政务云安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
政务云安全
解
决
方
案
目录
前言 (6)
1方案设计思想 (7)
1.1总体指导思想 (7)
1.1.1等级保护思想 (7)
1.1.2动态网络安全体系思想 (7)
1.2总体设计原则 (9)
1.3依据标准 (11)
1.4安全模型 (12)
2政务外网安全需求分析 (15)
2.1网络及业务现状 (15)
2.1.1网络现状 (15)
2.1.2业务现状 (17)
2.2安全风险分析 (20)
2.2.1网络风险 (20)
2.2.2数据安全 (22)
2.2.3应用系统风险分析 (22)
2.2.4安全管理风险分析 (25)
2.3安全需求及安全目标 (29)
2.3.1安全需求 (29)
2.3.2安全目标 (30)
3政务外网网络安全体系设计 (34)
3.1政务外网安全域划分 (34)
3.1.1安全域设计原则 (34)
3.1.2安全域划分 (35)
3.2安全域间的隔离防护 (37)
3.3统一安全管理平台设计 (38)
3.4传输加密系统设计 (42)
3.5网络安全设计 (43)
3.5.1防火墙子系统设计 (43)
3.5.2入侵检测系统设计 (44)
3.5.3入侵防御系统设计 (45)
3.5.4准入控制子系统设计 (46)
3.6主机安全设计 (47)
3.6.1漏洞扫描子系统设计 (47)
3.6.2病毒防护子系统设计 (48)
3.6.3终端管理子系统设计 (49)
3.7应用平台安全体系 (49)
3.7.1身份认证与授权管理系统 (49)
3.7.2备份与恢复子系统设计 (51)
3.7.3数据库安全审计与监控 (52)
3.8安全产品部署 (55)
4安全产品选型要求 (56)
4.1安全管理中心 (56)
4.1.1功能 (56)
4.1.2产品资质 (62)
4.2网络加密机 (63)
4.2.1功能 (63)
4.2.2遵循标准 (63)
4.3防火墙/一体化安全网关系统 (63)
4.3.1功能 (63)
4.3.2产品资质 (64)
4.4网络入侵检测系统 (65)
4.4.1功能 (65)
4.4.2产品资质 (68)
4.5网络入侵防御系统 (68)
4.5.1功能 (68)
4.5.2资质 (69)
4.6网络防病毒系统 (69)
4.6.1功能 (69)
4.6.2产品资质 (70)
4.7漏洞扫描系统 (71)
4.7.1功能 (71)
4.7.2产品资质 (74)
4.8网络防病毒系统 (75)
4.9主机监控与审计系统 (75)
4.9.1功能 (75)
4.9.2产品资质 (83)
5方案设计总结 (83)
前言
电子政务外网是我国政府信息化建设的关键,随着政府部门信息化程度的提高,对信息系统的依赖程度越来越高。
同时,整个电子政务外网的信息系统所面临的各种安全风险也日益严重,如何更好地为电子政务外网和电子政务信息系统提供安全保障,确保电子政务外网的安全运行和信息化的健康发展是成都市电子政务网络和信息系统建设所面临的一个主要问题。
根据电子政务外网的主要功能和独特的安全需求,结合国家相关政策,建立信息中心的安全管理平台,强化信息系统基础平台的安全管理,建设可信的信息系统环境,为XXX 信息中心的各类信息系统的安全、可靠、稳定、高效的运行提供良好的基础和强有力的保障。
1方案设计思想
1.1总体指导思想
本设计结合了两种安全设计思想:
●等级保护思想
●动态网络安全体系思想
1.1.1等级保护思想
等级保护的核心思想是:坚持从实际出发,保障重点的原则,综合平衡建设成本和安全风险,区别不同情况,分类、分级、分阶段进行信息安全建设和管理。
实现等级保护,要遵循《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》的要求,对XXX网实施全面信息安全等级保护,从物理层面、网络层面、系统层面、应用层面和管理层面等角度,并结合具体的安全技术要求和安全管理要求,对XXX 网的信息系统的安全进行具体的规划、设计和实施,确保XXX 网的安全保护水平。
1.1.2动态网络安全体系思想
动态网络安全体系思想的根本目的是要保障安全系统设计具备良好的动态建设过程和安全可扩展性,促进建立易
扩展的网络安全保障体系。
动态网络安全体系的建设过程如下所示:
图1-1动态信息安全体系建设示意图
