门户网站系统等级保护建设方案

X管理局门户网站系统等级保护建设方案文档修订记录文档审批信息目录TOC\o"1-5"\h\z\o"CurrentDocument"网站平台现状分析 6\o"CurrentDocument"1.1项目背景 6\o"CurrentDocument"1.2网络现状 6\o"CurrentDocument"1.3面临风险 6\o"CurrentDocument"1.4需求分析 7\o"CurrentDocument"总体方案建设 8\o"CurrentDocument"2.1方案建设参照标准 8\o"CurrentDocument"2.2方案建设目标 9\o"CurrentDocument"2.3系统平台规划 9\o"CurrentDocument"2.3.1网络架构设计及描述 9\o"CurrentDocument"2.4 网络安全建设 10\o"CurrentDocument"2.4.1结构安全与网段划分 10\o"CurrentDocument"2.4.2网络访问控制 11\o"CurrentDocument"2.4.3拨号访问控制 11\o"CurrentDocument"2.4.4网络安全审计 11\o"CurrentDocument"2.4.5边界完整性检查 11\o"CurrentDocument"2.4.6恶意代码防范 11\o"CurrentDocument"2.4.7网络设备防护 12\o"CurrentDocument"2.5主机安全建设 12\o"CurrentDocument"2.5.1防病毒软件 12\o"CurrentDocument"2.5.2身份鉴别 12\o"CurrentDocument"2.5.3自主访问控制 12\o"CurrentDocument"2.5.4安全审计 13\o"CurrentDocument"2.5.5系统保护 13\o"CurrentDocument"2.5.6剩余信息保护 13\o"CurrentDocument"2.5.7恶意代码防范 13\o"CurrentDocument"2.5.8资源控制 142.6应用安全建设 14\o"CurrentDocument"2.6.1网站安全防护 14\o"CurrentDocument"2.6.2身份鉴别 14\o"CurrentDocument"2.6.3访问控制 14\o"CurrentDocument"2.6.4安全审计 15\o"CurrentDocument"2.6.5剩余信息保护 15\o"CurrentDocument"2.6.6通信完整性 15\o"CurrentDocument"2.6.7通信保密性 16\o"CurrentDocument"2.6.8软件容错 16\o"CurrentDocument"2.6.9资源控制 16\o"CurrentDocument"2.6.10代码安全 16\o"CurrentDocument"2.7数据安全及备份恢复 16\o"CurrentDocument"2.7.1数据完整性 16\o"CurrentDocument"2.7.2数据保密性 17\o"CurrentDocument"2.7.3数据备份和恢复 172.8安全管理建设 17\o"CurrentDocument"2.8.1安全管理制度 17\o"CurrentDocument"2.8.2安全管理机构 18\o"CurrentDocument"2.8.3人员安全管理 18\o"CurrentDocument"2.8.4系统建设管理 19\o"CurrentDocument"2.8.5系统运维管理 19\o"CurrentDocument"信息安全产品部署及功能需求 19\o"CurrentDocument"3.1 数据交换系统 19\o"CurrentDocument"3.1.1网络部署 19\o"CurrentDocument"3.1.2系统功能 20\o"CurrentDocument"3.2僵尸木马网络攻击行为预警系统 23\o"CurrentDocument"3.2.1网络部署 23\o"CurrentDocument"3.2.2系统功能 23\o"CurrentDocument"3.3日志审计系统 24\o"CurrentDocument"3.3.1网络部署 24\o"CurrentDocument"3.3.2系统功能 25\o"CurrentDocument"3.4网站防篡改系统 27\o"CurrentDocument"3.4.1网络部署 27\o"CurrentDocument"3.4.2系统功能 27\o"CurrentDocument"3.5防病毒系统 28\o"CurrentDocument"3.5.1网络部署 28\o"CurrentDocument"3.5.2系统功能 29一、网站平台现状分析1.1项目背景X管理局为了落实和贯彻公安部、X保密局、X密码管理局等X有关部门信息安全等级保护工作要求，全面完善我局门户网站信息安全防护体系，落实我局门户网站安全防护策略，确保等级保护工作的顺利实施，提高我局门户网站系统信息安全防护水平，对门户网站系统开展等级保护建设工作。本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。1.2网络现状上海市监狱管理局公众网网站系统拓扑图1.3面临风险X管理局门户网站平台主要面临以下安全风险:网站安全防护不足门户网站缺少针对网站防篡改的防护系统，对各类非法篡改如SQL注入、跨站脚本攻击、网站篡改和WEB网页挂马等攻击行为无法及时的阻断和防御。■僵尸网络、木马攻击无法抵御网站页面被篡改、恶意软件传播、内部信息被窃取、网络遭受木马攻击、僵尸网络横行等恶意行为，已经成为重大的网络安全隐患，门户网站平台同样面临如此严峻的网络安全威胁。■恶意入侵行为安全检测对网络数据进行实时采集和实时分析，帮助网管人员及时发现网络中的各种攻击和违规行为，掌握网络流量的变化，发现异常流量的出现，并通过与内网其他安全设备联动封堵攻击源。