XX市智能公交系统信息安全等级保护建设方案

X市

X智能公交系统信息安全

等级保护建设方案

（二级标准）

目录

一.项目概述................................................................3

1.1项目背景................................................................3

1.2项目建设目标...........................................................3

1.3项目建设范围...........................................................4

1.4项目设计原则...........................................................4

二.设计参考标准.............................................................5

三.项目堂设思路.............................................................6

四.项目总体设计方法.........................................................8

4.1思体设计方法..........................................................8

4.2安全基线设计...........................................................8

五.现状分析10

5.1定级情况概述..........................................................10

5.2自身安全防护方面的需求.................................................10

六.安全域划分...............................................................12

6.1安全域划分目的........................................................12

6.2确定保护对象...........................................................13

6.3安全域划分思路.........................................................14

6.4安全域划分.............................................................15

七.整体解决方案..........................15

7.1方案设计目标...........................................................15

7.2网络拓扑设计...........................................................16

A.详细方案设计.............................................................16

8.1防火墙边界访问控制方案................................................16

8.1.1风险与需求分析.........................................................16

8.1.2方案设计...............................................................18

8.1.3满足指标描述..........................................................19

8.2入侵防御解决方案......................................................21

8.2.1风险与需求分析.........................................................21

8.2.2方案设计...............................................................23

8.2.3满足指标描述..........................................................24

8.3NEB防护解决方案.......................................................24

8.3.1风险与需求分析........................................................24

8.3.2方案设计..............................................................26

8.3.3指标满足描述..........................................................27

8.4远程安全接入解决方案..................................................28

8.4.1风险与需求分析........................................................28

8.4.2方案设计...........................................................30

8.4.3指标满足描述..........................................................31

8.5数据库审计解决方案...................................................31

8.5.1风险与需求分析........................................................31

8.5.2方案设计..............................................................33

8.5.3满足指标描述..........................................................33

8.6网闸解决方案..........................................................34

8.6.1风险与需求分析.........................................................34

8.6.2方案设计...............................................................34

8.6.3满足指标描述...........................................................35

(3)实现企业安全生产运营管理有序；

(4)实现市民出行方便、快捷，常态化、动态化、智能化的公共交通服务

体系。

本次建设的目标是：通过此次项目建设，XX市智能公交信息系统符合国家

等级保护建设二级要求，通过二级等保测评。

1.3项目建设范围

本次项目建设的范围主要是XX市智能公交信息系统

1.4项目设计原则

＞等级保护建设原则

XX市智能公交信息系统属国家重要信息系统，其安全建设不能忽视国家相

关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合《信息系统

安全等级保护基本要求》。

＞体系化的设计原则

系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充

分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设

计和实现的全过程中有具体的措施来充分保证其安全性。

＞产品的先进性原则

XX市智能公交信息系统安全保障体系建设规模庞大，意义深远。对所需的

各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、

先进性、安全性和稳定性等特点，共同打好工程的技术基础。

＞可扩展性原则

XX市智能公交信息系统建设的同时应该充分考虑系统的可扩充性和可延展

性，主要包括两个方面的内容：一是为网络将扩充新的节点和新的分支预先作好

硬件、软件和管理接口。二是网络必须具有升级能力，能够适应网络新技术发展

的要求。

>标准化规范化原则

XX市智能公交信息系统建设所采用的技术和设备材料等，都必须符合相应

的国际标准或国家标准，或者符合相关系统内部的相应规范。便于系统的升级、

扩充，以及与其它系统或厂家的设备的互连、互通。

二.设计参考标准

我国对信息安全保障工作的要求非常重视，国家相关监管部门也陆续出台了

相应的文件和要求，从标准化的角度，XX市智能公交信息系统的安全建设中参

考以下的政策和标准：

>GB/T21052-2007信息安全等级保护信息系统物理安全技术要求

>信息安全技术信息系统安全等级保护基本要求

>信息安全技术信息系统安全保护等级定级指南（报批中）

>信息安全技术信息安全等级保护实施指国（报批中）

>信息安全技术信息系统安全等级保护测评指南

>GB/T20271-2006信息安全技术信息系统通用安全技术要求

>GB/T20270-2006信息安全技术网络基础安全技术要求

>GB/T20984-2007信息安全技术信息安全风险评估规范

>GB/T20269-2006信息安全技术信息系统安全管理要求

>GB/T20281-2006信息安全技术防火墙技术要求与测试评价方法

>GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法

>GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求

>GB/T20277-2006信息安全技术网络脆弱性扫描产品测试评价方法

>GB/T20279-2006信息安全技术网络端设备隔离部件技术要求

>GB/T20280-2006信息安全技术网络端设备隔离部件测试评价方法等。

三.项目建设思路

“等级化安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶

段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方

法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。

体系化设计方法等级化设计方法

安全要求安全措施

“等级化”设计方法，是根据需要保护的信息系统确定不同的安全等级，根

据安全等级确定不同等级的安全目标，形成不同等级的安全措施进行保护。

“体系化”设计方法，是根据业务目标确定安全目标，通过结构化方法进行

分解，将问题、对象或目标拆分成子问题、对象或目标的迭代方法。这一设计方

法包含三个主要原则，分别是“充分覆盖”、“互补重叠”和“不可再细分”。

整体的安全保障体系包括技术和管理两大部分，其中管理部分可以分为策略、

组织和运作三个部分。即，整个体系分为四部分，包括策略体系、组织体系、技

术体系和运作体系。整个安全保障体系的四个部分既有机结合，又相互支撑，之

间的关系为“根据策略体系中策略，由组织体系（或人员），利用技术体系作为

工具和手段，进行操作来维持运行体系二

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤

进行：

1.系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及

业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,

包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设

计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2.安全域设计：根据第一步的结果，通过分圻系统业务流程、功能模块，根

