等级保护关键技术专项方案.doc

1、信息系统等级保护建设指导要求（三级）目录1.范围- 1 -2.项目背景- 2 -2.1.序言- 2 -2.2.开展信息安全等级保护法规、政策和技术依据- 3 -2.2.1信息安全等级保护相关法规、政策、文件- 6 -2.2.2信息安全等级保护技术标准体系及其关系- 9 -3.方案设计要求- 17 -3.1.方案设计思想- 17 -3.1.1构建符合信息系统等级保护要求安全体系结构- 17 -3.1.2建立科学实用全程访问控制机制- 17 -3.1.3加强源头控制，实现基础关键层纵深防御- 18 -3.1.4面向应用，构建安全应用支撑平台- 19 -3.2.建设标准- 19 -3.3.建设内容-

2、 20 -3.3.1信息系统定级整改计划- 20 -3.3.2信息系统安全等级保护整体架构设计（三级）- 21 -3.4.计算环境安全设计- 27 -5.1.1用户身份判别- 27 -5.1.2强制访问控制- 28 -5.1.3系统安全审计- 29 -5.1.4用户数据完整性保护- 29 -5.1.5用户数据机密性保护- 30 -5.1.6客体安全重用- 30 -5.1.7程序可实施保护- 30 -3.5.区域边界安全设计- 30 -5.2.1区域边界访问控制- 31 -5.2.2区域边界包过滤- 34 -5.2.3区域边界安全审计- 34 -5.2.4区域边界完整性保护- 35 -3.6.安

3、全通信网络设计- 35 -3.7.安全管理中心设计- 35 -4.物理安全要求- 36 -4.1.信息系统中心机房安全现实状况- 36 -4.2.信息系统物理安全方面提出要求- 37 -4.3.信息系统物理安全建设- 37 -5.3.1环境安全- 38 -5.3.2设备安全- 41 -5.3.3介质安全- 42 -5.管理安全要求- 47 -5.1.信息系统安全管理要求- 48 -5.2.信息系统安全管理建设设计516.2.1安全管理建设标准516.2.2安全管理建设指导思想516.2.3安全管理建设具体方法515.3.信息系统安全建设总结596.设备要求596.1.设备选型标准606.2.产

4、品分类选型指标616.2.1.主机安全管理平台指标616.2.2.应用安全防护系统指标626.2.3.终端安全防护系统（服务器版）指标646.2.4.终端安全防护系统（PC版）指标656.2.5.身份认证网关指标686.2.6.数据库审计系统指标686.2.7.防火墙选型指标706.2.8.防病毒网关指标716.2.9.入侵检测系统指标726.2.10.漏洞扫描系统指标736.2.11.抗拒绝服务系统指标746.2.12.流量控制网关指标756.2.13.网络审计系统指标766.2.14.VPN设备选型指标776.3.信息系统安全等级保护建设安全产品配置清单（三级）79附件一：术语和定义81附

5、件二：方案设计参考法规、政策、标准（含国家标准、行标、已送批）列表911. 方案设计要求2.2.1.2.2.2.3.2.4.2.5.2.6.2.7.2.8.2.9. 方案设计思想2.9.1. 构建符合信息系统等级保护要求安全体系结构平台安全建设需要在整体信息安全体系指导下进行实施，确保信息安全建设真正发挥效力。伴随计算机科学技术不停发展，计算机产品不停增加，信息系统也变得越来越复杂。从体系架构角度看，任何一个信息系统全部由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户工作环境，由完成信息存放和处理计算机系统硬件和系统软件和外部设备及其连接部件组成，计算环境安全是信息系统安全关键

6、，是授权和访问控制源头；区域边界是计算环境边界，对进入和流出计算环境信息实施控制和保护；通信网络是计算环境之间实现信息传输功效部分。在这三个层次中，假如每一个使用者全部是经过认证和授权，其操作全部是符合要求，那么就不会产生攻击性事故，就能确保整个信息系统安全。2.9.2. 建立科学实用全程访问控制机制访问控制机制是信息系统中敏感信息保护关键，依据计算机信息系统安全保护等级划分准则（GB17859-1999）（以下简称GB17859-1999）：三级信息系统安全保护环境设计策略，应“提供相关安全策略模型、数据标识和主体对客体强制访问控制”相关要求。 基于“一个中心支撑下三重保障体系结构”安全保护

