信息安全等级保护安全建设项目方案

1、信息系统安全等级保护安全建设项目技术方案目 录 TOC o 1-5 h z u HYPERLINK l _Toc526954568 1项目理解 PAGEREF _Toc526954568 h 6 HYPERLINK l _Toc526954569 1.1项目背景 PAGEREF _Toc526954569 h 6 HYPERLINK l _Toc526954570 1.2项目范围 PAGEREF _Toc526954570 h 6 HYPERLINK l _Toc526954571 1.3项目目标 PAGEREF _Toc526954571 h 7 HYPERLINK l _Toc526954

2、572 1.4项目建设原则 PAGEREF _Toc526954572 h 7 HYPERLINK l _Toc526954573 2项目建设思路和技术路线 PAGEREF _Toc526954573 h 8 HYPERLINK l _Toc526954574 2.1项目建设思路 PAGEREF _Toc526954574 h 8 HYPERLINK l _Toc526954575 2.2项目技术路线 PAGEREF _Toc526954575 h 8 HYPERLINK l _Toc526954576 2.3项目建设技术方法引用 PAGEREF _Toc526954576 h 10 HYPE

3、RLINK l _Toc526954577 2.3.1可控安全理念 PAGEREF _Toc526954577 h 10 HYPERLINK l _Toc526954578 2.3.2风险管理设计方法 PAGEREF _Toc526954578 h 10 HYPERLINK l _Toc526954579 2.3.3体系化设计方法 PAGEREF _Toc526954579 h 13 HYPERLINK l _Toc526954580 2.3.4等级化设计方法 PAGEREF _Toc526954580 h 14 HYPERLINK l _Toc526954581 2.3.5自上而下和自下而上

4、相结合的设计方法 PAGEREF _Toc526954581 h 15 HYPERLINK l _Toc526954582 2.4项目实施整体策略 PAGEREF _Toc526954582 h 16 HYPERLINK l _Toc526954583 3项目建设依据 PAGEREF _Toc526954583 h 18 HYPERLINK l _Toc526954584 4云安全风险与需求分析 PAGEREF _Toc526954584 h 20 HYPERLINK l _Toc526954585 4.1云安全的基本安全需求 PAGEREF _Toc526954585 h 20 HYPERL

5、INK l _Toc526954586 4.1.1CSA云计算关键领域安全指南V2.1 PAGEREF _Toc526954586 h 20 HYPERLINK l _Toc526954587 4.1.2传统信息系统的基本安全需求 PAGEREF _Toc526954587 h 21 HYPERLINK l _Toc526954588 4.1.3云安全与传统安全的差异 PAGEREF _Toc526954588 h 22 HYPERLINK l _Toc526954589 4.2XX信息系统云计算平台安全技术需求分析 PAGEREF _Toc526954589 h 23 HYPERLINK l

6、 _Toc526954590 4.2.1物理安全风险与需求分析 PAGEREF _Toc526954590 h 24 HYPERLINK l _Toc526954591 4.2.2计算环境安全风险与需求分析 PAGEREF _Toc526954591 h 25 HYPERLINK l _Toc526954592 4.2.3区域边界安全风险与需求分析 PAGEREF _Toc526954592 h 25 HYPERLINK l _Toc526954593 4.2.4通信网络安全风险与需求分析 PAGEREF _Toc526954593 h 25 HYPERLINK l _Toc526954594

7、 4.2.5虚拟化技术的安全风险与需求分析 PAGEREF _Toc526954594 h 25 HYPERLINK l _Toc526954595 4.3云安全管理需求分析 PAGEREF _Toc526954595 h 26 HYPERLINK l _Toc526954596 5等级保护安全建设方案设计 PAGEREF _Toc526954596 h 28 HYPERLINK l _Toc526954597 5.1现状调研与分析 PAGEREF _Toc526954597 h 28 HYPERLINK l _Toc526954598 5.1.1工作定位 PAGEREF _Toc526954

8、598 h 28 HYPERLINK l _Toc526954599 5.1.2参考标准 PAGEREF _Toc526954599 h 28 HYPERLINK l _Toc526954600 5.1.3阶段性输入 PAGEREF _Toc526954600 h 29 HYPERLINK l _Toc526954601 5.1.4工作方法与流程 PAGEREF _Toc526954601 h 29 HYPERLINK l _Toc526954602 5.1.5技术实现 PAGEREF _Toc526954602 h 30 HYPERLINK l _Toc526954603 5.1.5.1业务

