等级保护安全设计方案..pdf

资源描述

《等级保护安全设计方案..pdf》由会员分享，可在线阅读，更多相关《等级保护安全设计方案..pdf（45页珍藏版）》请在三一文库上搜索。

1、- I - 等级保护安全设计方案文档编号密级商业机密版本编号日期 - II - 目录一. 前言 1 二. 概述 1 2.1 项目目标 . 1 2.2 设计原则 . 2 2.3 依据标准 . 4 2.3.1 主要依据标准 . 4 2.3.2 辅助参考标准 . 5 三. 安全现状、风险与需求分析. 5 3.1 安全现状分析. 5 3.2 安全需求分析. 6 3.2.1 系统间互联安全需求分析 . 错误！未定义书签。 3.2.2 XX 大厦信息系统安全需求分析 . 错误！未定义书签。 3.2.3 投资广场信息系统安全需求分析 . 错误！未定义书签。 3.2.4 XX 大厦信息系统安全需求分

2、析 . 错误！未定义书签。四. 方案总体设计. 11 4.1 总体安全设计目标. 11 4.2 总体安全技术框架. 11 4.2.1 分区分域建设原则 . 11 4.2.2 一个中心三重防护的安全保障体系 . 12 4.2.3 安全防护设计 . 13 五. 等级保护详细安全建设方案. 14 5.1 技术建设 . 14 5.1.1 网络安全建设 . 错误！未定义书签。 5.1.2 主机及应用系统安全建设 . 错误！未定义书签。 5.1.3 数据安全及备份恢复建设 . 19 ? 2011xx科技密级：商业机密 - 1 - 一. 前言随着我国信息化建设的不断深入，我们对信息系统的依赖越来越强，国

3、家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度，已引起各界的关注。由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多，结构复杂，覆盖地域广阔，涉及的行政部门和人员众多，建设起来困难重重，我国多数信息系统安全一直停留在网络安全阶段。为了保障我国现代化建设的有序进行，必须加强我国的信息系统安全体系建设。信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此

4、各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。二. 概述 2.1 项目目标根据对 XXXX 运行监控系统的了解，并结合国家的相关政策标准，XXXX 运行监控系统的信息安全建设应落实关于信息安全等级保护工作的实施意见（公通字【 2004】66 号）和关于开展信息系统安全等级保护基础调查工作的通知 ? 2011xx科技密级：商业机密 - 2 -

5、（公信安【 2005】1431 号），实施符合国家标准的安全等级保护体系建设，通过对 XXXX 运行监控系统的安全等级划分，合理调配XXXX 运行监控系统的资源、信息科技资源、业务骨干资源等，重点确保XXXX 运行监控系统的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到XXXX 运行监控系统信息安全投入的最优化。实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”，具体目标是：并协助完成如下任务： 1、定级：根据国家等级保护的要求，对XXXX 运行监控系统提出合理的定级建议，组织专家评审定级是否

6、合理，协助甲方完成定级工作； 2、评估： XXXX 运行监控系统等级保护工作不是在原有网络基础之上进行整改，而是根据业务信息系统的需要全新构建一个安全的业务系统平台。在对 XXXX 运行监控系统信息系统建设需求进行调研、分析的基础上，按照等级保护二级的建设要求，以系统为单位进行安全风险评估，找出目标系统技术环节及管理环节的不足以及面临的威胁，出具安全风险评估报告并提出安全加固建议； 3、方案设计与评审：结合等级保护的技术和管理要求，提交XXXX 运行监控系统的安全设计方案。召开项目成果专家验收评审会， XXXX 运行监控系统的安全设计方案进行评审。 4、成果输出：后期建设期间,提供

7、咨询和支持 ,协助客户和集成商最终完成等级保护测评。 5、辅助测评：在第三方测评的前期准备，中期过程支持，后期遗漏修补，以帮助客户测评合格。 2.2 设计原则根据本次项目的目标，本项目应当遵循以下项目原则：一、符合性原则符合国家等级保护的相关标准、管理文件和流程要求；二、规范性原则 ? 2011xx科技密级：商业机密 - 3 - 工作中的过程文档和最终文档，具有很好的规范性，可以便于项目的跟踪和控制；三、最小影响原则评估工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响 ( 包括系统性能明显下降、网络拥塞、服务中断等) ；四、连续性原则

