IT安全保障体系规范-技术分册-IT安全技术保护措施应用指南_V1.0

中国电信中国电信 ITIT 安全保障体系建设规范安全保障体系建设规范 技术分册技术分册 ITIT 安全技术保护措施应用指南安全技术保护措施应用指南 V1.0 2011 年年 10 月月 中国电信集团公司中国电信集团公司 IT 安全技术保护措施应用指南 第 1 页 /共 81 页 目目 录录 第第 1 章章概述概述.3 1.1目的.3 1.2适用范围.3 1.3文档说明.3 1.4规范文档.4 第第 2 章章IT 安全保护现状分析安全保护现状分析 .5 2.1IT 安全挑战与现状概述5 2.2IT 安全技术保护措施6 2.3IT 安全威胁与安全技术保护措施对应表7 第第 3 章章IT 安全技术保护架构安全技术保护架构 .10 3.1IT 安全保障体系技术架构图10 3.2三大安全防护能力.11 3.3六个安全防护层面.11 第第 4 章章IT 安全技术保护措施标准组件库定义安全技术保护措施标准组件库定义 .13 4.1IT 安全技术保护措施标准组件库概述13 4.2标准组件库编号说明.13 4.3标准组件库选用原则.14 4.4标准组件安全保护等级对应表.14 第第 5 章章IT 安全技术保护措施标准组件库安全技术保护措施标准组件库 .18 5.1安全识别与监控措施.18 5.1.1入侵检测系统.18 5.1.2安全漏洞扫描.21 5.2安全技术防护措施.24 5.2.1网络访问控制.24 5.2.2入侵防御系统.28 5.2.3拒绝服务攻击防御.31 5.2.4VPN安全接入35 5.2.5数据库安全保护.39 5.2.6恶意代码保护.42 5.2.7网页防篡改.46 5.2.8WEB应用访问控制49 5.2.9网络流量管控.52 5.2.10数据安全保护.57 5.2.11终端安全保护.60 5.2.12身份认证.63 5.2.13安全配置加固.67 5.3安全审计与恢复措施.69 IT 安全技术保护措施应用指南 第 2 页 /共 81 页 5.3.1安全审计.69 5.3.2堡垒主机.73 5.3.3备份与恢复.77 第第 6 章章附录附录.80 附录 1、文档编制人员名单 .80 附录 2、参考文献 .80 IT 安全技术保护措施应用指南 第 3 页 /共 81 页 章 1 1 章概述概述 1.1 目的 为了保障中国电信 IT 系统安全稳定运行，基于 IT 系统的安全保护等级，遵循深 度防御的原则，采取适度有效的安全技术防护措施和手段，进一步提高 “风险识别、 威胁主动防御、事件响应处理”三项安全保障能力，以实现对 IT 系统进行层次化、差 异化安全保护的目标。 1.2 适用范围 本指南适用于中国电信集团公司及下属省（市）电信公司 IT 系统及其支撑环境的 安全保护工作。 1.3 文档说明 结合中国电信 IT 安全的实际情况，为了有效落实和执行本指南，特做如下说明： 1. 目前中国电信物理机房实现统一建设和集中管理，而且物理机房已经实现相对 标准化的安全技术防护措施，因此本指南 IT 安全技术防护措施不包括物理安全 措施； 2. 本指南所涉及的安全防护措施以产品方式和参照安全配置指南方式进行部署实 施，因此涉及安全配置的防护措施细节请参照相关配置文件； 3. 本指南的 IT 安全技术保护措施适用于中国电信当前所面临的安全威胁，当安全 威胁发生变化后应当进行更新。 IT 安全技术保护措施应用指南 第 4 页 /共 81 页 1.4 规范文档 IT 安全技术保护措施应用指南在中国电信集团公司 IT 安全保障体系规范中的 位置如下图所示： 策略 规范 指南 I IT T安安全全技技术术保保护护 措措施施应应用用指指南南 管理分册技术分册 中国电信IT安全保障 体系规范 要求 规范 指南 总体规范 IT 安全技术保护措施应用指南 第 5 页 /共 81 页 章 2 2 章ITIT 安全保安全保护现护现状分析状分析 2.1 IT 安全挑战与现状概述 中国电信 IT 系统支撑电信核心业务，随着中国电信全业务运营战略的推进，电信 业务不断发展为 IT 系统安全保护方面提出了新的挑战和要求，具体分析如下： 1）攻击手段和攻击方式在发生变化）攻击手段和攻击方式在发生变化 从近年来安全事件的原因分析来看，一方面随着技术的发展，来源于外部攻击的 方式层出不穷，攻击更加隐蔽，攻击工具更智能化，攻击的破坏力更大，更加难于处 理和防范；另一方面，来自于内部的攻击威胁日趋严重，以经济利益驱动的攻击和窃 取公司重要数据行为成为新形势下的主要攻击形式。 2）全业务运营带来新的挑战）全业务运营带来新的挑战 在中国电信新的市场战略驱动下，IT 系统集中程度越来越高，数据大集中对系统 可靠性、稳定性的要求随之提高，数据集中化处理使 IT 系统的访问对象也日趋复杂， 各种安全威胁日益增多，一旦发生重大安全事件，往往会导致灾难性的后果，由此所 带来的经济损失及公司品牌的负面影响巨大。 3）安全防护措施建设现状）安全防护措施建设现状 由于中国电信前期安全建设相对滞后于系统建设，大多数省公司仍没有部署合理 完善的 IT 安全防护措施，无法有效的防范外部的入侵攻击行为，无法保护企业重要 数据信息，无法有效地保障 IT 系统安全稳定运行。 