7、环境，结构非形式化安全策略模型，对主、客体进行安全标识，并以此为基础，根据访问控制规则实现对全部主体及其所控制客体强制访问控制。由安全管理中心统一制订和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一全程访问控制，阻止对非授权用户访问行为和授权用户非授权访问行为。2.9.3. 加强源头控制，实现基础关键层纵深防御终端是一切不安全问题根源，终端安全是信息系统安全源头，假如在终端实施主动防御、综合防范，努力消除不安全问题根源，那么关键信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击信息系统安全，防范内部用户攻击问题迎刃而解。安全操作系统是终端安

8、全关键和基础。假如没有安全操作系统支撑，终端安全就毫无保障。实现基础关键层纵深防御需要高安全等级操作系统支撑，以此为基础实施深层次人、技术和操作控制。2.9.4. 面向应用，构建安全应用支撑平台在目前信息系统中，不仅包含单机模式应用，还包含C/S和B/S模式应用。即使很多应用系统本身含有一定安全机制，如身份认证、权限控制等，不过这些安全机制轻易被篡改和旁路，致使敏感信息安全难以得到有效保护。另外，因为应用系统复杂性，修改现有应用也是不现实。所以，在不修改现有应用前提下，以保护应用安全为目标，需要构筑安全应用支撑平台。本方案拟采取安全封装方法实现对应用服务访问控制。应用服务安全封装关键由可信计算

9、环境、资源隔离和输入输出安全检验来实现。经过可信计算基础保障机制建立可信应用环境，经过资源隔离限制特定进程对特定文件访问权限，从而将应用服务隔离在一个受保护环境中，不受外界干扰，确保应用服务相关客体资源不会被非授权用户访问。输入输出安全检验截获并分析用户和应用服务之间交互请求，防范非法输入和输出。2.10. 建设标准信息系统安全建设项目依靠现有网络环境，基于严格管理架构及信息系统运行模式。要实现信息安全整体体系及安全联动机制统一计划，需要严格遵照一定建设标准和标准。关键包含：l 需求、风险、代价平衡分析标准l 综合性、整体性标准l 易操作性标准l 多重保护标准l 可评价性标准考虑到信息系统安全

10、建设依靠单位网络信息中心实现系统管理和运维，其直接实现信息安全管理和技术建设。需要在网络信息中心统一计划指导下开展信息安全建设。提议根据“统一计划、分步实施”标准，针对单位内管理及使用各信息系统按安全等级划分后进行信息安全等级保护统一计划设计和分步建设实施。参考信息系统（三级）技术设计思绪和建设内容，遵照等级保护相关标准和要求，根据等保对应等级系统安全要求，进行信息安全等级保护计划设计。2.11. 参考标准中国计算机信息系统安全保护条例 （国务院14号令）国家信息化领导小组相关加强信息安全保障工作意见（中办发27号）相关信息安全等级保护工作实施意见（公通字66号）信息安全等级保护管理措施（公通

11、字43号）计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全 等级保护定级指南信息系统等级保护安全设计技术要求（GB/T25070-）信息系统安全 等级保护基础要求（GB/T22239-）信息系统安全 等级保护实施指南信息系统安全 等级保护测评要求信息安全技术 操作系统安全评定准则（GB/T9-）信息安全技术 信息系统安全管理要求（GB/T20269-）信息安全技术 网络基础安全技术要求（GB/T20270-）信息安全技术 信息系统通用安全技术要求（GB/T20271-）信息安全技术 操作系统安全技术要求（GB/T20272-）信息安全技术 数据库管理系统安全技术要求（

12、GB/T20273-）2.12. 建设内容平台安全基础包含到以下方面：作为海量数据处理平台，平台安全控制要做到以下：l 安全可靠：能够有效屏蔽恶意访问l 可伸缩：能够伴随规模扩大，无需更改架构就能够支持l 易于管理：支持大规模分布式管理，单入口就能够管理全部设备和系统及应用安全方便用户：不能因为安全要求高，而降低了用户交互友好度2.13. 安全拓扑示意图布署说明：1、 网络边界布署抗DDos系统，防护外部僵尸主机对网络及业务系统攻击，保障网络高可用性；2、 布署边界防火墙设备，并开启VPN模块，防护来自外部安全威胁及访问控制，并对网络间传输数据进行加密；3、 布署入侵防护系统，避免业务系统遭受

