政务云应用平台安全保障体系方案

政务云应用平台安全保障体系方案目录TOC\o"1-5"\h\z\o"CurrentDocument"基础设施支撑平台建设方案 2电子政务云平台介绍 2电子政务云平台服务目录 313 安全保障体系 6\o"CurrentDocument"安全保障体系建设方案 8安全保障体系总体设计 8安全保障技术设计 8安全管理设计 14安全服务设计 191基础设施支撑平台建设方案基础设施作为中心城区非生活用水户远程监控系统（一期）的软硬件平台，为整个信息平台提供网络、服务器、存储环境及通讯链路的支持，同时通过系统软件和平台支撑软件对应用系统提供数据和运行环境上的保障。中心城区非生活用水户远程监控系统（一期）建设的基础设施平台将充分依托电子政务云平台等信息化基础设施资源，并在此基础上增加必要的软硬件设施，为中心城区非生活用水户远程监控系统（一期）提供一个稳定可靠、高性能、扩展性强、易于管理的基础设施平台。l.i电子政务云平台介绍电子政务云平台由云计算中心建设，经济和信息化委员会按需采购服务的方式，为各政务应用系统提供基础设施服务，并在出于保护电子政务云平台架构的原则下提供部分增值服务。电子政务云平台安全拓扑如下图所示：成都云计算中心总体架构图平台按功能进行安全分区，包括接入区、安全管理区、核心交换区、备份存储区、政务应用核心云、行业云、前置应用区、数据库云以及为三级等级保护独立设置的三级等保区域。1.2电子政务云平台服务目录电子政务云平台服务L1录序服务项目服务内容米购方式一、基础设施服务目录

标准灼A4核(2.1GHz)/8GB内存/160GB硬盘标准弋B4核(2.1GHz)/16GB内存/160GB硬盘标准型C8核(2.1GHz)/16GB内存/160GB硬盘标准卫D8核(2.1GHz)/32GB内存/160GB硬盘标准型E16核(2.1GHz)/32GB内存/160GB硬盘标准巴F16核(2.1GHz)/64GB内存/160GB硬盘增强灼A2颗CPUQ四核，2.1GHz)/16GB内存/2T46G硬盘增强弋B2颗CPU(事六核2.66GHz)/32GB内存/2T46G硬盘增强型C4颗CPU(N四核2.1GHz)/32GB内存/2U46G硬盘增强卫D4颗CPU(M四核、2.4GHz)/64GB内存/2H46G硬盘增强4颗CPU(2四核，2.4GHz)/128GB内存/2T46G由电子政务云按需提供，并由经济和信息化委员会统一据实结算用户不涉及任何费用：使用时需向经信委提交资源申请函（无偿）E硬盘增强 4颗CPU（A十核，2.0GHz）/256GB内存/2丁466型F硬盘直连光纤接入方式的电了政务外网接入访问服务且2网络环境服务供使用的IP地址空间不少于3x255个至少两家基础电信运营商的互联网接入访问服务，接入带宽不影响计算资源的充分发挥。目前总接入带宽暂定不低于750Mbps。并提供互联网旧地址服务。基于全线速、冗余的1000Mbps以太网技术搭建电了政务应用系统网络环境：基于20GbInfiniband^速交换网络技术搭建公共计算网络环境不低于4Gb/s的SAN存储局域网3操作系统满足应用需求的Windows主流版本操作系统环境满足应用需求的Linux主流版本的操作系统环境4存储服务为每操作系统配且不彳氐于100GB的本地硬盘存储空间为每操作系统配且不彳氐于4GB的本地内存为电了政务云平台提供不彳氐于50TB的有储空间支持动态扩展。很据应用需求提供超出基本存储容虽之外的存储服务支持FC存储类型支持SATA文件存储类型支持本地内存扩展5数据库环境服务无限CPULicenses的MSSQLServer2008企业版数据库环境服务6基础培训服务云计算的基础理论培训虚拟化技术及应用培训云计算中心资源使用培训在电了政务云平台网络环境中提供针对1000M以太网的网络防火墙要求最大吞吐量不低于8G：并发连接不少于300万：每秒新建连接不少于3.5万；支持透明’路由’NAT、透明路由的混合模式的工作模式在电了政务云平台网络环境中提供千兆以太网的人侵检测设备，要求屐大并发连接数不小于150万，平均无故障时间MTBF不低于100,000小时；支持多种协议-提供多种管理和响应方式系统安全与保系统安全与保F?'