等級保護(hù)技術(shù)方案(三級)

1、項(xiàng)目 等級保護(hù)方案 目 錄 1工程項(xiàng)目背景工程項(xiàng)目背景 .6 2系統(tǒng)分析系統(tǒng)分析.7 2.1網(wǎng)絡(luò)結(jié)構(gòu)分析.7 2.2業(yè)務(wù)系統(tǒng)分析.7 3等級保護(hù)建設(shè)流程等級保護(hù)建設(shè)流程.8 4方案參照標(biāo)準(zhǔn)方案參照標(biāo)準(zhǔn).10 5安全區(qū)域框架安全區(qū)域框架.11 6安全等級劃分安全等級劃分.12 6.1.1定級流程.12 6.1.2定級結(jié)果.14 7安全風(fēng)險(xiǎn)與需求分析安全風(fēng)險(xiǎn)與需求分析 .15 7.1安全技術(shù)需求分析 .15 7.1.1物理安全風(fēng)險(xiǎn)與需求分析.15 7.1.2計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析.16 7.1.3區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析.18 7.1.4通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析.19 7.2安全管理需求分

2、析 .21 8技術(shù)體系方案設(shè)計(jì)技術(shù)體系方案設(shè)計(jì).22 8.1方案設(shè)計(jì)目標(biāo).22 8.2方案設(shè)計(jì)框架.22 8.3安全技術(shù)體系設(shè)計(jì) .24 8.3.1物理安全設(shè)計(jì).24 8.3.2計(jì)算環(huán)境安全設(shè)計(jì).26 8.3.2.1身份鑒別.26 8.3.2.2訪問控制.27 8.3.2.3系統(tǒng)安全審計(jì).28 8.3.2.4入侵防范.29 8.3.2.5主機(jī)惡意代碼防范.30 8.3.2.6軟件容錯(cuò).30 8.3.2.7數(shù)據(jù)完整性與保密性.31 8.3.2.8備份與恢復(fù).32 8.3.2.9資源控制.33 8.3.2.10客體安全重用.34 8.3.2.11抗抵賴.34 8.3.3區(qū)域邊界安全設(shè)計(jì).35 8.

3、3.3.1邊界訪問控制.35 8.3.3.2邊界完整性檢查.36 8.3.3.3邊界入侵防范.37 8.3.3.4邊界安全審計(jì).38 8.3.3.5邊界惡意代碼防范.38 8.3.4通信網(wǎng)絡(luò)安全設(shè)計(jì).39 8.3.4.1網(wǎng)絡(luò)結(jié)構(gòu)安全.39 8.3.4.2網(wǎng)絡(luò)安全審計(jì).39 8.3.4.3網(wǎng)絡(luò)設(shè)備防護(hù).40 8.3.4.4通信完整性.41 8.3.4.5通信保密性.41 8.3.4.6網(wǎng)絡(luò)可信接入.41 8.3.5安全管理中心設(shè)計(jì).42 8.3.5.1系統(tǒng)管理.43 8.3.5.2審計(jì)管理.44 8.3.5.3安全管理.45 8.3.6不同等級系統(tǒng)互聯(lián)互通.46 9安全管理體系設(shè)計(jì)安全管理體系設(shè)

4、計(jì).47 10安全運(yùn)維服務(wù)設(shè)計(jì)安全運(yùn)維服務(wù)設(shè)計(jì).48 10.1安全掃描 .49 10.2人工檢查 .49 10.3安全加固 .50 10.3.1流程.50 10.3.2內(nèi)容.51 10.3.3風(fēng)險(xiǎn)規(guī)避.52 10.4日志分析 .54 10.4.1流程.54 10.4.2內(nèi)容.55 10.5補(bǔ)丁管理 .55 10.5.1流程.56 10.5.2內(nèi)容.56 10.6安全監(jiān)控 .57 10.6.1流程.57 10.6.2內(nèi)容.58 10.7安全通告 .59 10.8應(yīng)急響應(yīng) .60 10.8.1入侵調(diào)查.60 10.8.2主機(jī)、網(wǎng)絡(luò)異常響應(yīng).60 10.8.3其他緊急事件.60 10.8.4響應(yīng)流程