13、来自外部入侵攻击；4、 在虚拟化平台布署安装虚拟防火墙，对东西向流量进行防护，及各VM间进行隔离。 2.14. 具体设计方案2.14.1. 计算环境安全设计计算环境安全是整个安全建设关键和基础。计算环境安全经过终端、应用服务器和数据库安全机制服务，保障应用业务处理全过程安全。系统终端和服务器经过在操作系统关键层和系统层设置以强制访问控制为主体系统安全机制，形成严密安全保护环境，经过对用户行为控制，能够有效预防非授权用户访问和授权用户越权访问，确保信息和信息系统保密性和完整性，从而为业务系统正常运行和免遭恶意破坏提供支撑和保障。2.14.1.1. 系统安全加固1）操作系统加固：进行操作系统裁剪，

14、只安装满足业务需求“最小操作系统”2）加强安全基线配置 3）数据库加固：操作系统和数据库程序数据文件安装在不一样分区上；在非系统卷上安装数据库程序和文件；只安装业务需要组件，不安装如升级工具、开发工具、代码示例、联机丛书等无须要组件；限制用户端计算机连接到数据库服务器所能够使用协议范围，并确保这些协议安全性，如限制只使用TCP/IP协议；限制用户端计算机连接到数据库服务器所使用特定端口，不使用默认端口。2.14.1.2. 系统安全审计计算环境各区域中安全控制点，包含防火墙、IPS、防病毒网关等设备功效审计模块统计系统相关安全事件。审计统计包含安全事件主体、客体、时间、类型和结果等内容。审计管理

15、平台提供审计统计查询、分类、分析和存放保护，对特定安全事件进行报警，同时终端安全加固系统能够确保审计统计不会被非授权用户访问。2.14.1.3. 用户数据完整性保护在VPN设备安全功效支撑下，对经过网络传输数据进行校验、确保关键数据在网络传输过程中完整性。2.14.2. 区域边界安全设计安全区域边界是对定级系统安全计算环境边界，和安全计算环境和安全通信网络之间实现连接功效进行安全保护部件。2.14.2.1. 区域边界访问控制防火墙在安全区域边界实施对应访问控制策略，对进出安全区域边界数据信息进行控制，阻止非授权访问。要求：1）网络构架设计上应依据web服务器、应用服务器及数据库服务器关键性和所

16、包含信息关键程度等原因，利用防火墙划分在不一样网段，避免将应用服务器及数据库服务器等信息系统关键服务器布署在网络边界处，不可将这类服务器直接连接外部信息系统。关键服务器和其它网段之间经过采取可靠技术隔离手段；信息系统服务器只开放web服务相关端口，关闭其它服务及端口。 依据信息系统服务具体内容，能够开放以下端口：端口服务25邮件发送服务110POP邮件服务80信息系统服务443安全信息系统服务2）流量控制设备对网络流量进行实时监控和合理限制，确保网络带宽和业务服务连续可用。3）抗拒绝服务系统有效防范拒绝服务等网络攻击，确保系统完整性和可用性。外部接入区防病毒网关设备阻止恶意代码进入信息系统中，

17、形成对局域网内部设备和资源有效保护。防病毒应采取防病毒网关和防病毒软件联动方法，从而实现从边界到内部全方面有效抵御病毒攻击要求：1)防病毒网关关键用于对病毒查杀，可是，因为这些软件是经过病毒特征库来实现对病毒防御和查杀，所以对于新出现病毒，防病毒网关总会存在一定迟滞时间，给信息系统带来安全隐患。所以，需要经过对信息系统服务器操作系统进行安全加固，对业务应用系统进行完整性保护，使操作系统和业务应用对于病毒和恶意代码实现自免疫，即使是新出现病毒，也能够确保不会被入侵或破坏。2)信息系统系统中相关各个服务器及工作站必需安装计算机防病毒软件，终端安全防护系统（服务器版、PC版），在网络边界安装硬件统一

18、威胁管理（UTM）等设备，形成服务器、终端操作系统加固软件、主机防毒软件及网络防毒硬件组成病毒防御体系。病毒防御体系应含有以下功效：n 实施程序完整性保护n 恶意代码主动防御n 病毒事件报警，病毒事件日志查询和统计n 全网查杀病毒，实时监控用户端防毒情况n 集中控制及管理防毒策略n 防病毒系统自我保护n 系统主动防御，恶意行为检测，隐藏进程检测n 病毒库在线升级及离线升级n 用户端漏洞检测和补丁分发n 控制未知病毒、蠕虫、间谍软件实施3)信息系统管理人员应立即升级防毒墙和防病毒软件病毒库，提升其抵御病毒能力。应定时利用防病毒软件扫描各个服务器及工作站操作系统安全现实状况。定时查看主机恶意代码免

