息安全建设 管理的政策和标准 如何遵照国家的信息安全等级保护制度更为有效地保护重 要领域的信息网络 建立安全保障的长效机制将是今后我国信息安全建设的重 点 某集团作为我国重点国有企业之一 其信息系统的重要性不言而喻 依据 国家等级保护建设的相关要求和规范 结合自身发展要求和业务应用特点 建 立一套符合实际的按等级标准进行保护的信息安全体系是必要的 也是必须的 某集团信息安全建设方案 4 1 2 安全目标安全目标 本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导 下 结合某集团 erp 系统的安全需求分析 通过信息安全保障总体规划 信息 安全管理体系建设 信息安全技术策略设计以及信息安全产品集成实施等 全 面提升某集团 erp 系统的安全性 能面对目前和未来一段时期内的安全威胁 实现对全网安全状况的统一管理 更好地保障某集团 erp 系统的正常运行 全 面提升某集团信息系统的安全保护水平 并达到国家信息安全等级保护相关标 准的要求 通过本次项目的实施 将为某集团信息系统构建技术与管理相结合的全方 位 多层次 可动态发展的纵深安全防范体系 1 3 设计范围设计范围 本项目的设计范围为某集团 erp 系统 以集团总部为重点进行建设 并对 各分支机构提出建议 1 4 设计依据设计依据 基于某集团业务的特殊性 其信息安全保障体系的建设 除了要满足系统 安全可靠运行的需求 还必须符合国家和行业相关政策和要求 我们国家对信 息安全保障工作非常重视 国家相关部门陆续出台了相应的文件和要求 因此 本项目的建设应当遵从国务院 公安部 国资委等相关机构的要求 参考国际 国内 行业信息安全标准和规范 对信息安全保障体系进行全面 深入的规划 和设计 确保某集团信息系统安全保障体系建设的先进性和规范化 某集团信息安全建设中需遵从的信息安全政策法规包括 中华人民共和国计算机信息系统安全保护条例 国务院 1994 年 147 号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办 2003 27 号 关于信息安全等级保护工作的实施意见 公通字 2004 66 号 某集团信息安全建设方案 5 信息安全等级保护管理办法 公通字 2007 43 号 关于开展信息安全等级保护安全建设整改工作的指导意见 公信安 2009 1429 号 关于进一步推进中央企业信息安全等级保护工作的通知 公通字 2010 70 号 某集团信息安全建设中需参照的信息安全标准规范包括 计算机信息系统安全保护等级划分准则 gb 17859 1999 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护定级指南 gb t 22240 2008 信息安全技术 信息系统安全等级保护基本要求 gb t 22239 2008 信息安全技术 信息系统安全管理要求 gb t 20269 2006 信息安全技术 信息系统通用安全技术要求 gb t 20271 2006 信息系统等级保护安全设计技术要求 gb t 24856 2009 某集团 erp 系统信息安全建设中可借鉴的其他信息安全标准包括 gb t 22080 2008 idt iso iec 27001 2005 信息技术 安全技术 信息 安全管理体系要求 gb t 22081 2008 idt iso iec 27002 2005 信息技术 安全技术 信息 安全管理实用准则 iso iec 13335 信息技术 安全技术 信息技术安全管理指南 iatf 信息保障技术框架 1 5 设计原则设计原则 某集团信息安全保障体系的建设需要充分考虑长远发展需求 统一规划 统一布局 统一设计 规范标准 并根据实际需要及投资金额 突出重点 分 某集团信息安全建设方案 6 步实施 保证系统建设的完整性和投资的有效性 在方案设计和项目建设中应 当遵循以下的原则 统一规划 分步实施原则统一规划 分步实施原则 在信息安全保障技术体系的建设过程中 将首先从一个完整的网络系统体 系结构出发 全方位 多层次的综合考虑信息网络的各种实体和各个环节 运 用信息系统工程的观点和方法论进行统一的 整体性的设计 将有限的资源集 中解决最紧迫问题 为后继的安全实施提供基础保障 通过逐步实施 来达到 信息网络系统的安全强化 从解决主要的问题入手 伴随信息系统应用的开展 逐步提高和完善信息系统的建设 充分利用现有资源进行合理整合的原则 标准性和规范化原则标准性和规范化原则 信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范 的要求 从业务 技术 运行管理等方面对项目的整体建设和实施进行设计 充分体现标准化和规范化 重点保护原则重点保护原则 