涉密信息安全体系建设方案
涉密信息安全体系建设方案
1.1需求分析
1.1.1采购范围与基本要求
建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。
1.1.2建设内容要求
(1)编写安全方案和管理制度
信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。
安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。
安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。
(2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。
1.2设计方案
智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据
根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。
1.2.2安全体系编制原则
为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。
保密原则:
确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。
完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源
规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。
1.2.3体系建设内容
(1)安全管理体系
制定和完善与XX高新区智慧园区基础建设项目信息安全保护相适应的配套管理制度和要求,制度相关内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理,要求包括对硬件环境和软件环境的要求。
(2)安全技术体系
根据网络特殊需求和业务流程制定网络安全及安全加固方案,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,降低恶意攻击者利用安全漏洞威胁系统安全运行的几率,从而有效控制因系统配置不当等因素引发的业务中断及信息外泄等风险,将高风险漏洞和中风险漏洞降低至可接受的范围内,使得应用系统的安全状况提升到一个较高的水平。
通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。
(3)安全运维体系
安全运维通常包含两层含义:
a)是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作,保障系统不受内、外界侵害。
b)对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的事件(包含关联事件)通称为安全事件,而围绕安全事件、运维人员和信息资产,依据具体流程而展开监控、告警、响应、评估等运行维护活动,称为安全运维服务。
1.2.4安全体系架构
平台的系统安全体系架构包括以下几方面:
(1)集中用户管理
系统用户在不同的业务系统有不同的角色定义,对应不同的功能权限,需构建相应的用户集中管理模式,实现用户统一身份和标识管理、统一认证及单点登录。
(2)用户命名统一
实现用户命名统一,为用户集中管理及信息共享提供支撑。
(3)身份认证
系统对不同岗位人员实行分级授权,对用户的访问权限实行有效的管理。
(4)访问控制
设置防火墙和网段划分,实现有效的安全隔离和访问控制;同时,在系统权限方面,对每一个不同的角色,依照最小授权原则,分配完成其任务的最小权限,并使用基于角色的访问控制机制来控制用户对信息的访问和操作;
(5)入侵检测
设置入侵监测系统,防止非法入侵,及时做出应对措施。
(6)漏洞扫描
采用专业漏洞扫描工具,定期对网络系统及计算机系统进行漏洞扫描,及时发现潜在安全隐患,加以防范处理。
(7)病毒防范
在服务器安装防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力;在网络内安装网络版防病毒系统,客户端可以在内网升级病毒库,做到整体防御。
(8)数据安全交换
在系统安全、网络安全的基础上,实现内网和外网、内网和专网间的数据安全交换。
(9)系统操作日志
