網絡安全等級保護安全解決方案
作者:啟明星辰
2020-09-04
安全方案建設思想
網絡安全等級保護安全解決方案安全保護體系從安全技術���、安全管理和安全運營三個維度進行設計����?�;凇毒W絡安全等級保護安全設計技術要求》(GB/T 25070-2019)安全防護理念����,構建“縱深防御+主動防御+持續監測”安全防護體系����。
1) 縱深防御體系
“一個中心�,三重防護”的縱深防御體系����,即安全技術從安全計算環境�、安全區域邊界���、安全通信網絡和安全管理中心等方面進行構建����。
2) 主動防御體系
從整個等級保護對象全局的角度出發�����,對不同保護等級���、不同安全區域的信息系統實施統一的安全管理��,即建立全網集中的統一安全管理平臺�����。結合IAWPDR2模型構建自主評估�、風險驅動�、實時預警����、動態防護�����、安全檢測����、及時響應于一體的主動防御閉環防護體系�。同時對整個等級保護對象安全狀況持續監測��,及時感知安全態勢���。
總體安全方案框架
本方案網絡安全等級保護防護框架由技術體系�、安全管理體系和安全運營體系三部分組成��。安全技術體系建立以計算環境安全為基礎����,以區域邊界安全���、通信網絡安全為保障��,以安全管理中心為核心的信息安全整體保障體系�����;安全管理體系包括安全管理制度�����、安全管理機構��、安全管理人員�����、安全建設管理和安全運維管理五部分��;在安全管理中心基礎上����,建立安全運營中心(安全運營體系)�����,協調信息系統各個環節所采用的安全防護措施和安全管理要素��,形成相互關聯�����、高度融合的安全防護平臺���,實現對安全事件的態勢感知����、實時監測����、及時響應和綜合防護����,對網絡系統安全防護體系的動態更新��,降低安全風險�����,提升的信息安全監管能力����。
安全解決方案設計
安全技術方案
1) 安全通信網絡
安全通信網絡設計思路及主要考慮的內容:
? 清晰定義安全區域���,劃分出明確邊界的網絡區域�;
? 主要網絡設備和鏈路冗余部署���;
? 通信傳輸加密��。
| 安全控制點 | 安全產品 | 技術措施 |
| 網絡架構 | 上網行為管理平臺 | 1�、干路設備����、邊界設備����、匯聚層以上的設備�、安全設備等設備性能冗余空間充足(路由器�����、交換機和防火墻提供網絡通信功能的設備)��;
2��、帶寬在設計要求上滿足需求上要有一定比例的冗余�����;
3�、劃分VLAN���,合理分配IP�����;
4�、關鍵網絡設備及安全設備要求冗余配置�。 |
|
|
| 負載均衡 |
| 通信傳輸 | 新一代VPN綜合網關(SAG) | 客戶端到服務器��、服務器到服務器之間要使用VPN等通信�����。 |
| 商用密碼機(國密)(SJJ) |
2) 安全區域邊界
安全通信網絡設計思路及主要考慮的內容:
? 明確區域間的安全邊界�����;
? 強化邊界安全防策略�;
? 明確邊界安全防護設備���;
? 邊界防護設備策略恰當配置�����。
| 安全控制點 | 對標產品 | 技術措施 |
| 邊界防護 | 防火墻��、安全網關 | 物理設備端口級訪問控制�。 |
| 1)網絡接入控制系統(NAC) | 1�����、控制非法聯入內網(可使用安全設備滿足或技術措施如MAC綁定)���;
2�、控制非法聯入外網����;
3��、無線網絡通過受控的邊界設備接入內部網絡�。 |
| 2)內網安全風險管理與審計系統 |
| 3)網絡非法接入檢查系統 |
| 4)無線安全產品 |
| 訪問控制 | 1)防火墻(FW) | 1�����、邊界訪問控制策略(網閘�、防火墻�����、路由器和交換機等提供訪問控制功能的設備)�����;