目前门户网站平台只有一台防火墙安全设备，不能进行主动监测入侵行为，安全防御比较被动。1.4需求分析综合考虑监狱管理局门户网站安全防护现状，与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距。为满足信息系统安全等级保护基本要求，保障门户系统稳定、安全运行，需对监狱管理局门户网站等级保护建设符合以下要求：网络安全检测一为保证内网与互联网数据交互的安全性，需对内网和外网之间的数据流做安全过滤，以确保能及时检测并抵御DDOS、拒绝服务、入侵行为、僵尸网络、木马行为等网络恶意攻击行为。所以需要专门针对僵尸网络、木马行为攻击的预警系统。主机安全防护一主机安全可包括两种方式对主机进行防护：系统本身的X管理局门户网站系统等级保护建设方案安全防护和通过第三方安全软件进行系统防护。系统本身主要通过身份鉴别、安全审计、访问控制、安全策略等措施构建系统级别的防护堡垒，第三方安全软件主要依靠软件本身的病毒库、特征码、安全策略对系统提供系统防护。网站安全防护一需对网站提供恶意代码主动防御、网页防篡改保护、防SQL注入、跨站脚本攻击和拒绝服务攻击等网站系统面临的安全威胁。安全审计一为了帮助安全人员有效针对系统日志、数据库日志和各种网络设备安全设备的日志进行统计分析，及时发现安全漏洞并对妨碍系统运行的明显企图及时报告给安全控制台，及时采取措施。部署安全审计设备是一种高效的解决手段。二、总体方案建设2.1方案建设参照标准信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全保护等级定级指南信息安全技术信息安全等级保护实施指南信息安全技术信息系统安全等级保护测评指南GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20281-2006信息安全技术防火墙技术要求与测试评价方法GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20281-2006信息安全技术防火墙技术要求与测试评价方法GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法X管理局门户网站系统等级保护建设方案>GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求>GB/T法20277-2006信息安全技术网络脆弱性扫描产品测试评价方>GB/T20279-2006信息安全技术网络端设备隔离部件技术要求>GB/T法20280-2006信息安全技术网络端设备隔离部件测试评价方2.2方案建设目标通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得X管理局门户网站系统满足二级等级保护建设的相关要求，又能为门户网站系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。等级保护建设基本要求如下:管理囊束系统篷设管理安善理制度蠢运维管理人员麦善理安着理机构数据安全网络塞主娄全吱术要求管理囊束系统篷设管理安善理制度蠢运维管理人员麦善理安着理机构数据安全网络塞主娄全吱术要求2.3系统平台规划2.3.1网络架构设计及描述X管理局门户网站系统等级保护建设方案X管理局门户网站系统由出口防火墙、日志审计系统、僵尸木马网络检测系统、网站防护系统、防病毒系统、数据交换系统组成，整个系统主要为两台门户网站服务器提供安全防护。出口防火墙作为第一层安全防护，通过安全策略和防护功能抵御互联网的攻击。僵尸木马网络攻击行为预警系统作为第二层安全防护，通过过滤检测进出入内外网的数据流检测入侵行为和恶意攻击，并通过预警机制提供解决方案。数据交换系统主要为内网服务器之间的数据流、外网与内网之间的数据流提供中转平台和数据安全过滤。网站防护系统和防病毒系统，为网站服务器和网站程序提供安全防护，防止网站遭非法篡改和病毒攻击。2.4网络安全建设2.4.1结构安全与网段划分＞网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；＞设计和绘制与当前运行情况相符的网络拓扑结构图；＞根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；＞在业务终端与业务服务器之间进行路由控制，建立安全的访问路径;＞根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；＞重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。2.4.2网络访问控制＞能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。2.4.3拨号访问控制＞在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；＞限制具有拨号访问权限的用户数量。2.4.4网络安全审计＞对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录；＞于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。2.4.5边界完整性检查＞能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）。2.4.6恶意代码防范＞在网络边界及核心业务网段处对恶意代码进行检测和清除；＞维护恶意代码库的升级和检测系统的更新；＞支持恶意代码防范的统一管理。2.4.7网络设备防护＞对登录网络设备的用户进行身份鉴别；＞对网络设备的管理员登录地址进行限制；＞网络设备用户的标识应唯一；＞身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；＞具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出。