19、疫软件中审计日志，立即发觉服务器及工作站操作系统中存在未知病毒、木马等恶意可实施代码。入侵检测系统在外部接入区检测外部对内部系统入侵行为。将网络入侵检测产品放置在比较关键网段内，监视网段中多种数据包。对每一个数据包或可疑数据包进行特征分析。假如数据包和产品内置一些规则吻合，入侵检测系统应发出警报甚至直接切断网络连接。网络入侵检测系统应能够检测来自网络攻击，能够检测到超出授权非法访问。无需改变服务器等主机配置，不在业务系统主机中安装额外软件，不影响这些机器CPU、I/O和磁盘等资源使用，不影响业务系统性能2.14.2.2. 区域边界包过滤区域边界布署防火墙产品经过检验数据包源地址、目标地址、传输

20、层协议、请求服务等，确定是否许可该数据包进出该区域边界。在服务器前端开启防火墙应用安全审计功效模块。能有效审计多种恶意网络攻击手段。2.14.2.3. 区域边界安全审计区域边界布署防火墙、开启防病毒功效模块、布署IPS入侵防御对确定风险行为立即防御及报警。2.14.2.4. 网络入侵防御能力入侵防御是对防火墙极其有益补充，入侵防御系统能在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警和防护系统驱逐入侵攻击。在入侵攻击过程中，能降低入侵攻击所造成损失。在被入侵攻击后，搜集入侵攻击相关信息，作为防范系统知识，添加入知识库内，增强系统防范能力，避免系统再次受到入侵。入侵防御被认为是防火墙以后第

21、二道安全闸门，在不影响网络性能情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作实时保护,大大提升了网络安全性。2.14.2.5. 防病毒能力边界防火墙开启防病毒功效，在出口处实时检验网络数据流，预防恶意和无须要应用及web内容进出网络，实现办公区域网络最大化保护、控制和使用。经过利用ASIC加速数据检验引擎，可在不影响网络流量速度前提下快速正确地检验并分类HTTP/HTTPS、FTP、SMTP和POP3数据。另外，基于用户和用户群URL过滤引擎和应用控制可帮助管理员实现网络应用策略。间谍软件、病毒、rootkit攻击、广告软件和木马等恶意内容在网关处即可被识别并拦截下来。并确保防病

22、毒软件并已升级到最新版本病毒库软件，大大降低病毒、木马等攻击行为。2.14.2.6. 应用安全防护能力服务器和存放系统承载关键系统和关键数据，该网络是安全防范关键，数据中心网络出口布署高性能入侵防御系统，能够有效阻止针对数据中心网络攻击行为，复用互联网出口DDoS拒绝服务攻击防护系统，对服务器应用层攻击进行清洗，确保系统正常运行；2.14.3. 安全通信网络设计安全通讯网络是对定级系统安全计算环境之间进行信息传输实施安全保护部件。采取VPN技术实现远程通信数据传输完整性和保密性。2.14.4. 虚拟化主机安全防护虚拟化主机安全，面向虚拟化主机层面安全防护、检测和审计。经过NFV化安全能力，提供

23、主机层面安全能力。提供安全能力包含： 入侵防御（虚拟补丁）； 防病毒（AV）； 虚拟机防火墙（vFW）。有效隔离，有效防护虚拟机安全，是虚拟化安全关键，在云平台安装软件虚拟防火墙vFW，处理VM之间互访安全，对网络不可见东西向流量进行隔离和防护，从网络层和VM多层面处理虚拟化网络安全问题。经过云安全服务平台，能够对布署于宿主机内安全组件进行管理和监控。使安全管理员能够方便创建和管理安全策略，并提供基于主机层面安全事件、网络行为可视化分析，和安全报表等功效。2.14.5. 系统运行保障该系统确保整体分布舆情系统稳定运行和立即处理，在网络中布署网络监控管理平台，对全网服务器运行状态进行监控；2.14.6. 设备清单选型及参数序号产品名称配置信息备注1流量清洗设备清洗容量10G；小包防御能力1480万；2U机架式安装；台2防火墙/VPN设备吞吐28Gbps；提议用户数3000-5000；最大并发连接数400W；每秒新建连接数28W；防病毒吞吐量12G；IPS吞吐量8G；SSL最大并发用户数2,048；IPSEC吞吐360Mbps；IPSec隧道数10000；VRF个数（虚拟防火墙）512；2U机架式安装；台3入侵防护系统IPS吞吐8G；整机新建12w；整机并发220w；2U机架式安装；台4虚拟防火墙软件产品套