间谍软件等具有全面的防护功能发现异常及时隔离并通知用户为电了政务云平台提供漏洞扫描服务，定期向用户捉交操作系统及数据库等漏洞扫描报告。为电了政务云平台提供行为审计服务主动向用户提交异常操作行为报告，响应用户提取行为审计相矢数据。对机房环境捉供24小时视频监控记录，每通道至少部署一个监控点采取数据保全措施，保证在出现系统宕机后不发生数据丢失平台维护人员具备系统安全保密素质与能力8安全应急预案服务成立应急预案小组，制定应急预案开展应急演练。针对迁移和部署的电（政务应用系统进行可行性评估电子政务同用户单位制定迁移和部署方案9应用系统的为迁移和部署电子政务应用调配相应资源迁移和按照迁移和部署方案与相笑单位共同实施电了政务应用系统迁移和部署

部署服务10运维服务专业技术支持与服务团队有效的运维管理制度记录日常监控'操作管理、运行日志维护和巡检设备定期通报系统运行情况建立问题赵理流程及时通报赵理进度和结果单二'增值云计算服务目录位1VPN提供SSLVPN登陆服务由云计算中心提供，使用时须与云计算中心协商价格及米购方式（有偿）2操作系统补T3操作系统加固4网页防篡改5虚拟防火墙提供虚拟防火墙服务「3安全保障体系本项□的安全保障体系包括电子政务云平台的安全保障资源和项LI自身的安全保障措施。13.1电子政云平台的安全保障措施、安全技术网络安全拓扑图如下图所示:图1云计算中心网络安全拓扑图政务云平台提供符合等级保护三级技术安全要求的基础环境，包括：物理安全、网络安全、主机系统安全的相矢内容，各项内容如下：物理安全:提供安全可靠的机房和办公场地、对机房来访人员进行访问控制、提供UPS备用发电机等物理安全措施。网络安全：提供满足用户需求的网络，通过网络访问控制、网段划分、网络安全审计、网络入侵防范等措保证网络的安全。主机系统安全：按照用户要求预装Windows或linux操作系统，并打好安装完成时的最新补丁；安装防病毒软件，病毒库实时更新提供病毒防护的相矢服务；进行主机运行监视，包括监视主机的CPU、硬盘、内存、网络等资源的使用情况；检测各种已知的入侵行为，记录入侵的源IP、攻击的类型、攻击的LI的、攻击的时间，并在发生严重入侵事件时提供报警。二、安全管理云计算中心设立信息安全管理工作的职能部门，配备一定数量的系统管理人员、网络管理人员、安全管理人员；建立由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;对人员的录用、离岗、考核和培训等进行要求；针对物理环境、资产、设备等建立完善的运维管理体系

2安全保障体系建设方案2.1安全保障体系总体设计肪护、检测响屁、弊 i奘全管用制畏安全保障体系设计如下图所示:肪护、检测响屁、弊 i奘全管用制畏备份复敷勰应恢创数弓玺丸4钦K保命吴仝巩险评估应急响应恢复旻全I・ ・I」JI人负妥仝管理人刖输I安全册网络交令务@构安舍盘岸龙艳....— 莎何玻的了□物址餐全二疝二介处芒 …虾％tr fr trF全第略图2±1安全体系设计示总图匕图中的安全体系设计需要依托电子政务云计算中心的信息化安全保障体系来建设。本项U需要建设的内容主要涉及到本项U相矢的网络安全主机系统安全应 用安全数据安全及备份恢复等内容。2.2安全保障技术设计2.2.1网络安全网络安全设讣应分析非生活用户远程监控系统局域网网内、网络边界以及广域网络间面临的安全风险，从优化局域网网络结构、提高网络边界抗攻击能力、保障网络边界完整、保障网络间传输安全以及全面提升网络的可审计能力等多方面，全方位整体设计，力求构筑非生活用户远程监控系统安全可靠的网络平台。2.2.1.1网络结构安全局域网网络结构可以采用三层的网络拓扑设计：即接入层、汇聚层、核心层。矢键核心网络设备根据需要进行冗余备份及负载均衡设计。根据机构业务的特点，在满足业务高峰期需要的基础上，进行网络带宽管理及流量控制。局域网根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的安全域。安全域通过可以划分VLAN的方式或通过部署防火墙等安全设备的方式隔离不同安全区域。安全域需要保证边界清晰，并设置合理的域间安全控制策略及措施。