9、流程分析方法 PAGEREF _Toc526954603 h 30 HYPERLINK l _Toc526954604 5.1.5.2安全风险评估方法 PAGEREF _Toc526954604 h 30 HYPERLINK l _Toc526954605 5.1.5.3安全需求分析方法 PAGEREF _Toc526954605 h 34 HYPERLINK l _Toc526954606 5.1.5.4安全风险评估工具 PAGEREF _Toc526954606 h 34 HYPERLINK l _Toc526954607 5.1.6阶段性输出 PAGEREF _Toc526954607

10、h 35 HYPERLINK l _Toc526954608 5.2等级保护建设与方案设计 PAGEREF _Toc526954608 h 35 HYPERLINK l _Toc526954609 5.2.1工作定位 PAGEREF _Toc526954609 h 35 HYPERLINK l _Toc526954610 5.2.2参考标准 PAGEREF _Toc526954610 h 36 HYPERLINK l _Toc526954611 5.2.3阶段性输入 PAGEREF _Toc526954611 h 36 HYPERLINK l _Toc526954612 5.2.4工作方法与流

11、程 PAGEREF _Toc526954612 h 36 HYPERLINK l _Toc526954613 5.2.5技术实现 PAGEREF _Toc526954613 h 38 HYPERLINK l _Toc526954614 5.2.5.1SWOT分析方法 PAGEREF _Toc526954614 h 38 HYPERLINK l _Toc526954615 5.2.5.2体系设计方法 PAGEREF _Toc526954615 h 39 HYPERLINK l _Toc526954616 5.2.5.3等级保护的多重防护设计方法 PAGEREF _Toc526954616 h 3

12、9 HYPERLINK l _Toc526954617 5.2.6安全保障体系设计框架 PAGEREF _Toc526954617 h 40 HYPERLINK l _Toc526954618 5.2.7网络架构设计与安全区域规划 PAGEREF _Toc526954618 h 42 HYPERLINK l _Toc526954619 5.2.8阶段性输出 PAGEREF _Toc526954619 h 43 HYPERLINK l _Toc526954620 5.3建设实施 PAGEREF _Toc526954620 h 43 HYPERLINK l _Toc526954621 5.3.1工

13、作定位 PAGEREF _Toc526954621 h 43 HYPERLINK l _Toc526954622 5.3.2参考标准 PAGEREF _Toc526954622 h 44 HYPERLINK l _Toc526954623 5.3.3阶段性输入 PAGEREF _Toc526954623 h 44 HYPERLINK l _Toc526954624 5.3.4技术实现 PAGEREF _Toc526954624 h 44 HYPERLINK l _Toc526954625 5.3.4.1信息安全管理体系建设 PAGEREF _Toc526954625 h 44 HYPERLIN

14、K l _Toc526954626 5.3.4.2信息安全技术体系建设 PAGEREF _Toc526954626 h 45 HYPERLINK l _Toc526954627 5.3.4.2.1安全计算环境 PAGEREF _Toc526954627 h 46 HYPERLINK l _Toc526954628 5.3.4.2.2安全区域边界防护 PAGEREF _Toc526954628 h 46 HYPERLINK l _Toc526954629 5.3.4.2.3安全网络通信防护 PAGEREF _Toc526954629 h 47 HYPERLINK l _Toc526954630

15、5.3.4.3系统安全配置和加固 PAGEREF _Toc526954630 h 47 HYPERLINK l _Toc526954631 5.3.4.3.1安全加固原则 PAGEREF _Toc526954631 h 48 HYPERLINK l _Toc526954632 5.3.4.3.2安全加固流程 PAGEREF _Toc526954632 h 49 HYPERLINK l _Toc526954633 5.3.4.3.3安全加固质量保证 PAGEREF _Toc526954633 h 50 HYPERLINK l _Toc526954634 5.3.4.4安全产品集成与实施 PAGE

16、REF _Toc526954634 h 50 HYPERLINK l _Toc526954635 5.3.5安全保障措施 PAGEREF _Toc526954635 h 51 HYPERLINK l _Toc526954636 5.3.6阶段性输出 PAGEREF _Toc526954636 h 51 HYPERLINK l _Toc526954637 5.4协助等级保护测评 PAGEREF _Toc526954637 h 52 HYPERLINK l _Toc526954638 5.4.1工作定位 PAGEREF _Toc526954638 h 52 HYPERLINK l _Toc5269