2��、對進出網絡的數據流實現基于應用協議和應用內容的訪問控制��。 |
| 2)軟件定義防火墻 |
| 3)NGFW |
| 4)USG一體化安全網關 |
| 入侵防范 | 1)異常流量管理與抗拒絕服務系統(ADM) | 關鍵網絡節點雙向(外部發起攻擊和內部發起攻擊行為)網絡攻擊行為檢測�����、防止或限制�。 |
| 2)入侵防御系統(NGIPS) |
| 3)入侵檢測與管理系統(IDS) |
| 4)USG一體化安全網關 |
| 高級持續性威脅檢測系統(APT) | 實現對網絡攻擊特別是新型網絡攻擊行為的分析�。 |
| 1)USG一體化安全網關 | 檢測到攻擊行為時記錄攻擊信息��,通過詳細的攻擊信息對攻擊行為進行深度分析�,及時作出響應���。 |
| 2)入侵分析中心(DAC) |
| 惡意代碼和垃圾郵件防范 | 1)入侵檢測與管理系統(IDS) | 防御網絡惡意代碼����。 |
| 2)高級持續性威脅檢測系統(APT) |
| 3)USG一體化安全網關 |
| 郵件安全管理系統 | 垃圾郵件進行檢測和防護�����。 |
| 安全審計 | 網絡綜合審計系統(CA&GE) | 1����、綜合安全審計系統啟用日志功能�;
2��、對審計記錄進行保護�����,定期備份��,避免受到未預期的刪除����、修改或覆蓋�;
3����、對遠程訪問的用戶行為�����、訪問互聯網的用戶行為等單獨進行行為審計和數據分析��。 |
| 新一代日志審計系統(SA) |
3) 安全計算環境
計算環境建設主要針對網絡安全設備(管理系統)��、服務器(操作系統����、數據庫��、中間件)���、業務應用系統����、系統管理軟件的安全參數配置和安全防護措施�。安全參數配置基于安全基線(操作系統安全加固手冊����、數據庫安全加固手冊��、網絡設備安全加固手冊)完成��,除設備層面的自身安全加固外��,安全產品也能夠提供一定的安全防護措施�����。
計算環境相關的安全產品涉及認證授權類����、日志審計類和檢測防護類���。
| 安全控制點 | 對標產品 | 技術措施 |
| 身份鑒別 | 1)安全加固(配置) | 1����、主機配置項:設備設置登錄認證功能���;用戶名不易被猜測����,口令復雜度達到強密碼要求(對象:終端和服務器等設備中的操作系統���、數據庫系統和中間件等系統軟件及網絡設備和安全設備)��;
2�、主機啟用設備自身策略:密碼策略���、用戶管理����、登錄失敗處理功能�����,啟用結束會話����、限制非法登錄次數和當登錄連接超時自動退出等相關措施����;
3�����、遠程管理時���,使用SSH��、HTTPS加密���;
4����、雙因素認證(用戶名口令����、動態口令���、USBkey���、生物特征等鑒別方式)����。 |
| 2)安全配置核查管理系統 |
| 3)弱口令核查系統 |
| 4)運維安全網關(OSM) |
| 5)應用安全管控系統 |
| 6)統一安全管控平臺(4A) |
| 訪問控制 | 1)安全加固(配置) | 1��、主機配置項:登錄的用戶賬戶和權限合理分配���;
2�、重命名或刪除默認賬戶����,修改默認賬戶的默認口令����;
3�、及時刪除或停用多余的�、過期的賬戶�,避免共享賬戶的存在��;
4����、最小權限�����,管理用戶的權限分離(三權分立)��;
5��、合理分配訪問控制策略:訪問控制的粒度應達到主體為用戶級或進程級��,客體為文件�、數據庫表級���;設置安全標記��。 |
| 2)運維安全網關(OSM) |
| 3)應用安全管控系統(ASCG) |
| 4)數據庫防火墻(OG) |
| 安全審計 | 1)安全加固(配置) | 啟用安全審計策略�����。 |