8、网络平台在进行网络设计时，不仅需要满足目前的需求，还要考虑到技术的发展，具备适度的前瞻性，能够满足现今和将来一段时期的需要。同时还要为未来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护，又要兼顾未来的发展和变化。本原则的贯彻主要体现在网络系统设计和应用系统设计方面。五、实用性原则实用性的原则的目的是在保证实用要求和技术可行性的前提下，要选择易于操作和管理，应用见效快的技术和方案，以及适当档次和价格的设备。这主要指： “从实际出发，讲求实效” ，在通讯网络平台的设计中，首先要考虑的是实用性和易于操作性，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有设备和资源的充

9、分利用，保护原有的投资。六、先进性原则为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用，将整个网络系统的技术水平定位于一个较高的层次上，从而保证系统的先进性，以适应新世纪的发展需要。七、可扩展性原则可扩充性和可延展性主要包括两个方面的内容：一是为网络将扩充新的节点和新的分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力，能够适应网络新技术发展的要求。八、可靠性原则鉴于通讯网络规模较大，数据类型复杂，要求网络系统必须具有较高的可靠性，和良好的网络管理能力，要充分考虑设备、线路和网络设计的冗余备份，网络模块要能够热插拔，以便在线更换和扩充。另外，通讯网络

10、系统较大，应能对其进行有效的管理与维护。 ? 2011xx科技密级：商业机密 - 4 - 九、安全性原则在系统建设中，安全性原则应在各个方面予以高度重视，计算机网络的建设也不能例外，特别是网络中和其他不可信网络进行了连接，有可能会发生这样那样的蓄意破坏事件，威胁到网络的可靠安全运行。因此在网络系统设计和实施等各个环节将严格遵循这项原则。在设计上采用恰当的技术手段为系统提供保护、监视、审计等手段。十、标准化、规范化方案所采用的技术和设备材料等，都必须符合相应的国际标准或国家标准，或者符合相关系统内部的相应规范。便于系统的升级、扩充，以及与其它系统或厂家的设备的互连、互通。 2

11、.3 依据标准 XXXX运行监控系统属于国家信息建设的组成部分，其信息安全保障体系的建设必须要符合国家相关法律和要求，我国对信息安全保障工作的要求非常重视，国家相关监管部门也陆续出台了相应的文件和要求，从标准化的角度，XXXX运行监控系统的安全规划应参考以下的政策和标准： 2.3.1 主要依据标准在本次安全策略开发中，依据的主要标准以等级保护为主，具体标准如下：证券期货业信息系统安全等级保护基本要求( 送审稿 ) 信息系统安全等级保护基本要求（GB/T22239-2008）计算机信息系统安全保护等级划分准则（GB17859-1999 ）信息系统安全保护等级定级指南（GB/T222

12、40-2008）信息系统等级保护安全设计技术要求信息安全等级保护实施指南信息安全技术网络基础安全技术要求(GB/T 20270-2006) 信息安全技术信息系统通用安全技术要求(GB/T 20271-2006) ? 2011xx科技密级：商业机密 - 5 - 信息安全技术操作系统安全技术要求(GB/T 20272-2006) 信息安全技术数据库管理系统通用安全技术要求 (GB/T 20273-2006) 信息安全技术信息系统安全等级保护基本模型 (GA/T 709-2007) 2.3.2 辅助参考标准 ISO27000 关于开展信息安全风险评估工作的意见

13、2006 年 1 月国家网络与信息安全协调小组关于印发信息安全风险评估指南的通知2006 年 2 月国信办（国信办综 20069 号） IATF ：信息保障技术框架。由美国国家安全局组织编写，为信息与信息基础设施的安全建设提供了技术指南。 ISO/IEC15408 （CC）：信息技术安全评估准则。该标准历经数年完成，提出了新的安全模型，是很多信息安全理论的基础。三. 安全现状、风险与需求分析 3.1 安全现状分析说明：此拓扑为逻辑拓扑图，接口和系统为逻辑接口和逻辑系统模型，如有与实际情况不符的地方可修改。现状说明：系统的数据仓库专用网在XX大厦，本系统的数据对外交换平台，

14、也是整个系统的中枢环节。 XX大厦的数据仓库专用网包括五个对外的逻辑接口。接口 1 主要接收来自上交所、深交所、中登总部主机、期货保证金监控中心、投保基金的数据；接口2 接收来自互联网供应商的数据；接口3 主要 ? 2011xx科技密级：商业机密 - 6 - 接收来自人民银行、外管局、发改委、统计局的数据；接口4 主要与投资广场进行数据交互；接口5 主要与 XX大厦进行数据交互。系统内部还包括 WEB/APP 、数据库服务器、磁盘阵列等。投资广场的系统开发人员和运维人员主要负责数据仓库专用网的开发和运维工作，在投资广场包括两个接口，接口1主要负责与 XX大厦进行数据交互；接口

