二级等保建设方案

乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案

深信服科技有限公司2023年

目录1 背景概述 31.1 建设背景 31.2 文献规定 31.3 参考依据 32 阀门监控系统安全防护意义 43 安全防护总体规定 43.1 系统性 43.2 动态性 43.3 安全防护的目的及重点 53.4 安全防护总体策略 53.5 综合安全防护规定 63.5.1 安全区划分原则 63.6 综合安全防护基本规定 73.6.1 主机与网络设备加固 73.6.2 入侵检测 73.6.3 安全审计 73.6.4 恶意代码、病毒防范 74 需求分析 84.1 安全风险分析 84.2 安全威胁的来源 95 设计方案 105.1 拓扑示意 105.2 安所有署方案 115.2.1 下一代防火墙 115.2.2 终端安全检测响应系统（杀毒） 125.2.3 日记审计系统 135.2.4 运维审计系统 175.2.5 安全态势感知系统 196 方案优势与总结 206.1 安全可视 216.2 融合架构 216.3 运维简化 22

背景概述建设背景随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运营和输送。文献规定根据《中华人民共和国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，保证安全稳定运营，需满足以下文献规定及原则。满足调度数据网已投运设备接入的规定；满足生产调度各种业务安全防护的需要；满足责任到人、分组管理、联合防护的原则；提高信息安全管理水平，减少重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运营，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全规定。参考依据本次网络安全保障体系的建设，除了要满足系统安全可靠运营的需求，还必须符合国家相关法律规定，同时基于系统业务的特点，按照分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》（GB17859-1999）。阀门监控系统安全防护意义目前，随着国际形势的日趋复杂，网络空间已经成为继陆、海、空和太空之后第五作战空间，国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争，为了加大网络安全的贯彻，国家出台了《网络安全法》进一步明确了业务主体单位或个人的法律责任，并于2023年6月1日开始正式实行。为加强阀门监控系统安全防护，抵御黑客及恶意代码等对阀门监控系统的恶意破坏和袭击，以及非法操作间接影响到系统的安全稳定运营。作为系统的重要组成部分，其安全与系统安全运营密切相关，积极做好阀门监控系统系统安全防护既有助于配合阀门监控系统安全防护工作的实行，保证整个系统安全防护体系的完整性，也有助于为公司提供安全生产和管理的保障措施。安全防护总体规定系统安全防护具有系统性和动态性的特点。系统性其中以不同的通信方式和通信协议承载着安全性规定各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了系统的安全防护是一个系统性的工程。安全防护工作对内应做到细致全面，清楚合理；对外应积极配合上级和调度机构的安全管理规定。动态性阀门监控系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展；二是阀门监控系统系统自身内涵外延的变化。在新的病毒、恶意代码、网络袭击手段层出不穷的情况下，静止不变的安全防护策略不也许满足阀门监控系统网络信息安全的规定，安全防护体系必须采用实时、动态、积极的防护思想。同时阀门监控系统内部也在不断更新、扩充、结合，安全规定也相应改变。所以安全防护是一个长期的、循环的不断完善适应的过程。如图3-1所示P2DR模型是阀门监控系统安全防护动态性的形象表达。图3-1安全防护P2DR动态模型安全防护的目的及重点阀门监控系统安全防护是系统安全生产的重要组成部分，其目的是：1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和袭击，特别是集团式袭击。2) 防止内部未授权用户访问系统或非法获取信息以及重大违规操作。3) 防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全实行保护，防止阀门监控系统瘫痪和失控，并由此导致系统故障。安全防护总体策略安全分区根据系统中业务的重要性和对一次系统的影响限度进行分区，所有系统都必须置于相应的安全区内。网络专用安全区边界清楚明确，区内根据业务的重要性提出不同安全规定，制定强度不同的安全防护措施。