5、.61 10.9安全運(yùn)維服務(wù)的客戶價(jià)值.62 11整體配置方案整體配置方案.62 12方案合規(guī)性分析方案合規(guī)性分析.62 12.1技術(shù)部分 .63 12.2管理部分 .81 1工程項(xiàng)目背景 項(xiàng)目背景情況介紹 2系統(tǒng)分析 2.1 網(wǎng)絡(luò)結(jié)構(gòu)分析網(wǎng)絡(luò)結(jié)構(gòu)分析 包括網(wǎng)絡(luò)結(jié)構(gòu)、軟硬件設(shè)施等。 2.2 業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)分析 對業(yè)務(wù)系統(tǒng)進(jìn)行分析。 3等級保護(hù)建設(shè)流程 網(wǎng)御提出的“按需防御的等級化安全體系”是依據(jù)國家信息安全等級保護(hù)制 度，根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)，采用等級化的安全體 系設(shè)計(jì)方法，幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的等級 化安全防御體系。 “等級化”設(shè)計(jì)

6、方法，是根據(jù)需要保護(hù)的信息系統(tǒng)確定不同的安全等級，根 據(jù)安全等級確定不同等級的安全目標(biāo)，形成不同等級的安全措施進(jìn)行保護(hù)。等 級保護(hù)的精髓思想就是“等級化” 。等級保護(hù)可以把業(yè)務(wù)系統(tǒng)、信息資產(chǎn)、安全 邊界等進(jìn)行“等級化” ，分而治之，從而實(shí)現(xiàn)信息安全等級保護(hù)的“等級保護(hù)、 適度安全”思想。 整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息 系統(tǒng)安全等級保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、 數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護(hù)基本要 求則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系 統(tǒng)運(yùn)維管理五個(gè)方面。 整個(gè)安全保障體系各

7、部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解 為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員， 利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。 ” 根據(jù)等級化安全保障體系的設(shè)計(jì)思路，等級保護(hù)的設(shè)計(jì)與實(shí)施通過以下步 驟進(jìn)行： 1.系統(tǒng)識(shí)別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類 別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟 充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等 級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及 安全措施選擇提供依據(jù)。 2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，

8、 根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解 為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。 3.確定安全域安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計(jì)不同安全 域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級， 明確各安全域所需采用的安全指標(biāo)。 4.評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相 關(guān)風(fēng)險(xiǎn)評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險(xiǎn)評估。 并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安 全需求。通過等級風(fēng)險(xiǎn)評估，可以明確各層次安全域相應(yīng)等級的安全差 距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供

9、依據(jù)。 5.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保 障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng) 整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。 6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符 合的安全需求，滿足等級保護(hù)相應(yīng)等級的基本要求，實(shí)現(xiàn)按需防御。 7.持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急 響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的 持續(xù)安全，滿足持續(xù)性按需防御的安全需求。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時(shí)根據(jù)安 全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)

10、整體的安全。而應(yīng)該特別注意的是：等級 保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過程，所以通過整個(gè)安全項(xiàng)目、 安全服務(wù)的實(shí)施，來保證用戶等級保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系 統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。 4方案參照標(biāo)準(zhǔn) GB/T 21052-2007 信息安全等級保護(hù) 信息系統(tǒng)物理安全技術(shù)要求 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級定級指南(報(bào)批中) 信息安全技術(shù) 信息安全等級保護(hù)實(shí)施指南(報(bào)批中) 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評指南 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20270-2006

11、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范 GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求 GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求與測試評價(jià)方法 GB/T 20275-2006 信息安全技術(shù) 入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法 GB/T 20278-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求 GB/T 20277-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價(jià)方法 GB/T 20279-2006 信息安全技術(shù) 網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求 GB/T 20280-2006 信息安全技術(shù)

12、 網(wǎng)絡(luò)端設(shè)備隔離部件測試評價(jià)方法 等。 5安全區(qū)域框架 XX 網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)，不是對整個(gè) 系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的 保護(hù)。因此，安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟。需要通過合理 的劃分網(wǎng)絡(luò)安全域，針對各自的特點(diǎn)而采取不同的技術(shù)及管理手段。從而構(gòu)建 一整套有針對性的安防體系。而選擇這些措施的主要依據(jù)是按照等級保護(hù)相關(guān) 的要求。 安全域是具有相同或相似安全要求和策略的 IT 要素的集合，是同一系統(tǒng)內(nèi) 根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯 子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)

13、需求，具有相同的安全訪問控 制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同 樣的安全策略。 經(jīng)過梳理后的 XX 網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如下圖（樣圖）所示： 6安全等級劃分 6.1.1定級流程定級流程 確定信息系統(tǒng)安全保護(hù)等級的一般流程如下： 確定作為定級對象的信息系統(tǒng)； 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體； 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評定業(yè)務(wù)信息安全被破壞對客 體的侵害程度； 根據(jù)業(yè)務(wù)信息安全等級矩陣表得到業(yè)務(wù)信息安全等級； 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體； 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評定系統(tǒng)服務(wù)安全被破壞對客 體的侵害程度； 根據(jù)系統(tǒng)服

