安全保障方案

1、精选优质文档-倾情为你奉上第 1 章. 安全保障建设方案1.1. 概述随着全国各行各业电子信息工程化的实施和互联网络的迅猛发展及业务发展和市场竞争的需要，以信息公开化、电子化为核心的电子化信息系统已经成为企业发展业务、提高服务水平、加强管理和提升效益的必备手段，但是，紧随信息化发展而来的网络安全问题日渐凸出，根据国家四部委联合下发的2007公通字43号文以及关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）要求，规定的重要信息系统，必须实施等级保护建设。同时以GB/T 22239-2008信息系统安全等级保护基本要求为评价基础，以信息系统等级保护安全设计技术要求和信息

2、安全等级保护安全建设整改工作指南为设计指导，并充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架，提出以建立一个“安全物理环境”基础上的“一个中心”保障下的“三重防护体系”架构体系（一个中心是指安全管理中心，三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成），能够有效地帮助管委会解决日渐凸出网络安全问题，保障其业务系统可靠、稳定的运行，从而有效满足当前及未来一段时期安全需求。本方案针对网络环境、应用系统以及当前的安全措施为基础，分析安全建设需求，结合国家等级保护的建设规范和技术要求而编制，一方面对平台的信息安全建设起到指导作用；另一方面可形成省市级别安全防护系统建

3、设方案，为企业进行安全建设起到建议作用；还有就是通过将等级保护基本要求，在实际网络应用环境中落地，形成多系统复杂环境的等级保护建设方法，指导用户落实等级保护的制度和要求。1.1.1. 系统定级重要信息系统的定级工作，是开展等级保护的首要环节，是进行信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。如果信息系统有重大变更，需对信息系统进行定级备案工作。根据信息系统的业务要求、信息系统的实际情况，定级咨询工作具体包括：l 沟通、培训国家等级保护相关政策精神、要求及最新进展；l 分析组织架构、业务要求、信息系统等内容，对重要信息系统进行摸底调查，确定定级对象；l 针对定级对象，基于国家定

4、级指南等，初步确定重要信息系统的等级，完成定级报告；l 编写安全等级保护定级指南；l 经专家评审和审批，完成定级备案工作；l 进行定级工作总结根据GB17859-1999计算机信息系统安全保护等级划分准则的系统定级要求，定级为信息系统等级保护三级。1.1.2. 设计范围本方案对应用系统进行等级保护（三级要求）安全设计。1.1.3. 设计原则等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、管理和监督。对于信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、研发类信息系统，在方案设计中应当遵循以下的原则：1、适度安全原则任何信

5、息系统都不能做到绝对的安全，在进行信息安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。2、重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核

6、心业务或关键信息资产的信息系统；本方案在设计中将重点保护涉及生产、研发、销售等关键业务的信息系统，对其他信息系统则降低保护等级进行一般性设计和防护；3、技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性，形成技术和管理两个部分的建设方案；4、分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性是不同的，并且访问特点也不尽相同，因此需要把具有相似特点的信息资产集合起来，进行总

7、体防护，从而可更好地保障安全策略的有效性和一致性，比如把业务服务器集中起来单独隔离，然后根据各业务部门的访问需求进行隔离和访问控制；另外分区分域还有助于对网络系统进行集中管理，一旦其中某些安全区域内发生安全事件，可通过严格的边界安全防护限制事件在整网蔓延；5、标准性原则信息安全保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性；6、动态调整原则信息安全问题不是静态的，它总是随着相关的组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调

8、整安全保护措施；7、标准性原则信息安全建设是非常复杂的过程，在设计信息安全系统，进行安全体系规划中单纯依赖经验，是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析，是本方案重点强调的设计原则；8、成熟性原则本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的；9、科学性原则本方案的设计是建立在安全评估基础上的，在威胁分析、弱点分析和风险分析方面，是建立在客观评价的基础上而展开分析的结果，因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决信息网络中存在的安全问题，满足特性需求

9、。1.2. 设计依据1.2.1. 信息系统安全等级保护标准和规范本方案重点参考以下的的政策和标准：指导思想中办200327号文件（关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知）公通字200466号文件（关于印发信息安全等级保护工作的实施意见的通知）公通字200743号文件（关于印发信息安全等级保护管理办法的通知）等级保护GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护实施指南系统定级GB/T aaaaa-xxxx 信息安全技术 信息系统安全保护等级定级指南技术方面GB/T 20270-2006 信

10、息安全技术 网络基础安全技术要求GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求管理方面GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标

11、准方案设计信息安全技术 信息系统等级保护安全建设技术方案设计规范方案架构IATF 信息保障技术框架1.2.2. 其他信息安全标准和规范Ø ISO/IEC 15408（CC）：信息技术安全评估准则。该标准历经数年完成，提出了新的安全模型，是很多信息安全理论的基础。Ø GB/T 18336：等同采用ISO 15408Ø ISO/IEC 17799/BS7799-1：信息安全管理体系实施指南。这是目前世界上最权威的信息安全管理操作指南，对信息安全工作具有重要指导意义。Ø ISO/IEC 13335，第一部分：IT安全的概念和模型；第二部分：IT安全的管理和计划

12、制定；第三部分：IT安全管理技术；第四部分：安全措施的选择；第五部分：网络安全管理指南。Ø GB 9361：计算站场地安全要求Ø 公安部第51号令：计算机病毒防治管理办法Ø 计算机信息系统安全专用产品检测和销售许可证管理办法公安部令32号Ø 计算机信息网络国际联网安全保护管理办法公安部1.3. 安全总体设计1.3.1. 设计思路根据信息系统等级保护安全设计技术要求与信息系统安全等级保护基本要求，在等级保护安全设计框架上，等级保护安全技术平台的防护体系继承了“一个中心”保障下的“三重防护体系”架构（一个中心是指安全管理中心，三层纵深防御体系则由安全计算环境