据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为

多个层次，为二一步安全保障体系框架设计提供基础框架。

3.安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障

体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架

形成系统整体的安全保障体系框架。

4.确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指

标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安

全域所需采用的安全指标。

5.评估现状：根据各等级的安仝要求确定各等级的评估内容，根据国家相关

风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过

等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安

全技术解决方案设计和安全管理建设提供依据。

6.安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级

风险评估结果，设计系统安全技术解决方案。

7.安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估

结果，进行安全管理建设，并建立各种安全管理制度体系。

通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全

术建设和安全管理建设，保障系统整体的安全。

四.项目总体设计方法

4.1总体设计方法

本次xx市智能公交信息系统建设的主要目标是通过建设满足国家等级保护

二级标准，通过等保二级测评。为完成本项目的建设目标，并指导后期的项目建

设，达到整个系统的安全防护效果，本项目技术方案的总体设计方法为：

•根据目前信息中心现状进行差距评估结构进行分析和设计。

•分析并确定本项目需求和设计的关键点。

•建立并开发适合本项目的安全基线。

•根据本项目的目标和业务特点进行安全需求分析。

•根据安全需求进行项目的方案设计，即受全体系的整体设计。

4.2安全基线设计

安全基线是指确定一组正式的安全需求，这些安全需求应覆盖所有的安全目

标并符合所有相关的安全政策和法规等外部因素的限定。定义安全基线任务包括

以下几个方面：

1.确定安全目标

安全目标是指使用目标系统内资产时的安全目标以及安全保护的程度。高层

操作安全目标将影响到相应类别中所有资产的具体安全目标，例如“目标系统内

的数据在传输到目标系统外时应严格防止泄露"。目标系统内的每一个可能向外

传输的信息对象应基于这个目标制定相应的具体目标。

2.确定安全基线涉及的方面

安全目标的实现是安全基线制定的目的，所有的安全目标必须有相应的安全

基线保证。

3.安全基线定义

安全基线需按类别逐条加以定义。每条安全基线应有目标系统范围内唯一的

标识，该标识可作为安全基线配置管理库中的配置项标识。安全基线的定义只须

涉及安全需求，无须涉及要满足需求的具体技术和方法。

4.匹配安全基线与安全目标

安全基线构成后，应建立安全基线与安全目标的关系。可以通过匹配矩阵的

形式来检查每个安全目标是由哪些安全基线保证的。针对每一个安全目标，检查

是否安全基线覆盖了该目标的要求。当安全目标和安全基线数量较大时，可按类

别用多个矩阵表示安全目标与安全基线的关系。

5.本项目的安全基线

在本项目的设计中将构建信息系统的安全基爱标准。此安全基线以二级防护

要求为依据，参照信息系统等级保护二级基本要求的框架，形成本项目的安全基

线，具体方法和思路如下：

♦以信息系统等级保护二级基本要求指标项作为输入，并根据对本系统可

能面临的风险和安全需求及针对本项目目前建设的实际情况，进行指标

裁剪；

♦将此两项的指标进行合并输入，合并时，对于一个指标项都有对应的，

取高要求，指标项没有对应，增加此指标项，最后形成综合指标输入，

并根据对本系统可能面临的风险和安全需求及针对本项目建设的实际情

况，进行指标裁剪，形成适合本期建设的精简指标项作为输出。将裁剪

后的指标形成本项目建设的安全基线

五.现状分析

5.1定级情况概述

业务信息安全保护等级：（信息中心互联网服务发布区信息系统系统一旦数

据的完整性和机密性受到破坏后，由于信息中心互联网服务发布区信息系统妁重

要性，因此将会对社会秩序造成严重损害）

对相应客体的侵害程度

业务信息安全被破坏时所侵害的

一般损害严重损害特别严重损

客体

害

公民、法人和其他组织的合法权第一级第二级第二级

益

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

系统服务安全保护等级：（分析信息中心互联网服务发布区信息系统，一旦

系统的可用性遭到破坏后，将会对社会秩序造成严重损害）

系统服务安全被破坏时所侵害的对相应客体的侵害程度

客体一般损害严重损害特别严重损害

公民、法人和其他组织的合法权第一级第二级第二级

益

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

5.2自身安全防护方面的需求

在自身安全防护方面，经过分析，xx市智能公交信息系统主要的安全防护

需求包括:

物理层安全需求

♦应建设安全可靠的机房，提供良好的运行环境，用以支撑重要应用系统

的运行，防止电磁信息的泄露、防止设备被盗被破坏；

♦建设完备的灾难备份系统，实现系统、数据和应用软件的备份；

♦应当保障支撑交易应用的重要网络设备妁冗余性，避免因设备故障出现

的系统运行中断。

网络层安全需住

♦实现安全域划分，并在此基础上实现安全、可控的逻辑隔离；

♦保护交易网站不会因来自互联网拒绝服务攻击而瘫痪，不会被非法篡改,

并且需具有自动恢复被篡改页面的功能；

♦对进山各安全域的信息和数据进行严格的控制，防止对安全域的非法访

问；

♦对于各个安全域之间交互的信息和数据，保护其完整性、可用性、保密

性，防止在传输过程中被窃取、篡改和破坏；

♦在各个安全域内，能及时发现和响应各种网络攻击与破坏行为；

系统层安全需求

♦建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及

恶意代码的攻击、破坏和信息泄露行为；

♦使系统内的操作系统能及时升级、安装安全补丁；

♦实现主机操作系统的内核级安全加固，使其由普通商用操作系统提升为

安全性较高的系统

应用层安全需求

♦应用系统需要有认证、应用访问控制、审计、加密、资源控制等多种手

段，能够保障信息系统被合理使用；

♦数据应当有足够的防窃听、防篡改手段；

♦交易网的通讯应当有抗抵赖措施；

♦对系统、应用、数据库系统进行审计，建立相应的安全审计机制，对引

发事件的根源进行责任认定。

管理层安全需求

♦制定合理、有效、可行的安全管理制度，将一期工程信息系统的安全管

理水准维持在较高的水平；

♦能够及时了触各个安全域的安全现状，以便发现并解决安全问题；

六.安全域划分

6.1安全域划分目的

1)在规划设计或者网络调整时，通过合理的划分安全区域，保证重要

网段部署在外部不能直接访问到的位置，增加非法入侵的难度，有

利于进行必要的访问控制、防攻击、身份鉴别等防护。

2)在规划设计或者网络调整前深入了解实际需求，充分考虑各部门的

工作职能、重要性和信息的重要程度等因素，进行内部安全区域的

细化，并根据实际情况和将来扩展的需要划分子网和分配地址，安

全域的细化形成了内部的安全边界，有利于内网各区域间边界防护

和控制的实施。

3)通过规划设计或配置路由避免非主流业务数据流对主要业务数据流

的干扰，通过Qos配置使主业务数据流且具有较高优先级，使主要

业务数据流尽量经过较为安全的链路和设备，保障了主要业务的服

务质量和服务可用性。

4)通过绘制真实、准确、易读的拓扑图妥善放置，以便在需要调整改

造、处理事件时方便查询、使用。

6.2确定保护对象

保护对象是一些具有类似业务功能，处于类似运行环境、承载类似级别或类

别的信息、有类似的用户使用管理特征具有相对明确的物理的或逻辑的边界，可

以配置类似的安全策略的设备软件系统数据的集合。

一、保护对象的划分有以下原则：

（一）每类保护对象的组成具有一定的相似性。这些相似性包括：

（1）管理范围一致；

（2）具有相似的运行环境（面临的威胁相似）的区域；

（3）安全策略基本一致；

（4）操作流程和使用人员的相似性。

（二）不同保护对象之间具有一定的差异性。这些差异性包括：

（1）承载的信息属于不同的业务主体；

（2）保护对象的管理属于不同的管理主体；

（3）具有相对明显的物理或逻辑边界；

（4）安全策略有较大的差异性。

二、保护对象属性：

保护对象具有相应的保护对象属性，以标识保护对象的内容和特征。

（一）范围：描述保护对象管理和使用范围。

（二）组成：描述保护对象的主要资产组成。

（三）管理机构：描述保护对象的管理机构。

（四）使用人员：描述保护对象的使用人员类型及特征。

（五）业务功能：描述保护对象的业务功能。

（六）信息分类：描述保护对象内包括的主要信息类型。

6.3安全域划分思路

对信息系统进行安全保护，不是对整个系统进行同一等级的保护，而是针对

系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安

全建设的首要步骤。

安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素

的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，