17、54639 5.4.2参考标准 PAGEREF _Toc526954639 h 52 HYPERLINK l _Toc526954640 5.4.3阶段性输入 PAGEREF _Toc526954640 h 52 HYPERLINK l _Toc526954641 5.4.4工作方法与流程 PAGEREF _Toc526954641 h 52 HYPERLINK l _Toc526954642 5.4.4.1测评方法 PAGEREF _Toc526954642 h 53 HYPERLINK l _Toc526954643 5.4.4.2测评内容 PAGEREF _Toc526954643 h

18、54 HYPERLINK l _Toc526954644 6整体方案建议 PAGEREF _Toc526954644 h 55 HYPERLINK l _Toc526954645 6.1三级等保方案设计图 PAGEREF _Toc526954645 h 56 HYPERLINK l _Toc526954646 6.2安全产品部署说明 PAGEREF _Toc526954646 h 57 HYPERLINK l _Toc526954647 6.3安全体系设计 PAGEREF _Toc526954647 h 59 HYPERLINK l _Toc526954648 6.3.1物理安全设计 PAGE

19、REF _Toc526954648 h 59 HYPERLINK l _Toc526954649 6.3.2主机与应用安全（计算环境安全设计） PAGEREF _Toc526954649 h 59 HYPERLINK l _Toc526954650 6.3.2.1身份鉴别 PAGEREF _Toc526954650 h 59 HYPERLINK l _Toc526954651 6.3.2.2访问控制 PAGEREF _Toc526954651 h 60 HYPERLINK l _Toc526954652 6.3.2.3系统安全审计 PAGEREF _Toc526954652 h 60 HYPE

20、RLINK l _Toc526954653 6.3.2.4入侵防范 PAGEREF _Toc526954653 h 61 HYPERLINK l _Toc526954654 6.3.2.5主机恶意代码防范 PAGEREF _Toc526954654 h 61 HYPERLINK l _Toc526954655 6.3.2.6软件容错 PAGEREF _Toc526954655 h 61 HYPERLINK l _Toc526954656 6.3.2.7数据完整性与保密性 PAGEREF _Toc526954656 h 61 HYPERLINK l _Toc526954657 6.3.2.8备份

21、与恢复 PAGEREF _Toc526954657 h 62 HYPERLINK l _Toc526954658 6.3.2.9资源控制 PAGEREF _Toc526954658 h 62 HYPERLINK l _Toc526954659 6.3.2.10客体安全重用 PAGEREF _Toc526954659 h 63 HYPERLINK l _Toc526954660 6.3.2.11抗抵赖 PAGEREF _Toc526954660 h 63 HYPERLINK l _Toc526954661 6.3.3区域边界安全设计 PAGEREF _Toc526954661 h 63 HYPE

22、RLINK l _Toc526954662 6.3.3.1边界访问控制 PAGEREF _Toc526954662 h 63 HYPERLINK l _Toc526954663 6.3.3.2安全隔离网闸 PAGEREF _Toc526954663 h 63 HYPERLINK l _Toc526954664 6.3.3.3流量控制 PAGEREF _Toc526954664 h 64 HYPERLINK l _Toc526954665 6.3.4边界完整性检查 PAGEREF _Toc526954665 h 64 HYPERLINK l _Toc526954666 6.3.4.1边界入侵防御

23、 PAGEREF _Toc526954666 h 64 HYPERLINK l _Toc526954667 6.3.4.2边界安全审计 PAGEREF _Toc526954667 h 64 HYPERLINK l _Toc526954668 6.3.4.3网页防篡改 PAGEREF _Toc526954668 h 65 HYPERLINK l _Toc526954669 6.3.4.4边界恶意代码防范 PAGEREF _Toc526954669 h 65 HYPERLINK l _Toc526954670 6.3.5通信网络安全设计 PAGEREF _Toc526954670 h 65 HYP

24、ERLINK l _Toc526954671 6.3.5.1网络结构安全 PAGEREF _Toc526954671 h 65 HYPERLINK l _Toc526954672 6.3.5.2网络安全审计 PAGEREF _Toc526954672 h 66 HYPERLINK l _Toc526954673 6.3.5.3网络设备防护 PAGEREF _Toc526954673 h 66 HYPERLINK l _Toc526954674 6.3.5.4通信完整性 PAGEREF _Toc526954674 h 66 HYPERLINK l _Toc526954675 6.3.5.5通信保

