哈尔滨二级等保方案

5 技术体系方案设计
5.1 方案设计目标
二级系统安全保护环境的设计目标是：落实 GB 17859-1999 对二级系统的安全保护要求，满足二级系统在自主访问控制、身份鉴别、客体重用、审计、数据完整性五个基本属性的安全需求。以系统安全审计为核心，通过增强的身份鉴别更细粒度的自主访问控制以及客体重用等安全机制，使系统具有核查安全事件等基本安全保护能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得 XX 系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为 XX 系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。
5.2 方案设计框架
根据《信息系统安全等级保护基本要求》，分为技术和管理两大类要求，具
体如下图所示：

本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型，根据《信息安全技术信息系统等级保护安全设计技术要求》（报批稿），保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的 5 个方面。同时结合管理要求，形成如下图所示的保护环境模型：

信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定，因此，对某一个定级后的信息系统的安全保护的侧重点可以有多种组合。对于 2 级保护系统，其组合为：（在 S1A2G2，S2A2G2，S2A1G2 选择）。
以下详细方案设计时应将每个项目进行相应的组合级别说明。

等级保护（二级）方案模板
避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。
5.3.2.6 软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计，包括提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的。
数据格式或长度符合系统设定要求；
在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。
5.3.2.7 数据完整性与保密性
目前 XX 中传输的信息主要是非结构化类型的数据，对信息完整性校验提出了一定的需求。在应用系统中，将采用消息摘要机制来确保完整性校验，其方法是：发送方使用散列函数（如 SHAMD5 等）对要发送的信息进行摘要计算，得到信息的鉴别码，连同信息一起发送给接收方，将信息与信息摘要进行打包后插入身份鉴别标识，发送给接收方。接收方对接收到的信息后，首先确认发送方的身份信息，解包后，重新计算，将得到的鉴别码与收到的鉴别码进行比较，若二者相同，则可以判定信息未被篡改，信息完整性没有受到破坏。通过上述方法，可以满足应用系统对于信息完整性校验的需求。而对于用户数据特别是身份鉴别信息的数据保密，应用系统采用密码技术进行数据加密实现鉴别信息的存储保密性。在传输过程中主要依靠 VPN 系统可以来保障数包的数据完整性保密性、可用性。目前 VPN 的组建主要采用两种方式，基于 IPSEC 协议的 VPN 以及基于 SSL 协议的 VPN。IPSec VPN 适用于组建 site-to-site 形态的虚拟专有网络，IPSEC 协议提供的安全服务包括：

等级保护（三级）方案模板
保密性——IPSec 在传输数据包之前将其加密．以保证数据的保密性。
完整性——IPSec 在目的地要验证数据包，以保证该数据包任传输过程中没
有被修改或替换。完整性校验是 IPSEC VPN 重要的功能之一。
真实性——IPSec 端要验证所有受 IPSec 保护的数据包。
防重放——IPSec 防止了数据包被捕捉并重新投放到网上，即目的地会拒绝
老的或重复的数据包，它通过报文的序列号实现。
SSL VPN 适用于远程接入环境，例如：移动办公接入。它和 IPSEC VPN 适用于不同的应用场景，可配合使用。SSL 的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于 WEB 应用的安全协议。SSL 协议指定了一种在应用程序协议（如 Http、Telenet、NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL 与 IPSec 安全协议一样，也可提供加密和身份验证安全方法，因此安全性上二者无明显差别。SSL VPN 使用 SSL/HTTPS 技术作为安全传输机制。这种机制在所有的标准 Web 浏览器上都有，不用额外的软件实现。使用 SSL VPN，在移动用户和内部资源之间的连接通过应用层的 Web 连接实现，而不是像 IPSec VPN 在网络层开放的“通道”。SSL 对移动用户是理想的技术，因为：
SSL 无需被加载到终端设备上
SSL 无需终端用户配置
SSL 无需被限于固定终端，只要有标准浏览器即可使用产品部署方面，SSL VPN 只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的 SSLVPN 服务。远程用户只需应用标准 IE 浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对企业内部资源的存取访问。远程移动用户只需打开

