如城街道信息系统等级保护建设整改方案.doc

如皋工业园区（如城街道）信息系统等级保护建设整改方案江苏安国信检测技术有限公司二零一五年二月16文档信息文档名称如皋工业园区（如城街道）信息系统等级保护建设方案文档管理编号DBCP201502-RCJD-04保密级别商 密文档版本号V2.0制作人薛陈根制作日期2015年2月复审人复审日期2015年2月版本变更记录时间版本说明修改人2015-02V1.0创建文档薛陈根2015-02V2.0修改文档吴鹏飞适用性声明本报告由江苏安国信检测技术有限公司撰写，适用于如皋工业园区（如城街道）信息系统等级保护项目。目 录1.项目概述31.1目标与范围31.2方案设计31.3参照标准32.建设总目标42.1等级保护建设总体目标43.信息系统安全现状43.1信息网络现状44.信息安全管理建设54.1建设目标54.2物理安全64.2.1物理安全建设目标64.2.2整改方案74.3网络安全建设方案84.3.1网络安全建设目标84.3.2整改方案84.4主机安全94.4.1主机安全建设目标94.4.2整改方案104.5应用安全144.5.1应用安全建设目标144.5.2整改方案144.6数据安全及备份恢复154.6.1数据安全及备份恢复建设目标154.6.2整改方案151. 项目概述根据公安部信息安全等级保护管理办法（公通字200743号）提出的要求，落实等级保护各项任务，提高如皋工业园区（如城街道）信息系统安全防护能力，特制定本方案。1.1 目标与范围为了落实和贯彻公安部等国家有关部门信息安全等级保护工作要求，全面完善信息安全防护体系，落实 “双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。在前期的信息系统等级保护测评工作，对如皋工业园区（如城街道）信息系统进行测评工作，范围核心业务信息系统、网上银行信息系统和核心网络系统业务系统分析测评结果与等级保护要求之间的差距，提出本的安全建设方案。本方案主要遵循GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法（公通字200743号）、信息安全技术 信息安全风险评估规范（GB/T 20984-2007）、信息系统信息安全等级保护测评指南信息系统信息安全等级保护实施指引、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。1.2 方案设计根据等级保护前期测评结果，对信息系统存在的漏洞、弱点提出相关的整改意见，并最终形成安全解决方案。1.3 参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法（公通字200743号）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）ISO/IEC 27001信息安全管理体系标准ISO/IEC 13335信息安全管理标准2. 建设总目标2.1 等级保护建设总体目标综合考虑如皋工业园区（如城街道）现有的安全防护措施，针对与信息安全技术信息系统安全等级保护基本要求间存在的差异，整改信息系统中存在的问题，使如皋工业园区（如城街道）信息系统满足信息安全技术信息系统安全等级保护基本要求、信息系统信息安全等级保护实施指引、信息安全等级保护测评服务安全指引中二级系统的要求。3. 信息系统安全现状3.1 信息网络现状如皋工业园区网络结构如下：如皋工业园区信息系统通过1台山石SG6000防火墙连接互联网。网络方面通过华为S-3700交换机用于设备互联。存储方面通过IBM高端磁盘阵列配置成虚拟化存储集群系统，并做磁盘阵列级热备保护。服务器由3台IBM x3650M4服务器组成，分别作为数据库服务器、公文应用服务器、资源管理服务器，安装Windows服务器操作系统及Linux操作系统，并安装ORACLE数据库软件。在后台连接IBM存储阵列，将数据集中存放和统一分配管理。4. 信息安全管理建设4.1 建设目标如皋工业园区（如城街道）信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。如皋工业园区（如城街道）通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与信息安全技术信息系统安全等级保护基本要求存在一定的差距，需进行改进。通过等级保护管理机构与制度建设，完善信息系统管理机构和管理制度，落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求,提高信息系统管理与运维水平。如皋工业园区（如城街道）二级系统是如皋工业园区（如城街道）政务协同办公软件系统，按照国家相关标准对其进行防护。如皋工业园区（如城街道）二级系统等级保护建设目标是落实信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，实现信息系统二级系统独立分域，完善二级系统边界防护、配置合理的网络环境、增强主机系统安全防护及二级系统各应用的安全。针对信息安全技术信息安全等级保护基本要求中二级系统各项指标和要求，为保障其稳定、安全运行，本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。