特别强调，为保护生产控制业务应建设调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个互相逻辑隔离的子网，保障上下级各安全区的互联仅在相同安全区进行，避免安全区纵向交叉。综合防护综合防护是结合国家信息安全等级保护工作的相关规定对阀门监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。综合安全防护规定安全区划分原则阀门监控系统系统划分为不同的安全工作区，反映了各区中业务系统的重要性的差别。不同的安全区拟定了不同的安全防护规定，从而决定了不同的安全等级和防护水平。根据阀门监控系统系统的特点、目前状况和安全规定，整个阀门监控系统分为两个大区：监控大区和办公大区。阀门监控业务区是指由具有实时监控功能、纵向联接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。控制区中的业务系统或其功能模块（或子系统）的典型特性为：是生产的重要环节，直接实现对一次系统的实时监控，纵向使用调度数据网络或专用通道，是安全防护的重点与核心。办公业务区办公业务区内部在不影响阀门监控业务区安全的前提下，可以根据各公司不同安全规定划分安全区，安全区划分一般规定。综合安全防护基本规定主机与网络设备加固厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通用网关机、Web服务器等，应当使用安全加固的操作系统。加固方式最佳采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中加固软件需采用通过国家权威部门检测的自主品牌。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，可以对浏览器客户端访问进行身份认证及加密传输。应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。入侵检测阀门监控业务区需统一部署一套网络入侵检测系统，应当合理设立检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。安全审计阀门监控业务区的监控系统应当具有安全审计功能，可以对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的袭击行为。对于远程用户登录到本地系统中的操作行为，应当进行严格的安全审计。同时可以采用安全审计功能，对网络运营日记、操作系统运营日记、数据库访问日记、业务应用系统运营日记、安全设施运营日记等进行集中收集、自动分析。恶意代码、病毒防范应当及时更新特性码，查看查杀记录。恶意代码更新文献的安装应当通过测试。严禁阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。需求分析安全风险分析阀门监控系统系统面临的重要风险优先级风险说明/举例0旁路控制（BypassingControls）入侵者对发送非法控制命令，导致系统事故，甚至系统崩溃。1完整性破坏（IntegrityViolation）非授权修改控制系统配置、程序、控制命令；非授权修改交易中的敏感数据。2违反授权（AuthorizationViolation）控制系统工作人员运用授权身份或设备，执行非授权的操作。3工作人员的随意行为（Indiscretion）控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设立、交易报价等敏感数据。5非法使用（IllegitimateUse）非授权使用计算机或网络资源。6信息泄漏（InformationLeakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗袭击；IP欺骗袭击。8伪装(Masquerade)入侵者伪装合法身份，进入阀门监控系统。9拒绝服务（Availability,e.g.DenialofService）向调度数据网络或通信网关发送大量雪崩数据，导致网络或监控系统瘫痪。10窃听（Eavesdropping,e.g.DataConfidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续袭击做准备。安全威胁的来源办公区等网络不是一个孤立的系统，是和互联网连接，提供员工上网的需求和对外信息发布的平台，那么来自外部威胁的也许性非常大。例如应用系统遭受拒绝服务袭击，信息泄露等。内部威胁内部人员故意或无意的违规操作给信息系统导致的损害，没有建立健全安全管理机制使得内部人员的违规操作甚至犯罪行为给信息系统导致的损害等。