信息安全/等保整体解决方案

1、 概述

1.1、 建设背景

随着信息化发展,紧扣国家十三五发展规划指导,紧紧围绕国家法律法规赋予经济区的职能,顺应具体业务工作的发展趋势,围绕业务发展规划,建设了一批信息化系统。

1.2、 建设目标

本项目将根据国家网络安全等级保护相关要求,分析本单位各系统的实际安全需求,结合其业务的实际特性,建立符合系统实际安全需求的网络安全保障体系框架,设计安全保障体系方案,综合提升系统的安全保障能力和防护水平,确保系统的安全稳定运行。

本项目以等级标准化为基础,结合当前信息系统安全保障理论的最佳实践,采用新的信息安全保护技术,按照体系化的信息安全防护策略进行的整体规划,并后续进行配套建设人才培养体系,合理的安全运营管理,实现新形势下安全管理上台阶、安全技术见实效、综合实力有提升的建设成效,形成具有主动防御和协同运营能力的新一代网络安全保障体系,实现信息系统长期安全稳定的运行。

1.3、 建设范围

本方案建设范围包括:应急指挥综合系统的整体网络安全建设。具体内容包括:

1、结合等级保护要求,进行符合项目实际安全需求安全体系的设计,通过针对本单位业务系统的安全风险分析,设计符合其特点的整体信息安全保障体系;

2、对本单位业务系统进行等级保护建设和上线前的整改工作,并在系统建设完成后,协助用户安全体系的建设成果通过国家权威测评机构测评;

3、健全和完善本单位网络与信息安全组织队伍,明确责任分工,加强沟通协作,完善网络与信息安全制度体系建设并强化落实,持续改进和优化安全管理体系。

2、 风险及需求分析

1. 

2. 

2.1、 安全技术风险分析

当今,信息化技术快速发展,新技术的应用促使信息化系统的业务服务模式也产生了很大变化,移动办公、虚拟化、大数据、云计算等新兴技术已经成当今信息化建设和提供服务的主要模式,然而,新技术的应用并没有使信息系统更安全,相反,不仅传统的安全威胁依然存在,系统还面临着由于新技术、新服务模式的应用所带来的新的安全风险。

 

2-1 信息安全风险分析原理图

安全威胁分析如下:

威胁种类

威胁来源

防护对象

威胁描述

物理环境影响

环境因素

机房、办公场所、传输网络

对信息系统正常运行造成影响的物理环境问题和自然灾害。

物理攻击

恶意人员

机房、办公场所

通过物理的接触造成对软件、硬件、数据的破坏。

软硬件故障

环境因素

机房、办公场所、软硬件自身、

对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷造等问题。

无作为或操作失误

非恶意人员

机房、软硬件自身、操作系统和系统软件、应用系统、

应该执行而没有执行相应的操作,或无意地执行了错误的操作。

网络攻击

恶意人员

广域网传输、局域网传输、互联接入边界、其他专网接入边界、操作系统和系统软件、

对利用工具和技术通过网络对信息系统进行攻击和入侵。

篡改

恶意人员

广域网传输、局域网传输、应用系统、数据

非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。

越权或滥用

恶意人员

局域网传输、网络架构、互联接入边界、其他专网接入边界、内网安全域边界、操作系统和系统软件、应用系统、数据

通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。

恶意代码

恶意人员

操作系统和系统软件、

故意在计算机系统上执行恶意任务的程序代码

抵赖

恶意人员

局域网传输、互联接入边界、其他专网接入边界、内网安全域边界、应用系统、数据

不承认收到的信息和所作的操作和交易

身份假冒

恶意人员

互联网接入边界、其他专网接入边界、应用系统

伪造或盗取合法人员身份进行非法访问信息资源。

泄密

恶意人员

数据

信息泄露给不应了解的他人

管理不到位

非恶意人员

全部

安全管理无法落实或不到位,从而破坏信息系统正常有序运行。

2.2、 安全管理风险分析

信息系统在建设和运营过程中,都面临着安全管理缺失带来的安全风险。

1、系统建设期面临的安全管理风险

新系统的开发、新技术的应用、新的应用模式都加大了信息安全管理层面的难度和风险。

首先,新系统开发时间紧,任务重,人员队伍建设无法迅速满足系统建设的需求,在很多环节导致安全管理上的缺失和不足,如应用系统在规划设计阶段未充分考虑安全功能的需求,导致系统在上线交付时无法满足安全要求,而系统已经开发完成,任何针对信息系统的重新设计或功能完善都将导致迭加的成本投入,甚至不可行。而在应用系统的整个开发过程中,代码编写不规范、人为设置的系统后门开发过程安全管理都是不可忽视的问题,如果不进行规范管理,将导致系统上线后的各种安全问题。