25、密性 PAGEREF _Toc526954675 h 67 HYPERLINK l _Toc526954676 6.3.5.6网络可信接入 PAGEREF _Toc526954676 h 67 HYPERLINK l _Toc526954677 6.3.6系统管理 PAGEREF _Toc526954677 h 67 HYPERLINK l _Toc526954678 6.3.7审计管理 PAGEREF _Toc526954678 h 68 HYPERLINK l _Toc526954679 6.3.8运维及应用监管 PAGEREF _Toc526954679 h 68 HYPERLINK l

26、 _Toc526954680 6.3.9安全管理体系 PAGEREF _Toc526954680 h 68 HYPERLINK l _Toc526954681 6.3.10安全运维服务 PAGEREF _Toc526954681 h 68 HYPERLINK l _Toc526954682 6.4信息安全产品选型及配置清单 PAGEREF _Toc526954682 h 69 HYPERLINK l _Toc526954683 6.4.1产品选型建议 PAGEREF _Toc526954683 h 69 HYPERLINK l _Toc526954684 6.4.2产品选型要求 PAGEREF

27、 _Toc526954684 h 70 HYPERLINK l _Toc526954685 6.5信息安全建设配置清单 PAGEREF _Toc526954685 h 70 HYPERLINK l _Toc526954686 6.5.1现有系统安全产品推荐配置清单（二级） PAGEREF _Toc526954686 h 70 HYPERLINK l _Toc526954687 6.5.2现有系统安全产品推荐配置清单（三级） PAGEREF _Toc526954687 h 71项目理解项目背景信息安全等级保护是国家信息系统安全保障工作的基本制度和基本国策，是国家对基础信息网络和重要信息系统实施重

28、点保护的关键措施。按照国家有关主管部门的要求，XX信息系统部分项目已开展过等级保护相关工作。如全球一体化项目系统已在开展信息安全等级保护建设与等级保护测评工作，我公司将在现有新建的应用系统中，进行总体安全架构和安全服务工作。项目范围XX信息系统开展信息安全等级保护工作的网络系统有两个，一个是外网，一个是业务专网，两个网络彼此物理隔离，外网与互联网逻辑隔离。通讯业务专网和外网整体定为三级。本项目的具体范围见下表。表格 STYLEREF 1 s 1 SEQ 表格 * ARABIC s 1 1应用系统定级情况列表序号系统名称等级用户数量使用频度建设情况对外系统S2A2G2社会用户实时设计三级框架，但

29、先达到二级建设水平对内系统S2A1G2省市通讯实时设计三级框架，但先达到二级建设水平对内系统S2A2G2内部各级通讯实时设计三级框架，但先达到二级建设水平内部系统S3A3G3部内用户阶段性频繁设计三级框架，但先达到二级建设水平项目目标根据国家信息安全等级保护相关政策要求，对XX信息系统信息系统进行整体等级保护建设工作，并通过测评机构的等级保护测评，最终通过公安部的备案认可。通过本次项目实现以下目标：按照信息安全等级保护建设方案，协助XX信息系统在安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维建设管理等方面进行完善和提高。符合等级保护政策要求，通过建设，使XX信息系统部在安全管

30、理制度建设和安全技术措施建设都符合国家等级保护标准和要求，所有三级网络和应用系统均通过等级保护测评。项目建设原则我公司在项目实施过程中，将遵循以下原则：符合性原则：项目建设要符合国家等级保护政策和标准规范要求，通过专业等级保护测评机构的测评，并到公安部门及上级主管单位完成备案；适度安全原则：安全防护工作的根本性原则，安全防护工作应根据重要信息系统的安全等级，平衡效益与成本，采取适度的安全技术和管理措施；可控性原则：相关的项目组人员应具备可靠的职业素质和专业素质；项目实施过程中技术工具的使用可控，避免引入新的风险；项目过程可控性：要对整个安全防护项目进行科学的项目管理，实现项目过程的可控性；最小

31、影响原则：从项目管理层面和技术管理层面，项目的实施过程对信息系统正常运行的影响降低到最低限度，以确保日常业务的正常运行；保密性原则：相关安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露重要信息系统安全防护工作的重要和敏感信息。项目建设思路和技术路线项目建设思路本期项目的建设思路是以建立一套“XX信息系统信息安全体系”为主线，即能够切实满足“业务需求”和“风险控制需求”，又能够落实“电子政务”和“等级保护”等国家政策要求，并能够参照国内外标准和最佳实践，把“自下而上”和“自上而下”的设计方法相结合，最终符合项目建设目标的实施方法。图示： STYLEREF 1 s 2 SEQ