15、2 为互联网接口连接Internet，与内网系统物理隔离。 XX大厦通过接口 1 与 XX大厦进行数据交互，用户终端和管理服务器对数据监控和管理。并且通过手工导入的方式向会内网导入一些会内网需要的数据信息。 3.2 安全技术需求分析 3.2.1 主机安全需求分析 3.2.1.1 身份鉴别需要对整个 XXXX 运行监测系统的终端和服务器进行安全配置或部署安全产品，使操作系统和数据库系统的用户名不能相同且用户口令或密码具有不被仿冒的特点，满足密码复杂性要求并定期对口令或密码进行更换；当用户口令或密码输入错误达到一定数量需要采取一定的限制措施；远程管理时需要防止鉴别信息被窃听。 3.2

16、.1.2 访问控制需要对 XXXX 运行监测系统的终端和服务器进行安全配置，删除多余的账号；实现操作系统与数据库系统账户的权限分离；限制默认账户的访问权限。 ? 2011xx科技密级：商业机密 - 7 - 3.2.1.3 安全审计需要通过对 XXXX 运行监测系统的终端和服务器启用审计功能或部署安全产品，对重要用户的行为和系统的运行状况进行审计且应保障审计系统被恶意的删除、修改或覆盖；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 3.2.1.4 入侵防范需要通过对 XXXX 运行监测系统的终端和服务器进行安全配置，保证其满足最小安装原则，仅安装业务所需的软

17、件程序；通过安全配置或部署安全产品进行补丁的更新。 3.2.1.5 恶意代码防范需要通过在 XXXX 运行监测系统的终端和服务器部署安全软件的方式，实现恶意代码的防范，安全软件应当支持统一管理。 3.2.1.6 资源控制需要通过对 XXXX 运行监测系统的终端和服务器进行安全配置，实现登陆操作系统超时锁定和设定用户对系统资源的使用限额；通过部署安全产品的方式限制终端登陆方式。 3.2.2 应用安全需求分析 3.2.2.1 身份鉴别 XXXX 运行监测系统的各应用模块需要提供身份鉴别功能，并且通过应用模块或者部署安全产品实现用户身份标识唯一化控制，提供登录失败处理功能，可采取结束

18、会话、限制非法登录次数和自动退出等措施。 ? 2011xx科技密级：商业机密 - 8 - 3.2.2.2 访问控制通过对 XXXX 运行监测系统的各应用模块的配置或通过部署安全产品，控制用户对文件或表单等的访问，设置用户业务所需的最小权限并限制默认用户的访问权限。 3.2.2.3 安全审计通过对 XXXX 运行监测系统的各应用模块的配置或通过部署安全产品，对用户的关键性动作进行审计，审计信息事件日期、时间、发起者信息、类型、描述和结果等内容，并保证审计信息不能随意的添加、删除、修改和覆盖。 3.2.2.4 通信完整性通过在 XXXX 运行监测系统部署安全产品实现，XX大厦与上交所

19、、深交所、中登主机、期货监控、投保基金，XX大厦与投资广场、 XX大厦等在进行数据交换过程数据的完整性保护。 3.2.2.5 通信保密性通过在 XXXX 运行监测系统部署安全产品对传输数据进行加密实现，XX大厦与上交所、深交所、中登主机、期货监控、投保基金，XX大厦与投资广场、 XX大厦等在进行数据交换过程数据的保密性保护。 3.2.2.6 软禁容错 XXXX 运行监测系统各应用模块的开发要满足容错的要求，提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；在软件故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。

20、? 2011xx科技密级：商业机密 - 9 - 3.2.2.7 资源控制资本运行监测系统通过自身开发或者部署安全产品，对用户访问资源的情况进行限制，对系统的最大并发连接进行限制，应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。 3.2.3 数据安全及备份恢复 3.2.3.1 数据完整性保护通过在 XXXX 运行监测系统部署安全产品或通过应用软件的开发，保护数据在传输过程中完整性不遭到随意破坏。 3.2.3.2 数据保密性保护通过在 XXXX 运行监测系统部署安全产品或通过应用软件的开发，对鉴别信息进行保密性保护。 3.2.3.3 备份和恢复 XXXX