根据信息系统的重要程度 业务特点 通过划分不同安全保护等级的信息 系统 实现不同强度的安全保护 集中资源优先保护涉及核心业务或关键信息 资产的信息系统 本方案在设计中将重点保护某集团总部网络信息系统 防范 来自内 外网络的安全威胁 适度安全原则适度安全原则 任何信息系统都不能做到绝对的安全 在安全规划过程中 要在安全需求 安全风险和安全成本之间进行平衡和折中 过多的安全要求必将造成安全成本 的迅速增加和运行的复杂性 适度安全也是等级保护建设的初衷 因此在进行等级保护设计的过程中 一方面要严格遵循基本要求 从网络 主机 应用 数据等层面加强防护措施 保障信息系统的机密性 完整性和可用性 另外也要综合成本的角度 针对信 息系统的实际风险 提出对应的保护强度 并按照保护强度进行安全防护系统 的设计和建设 从而有效控制成本 技术管理并重原则技术管理并重原则 某集团信息安全建设方案 7 信息安全问题从来就不是单纯的技术问题 把防范黑客入侵和病毒感染理 解为信息安全问题的全部是片面的 仅仅通过部署安全产品很难完全覆盖所有 的信息安全问题 因此必须要把技术措施和管理措施结合起来 更有效的保障 信息系统的整体安全性 先进形和成熟性原则先进形和成熟性原则 所建设的安全体系应当在设计理念 技术体系 产品选型等方面实现先进 性和成熟性的统一 本方案设计采用国际 国内先进实用的安全技术和安全产 品 选择目前和未来一定时期内有代表性和先进性的成熟的安全技术 既保证 当前系统的高安全可靠 又满足系统在很长生命周期内有持续的可维护和可扩 展性 动态调整原则动态调整原则 信息安全问题不是静态的 信息系统安全保障体系的设计和建设 必须遵 循动态性原则 必须适应不断发展的信息技术和不断改变的脆弱性 必须能够 及时地 不断地改进和完善系统的安全保障措施 经济性原则经济性原则 项目设计和建设过程中 将充分利用现有资源 在可用性的前提条件下充 分保证系统建设的经济性 提高投资效率 避免重复建设 2 信息系统分析信息系统分析 信息系统分析是为了确定信息安全体系设计应覆盖的范围 并根据分析结 果进行信息系统划分和安全保护级别定义 2 1 网络现状描述网络现状描述 目前集团信息系统主要分布在北京 上海 兰州 长春 武汉 成都等几 个地方 每个地方的信息系统都不是非常的完善 信息化的步伐需要大大加强 某集团信息安全建设方案 8 图 2 1 集团信息系统分布示意图 2 2 计算机基础设施建设方面计算机基础设施建设方面 目前集团有9个分支机构 集团有三台ibm x系列服务器和一个emc磁盘阵 列 服务器上有集团网站 oa系统 用友u8财务系统 久琪预算系统 2 3 业务应用系统现状业务应用系统现状 目前 集团先后建立办公oa 预算系统邮件系统 生产系统 财务系统等 多个信息化应用系统 这些系统对于一个集团公司的发展来说 远远不够 2 4 安全安全定级情况定级情况 信息系统定级是等级保护工作的首要环节 是开展信息系统安全建设整改 等级测评 监督检查等后续工作的重要基础 根据 信息安全等级保护管理办 法 信息系统的安全保护等级应当根据信息系统在国家安全 经济建设 社会 生活中的重要程度 信息系统遭到破坏后对国家安全 社会秩序 公共利益以 某集团信息安全建设方案 9 及公民 法人和其他组织的合法权益的危害程度等因素确定 某集团 erp 系统目前定为三级 3 安全需求分析安全需求分析 安全需求的主要依据是合规性要求分析和安全风险评估 通过分析国家等 级保护标准要求确定基本安全需求 同时通过分析信息系统自身可能存在的安 全风险对基本需求进行特殊 额外需求的必要补充 形成最终的安全建设需求 3 1 等级保护等级保护基本需求分析基本需求分析 等保合规性需求分析的目标是根据信息系统的安全保护等级 判断信息系 统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距 提出 信息系统的基本安全保护需求 由于某集团 erp 系统为一个新建系统 尚未进 行安全建设 因此无法进行等保差距分析 以下将直接采用等级保护基本要求 作为某集团 erp 系统安全建设的基本需求 在此基础上 结合对已知安全风险 的分析结果进行额外 特殊安全需求的补充 3 1 1 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 说明说明 根据 信息安全等级保护管理办法 的规定 信息系统按照重要性和被破 坏后对国家安全 社会秩序 公共利益的危害性分为五个安全保护等级 不同 安全保护等级的信息系统有着不同的安全需求 为此 针对不同等级的信息系 统提出了相应的基本安全保护要求 各个级别信息系统的安全保护要求构成了 gb t22239 2008 信息系统安全等级保护基本要求 以下简称 