动态网络安全体系建设是一个周期性的循环过程,每个建设周期分为四个主要阶段:
网络安全评估
网络安全评估的目的是要准确详尽的掌握目前的网络安全状况,从而为后续建设过程提供指导和依据。
安全需求确认
安全评估将暴露企业的安全建设的薄弱环节,从而明确新的安全需求。
在安全评估的基础上进行安全需求的确认,将保障XXX最大的投资回报,以恰当的安全投入解决最关键、最紧迫的安全问题。
进行网络安全建设
在需求确认后,依靠安全技术,结合专业安全服务,建立XXX网网络安全系统,全面提升XXX网网络安全性能。
安全策略和安全管理建设:调整安全策略,加强安全管理
为了巩固安全系统的建设成果,使之发挥最大的安全功效,还需要及时的对企业的网络安全策略进行调整,进一步合理和加强网络安全管理,使得企业的网络安全状况和安全水平在更长的时间内满足企业发展需要,延长动态安全体系建设的周期,这样既能够保障安全性能,又有利于减少自身的投入。
任何安全保障措施都无法做到绝对的安全,当一个网络安全体系的建设周期完成后,系统必然会有残留风险的存在,可以考虑对安全建设后的网络系统进行二次安全评估,验证残留的风险的存在,验证残留风险是否可以接受,分析安全建设的成果功效。
随着自身网络系统和整体安全形势的发展,新的安全风险逐渐产生,同时系统原有的残留风险经过一定时间的积累后也逐步显现出其对网络系统的威胁性,这些风险越发不能被接受,此时需要开始进行新一轮的安全体系维护建设的周期。
1.2总体设计原则
在XXX信息中心信息安全系统解决方案的设计中,我
们将遵循以下的基本原则:
1、全方位实现安全性
安全性设计必须从全方位、多层次加以考虑,即通过物理层、链路层、网络层、系统层、应用层等的安全性设计措施来确实保证系统的安全。
2、管理与技术相结合
通过行政管理措施、机制和软硬件技术相结合,做到事先防范,事后补救的安全目标。
3、主动式安全和被动式安全相结合
主动式安全主要是从人的角度考虑,通过安全教育与培训,提高员工的安全意识,主动自觉地利用各种工具去加强安全性;被动式安全则主要是从具体安全措施的角度考虑,如防火墙措施、防病毒措施等。
4、充分考虑实用性
必须紧密切合要进行安全防护的实际对象来实施安全性,以免过于庞大冗杂的安全措施导致性能下降。
所以要真正做到有的放矢、行之有效。
安全系统的设计实施要充分考虑可实施性,安全防范措施要高效却又不能过于复杂,以免由于人为操作不符合要求等客观原因,降低系统的安全保密性。
在保证系统安全保密的前提下,寻求最佳的性能价格比,保证安全产品可在XXX 信息中心网络系统中良好运行,即具有良好的实用性、开放
性。
5、易于实施、管理与维护
整体安全实施方案的设计必须具有良好的可实施性与可管理性,同时还要具有易维护性。
6、具有较好的可伸缩性
安全系统设计,必须具有良好的可伸缩性。
整个信息安全系统必须留有接口,以适应将来系统规模拓展的需要。
7、节约系统投资
在保障安全性的前提下,必须充分考虑投资,将用户的利益始终放在第一位。
通过认真规划安全性设计,认真选择安全性产品(包括充分利用现有设备),达到为用户节约系统投资的目的。
8、从用户需求出发,建设用户真正需要的安全防御系统。
1.3依据标准
本方案制作过程中主要参考了以下标准:
➢ISO/IEC20000 IT服务管理国际标准体系(ITIL规范)
➢GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》
➢BS 17799:1999 《信息安全管理》
➢GB/T 20274-2006《信息系统安全保障评估框架》
➢GB 17859-1999 《计算机信息系统安全保护等级划分准则》
➢GB/T 19715.1-2005《信息技术信息技术安全管理指南》
➢GB/T 18336.1-2001 《信息技术安全技术信息技术安全性评估准则》
➢GB/T 16260-1996 《信息技术软件产品评价质量特性及其使用指南》
➢GB/T 17544-1998 《信息技术软件包质量要求和测试》
1.4安全模型
安全管理体现的是对一个安全事件发生与处理的过程,它是动态的,具有自己的生命周期。
花瓶模型把安全保障看作是一个时间函数,分为三个维度:防护、监控与审计,分别对应安全事件发生的前、中、后进行安全保障。
从形态上看,下边是信息收集网络,中间是三个安全维度形成的功能平台,上端是每个维度的客户操作与管理界面,整体构架好像是一个漂亮的花瓶,因此称作花瓶模型。
安全模型示意图如下所示:
图1-2 花瓶模型
安全管理功能的三个维度防护、监控、审计,既分离又相互依赖,建立在一个信息收集平台上。
它们也是花瓶中的三束花,同时也形成了信息安全体系的事前防护、事中监控及应急调度、事后审计三个阶段的全方位安全管理。
其中防护是提高自身的抵抗能力,重点处理网络中初级的、易识别的病毒与攻击,常用于网络的边界或不同安全域的隔离。
监控是分析系统中的异常行为,包括行为、状态、流量、协议等,以及处理当前的安全事件,尤其是新出现的、防护手段还不健全的新型攻击。
审计是针对内部人的,把各种行为记录在案,从管理角度给以震慑,出手必被抓,提高犯罪的成本。
审计不是亡羊补牢,而是重现过程,提取证据,并分析
攻击的轨迹,为新的防护手段提供依据。
花瓶中三束花枝通常对应的安全技术如下:
1.防护管理。
包括边界上的防护(防火墙、IPS、防水墙、UTM、防DOS攻击、流量整形系统、防垃圾系统)、统一身份认证系统、数字签名、通信加密、主机(服务器与终端)安全系统、防病毒系统、补丁管理系统、系统(主机、存储、链路)备份与容灾;
2.监控与应急平台。
包括IDS、漏洞扫描系统、病毒扫描系统、异常流量分析系统、网络状态监控系统、业务持续性服务监控系统、机房监控系统;
3.安全审计。
包括网络行为审计、运维管理审计、数据库审计、业务合规性审计。
同时,我们将为XXX提供对应的安全服务,包括人员安全技能培训、人员安全意识培养等,同时我们也将协助XXX 进行安全策略的制定完善、安全管理的改善。
2政务外网安全需求分析
2.1网络及业务现状
2.1.1网络现状
XXX信息中心电子政务的基础网络架构为星型结构,各地市通过路由器等设备互联而成,最终形成了省、地市、县、三层架构的网络系统。
总体的网络部署如下图所示:
政务云安全解决方案V3.0
16
各地市的网络纵向向上连接省,向下连接各区县。
2.1.2业务现状
2.1.2.1业务应用描述
1)公务员管理系统
软件系统的目标以上述三个方面为基础,做到“简便、可行、公正、准确”地将绩效考核过程信息化,减轻工作人员繁重的手工劳动。
系统总体分为系统管理员功能、个人功能两大类。
系统管理员功能包括:
XXXXXXXXXXXX
个人功能包括:
XXXXXXXXXXXXXX
2)电子图书信息系统
系统主要功能:
XXXXXXXXXXXXXXX
业务流程图如下:
2.1.2.2业务流分析
XXX电子政务外网的业务流主要是:
➢纵向业务流
主要是指各部门“自上而下”及“自下而上”的业务流。
该业务流程包括政策制订、政策执行和效果监控三个环节。
从省到地方的纵向业务流,是目前XXX电子政务外网的主要业务流。
➢横向业务流
主要指各同级部门间协调配合产生的业务流,包括在政策形成过程中的沟通、协调、决策等业务流,以及在政策执行过程中各个不同渠道的反馈信息等。
➢综合业务流
主要是指在决策的制定及实施中,由不同层次、不同系统的职能部门及公众在各方面相互沟通、协调和配合产生的业务流。
随着网络经济发展,此类业务流也会越来越多。
同时移动警务,将产生大量综合性的业务流。
➢其他业务流
随着网络的不断改造,将会产生大量新的业务流,如数据存储和备份等。
2.1.2.3应用系统建设现状
XXX信息中心的应用系统主要包括:财政支付系统、公文传输、IP语音电话、省视频会议、四部门(工商、质检、国税、地税)对企业基础信息共享平台、金融办信用平台等,纵向包括部门(计生委、审计、纪检委)等业务应用系统/OA、
少量的视频会议系统。
操作系统主要有:等;
数据库:等;
中间件:等。
2.2安全风险分析
以下的几种风险是XXX信息中心信息系统网络需要加以解决的:
2.2.1网络风险
与外部网络互联的安全威胁
由于和外网互连后,病毒、攻击者可以将攻击或病毒携带在EMAIL、网页里,P2P软件里,MSN、QQ里传播进入内部网,通过内部人员上网的正常过程来感染内部客户机,这样就会出现大量数据流量,内部访问速度变慢的情况,严重的会直接导致交换机崩溃,所有网络通讯停止。
除了Internet,实际上外部的其它网络,由于不可控制,如果不注意安全防护,安全风险并不比Internet少,这也是种网络互联的风险。
所以,将与外部网络互联的安全威胁列为XXX信息中心信息系统的网络中的头号风险。
网络病毒威胁
网络是病毒传播的最好、最快的途径之一,病毒程序可以通过网页浏览、网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。