21、运行监测系统通过备份恢复的机制，对于重要数据要每天进行备份，并且定期进行恢复检测；关键设备要有备机、备件，通信链路也要有冗余机制。 3.3 安全管理需求分析 3.3.1 安全管理制度为保障资本运行监测系统安全运行，应当有专门的部门和人员负责安全管理制度的制定，说明机构安全工作的总体目标、范围、原则和安全框架等；并对管理制度进行评审和修订。 ? 2011xx科技密级：商业机密 - 10 - 3.3.2 安全管理机构为保障资本运行监测系统安全运行，应设立专门的安全管理机构，并对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面进行管理和规范。 3.3.3 人员安全管理为

22、保障资本运行监测系统安全运行，应制定人员安全管理规定，在人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面制定相应的管理办法。 3.3.4 系统建设管理为保障资本运行监测系统安全运行，在系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务上选择等系统建设管理方面要制定相应的管理制度和手段。 3.3.5 系统运维管理为保障资本运行监测系统安全运行，在系统运维过程中要有环境管理、资产管理、介质管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等

23、管理制度和规定。 ? 2011xx科技密级：商业机密 - 11 - 四. 方案总体设计 4.1 总体安全设计目标通过分区分域的安全建设原则，根据XXXX 运行监控系统业务流的特点，将整个信息系统进行区域划分，突出了安全建设的重点，并且为“一个中心，三重防护”的安全保障体系提供了清晰的脉络，针对重点区域部署相对应的安全产品，达到等级保护要求的标准。 4.2 总体安全技术框架 4.2.1 分区分域建设原则安全访问控制的前提是必须合理地分区分域，通过划分安全域的方法，将信息系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据功能模块划分为不同的安全子域，安全域之间的隔

24、离与控制通过部署不同类型和功能的安全防护设备和产品，从而形成相辅相成的多层次立体防护体系。通过对系统的分区分域，不仅使网络结构清晰，而且防护重点明确，从而实现信息系统的结构化安全保护。对于信息系统，分区分域的过程应遵循以下基本原则：等级保护的符合性原则：对此模拟平台的搭建要符合等级保护相关标准的 “一个中心、三重防护”的要求。业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保证业务的正常运行和效率；结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分 ?

25、2011xx科技密级：商业机密 - 12 - 域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复杂和困难；立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防；生命周期原则：对于信息（应用）系统的分区分域建设，不仅要考虑静态设计，还要考虑变化因素，另外，在分区分域建设和调整过程中要考虑工程化的管理。在遵循以上原则的前提下，对信息系统进行安全区域划分。为了突出重点保护的等级保护原则，根据XXXX运行监控系统的业务信息流的特点，将XXXX运行监控系统进行区域划分。

26、分区分域规划图 4.2.2 一个中心三重防护的安全保障体系分区分域的建设原则按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以计算环境安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。从功能上可细分为系统管理、安全管理和审计管理，各管理员职责和权限明确，三权分立，相互制约。计算环境安全是信息系统安全保护的核心和基础。计算环境安全通过终端、服务器操作系统、上

27、层应用系统和数据库的安全机制服务，保障应用业务处理全过程的安全。通过在操作系统核心层和系统层设置以强制访问控制为主体的系统 ? 2011xx科技密级：商业机密 - 13 - 安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统得保密性和完整性，从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障。区域边界对进入和流出应用环境的信息流进行安全检查和访问控制，确保不会有违背系统安全策略的信息流经过边界，边界的安全保护和控制是信息系统的第二道安全屏障。通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传

28、输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息系统的第三道安全屏障。 4.2.3 安全防护设计安全部署图注：产品部署图为逻辑拓扑图，实际产品部署方式和数量要根据网络系统建设完成后的状况进行修订。 XX 大厦的计算环境中，测试区和WEB/APP 、数数据库服务器分别建立不同的网段进行隔离；在所有主机上部署防病毒软件；服务器都要进行安全配置。区域 ? 2011xx科技密级：商业机密 - 14 - 边界方面，测试区与应用数据区进行数据交换式，要通过防火墙进行隔离； WEB/APP 与数据库服务器进行数据交换时，只在核心交换区开放数据交换需要通信的IP 和端口；在核心交