具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同

的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考

虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理

现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。

安全域划分的原则如下：

＞业务保障原则：在保证安全的同时，更要保障网络承载业务的正常、高效

运行；

＞等级保护的原则：对系统内不同的保护对象区分对待；

＞结构简化原则：安全域划分的直接目标是为整个网络变得更加简单，简单

的网络结构便亍设计防护体系。因此，安全域划分并不是粒度越细越好，

安全域数量过多、过杂反而可能导致安全域的管理过于复杂，实际操作过

于困难；

＞立体协防原则：安全域划分的主要对象是网络，但是围绕安全域的防护需

要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用

等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访

问控制、检测宣计、链路冗余、内容检测等各种安全功能实现协防。

对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：

1）业务和功能特性

•业务系统逻辑和应用关联性

•业务系统对外连接：对外业务，支撑，内部管理

2）安全特性的要求

•安全要求相似性：可用性、保密性和完整性的要求

•威胁相似性：威胁来源、威胁方式和强度

•资产价值相近性；重要与非重要资产分离

3）参照现有状况

・现有网络结构的状况：现有网络结构、地域和机房等

•参照现有的管理部门职权划分

6.4安全域划分

xx市智能公交信息系统的包括：对外发布互联网接入域、数据应用中心区

域、安全管理中心区域、调度指挥区域、另一系统区域、分调度管理区域等。

七.整体解决方案

7.1方案设计目标

二级系统安全保护环境的设计目标是：落实GB178597999对二级系统的安

全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记

的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下,

保护敏感资源的能力。

本次针对XX市智能公交信息系统进行等保二级建设，主要在网络安全、主

机安全、应用安全、数据安全进行建设满足等保二级要求，根据等保合规性分析

报告中指出的不满足的控制点进行建设。

7.2网络拓扑设计

下图是本次建设中规划的网络拓扑图:

分

■

»

«

!

?

女

«

中

--G

八.详细方案设计

8.1防火墙边界访问控制方案

8.1.1风险与需求分析

＞风险列表

序号网络层风险种类

1恶意代码和蠕虫病毒

2越权或滥用

3黑客攻击技术

＞风险分析

・越权或滥用

攻击者通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或

者滥用自己的职权，做出破坏计算机系统的行为。

•恶意代码和蠕虫病毒传播

恶意代码和蠕虫病毒具有快速自我复制、自我传播能力，通过网络对计算机

系统构成破坏，可导致网络设备与计算机系统的运行缓慢甚至瘫痪。。

•黑客攻击

利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后

门、嗅探、伪造和欺骗、拒绝服务攻击等手段对网络和计算机系统进行攻击和入

侵。

＞需求分析

通过前面的安全域划分和边界分析，二级系统要求在主要边界处进行访问控

制。作为网络安全的基础防护要求，具体需求如下：

1）保护脆弱的服务

通过过滤不安全的服务，保证只可访问到允许访问的业务系统，其他访问均

被严格控制，可以极大地提高网络安全和减少子网中主机的风险。

•可实现基于源地址、目的地址、源端口、目的端口和协议等进行检查,

以允许/拒绝数据包出入

•能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制

粒度为端口级。

•对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET.