基本要求 基本要求 分为基本技术要求和基本管理要求两大类 其中技术要求又 分为物理安全 网络安全 主机安全 应用安全 数据安全及其备份恢复五个 方面 管理要求又分为安全管理制度 安全管理机构 人员安全管理 系统建 设管理和系统运行维护管理五个方面 技术要求主要包括身份鉴别 自主访问控制 强制访问控制 安全审计 某集团信息安全建设方案 10 完整性和保密性保护 边界防护 恶意代码防范 密码技术应用等 以及物理 环境和设施安全保护要求 技术类安全要求与信息系统提供的技术安全机制有 关 主要通过在信息系统中部署软硬件并正确配置其安全功能来实现 根据保 护侧重点的不同 技术类安全要求进一步细分为信息安全类要求 简记为 s 服务保证类要求 简记为 a 和通用安全保护类要求 简记为 g 信息安全类 要求是指保护数据在存储 传输 处理过程中不被泄漏 破坏和免受未授权的 修改 服务保证类要求是指保护系统连续正常的运行 免受对系统的未授权修 改 破坏而导致系统不可用 技术要求整体框架如下图所示 图 3 1 等级保护基本要求 技术要求 管理要求主要包括确定安全策略 落实信息安全责任制 建立安全组织机 构 加强人员管理 系统建设和运行维护的安全管理 管理类安全要求与信息 系统中各种角色参与的活动有关 主要通过控制各种角色的活动 从政策 制 度 规范 流程以及记录等方面做出规定来实现 在管理要求中提出了机房安 全管理 网络安全管理 系统运行维护管理 系统安全风险管理 资产和设备 管理 数据及信息安全管理 用户管理 安全监测 备份与恢复管理 应急处 置管理 密码管理 安全审计管理等基本安全管理制度要求 提出了建立岗位 和人员管理制度 安全教育培训制度 安全建设整改的监理制度 自行检查制 度等要求 管理要求整体框架如下图所示 某集团信息安全建设方案 11 图 3 2 等级保护基本要求 管理要求 由于信息系统分为五个安全保护等级 其安全保护能力逐级增高 相应的 安全保护要求和措施逐级增强 体现在两个方面 一是随着信息系统安全级别 提高 安全要求的项数增加 二是随着信息系统安全级别的提高 同一项安全 要求的强度有所增加 例如 三级信息系统基本要求是在二级基本要求的基础 上 在技术方面增加了网络恶意代码防范 剩余信息保护 抗抵赖等三项要求 同时 对身份鉴别 访问控制 安全审计 数据完整性及保密性方面的要求在 强度上有所增加 在管理方面增加了监控管理和安全管理中心等两项要求 同 时对安全管理制度评审 人员安全和系统建设过程管理提出了进一步要求 3 1 2 技术类安全需求技术类安全需求 下面我们将主要参考 基本要求 中的第三级技术要求 提出某集团 erp 系统符合等级保护要求的基本技术需求 3 1 2 1 物理安全物理安全 1 物理访问控制 重要区域应配置电子门禁系统 控制 鉴别和记录进入的人员 某集团信息安全建设方案 12 2 防盗窃和防破坏 应利用光 电等技术设置机房防盗报警系统 应对机房设置监控报警系统 3 防雷击 应设置防雷保安器 防止感应雷 4 防火 机房应设置火灾自动消防系统 能够自动检测火情 自动报警 并自动灭 火 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料 机房应采取区域隔离防火措施 将重要设备与其他设备隔离开 5 防水和防潮 应安装对水敏感的检测仪表或元件 对机房进行防水检测和报警 6 防静电 主要设备应采用必要的接地防静电措施 机房应采用防静电地板 7 温湿度控制 机房应设置温 湿度自动调节设施 使机房温 湿度的变化在设备运行所 允许的范围之内 8 电力供应 应在机房供电线路上配置稳压器和过电压防护设备 应提供短期的备用电力供应 至少满足主要设备在断电情况下的正常运行 要求 应建立备用供电系统 9 电磁防护 应对关键设备和磁介质实施电磁屏蔽 3 1 2 2 网络安全网络安全 1 安全评估 需由专业安全服务人员根据相关要求对网络结构和网络设备进行安全评估 某集团信息安全建设方案 13 并根据需要进行适当加固和提供整改建议 2 结构安全 应保证主要网络设备的业务处理能力和网络链路的传输带宽具备冗余空间 满足业务高峰期需要 应按照业务类型 重要程度等对网络进行安全域划分 对重要的安全域与 其他网段 外部网络之间需采取可靠的技术隔离手段 应按照对业务服务的重要次序来指定带宽分配优先级别 保证在网络发生 拥堵的时候优先保证重要主机的通信带宽 3 访问控制 应在网络边界部署具有会话状态检测功能的访问控制设备 控制粒度为端 口级 可控制单个用户对受控系统资源的访问 并能对进出网络的信息内容进 行过滤 实现对应用层 http ftp telnet smtp pop3 等协议命令级的控制 应限制网络最大流量数及网络连接数 重要网段应采取技术手段防止地址欺骗 4 安全审计 