等级保护（三级）方案模板
标准 IE 浏览器，登陆 SSL VPN 网关，经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。
5.3.2.8 备份与恢复
备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。
5.3.2.9 资源控制
为保证 XX 的应用系统正常的为用户提供服务，必须进行资源控制，否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标，包括：
会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够及时检测并自动结束会话，释放资源；
会话限制：对应用系统的最大并发会话连接数进行限制，同时对单个帐户的多重并发会话进行限制，设定相关阈值，保证系统可用性。

等级保护（三级）方案模板
登陆条件限制：通过设定终端接入方式、网络地址范围等条件限制终端登录。超时锁定：根据安全策略设置登录终端的操作超时锁定。
用户可用资源阈值：限制单个用户对系统资源的最大或最小使用限度保障正常合理的资源占用。
应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。
5.3.3 区域边界安全设计
5.3.3.1 边界访问控制
通过对 XX 的边界风险与需求分析，在网络层进行访问控制需部署防火墙产品，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。
在各安全域边界部署 XX 产品，部署效果如下：

产品部署效果：
1. 网络安全的基础屏障：
防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报告并通知防火墙管理员。

等级保护（三级）方案模板
2. 强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
3. 对网络存取和访问进行监控审计
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计
对网络需求分析和威胁分析等而言也是非常重要的。
4. 防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger，DNS 等服务。
5. 精确流量管理
通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者 P2P 软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。
5.3.3.2 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。终端安全管理系统其中一个重要功能模块就是非法外联控制，探测内部网。

等级保护（三级）方案模板
中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
终端非法外联行为监控
可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。
终端非法外联行为管理
可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。
5.3.3.3 边界入侵防范
在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。在网络边界和主要服务器区安全域均已经设计部署了防火墙，对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防护系统（IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。IPS 是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效。

等级保护（三级）方案模板
拦截。IPS 就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。将 IPS 串接在防火墙后面，在防火墙进行访问控制，保证了访问的合法性之后，IPS 动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。由于 IPS 对访问进行深度的检测，因此，IPS 产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。
5.3.3.4 边界安全审计
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管
理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
5.3.4 安全管理中心设计
由于 XX 覆盖面广，用户众多，技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据二级系统的要求，应在系统管理和审计管理两个大方面进行建设，建立统一的系统管理系统和审计管理系统是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。
5.3.4.1 系统管理
通过系统管理员对系统的资源和运行进行配置、控制和管理，包括：

等级保护（三级）方案模板
用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全管理员、审计管理员等。
系统资源配置与监控：进行系统资源配置管理与监控，包括 CPU 负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP 使
用情况等，通过配置采样时间，定时检测。
系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和
启动。
系统运行的异常监控：系统资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。安全管理平台可提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。
数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响制定数据的备份策略和恢复策略，定期执行备份与恢复策略。
恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理，并根据情况建立二级管理中心。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制进行恶意代码库升级；定制统一客户端策略并强制执行；进行集中病毒报警等。
系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。
系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

等级保护（三级）方案模板
5.3.4.2 审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。
具体集中审计内容包括：
 日志监视
实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
 日志管理
日志管理实现对多种日志格式的统一管理。通过 SNMP、SYSLOG 或者其它的日志接口采集管理对象的日志信息，转换为统一的日志格式，再统一管理、分析、报警；自动完成日志数据的格式解析和分类；提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理，下级管理中心的日志数据可以发送到上级管理中心进行集中管理
 审计分析
集中审计可综合各种安全设备的安全事件，以统一的审计结果向用户提供可定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析；支持基于多种条件的统计分析，包括：对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志，可按照入侵攻击事件、源地址、被攻击主机进行统计分析，生成各类趋势分析图表。系统可以生成多种形式的审计报表，报表支持表格和多种图形表现形式；用户可以通过 IE 浏览器访问，导出审计结果。可设定定时生成日志统计报表，

相关推荐

最近更新

热门阅读