29、换区部署网络审计系统，对通过核心交换区的数据进行审计，并对数据库的使用进行审计；在应用数据区前部署IPS，保护重要服务器免受入侵；在在核心交换区部署IDS 系统，对网络中的入侵行为进行审计追踪。传输网络方面上交所、深交所、中登主机等于XX大厦通信的数据保密性要求较高，需要通过加密机对数据进行加密处理。 XX 大厦的计算环境方面，终端和服务器要安装杀毒软件，用户终端需要安装桌面管理系统进行统一管理，服务器需要进行安全配置；用户终端和服务器区分配不同的网段进行隔离，通过交换区进行数据交换。区域边界方面，在交换区部署网络审计系统，对数据流量进行审计核查；在外部边界区部署防火墙。投资广

30、场的计算环境方面，终端和服务器要安装杀毒软件，内部用户终端需要安装桌面管理系统进行统一管理，服务器需要进行安全配置；外部开发人员、内部开发人员和维护人员分配不同的网段进行隔离，通过交换区进行数据交换。在外部边界区部署防火墙；与互联网通信的终端，要和内网用户做完全的物理隔离，并且通过防火墙和内容安全管理系统进行隔离和对网络访问行为进行核查。五. 等级保护详细安全建设方案根据系统总体安全状况与需求分析指标的符合程度，针对信息系统中不符合指标的各个分析对象，如安全控制、管理制度等，提出相应的整改建议和措施，对信息系统的安全防护进行加固，从而保障信息系统运营、使用的安全性和连续性，也

31、为信息系统安全运维及后续等级保护测评做好充足的准备和良好的铺垫。 5.1 技术建设方案资本运维监控平台信息安全技术建设的核心设计思想是：构建集防护、检测、响应、恢复于一体的安全保障体系。以全面贯彻落实等级保护制度为核心，打造 ? 2011xx科技密级：商业机密 - 15 - 科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，切实保障信息安全。另外，资本运维监控平台信息系统技术层面的设计充分遵从国家特别是公安部等级保护的相关标准要求。按照公安部颁布的信息系统等级保护定级指南完成信息系统的定级备案工作、按照信息系统等级保护技术要求进行技术保障设计。信息安全技

32、术体系的作用是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。安全技术体系由物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复五个部分组成。 5.1.1 主机安全建设 5.1.1.1 终端管理系统和杀毒软件终端管理系统通过终端管理系统所提供的安全机制。如通过身份认证机制可以确保非授权用户无法登录服务器，从而保证能够访问服务器的用户是可控的；通过访问控制机制可以限制用户的权限，规定用户能做什么，不能做什么，防止越权访问，确保服务器中的重要数据无法被非法泄露或窃取；通过数据加密保护机制，确保非授权用户无法获取服务器中的的重要数据；通

33、过执行程序真实性和完整性度量，确保服务器操作系统无法被病毒、木马、攻击程序等恶意代码破坏；通过用户行为审计机制，可以防违规行为的抵赖，做到事后追查。杀毒软件查杀整个系统中的各种病毒、木马等恶意代码，并且能够对所有主机的病毒库进行统一升级和管理。【合规性要求】: 控制类控制点指标名称措施名称改进动作改进对象 ? 2011xx科技密级：商业机密 - 16 - 主机安全访问控制a 应启用访问控制功能，依据安全策略控制用户对资源的访问；访问控制策略安全产品配置操作系统主机安全访问控制b 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小

34、权限；管理用户权限最小化安全产品配置操作系统主机安全访问控制c 应实现操作系统和数据库系统特权用户的权限分离；特权用户权限分离安全产品配置操作系统主机安全访问控制d 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；限制默认帐户安全产品配置操作系统主机安全访问控制e 应及时删除多余的、过期的帐户，避免共享帐户的存在。清理帐户安全产品配置操作系统主机安全入侵防范a 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP 、攻击的类型、攻击的目的、攻击的

35、时间，并在发生严重入侵事件时提供报警；采购与配置主机入侵检测软件安全产品配置操作系统主机安全入侵防范b 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；配置主机入侵检测软件的完整性检测和恢复功能安全产品配置操作系统主机安全入侵防范c 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。主机最小安装安全产品配置操作系统主机安全入侵防范d 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升