221.2网络边界的抗攻击网络边界抗攻击防护设计的思想是部署防火墙、网络病毒防护等边界防护产品，并统一对各产品集中管理。使产品优势互补，集中联动，最大限度的实现提高网络边界的抗非法攻击能力。防火墙用来防止来自外部的网络非法接入和访问。它根据系统管理员设定的安全规则把守网络，提供强大的访问控制、入侵防御等功能。防火墙可以根据需要部署在网络出口处。并根据需要做备份及负载均衡设置。天融信NGFW4000防火墙具备入侵检测功能。入侵检测是一种在网络上自动、实时的入侵检测和响应系统，它能够实时监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出警告，最大程度地为网络提供安全保障。发现非法行为并报警的同时，防火墙进行及时阻断。221.3网络传输加密对于市级应急信息平台、区县应急信息平台和乡镇应急信息平台需要通过专线方式接入市政务外网与其他外部网络互连。山于传输的数据可能属于涉密工作密的敬感信息，而公共网络平台的开放性会造成系统泄密或被恶意存在的风险，因此需要做加密保护。网络传输加密设计可以有两种实现方式：适用于实现局域网间传输加密的IPSECVPN和适用于移动单机与局域网间传输加密的SSLVPNO使用VPN技术构建传输加密通道通常使用IPSECVPN或者SSLVPN技术。SSLVPN技术比IPSECVPN方式更为灵活，管理简单，适合非生活用户远程监控系统的网络环境。SSLVPN功能优势：SSLVPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这就易于安装和配置，明显降低成本只要安装好SSLVPN,后需的专业服务需求较少，所以维护成本可以忽略不计。SSLVPN可以在任何地点，利用任何设备连接到相应的网络资源上。SSLVPN通信运行在TCP/UDP协议上，具有穿越防火墙和NAT的能力。这种能力使SSLVPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。IPSecVPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。良好的安全性：SSLVPN使用SSL代理为上层应用提供服务，只向用户提供针对授权资源的代理连接，远程用户不会直接连接到网络上，因而不会威胁到其他网络资源，提供更高的安全性。SSLVPN还具有精细的访问控制能力，可以为不同的用户提供不同的访问权限。这种精确的访问控制功能是IPSecVPN通常所不具有的。2.2.2主机系统安全2.2.2.1病毒防护非生活用户远程监控系统需要构建整体的病毒防护系统。包括服务器及终端的病毒防护、邮件及其他应用系统的病毒防护等。防病毒软件的功能是否强大除了体现在查毒和杀毒功能外，还体现在病毒库的升级速度上。因此，防病毒系统必须具有快速统一的升级能力。同时，为了保证系统整体的安全性，防病毒系统必须建立统一的升级机制，以进行全系统的升级。2.222补丁升级操作系统以及数据库的补丁系统需要定期更新升级以减少安全漏洞。补丁的升级较为频繁，需要构建自动的补丁升级系统和策略。补丁程序的更新升级频率可以视情况而定，如政务外网可以定为至少一天一次。2.2.2.S操作系统及数据库安全2.2.2.3.1操作系统安全及时安装升级操作系统补丁，定期进行漏洞扫描；充分利用网络监控与审计功能，对操作系统的漏洞所带来的安全隐患问题进行监控。重要服务器和安全保密设备尽可能采用经国家相矢主管部门认可的安全操作系统，并对其采取安全加固措施。处理核心业务及涉密信息的应用终端要使用C2级或C2以上安全级别的操作系统产品，并进行安全配置。使用基于主机的入侵检测系统、病毒和恶意代码检查系统对核心重要的服务器主机进行保护。22.2.3.2数据库安全数据库内存在大量墩感数据，需要做重点保护。选用经国家相尖主管部门批准使用的安全数据库，或采用安全技术措施仗口安全中间件）对数据库在数据存储与访问的保密性、完整性和可用性方面进行安全增强改造。数据库系统都需要及时安装最新补丁，定期进行漏洞扫描，发现漏洞及时处理。同时，还可以使用基于主机的入侵检测系统对数据库进行保护。数据库对于系统可靠性有极高要求，需要具备高效的备份容灾及恢复机制。