通过操作日志功能,定义和区分操作级别,根据操作级别进行记录,为日志分析功能提供数据,发现并处理安全问题隐患,增强系统防护性能。
此外,系统还可以根据需要提供日志统计功能,对诸如访问量、并发访问数等系统性能参数进行比对,以便系统管理员及时调整和优化系统性能。
(10)安全防护体系
建立完善的安全防护系统,从安全规章制度建设、安全管理手段建设等方面保障系统的安全可靠、稳定运行。
1.2.5信息安全体系设计工作方案
(1)完善信息安全组织体系
成立以政府职能部门为主的“智慧园区”安全管理机构,强化和明确其职责;在健全信息安全组织体系的基础上,切实落实安全管理责任制。明确各级、各部门作为信息安全保障工作的责任人;技术部门主管或项目负责人作为信息安全保障工作直接责任人,强化对网络管理人员和操作人员的管理。
(2)加强信息安全配套建设
消除信息安全风险隐患,把好涉密计算机和存储介质、内部网络对外接入、设备采购和服务外包三个重要的管理关口。对政府信息系统和涉及重大民生及城市公共服务重要系统,建立与之配套的数据灾备中心。
(3)加强对涉密信息的监督管理
对相关单位将涉密信息存储在联网计算机上并违反规定上互联网,将涉密信息暴露在互联网上的要及时纠正,并对有关人员进行教育和处理。对网上发布的信息进行监控,及时发现泄密事件,将危害控制在最小的范围内,使保密制度得到有效的执行和落实。
(4)建立健全信息安全制度
针对园区信息安全管理制定相应管理制度和规范;要求基础网络和重要信息系统运营、使用单位根据自身情况,制定包括安全责任制度、定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的日常信息安全规章制度。
1.2.6信息安全体系设计预期成果
预期成果完成编写安全方案和管理制度,信息安全体系的建设,符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。
?安全信息化系统管理制度
(1)为规范本单位安全信息化系统的管理,保障系统安全、稳定、可靠运行,充分发挥安全信息化系统的作用,特制订本细则。
(2)各部门办公计算机应明确使用人,设置安全保护密码,未经本人许可或领导批准,任何人不应擅自开启和使用他人的办公计算机。
(3)维护职责
1)办公室为安全信息化系统运行维护的管理部门,负责安全信息化系统运行维护工作的协调、指导和管理工作。相关人员负责系统数据日常录入、维护和数据统计分析。
2)办公室负责安全信息化系统的日常维护和管理工作。组织协调技术合作单位对安全信息化系统所涉及的软硬件开展故障解决、巡回检查、系统性能调优、系统升
级实施、应用接口、系统拓展应用、应用技术培训等工作。
(4)维护范围及内容
1)安全信息化系统维护工作的范围:安全信息化系统所涉及的全部硬件设备、操作系统、数据库系统、中间件、应用软件、数据接口以及用户访问权限等。
2)安全信息化系统的主要维护内容包括:系统设备运行状态的日常监测、定期保养、故障诊断与排除;操作系统、数据库系统、中间件及应用软件的故障诊断与排除;系统日常的巡回检查;数据交换与传输;配置变更管理;数据问题管理;系统性能调优;系统升级和拓展应用等。
(5)日常维护与故障管理
1)技术支持与服务途径:
a)技术合作单位派驻现场技术服务组开展日常技术支持服务,提供包括系统、配置、安装、调试以及使用中遇到的各类技术问题和使用问题的咨询,并协助排查和解决各类系统故障。
b)技术合作单位定期整理汇编常见问题和解决办法,并以技术文档的形式按季度提供给办公室。
2)计算机管理员每季度组织对安全信息化系统的运行情况进行巡检。巡检内容包括:检查系统运行情况并排除故障隐患;收集系统最新运行信息;根据系统运行情况和用户业务需求提出合理化建议;查看系统运行信息,分析错误记录。
3)计算机管理员每季度对安全信息化系统数据进行备份;每年至少进行一次对办公计算机内部存储信息的清理工作,删除无用信息;
4)系统管理员及各技术服务合作单位应严格按照本文所列附件中的相关要求,每天检查系统的运行状况并认真做好系统运行日志,定时做好各类维护记录,具体包括:日维护记录、周维护记录、月维护记录。
5)当系统运行出现故障时,应及时向服务单位报修故障情况并协调技术合作单位共同解决。排除故障的方式可分为三种类型:
a)本地解决故障:能够自行解决或在技术服务合作单位的远程指导下可以解决的故障,自行解决故障。
b)远程解决故障:由技术服务合作单位通过远程方式在计算机管理员的配合下进行处理、解决的故障。