病毒或恶意代码目前病毒的发展与传播途径之多、速度之快、危害面之广、导致的损失之严重，都已达成了非常惊人的限度。也是计算机信息系统不可忽略的一个重要安全威胁源。病毒和恶意代码重要针对操作系统、数据库管理系统、应用系统等软件。病毒和恶意代码的威胁重要来自内部网络、ＵＳＢ盘、光盘等介质。自然灾害重要的自然威胁是：地震、水灾、雷击；恶劣环境，如不适宜的温度湿度，以及尘埃、静电；外电不稳定、电源设备故障等。管理层面的缺陷管理的脆弱性在安全管理方面的脆弱性重要表现在缺少针对性的安全策略、安全技术规范、安全事件应急计划，管理制度不完善，安全管理和运营维护组织不健全，对规章、制度贯彻的检查不够等。安全组织建设风险信息系统安全体系的建设对组织保障提出了更高的规定。安全管理风险安全管理制度的建设还不全面，如：缺少统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大。对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。没有根据各类信息的不同安全规定拟定相应的安全级别，信息安全管理范围不明确。缺少有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采用措施。缺少完善的劫难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对安全事件的解决流程和制度。人员管理风险人员对安全的结识相对较高，但在具体执行和贯彻、安全防范的技能等尚有待加强。设计方案本方案重点描述监控系统等与业务直接相关部分的安全防护。方案实现的防护目的是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和袭击，以及其它非法操作，防止阀门监控系统系统瘫痪和失控，并由此导致的一次系统事故。拓扑示意操作系统安全是计算机网络系统安全的基础，而服务器上的业务数据又是被袭击的最终目的，因此，加强对关键服务器的安全控制，是增强系统总体安全性的核心一环。对阀门监控系统关键服务器实现主机加固，合理配置检查规则。强制进行权限分派，保证对系统资源（涉及数据和进程）的访问符合定义的主机安全策略，防止主机权限被滥用。整个系统方案建成后如图：安所有署方案下一代防火墙（1）纵向安全在互联处部署下一代防火墙。安全建设充足考虑到广域网组网、运营过程中潜在的安全问题及可靠性问题，通过下一代防火墙NGAF融合安全，综合事前、事中、时候一体化安全运营中心，组成L2-L7层立体安全防御体系，实现广域网安全组网、广域网流量清洗的防护效果，保证广域网高安全和高可用。同时，通过下一代防火墙集成入侵防御、入侵检测、WEB应用防火墙、防病毒网关功能，实现一体化安全的安全策略部署、L2-L7层的安全防护效果、高效的广域网流量清洗，可视化的流量带宽保障、集中管理统一部署的价值，在有效解决广域网安全问题的前提下，简化管理运维成本，实现了最优投资回报。同时，给区域内网络构建立体的防护体系，防止内部终端遭受各个层次的安全威胁。通过下一代防火墙虚拟补丁和病毒防护等功能，有效防御各种袭击和内网蠕虫病毒，防止僵尸网络形成，保证网络的安全稳定运营。下一代防火墙内置僵尸网络辨认库，通过度析内网终端的异常行为（如连接恶意主机或URL）等机制准确辨认被黑客控制的僵尸终端，铲除各类袭击的土壤。全面的威胁辨认能力，对事前/事中/事后的各类威胁全面监测和防护；精确的僵尸网络防护技术，从僵尸网络发展的各个阶段进行消除；专业的WEB安全防护能力，提供了业务服务各个阶段的保护；进一步威胁事件关联分析能力，有效防止APT高级连续威胁；相比传统设备，提供更加全面的威胁辨认和防护；积极发现安全隐患，改变传统被动应对局面；可视化安全服务，让安全可以轻松看懂；自助化安全运维，让安全从此更简朴；内置安全运营中心，提供一站式、智能化安全运维方法。终端安全检测响应系统（杀毒）终端检测响应平台（EDR）是深信服公司提供的一套终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查，支持微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置，以及热点事件IOC的全网威胁定位，历史行为数据的溯源分析，远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的EDR产品也支持与NGAF、AC、SIP产品的联动协同响应，形成新一代的安全防护体系。终端上的安全检测是核心的技术，传统的病毒检测技术使用特性匹配，使得病毒特性库越来越大，运营所占资源也越来越多。深信服的EDR产品使用多维度轻量级的无特性检测技术，包含AI技术的SAVE引擎、行为引擎、云查引擎、全网信誉库等，检测更智能、更精确，响应更快速，资源占用更低消耗。