中軟華泰等級保護整改解決方案

1、中軟華泰等級保護整改解決方案 1、等保方案設(shè)計背景 隨著我國信息化發(fā)展的逐步深入，我們對信息系統(tǒng)的依賴越來越強，國家信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)能否安全 正常地運行直接關(guān)系到國家安全、經(jīng)濟命脈、社會秩序，信息系統(tǒng)安全問題已經(jīng)被提到關(guān)系國家安全和國家主權(quán)的戰(zhàn)略性高度，已引起黨和國家領(lǐng)導(dǎo)同志和社會各界 的關(guān)注。由于信息系統(tǒng)的安全保障體系建設(shè)是一個極為復(fù)雜的工作，為信息系統(tǒng)組織設(shè)計一套完整和有效的安全體系一直 是個很大的難題。行業(yè)性機構(gòu)、企事業(yè)單位的信息系統(tǒng)應(yīng)用眾多、結(jié)構(gòu)復(fù)雜、覆蓋地域廣闊、涉及的行政部門和人員眾多，建設(shè)起來困難重重，信息系統(tǒng)安全一直停 留在網(wǎng)絡(luò)完全的建設(shè)，但對于來自應(yīng)用層面的攻擊、內(nèi)

2、部有意無意帶來的攻擊沒有很好的解決技術(shù)和方案提出。 信息安全是國家主權(quán)、政治、經(jīng)濟、國防、社會安全和公民合法權(quán)益保障的重要保證，經(jīng)黨中央和國務(wù)院批準(zhǔn)， 國家信息化領(lǐng)導(dǎo)小組決定加強信息安全保障工作，實行信息安全等級保護，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，要抓緊安全等級保護制度建設(shè)。對信息系統(tǒng) 實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發(fā)展方向。實行信息安全等級保護的決定具有重大的現(xiàn)實和 戰(zhàn)略意義。 等保解決方案依據(jù)法律法規(guī)：如下圖 等級保護解決方案依據(jù)技術(shù)標(biāo)準(zhǔn)：如下圖 基本要求是以GB17859為基礎(chǔ)的分等級信息系統(tǒng)的安全建設(shè)和管理系列標(biāo)準(zhǔn)

3、之一，是現(xiàn)階段五個級別的信息系 統(tǒng)的基本安全保護技術(shù)和管理要求，提出了各級信息系統(tǒng)應(yīng)當(dāng)具備的基本安全保護能力和技術(shù)與管理措施，該標(biāo)準(zhǔn)需與設(shè)計技術(shù)要求、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ) 安全技術(shù)要求等其它標(biāo)準(zhǔn)配套使用。 2、信息系統(tǒng)安全需求分析 具體定級定級情況：根據(jù)客體被侵害的程度所造成的影響大小對系統(tǒng)進行劃分級別，根據(jù)GB17859-1999按照安全性由低到高的順序，規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，即： 第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標(biāo)記保護級； 第四級：結(jié)構(gòu)化保護級； 第五級：訪問驗證保護級。 我國2007年開展了全國范圍的信息系統(tǒng)等級保護定級工作，所有的信息

4、系統(tǒng)也根據(jù)其重要性分別被評定了級別，并在公安部辦理了相關(guān)的備案手續(xù)。 中軟華泰在信息系統(tǒng)安全需求分析時，要對客戶的現(xiàn)有信息系統(tǒng)定級情況、現(xiàn)狀描述、安全現(xiàn)狀、定級信息系統(tǒng)安全防護能力的要求與信息基本要求對比進行差異性分析，研進行下一步的科學(xué)的設(shè)計。需求分析流程如下圖： 3、信息系統(tǒng)安全等級保護總體設(shè)計方案設(shè)計原則：在建設(shè)過程中，遵循統(tǒng)籌規(guī)劃、深度防御，統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范，自主產(chǎn)權(quán)、國產(chǎn)為主，強化管理、注重技術(shù)的原則。 總體技術(shù)框架：信息系統(tǒng)等級保護安全建設(shè)的思路是根據(jù)分級分域的原則，按照一個中心下的三重防御體系，建設(shè)具有自己特色的信息安全等級保護深度防御體系。 一個中心和三重防護體系：按照信息系

5、統(tǒng)業(yè)務(wù)處理過程將系統(tǒng)劃分成計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)三部分，以終端安全為基礎(chǔ)對這三部分實施保護，構(gòu)成由安全管理中心支撐下的計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全所組成的三重防護體系結(jié)構(gòu)。 站系統(tǒng)安全架構(gòu)設(shè)計：根據(jù)現(xiàn)有系統(tǒng)情況根據(jù)設(shè)計技術(shù)要求進行架構(gòu)設(shè)計 物理安全建設(shè)：依據(jù)基本要求中對物理安全的要求，信息系統(tǒng)的物理安全建設(shè)從環(huán)境安全、設(shè)備安全和介質(zhì)安全三個方面實施。 安全管理建設(shè)：“三分技術(shù)、七分管理”，安全管理和技術(shù)相輔相成。以基本要求為標(biāo)準(zhǔn)，結(jié)合目前、信息系統(tǒng)安全管理體系的現(xiàn)狀，對信息系統(tǒng)的管理機構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進行建設(shè)和加強。 災(zāi)難與應(yīng)急響應(yīng)：為提高網(wǎng)絡(luò)安全應(yīng)急