c)现场解决故障:由技术服务合作单位派技术人员到现场进行解决的故障。
对需要现场解决的故障,办公室按照故障造成的“影响程度”和“紧急程度”组合决定的严重等级进行分级处理。
5)当故障属于硬件系统本身的问题时,由技术服务合作单位
整理形成问题分析报告和解决方案,经市局办公室审核批准后,技术服务合作单位协调配合保修单位对硬件系统进行更换,更新和优化。
(6)系统配置管理
1)系统配置管理内容及范围涵盖安全信息化系统中所涉及的全部软硬件。
2)未经信息系统管理人员同意,不得擅自进行系统格式化或重新安装操作系统,不应擅自变更软硬件配置,严禁安装上网设备、运行代理软件、服务器软件。如因实际情况确需变更配置(包括增加新设备、扩充设备能力、改变设备的部署、停用设备、设备的切换以及改变系统软件等)时,要及时报办公室审核备案。
(7) 权限管理
1)安全信息化系统的用户以及权限分配由办公室集中统一维护和管理,并建立相应用户清单。
2)安全信息化系统中所涉及的操作系统、数据库系统等系统软件的使用权限由信息中心集中统一维护和管理。
(8) 升级、完善与拓展管理
1)系统软件和应用软件的升级、完善由信息中心统一管理。
2)系统运行过程中的缺陷,由技术服务合作单位协助或承担升级完善的技术工作,经信息中心核准后进行对系统进行升级。
3)信息中心应根据系统使用部门情况反馈,结合系统的运行状态和功能范围,适时统一组织对系统功能的升级。
4)信息中心负责对安全信息化系统的运行维护工作进行检查,并把检查结果通报给各技术服务合作单位。
?安全管理
自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。
在技术上
(1)通过安装防火墙,实现下列的安全目标:
1)利用防火墙将Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;
4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;
7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
(2)网络内的权限控制
通过目录服务等操作系统存在的服务队对主机内的资源进行权限访问的控制,可将具体的安全控制到文件级。通过对网络作安全的划分控制、如通过设置"vlan"等,对整个网络进行权限控制。
(3)入侵检测系统技术
通过使用入侵检测系统,我们可以做到:
1)对网络边界点的数据进行检测,防止黑客的入侵;
2)对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改;
3)监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;
4)对用户的非正常活动进行统计分析,发现入侵行为的规律;
5)实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动;
6)对关键正常事件及异常行为记录日志,进行审计跟踪管理。
通过使用入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
(4)网络防病毒
为了使整个机关网络免受病毒侵害,保证网络系统中信息的可用性,构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,通过派发的形式对整个网
络部署杀毒,同时要对Lotus Domino内进行查杀毒。
(5)网络内的信息流动的监控对网络内流动的信息进行监控,防止非法访问信息的传播和记录控制非法信息的传播、对"涉密信息"进行安全防护。
(6)无线接入安全管理现在无线网络使用越来越普遍,对无线网络的接入,同样需要进行安全控制,可以根据IP和MAC绑定的方式确保无线接入的安全性,对未经容许的无线设备、笔记本电脑则无法接入无线网络。有效防止外部的病毒或黑客程序被带进内网。
(7)操作系统以及应用系统的安全设置
操作系统以及应用系统都提供有强大的安全设置,为保证系统的安全性,我们要在合理配置好操作系统以及应用系统的安全设置,在这个层面上要在保证安全和使用方便两者之间的关系取得一定的平衡。
比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库是否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的防范策略。