4.2 物理安全4.2.1 物理安全现状如皋工业园区（如城街道）机房应按照信息安全技术信息系统安全等级保护基本要求二级系统机房物理环境要求，对机房进行等级保护整改，目前环境如下：1) 机房出入口门禁无法控制、鉴别和记录进入人员，机房无专人值守；2) 机房来访人员无申请和审批流程；3) 部分网络设备和线路没有做标签或其他明显标识；4) 机房未安装必要的防盗报警设施；5) 机房未设置灭火设备和火灾自动报警系统；6) 未采取措施防止地下积水转移和渗透；7) 机房机柜未采用必要的接地防静电措施；8) 供电线路未配置稳压器和过电压防护设备；9) 电源线和通信线缆同时在防静电地板下铺设，且未通过线槽或管道隔离，无法避免互相干扰。4.2.2 整改方案如皋工业园区（如城街道）信息系统物理安全现状与等级保护要求存在一定的差距，需完善以下几点1) 为机房出入口设置门禁系统，对出入机房人员进行记录，并在出入口配置专人值守，建立相关审批流程和相应的审批记录对来访人员进出机房进行控制；2) 为各机柜、设备以及线缆上设置明显的标识，如名称、IP、型号、用途等；3) 为机房部署监控摄像头和CK红外报警装置，使其能够监控机房内所有重要区域；4) 部署消防灭火系统，能够自动检测火情、自动报警，并提供灭火功能；5) 部署水敏感的检测仪表或元件（如漏水绳等），并与报警系统联动，对机房进行防水检测和报警；6) 机房供电线路配置稳压器和过电防护设备，防止电压不稳或瞬间电压过大导致的设备异常发生，并将机柜进行接地；电源线和通信线缆应隔离铺设，避免互相干扰4.3 网络安全4.3.1 网络安全建设目标如皋工业园区（如城街道）机房应按照信息安全技术信息系统安全等级保护基本要求二级系统网络安全要求，对网络进行等级保护整改，目标如下：1) 系统中的重要设备不要出现单点故障；2) 采取相关措施检测内部用户非法外联行为或采取其他同等效力的监控措施，无法对违规外联行为进行检查和阻断；3) 系统中应具有入侵检测措施，并且对设备的管理地址具有限制；4) 网络设备应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；5) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听4.3.2 整改方案根据信息安全测评结果，如皋工业园区（如城街道）网络中网络设备及技术方面主要存在以下问题：1) 系统中所有设备在网络中均存在单点故障威胁；2) 未采取相关措施检测内部用户非法外联行为或采取其他同等效力的监控措施，无法对违规外联行为进行检查和阻断；3) 系统中入侵检测措施不完善，部分网络设备口令复杂度较弱，且未定期修改，部分网络设备会话超时配置为永不超时，且未对管理员登录IP进行限制；4) 部分网络设备使用http未加密协议进行远程管理。针对以上问题，结合信息安全技术信息安全等级保护基本要求，整改方案如下：1) 为系统中主要网络设备部署冗余备份措施，如冷备等，避免单点故障的发生；2) 建议部署违规外联监控设备对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。（建议采用域控方式，禁止改变IP、安装软件、驱动等满足以下所有条件1.限制或禁止内部网络用户私自使用电话拨号、adsl拨号、手机、pda、无线网卡等连接方式将内网设备连接到外部网络；2.限制终端使用USB等口；3.监控设备连接异常情况，一旦连接变更，产生报警记录；4.物理的访问控制，包括设备连接方面变更的严格审批制度；5.网络连接日志）；3) 建议部署入侵检测系统（或开启防火墙入侵检测模块）对各种网络攻击行为进行检测，同时为入侵检测或入侵防范设备配置声、光、电等报警措施，在发生严重入侵事件时及时通知到相关负责人进行处理；4) 关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。部分不支持SSH的交换机应在交换机上限制可telnet远程管理的用户地址； 5) 修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均应要进行修改。部分楼层接入交换机，应及时修改口令；交换机应修改其SNMP口令串；防火墙口令应满足口令强度要求。；6) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施；4.4 主机安全4.4.1 主机安全建设目标根据信息安全技术信息安全等级保护基本要求，从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面给出二级系统主机等级保护建设方案，对主机操作系统进行安全加固，使之满足信息安全技术信息安全等级保护基本要求中关于主机的安全防护要求。4.4.2 整改方案如皋工业园区（如城街道）信息系统主机现状与等级保护要求存在一定的差距，需完善以下几点：1) 对主机的登录有严格的身份标识和鉴别；2) 启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；3) 应禁用或严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令，账户不应一人多用；4) 操作系统管理用户身份标识具有不易被冒用的特点，口令有复杂度并定期更换；5) 登陆终端具有操作超时锁定功能，设定管理终端接入方式、网络地址范围等条件限制终端登录；6) 操作系统开启审计记录，对人员的操作都进行记录；7) 拥有相关技术手段，抵抗非法入侵和恶意代码攻击。