IT 安全技术保护措施应用指南 第 6 页 /共 81 页 2.2 IT 安全技术保护措施 目前中国电信在 IT 安全保护方面已经采取了相应的安全技术保护控制措施，实现 了基本的 IT 安全保护要求，具体的安全技术保护措施包括： 1 安全识别与监控方面 1)部分省公司在重要计算区域部署了 IDS 或 IPS 设备，能对非法的网络行为 进行有效的检测和阻断； 2 安全防护方面 1)部分省公司网络进行了安全区域改造，并且部署相应的安全访问控制策略； 2)各省公司主要网络边界部署了防火墙等安全设备，实现了内部网络和外部 网络的隔离和控制； 3)部分省份已经部署了网路防病毒软件和防病毒网关，能够对病毒、蠕虫等 恶意代码有效的防护和控制； 4)第三方合作伙伴和互联网接入基本都采用了专线或者 VPN 接入方式，保 障了数据传输的安全性； 5)部分省公司部署了用户集中认证管理系统（4A），实现了对用户账号的集 中控制和管理； 6)部分省公司在互联网边界部署了网络流量管理系统，能够对网络流量进行 监控和控制； 7)部分省公司部署了 WEB 应用防火墙，为针对 WEB 应用层的各种攻击行 为，如：SQL 注入、跨站等提供了有效的保护； 3 安全审计与恢复方面 1)部分省公司部署集中日志审计管理平台，实现了日志的集中收集保存和统 一的审计分析。 IT 安全技术保护措施应用指南 第 7 页 /共 81 页 2.3 IT 安全威胁与安全技术保护措施对应表 威胁是一种可对资产构成潜在破坏的因素，是客观存在的。威胁可以通过威胁主 体、动机、途径等多种属性来描述。威胁可能是对 IT 系统直接或间接的攻击，例如非 授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁可能 是偶发的事件，也可能是蓄意的事件。 一般来说，威胁总是要利用资产（网络、系统、应用或数据等）的弱点才可能成 功地对资产造成伤害。如果资产没有相应的弱点，即使威胁发生也不会对资产造成伤 害，如果没有相应的威胁发生，单纯的资产本身弱点也不会对资产造成损害，因此进 行威胁分析时，应当与资产及资产弱点分析相结合。 IT 安全技术保护措施是针对特定的安全威胁的手段和方法，主要通过保护降低减 弱中国电信 IT 资产的安全威胁，提高资产的安全性和可靠性。具体对应表如下： IT 安全威胁类型安全威胁类型 IT 安全技术保护措施安全技术保护措施 序号序号 威胁威胁 分类分类 威胁威胁 名称名称 威胁威胁 来源来源 威胁威胁 动机动机 威胁对象威胁对象威胁影响威胁影响安全识别安全识别 与监控与监控 安全防护安全防护安全审计与安全审计与 恢复恢复 病毒外部故意系统机密性、完整 性、可用性 木马外部故意系统机密性、完整 性、可用性 蠕虫外部、 内部 故意、 无意 网络、系统机密性、完整 性、可用性 后门外部、 内部 故意系统、应用机密性、完整 性、可用性 1 系统 恶意 代码 间谍软 件 外部故意系统、应用机密性、完整 性、可用性 安全漏洞扫 描 身份认证、 恶意代码保 护、防病毒 网关 堡垒主机、安 全审计 拒绝服 务攻击 外部攻 击 故意网络、系统、 应用 可用性入侵检测系 统 拒绝服务攻 击保护、入 侵防御 安全审计 僵尸网 络 外部攻 击 故意网络、系统、 应用 可用性入侵检测系 统 拒绝服务攻 击保护、入 侵防御 安全审计 2 网络 安全 攻击 网络欺 骗攻击 外部攻 击 故意网络、系统机密性、完整 性、可用性 入侵检测系 统 网络访问控 制、入侵防 御 安全审计 IT 安全技术保护措施应用指南 第 8 页 /共 81 页 嗅探扫 描 外部攻 击 故意网络、系统机密性、可用 性 安全漏洞扫 描、入侵检 测 网络访问控 制、入侵防 御 安全审计 非法数 据传播 外部、 内部 故意网络机密性网络流量管 理 安全审计 SQL 注 入攻击 外部、 内部 故意应用机密性、完整 性、可用性 入侵检测系 统、安全漏 洞扫描 WEB 应用 保护墙、入 侵防御系统 安全审计 跨站攻 击 外部、 内部 故意应用机密性、完整 性、可用性 入侵检测系 统、安全漏 洞扫描 WEB 应用 保护墙、入 侵防御系统 安全审计 缓冲区 溢出攻 击 外部、 内部 故意应用机密性、完整 性、可用性 入侵检测系 统、安全漏 洞扫描 WEB 应用 保护墙、入 侵防御系统 安全审计 文档上 传攻击 外部、 内部 故意应用机密性、完整 性、可用性 入侵检测系 统、安全漏 洞扫描 WEB 应用 保护墙、入 侵防御系统 安全审计 4 应用 攻击 网站网 页挂马 外部、 内部 故意应用机密性、完整 性、可用性 入侵检测系 统、安全漏 洞扫描 WEB 应用 保护墙、入 侵防御系统、 网页防篡改 安全审计 数据泄 密 外部、 内部 故意、 无意 数据机密性身份认证、 VPN 安全接 入、数据安 全防护、数 据库安全、 终端安全防 护 堡垒主机、审 计系统 数据篡 改 外部、 内部 故意数据完整性、可用 性 身份认证、 VPN 安全接 入、数据安 全防护、数 据库安全、 终端安全防 护 堡垒主机、审 计系统、备份 与恢复 5 数据 安全 攻击 数据损 坏丢失 内部故意、 无意 数据完整性、可用 性 身份认证、 VPN 安全接 入、数据安 全防护、数 据库安全防 护、终端安 全防护 堡垒主机、审 计系统、备份 与恢复 3 综合 权限 安全 非授权 访问 外部、 内部 故意网络、系统、 应用、数据 机密性、完整 性、可用性 身份认证、 入侵防御系 统、终端安 全防护 安全审计 IT 