(8)安全审计、日志审核机制
网络安全,不光是要防范杜绝,还要建立" 档案"。合理的配置安全审计,一些重要的安全信息、系统、设备的登入登出,都可以完整记录下来。而日志审核也可以对于故障排查、安全检查有很好的帮助。
(9)内部网络安全机制
根据部门以及功能的需求,在局域网通过vlan的划分,既可以阻止大规模的广播风暴影响整体网络的通畅,保障网络的稳定。并且通过交换机的ACL的控制,根据网络应用以及各部门内部信息保密的需求,对不同的网段之间的访问进行访问的控制。同时一些交换机具备流量控制、源路由限制等功能,根据企业实际情况设置也可加强企业内部网络的安全,降低因病毒、网络攻击造成的网络威胁。
?在管理上
以上所有的网络安全管理是基于技术方面,为了使网络能够安全高效有序的运转这些系统,更需要配合一套完整的网络安全管理制度。
●建立网络安全管理制度,明确网络安全管理的职责
●完善网络安全设置各方面的技术文档,按照技术文档进行设定安全策略以及
安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文
档记录
●确定网络安全管理的具体责任人。
●加强培训,提高人们的网络安全意识和防范意识。
?安全体系设计
根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。
安全系统设计原则
安全防范体系在整体设计过程中应遵循以下12项原则:
●木桶原则
木桶原则是指对信息均衡、全面的进行保护。木桶的最大容积取决于最短的一块木板。
●整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。
●有效性与实用性原则
不能影响系统的正常运行和合法用户的操作活动。网络中的信息安全和信息共享存在一个矛盾:一方面,为健全和弥补系统缺陷或漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,尤其在网络环境下,实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量,应该是一个信息安全设计者主要解决的问题。
●安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
●标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。
●技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
●统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
●等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
●动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
●易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
●自主和可控性原则
网络安全与保密问题关系着一个国家的主权和安全,所以网络安全产品不可能依赖于从国外进口,必须解决网络安全产品的自主权和自控权问题,建立我们自主的网络安全产品和产业。同时为了防止安全技术被不正当的用户使用,必须采取相应的措施对其进行控制,比如密钥托管技术等。
●权限分割、互相制约、最小化原则
在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,所以它的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制,实现权限最小化原则。管理权限交叉,有几个管理用户来动态地控制系统的管理,实现互相制约。对于普通用户,则实现权限最小原则,不允许其进行非授权以外的操作。
1.3实施方案
智慧园区面临的安全威胁是多级别的。智慧园区由很多个分区组成,例如内联区、外联区、管理分区、服务器分区、存储区等。其中,有多个分区由于使用Internet 接入,而Internet本身给社会发展带来巨大推动力的同时,产生大量的网络安全问题,越来越受到众多机构、企业的重视。
因此,需要运用多种安全策略以实现园区系统的整体安全性。建议从硬件安全、网络安全、系统软件安全和安全管理机制几个层面进行系统的规划。
1.3.1硬件安全规划