需要开启网络设备的日志功能 对网络设备运行状况 网络流量 用户行 为等进行日志记录 审计记录应包括事件的日期和时间 用户 事件类型 事 件是否成功及其他与审计相关的信息 能够根据记录数据进行分析 生成审计报表 需设置安全 独立的日志存 储系统 保护审计记录不被非法删除 修改或覆盖等 5 边界完整性检查 需要部署非法接入监控系统和非法外联监控系统 对非授权设备私自联到 内部网络或内部网络用户私自联到外部网络的行为进行检查 准确定出位置 并对其进行有效阻断 6 入侵防范 需要在网络边界部署网络入侵检测机制 对进出边界的网络数据流进行端 口扫描 强力攻击 木马后门攻击 拒绝服务攻击 缓冲区溢出攻击 ip 碎片 攻击和网络蠕虫攻击等的检测 某集团信息安全建设方案 14 应在检测到攻击行为时 记录攻击源 ip 攻击类型 攻击目的 攻击时间 在发生严重入侵事件时应提供报警 7 恶意代码防范 需要在网络边界部署网关级的病毒过滤系统 对恶意代码进行检测和清除 并提供代码库的升级和检测引擎的更新功能 8 网络设备防护 需要部署双因素身份认证系统对网络管理员进行身份鉴别 身份鉴别信息 应不易被冒用 需要对远程身份认证过程提供加密保护 需要将系统特权用户 的权限进行分离 3 1 2 3 主机安全主机安全 1 安全评估 需由专业安全服务人员根据相关要求对主机操作系统和数据库系统进行安 全评估 并根据需要进行适当加固和提供整改建议 2 身份鉴别 s 需要部署双因素身份认证系统对操作系统和数据库系统的管理员进行身份 鉴别 身份鉴别信息应不易被冒用 需要对远程身份认证过程提供加密保护 3 访问控制 s 应对重要信息资源设置敏感标记 依据安全策略严格控制用户对有敏感标 记重要信息资源的操作 4 安全审计 需要对服务器操作系统 数据库系统和重要客户端操作系统进行用户行为 系统事件的审计 审计记录应包括日期和时间 类型 主体标识 客体标识 事件的结果等 需设置安全 独立的日志存储系统 保护审计记录不被非法删 除 修改或覆盖等 能够根据记录数据进行分析 生成审计报表 5 入侵防范 需要在重要服务器上部署入侵检测机制 对非法入侵和攻击行为进行检测 记录和告警 并对系统重要程序的完整性进行检测和保护 某集团信息安全建设方案 15 6 恶意代码防范 需安装网络版防病毒软件 提供统一管理和更新 且需与网关防病毒系统 的代码库异构 7 资源控制 a 需要对重要服务器的运行情况进行实时监视 包括监视服务器的 cpu 硬 盘 内存 网络等资源的使用情况 限制单个用户对系统资源的最大或最小使 用限度 并能够对系统的服务水平降低到预先规定的最小值进行检测和报警 3 1 2 4 应用安全应用安全 1 安全评估 需由专业安全服务人员根据相关要求对应用系统进行安全评估 并根据需 要进行适当加固和提供整改建议 2 身份鉴别 s 需要部署双因素身份认证系统对应用系统用户进行身份鉴别 身份鉴别信 息应不易被冒用 3 访问控制 s 应对重要信息资源设置敏感标记 依据安全策略严格控制用户对有敏感标 记重要信息资源的操作 4 安全审计 需要对应用系统进行用户行为 重要安全事件的审计 审计记录应包括事 件的日期 时间 发起者信息 类型 描述和结果等 需设置安全 独立的日 志存储系统 保护审计记录不被非法删除 修改或覆盖等 能够对记录数据进行统计 查询 分析 生成审计报表 5 应用通信安全 s 应采用密码技术 提供通信双方的会话初始化验证 对重要通信过程进行 加解密运算和密钥管理 保证通信过程中数据的完整性 保证整个通信报文或 会话过程的保密性 保证通信双方数据收发行为的抗抵赖性 6 资源控制 a 需要对应用系统的运行情况进行实时监视 对系统的资源分配进行合理设 某集团信息安全建设方案 16 制 并能够对系统的服务水平降低到预先规定的最小值进行检测和报警 3 1 2 5 数据安全及备份恢复数据安全及备份恢复 1 数据传输完整性 保密性 s 应采用密码技术或其他有效措施 保证系统管理数据 鉴别信息和重要业 务数据在传输过程中的完整性 保密性 2 数据存储完整性 保密性 s 应采用专门的存储安全措施 保证系统管理数据 鉴别信息和重要业务数 据在存储过程中的完整性 保密性 3 数据备份和恢复 a 应建立或完善数据备份和恢复机制 在提供本地备份和恢复功能的基础上 建立异地数据备份机制 应采用冗余技术设计网络拓扑结构 避免关键节点存在单点故障 应提供 主要网络设备 通信线路和数据处理系统的硬件冗余 保证系统的高可用性 3 1 3 管理类安全需求管理类安全需求 3 1 3 1 安全管理制度安全管理制度 需要制定信息安全工作的总体方针和安全策略 对安全管理活动中各类管 理内容建立安全管理制度 对管理人员或操作人员执行的日常管理操作建立操 作规程 要求形成由安全策略 管理制度 