AI技术SAVE引擎深信服创新研究院的博士团队联合EDR产品的安全专家，以及安全云脑的大数据运营专家，共同打造人工智能的勒索病毒检测引擎。通过根据安全领域专家的专业知识指导，运用深度学习训练数千维度的算法模型，多维度的检测技术，找出高检出率和低误报率的算法模型，并且使用线上海量大数据的运营分析，不断完善算法的特性训练，形成高效的检测引擎。行为引擎独特的“虚拟沙盒”技术，基于虚拟执行引擎和操作系统环境仿真技术，可以深度解析各类恶意代码的本质特性，有效地解决加密和混淆等代码级恶意对抗。根据虚拟沙盒捕获到虚拟执行的行为，对病毒运营的恶意行为链进行检测，能检测到更多的恶意代码本质的行为内容。云查引擎针对最新未知的文献，使用微特性的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，多引擎扩展的检测技术，秒级响应未知文献的检测结果。全网信誉库在管理平台上构建公司全网的文献信誉库，对单台终端上的文献检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在公司网络中的检测重点落到对未知文献的分析上，减少对已知文献反复检测的资源开消。深信服EDR产品能与NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应。EDR产品可与安全云脑协同响应，关联在线数十万台安全设备的云反馈威胁情报数据，以及第三方合作伙伴互换的威胁情报数据，智能分析精确判断，超越传统的黑白名单和静态特性库，为已知/未知威胁检测提供有力支持。可与防火墙NGAF、SIP产品进行关联检测、取证、响应、溯源等防护措施，与AC产品进行合规认证审查、安全事件响应等防护措施，形成应对威胁的云管端立体化纵深防护闭环体系。日记审计系统综合日记分析系统的重要功能涉及如下模块：采集管理：在接入各类日记和事件前，指定需要采集的目的、接入方式以及相关参数（如数据库的各种连接参数）、选择标准化脚本和过滤归并策略；事件分析：事件分析是综合日记分析系统的核心模块之一，它不仅可以综合考量各种日记之间也许存在的关系，并且可以对日记中相关要素进行分析；最终，异常事件的分析结果将以告警的形式呈现在系统中；审计管理：审计管理是综合日记分析系统的核心模块之一，侧重于发现日记中相关要素是否和预定的策略相符，如时间、地点、人员、方式等。审计管理可以方便的自定义审计人员、行为对象、审计类型、审计策略等基本配置；并可以自定义审计策略模板，审计管理内置了大量审计策略模板，涵盖了常见的、对公司非常实用的审计策略模板，如主机、防火墙、数据库、萨班斯审计策略、等级保护策略模板等。对于根据审计策路所产生的审计违规结果，系统以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的解决。安全监控：安全监控涉及告警监控和实时监控。所谓告警是指用户特别需要关注的安全问题，这些问题来源于事件分析、审计分析的结果。所谓实时监控是指对当前接入的事件日记的逐条、实时显示，显示的日记内容是可以根据用户的需求进行设立过滤条件来定制的。安全概览：综合呈现当前接入系统的安全态势，如告警概况、系统运营状态、事件分析记录、审计分析记录等，安全概览显示内容可根据需要自定制。报表管理：系统提供丰富的报表，以满足用户不同的规定；资产管理：与普通的综合日记分析系统不同，综合日记分析系统提供资产管理模块，以方便用户对被管对象的管理；知识库管理：系统提供日记发送配置（即如何对各种系统进行配置，使其产生日记）、安全事件知识、安全经验等，对日记审计提供相应的支撑；系统管理：系统的自身管理，涉及如用户管理、日记管理、升级管理等功能。以上功能，通过细化以后，可以形成如下结构：安全管理对象：综合日记分析系统可以对各种安全风险进行采集和汇总，安全对象涵盖了人员、网络、安全设施、系统、终端、应用等。采集层：采集各种设备的事件日记，标准化为统一的格式，然后进行过滤、归并、关联和审计，从海量日记中分析潜在的安全问题，同时进行相关数据的存储和管理。分析解决层：系统通过度析引擎，对日记进行关联分析、审计分析和记录分析，并对异常事件告警策略进行管理。业务功能层：业务功能层实现对公司信息安全业务的支撑，以及系统自身运营的管理。在此基础上，通过度析事件与资产的互相关系，产生告警及报表等。与此同时，业务功能层提供资产管理、报表管理、采集管理、事件分析和审计管理，分别支撑用户的相关业务功能。综合展现层：综合展现层是综合日记分析系统的展示层。该层通过个人工作台和安全概览，将整个系统收集、分析、管理的安全事件、告警概况等信息多维度的展现在用户面前。采集是综合日记分析系统的重要功能模块，它承载了日记或事件采集标准化、过滤、归并功能.采集管理是系统进行分析的第一步，用户通过指定需要采集的目的、相关采集参数（Syslog、SNMPTrap等被动方式无需指定）、相关的过滤策略和归并策略等创建日记采集器，以收集相关设备或系统的日记.