2.2.3应用安全2.2.3.1统一用户管理非生活用户远程监控系统中存在多个应用子系统，每个应用系统都具备用户管理功能。从系统运行维护角度来看，如果不同应用系统的身份管理部分均相互独立，则对于一个相同用户的管理，需要管理员对多套系统进行类似的输入、编辑及配置，不仅工作重复复杂，而且一旦出错就可能导致各个系统中相同用户信息不一致，加大系统管理与维护难度。因此匕在本项u中采用统一的用户管理机制。2.2.S.2分级授权管理作为三级应急管理应用体系，系统中包含了市级、区县和乡镇的重要政务信息资源，必须避免出现越权访问而导致信息泄露或非法访问，因此需要统一身份认证的基础上，实行严格授权管理与访问控制，为不同的部门和用户精确定义各自的资源访问权限，从而提供责权分明的资源保护机制，真正实现“各职其责，杜绝越权”。即要做到既不影响用户对合法资源的访问，乂能防止用户越权访问其它重要系统资源，防止用户危害整个系统安全，同时做到''谁的资源谁管理、谁的资源谁授权”。223.3安全单点登录、信息同步信息系统涉及到全市多彳、委办局的应用系统，同时在平台内部构成中，也包含了多套应用子系统。为防止在多应用环境下，所导致最终用户在使用性上的不方便，进而影响对整个平台推广使用，因此在可信身份认证的前提下，还需要进一步实现单点登录功能，即用户完成一次系统登录认证后，即可以访问许可范围之内的应用系统，从而减少用户的操作复杂，提高办公效率。2.234统一规范用户标识应急指挥系统需要实现统一入口、统一认证、单点登录和统一访问控制的LI标，实现这一LI标的基础是需建立起统一命名规则的认证管理规范，包括用户标识、角色标识、机构标识等，简化和降低各实体的命名工作，减少命名重复的儿率，方便工作人员记忆和使用，方便信息系统的开发和管理，方便各个信息系统之间用户信息共享与交换。223.5安全审计统一认证管理系统提供了完善的安全审计功能，对系统操作日志、用户操作日志进行详尽审计，提供日志管理、日志策略设置功能。2.2.4数据安全及备份恢复2.2.4.1数据安全设计数据安全设计主要从满足数据的保密性和完整性两个方面考虑。数据保密性通过对重要数据的加密实现文件的存储加密，保证数据在机器中存储以及在网络间传输过程中都是密文。数据完整性保护主要通过数字摘要技术，保证数据的接受方首先验证数据是否被篡改，及时发现数据的完整性是否被破坏。2.242数据备份与恢复应急指挥系统内承载着大量的应急指挥方面的重要数据及信息。一旦数据被意外毁坏将造成重大损失，应急指挥系统对于数据收集的实时性要求非常高，对于业务系统的可用性也是很高的，所以需要一套健全的备份及恢复机制来保证业务系统的可用性。使用数据备份与恢复技术，可以确保在网络系统出现意外事件其至灾难时，如主机发生故障、数据丢失等现象发生时，可在可控的时间内对业务系统进行恢复，以保证网络服务的顺利进行，提高系统的整体业务连续性。数据备份恢复主要是为了防止因意外或受攻击时造成系统数据和业务数据丢失、损毁，保证数据的安全、可靠、准确。需要对系统数据和业务数据进行自动备份和灾难恢复，同时还需要制订数据存储管理策略和数据备份策略。网络中部署备份服务器、专业备份恢复软件来实现对重要系统数据和业务数据的高效全自动备份和灾难恢复。同时，通过制订灵活的数据存储管理策略可实现无人值守的安全备份，使网络数据存储管理自动化，减少系统管理员的工作量，实现数据存储介质的有效管理，自动检测介质的使用次数、误码率、保存时间等，生成可异地保留的、为灾难恢复为H的的备份数据存储介质。网络中数据备份策略为：利用假日或晚上系统相对空闲的时间，对重要数据每周进行一次全备份，每天进行差分备份；对非重要数据每月进行一次全备份，每个星期进行一次增量或差分备份；同时每月采用磁带或光盘备份方式对所有数据冷备份两份，其中一份异地保存，以防止本地备份数据意外损坏；对存储备份数据介质要按照介质保护要求规范保存。2.3安全管理设计2.3.1安全管理机构〉设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；〉设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；〉成立指导和管理信息安全工作的委员会或领导小组，其最高领导应LU单位主管领导委任或授权；〉制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。〉