2.5主机安全建设2.5.1防病毒软件＞控制对网络资源的访问并保护边界免遭Web相关的威胁侵扰；＞能够深入了解自身环境，实现更有效的防护；＞利用可靠的可操作情报，前瞻性预测威胁并最大限度减少停机。2.5.2身份鉴别＞操作系统和数据库管理系统用户的身份标识应具有唯一性；＞对登录操作系统和数据库管理系统的用户进行身份标识和鉴别；＞操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；＞具有登录失败处理功能，如：结束会话、限制非法登录次数，当登录连接超时，自动退出。2.5.3自主访问控制＞依据安全策略控制主体对客体的访问；＞自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；＞自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级；＞由授权主体设置对客体访问和操作的权限；＞严格限制默认用户的访问权限。2.5.4安全审计＞安全审计应覆盖到服务器上的每个操作系统用户和数据库用户；＞安全审计应记录系统内重要的安全相关事件，包括重要用户行为和重要系统命令的使用等；＞安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；＞审计记录应受到保护避免受到未预期的删除、修改或覆盖等。2.5.5系统保护＞系统应提供在管理维护状态中运行的能力，管理维护状态只能被系统管理员使用。2.5.6剩余信息保护＞保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；＞确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。2.5.7恶意代码防范X管理局门户网站系统等级保护建设方案＞服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品；＞主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；2.5.8资源控制A限制单个用户的会话数量；＞通过设定终端接入方式、网络地址范围等条件限制终端登录。2.6.1网站安全防护＞针对网站攻击如SQL注入攻击(SQLinjections)、跨站脚本攻击(cross-sitescriptingattacks)、进程窃取(sessiontampering)及缓存溢出(bufferoverflows)、网站篡改等各类恶意攻击，对WEB应用提供安全防护；＞网站防护系统支持主动防御，利用文件过滤驱动技术保护网页和动态脚本不被非法篡改，从源头上杜绝各类非法篡改行为。2.6.2身份鉴别＞用系统用户的身份标识应具有唯一性；＞对登录的用户进行身份标识和鉴别；＞系统用户身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；＞具有登录失败处理功能，如：结束会话、限制非法登录次数，当登录连接超时，自动退出。2.6.3访问控制＞依据安全策略控制用户对客体的访问；＞自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；＞自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级；＞由授权主体设置用户对系统功能操作和对数据访问的权限；＞实现应用系统特权用户的权限分离，例如将管理与审计的权限分配给不同的应用系统用户；＞权限分离应采用最小授权原则，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在它们之间形成相互制约的关系；＞严格限制默认用户的访问权限。2.6.4安全审计A安全审计应覆盖到应用系统的每个用户；＞安全审计应记录应用系统重要的安全相关事件，包括重要用户行为和重要系统功能的执行等；＞安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；＞审计记录应受到保护避免受到未预期的删除、修改或覆盖等。2.6.5剩余信息保护＞保证用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；＞确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。2.6.6通信完整性＞通信双方应约定单向的校验码算法，计算通信数据报文的校验码，在进行通信时，双方根据校验码判断对方报文的有效性。2.6.7通信保密性＞当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；＞在通信双方建立连接之前，利用密码技术进行会话初始化验证；＞在通信过程中，应对敏感信息字段进行加密。2.6.8软件容错＞对通过人机接口输入或通过通信接口输入的数据进行有效性检验；＞对通过人机接口方式进行的操作提供“回退”功能，即允许按照操作的序列进行回退；＞在故障发生时，应继续提供一部分功能，确保能够实施必要的措施。2.6.9资源控制＞限制单个用户的多重并发会话；＞对应用系统的最大并发会话连接数进行限制；＞对一个时间段内可能的并发会话连接数进行限制。2.6.10代码安全＞对应用程序代码进行恶意代码扫描；＞对应用程序代码进行安全脆弱性分析。2.7数据安全及备份恢复2.7.1数据完整性＞能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏；＞能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。2.7.2数据保密性＞网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性；＞网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性；＞当使用便携式和移动式设备时，应加密或者采用可移动磁盘存储敏感信息。