SMTP.POP3等协议命令级的控制

2）控制对系统的方问

提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的

主机。通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为

用户组。

3）记录和统计网络日志

记录和统计通过边界的网络通讯，提供关于网络使用的统计数据并对非法访

问作记录日志，从设备或专门的日志服务器提供统计数据，来判断可能的攻击和

探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。

8.1.2方案设计

在互联网接入区域；应用服务中心区域、调度指挥区域、另一系统区域各部

署一台防火墙设备，在核心区域与分调度管理区域部署两台防火墙设备，通过防

火墙的部署解决边界访问控制的相关问题。

防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术,

对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安

全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻

击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合

理布局，形成多级的纵深防御体系。

互联网边界防火墙将对外发布区域、数据库服务器区等和互联网进行逻辑隔

离。实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信

时间等信息，执行严格的访问控制。并将互联网服务区通过单独的防火墙接口形

成独立安全域进行隔离。

采用防火墙实现以下的安全策略：

•安全域隔离：互联网出口防火墙部署核心交换机与接入路由器之间，并

提供多个端口，分别连接到网站区和内部区域，相当于在逻辑上隔离了

上述区域，对各个计算环境提供有效的保护；而管理区边界防火墙将管

理区域其他区域进行逻辑隔离。

•访问控制策略：防火墙工作在不同安全区域之间，对各个安全区域之间

流转的数据进行深度分析，依据数据包的源地址、目的地址、通信协议、

端口、流量、用户、通信时间等信息，进行判断，确定是否存在非法或

违规的操作，并进行阻断，从而有效保障了各个重要的计算环境；

•地址转换策略：针对核心的应用服务器区域，部署的防火墙将采取地址

转换策略，将来自广域网远程用户的直接访问变为间接访问，更有效的

保护了应用服务器；

•应用控制策略：在防火墙上执行内容过滤策略，实现对应用层HTTP、FTP、

TELNET.SMTP、POP3等协议命令级的控制，从而提供给系统更精准的安

全性；

•会话监控策略：在防火墙配置会话监控策略，当会话处于非活跃一定时

间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话

才能继续访问资源；

•日志审计策略：防火墙详细记录了转发的访问数据包，可提供给网络管

理人员进行分析。这里应当将防火墙记录日志统一导入到集中的日志管

理服务器。

8.1.3满足指标描述

指标类

指标要求改进行为改进对象

别

应通过访问控制列

表对系统资源实现

网络安采购部署并配置访问控

允许或拒绝用户访访问控制系统

全制功能

问，控制粒度至少

为用户组。

应根据访问控制列

表对源地址、目的

网络安地址、源端口、目采购部署防火墙配置访

访问控制系统

全的端口和协议等进问控制

行检查，以允许/

拒绝数据包出入；

应能根据会话状态

信息为数据流提供

网络安

明确的允许/拒绝配置状态检测访词控制访问控制系统

全

访问的能力，控制

粒度为网段级。

应在会话处于非活

网络安跃一定时间或会话

配置访问控制设备访问控制系统

全结束后终止网络连

接；

应能根据会话状态

信息为数据流提供

网络安

明确的允许/拒绝配置访问控制设备访问控制系统

全

访问的能力，控制

粒度为端口级；

应对进出网络的信

息内容进行过滤，

实现对应用层

网络安