安全技术保护措施应用指南 第 9 页 /共 81 页 权力滥 用 内部故意网络、系统、 应用、数据 机密性、完整 性、可用性 终端安全防 护 安全审计 IT 安全技术保护措施应用指南 第 10 页 /共 81 页 章 3 3 章ITIT 安全安全技技术术保保护护架构架构 3.1 IT 安全保障体系技术架构图 根据中国电信 IT 安全保障体系建设总体规范的设计要求，依照 IT 安全保障体系 技术架构模型，设计 IT 安全技术保护措施，实现 IT 安全技术保护措施的规范化和标 准化，架构图如下所示： 图 3-1 IT安全技术架构模型 IT 安全保护措施以 IT 安全技术的三大能力和六个安全防护层面（物理除外）为 基础，设计相应的安全保护组件，实现中国电信 IT 安全保护工作规范科学。 IT 安全技术保护措施应用指南 第 11 页 /共 81 页 3.2 三大安全防护能力 安全识别与监控措施：安全识别与监控措施：是中国电信 IT 安全防护能力的基础，主要能够评估和发现 IT 系统及相关资源的安全漏洞，对于网络入侵和攻击行为进行实时的监控和预警。 安全防护类措施：安全防护类措施：是提升中国电信 IT 安全防护能力的主要手段，根据中国电信实 际 IT 安全现状和安全防护需求，选择合适有效的安全技术防护措施，实现对 IT 系统 的安全弱点和威胁进行有效控制和防护。 安全审计与恢复类措施：安全审计与恢复类措施：是中国电信 IT 安全的审核和纠正性控制措施，能够实现 针对 IT 安全运行情况进行审计，对发生的安全事件进行恢复。 3.3 六个安全防护层面 物理安全：物理安全：物理环境是承载中国电信 IT 系统的各种基础设施以及相关的保障设施 所处的物理位置及周边环境。物理安全主要从基础保障、访问控制和环境监控等几个 方面对物理环境进行安全保护。 网络安全：网络安全：网络是中国电信 IT 系统的最重要的基础设施之一，是 IT 系统实现对 内、对外通信的主要承载体。网络安全主要从网络架构、访问控制、安全审计、边界 完整性和入侵防护等几个方面进行安全保护。 系统安全：系统安全：系统软件是中国电信各类应用系统运行的基础软件平台，主要包括操 作系统和数据库系统两类。系统安全从身份认证、访问控制、安全审计、入侵防范、 恶意代码防范等几个方面进行安全保护。 应用安全：应用安全：应用系统是中国电信 IT 系统中对外部提供业务服务或对内提供运行支 持的软件系统。应用安全主要从身份认证、访问控制、安全审计、剩余信息保护、通 信完整性、通信保密性和抗抵赖等方面进行安全保护。 IT 安全技术保护措施应用指南 第 12 页 /共 81 页 数据安全：数据安全：数据是中国电信最重要的信息资产，数据安全主要从保障数据的保密 性、完整性和对数据的备份及恢复方面进行安全保护。 终端安全：终端安全：中国电信终端包括 PC 终端设备以及智能移动终端，终端安全主要从补 丁管理、病毒防护、入侵检测、数据保护、准入控制等方面进行安全保护。 IT 安全技术保护措施应用指南 第 13 页 /共 81 页 章 4 4 章ITIT 安全技安全技术术保保护护措施措施标标准准组组件件库库定定义义 4.1 IT 安全技术保护措施标准组件库概述 为了确保 IT 安全技术保护措施的实施和落实，本指南以 IT 安全保护的不同等级 和安全保护基本要求为基础，采用 IT 安全技术保护措施组件模板库方式实现 IT 安全 技术保护措施的标准化和规范化。IT 安全技术保护措施标准组件库是从中国电信 IT 安全防护的三大能力的角度进行定义和组成，涉及物理、网络、系统、应用、数据和 终端六个安全防护层面。 4.2 标准组件库编号说明 本标准组件库的组件遵循以下格式进行编号： CTG-FHZJ-XXX-YYY - ZZZ CTG：中国电信 FHZJ：保护组件 XXX：大写字母表示组件所属保护能力类型的简称，具体保护能力类型如下： SBJK：安全识别与监控类 AQFH：安全防护类 SJHF：安全审计与恢复类 YYY：数字表示相应保护能力的第几类安全技术保护措施； 。 ZZZ：数字表示该安全技术保护措施的不同强度或不同分类 IT 安全技术保护措施应用指南 第 14 页 /共 81 页 示例：CTG-FHZJ-SBJK-01-1，表示该组件是中国电信安全识别与监控类的技术保 护措施的身份认证技术保护措施的第一分类。 4.3 标准组件库选用原则 本标准组件库用于中国电信 IT 安全保障体系的建设过程中，针对不同保护等级的 威胁，选择制定切实可行的 IT 安全保护方案。标准组件库使用原则如下： 全面性保护原则：保护方案应尽量覆盖中国电信的 IT 安全的物理安全、网络安全、 系统安全、应用安全、数据安全和终端安全六个层面，实现三大能力的综合防护。 重点保护原则：对关系国家安全、经济命脉、社会稳定、公司重要收入等方面的 重要 IT 系统，应集中资源优先建设，对于系统中的重要设备应重点保护，实现不同强 度的安全保护。 唯一性原则：在采用具体保护组件上，根据面对安全威胁的不同，选择不同保护 强度的保护构件，同一保护类型中仅选用一种强度的保护构件。 集中保护原则：遵照安全维护的集中保护原则，通过划分网络安全域，综合配置 边界保护设备，实现 IT 系统安全接入、账号口令集中管理、日志集中管理与审计、集 中防病毒、系统完整性保护、网页防篡改等集中化保护手段，对安全域边界和安全域 内部进行集中安全保护。 