XX公司信息系统安全保障体系规划方案

XX公司信息系统
安全保障体系规划方案
目录
1.1.引言 (4)
1.2.背景 (4)
1.2.1.XX行业相关要求 (4)
1.2.2.国家等级保护要求 (5)
1.2.3.三个体系自身业务要求 (5)
1.3.三个体系规划目标 (6)
1.3.1.安全技术和安全运维体系规划目标 (6)
1.3.2.安全管理体系规划目标 (6)
1.4.技术及运维体系规划参考模型及标准 (7)
1.4.1.参考模型 (7)
1.4.2.参考标准 (8)
1.5.管理体系规划参考模型及标准 (9)
1.5.1.国家信息安全标准、指南 (9)
1.5.2.国际信息安全标准 (9)
2.技术体系建设规划 (9)
2.1.技术保障体系规划 (9)
2.1.1.设计原则 (9)
2.1.2.技术路线 (10)
2.2.信息安全保障技术体系规划 (11)
2.2.1.安全域划分及网络改造 (11)
2.2.2.现有信息技术体系描述 (19)
2.3.技术体系规划主要内容 (22)
2.3.1.网络安全域改造建设规划 (22)
2.3.2.网络安全设备建设规划 (23)
2.3.3.安全网关设备 (25)
2.3.4.业务安全审计设备 (28)
2.3.5.CA认证体系建设 (31)
2.3.6.现状 (31)
2.3.7.建设规划目标 (31)
2.3.8.数据安全保障 (33)
2.3.9.终端安全管理 (35)
2.3.10.备份与恢复 (36)
2.3.11.安全运营中心建设 (37)
2.3.12.周期性风险评估及风险管理 (37)
3.运维体系建设规划 (38)
3.1.风险评估及安全加固 (38)
3.1.1.风险评估 (38)
3.1.2.安全加固 (38)
3.2.信息安全运维体系建设规划 (38)
3.2.1.机房安全规划 (38)
3.2.2.资产和设备安全 (39)
3.2.3.网络和系统安全管理 (40)
3.2.4.监控管理和安全管理中心 (41)
3.2.5.备份与恢复 (42)
3.2.6.恶意代码防范 (42)
3.2.7.变更管理 (42)
3.2.8.信息安全事件管理 (42)
3.2.9.密码管理 (43)
4.管理体系建设规划 (43)
4.1.体系建设 (43)
4.1.1.建设思路 (43)
4.1.2.规划内容 (44)
4.2.信息安全管理体系现状 (45)
4.2.1.现状 (45)
4.2.2.问题 (46)
4.3.管理体系建设规划 (47)
4.3.1.信息安全最高方针 (47)
4.3.2.风险管理 (48)
4.3.3.组织与人员安全 (48)
4.3.4.信息资产管理 (50)
4.3.5.网络安全管理 (52)
4.3.6.桌面安全管理 (52)
4.3.7.服务器管理 (53)
4.3.8.第三方安全管理 (53)
4.3.9.系统开发维护安全管理 (53)
4.3.10.业务连续性管理 (53)
4.3.11.项目安全建设管理 (54)
4.3.12.物理环境安全 (54)
4.4.管理体系建设规划 (55)
4.4.1.项目规划 (55)
4.4.2.总结 (55)
概述
1.1.引言
本文档基于对XX公司信息安全风险评估总体规划的分析，提出XX公司信息安全技术工作的总体规划、目标以及基本原则，并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。

本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。

1.2.背景
1.2.1.XX行业相关要求
国家XX行业总局一直以来十分重视信息安全管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，在2008年下发了147号文《XX行业行业信息安全保障体系建设指南》，指南从技术、管理、运维三个方面对安全保障提出了建议，如下图所示。

图 1_1行业信息安全保障体系框架
1.2.2.国家等级保护要求
等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信息系统安全防护水平有着重要作用，在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求，如下图所示。

图 1_2等保基本要求框架图
1.2.3.三个体系自身业务要求
在国家数字XX行业政策的引导下，近年来信息系统建设日趋完善，尤其是随着国家局统一建设的一号工程的上线，业务系统对信息系统的依赖程度逐渐增加，信息系统的重要性也逐渐提高，其安全保障就成为了重点。