其次,信息化新技术、新应用模式的使用,要求信息安全管理人员能充分认识到信息技术可能带来的安全技术风险和安全管理风险,传统的安全管理手段需要在新技术下进行调整和优化,如针对移动办公,安全管理边界明显扩大,安全管理要求必须配备技术手段的应用;此外,海量敏感信息数据也需要严格的安全管理措施,在系统投入运营前,严格控制采用实际数据进行系统测试,并采取严格的人员管理措施。

2、系统运营期面临的安全管理风险

系统投入运营后面临来自组织层面和系统运营层面的安全管理风险。

1)组织层面的安全管理包括安全策略、安全制度体系的建设和完善以及安全管理机构的建设和人员安全管理。

首先,信息安全管理需要明确的安全管理机构和专职的安全管理人员,目前,许多政府部门已经建立了比较完善的安全管理机构,并且配备了专职的安全管理人员,但随着系统规模的不断扩大,新上线系统的不断增加,人员不足已经成为普遍的问题,此外,内部人员的信息安全意识水平需要不断提高,事实证明,很多网络信息安全事件都是由于内部人员的疏忽或恶意行为导致的。

其次,随着单位信息化的快速发展,信息安全技术体系的不断完善,原有的安全管理策略和制度也需要不断完善,“三分技术、七分管理”,体现了信息安全管理的重要性,安全管理制度要体现和落实安全管理责任制,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系,并切实执行落地。

2)系统运营层面的安全管理包括办公环境管理、资产管理、介质管理、设备维护管理、系统变更管理、配置管理、备份和恢复管理、应急管理等,体现在系统运营过程中的各个方面,运营管理的缺失可能导致信息系统崩溃、数据泄露、丢失、设备损害等风险,运营安全管理往往需要辅助技术手段措施,完善各操作环节的规章制度、完善安全配置基线,进行操作培训、安全培训、应急演练、备份与恢复演练。此外,还有加强对外包运维的管理。

2.3、 系统运营风险分析

系统投入运营后,面对数量庞大的信息资产、海量的日志信息和复杂多变的策略体系,日常安全运营存在较大安全隐患和风险,主要表现在:

1、数量庞大的资产信息无法完全掌控

单位的网络和业务越来越复杂,范围原来越广,变更越来越频繁,单位的安全管理员也常常搞不清楚单位内网的具体状况,如,哪些资产是关键资产,哪些资产对外提供服务,哪些资产配置了安全策略等,如果连这些单位内网的基本环境都无法准确掌握,那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下,攻击者即便是大摇大摆的出入企业的敏感数据区域也无人知晓,投入了大量资金建设的安全防御体系也成了摆设。因此,需要通过自动化的手段掌握全网的资产状况,这也是系统安全运维的基础。

2、分散多样的信息设备对策略的维护是巨大挑战

随着网络基础建设和网络安全控制的逐步健全,企业的网络环境规模和复杂度不断增加,部署在其中的防火墙以及配置访问控制列表的路由交换设备日益增多。新的运维应用场景需求不断新增,加载于这些设备之上的网络安全策略规则也相应的变得更加繁冗和复杂。此外,实际的网络环境中,往往会跨越多个供应商、多个运维团队,管理控制方面呈现出多分支、多层级的复杂局面。策略控制的粒度日趋细化严格,网络复杂度不断增加导致运维效率更加底下,两者之间的矛盾在实际运维中会日趋明显。传统的依赖于人手动维护网络设备管理方式将变得越来越无法容忍,且带来的运维成本不断增加。

2.4、 安全技术需求分析

业务系统承载着公司的核心业务,并传输和存储着大量敏感信息,面对来自信息系统内外部的各种安全威胁,以及新技术新安全形势的发展,需要从多层级、多维度建设整体的、符合系统安全保护等级要求的安全防御体系。下图为安全控制措施全景图:

 

2-2 安全控制措施全景图

 

具体安全技术需求细则如下:

1、物理环境安全需求

物理和环境安全主要是指由于网络运行环境和系统的物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。

其具体要求如下:

ü 物理位置的选择

a) 机房应选择在具有防震、防风和防雨等能力的建筑内;

b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

ü 物理访问控制

a) 机房出入口应安排专人值守、控制、鉴别和记录进入的人员;

b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

ü 防盗窃和放破坏

a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;

d) 应对介质分类标识,存储在介质库或档案室中;

e) 应利用光、电等技术设置机房防盗报警系统;

f) 应对机房设置监控报警系统。

ü 防雷击

a) 机房建筑应设置避雷装置;

b) 应设置防雷保安器,防止感应雷;

c) 机房应设置交流电源地线

ü 防火

a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。

ü 防水和防潮

a) 水管安装,不得穿过机房屋顶和活动地板下;

b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;

d) 应安装队水敏感的检测仪表或元件,对机房进行防水检测和报警。

ü 防静电

a) 主要设备应采用必要的接地防静电措施;

b) 机房应采用防静电地板。

ü 温湿度控制

a) 机房应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

ü 电力供应

a) 应在机房供电线路上配置稳压器和过电压防护设备;

b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;

c) 应设置冗余或并行的电力电缆线路为计算机系统供电;

d) 应建立备用供电系统。

ü 电磁防护

a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

b) 电源线和通信线缆应隔离铺设,避免互相干扰。

2、通信网络安全需求

网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础,通信网络的安全主要包括:网络架构安全、通信传输安全、边界安全、防入侵、网络安全审计和网络安全的集中管控等方面。

1)网络架构安全

网络架构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。

2)通信完整性与保密性

由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。

而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。

3、区域边界安全需求

1)边界隔离与访问控制

边界安全包括对接入网络和外联的双重安全管控要求,随着移动办公的发展,网络范围不断延展,无线网络的使用相对传统办公而言,对网络边界的有效管控更是严峻的考验;对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,同时,需要能够对内部用户非授权联到外部网络的行为进行限制或检查;并对无线网络的使用进行管控。

2)防入侵和防病毒

现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络形态进行传播,并且,一旦病毒通过网络边界传入局域网内部,就已经对信息系统造成了破坏,因此,病毒防护手段需要在系统边界进行部署,在网络层进行病毒查杀,防止感染系统内部主机。

此外,来自互联网、其他非可信网络的各类网络攻击也需要通过安全措施实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。

3)网络安全审计

安全技术措施并不可能万无一失,一旦发生网络安全事件,需要进行事件的追踪与分析,针对网络的攻击行为和非授权访问等行为,需要在网络边界、重要网络节点上进行流量的采集和检测,并进行基于网络行为的审计分析,从而及时发现异常行为,规范正常的网络应用行为。

4、计算环境安全需求

信息设备存储和处理大量的业务信息,也是攻击者的最终目标,主机系统自身的漏洞一旦被攻击者利用,获取系统权限,将直接导致信息系统被破坏或数据泄露。此外,应用和数据是安全保护的对象,应用系统在开发过程中由于技术的局限性和开发管理的漏洞,总是存在一些安全漏洞,在系统上线后,被恶意攻击者利用,进而给单位的经济利益、业务、甚至声誉带来影响。

计算环境安全需求包括对主机和应用系统用户进行身份鉴别和访问控制、安全审计、对主机和各类终端的入侵防范和恶意代码防护、数据保密性和完整性保护、数据备份与恢复、剩余信息和个人信息保护。具体包括:

1)主机身份鉴别

主机操作系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,并定期进行更换,或者,采取更可靠的身份鉴别措施。

2)主机访问控制

主机访问控制主要为了保证用户对主机资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。

3)系统审计

对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。

4)恶意代码防范

病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此除了在网络层采取必要的病毒防范措施外,必须在主机部署恶意代码防范软件进行监测与查杀,同时保持恶意代码库的及时更新。

5)应用系统安全功能开发

应用系统在开发过程中需同步考虑安全功能的实现,包括系统用户管理、身份认证、访问控制和应用安全审计等相关功能,并在应用系统开发过程中通过采用密码技术实现数据的完整性和保密性保护。

需要实现对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;对于重要信息系统需要采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现;

需要提供访问控制功能,对登录的用户分配账号和权限;授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级。

需要提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

需要提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。

需要提供剩余信息保护功能,保证释放内存或磁盘空间前,上一个用户的登录信息和访问记录被完全清除或被覆盖。

6)数据完整性与保密性

数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。具体包括:

需要采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

采用密码技术保证重要数据在传输和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

7)数据备份和恢复

对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。

5、集中安全管控需求

应急综合业务系统内部署着大量的安全设备和网络设备,各安全设备和网络设备每天采集大量的日志信息和流量信息,需要对设备进行统一的、集中的管控,包括以下几方面:

1)安全管理实现三员分离

具备系统管理、安全管理和审计管理功能,功能权限分离,三员(系统管理员、审计管理员、安全管理员)分离,并能对三员进行身份鉴别和操作审计。

2)统一安全运营和管控的需求

对于资产规模和部署范围庞大的应急综合业务系统,必须建设统一的安全运营和管理中心,对全网资产、日志、事件信息进行统一的监测、检测、响应和分析,掌握全网的信息资产安全状况,及时发现和处置安全事件。

3)集中安全策略管理需求

面对复杂的网络结构,多厂商安全设备,由人工进行安全策略的配置和动态调整,无论是从工作量和工作难度上来说都是不可接受的,需要能够采用自动化工具进行全网主要设备的安全策略自动下发和集中管理。

2.5、 安全管理需求分析

根据上述的针对建设期和运营期的安全管理风险分析,总结以下安全管理需求:

1、建设期安全管理需求

系统建设期包括系统的需求分析阶段、系统设计阶段、系统开发设计阶段、系统工程实施阶段、系统测试验收阶段和系统交付阶段,应急综合业务系统属于重要业务系统,在整个建设期间需要加强以下安全管理:

1)系统规划设计阶段需同步安全设计

在应用系统的需求分析阶段就需要同步考虑安全需求,并进行安全功能的规划和设计,并且在信息系统建设规划阶段,也需要同步考虑安全技术体系的设计,并在应用开发和系统建设过程中同步落实相关安全措施,对安全产品和密码产品的选型要符合国家等级保护的相关要求。

2)需加强外包软件开发管理

外包软件开发面临来自人为的恶意和非恶意的安全风险,数据表明,大部分软件开发都不可避免地存在代码漏洞,但严格的安全开发管理能大大降低应用系统漏洞带来的风险,因此,需要在外包软件开发过程中加强对开发人员、开发过程、编码规范、代码审查管理,并要求外包厂商提供源代码。

3)工程实施安全管理

在整个工程实施过程中,需要指定专门的部门和人员负责工程实施过程管理,指定工程实施方案控制安全工程实施过程,并引入第三方监理控制项目的实施过程。

4)系统测试验收和交付管理

在系统正式上线前,需要进行必要的系统测试,制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;需要进行上线前的安全性测试,并出具安全测试报告。在系统交付过程中,需制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;对负责运行维护的技术人员进行相应的技能培训;确保提供了建设过程中的文档和指导用户进行运行维护的文档。

5)系统测评和服务供应商选择

按照等级保护的要求,三级信息系统必须经过国家等级保护测评,并对不符合项进行整改,对服务供应商的选择需要符合国家的有关规定。

2、运营期安全管理需求

运营期指系统上线投入运营后到系统废止,运营期安全管理需要建设一整套信息安全管理体系并加以落实,按照等级保护和ISO27001的信息安全管理体系建设要求,信息安全管理文件体系包括信息安全方针和策略、信息安全制度、操作流程和规范、记录表单等分层级的信息安全管理制度系统,其中,每一层级文件都是对上一层级的具体化和落实,从安全管理体系构成来说包括安全管理制度、安全管理机构、安全管理人员、安全运维管理等几个方面,每个方面都需要制定和落实相关的管理制度,信息安全制度体系与信息安全技术体系和信息安全运营体系相辅相成,缺一不可。

3、 设计原则及思路

1. 

2. 

3. 

3.1、 方案设计依据

本方案的设计过程中将按照国家的相关法律标准展开,在方案的设计过程中,既考虑满足合规要求,有符合单位的实际安全建设需求,主要依据的标准文件包含如下:

ü 《中华人民共和国网络安全法》(2017年6月1日)

ü 《网络安全等级保护管理条例》(征求意见稿)

ü 《网络安全等级保护定级指南》(GB/T 22240-2019)

ü 《网络安全等级保护基本要求》(GB/T 22239-2019)

ü 《网络安全等级保护安全设计技术要求》(GB/T 25070-2019)

ü 《网络安全等级保护实施指南》(GB/T 25058-2019)

ü 《信息安全风险评估规范》(GB/T 20984-2007)

ü 《电子信息系统机房设计规范》(GB/T 50174-2008)

ü 《计算机场地安全要求》(GB/T 9361-2006)

3.2、 方案设计思路

本项目在进行安全体系方案设计时,将根据国家信息安全等级保护相关要求,通过分析系统的实际安全需求,结合其业务信息的实际特性,并依据及参照相关政策标准,设计安全保障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。具体设计将遵循以下思路开展。