HTTP、FTP、配置访问控制设备访问控制系统

全

TELNET.SMTP、

POP3等协议命令级

的控制；

重要网段应采取技

网络安

术手段防止地址欺配置访问控制设备访问控制系统

全

骗；

应按用户和系统之

间的允许访问规

贝L决定允许或拒

网络安

绝用户对受控系统配置访问控制设备访问控制系统

全

进行资源访问，控

制粒度为单个用

户；

应限制具有拨号访

网络安

问权限的用户数配置访问控制设备访问控制系统

全

量。

应在网络边界部署

网络安

访问控制设备，启采购部署访问控制系统

全

用访问控制功能；

应限制网络最大流

网络安

量数及网络连接配置访问控制设备访问控制系统

全

数；

8.2入侵防御解决方案

8.2.1风险与需求分析

＞风险列表

序号风险种类

1漏洞攻击

2蠕虫攻击

3木马传播

4间谍软件

5带宽滥用

＞风险分析与描述

•漏洞攻击

在系统程序开发的过程中，常因为程序开发者疏于程序安全性，而导致开发

出有系统漏洞的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对

外界输入的参数长度进行检查，而发生所谓的缓冲区溢出攻击(bufferoverflow

attack)o当缓冲溢出区攻击发生时，轻则导致系统没有响应、死机，成功的缓

冲区溢出攻击还可以让黑客获得整个系统控制权，而由于服务器系统的特殊性，

通常管理员对补丁的更新非常慎重，因而造成一定的延时，因此，利用漏洞进行

攻击的行为也显得尤为突出。

•蠕虫攻击

蠕虫(worm)与一般的档案型病毒(virus)不同之处，在于蟠虫具备快速自我

复制扩散的功能。而蠕虫之所以能够快速将自我扩散到其它系统，是因为蠕虫具

备自动利用系统漏洞而入侵的能力。每当计算机的系统漏洞被公布，在短时间内

便会有黑客组织在网络上发布针对新漏洞的攻击程序，接着便会有针对该漏洞的

攻击程序在网络上流传，此时蠕虫作者便将这些已发布的攻击程序纳入其蠕虫程

序的主体中，然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生所需的

时间已大幅缩减，这让用户无法有充裕的时间测武系统厂商所发布的补丁程序

•木马传播

木马是一种危害很大的后门程序，通过网页、邮件、文件等多种方式进行传

播，攻击者可以远程对被植入了木马的计算机系统进行所有操作，因此，危害巨

大。

•间谍软件

大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来

诱使不够小心谨慎的用户安装的，安装之后会收集用户信息，并发送给相关机构。

•带宽滥用

目前网络上P2P、在线视频、游戏等各种在线应用对带宽资源消耗很大，过

多的非正常带宽占用将影响正常业务的开展。同时，这样应用带来了工作效率的

下降。因此，网络管理人员需要对这些应用进行控制。

＞需求分析

需求分类详细需求

拦截外网攻击入侵防护可检测扫描、DoS/DDoS,缓冲区溢出、SQL注入、

XSS跨站脚本、木马、蠕虫、间谍软件、网络钓

鱼、IPpoofing等攻击，并实时主动阻断，使网

络系统免受攻击。

拦截外网攻击，及时发现各种针对业务系统的渗透型攻击，并进行主动阻断控制

管理内部应用，对各种非工作应用和占用大量带宽的应用进行识别和控制。

8.2.2方案设计

在外网链路区域网络边界增加一台入侵防御系统，采用透明接入方式部署，

阻止各种网络攻击行为。

入侵防护系统(IntrusionPreventionSystem,以下简称"IPS")是继"防

火墙”、“信息加密”、入侵检测等传统安全保护方法之后的新一代安全保障系统。

IPS串行部署在网络关键节点，监视计算机系统或网络中发生的事件，并进行分

析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为

并主动进行有效拦截。专业TPS所具有的实时性、动态检测和主动防御等忖点，

弥补了防火墙等静态防御工具的不足。

网御星云IPS采用具有自主知识产权的VSP(VersatileSecurityPlatform)