32、 图示： * ARABIC s 1 1项目建设思路示意图项目技术路线根据目前国内外安全理论和标准发展状态，开展XX信息系统信息安全等级保护安全建设工作主要采用以下技术方法：风险评估方法：采用风险评估的方法进行现状调研和需求分析，本技术方法符合GB/T 20984-2007 信息安全技术信息安全风险评估规范中的总体要求；体系化设计方法：采用结构化设计方法，运用问题管理的方式（结合风险评估的结论），引用信息安全保障技术框架（IATF）中的信息安全保障的深度防御战略模型，做好安全保障体系框架设计工作；等级化设计方法：根据国家等级保护策略，结合信息系统的安全保护等级，设计支撑体系框架的安全目标和安全要

33、求，基本要求和技术方法符合国家等级保护相关标准，包括基本要求和设计要求，在具体设计过程中，满足等级保护的各项控制点；PDCA管理方法：根据ISO27001信息安全管理体系中提出的PDCA循环的风险控制方法，导入到本次工程的信息安全管理工作中，指导本次工程信息安全管理体系建设。根据这些技术方法，本项目在实施过程中的总体技术路线采用的是一套“可控安全保障体系”的设计、实施和运维的综合建设方法，如下图所示：图示： STYLEREF 1 s 2 SEQ 图示： * ARABIC s 1 2项目技术路线示意图在本期项目可以采用可控安全保障体系的设计思路和方法，以“风险管理”为核心，采用等级化、体系化设计

34、方法，能够达到最终的“可控”效果的保障体系，该体系在设计过程中会充分结合国内外的各项标准和最佳实践，同时符合国内政策法规要求，以业务系统为驱动和出发点，适应于信息安全其动态性、整体性和相对性的特点。该体系具备如下特征：在满足本期项目整体安全需求的基础上，确保整体安全可控；能够实现本期项目整体安全目标，符合国家等级保护技术和管理要求；需要结合风险评估、风险处置等一系列风险管理相关的方法。通过本技术路线和技术方案，在安全层面有效监督与控制整个建设、建设、测评过程。项目建设技术方法引用可控安全理念“可控安全”来自于对于管理的一种状态描述，在管理学当中强调并指出管理的体现是效果，管理的过程是执行。而对

35、于“可控安全”来说，恰恰适当地反映了安全管理的效果，既体现了没有绝对的安全，也把握了安全所应达到的一种状态。具体到可控安全理论中，重点是以六个可控要素和整个可控安全的动态管理过程进行体现，如下图所示：图示： STYLEREF 1 s 2 SEQ 图示： * ARABIC s 1 3可控安全模型在整个体系设计的过程中，所有相关的安全目标、具体实现过程以及最终的衡量标准，都会通过安全效果进行综合描述，尤其是在安全保障总体规划中和安全管理体系中加以综合体现。风险管理设计方法风险管理（Risk Management）旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部

36、分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理既是为了发现商业机会，同样也是为了避免或减轻损失。风险管理过程（Risk Management Process）是指系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。在信息安全的领域，同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，机构和组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花

37、费、和对工作效率的严重降低。所以，如何适度和有效地进行信息安全的风险的管理和控制，成为了一项迫切和重要的任务。图示： STYLEREF 1 s 2 SEQ 图示： * ARABIC s 1 4风险管理与成本投入示意图一般来说，安全风险的降低（即安全水平的提升）和相应的开销不是线性的关系，如图所示。在较高的安全水平上面，获得微小的提高可能需要的巨大开销，甚至开销超出了所保护资产的价值。经过精细的资产评估和风险评估，就可以在投资提升安全降低风险、承受风险、转移风险等做出正确的选择。在国际标准ISO13335中，安全模型如下图所示，特点是以风险为核心。图示： STYLEREF 1 s 2 SEQ 图

38、示： * ARABIC s 1 5ISO13335风险管理模型在国际标准ISO15408中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。图示： STYLEREF 1 s 2 SEQ 图示： * ARABIC s 1 6ISO15408风险管理模型可以看出，这两个安全模型非常类似，核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也基本类似，只是描述和关注的角度不同。我公司在本次项目中采用国家GB20984中的信息安全风险评估模型，并提起其中的关键要素建立风险分析的最终方法，如下图所示：图示： STYLEREF 1 s 2 SEQ 图示： * ARABIC s 1 7风