14、務(wù)安全等級矩陣表得到系統(tǒng)服務(wù)安全等級； 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全 保護(hù)等級。 上述步驟如下圖流程所示。 3、綜合評定對客體的侵害 程度 2、確定業(yè)務(wù)信息安全受到 破壞時(shí)所侵害的客體 6、綜合評定對客體的侵害 程度 5、確定系統(tǒng)服務(wù)安全受到 破壞時(shí)所侵害的客體 7、系統(tǒng)服務(wù)安全等級4、業(yè)務(wù)信息安全等級 8、定級對象的安全保護(hù)等 級 矩陣表矩陣表 1、確定定級對象 業(yè)務(wù)信息安全等級矩陣表 對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度 業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體 一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益公民、

15、法人和其他組織的合法權(quán)益 第一級第二級第二級 社會(huì)秩序、公共利益社會(huì)秩序、公共利益 第二級第三級第四級 國家安全國家安全 第三級第四級第五級 系統(tǒng)服務(wù)安全等級矩陣表 對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度 系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體 一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益公民、法人和其他組織的合法權(quán)益 第一級第二級第二級 社會(huì)秩序、公共利益社會(huì)秩序、公共利益 第二級第三級第四級 國家安全國家安全 第三級第四級第五級 6.1.2定級結(jié)果定級結(jié)果 根據(jù)上述定級流程，XX 用戶各主要系統(tǒng)定級結(jié)果為： 序號部署環(huán)境系統(tǒng)名稱保護(hù)等級保護(hù)等級定

16、級結(jié)果組合定級結(jié)果組合 1.XX 網(wǎng)絡(luò)XX 系統(tǒng)3可能的組合為： S1A3G3，S2A3G3 ，S3A3G3，S3A2G 3，S3A1G3，根據(jù) 實(shí)際情況進(jìn)行選擇。 2. 7安全風(fēng)險(xiǎn)與需求分析 風(fēng)險(xiǎn)與需求分析部分按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)層面進(jìn)行， 可根據(jù)實(shí)際情況進(jìn)行修改；同時(shí)根據(jù)安全域劃分的結(jié)果，在分析過程中將不同 的安全域所面臨的風(fēng)險(xiǎn)與需求分析予以對應(yīng)說明。 7.1 安全技術(shù)需求分析安全技術(shù)需求分析 7.1.1物理安全風(fēng)險(xiǎn)與需求分析物理安全風(fēng)險(xiǎn)與需求分析 物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路 的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的

17、癱瘓。它 是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整 個(gè)網(wǎng)絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例如： 機(jī)房缺乏控制，人員隨意出入帶來的風(fēng)險(xiǎn)； 網(wǎng)絡(luò)設(shè)備被盜、被毀壞； 線路老化或是有意、無意的破壞線路； 設(shè)備在非預(yù)測情況下發(fā)生故障、停電等； 自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等； 電磁干擾等。 因此，在通盤考慮安全風(fēng)險(xiǎn)時(shí)，應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。保證網(wǎng)絡(luò)正常 運(yùn)行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層 出現(xiàn)風(fēng)險(xiǎn)問題時(shí)的應(yīng)對方案。 7.1.2計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析 計(jì)算環(huán)境的安全主要指主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需

18、求分析，包括： 身份鑒別、訪問控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù) 完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。 身份鑒別身份鑒別 身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。 主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。 過于簡單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。同時(shí)非法用戶可以通過網(wǎng)絡(luò)進(jìn) 行竊聽，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作。因此必 須提高用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽；同時(shí)應(yīng)考慮失敗處理機(jī)制。 訪問控制訪問控制 訪問控制包括主機(jī)和應(yīng)用兩個(gè)方面。 訪問控制主要為了保證用戶對主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。

19、非法 用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí) 行高權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風(fēng) 險(xiǎn)。用戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問控制策略下進(jìn)行操作， 杜絕越權(quán)非法操作。 系統(tǒng)審計(jì)系統(tǒng)審計(jì) 系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)方面。 對于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。對于服務(wù)器和重要主機(jī) 需要進(jìn)行嚴(yán)格的行為控制，對用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)， 便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。而對于應(yīng)用系統(tǒng)同樣提出 了應(yīng)用審計(jì)的要求，即對應(yīng)用系統(tǒng)的使用行為進(jìn)行審計(jì)。重點(diǎn)審計(jì)應(yīng)用層信息， 和業(yè)務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息