操作规程等构成的全面的信息安全 管理制度体系 3 1 3 2 安全管理机构安全管理机构 需要建立或完善既满足相关要求又符合实际情况的安全管理机构 应加强 与外部组织的沟通和合作 并聘请信息安全专家作为常年的安全顾问 指导信 息安全建设 参与安全规划和安全评审等 某集团信息安全建设方案 17 3 1 3 3 人员安全管理人员安全管理 需要制定既满足相关要求又符合实际情况的人员安全管理条例 并进行必 要的人员安全意识和安全技能培训 3 1 3 4 系统建设管理系统建设管理 需要依照等级保护相关政策和标准的要求进行系统定级 规划 设计 实 施 并委托公正的第三方测试单位对系统进行安全性测试 并出具安全性测试 报告作为验收依据 应选择具有国家相关技术资质和安全资质的测评单位至少 每年对系统进行一次等级测评 发现不符合相应等级保护标准要求的及时整改 3 1 3 5 系统运维管理系统运维管理 需要对系统运行进行维护和管理 涵盖环境管理 资产管理 介质管理 设备管理 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变 更管理 备份与恢复管理 安全事件处置 应急预案管理等各个方面 并在环 境管理 资产管理 介质管理 设备管理 网络安全管理 系统安全管理 密 码管理 变更管理 备份与恢复管理等方面要求进行规范的制度化管理 要求 对安全事件根据等级分级响应 同时加强对应急预案的演练和审查 此外还需 结合采用以下的技术手段实现网络和系统的安全运维 监控管理和安全管理中心 需采用适当的技术手段建立安全管理中心和网络管理中心 实现对构成 it 系统的通信线路 主机 网络设备和应用软件的运行状况 网络流量 用户行 为和安全审计记录等的集中监测 管理 对发现的异常事件进行报警 形成记 录并妥善保存 网络准入控制和非法外联管理 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入 应定期检查违反规定拨号上网或其他违反网络安全策略的行为 某集团信息安全建设方案 18 安全漏洞扫描 应定期对网络系统和主机系统进行漏洞扫描 对发现的安全漏洞进行及时 的修补 系统补丁升级 应安装系统的最新补丁程序 在安装系统补丁前 应首先在测试环境中测 试通过 并对重要文件进行备份后 方可实施系统补丁程序的安装 恶意代码防范管理 应能自动检测接入到内部网络的终端系统的防病毒软件安装情况和版本更 新情况 确保终端防病毒软件版本是当前最新版本 在读取移动存储设备上的 数据以及网络上接收文件或邮件之前 先进行病毒检查 对外来计算机或存储 设备接入网络系统之前也应进行病毒检查 3 2 额外额外 特殊保护需求分析特殊保护需求分析 风险就是威胁利用弱点对资产或资产组产生影响的潜在可能性和潜在影响 的结合 瞄准计算机网络系统可能存在的安全弱点 各类新型的风险将会不断 产生 这些风险由多种因素引起 与网络系统结构和网络应用服务等因素密切 相关 下面我们就从某集团 erp 系统中重要资产所存在的安全弱点以及可能面临 的安全威胁入手 针对物理 网络 主机 应用及管理等各个层面可能存在的 安全风险进行分析 3 2 1 重要资产分析重要资产分析 某集团 erp 系统中的重要资产包括边界路由器 核心交换机等网络设备 web 服务器 应用服务器 数据库服务器 业务及管理用户终端等主机设备及 其上运行的操作系统 通用应用软件及为特定业务专门开发的应用系统等 除 此之外 作为信息系统的管理者和维护者 it 管理人员也是信息系统的重要资 产之一 某集团信息安全建设方案 19 3 2 2 安全弱点分析安全弱点分析 1 网络设备自身存在的安全弱点 某集团网络中部署的网络设备 如路由器 交换机等 存在固有的或配置 使用上的安全弱点 一旦被暴露 可能导致网络设备自身的不安全 例如对网 络设备登录用户的身份鉴别机制过于简单 对用户的登录和访问行为缺少控制 和审计 对特权用户没有进行权限分离等 此外 有些网络设备还可能存在系 统开发时留下的 后门 back door 容易造成设备被他人非法操控 2 主机系统自身存在的安全弱点 目前的操作系统或应用平台系统无论是 windows unix 类 unix 操作系统 以 都不可能是百分之百的无缺陷和无漏洞的 而且其开发厂商可能还留有后 门 例如用于远程维护 一旦系统中存在的漏洞和缺陷被暴露 就给入侵者进 行非法操作提供了便利 另外 从实际应用上 系统的安全程度跟对其进行安 全配置及系统的应用方式也有很大关系 系统如果没有采用相应的访问控制和 授权机制 那么掌握一般攻击技术的人都可能入侵得手 3 数据库系统自身存在的安全弱点 许多关键业务系统的数据都依赖关系型数据库进行存储和管理 如果数据 库安全无法保证 其上的应用系统也会被非法访问或破坏 