硬件安全指保护终端设备、网络设备、服务器等硬件装备不被破坏。保证物理设备的安全是安全策略的最基本要求。要最大限度地保证物理设备的安全,可以执行以下操作:
●防范终端设备、主机、路由器、交换机等物理运行环境可能存在的安全风险,
保证设备放置场所防火、防水、防地震等措施严格。
●防范电源故障造成设备断电以至操作系统引导失败或数据信息丢失。
●防范设备被盗、被毁造成系统崩溃、数据丢失或信息泄漏。
●防范电磁辐射可能造成数据信息丢失或泄露。
●对于电源、空调等关键的辅助设备,要求采取冗余配置。
●关键设备设置密码。
1.3.2网络安全规划
网络的安全是智慧园区安全最基本的保证。这里主要从交换机的安全特性上的
使用来保证网络的安全。包括DHCP Snooping、ARP防攻击、MAC防攻击、IP源防攻击等。这些安全特性工作于OSI模型的链路层,可在接入层交换机上部署。
1.3.3系统软件安全规划
软件安全是指华为智慧政府园区各系统软件的安全,一般通过包括权限管理、日志管理等。
●权限管理
系统的应用软件通过权限设置的功能,为用户提供了一系列的安全保障,包括:
●角色权限设置
可设置每个用户在系统软件中的操作权限。用户的身份通过帐号和密码的设置来体现,而帐号则和角色相对应,角色则是系统内部许许多多具体权限的组合。用户使用帐号登录后,系统会根据帐号调出用户所对应的角色,确定用户可选择的模块范围以及在每个模块中的操作权限。
在角色权限设置中,角色可以自定义,一个人员可以对应多个角色。这样,就可以应用系统方便的定义每个人员的工作权限,并可以随其工作范围的变更而进行灵活调整,最大限度满足用户的需求。
●组织目录权限设置
园区可以根据自己的需求定义信息存放的目录结构,然后根据部门、人员、从属关系对每个文件夹或每条信息、文档设置权限。这样,政府所有信息有序存储,再辅之以严格的权限设置,既方便查询,又防止信息的泄密和失窃,建立起单位的电子信息库。
●日志管理
系统提供关于服务器和系统的日志功能,记录服务器的各种状态及用户操作状态,有效追踪非法入侵。
1.3.4安全管理机制
任何网络仅在技术上是做不到完整的安全的,还需要建立一套科学、严密的网络安全管理机制,提供制度上的保证,将由于内、外部的非法访问或恶意攻击造成的损失减少到最小。
建议制定的管理机制包括以下内容:
●管理目标
采取集中控制、分级管理的模式,建立由专人负责安全事件定期报告和检查制度,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
●管理规范
根据管理规范内容的重要程度和安全管理的复杂性特点,管理规范应包括技术、人员与组织结构、应急事件、安全响应服务、安全培训五个方面的内容。
●安全技术规范
安全技术规范主要是对工作职责、内容、操作流程所做的规定,从而实现安全防护的程序化和统一化管理
●人员与组织结构
安全防护系统能否真正实现最终取决于如何对政务各类人员进行有效的人员配置和组织结构的设定以及检查监督机制的建立。
●应急事件与响应
对出现的黑客攻击或恶意破坏事件进行及时、有效的报警、切断、记录等。制定较为详细的、可操作性应急事件处理规范是保证系统不受影响的关键所在。
●安全培训
为了将安全隐患减少到最低,需要加强对安全知识的普及,让每一位操作者都成为安全卫士,才能实现真正意义上的全方位的安全
1.3.5安全技术体系
(1)网络安全方案
1)访问控制
基于网络的访问控制主要通过防火墙设备来实现,根据访问控制规则决定IP包是否通过,防止非授权用户的访问。
a)实现策略
在访问控制上可采取两种实施措施,一种是在路由器上设置访问控制列表,进行子网间的访问控制和数据隔离;另一种是利用专门的防火墙达到子网间的访问控制和数据隔离的目的。需要考虑的策略:
?在实现防火墙的功能要求时,综合考虑网络安全和性能两个因素;
?骨干网之间的简单访问控制,可由路由器实现;
?访问控制安全性要求高的子网,在路由器上进行复杂的访问控制列表设置,会降低路由器的传输性能,应采用专用的防火墙进行安全设置。在防火墙类型上应选择包过滤型,保证数据的快速可靠传输。
?用户边界子网的防火墙可选择代理型防火墙,节省公网IP,保证用户网络安全。
基本要求:
?在路由器中的配置:
?关闭所有不需要的服务(如finger,echo,chargen等)
?关闭IP定向广播
?如果没有特殊原因,关闭IP源路由功能
?在不可信任端网络的接口上关闭发送“ICMP不可达”信息的功能
?如果不是特别需要,不使用路由器上的HTTP服务