13、、安全区域边界以及安全通信网络组成），使得它们互为依存、相对独立。在此基础上，进一步强调了管理中心、计算环境、区域边界及网络传输的可信性，使得其在整个生命周期中都建立有完整的信任链，确保它们始终都在安全管理中心的统一管控下有序地运行，不会进入任何非预期的状态空间，从而确保了平台的安全性不会遭受破坏。安全计算环境是对定级系统的信息存储与处理进行安全保护的部件。计算环境由定级系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成，也可以是单一的计算机系统。安全计算环境按照保护能力可划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安

14、全计算环境。安全区域边界是对定级系统的安全计算环境的边界，以及安全计算环境与安全通信网络之间实现连接功能进行安全保护的部件。安全保护主要是指对安全计算环境以及进出安全计算环境的信息进行保护。安全区域边界按照保护能力可划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。安全通信网络是对定级系统安全计算环境之间进行信息传输实施安全保护的部件。安全通信网络按照保护能力可划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。安全管理中心对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上

15、的安全机制实施统一管理的平台。第二级及第二级以上的系统安全保护环境通常需要设置安全管理中心，分别称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统安全互联由安全互联部件和跨系统安全管理中心组成。不同级别的等级保护安全技术之间存在着层层嵌套的关系，从第一级开始，每一级在继承其第一级所有安全要求的基础上，增补一些安全要求，或对上一级的特定安全要求有所加强。每一级都有自己的安全防护目标

16、以及对应的关键技术。1.3.2. 安全域设计思路用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安全风险。所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：网络区域主机和系统人和组织物理环境策略和流程因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施；不同的安全子域之间和不同

17、的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。安全域划分以及基于安全域的整体安全工作，对系统具有很大的意义和实际作用：安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；可以更好的利用系统安全措施，发挥安全设备的利用率；基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低系统风险，提供检查审核依据；安全域可以更好的控制网络安全风险，降低系统风险；安全域的分割是出现问题时的预防，能够防止有害行为的渗透；安全域边界是灾难发生时的抑制点，能够防止影响的扩散。“同构性简化”的安全域划分方法，

18、其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的网络。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理安全特性等。1.3.3. 纵深防御设计思路“一个中心支撑下的三重保障体系”的纵深防御体系是指以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保应用系统的安全。安全管理中心是三重防护体系的控制中枢，是管理员的工作场所，管理员通过在安全管理中心制定安全策略，强制计算环境、区域边界执行策略，从而确保

19、系统的运行环境是可信和安全。安全管理中心分成三个子系统：系统管理子系统、安全管理子系统、审计子系统，分别对应管理员的三个角色。系统管理子系统负责对安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为信息系统的安全提供基础保障。安全管理子系统是系统安全的控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界子系统、通信网络子系统执行，从而实现了对整个信息系统的集中管理，为重要信息的安全提供了有力保障。审计子系统是系统的监督中枢，系统审计员通过制定审计策略，强制节点子系统、区域边

20、界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据。计算环境是应用系统的运行环境，包括应用系统正常运行所必须的终端、服务器、网络设备等，计算环境安全是应用系统安全的根本。区域边界是应用系统运行环境的边界，是应用系统和外界交互的必经渠道，通过区域边界的安全控制，可以对进入和流出应用环境的信息流进行安全检查，既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防止应用系统遭受外界的恶意攻击和破坏。通信网络是不同应用系统之间进行信息交互的通道，安全的通信网络设备能够保证应用系统之间交互信息的

21、机密性和完整性。三重防护体系为应用系统构建了一个严密的立体防护网，既能够防止应用环境之内的用户对系统安全进行破坏，又能够防止外部用户对系统安全的破坏，即能够做到“防内为主，内外兼防”，可以有效保护应用系统的安全。1.3.4. 整体安全框架1.3.4.1. 安全域划分一个复杂而庞大的系统，建设过程要首先要明确各部分的安全功能和建设目标，从而有重点地实施安全防护。1.3.4.2. 分区分域的目的通过划分区域，对整体网络进行清楚的规划，具有以下意义：区域的划分使整体网络结构的界限清晰具有相同安全保护要求的网络和设备划分到一个安全区域中不同的安全区域内，可方便地部署不同类型和功能的安全防护设备和产品，

22、同时形成相辅相成的多层次立体防护体系同一个安全区域内可方便地部署相同或相似的安全防护策略分区分域保护做到重点明确，将有效地安全资源投入到最需要保护的部分，并且由各个不同的区域组织多层次的立体防护体系。1.3.4.3. 分区分域的原则分区分域的过程遵循以下基本原则：业务保障原则：分区分域方法的根本目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保证业务的正常运行和效率。结构简化原则：分区分域方法的直接目的和效果是将信息（应用）系统整个网络变得更加简单，简单的逻辑结构便于设计防护体系。比如，分区分域并不是粒度越细越好，区域数量过多，过杂可能会导致安全管理过于复杂和困难。立体协防原则：分区分域的主要对象是信息（应用）系统对应的网络，在分区分域部署安全设备时，需综合运用身份鉴别、访问控制、安全审计等安全功能实现立体协防。生命周期原则：对于信息（应用）系统的分区分域建设，不仅要考虑静态设计，还要考虑变化因素，另外，在分区分域建设和调整过程中要考虑工程化的管理。1.3.4.4. 安全区域的规划和划分根据平台整体安全需求并结合信息系统安全等级保