20、相關(guān)。能夠?yàn)榘踩录峁┳銐虻男畔?，與身份認(rèn) 證與訪問控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。 入侵防范入侵防范 主機(jī)操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各 種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來越短， 這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)，因此對于主 機(jī)操作系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。 惡意代碼防范惡意代碼防范 病毒、蠕蟲等惡意代碼是對計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅 非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會(huì)立刻向其他子網(wǎng)迅速蔓延，發(fā)動(dòng)網(wǎng)絡(luò)攻 擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)

21、絡(luò)性能嚴(yán)重下降、 服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏。嚴(yán)重影響正常業(yè)務(wù)開展。因 此必須部署惡意代碼防范軟件進(jìn)行防御。同時(shí)保持惡意代碼庫的及時(shí)更新。 軟件容錯(cuò)軟件容錯(cuò) 軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行 時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤,采取補(bǔ)救措施,以提高軟件可靠性,保證整個(gè)計(jì)算 機(jī)系統(tǒng)的正常運(yùn)行。 數(shù)據(jù)安全數(shù)據(jù)安全 主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施 最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問 題。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性；保護(hù)鑒別信息的 保密性 備份與恢復(fù)備份與恢復(fù) 數(shù)據(jù)是信息

22、資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。 因此數(shù)據(jù)的備份十分重要，是必須考慮的問題。對于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備 份機(jī)制，而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是應(yīng)對 突發(fā)事件的必要措施。 資源合理控制資源合理控制 資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面。 主機(jī)系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無限濫用。系統(tǒng)資源必須能 夠?yàn)檎Ｓ脩籼峁┵Y源保障。否則會(huì)出現(xiàn)資源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中 斷等后果。因此對于系統(tǒng)資源進(jìn)行控制，制定包括：登陸條件限制、超時(shí)鎖定、 用戶可用資源閾值設(shè)置等資源控制策略。 剩余信息保護(hù)剩余信息保護(hù) 對于正常使用中的主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等，

23、經(jīng)常需要對用戶的鑒別 信息、文件、目錄、數(shù)據(jù)庫記錄等進(jìn)行臨時(shí)或長期存儲(chǔ)，在這些存儲(chǔ)資源重新 分配前，如果不對其原使用者的信息進(jìn)行清除，將會(huì)引起原用戶信息泄漏的安 全風(fēng)險(xiǎn)，因此，需要確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫記錄等資 源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除 對于動(dòng)態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對其原 使用者的信息進(jìn)行清除，以確保信息不被泄漏。 抗抵賴抗抵賴 對于數(shù)據(jù)安全，不僅面臨著機(jī)密性和完整性的問題，同樣還面臨著抗抵賴 性（不可否認(rèn)性）的問題，應(yīng)采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行 為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。 7.1.3區(qū)域邊界

24、安全風(fēng)險(xiǎn)與需求分析區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防 范、邊界惡意代碼防范以及邊界安全審計(jì)等方面。 邊界訪問控制邊界訪問控制 XX 網(wǎng)絡(luò)可劃分為如下邊界： 描述邊界及風(fēng)險(xiǎn)分析 對于各類邊界最基本的安全需求就是訪問控制，對進(jìn)出安全區(qū)域邊界的數(shù) 據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問。 邊界完整性檢測邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對內(nèi)部網(wǎng)絡(luò) 中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完 整性。 邊界入侵防范邊界入侵防范 各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)

25、部也 同樣存在。通過安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對信息系統(tǒng)的各種攻擊，如病毒、 木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS 等，實(shí)現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù) 系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。 邊界安全審計(jì)邊界安全審計(jì) 在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn) 行記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審 計(jì)系統(tǒng)。并可通過安全管理中心集中管理。 邊界惡意代碼防范邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合、蠕蟲病毒更加 泛濫，目前計(jì)算機(jī)病毒的傳播途徑與過去相比已經(jīng)發(fā)生了很大的變化，更多的 以網(wǎng)絡(luò)（包括 In

26、ternet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防 護(hù)手段也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺。 7.1.4通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析 通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、 通信完整性與保密性等方面。 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié) 構(gòu)需要具備一定的冗余性；帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理 的劃分網(wǎng)段和 VLAN。 網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì) 由于用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管 理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞

27、。沒有相應(yīng)的審計(jì)記錄將給事后 追查帶來困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。從而威懾那些心存僥幸、有 惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。 網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù) 由于 XX 網(wǎng)絡(luò)中將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、防火墻、入侵檢測 設(shè)備等。這些設(shè)備的自身安全性也會(huì)直接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常 運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。更加嚴(yán) 重情況是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng)絡(luò)設(shè) 備作為跳板攻擊服務(wù)器，將會(huì)造成無法想象的后果。例如，交換機(jī)口令泄漏、 防火墻規(guī)則被篡改、入侵檢測設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)