1、将合规要求与业务风险分析相结合的设计思路

信息安全风险分析是识别信息系统面临安全威胁和系统脆弱性的方法,通过风险分析方法可以全面掌握信息系统面临安全风险的全貌,并根据安全风险等级确定信息安全建设的重点,我司在等级保护建设中将首先采用《安全风险评估规范》中的信息安全风险评估模型,提取其中的关键要素建立风险分析的最终方法。

在完成基于资产风险分析的基础上,对信息系统现状进行实际调研,掌握系统防护现状与等级保护基线要求间的实际差距,结合信息安全风险评估的方法,对信息系统进行全面的资产、脆弱性、威胁和业务风险等方面系统化的评估分析,发现基于业务的安全风险问题。将差距分析结果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并充分保障业务安全的建设需求。

2、纵深防御的安全体系设计思路

信息系统安全体系建设的思路是根据分区分域防护的原则,按照层次化的纵深防御的思想,建设信息系统安全等级保护深度防御体系。

 

 3-1 纵深防御的安全体系

按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络三部分,以计算节点为基础对这三部分实施保护,构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心,三重防护”结构。

3、体系化安全保障框架设计思路

一个完整的信息安全体系应该是安全技术、安全管理、安全运营的结合,三者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国内外安全保障理论也在不断的发展之中,我公司根据信息系统的实际情况,参照国际安全控制框架的有关标准,形成符合信息系统的安全保障体系框架。

在方案设计中 “三个体系”(安全技术体系、安全管理体系和安全运营体系)各自相对独立,又相互依赖和互补,共同形成整体的安全保障体系框架。

4、安全体系叠加演进,以积极防御为主的设计思路

SANS的滑动标尺模型是网络安全保障建设的进化模型,它应用于网络安全建设者自我完善发展过程。从最初的基础架构安全建设,到被动的合规性防御,再到业务驱动的,以监控为核心的积极防御,然后到采集威胁情报进行安全态势分析,掌控安全全局,最后发展就是具备反制进攻能力的进攻性防御阶段。每个阶段的建设都是依据前一阶段的基础,所以称为叠加演进。

 

 3-2 安全滑动标尺模型

等级保护制度经历了十几年的推广,大多数用户的安全建设已经进入到第二阶段后期,有些重点行业已经到了第三阶段。因此,积极防御思想成为新等级保护制度的重要思想之一。传统的信息系统安全防护在各个技术控制点采用单一防护措施,而且主要是以安全产品的特征码和规则库进行防护,缺少把控动态安全的能力。针对当前的各种新的威胁形势,需要转变思路,进行积极主动防御。主要体现在:

1)建立多维度防护体系,结合云端安全大数据产生威胁情报,提升自身的安全防护能力。

ü 预警能力

利用云端的威胁情报,监控与检测,态势感知能力,赋予信息系统预警的能力,能够从海量的安全大数据中精确判断攻击行为,提前保护信息系统的安全。

ü 防护能力

将等级保护的安全技术控制措施,通过新技术产品进行替代并增强,同时结合云防护的能力,将整体的信息系统防护能力提升。

ü 溯源能力

利用威胁情报与本地全量数据进行整合,通过可视化分析技术,快速定位安全风险,形成智能的安全管理中心。

2)改变传统安全运营的单兵作战,通过智能化安全运营、安全态势感知与防御协同联动,提升防护效率,降低运营成本。

4、 安全防护体系总体设计

1. 

2. 

3. 

4. 

4.1、 安全防护体系架构设计

 

 4-1 安全防护体系架构图

4.2、 总体安全策略

a) 信息安全技术体系总体策略

1、以整体网络环境及综合应急业务系统为保障对象,参照以《网络安全等级保护基本要求》中三级保护要求为控制要求,建设基础安全技术体系框架。

2、安全技术体系建设覆盖物理环境、通信网络、区域边界、计算环境和安全管理中心五个方面。

3、通过业界成熟可靠的安全技术及安全产品,结合专业技术人员的安全技术经验和能力,系统化的搭建安全技术体系,确保技术体系的安全性与可用性的有机结合,达到适用性要求。

4、建设集中的安全管理平台,实现对安全系统的集中管控、分权管理。

b) 信息安全管理体系总体策略

1、建立信息安全领导小组和信息安全工作组,形成等级保护基本要求的信息安全组织体系职责。

2、建立信息安全管理制度和策略体系,形成符合等级保护基本要求的安全管理制度要求。

3、建立符合系统生命周期的安全需求、安全设计、安全建设和安全运维的运行管理要求。

4、系统安全建设过程应落实等级保护定级、备案、建设整改、测评等管理要求。

5、系统安全运营过程应落实等级保护监督检查的管理要求。

5、 安全技术体系设计

 

5-1 安全防护体系示例