病毒的传播途径如此众多,传播速度如此之快,因此,病毒的危害是不可以轻视的。
网络中一旦有一台主机受病毒感染,则病毒程序就完全
可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
我们注意到XXX信息中心信息系统的网络(现状)比较庞大,各级网络之间均存在路由可以相互访问。
一旦有任何一个网络中的任何一台主机感染病毒,都将非常迅速地在整个网络中传播。
数据泄露的风险
各种信息资源的访问控制要建立在可靠的身份鉴别之上。
XXX信息中心信息系统的网络内未采用集中的证书认证系统,客户端对业务数据库的访问,几乎都是采用的用户名、口令方式,完全有可能因为口令泄漏、口令脆弱等各种原因导致身份假冒,从而使原有的访问控制措施失去效力。
并且远程管理也通过明文传输协议TELNET,FTP,SMTP,POP3,这样任何一个人都可以在内部窃听数据,通过简单的软件还原数据包,从而获得机密资料以及管理员口令,威胁所有服务器安全。
内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络。
如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编写破坏程序在内部网上传播;内部人员通过各种方式盗取他人涉密信息传播出去。
种种因素都将对网络安全构成很大的威胁。
从XXX信息中心组织架构上看,既不可能有一个管理中心来保证所有各级网络的安全性,又不可能有效管理每一个员工的网络行为,因此,采用某种手段来防范来源于内部的风险就显得特别重要。
数据可用性风险
数据是XXX信息中心信息系统的网络的基石。
从XXX信息中心信息系统的网络应虽然与外网物理隔离,但是网络内的工作站对数据库的频繁访问,如果没有相应的访问控制与审计措施,有可能被越权访问,并且无法追查,严重影响数据的可用性。
2.2.2数据安全
XXX信息中心信息系统中可能存在的数据安全风险如下:
●数据存储风险:保存在数据库及文件服务器中的数据
可能受到泄漏等风险,需要采取措施进行保护;
●数据使用风险:重要文件的使用、操作、保存等需要
建立安全技术体系及管理体系;
●数据通信风险:处于通信状态的数据,由于在网络中
传输,存在信息泄漏或窃取的风险。
2.2.3应用系统风险分析
XXX信息中心信息系统的应用系统由数据库系统平台、
中间件系统平台和XXX信息中心信息系统的网站系统平台组成等。
因此,对应用系统安全风险的分析也就是对各种系统平台的安全风险分析。
2.2.
3.1数据库系统平台风险分析
数据库系统一般可以理解成两部分:一部分是数据库,按一定的方式存取数据;另一部分是数据库管理系统(DBMS),为用户及应用程序提供数据访问,并具有对数据库进行管理、维护等多种功能。
随着计算机在社会各个领域的广泛应用,信息系统中的数据库管理系统担负着集中处理大量信息的使命,但是数据库通常没有像操作系统和网络那样在安全性上受到重视。
数据完整性和合法存取会受到很多方面的安全威胁,包括对数据库中信息的窃取、篡改和破坏,计算机病毒、特洛伊木马等对数据库系统的渗透、攻击,系统后门以及本身的安全缺陷等。
数据库系统平台是应用系统的核心,其面临的安全风险包括:
➢偶然的、无意的侵犯/或破坏。
自然的或意外的事故。
例如地震,水灾和火灾等导致的硬件损坏,进而导致
数据的损坏和丢失。
➢硬件或软件的故障/错误导致的数据丢失。
硬件或软件的故障/错误导致可能导致系统内部的安全机制的失
效,也可导致非法访问数据或系统拒绝提供数据服务。
➢人为的失误。
操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。
➢蓄意的侵犯或敌意的攻击。
授权用户可能滥用他们的权限,蓄意窃取或破坏信息。
➢病毒。
病毒可以自我复制,永久的或通常是不可恢复的破坏自我复制的现场,到达破坏信息系统、取得信
息甚至使系统瘫痪。
➢特洛伊木马。
一些隐藏在公开的程序内部收集环境的信息,可能是由授权用户安装(不经意的)的,利用
用户的合法权限窃取数据。
➢隐蔽通道。
是隐藏在合法程序内部的一段代码,在特定的条件下启动,从而许可此时的攻击可以跳过系统
设置的安全稽核机制进入系统,以达到窃取数据的目
的。
➢信息的非正常的扩散。
➢对信息的非正常的修改,包括破坏数据一致性的非法修改以及删除。
➢绕过DBMS直接对数据进行读写。
2.2.