数据库安全风险集 中在 系统认证 口令强度不够 过期帐号 登录攻击等 系统授权 帐号权限 登录时间超时等 系统完整性 特洛伊木马 审核配置 补丁和修正程序等 数据丢失 操作日志被删除 没有采用数据冗余备份 数据库系统自身的 bug 没有打最新的数据库系统的补丁 选择了不安全的默认配置 4 应用系统自身存在的安全弱点 各种通用的应用平台程序 如数据库管理系统 web server 程序 ftp 服 务程序 e mail 服务程序 浏览器 ms office 办公软件等 以及为业务系统专 某集团信息安全建设方案 20 门开发的应用程序 其自身的安全漏洞和由于配置不当造成的安全漏洞会导致 整个网络的安全性下降 常见的应用系统安全弱点包括 源程序中存在的 bug 被利用发起攻击 造成业务应用被中断 源程序中出于程序调试的方便 人为设置许多 后门 一旦被黑客利 用后 将直接通过 后门 控制系统 应用系统自身很弱的身份认证 使得黑客获得访问应用系统的权限 从而访问到业务系统的敏感信息 造成信息外泄 应用系统的用户名和口令以明文方式被传递 容易被截获 从而发起 对系统的非授权访问 各种可执行文件成为病毒的直接攻击对象 应用系统是动态的 不断变化的 应用的安全性也动态的 这就需要我们 对不同的应用 检测安全漏洞 采取相应的安全措施 降低应用的安全风险 5 人员安全弱点 再安全的设备和系统离不开人的管理 再好的安全策略最终要靠人来实现 因此 it 运维和管理人员是整个信息系统安全中极为重要的一环 it 管理人员 的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患 3 2 3 安全威胁分析安全威胁分析 威胁是一种对系统 组织及其资产构成潜在破坏能力的可能性因素或者事 件 主要有两个特点 一 威胁总是针对具体的信息资产 比如信息网络中的 机密及敏感信息 信息网络中的网络资源 信息网络中的关键应用等 二 威 胁总是在利用信息资产的弱点时 才会造成风险 针对某集团信息网络 威胁 可利用的弱点包括在本章上一小节里描述的各类问题 威胁从形式上划分为威胁来源和威胁手段 信息安全所面临的威胁不仅来 自人为的破坏 人为威胁 也来自自然环境 非人为威胁 各种人员 机构 出于各种目的攻击行为 系统自身的安全缺陷 脆弱性 以及自然灾难 都可 能构成对某集团信息系统的威胁 根据某集团信息系统实际情况 从威胁发生 的概率比较 来自内 外网络的人为安全威胁是目前最值得关注的问题 最常见的人为威胁即网络攻击 各种攻击手段都是通过寻找目标系统的弱 某集团信息安全建设方案 21 点 以便达到破坏 欺骗 窃取数据等目的 给组织造成经济上和名誉上不可 估量的损失 针对某集团信息系统 可能遭遇的网络攻击类型包括 被动攻击 被动攻击包括分析通信流 监视未被保护的通讯 解密弱加密通讯 获取 鉴别信息 比如口令 可能造成在没有得到用户同意或告知用户的情况下 将 信息或文件泄露给攻击者 被动攻击主要是了解所传送的信息 一般不易被发 现 典型攻击行为有 a 监听网络中传输的通信数据 b 明文或弱加密传递的数据 报文进行截取或篡改 c 对加密不善的帐号和口令进行截取 从而在网络内获得更大的访问权限 d 对网络中存在漏洞的操作系统进行探测 e 通信流量分析 主动攻击 主动攻击为攻击者主动对信息系统实施攻击 包括试图避开 阻断或攻破 保护机制 引入恶意代码 偷窃或篡改信息 主动进攻可能造成数据资料的泄 露和修改 或导致拒绝服务以及数据的破坏 典型的主动攻击行为有 a 篡改 通信数据在传输过程中被改变 删除或替代 b 重放 攻击者对截获的某次合法数据进行拷贝 以后出于非法目的而重 新发送 c 欺骗 进行 ip 地址欺骗 在设备之间发布假路由 虚假 arp 数据包 d 盗取合法建立的会话 e 假冒 某个实体假装成另外一个实体 以便使一线的防卫者相信它是一 个合法的实体 取得合法用户的权利和特权 这是侵入安全防线最为常用的方 法 f 越权访问 g 利用缓冲区溢出 bof 漏洞执行代码 h 插入和利用恶意代码 如 特洛依木马 后门 病毒等 某集团信息安全建设方案 22 i 利用协议 软件 系统故障和后门 j 拒绝服务攻击 使对通信设施或目标系统的使用和管理被无条件地拒绝 绝对防止主动攻击是十分困难的 因为需要随时随地对通信设备和通信线 路进行物理保护 因此抗击主动攻击的主要途径是检测 以及对此攻击造成的 破坏进行恢复 内部人员攻击 由内部办公 管理人员具有对系统的合法访问权限 如果管理不善 很容 易造成威胁 内部合法人员对系统的威胁 除了具有上述人为安全威胁的攻击 方式 还具有其特有的攻击手段 内部人员攻击可以分为恶意或无恶意攻击 前者指内部人员对信息的恶意 破坏或不当使用 或使他人的访问遭到拒绝 后者指由于粗心 