4.4 标准组件安全保护等级对应表 根据中国电信 IT 系统安全等级保护基本要求，针对不同的安全等级制定相应的安 全技术保护措施，各等级与安全保护组件的对应关系如下： 表格 4-1 安全标准组件与安全等级对应表 保护组件保护组件3.2 级系统级系统3.1 级系统级系统2.2 级系统级系统2.1 级系统级系统 IT 安全技术保护措施应用指南 第 15 页 /共 81 页 分类分类保护组件保护组件 入侵检测 CTG-FHZJ-SBJK-01-2 网络型入侵检测系统 AND（和） CTG-FHZJ-SBJK-01-1 主机型入侵检测系统 CTG-FHZJ-SBJK-01-2 网络型入侵检测系 统 AND（和） CTG-FHZJ-SBJK-01-1 主机型入侵检测系 统 CTG-FHZJ-SBJK-01- 2 网络型入侵检测 系统 CTG-FHZJ-SBJK- 01-2 网络型入侵检测 系统 安全 识别 与监 控 安全漏洞扫 描 CTG-FHZJ-SBJK-02-1 系统安全漏洞扫描系 统 AND(及) CTG-FHZJ-SBJK-02-2 WEB 应用安全漏洞扫 描系统 CTG-FHZJ-SBJK-02-1 系统安全漏洞扫描 系统 AND(及) CTG-FHZJ-SBJK-02-2 WEB 应用安全漏洞 扫描系统 CTG-FHZJ-SBJK-02- 1 系统安全漏洞扫 描系统 AND(及) CTG-FHZJ-SBJK-02- 2 WEB 应用安全漏 洞扫描系统 CTG-FHZJ-SBJK- 02-1 系统安全漏洞扫 描系统 AND(及) CTG-FHZJ-SBJK- 02-2 WEB 应用安全 漏洞扫描系统 网络访问控 制 CTG-FHZJ-AQFH-01-2 网络防火墙 CTG-FHZJ-AQFH-01-2 网络防火墙 CTG-FHZJ-AQFH- 01-2 网络防火墙 CTG-FHZJ-AQFH- 01-1 访问控制列表 ACL 入侵防御 CTG-FHZJ-AQFH-02-2 NIPS 基于网络入侵防 御系统 CTG-FHZJ-AQFH-02-2 NIPS 基于网络入侵 防御系统 CTG-FHZJ-AQFH- 02-2 NIPS 基于网络入 侵防御系统 CTG-FHZJ-AQFH- 02-1 HIPS 基于主机 入侵防御系统 OR(或) CTG-FHZJ-AQFH- 02-2 NIPS 基于网络 入侵防御系统 拒绝服务攻 击保护 CTG-FHZJ-AQFH-03-2 专业拒绝服务攻击设 备 CTG-FHZJ-AQFH-03-2 专业拒绝服务攻击 设备 CTG-FHZJ-AQFH- 03-1 提供抵御拒绝服 务攻击功能的设 备 CTG-FHZJ-AQFH- 03-1 提供抵御拒绝服 务攻击功能的设 备 VPN 安全接 入 CTG-FHZJ-AQFH-04-1 SSL VPN OR(或) CTG-FHZJ-AQFH-04-2 IPSEC VPN CTG-FHZJ-AQFH-04-1 SSL VPN OR(或) CTG-FHZJ-AQFH-04-2 IPSEC VPN CTG-FHZJ-AQFH- 04-1 SSL VPN OR(或) CTG-FHZJ-AQFH- 04-2 IPSEC VPN CTG-FHZJ-AQFH- 04-1 SSL VPN OR(或) CTG-FHZJ-AQFH- 04-2 IPSEC VPN 数据库安全 保护 CTG-FHZJ-AQFH-05-2 数据库安全保护系统 CTG-FHZJ-AQFH-05-2 数据库安全保护系 统 CTG-FHZJ-AQFH- 05-1 数据库自身安全 保护 CTG-FHZJ-AQFH- 05-1 数据库自身安全 保护 安全 防护 恶意代码安 CTG-FHZJ-AQFH-06-1 主机防病毒软件 CTG-FHZJ-AQFH-06-1 主机防病毒软件 CTG-FHZJ-AQFH- 06-1 CTG-FHZJ-AQFH- 06-1 IT 安全技术保护措施应用指南 第 16 页 /共 81 页 全保护CTG-FHZJ-AQFH-06-2 防病毒安全网关 CTG-FHZJ-AQFH-06-2 防病毒安全网关 主机防病毒软件 CTG-FHZJ-AQFH- 06-2 防病毒安全网关 主机防病毒软件 网页防篡改 CTG-FHZJ-AQFH-07-1 网页防篡改系统 CTG-FHZJ-AQFH-07-1 网页防篡改系统 CTG-FHZJ-AQFH- 07-1 网页防篡改系统 CTG-FHZJ-AQFH- 07-1 网页防篡改系统 WEB 应用访 问控制 CTG-FHZJ-AQFH-08-1 WEB 应用防火墙 CTG-FHZJ-AQFH-08-1 WEB 应用防火墙 CTG-FHZJ-AQFH- 08-1 WEB 应用防火墙 网络流量管 理 CTG-FHZJ-AQFH-09-2 专业的网络流量管控 系统 CTG-FHZJ-AQFH-09-2 专业的网络流量管 控系统 CTG-FHZJ-AQFH- 09-1 提供支持数据流 量管控的非专业 性设备 CTG-FHZJ-AQFH- 09-1 提供支持数据流 量管控的非专业 性设备 数据安全保 护 CTG-FHZJ-AQFH-10-1 CA 数字证书 CTG-FHZJ-AQFH-10-2 CA 数字证书及数字签 名 CTG-FHZJ-AQFH-10-3 数据防泄漏 DLP CTG-FHZJ-AQFH-10-1 