28、險(xiǎn)因素。 通信完整性與保密性通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng) 上存儲(chǔ)和傳輸過程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤， 而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息 傳輸和存儲(chǔ)過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在 信息遭受篡改攻擊的情況下，應(yīng)提供有效的察覺與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整 性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到 竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。 網(wǎng)絡(luò)可信接入網(wǎng)絡(luò)可信接入 對于一個(gè)不斷發(fā)展的網(wǎng)絡(luò)而言，為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)保留大量的接

29、入端口，這對于隨時(shí)隨地快速接入到 XX 用戶網(wǎng)絡(luò)進(jìn)行辦公是非常便捷的，但同 時(shí)也引入了安全風(fēng)險(xiǎn)，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破 壞網(wǎng)絡(luò)的安全邊界，使得外來用戶具備對網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸 如蠕蟲擴(kuò)散、文件泄密等安全問題。因此需要對非法客戶端實(shí)現(xiàn)禁入，能監(jiān)控 網(wǎng)絡(luò)，對于沒有合法認(rèn)證的外來機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問，保護(hù)好已經(jīng)建立 起來的安全環(huán)境。 7.2 安全管理需求分析安全管理需求分析 “三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。 除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手 段，建立健全安全管理體系不但是國家等級保護(hù)中的要

30、求，也是作為一個(gè)安全 體系來講，不可或缺的重要組成部分。 安全管理體系依賴于國家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo) 準(zhǔn)來指導(dǎo)，形成可操作的體系。主要包括： 安全管理制度 安全管理機(jī)構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 根據(jù)等級保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明 確執(zhí)行。 8技術(shù)體系方案設(shè)計(jì) 8.1 方案設(shè)計(jì)目標(biāo)方案設(shè)計(jì)目標(biāo) 三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：落實(shí) GB 17859-1999 對三級系統(tǒng)的 安全保護(hù)要求，在二級安全保護(hù)環(huán)境的基礎(chǔ)上，通過實(shí)現(xiàn)基于安全策略模型和 標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略 管控下，保護(hù)敏

31、感資源的能力。 通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方 面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人 員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體 系建設(shè)。使得 XX 系統(tǒng)的等級保護(hù)建設(shè)方案最終既可以滿足等級保護(hù)的相關(guān)要 求，又能夠全方面為 XX 系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息 系統(tǒng)整體的安全保護(hù)能力。 8.2 方案設(shè)計(jì)框架方案設(shè)計(jì)框架 根據(jù)信息系統(tǒng)安全等級保護(hù)基本要求 ，分為技術(shù)和管理兩大類要求，具 體如下圖所示： 本方案將嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。首先應(yīng)根據(jù)本級具體的基本 要求設(shè)計(jì)本級系統(tǒng)的保護(hù)

32、環(huán)境模型，根據(jù)根據(jù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要 求求 （注：尚未正式發(fā)布）（注：尚未正式發(fā)布） ，保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全 通信網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的 5 個(gè)方面。同時(shí)結(jié)合 管理要求，形成如下圖所示的保護(hù)環(huán)境模型： 信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全性等級和系統(tǒng)服務(wù)保證性等級較 高者決定，因此，對某一個(gè)定級后的信息系統(tǒng)的安全保護(hù)的側(cè)重點(diǎn)可以有多種 組合。對于 3 級保護(hù)系統(tǒng)，其組合為：（在 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 選擇） 。以下詳細(xì)方案設(shè)計(jì)時(shí) 應(yīng)將每個(gè)項(xiàng)目進(jìn)行相應(yīng)的組合級

33、別說明。 8.3 安全技術(shù)體系設(shè)計(jì)安全技術(shù)體系設(shè)計(jì) 8.3.1物理安全設(shè)計(jì)物理安全設(shè)計(jì) 物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁 兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā) 生。 機(jī)房選址機(jī)房選址 機(jī)房和辦公場地選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房場地 應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 機(jī)房管理機(jī)房管理 機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員； 需進(jìn)入機(jī)房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動(dòng)范圍。 對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū) 域前設(shè)置交付或安裝等過渡區(qū)域； 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 機(jī)房環(huán)境機(jī)房環(huán)境 合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房 間裝修必需使用阻燃材料，耐火等級符合國家相關(guān)標(biāo)準(zhǔn)規(guī)定。機(jī)房門大小應(yīng)滿 足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫 落，機(jī)房應(yīng)安裝防靜電活動(dòng)地板。 機(jī)房安裝防雷和接地線，設(shè)置防雷保安器，防止感應(yīng)雷，要求防雷接地和 機(jī)房接地分別安裝，且相隔一定的距離；機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