36、级服务器等方式保持系统补丁及时得到更新。设置补丁服务器安全产品配置操作系统控制类控制点指标名称措施名称改进动作改进对象主机安全资源控制a 应通过设定终端接入方式、网络地址范围等条件限制终端登录；主机安全配置与加固安全产品配置操作系统 ? 2011xx科技密级：商业机密 - 17 - 主机安全资源控制b 应根据安全策略设置登录终端的操作超时锁定；主机安全配置与加固安全产品配置操作系统主机安全资源控制c 应对重要服务器进行监视，包括监视服务器的CPU 、硬盘、内存、网络等资源的使用情况；采购部署网管监控系统，实现

37、重要服务器监控安全产品配置操作系统主机安全资源控制d 应限制单个用户对系统资源的最大或最小使用限度；主机安全配置与加固安全产品配置操作系统主机安全资源控制e 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。配置网管系统的监控与报警，实现服务水平监控安全产品配置操作系统 5.1.2 应用安全建设 5.1.2.1 网络安全审计系统对于网络访问的审计已经在网络安全建设中提出了完整地解决方案，先就应用层的安全审计提出具体解决方案。细粒度的网络内容审计：安全审计系统可对网站访问、邮件收发、远程终端访问、数

38、据库访问、论坛发帖等进行关键信息监测、还原；全面的网络行为审计：安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P 下载、网络游戏等，提供全面的行为监控，方便事后追查取证；综合流量分析：安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持；满足基本要求中的控制点控制类控制点指标名称措施名称改进动作改进对象 ? 2011xx科技密级：商业机密 - 18 - 应用安全安全审计 a 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户审计数据记录要求采购部署用户行为应用

39、安全安全审计 b 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计数据记录要求网络审计功能配置用户行为应用安全安全审计 c 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等审计数据分析与报表网络审计功能配置用户行为应用安全安全审计 d 应能够根据记录数据进行分析，并生成审计报表审计数据分析与报表网络审计功能配置用户行为数据安全及备份恢复数据完整性 a 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必

40、要的恢复措施数据完整性检验数据库审计功能配置数据库审计数据安全及备份恢复数据完整性 b 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。数据完整性检验数据库审计功能配置数据库审计 5.1.2.2 堡垒主机于传统网络安全审计主要通过旁路镜像或分光方式，分析网络数据包进行审计，导致该系统只能对一些非加密的运维操作协议进行审计,如 telnet ；却无法对维护人员经常使用的 SSH 、RDP 等加密协议、远程桌面等进行内容审计。集中账号管理：堡垒机建立基于唯一身份标识的全局实名制管理，通

41、过对用户从登录到退出的全程操作行为审计，监控用户对被管理设备的所有敏感关键操作集中访问控制：堡垒机通过集中统一的访问控制和细粒度的命令级授权策略，确保用户拥有的权限是完成任务所需的最小权限。满足基本要求中的控制点控制类控制点指标名称措施名称改进动作改进对象网络安全网络设备防护 a 应对登录网络设备的用户进行身份鉴别；配置登录身份鉴别通过堡垒主机进行强制管理网络设备网络安全网络设备防护 b 应对网络设备的管理员登录地址进行限制配置登录地址限制通过堡垒主机进行强制管理网络设备网络安全网络设备防护 e 身份鉴别信息应具有不易被冒用的特点，口令应有复

42、杂度要求并定期更换；配置口令复杂度与更换要求通过堡垒主机进行强制管理网络设备 ? 2011xx科技密级：商业机密 - 19 - 网络安全网络设备防护 f 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施配置登录失败处理功能通过堡垒主机进行控制网络设备网络安全网络设备防护 g 当对网络设备进行远程管理时，应采取必要措施防止信息在网络传输过程中被窃听管理采用 SSH等加密方式通过堡垒主机实现网络设备网络安全网络设备防护 h 应实现设备特权用户的权限分离。用户权限分离通过堡垒主机进行配置网络设备主

43、机安全访问控制e 应及时删除多余的、过期的帐户，避免共享帐户的存在。清理帐户通过堡垒主机进行强制管理操作系统与数据库主机安全访问控制b 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限管理用户权限最小化通过堡垒主机进行配置操作系统与数据库主机安全访问控制d 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令限制默认帐户通过堡垒主机进行强制管理操作系统与数据库主机安全资源控制b 应根据安全策略设置登录终端的操作超时锁定主机安全配置通过堡垒主机进行配置操作系统 5.1.3 数据安全及备份