3.2中间件系统平台风险分析
对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作,主要有非法截取阅读或
修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。
2.2.
3.3网站系统平台风险分析
网站的常见风险包括:
➢拒绝服务攻击
➢端口扫描
➢篡改网站主页
➢非授权用户访问
➢冒充合法用户的访问
➢Web服务器主机的详细信息被泄漏
➢Web服务器私人信息和保密信息被窃
➢利用Bug对Web站点进行破坏
2.2.4安全管理风险分析
目前XXX信息中心信息的各种安全产品独自提供安全管理监控平台,形成多个“信息孤岛”;而且安全管理人员较少、管理较为分散。
基于上述现状,一旦整个信息网爆发病毒或被黑客攻击,则安全管理员将无法从众多的安全设备中快速定位故障,不
能及时处理,可能将导致多个重要业务系统瘫痪,严重影响相关的生产和生活。
因此,安全管理问题具体表现为:
未实现以业务系统为核心的安全管理自动化处理流程。
目前,国家要求各行业业务系统根据业务重要性,评定业务系统的安全等级,并根据安全等级要求建立相应的安全等级保护机制,因此系统的安全管理只有以业务为核心,实现自动化管理流程才能做到高效率的安全管理。
对业务系统风险未进行统一和实时管理。
XXX信息中心运行业务系统庞大,用户涉及面广,虽然系统均在电子政务外网运行,但是由于业务系统的各级维护人员分散,没有统一进行管理管理的平台,不能统一对业务系统的安全进行管理和决策。
➢缺乏完整的安全管理方案,主要通过网络设备厂家提供的软件和手工方式对网络设备进行监测,完成基本的
安全管理工作,对于整个业务的风险控制还没有一种
有效的监控管理手段;
➢安全管理人员少,工作量大,面对大量的日常管理维护工作,设备配置,用户故障报警处理任务,大部分工
作时间在被动处理各类故障;
➢各系统分布在省、地市机房,各地技术水平不一,缺少
对设备集中监控手段;
➢由于网络规模大,设备涉及厂商及数量多,没有一种有效的综合监控和故障诊断工具,较难发现具体问题;
➢对于网络设备及服务器的性能情况缺乏统一量化的记录与统计分析数据;
➢现有的各种监控工具太零散、数据难以建立相关性,数据分析和故障定位主要依靠经验和人工分析;
➢缺乏网络/服务的宏观监控机制,不能准确了解网络/服务的整体运行情况;
➢由于地域分散,造成安全管理人员之间的沟通不畅,无法及时联系以排除故障;
➢缺乏整个网络监控机制,不能准确了解网络运行情况;
➢缺少安全监控能力,无法探测和掌握来自外部或者内部的针对主机、web系统、数据库等的可疑行为;
➢缺乏历史数据作为网络规划和扩容的基础依据;
➢缺乏事件、故障收集机制,不能将发生的时间、故障存储备案。
对于用户而言,真正的安全不是简单的设备资产安全,而是指业务系统安全。
IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以
及安全性,因为业务才是企业和组织的生命线。
要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。
2.3安全需求及安全目标
2.3.1安全需求
2.3.1.1安全产品需求
针对复杂的网络环境和层出不穷的攻击手段以及越来越多的混合型威胁对信息系统的影响,安全厂商相应的推出了不同种类的安全产品以解决上述的一种或多种威胁,在XXX 信息中心电子政务外网的网络安全解决方案设计中,启明星辰通过部署相关的安全产品来降低整个信息系统的安全威胁,在本次设计方案中并不是所有安全产品的简单堆砌,而是根据目标整体网络安全域体系设计的需要有计划的进行部署。
拟通过以下技术手段实施安全保护
1.利用防火墙实现内外网及不信任域之间的隔离与访问
控制。
2.通过主动入侵防御系统全面监视进出网络的所有访问
行为,并及时发现和拒绝网络内部不安全的操作和黑
客攻击行为并对攻击行为告警。
3.通过网络及系统的定期安全扫描,检测网络安全漏洞,
减少可能被黑客利用的不安全因素。
4.通过抗入侵防御系统实现服务器群的安全防护。
5.通过CA认证系统完善用户身份认证体系,保证用户身。