此外，除了一号工程外，信息系统的重要组成部分还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统等。

企业生产已经高度依赖于企业的信息化和各信息系统。

信息系统现阶段还无法达到完全的自动化和智能化运行。

因此需要各级技术人员对信息系统进行运行和维护。

在整个信息系统运行的过程中，起主导作用的仍然是人，是各级管理员。

设备的作用仍然仅仅停留在执行层面。

因此信息系统的稳定运行的决定因素始终都在于人员的操作。

信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行安全策略规定的目标和原则。

当
运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，就可以对保障体系进行新的规划和设计。

从而使新的保障体系能够适应企业不断发展和变化的安全需求。

这也仍遵循和完善了PDCA原则。

1.3.三个体系规划目标
1.3.1.安全技术和安全运维体系规划目标
建立技术体系的目的是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。

按照P2DR2模型，行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容：
1)防护：通过访问控制、信息系统完整性保护、系统与通信保护、物理与
环境保护等安全控制措施，使信息系统具备比较完善的抵抗攻击破坏的能力。

2)检测：通过采取入侵检测、漏洞扫描、安全审计等技术手段，对信息系
统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现安全隐患和入侵行为并发出告警。

3)响应：通过事件监控和处理工具等技术措施，提高应急处理和事件响应
能力，保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。

4)恢复：通过建立信息系统备份和恢复机制，保证在安全事件发生后及时
有效地进行信息系统设施和重要数据的恢复。

1.3.
2.安全管理体系规划目标
本次项目通过风险评估对XX公司自身安全管理现状进行全面了解后，对信息安全管理整体提出以下目标：健全信息安全管理组织，建立信息安全专业服务团队，建立完善的信息安全风险管理流程，完善信息安全制度与标准，建立规范化的流程。

1.4.技术及运维体系规划参考模型及标准
1.4.1.参考模型
目前安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。

PDR模型就是最早提出的体现这样一种思想的安全模型。

所
）
P2DR
）、响应
图 1_2 P2DR2模型
➢策略（Policy）
策略是P2DR模型的核心，所有的防护、检测、响应都是依据策略。

它描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。

➢防护（Protection）
防护是主动防御的防御部分，系统的安全最终是依靠防护来实现的。

防护的
对象涵盖了系统的全部，防护手段也因此多种多样。

➢检测（Detection）
检测是动态响应和加强防护的依据。

通过不间断的检测网络和系统，来发现威胁。

➢响应（Response）
响应是主动防御的实现。

根据策略以及检测到的情况动态的调整防护，达到主动防御的目的。

随着技术的进步，人们在P2DR模型以后又提出了APPDRR模型，即在P2DR 模型中加入恢复（Recovery）手段。

这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行。

1.4.
2.参考标准
主要参考标准：
➢《信息保障技术框架v3.1》（IATF）美国国家安全局
➢《信息系统安全管理指南》（ISO 13335）国际标准化组织
➢《信息安全风险评估指南》（国标审议稿）中华人民共和国质监总局其它参考标准：
➢AS/NZS 4360: 1999 风险管理标准
➢ISO/IEC 17799:2005 /BS7799 Part 1
➢ISO/IEC 27001:2005 /BS7799 Part 2
➢ISO/IEC 15408（CC）
➢GB17859-1999
➢等级保护实施意见（公通字[2004]66号）
➢《计算机信息系统安全保护等级划分准则》GB 17859
行业参考标准：
➢《XX行业行业信息安全保障体系建设指南》
1.5.管理体系规划参考模型及标准
1.5.1.国家信息安全标准、指南
1.GB/T 20274—2006 信息系统安全保障评估框架
2.GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息
技术安全概念和模型
3.GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理
和规划信息技术安全
4.GB/T 19716—2005 信息技术—信息安全管理实用规则
1.5.
2.国际信息安全标准
1.ISO/IEC 27001:2005信息安全技术信息系统安全管理要求
2.ISO/IEC 13335—1: 2004 信息技术信息技术安全管理指南第1部分：
信息技术安全概念和模型
3.ISO/IEC TR 15443—1: 2005 信息技术安全保障框架第一部分概述和
框架
4.ISO/IEC TR 15443—2: 2005信息技术安全保障框架第二部分保障方
法
5.ISO/IEC WD 15443—3 信息技术安全保障框架第三部分保障方法分析
6.ISO/IEC PDTR 19791: 2004 信息技术安全技术运行系统安全评估2.技术体系建设规划
2.1.技术保障体系规划
2.1.1.设计原则
技术保障体系的规划遵循一下原则：
先进性原则
采用的技术和形成的规范，在路线上应与当前世界的主流发展趋势相一致，保证依据规范建成的XX公司网络安全系统具有先进性和可持续发展性。