CA 数字证书 CTG-FHZJ-AQFH-10-3 数据防泄漏 DLP CTG-FHZJ-AQFH- 10-1 CA 数字证书 CTG-FHZJ-AQFH- 10-3 数据防泄漏 DLP CTG-FHZJ-AQFH- 10-3 数据防泄漏 DLP 终端安全保 护 CTG-FHZJ-AQFH-11-1 终端安全保护系统 CTG-FHZJ-AQFH-11-1 终端安全保护系统 CTG-FHZJ-AQFH- 11-1 终端安全保护系 统 CTG-FHZJ-AQFH- 11-1 终端安全保护系 统 身份认证 CTG-FHZJ-AQFH-12-2 双因素身份认证组件 CTG-FHZJ-AQFH-12-1 双因素身份认证组 件 CTG-FHZJ-AQFH- 12-2 双因素身份认证 组件 CTG-FHZJ-AQFH- 12-1 单因素身份认 证组件 安全配置加 固 CTG-FHZJ-AQFH-13- 1 操作系统安全配置加 固组件 CTG-FHZJ-AQFH-13- 2 数据库安全配置加固 组件 CTG-FHZJ-AQFH-13- 3 应用中间件安全配置 加固组件 CTG-FHZJ-AQFH-13- 4 网络设备安全配置加 固组件 CTG-FHZJ-AQFH- 13-5 IT 终端设备安全配置 CTG-FHZJ-AQFH- 13-1 操作系统安全配置 加固组件 CTG-FHZJ-AQFH- 13-2 数据库安全配置加 固组件 CTG-FHZJ-AQFH- 13-3 应用中间件安全配 置加固组件 CTG-FHZJ-AQFH- 13-4 网络设备安全配置 加固组件 CTG-FHZJ- AQFH-13-5 IT 终端设备安全配 CTG-FHZJ- AQFH-13-1 操作系统安全配 置加固组件 CTG-FHZJ- AQFH-13-2 数据库安全配置 加固组件 CTG-FHZJ- AQFH-13-3 应用中间件安全 配置加固组件 CTG-FHZJ- AQFH-13-4 网络设备安全配 置加固组件 CTG-FHZJ- AQFH-13-5 IT 终端设备安全 CTG-FHZJ- AQFH-13-1 操作系统安全 配置加固组件 CTG-FHZJ- AQFH-13-2 数据库安全配 置加固组件 CTG-FHZJ- AQFH-13-3 应用中间件安 全配置加固组件 CTG-FHZJ- AQFH-13-4 网络设备安全配 置加固组件 CTG-FHZJ- AQFH-13-5 IT 终端设备安 IT 安全技术保护措施应用指南 第 17 页 /共 81 页 加固组件置加固组件配置加固组件全配置加固组件 安全审计 CTG-FHZJ-SJHF-01-2 专业安全审计系统 CTG-FHZJ-SJHF-01-2 专业安全审计系统 CTG-FHZJ-SJHF-01- 1 设备或系统内部 审计 CTG-FHZJ-SJHF- 01-1 设备或系统内 部审计 堡垒主机 CTG-FHZJ-SJHF-02-1 堡垒主机 CTG-FHZJ-SJHF-02-1 堡垒主机 CTG-FHZJ-SJHF-02- 1 堡垒主机 CTG-FHZJ-SJHF- 02-1 堡垒主机安全 审计 与恢 复 备份与恢复 CTG-FHZJ-SJHF-03-2 专业自动化的备份与 恢复系统 CTG-FHZJ-SJHF-03-2 专业自动化的备份 与恢复系统 CTG-FHZJ-SJHF-03- 2 专业自动化的备 份与恢复系统 CTG-FHZJ-SJHF- 03-2 专业自动化的备 份与恢复系统 或 CTG-FHZJ-SJHF- 03-1 人工数据备份与 恢复 IT 安全技术保护措施应用指南 第 18 页 /共 81 页 章 5 5 章ITIT 安全技安全技术术保保护护措施措施标标准准组组件件库库 5.1 安全识别与监控措施 5.1.15.1.1入侵检测入侵检测系统系统 入侵检测系统是在网络或计算机系统中的若干关键点上实时采集信息数据，并通 过综合分析和比较，判断是否有入侵和可疑行为的发生，并采用多种方式实时告警， 记录攻击，阻断攻击者的进攻，从而起到保护 IT 网络和系统免受外部和内部的攻击。 5.1.1.15.1.1.1 工作原理工作原理 入侵检测系统（IDS）是用来专门实现入侵检测的 IT 安全保护系统，可以对网络 传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施。按监测对象 的不同，可以分为基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统 （HIDS）两种。 基于主机的入侵检测系统（HIDS）用于保护关键应用的服务器，可以实时监视可 疑的连接、系统日志的变动、非法的访问网络行为等。相对 NIDS，保护内容更加细 腻，但同时会占用大量的系统资源，不能检测具有安全隐患的网络活动。 基于网络的入侵检测系统（NIDS）通过连接网络上的关键节点捕获网上的数据包， 并分析。具有隐蔽性好、效率高和占资源少等优点，但基于网络的入侵检测系统不能 检测到已经进入到主机内部的入侵行为，对加密数据包的内容也无法检测。 两种入侵检测系统都有着明显的优缺点，保护方向也不相同，在实际运行环境中， 可以根据实际的安全保护需求部署不同类别的入侵检测系统，或者两种入侵检测结合 使用，以提供更好的安全保护能力。 