具体如下：标准化不同的系统或设备所产生的日记格式是不尽相同的，这就给分析和记录带了巨大的麻烦，所以在综合日记分析系统中内置了众多的标准化脚本以解决这种情形；即便对于某些特殊的设备，您没有发现相关的解析脚本，综合日记分析系统也提供了相应的定制方法以解决这些问题。过滤和归并为了对接受的日记数量进行压缩，综合日记分析系统还提供了过滤和归并功能；其中，过滤功能不仅仅是丢弃无用的日记，并且也可以将它们转发到外部系统或对部分事件字段进行重新填充。事件分析综合日记分析系统的事件分析功能是系统中的核心功能之一；其中关联分析策略重要侧重于各类日记之间也许存在的逻辑关联关系.综合日记分析系统不仅支持以预定义规则的方式进行事件关联，还支持基于模式发现方式的关联；系统不仅支持短时间内的序列关联，还支持长时间的关联（最长可达30天）。综合日记分析系统支持如下不同类型日记或事件：网络袭击有害代码漏洞用户访问存取系统运营设备故障配置状态网络连接数据库操作…对于事件关联分析所产生的结果将在关联事件中呈现，假如符合关联策略,将以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的解决。运维审计系统借助切实有效的技术手段，通过对运维环境中人员、设备、操作行为等诸多要素的统筹管理和策略定义，建立一个具有完备控制和审计功能的运维管理系统，为业务生产系统进一步的发展建立坚实基础。该方案需要在技术层面完毕如下建设目的：实现单点登录：所有运维人员集中通过运维管理系统，来管理后台的服务器、网络设备等资源，同时对运维人员进行统一的身份认证；实现统一授权：统一部署访问控制和权限控制等策略，保证操作者对后台资源的合法使用，同时实现对高危操作过程的事中监控和实时告警；快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提供灵活的查询搜索机制，从而在操作故障发生时，快速的定位故障的因素，还原操作的现场；简化密码管理：实现账号密码的集中管理，在简化密码管理的同时提高账号密码的安全性；兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有的操作习惯不导致任何影响；集中管理是前提：只有集中以后才可以实现统一管理，只有集中管理才干把复杂问题简朴化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来辨认和确认操作者的，由于所有的操作都是用户发起的，假如我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作负责人。所以身份管理是基础。访问控制是手段：操作者身份拟定后，下一个问题就是他能访问什么资源、你能在目的资源上做什么操作。假如操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效减少未授权访问所带来的风险。操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故因素，还原事故现场和举证。此外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目的：操作自动化是运维操作管理的终极目的，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达成减少运维复杂度、提高运维效率的目的。安全态势感知系统互换层旁路部署1台潜伏威胁探针，通过网络流量镜像内部对用户到业务资产、业务的访问关系进行辨认，基于捕获到的网络流量对内部进行初步的袭击辨认、违规行为检测与内网异常行为辨认。探针以旁路模式部署，实行简朴且完全不影响原有的网络结构，减少了网络单点故障的发生率。此时探针获得的是链路中数据的“拷贝”，重要用于监听、检测局域网中的数据流及用户或服务器的网络行为，以及实现对用户或服务器的TCP行为的采集。在公司核心互换层旁路部署1套安全感知平台用于全网检测系统对各节点安全检测探针的数据进行收集，并通过可视化的形式为用户呈现数据中心内网关键业务资产的袭击与潜在威胁。业务资产可视通过潜伏威胁探针可积极辨认业务系统下属的所有业务资产，将已辨认的资产进行安全评估，将资产的配置信息与暴露面进行呈现。通过网络数据包分析，对未备案的新增资产进行实时告警，发现脱离IT部门管控的违规资产。访问关系可视依托于可视化技术，通过访问关系展示用户、业务系统、互联网之间访问关系，基于全网业务对象的访问关系的图形化展示，涉及用户对业务、业务对业务、业务与互联网三者关系的完全展示，并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务