⏹实用性原则
具备多层次、多角度、全方位、立体化的安全保护功能。

各种安全技术措施尽显其长，相互补充。

当某一种或某一层保护失效时，其它仍可起到保护作用。

⏹可靠性原则
加强网络安全产品的集中管理，保证关键网络安全设备的冷热备份，避免骨干传输线路的单点连接，保证系统7*24小时不间断可靠运行。

⏹可操作性原则
根据XX公司风险评估结果，制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划，适用于XX公司信息安全的规划、建设、运行、维护和管理。

⏹可扩展性原则
规范应具有良好的可扩展性，能适应安全技术的快速发展和更新，能随着网络安全需求的变化而变化，网络安全保护周期应与整个网络的工作周期相同步，充分保证投资的效益。

2.1.2.技术路线
⏹分级保护的思想
遵照《XX行业行业信息安全保障体系建设指南》（、《关于信息安全等级保护工作的实施意见》（公通字【2007】33号）的要求，结合XX公司网络应用实际，XX公司网络的信息安全防护措施需要满足安全等级保护要求，必须按照确定的安全策略，整体实施安全保护。

⏹分层保护的思想
按照XX公司业务承载网络的核心层、接入（汇聚）层、接入局域网三个层次，根据确定的安全策略，规范设置相应的安全防护、检测、响应功能，利用虚拟专用网络（例如MPLS VPN、IPSec VPN、SSL VPN）、公钥基础设施/授权管理基础设施（PKI/PMI）、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品，进行全方位的安全保护。

⏹分域保护的思想
控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域，每一个网络安全域由所定义的安全边界来保护。

综合考虑信息性质、使用主体等要素，XX公司网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。

通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。

其中，隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等；连接安全服务包括传输过程中的保密、完整和可用等。

⏹动态安全的思想
动态网络安全的思想，一方面是要安全体系具备良好的动态适应性和可扩展性。

威胁和风险是在不断变化的，安全体系也应当根据新的风险的引入或风险累积到一定程度后，适时进行策略调整和体系完善；另一方面是在方案的制定和产品的选取中，注重方案和产品的自愈、自适应功能，在遭遇攻击时，具有一定的自动恢复和应急能力。

2.2.信息安全保障技术体系规划
2.2.1.安全域划分及网络改造
安全域划分及网络改造是系统化安全建设的基础性工作。

也是层次化立体化防御以及落实安全管理政策，制定合理安全管理制度的基础。

此过程保证在网络基础层面实现系统的安全防御。

目标规划的理论依据
2.2.1.1.1.安全域简介
安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。

相对以上安全域的定义，广义的安全域概念是指：具有相同和相似的安全要
求和策略的IT要素的集合。

这些IT要素包括但不仅限于：物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……
2.2.1.1.2.总体架构
如下图所示：安全域的划分如下：
图 2_1安全与总体框架
本次建议的划分方法是立体的，即：各个域之间不是简单的相交或隔离关系，而是在网络和管理上有不同的层次。

网络基础设施域是所有域的基础，包括所有的网络设备和网络通讯支撑设施域，网络基础设施域分为骨干区、汇集区和接入区。

支撑设施域是其他上层域需要公共使用的部分，主要包括：安全系统、网管系统和其他支撑系统等。

计算域主要是各类的服务器、数据库等，主要分为一般服务区、重要服务区和核心区。

边界接入域是各类接入的设备和终端以及业务系统边界，按照接入类型分
为：互联网接入、外联网接入、内联网接入和内网接入。

图 2_1安全域立体结构图
建设规划内容
2.2.1.2.1.边界接入域
2.2.1.2.1.1.边界接入域的划分
边界接入域的划分，根据XX公司公司的实际情况，相对于ISO 13335定义的接入类型，分别有如下对应关系：
ISO 13335 实际情况
内部网接入（终端接入，如办公网）；业务边界（如核心服务组织单独控制的连接
边界）
互联网接入（如Web和邮件服务器的外部接入，办公网的公共网络的连接
Internet接入等）
不同组织间的连接外联网接入（如各个部门间的接入等）
2.2.1.2.1.2.边界接入域威胁分析
由于边界接入域是XX公司公司信息系统中与外部相连的边界，因此主要威胁有：
➢黑客攻击（外部入侵）
➢恶意代码（病毒蠕虫）
➢越权（非授权接入）
➢终端违规操作
……
2.2.1.2.1.
3.边界接入域的防护
针对边界接入域的主要威胁，相应的防护手段有：
➢访问控制（如防火墙）用于应对外部攻击
➢远程接入管理（如VPN）用于应对非授权接入
➢入侵检测与防御（IDS&IPS）用于应对外部入侵和蠕虫病毒
➢恶意代码防护（防病毒）用于应对蠕虫病毒
➢终端管理（注入控制、补丁管理、资产管理等）对终端进行合规管理2.2.1.2.2.计算域
2.2.1.2.2.1.计算域的划分
计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合，根据计算环境的行为不同和所受威胁不同，分为以下三个区：
➢一般服务区
用于存放防护级别较低（资产级别小于等于3），需直接对外提供服务的信息资产，如办公服务器等，一般服务区与外界有直接连接，同时不能够访问核心区
（避免被作为攻击核心区的跳板）；
➢重要服务区
重要服务区用于存放级别较高（资产级别大于3），不需要直接对外提供服务的信息资产，如前置机等，重要服务区一般通过一般服务区与外界连接，并可以直接访问核心区；
➢核心区
核心区用于存放级别非常高（资产级别大于等于4）的信息资产，如核心数据库等，外部对核心区的访问需要通过重要服务区跳转。