| 2)統一安全管控平臺(4A) | 第三方管理軟件開啟日志審計策略��。 |
| 3)運維安全網關(OSM) |
| 4)數據庫審計系統(DA) | 通過安全審計類產品����,統一對數據庫�����、應用系統�����、設備的日志進行收集�、分析���,日志至少保存6個月�。 |
| 5)業務審計系統(BA) |
| 6)新一代日志審計系統(SA) |
| 入侵防范 | 1)安全加固(配置) | 1���、操作系統遵循最小安裝原則��,僅安裝需要的組件和應用程序
2�����、關閉不需要的系統服務���、默認共享和高危端口
3����、配置終端接入方式��、網絡地址范圍
4��、系統配置項(如登錄對輸入框輸入的內容進行長度�����、位數及復雜度驗證等)
5��、及時發現并修復已知漏洞
6���、能夠檢測到對重要節點進行入侵的行為�����,并在發生嚴重入侵事件時提供報警�����。 |
| 2)天清 WAG網頁防篡改系統/天清漢馬USG一體化安全網關 |
| 3)脆弱性掃描與管理系統 |
| 4)漏洞管理平臺(VM) |
| 1)數據庫防火墻(OG) |
| 2)Web應用安全網關 |
| 天珣端點檢測與響應系統(EDR) |
| 惡意代碼防范 | 1)網絡防病毒系統 | 安全殺毒軟件并及時更新庫�。 |
| 2)端點檢測與響應系統(EDR) |
| 數據保密性���、完整性 | 1)安全加固(配置) | 業務系統使用HTTPS���,SSL����。 |
| 2)網頁防篡改系統(WAG-WS) |
3)電子簽章系統(電子簽章)
4)電子文檔安全系統 |
| 數據備份恢復 | 1)全量備份��、增量備份��、實時備份 | 數據備份(本地����、異地)
雙活熱備(三級要求) |
| 2)異地備份 |
| 3)實時數據庫同步系統(RDS) |
| 剩余信息保護 | 1)安全加固(配置) | 應用配置項����、數據脫敏
殘留數據清除 |
| 2)數據庫脫敏系統 |
| 個人信息保護 | 1)安全加固(配置) | 應用配置項
個人信息保護 |
|
4) 安全管理中心
安全管理中心設計思路及主要考慮的內容:
? 建立安全管理中心
部署集中管控平臺����,對系統的軟硬件資產�、數據資產�、審計日志�、告警信息����、統計報表��、統一身份認證和授權等進行集中管理���。
? 身份統一管理
網絡安全設備及計算設備的身份認證功能實現統一的���、支持令牌或證書的強身份認證�����。
? 網絡(安全)設備級策略統一管理
對網絡設備運行狀況����、性能監控��,安全策略��、安全事件�、補丁升級等安全相關事項進行集中管理����。
? 日志集中管理
實現對網絡安全設備及計算設備的集中審計��,對安全事件進行分析�����、識別�����、記錄和存儲�,監控內外部活動��。
| 安全控制點 | 對標產品 | 技術措施 |
| 身份鑒別 | 統一安全管控平臺(4A) | 1�、管理員統一身份認證���、授權�����;
2��、安全審計 |
| 運維安全網關(OSM) |
| 新一代日志審計系統(SA) |
| 集中管控 | 1)集中監控管理系統(CM) | 1�����、劃分運維管理域�,安全設備或安全組件集中管理�����;
2�����、建立一條安全的信息傳輸路徑�����;
3����、對網絡鏈路��、安全設備���、網絡設備和服務器等的運行狀況進行集中監測��;
4��、對分散在各個設備上的審計數據進行收集匯總和集中分析���,并保證審計記錄的留存時間6個月以上����;
5�、對安全策略����、惡意代碼���、補丁升級等安全相關事項進行集中管理����;
6�、能對網絡中發生的各類安全事件進行識別���、報警和分析��。 |