通用安全平台，集成了流状态跟踪、协议分析、深度内容解析、异常检测、关联

分析等多种分析、检测技术，配合实时更新的事件特征库，可拦截蠕虫、病毒、

木马、间谍软件、DDoS/DoS、SQL注入、XSS跨站脚本等各种网络攻击行为，有

效净化网络流量。同时提供丰富的上网行为管理功能，可对P2P下载、聊天

软件、在线视频、网络游戏、炒股软件、加密隧道等网络应用按用户和时间进行

阻断或精确到1Kbps的带宽限流，合理优化网络流量。从而，很好地弥补了防火

墙、入侵检测等产品的不足，提供了动态、主动、深度的安全防护。

8.2.3满足指标描述

指标类

指标要求改进行为改进对象

别

当检测到攻击行为

时，应记录攻击源

IP、攻击类型、攻

网络入侵防范设

入侵防击目的、攻击时

备配置入侵阻断入侵防范系统

范间，在发生严重入

功能

侵事件时应提供报

警及自动采取相应

动作。

8.3Web防护解决方案

8.3.1风险与需求分析

随着B/S模式应用开发的发展，信息中心资源逐渐向数据中心转移并集中，

Web平台承载了越来越多的核心业务，Web的开放性给工作方式带来了高效、方

便的同时也使业务重要信息完全暴露在危险中。Neb应用的威胁主要来自于以下

几个部分：

>Web网站早期开发者安全意识薄弱

Web应用程序和服务的增长已超越了当初程序开发人员所接受的安全培训

和安全意识的范围，给攻击者留下大量可乘之机。有些已运行的WEB应用系统由

于难以更改、或更改成本过高，或系统已加密、或版权问题等原因无法更改也是

WEB安全问题的重要原因。

＞第三方内容成风险源

第三方内容是现在网站编程里面经常采用的一个技术，网站的制作者会把本

身网页里面嵌入一些第三方网站内容的“指针”。这些网页被客户端浏览器打开

的时候，浏览器会根据这些指针去采第三方网站上面的内容，包括图片、文字、

flash和一些动态脚本等等。攻击者利用这些内容源对目标进行攻击

＞篡改Web系统数据

攻击者通过SQL注入等门户网站应用程序漏洞获得网站系统权限后，可以进

行网页挂马、网页篡改、修改数据等活动。黑客可以通过网页挂马，利用被攻击

的网站作为后续攻击的工具，致使更多人受害；乜可以通过网页篡改，丑化门户

网站的声誉甚至造成政治影响；还也可以通过修改网站系统敏感数据，直接达到

获取利益的目的。

＞Cookie监听、Cookie投毒

恶意用户通过对Cookie监听破译用户证书，篡改从服务器传送到浏览器的

cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户

系统上，通过改变这些值，恶意的用户就可以访问不属于他们的账户。

＞客户端网络带宽滥用

某些HTTP客户端用户使用工具恶意滥用服务器处理能力和网络带宽，使得

其他合法用户无法获得正常服务。

在传统的安全产品中，防火堵主要工作在四层以下，主要是基于包检测技术，不

能实现对HTTP协议的精细控制。防病毒产品不仅对Web应用程序中的漏洞难以

识别，而且对网页中存在的恶意代码（网页木马）更是束手无策。IPS仅是对HTTP

数据包有效负载的检测分析，并不能将所有的数据包还原组装成数据流或具体的

内容进行基于关键字或具体内容的检测分析与特征提取，并且IPS主要是静态的

特征匹配，针对Web应用交互中动态页面中的相关内容没有固定特征，因此IPS

很难防范此类攻击，并且IPS也不保持会话信息，很多与会话有关的攻击，比如

Cookie篡改、会话劫持，IPS都不能较好的进行防护。总之，Web应用攻击之所

以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至

是经过验证的用户。

XX市智能公交信息系统互联网对外发布区部署有重要的呢b系统，Web系统

存在多种攻击风险。

8.3.2方案设计

在XX市智能公交信息系统对外发布区前端部署一台Web应用防火墙保障

Web应用安全。

>Web应用安全防护

WAF需要防护基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、CGI扫描、

间谍软件、灰色软件、网络钓鱼、漏洞扫描、SQL注入攻击及XSS攻击等常见的

Web攻击；

>应用层DOS攻击防护

WAF需要防护带宽及资源耗尽型拒绝服务攻方。XMLDoS攻击防护是对HTTP

请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对

Web服务器进行DoS攻击；

>Web虚拟服务

通过部署WAF来管理多个独立的Web应用，冬Web应用可采用不同的安全策

略，可在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营

机构提供显著的运营优势与便利条件；

>Web请求信息的安全过滤

针对HTTP请求,WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP

协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不

合规请求，允许进行丢弃或返回错误页面处理；

>Web敏感信息防泄露

WAF应内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认

页面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类

型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露；

>Cookie防篡改

WAF产品能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被

篡改。用户可指定需要重点保护的Cookie,对于检测出的不符合签名的请求，允

许进行丢弃或删除Cookie处理，同时记录相应E志；

>网页防篡改

WAF产品可按照网页篡改事件发生的时序，事中，实时过滤HTTP请求中混

杂的网页篡改攻击流量（如SQL注入、XSS攻击等）；事后，自动监控网站所有需

保护页面的完整性，检测到网页被篡改，第一时间对管理员进行告警，对外仍显

示篡改前的正常页面，用户可正常访问网站；

>Web业务的连续性

作为串行安全防护设备，WAF需要考虑了Web系统业务连续性保障措施，以

有效避免单点故障；

8.3.3指标满足描述

指标类

指标要求改进行为改进对象

别

a）应在网络边界部署WEB防火墙。包括：端口

入侵防

处监视以下攻击扫描、强力攻击、木马后门

范（G2）行为：端口扫攻击等各类攻击行为。

描、强力攻击、

木马后门攻击、

WEB防火墙

拒绝服务攻击、

缓冲区溢出攻

击、IP碎片攻击

和网络蠕虫攻击

等；

b）当检测到攻击