无知以及其它 非恶意的原因而造成的破坏 典型的内部威胁有 a 恶意修改数据和安全机制配置参数 扩大自己的访问权限 b 恶意建立未授权的网络连接 如 拨号连接 c 对设备 传输线路的恶意物理损坏和破坏 d 出于粗心 好奇或技术尝试进行无意的数据损坏和破坏 这种行为往往 对组织造成严重的后果 而且防范难度比较高 e 滥用网络资源从事与工作无关的活动 大量占用有限的业务带宽 分发攻击 分发攻击是指在信息系统硬件和软件的开发 生产 运输 安装和维护阶 段 攻击者恶意修改设计 配置等行为 在某集团信息系统中 尤其要注意使 用合法的软件产品 从正式厂家选购硬件产品 由有资质的集成商和服务提供 商提供外包服务 否则 设备 软件的采购和交付 系统建设等将成为安全威 胁的主要来源之一 典型的分发攻击方式有 a 利用制造商在设备上设置隐藏的攻击途径 比如后门 便于进行软硬件 配置修改 b 在产品分发 安装时修改软硬件配置 设置隐藏的攻击途径 某集团信息安全建设方案 23 c 在设备和系统维护升级过程中修改软硬件配置 设置隐藏的攻击途径 直接通过因特网进行远程升级维护具有较大的安全风险 物理邻近攻击 未授权者可物理上接近网络 系统或设备 目的是修改 收集或拒绝访问 信息 主要攻击方式有非法进行串口连接 非法实施密码恢复默认 非法关机 等 3 2 4 安全风险分析安全风险分析 3 2 4 1 物理层面的安全风险物理层面的安全风险 物理安全是整个网络系统安全的前提 物理安全存在风险主要有 火灾 水灾 地震等环境事故 造成整个系统毁灭 电源故障 造成设备断电以至操作系统引导失败或数据库信息丢失 设备被盗 被毁等 造成系统毁灭或敏感业务数据泄漏 不正常的机房温湿度环境 造成服务器 路由器 交换机等局域网核心 设备出现故障 甚至烧毁等 3 2 4 2 网络层面的安全风险网络层面的安全风险 网络层是网络入侵者进攻信息系统的渠道和通路 许多安全问题都集中体 现在网络的安全方面 网络层面临的安全风险大致可体现在如下几个方面 1 互联网边界安全风险 某集团网络及下属各分支机构局域网均进行了互联网接入 方便各分支机 构业务人员远程访问总部 erp 系统 同时也为本地局域网用户访问外界资源和 外部网络用户访问集团信息发布网站提供了统一的互联网访问接口 面对网络 上不断出现的各种安全威胁 某集团网络非常容易遭到来自外部网络的各种复 杂的恶意攻击 例如 非法访问 外部用户试图访问集团总部网络所开放的互联网服务之外的 其他内部信息和服务 非法入侵 外部用户通过身份假冒 应用层攻击等方式 穿透访问控制 某集团信息安全建设方案 24 机制 进入网络内部进行非法操作 甚至对核心的业务系统造成威胁 病毒和蠕虫攻击 外部网络的病毒和蠕虫侵入集团总部网络 从而造成 数据丢失 业务中断甚至网络瘫痪等严重后果 拒绝服务攻击 黑客的 dos ddos 攻击 会造成网络通讯和应用服务的 中断 影响业务的正常运行 2 远程接入安全风险 远程数据传输风险 各分支机构网络用户需要通过互联网访问集团总部网络进行远程应用交互 如果不采取任何加密 验证手段进行保护的话 则整个应用交互过程就有可能 完全暴露在外部人员面前 使得远程通信实体的真实性 所传输数据的保密性 完整性都得不到保障 将直接威胁应用系统自身的安全 远程网络访问风险 各分支机构网络用户可以通过互联网访问集团总部内部网络中的业务系统 如果在总部网络的远程接入边界或业务服务器区域边界没有采取有效的控制手 段 来自任何一个分支机构网络中的有不满情绪或受利欲驱使的人员完全有可 能通过某种攻击手段对集团总部核心系统和业务数据进行非法入侵和破坏 3 局域网内部安全风险 内部威胁是由于网络内部管理不善 由内部用户 包括合法用户或非法接 入用户 造成 分为恶意攻击和非恶意威胁两种 恶意攻击是指出于各种目的 而对所使用的信息系统实施的攻击 如网络窃听 主动泄密 恶意扫描 非法 入侵等 非恶意威胁则是由于合法用户的无意行为造成的 他们并非故意要破 坏信息和系统 但由于误操作 经验不足 抵挡不住诱惑而导致的一些网络滥 用行为 对信息系统正常运行造成了影响 据权威数据表明 有 80 以上的攻 击是来自内部攻击和内外勾结的攻击 由于内部用户具有对信息系统的合法访 问权限 因此内部攻击成功的概率要远远高于来自于外部网络的攻击 造成的 后果也严重的多 局域网内部安全风险主要包括如下两个方面 区域边界风险 我们将对集团总部网络按照功能和重要性进行安全域的划分 主要目的是 为了对重要的网络系统资源和信息数据进行保护 防范来自其他区域的安全威 某集团信息安全建设方案 25 胁 同时尽可能将安全风险 如互联网黑客攻击或病毒蠕虫传播 限制在局部 区域范围内 但由于各区域之间都要通过网络核心层互联起来 并实现一定的 信息共享 如果在各区域边界尤其是重要业务服务器子网区域的边界上没有严 