6、響應(yīng)能力，對可能發(fā)生的信息網(wǎng)絡(luò)系統(tǒng)的突發(fā)安全事件進行快速反應(yīng)和恢復(fù)，最大限度地控制和減輕事件所帶來的影響，確保業(yè)務(wù)的持續(xù)運行，需要制定應(yīng)急響應(yīng)預(yù)案。 4、信息系統(tǒng)安全等級保護技術(shù)設(shè)計方案 1)方案設(shè)計思想: a)構(gòu)建符合信息系統(tǒng)等級保護要求的安全體系結(jié)構(gòu) b)建立科學(xué)實用的全程訪問控制機制 c)加強源頭控制，實現(xiàn)基礎(chǔ)核心層的縱深防御 d)面向應(yīng)用，構(gòu)建安全應(yīng)用支撐平臺 2）結(jié)合設(shè)計技術(shù)要求進行一個中心下三重防護體系的信息系統(tǒng)的整體建設(shè)： 結(jié)合技術(shù)要求的三權(quán)分立原則對管理者達到互相監(jiān)督互相制約： 中軟華泰信息系統(tǒng)安全等級保護技術(shù)設(shè)計方案圖形方式展現(xiàn)： HuaTech終端安全保護系統(tǒng)在現(xiàn)有Wind

7、ows、Linux操作系統(tǒng)基礎(chǔ)上，強化了其身份鑒別、數(shù)據(jù)保密性保護、系統(tǒng)完整性保護以及行為審計機制，增加了強制訪問控制、邊界保護機制，為全面防內(nèi)提供了基礎(chǔ)。 惡意代碼無法入侵終端 安全機制無法被旁路 非授權(quán)用戶無法登錄終端 非授權(quán)終端無法接入系統(tǒng) 重要信息無法被失竊 惡意代碼無法入侵終端 網(wǎng)站防護產(chǎn)品：解決了Web網(wǎng)站防篡改、防惡意代碼攻擊； 應(yīng)用級防火墻：解決了SQL注入攻擊、防跨站攻擊、抗Dos攻擊、抗端口掃描、雙機熱備 職責(zé)分離管理，由安全管理中心統(tǒng)一對計算環(huán)境、區(qū)域邊界、通訊網(wǎng)絡(luò)的全程訪問控制進行指定安全策略機制。 6、信息系統(tǒng)安全等級保護管理安全建設(shè)從經(jīng)營者的角度來看，技術(shù)層面和管理

8、層面必須相互結(jié)合、配合良好，其中，尤其需要強調(diào)管理的重要性，以“七分管理，三分技術(shù)”的配比來建設(shè)信息系統(tǒng)的 安全體系，這樣，才有可能構(gòu)建健康的信息系統(tǒng)安全體系。技術(shù)層面通過安裝部署相應(yīng)的安全產(chǎn)品實現(xiàn)，管理層面則通過落實制度和人員培訓(xùn)等手段實現(xiàn)。本章節(jié)將 重點討論信息安全中的管理部分內(nèi)容。 7、信息系統(tǒng)安全應(yīng)急預(yù)案設(shè)計基本要求中對信息系統(tǒng)應(yīng)急預(yù)案方面提出的要求，信息系統(tǒng)等保改造項目涉及信息系統(tǒng)按安全等級，根據(jù)基本要求對不同等級信息系統(tǒng)的安全事件處置和應(yīng)急預(yù)案提出了具體的指導(dǎo)和要求. 8、信息系統(tǒng)災(zāi)備方案設(shè)計為了應(yīng)對信息系統(tǒng)可能遭遇的災(zāi)難，我們需要為信息系統(tǒng)建立災(zāi)難備份中心。災(zāi)難備份中心擁有相應(yīng)的備份系統(tǒng)和場地，配備了專職人員，建立并制定了一系列運行管理制度，數(shù)據(jù)備份策略和災(zāi)難恢復(fù)程序，可以承擔(dān)災(zāi)難恢復(fù)任務(wù)的機構(gòu)。 9、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo) 產(chǎn)品選型:國產(chǎn)化原則、標(biāo)準(zhǔn)化原則、安全性原則、適應(yīng)性原則、可管理性原則、可擴展性原則10、等級保護安全改造方案安全性分析本文第4“信息系統(tǒng)等