?如果需要使用SNMP,则尽量要使用版本2以上的SNMP管理协议,如果只能使用SNMP版本1,则一定要限制访问地址。
?防火墙的策略和配置必须有完整的文档;
?保存详细的防火墙日志,并考虑在日志服务器上做备份;
?要定期对防火墙进行检测;
?重要的日志项要每天进行检查;
?内部对于Internet的访问要通过防火墙;
?如果没有明确指定,规则的缺省配置是禁止;
?需要提供公共服务的设备建议放在防火墙DMZ区;
?在防火墙的信任区内,禁止提供没有认证功能的远程接入服务。
推荐要求:
?对通过Internet访问重要服务的用户可使用高强度的认证机制,如:一次性密码,挑战应答等;
?超级管理员帐号要使用一次性口令机制及加密的通信连接;
?对使用情况要有统计,并可进行分析;
?如使用软件防火墙,用户不能直接登录到防火墙的计算机上;
?内部人员一般不能向Internet提供服务。
b)网络接入点
基本要求:
?要具有包过滤的防火墙功能,能按照国家的要求依据IP地址、端口号进行过滤;
?能够有效地过滤针对主干网络设备的各种流量,即目标地址为任何主干网络设备端口地址时,流量都可以被过滤掉;
?对于用于网络管理的流量(如ICMP)具有管理功能,如禁止、代理,即当某些站点针对股份共公司网络做ping、traceroute时,该接入点的设备能够
代替做出回答。
推荐要求:
?系统具有流量控制和实时监控功能,具有较高的性能和较低的处理延迟,能够满足出口高带宽的要求;
?系统具有很好的可靠性,可以进行双机备份工作,保证数据传输的可靠进行;
?能够对指定地址的流量进行实时监控,并进行全面的记录和分析,发现其中可能的网络入侵和有损于国家安全、企业安全的事情;
?能够对有害站点进行访问控制,对有害信息按照一定条件、组合等进行过滤。
可以按照一定的条件设置系统关闭,以保证在紧急条件下自动关闭网络连接;
?安装个人计算机防火墙以避免受到WinNuke,TearDrop,Bloop,Ping of Death等攻击。
2)认证系统
a)概述
采取AAA机制,限制非法访问,保证正常通信以及信息传输的完整性,满足网络的可靠互联与正常运行。确保用户身份的真实性、合法性并详细记录用户对网络资源的访问行为和访问信息,便于事后的审计和事件追溯。
b)主干网路由器和接入网路由器
基本要求:
?在每一个路由器中对不同的管理员要设置不同的用户名;
?在路由器上使用的动态路由协议如果支持认证,则要激活认证机制;
?尽可能地采用集中认证方式和一次性口令。
推荐要求: 使用基于AAA协议的认证系统,如Radius。
c)网络接入点
基本要求:基于AAA协议的认证系统,如Radius。
推荐要求:
?所有通过(PSTN或ISDN)拨入的连接要使用高强度的认证机制:一次性口令,挑战-应答等;
?超级用户登录时不能以明文形式传输密码。
3)日志与审计
a)概述
重要网络设备上产生的日志都通过网络送到一个日志服务器中,使网络事件序列化。通过定期对日志服务器进行审计,可以发现针对网络设备可能发生的攻击,或者可以查询管理人员操作的历史记录。通过详细记录用户行为,可以记录用户对路由器的配置管理操作信息。
定期对日志信息进行分析,及时杜绝安全漏洞;当安全策略中的漏洞引起系统出现安全故障时,可根据日志信息进行系统分析和事件追踪,发现责任人。
b)关键服务器主机
基本要求:
?保护用于审计的日志和程序,只有经过授权的工作人员才能访问;
?不要将日志保存于共享的文件系统中;
?日志中不能包含密码;
?系统管理员的行为要做日志;
?失败的用户登录要做日志;
?要能够基于一个主体(如计算机系统中的用户)或客体(如计算机系统中的一个文件)做审计;
?审计日志中的记录至少要包含用户名(或其id),日期和时间,登录地点,事件描述。
推荐要求:
?所有主要服务器要基于同一时钟源,同步自己的时钟,以保证审计日志中时间戳的有效性;
?除了在本地保存以外,日志还要传输到安全的日志服务器上,日志服务器不
提供其它服务。如果可能的话,日志要在只读的介质上作备份。
c)网络接入点
基本要求:
?网络互联设备要做日志,并根据需要将日志信息记录到服务器、远程或本地终端;
?定期对此日志进行审计。
推荐要求:
?进行AAA日志:记录拨入连接、登录、退出、HTTP访问、特权级改变、执行的命令等,并将日志传输到日志服务器上;
?对SNMP的陷井(trap 包)进行日志记录,向SNMP管理工作站报告系统状态的重要改变;
?采用统一的时钟,保证日志的准确性、一致性。