39、险分析模型体系化设计方法一个完整的信息安全体系应该是安全管理和安全技术实施的结合，两者缺一不可。为了实现对信息系统的多层保护，真正达到信息安全保障的目标，国外安全保障理论也在不断的发展之中，美国国家安全局从1998年以来开展了信息安全保障技术框架（IATF）的研究工作，并在2000年10月发布了IATF 3.1版本，在IATF中提出信息安全保障的深度防御战略模型，将防御体系分为策略、组织、技术和操作四个要素，强调在安全体系中进行多层保护。安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略下借助于一定的安全技术手段进行持续的运作”。因此本项目信息安全保障体系从横向看，主要包含安全

40、管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，必须制订层次化的安全策略，完善安全管理组织机构和人员配备，提高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和安全管理实现对计算机系统的多层保护，减小它受到攻击的可能性，防范安全事件的发生，提高对安全事件的反应处理能力，并在安全事件发生时尽量减少事件造成的损失。其次，为了使信息安全体系更有针对性，在构建时还必须考虑信息安全本身的特点：动态性、相对性和整体性。信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中，从内因看，信息系统本身就在变化和发展之中，信息系统中设备的更新、操作系

41、统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看，各种软硬件系统的安全漏洞不断的被发现、各种攻击手段在不断在发展，这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的安全风险。信息系统安全的相对性指的是信息安全的目标实现总是相对的，由于成本以及实际业务需求的约束，任何的安全解决方案都不可能解决所有的安全问题，百分之百安全的信息系统是不存在的，不管安全管理和安全技术实施多完善，安全问题总会在某个情况下发生。信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。信息安全的整体性指的是信息安全是一个

42、整体的目标，正如木桶的装水容量取决于最短的木块一样，一个信息系统的安全水平也取决于防御最薄弱的环节。因此，均衡应该是信息安全保障体系的一个重要原则，这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡，以实现整体的信息安全目标。等级化设计方法面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专

43、家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。2003年，中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。意见中明确指出，信息化发展

44、的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。实施信息安全等级保护，可以有效地提高我国信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；根据信息系统及应用的重要程度、敏感程度以及信息资产的客观条件，确定相应的信息系统安全保护等级。一个信息系统可能包含多个操作系统和多个数据库，以及多个独立的网络产品，网络系统也可能十分复杂。在对一个复杂的信息系统的安全保护等级进行划分时，通常需要对

45、构成这个信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑，在确定各子系统对应的安全等级保护技术要求的前提下，依据木桶原理综合分析，确定对该信息系统安全保护等级的划分。自上而下和自下而上相结合的设计方法通常在进行信息系统建设工程中，存在各类问题导致安全目标、安全要求不能够落实到位，最终影响了工程的总体运行状态。例如工程建设中过多注重信息系统业务功能的实现和当期的实施建设，较少考虑信息系统的综合性能和安全性，由此为后期的运维工作带来了很多不必要的投入；还有即便是考虑安全，更多的是从能够部署的安全产品和当期的安全技术角度出发，“自下而上”的解决已有的安全问题而进行工程

46、实施，缺乏全局的综合考虑；也存在以安全为主体，设计了大量的安全控制措施，“自上而下”设计了安全目标和框架，但在具体实施过程中发现根本没有办法落实，缺乏实用性等一系列工程设计实施问题。所以在本项目中我们要吸取已有项目的成果和失败经验，避免采用“过左”或“过右”的建设思路和设计方法，在整个项目建设过程中，既要“自上而下”的综合考虑总体目标框架，落实政策标准，又要“自下而上”的结合实际面临的风险和具体业务需求，从而综合建立一套适应于XX信息系统的安全保障体系。并在整个项目建设过程中，通过组织人员、计划安排、服务保证和产品实施等具体工作加以落实。“自上而下”的建设工作包括：总体把握本期工程建设目标所引

47、发的安全目标和业务发展的中长期目标；确定本期工程总体安全目标以及满足政策标准的安全要求，同时分解成不同的安全需求（此时与“自下而上”对接）；综合阐述安全发展趋势，结合本期工程建设发展方向和步调，确定本期工程安全建设发展计划。“自下而上”的建设工作包括：采用风险分析的方法，从安全的角度梳理业务系统，从而形成不同业务系统安全需求；分析现有的信息安全管理模式和流程中存在的具体问题，提出解决信息安全管理实施方案；分析现有的信息安全技术产品部署中存在的风险和隐患，提出信息安全技术产品部署方案。项目实施整体策略为实现XX信息系统信息安全等级保护安全建设项目的目标，针对本项目将采用以下综合实施策略：1、“一