IT 安全技术保护措施应用指南 第 19 页 /共 81 页 入侵检测控制台包括四个可独立也可组合部署的部件，管理控制台负责向入侵检 测引擎下发策略以及接受引擎上报事件，这些上报的事件依据响应策略实时显示在报 警监控台和存储在日志数据库中，存储在日志数据库中的历史信息可以通过报表分析 组件进行报告的生成和查询。 5.1.1.25.1.1.2 保保护组护组件件 根据入侵检测系统的不同分类，目前中国电信入侵检测系统组件包括以下两类， 具体如下表所示： 表格 5-2 入侵检测系统保护组件分类表 组件编号组件编号组件名称组件名称组件说明组件说明 CTG-FHZJ-SBJK-01- 1 主机型入侵检测 系统 该组件针对主机类型的入侵检测 系统，作为软件产品适合于部署 在主机设备上。 CTG-FHZJ-SBJK-01- 2 网络型入侵检测 系统 该组件是以旁路方式部署在网络 边界的硬件入侵检测设备，处理 性能和检测效率更高，适合与大 型网络。 5.1.1.35.1.1.3 应应用用场场景景 入侵检测系统部署方式，按照检测对象分为主机入侵检测系统（HIDS）和网络入 侵检测系统（NIDS）两类；按照部署范围方式又具体分为单机型和分布式两类。结合 中国电信的实际网络结构状况和安全需求，入侵检测系统的部署方式以分布式网络入 侵检测系统为示例，如下图所示： IT 安全技术保护措施应用指南 第 20 页 /共 81 页 图示 5-2 入侵检测保护措施部署方式 通过上图展示，在电信 IT 网络重要边界，如互联网边界、重要系统服务器区边界、 外部互联区边界等位置部署网络入侵检测系统探头，通过集中的入侵检测控制台实现 统一的管理和维护。 5.1.1.45.1.1.4 功能要求功能要求 入侵检测保护措施的功能要求包括以下几个： 1. 支持强大的功能检测能力：入侵检测系统至少支持后门程序攻击、分布式拒绝 服务攻击、远程溢出攻击、账号试探性攻击、WEB 服务攻击、数据库攻击、端 口扫描等入侵的检测； 2. 高性能的核心抓包机制：入侵检测系统在电信高带宽环境下，实现完全满足中 国电信运营商级别的网络带宽的需求； 3. 功能强大的事件管理：在控制台上为用户提供多角度的入侵警报浏览功能，以 及功能强大的搜索引擎。用户可以从大量的警报事件中快速准确地查到所关注 的攻击事件。还通过多种角度对入侵事件进行分析审计，并产生详尽、多样化 的报表功能； IT 安全技术保护措施应用指南 第 21 页 /共 81 页 4. 多样化的报警响应方式：入侵检测系统在及时发现攻击行为的同时，还能根据 用户的配置对不同的攻击行为采取不同的响应措施，响应措施包括数据库记录、 邮件报警、SNMP 报警、系统日志报警和联动防火墙阻断等方式。 5. 大规模网络下的入侵检测能力：入侵检测系统支持分布式体系结构，在分布式 架构下产品分为控制中心与检测引擎，使整个系统能够对一个大规模用户网络 进行入侵检测，从而满足复杂网络环境下用户的需求； 6. 强大的协作联动能力：入侵检测系统支持与其他安全产品的联动协作，支持国 际主流的联动协议标准，并具备了良好的可扩展联动接口，能够轻松实现与防 火墙产品的联动； 7. 灵活的入侵规则定制：入侵检测系统为用户提供了灵活的入侵规则定制功能。 用户可根据自身网络环境及需求，从危险级别、规则种类等角度对已有规则进 行选择，并确定这些规则的报警响应方式； 8. 可持续的规则库升级：不断跟踪世界最新的网络攻防技术，确保能够根据网络 安全技术的最新发展推出最新的入侵规则升级包，并使系统具备对最新攻击行 为的检测能力。 5.1.25.1.2安全漏洞扫描安全漏洞扫描 漏洞又称为脆弱性，它是指计算机系统中与安全策略相冲突的状态或错误，这些 状态或错误将导致攻击者非授权访问、假冒用户执行操作及拒绝服务，威胁主体利用 漏洞实现攻击。然而，网络系统的漏洞是广泛存在的，包括通信协议、操作系统软件、 应用系统和网络管理等都存在或多或少的漏洞，这些漏洞的存在成为网络系统的安全 隐患。因此，漏洞管理已经成为 IT 安全管理的重要工作之一。 安全漏洞扫描就是一种主动的防范措施，可以有效避免黑客攻击行为。安全漏洞 扫描是 IT 系统安全保护的重要组成部分，通过安全漏洞扫描可以帮助网络管理人员了 解网络安全状况，可以作为对资产进行风险评估的依据，是进行安全配置的第一步。 IT 安全技术保护措施应用指南 第 22 页 /共 81 页 5.1.2.15.1.2.1 工作原理工作原理 按常规标准，可以将安全漏洞扫描器分为两种常见类型：系统安全漏洞扫描器、 WEB 应用安全漏洞扫描器。 系统安全漏洞扫描器是指基于网络进行远程检测目标网络、主机系统、中间件和 数据库等漏洞的程序，网络安全漏洞扫描器通过与待扫描的目标机建立网络连接，然 后发送特定请求进行漏洞检查。网络安全漏洞扫描器的缺陷在于，由于没有主机系统 的访问权限，它只能获得有限的信息，主要是发现各种网络服务中的漏洞。根据使用 环境的限制以及安全保护的实际需要，可以选择配置相应类型的安全漏洞扫描器，或 者两者结合使用。 WEB 应用安全漏洞扫描器是指针对 WEB 网站进行安全漏洞检测的程序，扫描 WEB 应用的基础架构，实现深入的 SQL 注入、跨站脚本测试、智能爬行程序检测 、WEB 服务器类型和应用程序语言测试，并提供可行的报告和建议，有利于安全防范 和保护 WEB 应用基础架构。 