基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案

1.1等級(jí)保護(hù)政策要 1.2等級(jí)保護(hù)方案的整體思 1.3等級(jí)保護(hù)方案總體目 1.4等級(jí)保護(hù)建設(shè)目 物理安 2.2...................................................結(jié)構(gòu)安 2.2.2控 安全審 邊界完整性檢 防 代碼防 網(wǎng)絡(luò)設(shè)備防 主機(jī)安 2.3.1鑒 2.3.2控 安全審 剩余信息保 防 代碼防范 資源控 應(yīng)用安 數(shù)據(jù)安全及備份恢 數(shù)據(jù)完整 數(shù)據(jù) 備份和恢 安全管 安全管理體系的建設(shè)內(nèi) 安全管理機(jī)構(gòu)建 安全管理制度建 安全標(biāo)準(zhǔn)體系建 安全教育和培 應(yīng)急響應(yīng)計(jì) 設(shè)計(jì)原 參考標(biāo) 基于等級(jí)保護(hù)的代碼防護(hù)體系建設(shè)方 針對(duì)代碼防護(hù)在不同等級(jí)中的技術(shù)要 針對(duì)代碼防護(hù)在不同等級(jí)中的管理要 針對(duì)代碼防護(hù)在不同等級(jí)中的集中控制管理要 等級(jí)保護(hù)所需解決方案對(duì)應(yīng)表 安全等級(jí)解決方案與趨勢科技產(chǎn)品等級(jí)滿足情 等級(jí)保護(hù)細(xì)則要求與趨勢科技解決方案對(duì) 1.1等級(jí)保護(hù)政策要隨著我上、電信運(yùn)營、網(wǎng)上信息公開、企業(yè)信息化進(jìn)程的快隨著安全攻防技術(shù)的不斷進(jìn)步與發(fā)展，保障工作的重要性顯而易見。為了提高保障能力和水平，保障和促進(jìn)信息化建設(shè)，國家正在大力推行等級(jí)保護(hù)制度。等級(jí)保護(hù)已經(jīng)成為一項(xiàng)國家層面的基本制度。為了加強(qiáng)對(duì)息系統(tǒng)的管理，確保，國家明確提出了信2007年，、國家局、國家管理局、信息化工作辦公室聯(lián)合發(fā)布了《等級(jí)保護(hù)管理辦法《辦法》將信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第五級(jí)，1.2等級(jí)保護(hù)方案的整體思方案主要分為4個(gè)階段來進(jìn)行：現(xiàn)狀評(píng)估：分析現(xiàn)狀需求分析：確定以及相應(yīng)的需求安全規(guī)劃：規(guī)劃未來3-51.3等級(jí)保護(hù)方案總體目和《關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)工作》（公信安【2005】1431號(hào)），實(shí)施符合的安全等級(jí)保護(hù)體系建設(shè)，通過對(duì)信息系統(tǒng)的安全等級(jí)劃分，合理調(diào)配相關(guān)資源，重點(diǎn)確保信息資產(chǎn)的安全性，從而使重要信息系統(tǒng)的安全最小化，達(dá)到系統(tǒng)投入的最優(yōu)化。實(shí)現(xiàn)如下總依據(jù)信息系統(tǒng)所包括的信息資產(chǎn)的安全性、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別、信息系統(tǒng)服務(wù)范圍以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性等指標(biāo)，來劃分信息系統(tǒng)的安全等級(jí)。通過需求分析，判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級(jí)保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。達(dá)到關(guān)于信息系統(tǒng)安全保護(hù)等級(jí)保護(hù)相關(guān)要求1.4等級(jí)保護(hù)建設(shè)目、按照、國家局、國家管理局、信息化工作和相關(guān)國家部門關(guān)于信息系統(tǒng)在物理運(yùn)行、主機(jī)安全、應(yīng)用安全、備份及容災(zāi)等技術(shù)方面和管理等方面的總體要求，科學(xué)合理評(píng)估系統(tǒng)風(fēng)險(xiǎn)，協(xié)、保障基礎(chǔ)設(shè)施安全，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路保障應(yīng)用系統(tǒng)安全保障應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的性完整性和信源的真實(shí)的保護(hù)和鑒別防止和抵御各種安全和在一定程度上彌安全管理體系保障，根據(jù)國家有關(guān)等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要等級(jí)保護(hù)基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)5全大類中的“物理控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求根據(jù)以上等級(jí)保護(hù)的基本框架，我們分析XXXX目前在物理安全、網(wǎng)絡(luò)安的設(shè)備和數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然以及人為操作和操作等各種所產(chǎn)生的。