48、套方法”：建立一套满足等级保护的可控安全保障体系，该体系不仅仅要充分符合电子政务的建设要求，也要贯彻风险评估和风险管理的方法，同时要满足等级保护的基本要求，最终保障项目目标实现。2、“一班人马”：由于本期项目中涉及的安全工作类型复杂，包括差距分析、建设服务以及监督集成实施等工作，这些工作虽然相对独立又相互依赖，所以做好这些工作必须建立一套统一的人马，才能够做到从前到后综合了解项目背景，做好各项工作的衔接和协助工作。3、“四项工作内容”：在开展等级保护安全建设工作的过程中，全面实施和完成本期项目所要求的四项工作内容，确保项目工作成果相互之间能够有效衔接，作为构成整体的项目工作成果，具体工作内容包

49、括：信息系统等级保护建设与实施方案设计；协助建设实施；协助等级保护测评；信息安全培训。4、“五个技术关键点”：在项目实施过程中，虽然能够从人员、控制机制、方法以及具体工作内容方面满足项目安全需求，但在整个项目的质量保证过程中，要把握并解决一些技术关键点，这些技术关键点同时是确保等级保护安全建设项目成果的质量控制和关注点：加强差距分析，认清安全风险；做好网络架构设计与分级分域工作，明确边界的访问控制策略；做好安全建设的监督、检查工作，确保安全策略能够在建设过程中落实；符合等级保护要求，贯彻落实国家政策法规；采用体系化设计模式，关注信息化发展技术方向。项目建设依据在项目的设计与实施过程中，我公司将

50、严格按照国家信息安全建设相关规定、标准执行。国家信息安全相关文件：中华人民共和国计算机信息系统安全保护条例（国务院147号令）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护管理办法（公通字200743号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）公安机关信息安全等级保护检查工作规范（公信安2008736号）关于开展信息安全等级保护安全建设工作的指导意见（公信安20091429号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号

51、）国信安标委组织制定的国家标准：GB17859-1999 计算机信息系统 安全保护等级划分准则GB/T22240-2008 信息安全技术 信息系统安全保护等级定级指南GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T20269-2006信息安全技术 信息系统安全等级保护管理要求GB/T20270-2006信息安全技术 网络基础安全技术要求GB/T20271-2006信息安全技术 信息系统通用安全技术要求GB/T20272-2006信息安全技术 操作系统安全技术要求GB/T20273-2006信

52、息安全技术 数据库管理系统安全技术要求GB/T20282-2006信息安全技术 信息系统安全工程管理要求GB/T21082-2007信息安全技术 服务器安全技术要求GB/T 25070-2010-信息系统等级保护安全设计技术要求国标报批稿 信息安全技术 信息系统安全等级保护测评过程指南国标报批稿 信息安全技术 信息系统安全等级保护测评要求云安全风险与需求分析云安全的基本安全需求CSA云计算关键领域安全指南V2.1CSA云计算关键领域安全指南V2.1中为云安全构建了技术及管理框架（如下图），其中包含了3个层面，13个关注点。图示： 41 CSA安全指南框架CSA安全指南v2.1在技术上面明确阐述

53、了法律、电子证据发现（D3）以及虚拟化（D13）方面的安全关注建议，另外对于数据的可移植性和互操作性（D6）也是新版CSA安全指南的独特之处。这些内容在ISO27001或者PCI-DSS中或者没有要求，或者很少阐述。D3和D6都是法律层面的关注点；而D13虚拟化则是安全技术关注点，这也是XX信息系统信息系统相对于传统信息中心在技术方面最大的区别之一。传统信息系统的基本安全需求信息安全等级保护管理办法中对信息系统的安全需求的深入研究，对传统信息系统的安全做出了很全面的规定，主要包含两个层面的要求：技术层面和管理层面。图示： 42 安全基本要求应用系统应根据计算机信息系统安全保护等级划分准则确定自