2.7.3数据备份和恢复＞提供自动机制对重要信息进行有选择的数据备份；＞提供恢复重要信息的功能；＞提供重要网络设备、通信线路和服务器的硬件冗余。2.8安全，安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计：2.8.1安全管理制度根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。制定严格的制定与发布流程，方式，范围等，制度需要统一格式并进行有效版本控制；发布方式需要正式、有效并注明发布范围，对收发文进行登记。信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，定期或不定期对安全管理制度进行评审和修订，修订不足及进行改进。2.8.2安全管理机构＞根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责；＞设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；＞成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；＞制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。建立授权与审批制度；建立内外部沟通合作渠道；＞定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。2.8.3人员安全管理＞根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；＞规定外部人员访问流程，并严格执行。2.8.4系统建设管理根据基本要求制定系统建设管理制度，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。2.8.5系统运维管理根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于相应等级安全状态中。三、信息安全产品部署及功能需求3.1数据交换系统3.1.1网络部署

3.1.2系统功能核心交换机需提供容错功能之双电源供应模块，与提供热插拔功能，即让交换机在不必停机的状态下可抽换模块，当其中一片模块故障异常时可于热机中抽换维修，整体网络传输作业不会中断。核心交换机支持VRRP协议，可提供两台核心交换机互为备援，使得整体网络具备高容错备援性，达到具备24小时全年无休连续运作之机制功能。

支持基于MAC的动态VLAN分配MAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP功能支持STP(IEEE802.1d)，RSTP(IEEE802.1w)和MSTP(IEEE802.1s)支持BPDU保护、Root保护、环路保护支持BDPUTunnelIP路由功能支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议组播功能支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC支持组播ACLMPLS功能支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨设备E-Trunk

支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF/静态路由支持NSF、GRforBGP/IS-IS/OSPF/LDP支持TEFRR、IPFRR支持以太网OAM802.3ah和802.1ag支持ITU-Y.1731支持DLDP支持运行中软件升级ISSU支持集群交换系统CSSQoS功能支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持H-QOS支持流量整形配置与维护功 支持Console、Telnet、SSH等终端服务能支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理功802.1x认证，Portal认证能支持NAC支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击支持1KCPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON3.2僵尸木马网络攻击行为预警系统3.2.1网络部署3.2.2系统功能该系统需要能够针对僵尸网络和木马等网络攻击行为，为网络提供动态的、集成式的安全保护，最大程度保证对网络内潜伏的僵尸网络和木马一旦激活运行就会被发现及处置。该系统需提供了从网络层到应用层的检测能力，第23页能够为个人PC、移动终端和各级应用服务器提供保护。该系统需可以针对传统的黑IP、黑域名以及端口进行检测，系统应该具体以下功能特征：•基于网络通信特征，针对已知攻击行为的检测技术。•基于网络通信行为分析，针对已知攻击行为的检测技术。•采用黑洞引流技术，切断黑客与受控主机之间的通信联系，终止恶意代码的运行。•采用时间序列和攻击五元组（攻击源IP、感染源IP和端口、感染源MAC、攻击方式、危害程度分级）的安全事件分析技术。3.3日志审计系统3.3.1网络部署3.3.2系统功能■统一日志监控该系统能够实现环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对网络环境中的安全信息（日志）进行统一监控。使得用户可以全面掌控网络环境中的安全状况，对安全威胁做出更加准确的判断。■日志归一化与实时关联分析该系统需收集并归一化网络环境中所有安全日志和告警信息，然后通过智能事件关联分析引擎，帮助安全管理员实时进行日志分析，迅速识别安全事故，从而及时做出