格的控制手段 则很容易被其他区域的用户随意访问 黑客也可能利用这个途 径间接侵入重要服务器系统进行非法操作 或窃取 篡改关键业务数据和信息 对业务的可用性和数据的完整性 保密性造成极大的威胁 终端接入风险 如果没有对局域网终端接入和网络地址的使用进行适当限制 对内部用户 的网络访问行为没有采取有效的监控措施 很容易造成网络资源滥用 信息泄 露 系统破坏 轻则降低网络工作效率 重则导致业务停顿 甚至造成严重的 经济损失和社会影响 此外 对用户的网络访问行为缺乏追踪审计 即使发生 了非法的网络安全事件 也很难及时发现和处理 3 2 4 3 主机层面的安全风险主机层面的安全风险 主机安全通常是指网络服务器和客户端计算机的操作系统及运行在其上的 应用支撑平台系统的安全 1 服务器安全风险 对某集团网络来讲 运行在网络上的各种网络服务器构成了最重要的信息 资产之一 特别是运行核心业务的应用服务器和数据库服务器 构成某集团网 络中最重要的信息资产 一般来讲 网络服务器所面临的主要安全风险包括 系统弱点被暴露而招致攻击 一旦系统中存在的漏洞和缺陷被暴露 就给入侵者进行非法操作提供了便利 另外 从实际应用上 系统的 安全程度跟对其进行安全配置及系统的应用方式也有很大关系 系统 如果没有采用相应的访问控制和授权机制 那么掌握一般攻击技术的 人都可能入侵得手 合法用户误用 滥用导致破坏和泄密 无论是普通用户还是系统管理 员 在正常操作过程中难免会发生误操作 可能导致系统故障或数据 丢失 用户也可能因受利益驱使或心怀不满等原因 故意利用职权进 某集团信息安全建设方案 26 行泄密和破坏 计算机病毒的侵害 计算机病毒不仅能侵入 windows 文件系统 而 且也有可能通过各种途径进入 linux unix 文件系统中 即使它不会对 服务器系统本身造成威胁 但是一旦服务器感染了病毒 就会对所有 的访问终端构成威胁 最终影响日常业务和办公的正常进行 缺乏审计能力而无法对安全事件后期取证 只要系统没有对用户的非 法操作过程和操作结果留下任何记录 用户完全可以否认自己的行为 从而无法进行后期的责任追究 2 客户端主机安全风险 计算机终端涉及到每个使用电脑的人员 由于其分散性 不被重视 安全 手段缺乏的特点 已经成为信息安全体系的薄弱环节 某集团网络客户端主机 均采用基于 windows 平台的 pc 工作站 存在较多的安全漏洞 除了本身极易受 到病毒感染 黑客入侵和攻击外 还很容易通过网络应用 文件共享 电子邮 件等 将安全风险迅速传播到其他主机和终端上 最终导致整个信息系统性能 下降甚至瘫痪 同时 计算机操作人员自身的安全意识和自觉性也是影响终端 安全的关键因素 3 2 4 4 应用层面的安全风险应用层面的安全风险 应用安全是指用户在网络上运行的业务应用系统 办公应用系统及其他各 种在线应用系统的安全 应用层安全的解决目前往往依赖于网络层 操作系统 数据库的安全 由于应用系统复杂多样 没有特定的安全技术能够完全解决一 些特殊应用系统的安全问题 应用系统的主要安全风险来自于用户 即应用系统的使用者 包括管理维 护人员和操作人员 如果由于对用户管理的松懈而致使非法用户或匿名用户侵 入系统 将可能对关键业务系统造成极大的危害 我们认为在应用安全方面可 能存在的安全风险主要有 用户身份假冒 非法用户假冒合法用户的身份访问应用资源 如攻击者通过各种手段取得 应用系统的一个合法用户的账号访问应用资源 或是一个内部的合法用户盗用 某集团信息安全建设方案 27 领导的用户账号访问应用资源 用户身份假冒的风险来源主要有两点 一是应 用系统的身份认证机制比较薄弱 如把用户信息 用户名 口令 在网上明文 传输 造成用户信息泄漏 二是用户自身安全意识不强 如使用简单的口令 或把口令记在计算机旁边 非授权访问 非法用户或者合法用户访问在其权限之外的系统资源 其风险来源于两点 一是应用系统没有正确设置访问权限 使合法用户通过正常手段就可以访问到 不在权限范围之内的资源 二是应用系统中存在一些后门 隐通道 陷阱等 使非法用户 特别是系统开发人员 可以通过非法的途径进入应用系统 网页内容篡改风险 集团总部网站因需要被公众访问而暴露于因特网上 很容易成为黑客的攻 击目标 即使采用防火墙 入侵检测等安全防范手段 但现代操作系统的复杂 性和多样性导致系统漏洞层出不穷 防不胜防 黑客入侵和篡改页面的事件时 有发生 如果网站系统被黑客侵入 随意篡改网页内容 如发布虚假信息等 将可能导致严重的经济损失和社会影响 缺乏有效的审计 有些应用系统没有设计或没有开启审计功能 不能记录用户对应用资源的 访问情况 有些应用系统即使开启了审计功能 所记录的信息也非常有限 某 些用户可能对自己的行为或所发出的信息进行有意或无意的否认 例如否认自 己执行了