54、身的等保级别，并根据信息系统安全等级保护基本要求的具体要求进行安全系统与制度建设。不同级别间的大项要求相同，细项不同。下图对不同级别系统控制项的差异进行了汇总。图示： 43 二级三级安全项云安全与传统安全的差异云安全与传统安全第一大差异是防护理念上的差异，在传统安全防护中，很重要的一个原则就是基于边界的安全隔离和访问控制，并且强调针对不同的安全区域设臵有差异化的安全防护策略，在很大程度上依赖各区域之间明显清晰的区域边界;而在云计算环境下，存储和计算资源高度整合，基础网络架构统一化，安全设备的部署边界已经渐渐消失，这也意味着单一的边界防护效果将急速降低，云安全的防护更注重是差异化、体系化和网元化

55、的安全防护。云安全与传统安全第二大差异是防护体系上的差异，在传统安全防护中，更多的是采用资源结构式的防护，一般会分为物理安全、网络安全、系统安全、应用与数据安全和安全管理五部分；而在云计算环境下，在传统资源结构的基础上，由于虚拟化技术的引入，安全防护的将纳入虚拟化平台的安全、虚拟化管理层的安全和虚拟化安全三部分。在应用安全方面，将以云计算的服务模式为基础，决定着应用安全的重点与建设方向。而数据安全、安全管理与安全运维则是两个方面均需要考虑的。图示： 44 云安全与传统安全模块差异视图XX信息系统信息系统仍然是一类信息系统，需要依照其重要性不同进行分级保护。 XX信息系统信息系统的安全工作必须依

56、照等级保护的要求来建设运维。 云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。XX信息系统云计算平台安全技术需求分析以二、三级系统为例，从技术层面上看，云计算平台的安全应根据下图所示进行安全系统建设，以保证XX信息系统信息系统的安全。图示： 45 技术要求下面就各项进行简单分析。物理安全风险与需求分析物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。例如：机房缺乏控制，人员随意出入带来的风险

57、；网络设备被盗、被毁坏；线路老化或是有意、无意的破坏线路；设备在非预测情况下发生故障、停电等；自然灾害如地震、水灾、火灾、雷击；电磁干扰等。因此，在通盘考虑安全风险时，应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。计算环境安全风险与需求分析计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。区域边界安全风险与需求分析区域边界的安全主要包括：边界访问控制、边界完整性

58、检测、边界入侵防范以及边界安全审计等方面。通信网络安全风险与需求分析XX信息系统信息系统通信网络的安全主要包括：网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。虚拟化技术的安全风险与需求分析云计算系统的核心是采用虚拟化技术实现计算资源的池化和动态配置。虚拟化技术也是云计算系统诸多优势得以实现的关键因素。但是，必须注意到的是：虚拟化技术本身也会带来新的安全风险。虚拟化技术为云计算平台增加了额外的一层安全要求。现有的针对操作系统软件的各种安全威胁在这些系统移植到虚拟机的时候仍然存在。虚拟机在使用和迁移过程中可能引起的潜在问题包括：虚拟服务器管理平台的安全风险、虚拟资源共享风险、

59、虚拟机镜像安全风险。针对上述风险，提出以下几种安全需求。虚拟服务管理平台（Hypervisor，VMM）虚拟服务管理平台是云计算环境的核心驱动组件，控制管理着一个域中的虚拟设备及数据；成功攻击服务管理器会影响所有该管理器控制的所有虚拟设备及数据。以VMware、Citrix和微软的虚拟化应用程序（ESX/XEN/Hyper-V）为代表的虚拟化应用程序本身可能存在的安全漏洞将影响到整个物理主机的安全。黑客在利用漏洞入侵到主机系统之后，可以对整个主机上的虚拟机进行任意的配置破坏，从而导致系统不能对外提供业务，或者是将相关数据进行窃取。同时，针对以vCenter为代表的虚拟机配置管理程序，考虑到其涉

60、及到全部虚拟机的安全，因此针对这类管理平台软件的安全漏洞攻击，也是新的安全风险。虚拟资源隔离同一物理机上的多个虚拟机共享物理（计算、网络、存储）资源是云计算环境的重要特点，如何实现隔离这些资源是云计算系统的重要挑战。虚拟机间隔离技术的不成熟会导致信息泄露、数据完整性遭到破坏、服务连续性难以保证等问题。虚拟机镜像安全虚拟机在生命周期的每一个步都容易受到安全威胁。当从头开始创建新的虚拟机的时候，重要的是要保证虚拟机使用最新的安全补丁和软件。当克隆虚拟机镜像和移动虚拟机的时候，重要的是保持每一个虚拟机的“稳定状态”，以便了解这些虚拟机是否需使用了最新的补丁或者是否需要使用补丁。随着时间的推移，由于镜