| 2)態勢感知系統(CSA) |
| 3)新一代日志審計系統(SA) |
| 4)安全管理平臺(USM) |
| 5)漏洞管理平臺(VM) |
安全管理方案
安全技術措施的有效實施需要安全管理制度的助力���,同樣�,安全管理制度 的落實也常常需要技術措施的支撐���,兩者是相輔相成���,相互關聯����。網絡安全等級保護對于單位安全制度體系的建設要求參照了 ISO 27001 的相關標準�����,即安全管理制度體系自上而下分為信息安全方針��、安全策略����、安全管理制度�、安全技術規范�����、操作流程及記錄表單�����,單位需要建設符合單位實際情況的管理制度體系���,應覆蓋物理����、網絡���、主機系統�����、數據��、應用��、建設和運維等管理內容�,并對管理人員或操作人員執行的 日常管理操作建立操作規程�。
| 文件級別 | 分類 | 文件內容 |
| 一級文件 | 安全策略 | 安全策略總綱 |
| 二級文件 | 管理制度 | 管理制度制定��、發布�、維護方面的管理制度 |
| 安全管理機構 | 安全組織及崗位職責管理制度 |
| 授權審批類制度 |
| 安全審核和檢查制度 |
| …… |
| 安全管理人員 | 人員錄用�、離崗���、考核等方面的管理制度 |
| 人員安全教育和培訓方面的管理制度 |
| 外部人員管理制度 |
| …… |
| 安全建設管理 | 工程實施過程管理方面的管理制度 |
| 產品選型�����、采購方面的管理制度 |
| 測試�����、驗收�����、交付方面的管理制度 |
| 軟件開發管理制度 |
| 代碼編寫安全規范 |
| 外包軟件開發管理制度 |
| …… |
| 安全運維管理 | 辦公環境管理制度 |
| 機房安全管理制度 |
| 資產安全管理制度 |
| 介質安全管理制度 |
| 設備安全管理制度 |
| 網絡系統安全管理制度 |
| 惡意代碼防范管理制度 |
| 密碼管理制度 |
| 配置管理制度 |
| 變更管理制度 |
| 備份與恢復管理制度 |
| 安全事件管理制度 |
| 應急預案管理制度(包括各類專項應急預案) |
| …… |
| 三級文件 | 配置規范 | 網絡/安全設備�、操作系統���、數據庫等的配置基線 |
| 操作手冊 | 應用軟件設計程序文件 |
| 軟件使用指南 |
| 源代碼說明文檔 |
| 操作運維手冊(流程表單�、實施方法) |
| …… |
| 四級文件 | 記錄��、表單類 | 制度制�、修訂記錄 |
| 各類審批記錄 |
| 培訓記錄 |
| 會議記錄 |
| 安全檢查表�、安全檢查報告等 |
| 安全管理崗位人員信息表 |
| 信息安全外聯單位溝通合作聯系表 |
| 保密協議 |
| 關鍵崗位安全協議 |
| 人員錄用��、離職記錄 |
| 程序資源庫的修改�、更新�����、發布進行授權審批記錄 |
| 工程實施方案 |
| 測試驗收方案�����、記錄等 |
| 安全測試報告 |
| 交付清單 |
| 服務供應商合同�、協議等 |
| 對服務供應商的安全考核記錄 |
| 外部人員訪問登記審批表 |
| 外部人員訪問登記記錄表 |
| 外部人員保密協議 |
| 采購申請審批單 |
| 資產清單 |
| 等級保護對象資產報廢申請表 |
| 設備出門條 |
| 設備維護記錄表 |
| 信息安全事件報告表 |
| 系統異常事件處理記錄 |
| 應急處置審批表 |
| 漏洞掃描��、風險評估報告 |
| 惡意代碼檢測記錄����、病毒處置記錄 |
| 數據備份����、恢復測試等記錄 |
| 日常運維表單���、記錄 |
| 系統變更方案�、審批記錄 |
| 應急演練�、培訓記錄 |
| …… |
快速鏈接
京公網安備11010802024551號