配备一定数量的系统管理人员、网络管理人员和安全管理人员等；＞配备专职安全管理人员，不可兼任；〉其键区域或部位的安全管理人员应按照机要人员条件配备；＞矢键岗位应定期轮岗；〉尖键事务应配备多人共同管理；〉授权审批部门及批准人，对矢键活动进行审批；列表说明须审批的事项、审批部门和可批准人；建立各审批事项的审批程序，按照审批程序执行审批过程；建立其键活动的双重审批制度；不再适用的权限应及时取消授权；定期审查、更新需授权和审批的项U;记录授权过程并保存授权文档；加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；信息安全职能部门应定期或不定期召集相矢部门和人员召开安全工作会议，协调安全工作的实施；信息安全领导小组或者安全管理委员会定期召开例会，对信息安全工作进行指导、决策；加强与兄弟单位、公安机矢、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；文件说明外联单位、合作内容和联系方式；聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；LU安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞悄况、系统审计惜况等；LU安全管理部门组织相尖人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行悄况等；LU安全管理部门组织相矢人员定期分析、评审异常行为的审计记录，发现可疑行为，形成审计分析报告，并采取必要的应对措施；制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。安全管理制度〉制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；〉对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；〉对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作

行为，防止操作失误;〉形成1±|安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；＞LU安全管理职能部门定期组织相矢部门和相矢人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下，组织相矢人员制定；〉保证安全管理制度具有统一的格式风格，并进行版本控制；〉组织相矢人员对制定的安全管理进行论证和审定；＞安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；〉安全管理制度应注明发布范围，并对收发文进行登记；〉安全管理制度应注明密级，进行密级管理；〉定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；〉当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，应对安全管理制度进行检查、审定和修订；〉每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；＞评审和修订的操作范围应考虑安全管理制度的相应密级。2.3.3人员安全管理2.3.3人员安全管理〉保证被录用人具备基本的专业技术水平和安全管理知识；〉对被录用人声明的身份、背景、专业资格和资质等进行审查；〉对被录用人所具备的技术技能进行考核；〉对被录用人说明其角色和职责；〉签署保密协议；〉对从事矢键岗位的人员应从内部人员选拔，并定期进行信用审查；〉对从事矢键岗位的人员应签署岗位安全协议。〉立即终止山于各种原因即将离岗的员工的所有访问权限；〉取回各种身份证件、钥匙、徵章等以及机构提供的软硬件设备；〉经机构人事部门办理严格的调离手续，并承诺调离后