计算域的划分参见下图：
图 2_3计算域划分图
2.2.1.2.2.2.计算域威胁分析
由于计算域处于信息系统的内部，因此主要威胁有：
➢内部人员越权和滥用
➢内部人员操作失误
➢软硬件故障
➢内部人员篡改数据
➢内部人员抵赖行为
➢对外服务系统遭受攻击及非法入侵
2.2.1.2.2.
3.计算域的防护
针对计算域主要是内部威胁的特点，主要采取以下防护手段：
➢应用和业务开发维护安全
➢基于应用的审计
➢身份认证与行为审计
同时也辅助以其他的防护手段：
➢对网络异常行为的检测
➢对信息资产的访问控制
2.2.1.2.
3.支撑设施域
2.2.1.2.
3.1.支撑设施域的划分
图 2_4支撑基础设施域划分图
如上图所示，将网络管理、安全管理和业务运维（业务操作监控）放置在独立的安全域中，不仅能够有效的保护上述三个高级别信息系统，同时在突发事件
中也有利于保障后备通讯能力。

其中，安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中，如果条件允许，还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。

2.2.1.2.
3.2.支撑设施域的威胁分析
支撑设施域是跨越多个业务系统和地域的，它的保密级别和完整性要求较高，对可用性的要求略低，主要的威胁有：
➢网络传输泄密（如网络管理人员在网络设备上窃听业务数据）
➢非授权访问和滥用（如业务操作人员越权操作其他业务系统）
➢内部人员抵赖（如对误操作进行抵赖等）
2.2.1.2.
3.3.支撑设施域的防护
针对支撑设施域的威胁特点和级别，应采取以下防护措施：
➢带外管理和网络加密
➢身份认证和访问控制
➢审计和检测
2.2.1.2.4.网络基础设施域
2.2.1.2.4.1.网络基础设施域的划分
图 2_5网络基础设施域划分图2.2.1.2.4.2.网络基础设施域的威胁分析
主要威胁有：
➢网络设备故障
➢网络泄密
➢物理环境威胁
2.2.1.2.4.
3.网络基础设施域的防护
相应的防护措施为：
➢通过备份、冗余确保基础网络的可用性
➢通过网络传输加密确保基础网络的保密性
➢通过基于网络的认证确保基础网络的完整性
2.2.2.现有信息技术体系描述
2.2.2.1.XX公司现有网络拓扑
2.2.2.2.XX公司网络结构脆弱性评估
2.2.2.2.1.网络结构层次不清晰
当前网络骨干区域，基本形成以两台C6509为核心，多台C2970/C2950等为接入的架构，网络骨干设备性能优异，扩展能力较强。

但部分区域仍然存在结构层次不清晰、不合理之处。

远程接入区域，包括XXX单位通过专线直接接入到核心交换机C6509上，其它的上联国家局、XX公司局、西仓等专线链路也直接接入到核心交换机C6509上，除国家局配置有防火墙外，其它连接均未经过任何汇聚或访问控制设备。