物理安全是防護(hù)信息系統(tǒng)安全的最底層，缺乏2.2密性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部的第一道防線，因此必須進(jìn)行各方面的防護(hù)對(duì)的保護(hù)主要關(guān)注兩個(gè)方面共享和安全。實(shí)現(xiàn)最大程度的資源共享，這是我們實(shí)現(xiàn)的理想目標(biāo)。、全等，具體的控制點(diǎn)包括：結(jié)構(gòu)安全控制、安全審計(jì)、邊界完整性檢查、防范、代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。、為了保證互聯(lián)網(wǎng)安全平臺(tái)的信息的性、完整性、可控性、可用性和抗抵賴性，計(jì)算機(jī)信息化網(wǎng)絡(luò)系統(tǒng)需要采用多種技術(shù)，如鑒別、訪性能檢測 、操作系統(tǒng)安全、數(shù)據(jù)庫安全等保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)期需要保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)期需要在終端與服務(wù)器之間進(jìn)行路由控制建立安全的路徑與安全域之間用（如、多功能網(wǎng)關(guān)等）進(jìn)行和控制。應(yīng)按應(yīng)當(dāng)按照用戶類別、信息類別控制。由于信息系統(tǒng)與外部Internet互聯(lián)網(wǎng)相聯(lián)，所以信息系統(tǒng)會(huì)受到通過網(wǎng)絡(luò)的來自外部網(wǎng)絡(luò)的。換頻率低，致使共享資源長期給網(wǎng)絡(luò)鄰居，可能被外部人員輕易偷取或被主機(jī)操作系統(tǒng)和錯(cuò)誤的系統(tǒng)設(shè)置也能導(dǎo)致戶的每次活動(dòng)以及系統(tǒng)出錯(cuò)和配置修改等信息，應(yīng)保證審計(jì)日志的性和完整性。應(yīng)保證審計(jì)不被旁路，防止漏計(jì)審計(jì)數(shù)據(jù)。審計(jì)系統(tǒng)應(yīng)具有器將滿（UNIX）在信息系統(tǒng)的安全審計(jì)中，我們采用操作系統(tǒng)日志審計(jì)、網(wǎng)絡(luò)審計(jì)和雖然網(wǎng)絡(luò)采取了、IDS等有效的技術(shù)對(duì)邊界進(jìn)行了防護(hù)，但如果內(nèi)網(wǎng)用戶在邊界處通過其他接入內(nèi)網(wǎng)（如無線網(wǎng)卡、雙網(wǎng)卡、modem撥號(hào)上網(wǎng)這些邊界防御則。因此，必須在全網(wǎng)中對(duì)網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行確的安全邊界實(shí)施有效的控制策略；進(jìn)入系統(tǒng)安全域的數(shù)據(jù)都應(yīng)當(dāng)通過各自的安全邊界完成。在邊界進(jìn)行控制審計(jì)，域內(nèi)采用主機(jī)審計(jì)模式，審計(jì)防網(wǎng)當(dāng)前通過網(wǎng)絡(luò)和各種介質(zhì)進(jìn)行和的活動(dòng)非常普遍，新型器和客戶機(jī)進(jìn)行定期的防掃描和實(shí)時(shí)狀態(tài)下的，對(duì)保護(hù)網(wǎng)絡(luò)資源和?；姆老到y(tǒng)，不僅可以保證單機(jī)有效地防止，可以使管理員從中央位置對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行防護(hù)，及時(shí)地對(duì)進(jìn)行查殺。防護(hù)包括：防護(hù)策略、防護(hù)對(duì)象、范圍、庫升級(jí)、接入控制對(duì)的防護(hù)，除了對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界部署相應(yīng)的安全措施外，絡(luò)設(shè)備對(duì)各種參數(shù)進(jìn)行配置修改等都直接影響功能的發(fā)揮因此，應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行鑒別進(jìn)行鑒別；應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制登錄次數(shù)和當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被；應(yīng)實(shí)現(xiàn)設(shè)備用戶的權(quán)限分：、主機(jī)系統(tǒng)安全涉及的控制點(diǎn)包括鑒別控制、安全審計(jì)、剩余信息保護(hù)、防范、代碼防范和資源控制等七個(gè)控制點(diǎn)：、2.3.1鑒入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。