行为时，记录攻

击源IP、攻击类

型、攻击目的、

攻击时间，在发

生严重入侵事件

时应提供报警。

a）应在网络边界部署WEB防火墙。包括：端口

恶意代

处对恶意代码进扫描、强力攻击、木马后门

码防范行检测和清除；攻击等各类攻击行为进行恶

WEB防火墙

（G2）b）应维护恶意代意代码的检测与清除，并定

码库的升级和检期升级恶意代码库。

测系统的更新。

8.4远程安全接入解决方案

8.4.1风险与需求分析

＞风险列表

序号风险种类

1网络侦听

2数据篡改

3中间人攻击

4重放攻击

＞风险分析与描述

•网络侦听

业务数据如果在网络中以明文的方式传播的活，攻击者通过网络侦听的方式

可以获得相应数据包并进行还原，从而导致重要业务数据泄漏，机密性受到极大

地影响，因此，对于重要的业务数据应采用加密方式进行传输。

•数据篡改

攻击者对于侦听捕获的数据，可以通过改变消息内容，删除其中的部分内容,

用一条假消息去代替原始消息，或者将某些额外消息插入其中等方式破坏数据的

完整性。

•中间人攻击

中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,

然而两个原始计算机生户却认为他们是在互相通信，中间人攻击将导致数据泄密

和数据的篡改。

•重放攻击

就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要

用于身份认证过程，

＞需求分析

因此保证业务数据传输安全性的重点在于建立安全的数据通道，该通道应具

备以下的基本安全要素：

•保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒

(IPSpoofing)的能力。

•保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不

法分子篡改数据的能力。

•保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解

拦截到的通道数据。

•提供动态密钥交换功能和集中安全管理服务C

•提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击信

息中心网络的能力，并且可以对VPN通道进行访问控制

＞需求总结

采用有效合理的方式，实现业务数据在传输过程中的机密性、完整性、可控

性等安全特性。

8.4.2方案设计

在外网链路区域交换机旁路部署SSLVPN系统，使之移动办公用户可采用

安全的接入方式访问内部网络

虚拟专用网（VPN）是一种以公用网络，尤其是Internet为基础，综合运用

隧道封装、认证、加密、访问控制等多种网络安会技术，为信息中心总部、分支

机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,

包括和该技术相关的多种安全管理机制。

目前应用最广泛的的VPN解决方案主要包括IPSEC和SSL两种实现方式的

VPN.

IPSecdPSecurity）是IETFIPSec工作组为了在IP层提供通信安全而制

订的一整套协议标准，IPSec的主要特征在于它可以对所有IP级的通信进行加

密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子

邮件、文件传输及Web访问在内多种应用程序的安全。IPSECVPN解决方案的优

势如下：

•IPSec在传输层之下，对于应用程序来说是透明的。当在广域网出口

处安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系

统中执行IPSec,应用程序一类的上层软件也不会被影响。

•IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培

训。

•TPSEC更适合于网络到网络之间的数据加密传输和安全应用。

SSLVPN采用了SSL（Securitysocketlayer）协议，该协议是介于介于

HTTP层及TCP层的安全协议，通过SSLVPN是接入信息中心内部的应用，而不

是信息中心的整个网络，因此，SSLVPN更适合于单个用户接入信息中心内部的

应用。SSLVPN的优势在于无需安装客户端、无需改变用户网络既有设置、无需

考虑NAT穿透问题、无需考虑私有地址冲突问题，无论用户在何时、无论用户在

何地、无论用户用何种接入设备、无论用户用何种接入方式，只要能够支持标注

的SSL协议的浏览器，均可通过SSLVPN安全、快捷的适用内网业务系统，实

现业务延伸

8.4.3指标满足描述

指标类

指标要求改进行为改进对象

别

应采用加密或其他

数据保有效措施实现系统

部署SSLVPN网

密性管理数据、鉴别信VPN虚拟专网解决方案

关

息和重要业务数据

传输保密性；

应能够检测到鉴别

数据完信息和重要业务数部署SSLVPN网

VPN虚拟专网解决方窠

整性据在传输过程中完关

整性受到破坏。

8.5数据库审计解决方案

8.5.1风险与需求分析

作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损

失中，有75%以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作

等。审计系统帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络

的、主机和应用系统的。这些审计信息反映了信息系统运行的基本轨迹。一方面，

它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组

织的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故

时，就像航空器“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事

件过程，直至完整的分析定位事件的本源[1],并部署进一步的措施来避免损失

的再次发生。

当前的许多安全标准和规范都要求组织建设并保证审计系统的可靠性。例如

安全管理业界标准IS027001：2005,美国公众上市公司需要遵循的萨班斯

(SarbanesOxley)法案，以及国家最近颁布的安全等级保护技术要求等等。

＞风险分析与描述

内部人员操作安全隐患

随着信息中心信息化进程不断深入，信息中心的业务系统变得日益复杂，由

内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检

测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作

却无能为力。根