核心交换机C6509同时兼具上述多条专线接入设备的任务，网络逻辑层次结构较为模糊。

2.2.2.2.2.网络单点故障
当前网络核心层为冗余设备，下联接入层交换为冗余线路，其它对外连接均为单设备和单线路连接，存在网络单点故障隐患。

各远程接入链路均为一条电信专线，没有其它冗余的广域网链路，存在远程接入链路单点故障。

外网服务器区的Web和Mail服务器的互联网连接和访问均为单线路，存在单点故障。

2.2.2.2.
3.网络安全域划分不明
公司大多数内网服务器系统分布在10.99.128.0/24网段，没有进一步的VLAN划分及其它防护措施的隔离。

ERP、一号工程、协同办公、营销等重要系统混杂在一起，与其它服务器都部署在同一个区域，非常不利于隔离防护及后期的安全规划建设。

下属车间存在生产网与办公网络混用的情况。

各生产网与办公网未严格隔离，未整合边界，未实施集中安全防护。

业务维护人员、网络管理人员、安全管理人员以及第三方运维人员，未划分专门的管理支撑域。

当前主要根据办公物理位置，各自接入到办公网中，未与普通办公人员网络区域隔离。

远程接入区域，根据对端可信度及管理职责等，可以划分为四类，1、国家XX行业；2、省商业公司链路；3、同城的西仓库接入；4、XXX单位接入。

当前未进行分类隔离，统一安全策略。

2.2.2.2.4.部分节点区域缺乏必要安全防护措施
内部终端用户访问内部服务器、互联网络没有有效的控制行为；能够访问互
联网的终端不能有效控制访问带宽并进行行为审计。

远程接入西仓和XXX单位专线直接接入到核心交换机Cisco3845上，两端均未部署防火墙实施访问控制。

XXX单位用户可以任意访问到总部网络，任意访问内网服务器。

全网缺乏一套集中的安全运营管理中心，当前网络设备、安全设备、主机及业务系统的日志及安全运行状况监控，仅由各自维护人员手工操作，直接登录设备检查分析。

内网服务器区、生产服务器区缺乏业务审计设备，无法记录关键的业务、维护操作行为。

2.2.2.2.5.现有的安全技术防护手段
1、在互联网出口部署了防火墙两台，同时设置访问规则对Web服务器
和内网用户对互联网的访问进行网络层控制；
2、在核心交换机上部署了入侵检测系统，对核心交换上的数据信息进
行入侵行为的检测；
3、在邮件系统部署了防垃圾邮件系统，可对垃圾邮件进行过滤；
4、内网部署了趋势的网络防病毒系统，
5、内网部署了内网管理系统，可对内部网络终端进行接入管理、主机
维护管理、补丁管理、主机行为审计等。

2.3.技术体系规划主要内容
2.3.1.网络安全域改造建设规划
2.3.1.1.XX公司网络系统规划建议
改造建议说明：
1、新增管理支撑域，作为整个网络的设备和系统管理中心。

2、新增汇聚层网络设施域，部署四台三层交换机，核心部件采用冗
余配置，作为整个网络的汇聚层，这样既便于接入区和服务区的访问
控制，又将生产区和办公区进行了区分，并分担了核心交换机的负担。

3、在核心交换和新增的汇聚交换间部署防火墙进行服务域的访问
控制；
4、将原有的服务器使用VLAN方式划分为核心服务域和一般服务
域；
5、更换互联网出口防火墙为安全网关，采用双机冗余方式部署，并
启用IPS检测、AV检测功能，为对外提供服务的WEB和MAIL服务器
制定保护策略；
6、在互联网安全网关后增加上网行为管理系统，采用双机冗余方式
部署，对访问互联网的流量和访问进行控制和审计；
7、将互联网出口替换下的防火墙部署到单独划分的财务服务域前
端，进行必要的访问控制保护；
8、将XXX单位和西仓连接线路由原来的连接核心C6509改为连接新
增加的汇聚层防火墙上，增加外部访问的访问控制。

2.3.2.网络安全设备建设规划
网络安全设备分为边界保护类，入侵检测/防御类，终端保护等多种。

网络安全产品的类型是由网络安全技术决定的，为了实现全面的安全防护，以不同的实体出现的安全设备要在技术上覆盖所有的安全领域，也就是所有安全设备功能的总和在技术层面应该能够防御目前网络环境下所有安全威胁的总和。

安全产品虽然不是安全防护体系的决定因素，却是安全防御体系的基石。

是实现系统化全方位网络安全防护的必要条件。

在充分分析目前XX公司已经部署的网络安全设备的前提下，又结合了风险评估的结果，以及安全域划分和网络改造的具体需求，得出了最终需要新增的网络安全设备需求。

此过程保证在设备层面实现安全技术体系。

部署完成后，XX 公司所有安全设备防护功能的总和在技术层面上将能够满足防护和应对目前已知安全威胁。

同时满足《XX行业行业信息安全保障体系建设指南》中在技术体系建设方面对网络安全部分的要求。

结合规划的安全域，在新的安全环境下，规划的安全设备部署示意图如下：。