5.1.2.25.1.2.2 保保护组护组件件 根据安全漏洞扫描的应用范围，目前中国电信安全漏洞扫描保护组件包括以下两 类，具体如下表所示： 表格 5-3 安全漏洞扫描保护组件分类表 组件编号组件编号组件名称组件名称组件说明组件说明 CTG-FHZJ-SBJK-02- 1 系统安全漏洞扫 描系统 该组件能够针对中国电信 IT 环境 内部的操作系统、中间件、数据 库、网络设备等进行安全检测。 CTG-FHZJ-SBJK-02- 2 WEB 应用安全漏 洞扫描系统 该组件能够针对中国电信 WEB 服务器及应用系统进行安全漏洞 扫描检测，发现安全隐患，生成 IT 安全技术保护措施应用指南 第 23 页 /共 81 页 检测报表。 5.1.2.35.1.2.3 应应用用场场景景 安全漏洞扫描系统的部署方式可以分为单机部署和分布式部署的方式，结合中国 电信 IT 系统的部署情况，以分布式部署方式为应用场景示例进行展示，如下图所示： 图示 5-3 安全漏洞扫描保护措施部署方式 通过上图，在中国电信的重要系统区域如：MSS 系统核心生产区、日常办公区、 DMZ 区等部署安全漏洞扫描系统，针对各类系统平台和 WEB 应用程序进行定期的安 全漏洞扫描工作，发现潜在的安全隐患及时修补，提高 IT 系统的安全性。 5.1.2.45.1.2.4 功能要求功能要求 安全漏洞扫描保护措施的功能要求如下所示： 1. 扫描范围和类型：能够实现对中国电信 IT 环境的各类主机系统、数据库、网络 设备、中间件以及 WEB 应用系统进行安全扫描检测； IT 安全技术保护措施应用指南 第 24 页 /共 81 页 2. 完整全面的漏洞库：至少支持国际标准通用 CVE 安全漏洞库，并且能够实现漏 洞库的及时更新； 3. 安全漏洞扫描报告：需要确定安全漏洞扫描报告内容是全面的、可定制，并且 提供对于漏洞修复行为的分析和建议等。 5.2 安全技术防护措施 5.2.15.2.1网络网络访问控制访问控制 网络访问控制就是在网络层面采取访问控制措施，实现对非信任区域和信任区域 的之间访问的限制和管理，允许符合安全策略的访问行为通过，禁止违背安全策略的 访问行为通过。网络访问控制措施包括配置 ACL 和硬件网络防火墙控制两种方式，保 护强度不同。 5.2.1.15.2.1.1 工作原理工作原理 访问控制列表(ACL=Access Control List)是路由器和交换机接口的指令列表，用来 控制端口进出的数据包。ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等, ACL 中包含匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种 访问进行控制。 ACL 是提供网络安全访问的基本手段，可以限制网络流量、提高网络性能，提供 对通信流量的控制手段，可以在网络设备端口处决定哪种类型的通信流量被转发或被 阻塞。 网络防火墙就是一个位于计算机和它所连接的网络之间的软件,计算机流入流出的 所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，一边过滤攻 击行为，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且还能 禁止特定端口的流出通信，封锁特洛伊木马，禁止来自特殊站点的访问，从而阻断来 自不明入侵者的所有通信。 IT 安全技术保护措施应用指南 第 25 页 /共 81 页 网络防火墙技术经历过三个重要不同发展阶段，各阶段不同类型防火墙的功能和 原理如下： 第第一一代代防防火火墙墙包包过过滤滤防防火火墙墙 包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝 数据包。 包过滤防火墙的基本原理是：通过配置 ACL（Access Control List，访问控制列表） 实施数据包的过滤。实施过滤主要是基于数据包中的源/目的 IP 地址、源/目的端口号、 IP 标识和报文传递的方向等信息。 第第二二代代防防火火墙墙代代理理防防火火墙墙 代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进 行的业务由代理接管。代理检查来自用户的请求，认证通过后，该防火墙将代表客户 与真正的服务器建立连接，转发客户请求，并将真正服务器返回的响应回送给客户。 第第三三代代防防火火墙墙状状态态防防火火墙墙 状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。基于 连接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时，还 要考虑前后报文的历史关联性。 原理如下： 状态防火墙使用各种状态表来追踪激活的 TCP（Transmission Control Protocol）会话和 UDP（User Datagram Protocol）伪会话（在处理基于 UDP 协议包时为 UDP 建立虚拟连接，以对 UDP 连接过程进行状态监控的会话过程）， 由 ACL 表来决定哪些会话允许建立，只有与被允许会话相关联的数据包才被转 发。 状态防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状 态信息，并保存到动态状态表中，通过分析这些状态表和与该数据包有关的后 IT 安全技术保护措施应用指南 第 26 页 /共 81 页 续连接请求来做出恰当决定。 