4)入侵检测系统
a)概述
入侵检测系统是安全系统重要组成部分,可以对流经的数据包进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全。提供对内部攻击、外部攻击和误操作的实时检测。
利用高效的智能检测算法,并配置过滤规则知识库,从而能够快速地对通过系统的信息包进行分析检测,在保障正常网络通信的同时能够有效地阻止黑客的攻击行为或用户的非法操作。
不但可使系统管理员了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
入侵检测系统主要有基于规则和基于知识两大类。基于规则的入侵检测根据已知的各种攻击的特征,对网络上的数据进行匹配,可以实时运行,准确率高,但只能发现已知的攻击,它可以运行在主机上,或者通过监听或截取网络流量实现。基于知识的入侵检测主要运行在主机上,可以发现未公布的攻击,但误报率很高。可以根据不同的需求,选用合适的入侵检测系统。
入侵监测系统的部署会对网络的性能产生一定的影响。
基本要求:
?检查异常情况和潜在的入侵企图;
?对保护的关键资源进行智能化的实时安全监控,发现异常情况(异常操作、用户的误操作等)后,按照用户设置的安全策略进行处理;
?系统对网络攻击进行精确和快速的识别,使网络攻击在还未到达目标主机时便被禁止,-时可在日志中记录发起攻击的源IP地址、攻击发生的时间和攻
击类型等关键信息,并通过指示灯或蜂鸣器向网络管理人员报警;
?监视、分析用户及系统活动;
?识别攻击倾向或行为及时做出响应并报警。
b)对外提供服务的服务器
基本要求:
?在接入点本身要对所有的访问形成日志信息;
?对于系统文件要定期做摘要,并与最近一次的正确摘要进行比较。
推荐要求:
?要根据本接入点所提供服务可能存在的漏洞设置陷阱,以便于更加详细地记录有关入侵者的信息;
?要对服务器提供入侵检测级的保护;
?在接入点与外部的连接点之间安装入侵检测保护系统,使用基于指纹的方法检测入侵,并同时禁止入侵者与接入点的连接。
c)只对内提供服务的服务器
基本要求:在参考点本身要对来自禁止地址的访问企图做日志,并及时通过系统管理员。
5)安全加密
a)虚拟专用网(VPN)
虚拟专用网(VPN)任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络平台(如INTERNET,ATM,FRAME RELAY等)利用加密IP隧道,实现私有IP包在Internet或其它公共互联网络上的安全传输之上的逻辑网络。用户数据在逻辑链路中传输从而实现不同局域网之间数据的安全传输并提供
与专用网络一样的安全和功能保障。
在数据传输通信点之间建立VPN安全传输通道,对传输的数据进行封装、加密和验证。常用的封装方式有:ESP方式和AH方式;常用的加密和验证算法有:DES、3DES、IDEA、MD5、SHA1等。
对接入点安装VPN网关,采用PPTP、L2TP、IPSec等方式建立安全数据通道。
b)远程登录SSH
SSH通信系统能够在不向窃听者泄漏密码和保密数据的情况下,让远距离的系统管理员和远程办公人员访问公司网络资源。它保护TCP/IP的Telnet和FTP 终端连接。
认证服务器加密客户服务器间的通信,认证用户并且在服务器端加密数据。除了安全的终端连接,Internet协议传递和安全的文件传输外,还代替了现在不安全的rsh,rlogin,rcp和telnet 协议。SSH是一种安全的通信协议,它能保证安全的登录到远程网络互联设备或主机服务器上。
采用在客户管理主机和被管理设备之间建立SSH通信信道,实现对远程登录用户名、密码的加密,以充分保证远程登录的安全性,保证管理信息的完整性、可用性。
在主要的网络设备上安装SSH服务器端软件,管理主机上安装SSH客户端软件,配置SSH的登录方式,选择3DES、IDEA等高强度数据加密通信方式。
(2)云计算安全方案
(1)设计原则
本次XX高新区智慧园区云计算平台安全整体解决方案,应根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,还要包括影响系统安全的方面有物理安全、网络隔离技术、加密与认证、应用层面安全、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。霍山县政务云平台安全设计将着重从以下原则是进行考虑:
原则:进不来、拿不走、打不开、抹不掉。