通常鑒別的方式采用用戶名加口令或采用智能卡或USBKEY與口令相結(jié)合的方式進(jìn)行鑒別，口令長度不得少于十個(gè)2.3.2控在系統(tǒng)中實(shí)施控制是為了保證系統(tǒng)資（操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)）受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來系統(tǒng)資源，不得越權(quán)訪問。主要包括：系統(tǒng)應(yīng)啟用控制功能，依據(jù)安全策略控制用戶對(duì)資源的應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限分離應(yīng)嚴(yán)格限制默認(rèn)帳戶的權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些況以及系統(tǒng)用戶行為的，以便事后追蹤分析。主機(jī)安全審計(jì)主要涉及的方為保證在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非的，操作系統(tǒng)應(yīng)對(duì)這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、等資源所在的由于基于網(wǎng)絡(luò)的檢測只是在被監(jiān)測的網(wǎng)段內(nèi)對(duì)網(wǎng)絡(luò)非的、使用等情況進(jìn)行防范，它無法防范網(wǎng)絡(luò)內(nèi)單臺(tái)主機(jī)、服務(wù)器等被的情況?；谥鳈C(jī)的檢測可以說是基于網(wǎng)絡(luò)“補(bǔ)充補(bǔ)充檢測那些出現(xiàn)“”的數(shù)據(jù)流或其他遺漏的數(shù)據(jù)流中的行為。代碼一般通過兩種方式造成各種破壞，一種是通過網(wǎng)絡(luò)，另外一種就是通過主機(jī)。網(wǎng)絡(luò)邊界處的代碼防范可以說是防范工作的“第一道門檻，然而，如果代碼通過網(wǎng)絡(luò)進(jìn)行蔓延，那么直接就是造成網(wǎng)絡(luò)內(nèi)的主機(jī)所以說網(wǎng)關(guān)處的代碼防范并不“一勞永逸另外通過各種移動(dòng)設(shè)備的接入主機(jī)，也可能造成該主機(jī)，而后通過網(wǎng)絡(luò)其他能的保證安全。因此在信息系統(tǒng)應(yīng)用軟件的安全方面要考慮：鑒別、控制、安全另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要，而硬件備份有效的防治發(fā)生時(shí)可能造成的系統(tǒng)危害。保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)性、備份和恢復(fù):（SHAMD5建議采用全方位的檢測和審計(jì)技術(shù)，來彌補(bǔ)完整性校驗(yàn)和抗抵賴的不足。通過分析檢測和審計(jì)日志，來實(shí)現(xiàn)數(shù)據(jù)的完整性校驗(yàn)和抗抵賴。數(shù)據(jù)數(shù)據(jù)性主要從數(shù)據(jù)的傳輸和兩方面保證各類敏感數(shù)據(jù)不被未的，以免造成數(shù)據(jù)泄漏準(zhǔn)規(guī)范和安全等方面。通過組建完整的信息系統(tǒng)管理機(jī)構(gòu)，設(shè)置安全管理人員，規(guī)劃安按照統(tǒng)一和分級(jí)管理的原則，信息系統(tǒng)的安全管理必須設(shè)立專門的管信息系統(tǒng)安全管理決策機(jī)構(gòu)由相關(guān)牽頭組成非常設(shè)決策機(jī)構(gòu)，每季度和系統(tǒng)恢復(fù)該小組在安全發(fā)生時(shí)按照?qǐng)?bào)告制度向有關(guān)匯報(bào)的同時(shí)，采取一切必要處理安全事故，并與上級(jí)部門和有關(guān)安全專業(yè)機(jī)構(gòu)合作，在建立一個(gè)有效的體系首先需要在好的治理的基礎(chǔ)上，其信息系統(tǒng)安全標(biāo)準(zhǔn)體系建設(shè)是整個(gè)信息系統(tǒng)正常運(yùn)行的重要。信息系統(tǒng)的安全標(biāo)準(zhǔn)將基于息安全相關(guān)標(biāo)準(zhǔn)和政策而制定。根據(jù)用戶的不同層次制定相應(yīng)的計(jì)劃及培訓(xùn)方案。為了將安全隱強(qiáng)對(duì)一般辦公人員的教育，普及基本知識(shí)，通過對(duì)用戶的不斷教育和培訓(xùn)增強(qiáng)全體工作人員的意識(shí)法制觀念和技術(shù)防范水平，通過建立應(yīng)急相應(yīng)機(jī)構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家、廠商發(fā)生緊急時(shí)，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減三、基于等級(jí)保護(hù)的代碼防護(hù)體系設(shè)、在規(guī)劃、建設(shè)、使用代碼防護(hù)體系過程中，本方案將主要遵循統(tǒng)、構(gòu)建基于等級(jí)保護(hù)的代碼防護(hù)體系，必須堅(jiān)持遵循相關(guān)的標(biāo)準(zhǔn)。