从外部网络向内看，状态防火墙更像一个代理系统（任何外部服务请求都来自于 同一主机），而由内部网络向外看，状态防火墙则像一个包过滤系统（内部用户认为 他们直接与外部网交互）。 5.2.1.25.2.1.2 保保护组护组件件 根据网络访问控制措施的强度，目前中国电信安全漏洞扫描保护组件包括以下两 类，具体如下表所示： 表格 5-4 网络访问控制保护组件分类表 组件编号组件编号组件名称组件名称组件说明组件说明 CTG-FHZJ-AQFH- 01-1 访问控制列表 ACL 该组件为在路由器或具有 ACL 配置功能的交换机上配置的访问 控制列表方式，参考网络设备安 全配置指南文件，配置 ACL，基 本是包过滤的方式包过滤的方式，访问控制性 能和效率有限。 CTG-FHZJ-AQFH- 01-2 网络防火墙该组件是专用的硬件网络访问控 制设备，能够提供硬件控制级别 的访问控制能力，可以实现基于基于 状态的访问控制方式状态的访问控制方式，保护效率 和效果更高。 5.2.1.35.2.1.3 应应用用场场景景 网络访问控制措施一般部署在网络边界，实现非信任区域和信任区域的隔离和控 制。结合中国电信的实际安全需求，在重要的网络边界部署网络防火墙设备。具体如 下图所示： IT 安全技术保护措施应用指南 第 27 页 /共 81 页 图示 5-4 网络访问控制保护部署方式 通过上图展示，网络防火墙设备一般部署在 Internet 边界、外部互联边界、内部互 联边界以及 IT 系统各区域边界。针对重要的网络区域位置的高可用性要求，实现网络 防火墙双机热备。 5.2.1.45.2.1.4 功能要求功能要求 网络防火墙安全保护措施功能要求包括以下： 1. 性能要求：支持 ASIC 或 NP 硬件数据处理，设备吞吐量、并发连接数和每秒新 建连接数等重要参数满足中国电信级安全要求； 2. 支持多种工作模式：网络防火墙支持路由模式、透明模式、混杂模式三种类型， 能够对中国电信各种网络环境提供支持； 3. 安全控制策略：可自定义多种不同的安全控制策略，并通过安全规则对基于源 IP 地址、目的 IP 地址、协议、服务、方向、时间段的不同业务流进行精细粒度 的带宽策略管理，通过对每一个粒度元素设定可以满足对极精细流量控制的要 求。 IT 安全技术保护措施应用指南 第 28 页 /共 81 页 5.2.25.2.2 入侵防御入侵防御系统系统 入侵防御系统依据一定的安全策略，对网络进行监控，一旦发现攻击，或者网络 异常能采用相应的抵御措施，例如：丢弃该报文、重置，断开连接等等，入侵防御的 主要功能为精确检测和实时阻断。 5.2.2.15.2.2.1 工作原理工作原理 入侵预防系统按其用途进一步可以划分为网络入侵防御系统(NIPS）和基于主机的 入侵系统(HIPS)两种类型。 基于主机的入侵防御系统(HIPS)，也被称为“系统防火墙”，主要是通过监控对 系统中的文件或进程的状态及属性的变化进行报告、阻止，主机入侵防御系统是一种 将系统控制权交给用户的防御体系。 网络入侵预防系统(NIPS)作为网络之间或网络组成部分之间的独立的硬件设备， 对过往数据包进行深层检查，然后确定是否放行。网络入侵预防系统借助病毒特征和 协议异常，阻止有害代码传播。有一些网络入侵预防系统还能够跟踪和标记可疑代码， 然后，看谁使用这些回答信息而请求连接，这样能更好地确认发生了入侵事件。 5.2.2.25.2.2.2 保保护组护组件件 根据入侵防御的不同强度，目前中国电信入侵防御系统保护组件包括以下两类， 具体如下表所示： 表格 5-5 入侵防御保护组件分类表 组件编号组件编号组件名称组件名称组件说明组件说明 CTG-FHZJ-AQFH- 02-1 HIPS 基于主机入 侵防御系统 该组件是基于主机系统层面的保 护措施，适用范围有限。 CTG-FHZJ-AQFH- 02-2 NIPS 基于网络入 侵防御系统 该组件主要以串联的方式部署在 重要网络边界，实现对整个网络 IT 安全技术保护措施应用指南 第 29 页 /共 81 页 接入的入侵防御。 5.2.2.35.2.2.3 应应用用场场景景 入侵检测系统为了实现针对来自外部的攻击行为的有效检测和防御，系统一般部 署在靠近攻击源的地方，如在 HIPS 部署在主机系统上，NIPS 部署靠近互联网边界的 位置。结合中国电信的实际网络状况，基本考虑以部署 NIPS 为主，示例如下图所示： 图示 5-5 入侵防御系统保护措施部署方式 通过上图展示，NIPS 部署在中国电信互联网边界，实现针对来自互联网络的攻击 行为进行检测和阻断，提高中国电信网络的抗攻击能力。 IT 安全技术保护措施应用指南 第 30 页 /共 81 页 5.2.2.45.2.2.4 功能要求功能要求 入侵防御系统安全保护措施功能要求包括以下： 1. 完善的攻击特征库：包括能够鉴别多种入侵攻击特征；能够精确抵御黑客攻击、 蠕虫、木马、后门，抑制间谍软件、灰色软件、网络钓鱼的泛滥等； 2. 准确的在线防御技术：既能积极预防各种威胁，又不会丢弃合法流量。这种独 特的技术能够对数据进行智能、自动、关联分析，以保证客户能充分发挥入侵 防御解决方案的优势； 3. 多种威胁识别：通过 L2 到 L7 的详细流量检测，防止用户违背网络策略、盗用 各种漏洞并执行异常操作； 4. 独特