针对以上问题，结合信息安全技术信息安全等级保护基本要求，整改方案如下：1) 限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户。操作系统操作方式Linux1. 检查/etc/passwd密码域中存在默认帐户，删除不必要的账户，或增设口令；WINDOWS1. 删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为Administrator，并将其权限设为最低，口令复杂度为32位以上；2. 选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。注：管理员账号Administrator重命名后，可能会导致某些服务不能用，如SQL Server数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2) 增强操作系统口令强度设置；操作系统操作方式Linux1. 修改passwd参数：/etc/login.defs； /etc/pam.d/system- auth-PASS_MAX_DAYS：90 口令最长生存期90天- PASS_MIN_DAYS：2 密码最短存留期- PASS_MIN_LENS：8 密码长度最小值- PASS_WARN_AGE：7 密码有效期警告 - password requisite pam_cracklib.so minlen=8 ucredit=-1 密码须包含大写字母个数lcredit=-1 密码须包含小写字母个数dcredit=-1 密码须包含的数字字符个数ocredit=-1 密码须包含的特殊符号个数WINDOWS1. 修改“密码策略”，开启复杂性要求，设置口令最小长度等：密码复杂性要求启用密码长度最小值8字符密码最长存留期90天密码最短存留期0天复位帐户锁定计数器10分钟帐户锁定时间10分钟帐户锁定阀值5次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求，最后再修改密码策略。3) 启用登录失败处理功能，设置限制非法登录次数和自动退出等措施。操作系统操作方式Linux1. 增加或修改/etc/profile文件中如下行：TMOUT=600 ;WINDOWS1. 修改“账户锁定策略”，设置帐户锁定相关设置：复位账户锁定计数器 15分钟账户锁定时间 15分钟账户锁定阈值 5次4) 设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等。5) 限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户；操作系统操作方式WINDOWS1. 修改administrator名称，将原Administrator名称改成不被人熟识的帐户，同时将一个普通帐户名称改成Administrator，登录普通帐户执行系统所有操作；2. 禁用Guest账号。6) 开启并合理设置审计策略，能够对用户的重要操作行为进行审计记录；建立相关审计用户，定期对审计记录进行分析，并生成审计报表；采取审计进程保护措施，避免审计进程受到未预期的中断；对审计记录进行保护；操作系统操作方式WINDOWS1. 修改安全审计策略：审核策略更改成功审核登录事件成功, 失败审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等操作系统操作方式WINDOWS1. 修改“事件查看器”的属性配置：日志类型大小覆盖方式应用日志16384K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件2. 修改“事件类型”、“事件来源”等属性为 “全部”；7) 操作系统需遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新；操作系统操作方式WINDOWS1. 安装最新的补丁。从/china 下载最新的安装补丁进行安装。2. 关闭非必需服务：常见的非必需服务有：Alerter 远程发送警告信息Computer Browser 计算机浏览器：维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能，如 net sendremote Registry 远程管理注册表，开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机，可以关闭此服务Task Scheduler 计划任务，查看“控制面板”的“任务计划”中是否有计划，若有，则不关闭。SNMP 简单网管协议，如启用网管应用则不关闭。3. 关闭空连接：编辑注册表如下键值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的值修改为“1”，类型为REG_DWORD。8) 安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行。4.5 应用安全4.5.1 应用安全建设目标如皋工业园区（如城街道）二级应用系统主要为如皋工业园区（如城街道）政务协同办公软件系统，根据等级保护前期测评结果，结合信息安全技术信息安全等级保护基本要求，针对二级系统应用安全从身份鉴别、访问控制、安全审计、通信完整性、通信保密性与资源控制等几个方面提出相应的整改方案，进行应用系统安全等级保护建设与改造。4.5.2 整改方案如皋工业园区（如城街道）应用的现状与等级保护要求存在一定的