44、恢复建设数据是资本运维监控平台保护的核心内容。数据的安全防护要求包括机密性、完整性、可用性。机密性则通过加密方式对敏感数据进行加密操作。数据完整性通过数字摘要技术结合应用系统保证数据交换传输过程的完整。数据可用性则通过数据备份冗余操作实现。在分析了应数据安全及备份恢复的需求以后，数据安全及备份恢复层的安全需求可以分为以下几种类型：数据完整性数据保密性备份和恢复数据的保密性和完整性需要通过备份机制来实现，备份机制是针对可能发生的计算机网络与信息系统(重点包括：网站系统、基础物理环境、网络故障、病毒的预案等 )突发（灾难）事件进行预先防范安排，通过部署数据备份设备和备份系

45、? 2011xx科技密级：商业机密 - 20 - 统来保证安全事件发生时以最快速度做出反应，控制和减轻破坏造成的影响，提高数据的安全性。 5.2 管理设计方案除了采用信息安全技术措施控制信息安全威胁外，安全管理措施中国证监会XXXX 运行监测系统等级保护建设中必不可少的内容，所谓“三分技术，七分管理”就是这个道理。安全技术措施和安全管理措施可以相互补充，共同构建全面、有效的信息安全保障体系。根据信息系统安全等级保护基本要求，安全管理体系主要从如下内容考虑：安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理 5.2.1 安全管理机构信息系统安全等级保护基本要求在岗

46、位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。针对XXXX 运行监测系统应该建立专门的安全职能部门，配备专门的安全管理人员，管理应用系统的信息安全管理工作，同时对安全管理人员的活动进行指导。 5.2.2 安全管理制度信息系统安全等级保护基本要求在管理制度、制定和发布、评审和修订等三个方面对安全管理制度提出了要求。中国证监会在XXXX 运行监测系统建设过程中应根据实际情况，在系统负责人的领导下，组织相关人员制定和发布相关安全管理制度、安全运维制度和安全操作规程等，并做好相关制度的培训和落实，在系统运行过程中，要定期对相关制度进行评审和修

47、订。 ? 2011xx科技密级：商业机密 - 21 - 5.2.3 人员安全管理人员安全管理要求在人员的录用、离岗、考核、培训以及第三方人员管理上，都要考虑安全因素。人员入职管理：从信息安全角度对在人员录用过程中各流程提出安全需求。人员在职管理：从员工信息安全守则、系统用户信息安全考核、教育培训三个方面提高在职人员的信息安全意识。人员离职管理：分析员工在离职过程中存在的信息安全风险。第三方人员安全管理：对第三方人员进行定义，阐述第三方人员管理中存在的信息安全风险，并需要采取的管理方法。 5.2.4 系统建设管理信息系统安全等级保护基本要求在系统建设管理阶段针对系统定级、安全方

48、案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全测评、安全服务商选择等等方面提出了具体的要求。目前，系统定级、系统备案的工作已经或即将完成。工程实施、测试验收、系统交付等方面需要在产品购买后进行。而其他的一些方面，如自行软件开发、外包软件开发等，这里不涉及。在安全服务商选择方面，我们建议系统的相关领导，选择有实力，有信誉的专业安全服务厂商。关于安全方案的设计，请详见本文安全技术体系建设章节。 5.2.5 系统运维管理信息系统安全等级保护基本要求在环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管

49、理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等13 个方面对系统运维管理进行了详细的要求，是等级保护管理体系建设最为重要的部分。系统运维管理方面，本方案建议通过内部管理人员维护和采用专业安全厂商的安全服务相结合的方式来实现。在一定程度上说，安全服务是一种专业经验服务。安全服务提供商长期的服务经验积累、对行业的深刻理解、处理安全问题（事件）的最佳做法、科学的安全思维方式、正确的安全思维方法都是为用户提供完善安全解决方案的动力来源。 ? 2011xx科技密级：商业机密 - 22 - 针对以上五个方面的管理合规性建设，建议考虑在系统建设过程中，首先考虑制订和完善信息安全管理制度，达到合规性的要求，再逐步不断完善和落实安全这些管理制度，并不断完善和修订，建议建设完善以下管理制度。文档编号名称主要内容信息安全策略 MAN-001 中国证监会XXX机构信息安全策略本文档是一个总体的策略性架构文件，作为各个分项安全制度设计的指导文件 RM-002 中国中国证监会XXX机构风险管理策略本文档规定了中国证监会XXX机构采用的信息安全风险管理方法和过程，通过识别风险分析和控制措施实施将信息安全风险控制在可接

展开阅读全文