本方臨的及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個(gè)環(huán)節(jié)，必須提高整個(gè)系統(tǒng)的應(yīng)易于管理，而且支持通過現(xiàn)有網(wǎng)絡(luò)對(duì)網(wǎng)上的進(jìn)行安全的統(tǒng)一管理、控制，能夠在網(wǎng)上設(shè)備的運(yùn)行狀況，進(jìn)行實(shí)時(shí)的安全審計(jì)ISO17799/BS7799：《管理慣例1999GB17859-1999（）計(jì)算機(jī)信息系統(tǒng)安全《等級(jí)保護(hù)管理辦法《信息系統(tǒng)安全等級(jí)保護(hù)準(zhǔn)則GB/T22240-2008GB/T22239-2008GB/T20270-2006GB/T20271-2006GB/T20272-2006GB/T20273-2006ISO/IECTR13335ISO/IEC27001IATF基于等級(jí)保護(hù)的代碼防護(hù)體系建設(shè)方信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則中要求應(yīng)對(duì)包括計(jì)算機(jī)在內(nèi)的代碼進(jìn)嚴(yán)格管理：嚴(yán)格控制各種外來介質(zhì)的使用，防止代碼通過介質(zhì) 網(wǎng)關(guān)防護(hù)：要求在所有代碼可能的網(wǎng)絡(luò)連接部位設(shè)置防護(hù)網(wǎng)關(guān)，并清除企圖進(jìn)入系統(tǒng)的代碼；整體防護(hù)：設(shè)置代碼防護(hù)，通過對(duì)全系統(tǒng)的服務(wù)器、工作和客戶機(jī)進(jìn)行代碼防護(hù)的統(tǒng)一管理及時(shí)發(fā)現(xiàn)和清除進(jìn)入系統(tǒng)內(nèi)部的 防管結(jié)合：將代碼防護(hù)與網(wǎng)絡(luò)管理相結(jié)合，在所涉及的重要部位設(shè)置代碼防護(hù)軟件，在所有代碼能夠進(jìn)入的地方都采取相應(yīng)的防范措施，防止代碼侵襲；將代碼檢測多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來提供全面的惡意代碼防護(hù)功能檢測發(fā)現(xiàn)和消除代碼代碼的擴(kuò)散和。針對(duì)代碼防護(hù)在不同等級(jí)中的技術(shù)要嚴(yán)格管理和嚴(yán)格管理、網(wǎng)關(guān)防護(hù)和安全探測機(jī)制和安全中設(shè)計(jì)信息系統(tǒng)的安全監(jiān)安全探測機(jī)制和安全中嚴(yán)格管理、網(wǎng)關(guān)防護(hù)、整體防設(shè)計(jì)信息系統(tǒng)的安全監(jiān)用戶自主保系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保結(jié)構(gòu)化保護(hù)級(jí)訪問驗(yàn)證保d）e）*********************信息系統(tǒng)安全b）安全中*********針對(duì)代碼防護(hù)在不同等級(jí)中的管理要對(duì)代碼防護(hù)管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)a）代碼防護(hù)管理基本要求：通過正式程序?qū)Υa防護(hù)委派專人負(fù)責(zé)檢查網(wǎng)絡(luò)和主機(jī)的檢測并保存記錄；使用外部移動(dòng)設(shè)備之前應(yīng)進(jìn)行代碼檢查；要求從不信任網(wǎng)絡(luò)上所接收的文件或郵件，在使用前應(yīng)首先檢查是否有；及時(shí)升級(jí)防軟件；定期進(jìn)行總結(jié)匯報(bào)安全狀況。b）基于制度化的代碼防護(hù)管理：在a）的基礎(chǔ)上，制定并執(zhí)行代碼防護(hù)系統(tǒng)使用管理、應(yīng)用軟件使用安全管理等有關(guān)制度；應(yīng)檢查網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)庫的升級(jí)情況并進(jìn)行記錄；對(duì)非的內(nèi)部計(jì)算機(jī)設(shè)備及其它移動(dòng)基于集中實(shí)施的代碼防護(hù)管理：在b）的基礎(chǔ)上，實(shí)行整體網(wǎng)絡(luò)統(tǒng)各種高風(fēng)險(xiǎn)進(jìn)行及時(shí)分析處理，提供相應(yīng)的報(bào)表和總結(jié)匯報(bào)；采取對(duì)系統(tǒng)所有終端有效防范或代碼引入的措施?；诒O(jiān)督檢查的代碼防護(hù)管理：在c）的基礎(chǔ)上，針對(duì)代碼防護(hù)管理制度執(zhí)行情況以及代碼防護(hù)的安全情況進(jìn)行定期或不定期檢查。針對(duì)代碼防護(hù)在不同等級(jí)中的集中控制管理要集中控管：能夠?qū)W(wǎng)絡(luò)、主機(jī)和，以及重要應(yīng)用的安全實(shí)施統(tǒng)提高防護(hù)的等級(jí)和水平；能夠進(jìn)行用戶管理和用戶審計(jì)；安全機(jī)制整合主要包括安全管理、風(fēng)險(xiǎn)管理以及安全策略管理。進(jìn)行分層級(jí)聯(lián)方式的集中安全管理。交換機(jī)、路由器、、交換機(jī)、路由器、、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)測試儀主機(jī)掃描工具，配置掃描類工IPS/IDS主機(jī)資源和性 平統(tǒng)一認(rèn)證、雙因子強(qiáng)認(rèn)證終端FW/ID