互联网数据中心等保三级解决方案.docx

- I - 互联网数据中心等保三级 解决方案 Word 文档 -可编辑 编制单位： XX 科技服务有限公司 - II - 目录 一 . 前言 . 1 二 . 项目背景 . 1 三 . 安全风险分析 . 2 3.1 设备安全风险 . 2 3.2 网络安全风险 . 2 3.3 应用层安全风险 . 3 3.4 数据安全风险 . 3 四 . 需求分析 . 4 4.1 技术需求分析 . 4 4.2 管理需求分析 . 4 五 . 等级保护建设 . 5 5.1 参考标准与依据 . 6 5.1.1 相关法规和政策 . 6 5.1.2 国家标准及行业标准 . 6 5.2 整体部署拓扑图 . 8 5.3 安全技术防护 . - 9 - 5.3.1 边界访问控制 . - 9 - 5.3.2 边界入侵防护 . - 14 - 5.3.3 网站安全防护 . - 28 - 5.3.4 安全审计 . - 38 - 5.3.5 安全 管理 . - 47 - 5.4 等保建设咨询 . - 69 - 5.4.1 技术层面差距分析 . - 69 - 5.4.2 管理层面 差距分析 . - 71 - 5.4.3 安全评估及加固 . - 72 - 5.4.4 安全管理体系建设 . - 74 - 5.4.5 应急响应及演练 . - 74 - 5.4.6 安全培训 . - 74 - 5.4.7 测评辅助 . - 75 - 六 . 等保建设清单 . - 76 - 七 . 为什么选择绿盟科技 . - 77 - 7.1 典型优势 . - 78 - 7.1.1 拥有最高级别服务资质的专业安全公司 . - 78 - 7.1.2 先进且全面的信息安全保障体系模型 . - 78 - 7.1.3 可实现且已证明的体系建设内容 . - 78 - 7.1.4 资深且经验丰富的项目团队 . - 79 - - III - 7.1.5 先进的辅助工具 . - 79 - 7.2 资质荣誉 . - 79 - 7.3 客户收益 . - 82 - - 1 - 前言 经过多年的信息化推进建设，企事业和政府机构信息化应用水平正不断提高，信息化建设成效显著。作为信息化发展的重要组成部分，信息安全的状态直接制约着信息化发展的程度。 作为企事业和政府机构重要的公众平台 APP 及 web 应用系统，由于其公众性质，使其成为攻击和威胁的主要目标， WEB 应用所面临的 Web 应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、 DDoS 攻击、 SQL 注入、跨站脚本、 Web 应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代，国家对重要信息系统（包括网站）的安全问题越来越重视，相继发布了一系列的政策要求，例如：公安部、发改委和财政部联合印发的关于加强国 家级重要信息系统安全保障工作有关事项的通知（公信安 20142182号）要求，加强对 47 个行业、 276 家单位、 500 个涉及国计民生的国家级重要信息系统的安全监管和保障。 2014 年 12 月，中办国办关于加强社会治安防控体系建设的意见要求：“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。 为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护（三级）安全建设工作，绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商，结合自身多年的安全建设经验、业 界领先的技术与产品，为政府单位等级保护安全建设提供本方案。 项目背景 2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法，并将于 2017 年 6 月 1 日施行。该法案明确规定 :建设、运营网络或通过网络提供服务，须依照法律、法规和国家标准强制性要求，采取各种措施，落实网络安全等级保护制度，保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，并对直接负责的主管人员处五千元以上五万元以下罚款。 - 2 - 上海市公安局、网信办、 经信委、通管局联合发布的沪公通字【 2015】 65 号文中，也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。 xxx 目前运营的网站类系统主要有官方网站、 xxx 系统等；数据中心建成后，除满足 xxx自身需求外，还将为下属各子平台单位提供服务。 xxx 信息系统网络架构为简单的互联互通架构，除入口处安装有防火墙外，其他安防手段、措施均缺失，距离等级保护三级要求有非常大的差距，安防状况堪忧。 不论是中华人民共和国网络安全法的规定，还是从自身信息系统安全角度考虑， xxx都需要建设自己的安全管理体 系和技术体系的建设，提升整体信息系统及数据的安全性。 一 . 安全风险分析 1.1 设备安全风险 信息系统网络设备的安全风险主要来自两个方面，一个是设备自身的安全风险，另外一个是外界环境的安全风险。具体的设备安全风险如下： 设备自身的安全缺陷或未能够及时修复的安全缺陷，导致的针对该设备的缺陷利用，影响信息系统业务的连续性、可靠性和完整性； 承载业务系统硬件、网络环境等方面的威胁； 业务系统自身安全威胁。 1.2 网络安全风险 网络安全风险主要如下： 来自内部和外部可能的网络攻击，如 DDOS 攻击、利用系统漏洞进行的各类攻击等等； 蠕 虫病毒入侵，局域网内部病毒等恶意软件的传播，尤其是维护终端、磁盘介质使用等导致的病毒扩散； 利用管理和技术漏洞，或者内部资源成为僵尸网络、木马的被控资源，信息系统资源被用作攻击外部网络的工具 WEB 类应用被挂马，成为木马大范围传播的主要途径； 由于对信息系统网络进行维护不恰当，而导致的安全威胁。 - 3 - 1.3 应用层安全风险 应用层的安全威胁主要来自以下两个方面： 来自原互联网、内部恶意用户的安全威胁； 木马病毒的肆意传播，导致网络瘫痪。 1.4 数据安全风险 (1) 网管数据 网管数据，主要指设备管理层面的数据，其安全威胁主要如下： 数据传输过程中被窃取，篡改、破坏； 越权访问； 病毒入侵导致丢失； 其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。 (2) 内部业务数据 内部业务数据，主要指信息系统各个业务区域数据，其安全威胁一方面来自于各个业务的不同要求，另外更主要的一方面是这些业务数据的存放，具体如下： 病毒、木马、间谍软件的入侵； 针对敏感数据的非法篡改、获取； 数据的存储安全威胁，包括数据存储磁盘管理不善，数据访问管理不善带来的威胁等。 (3) 帐号口令 口令密码明文保存导致失窃； 弱口令导致的暴力破解； 网络监听明文传输的帐号口令。 - 4 - 二 . 需求分析 2.1 技术需求分析 整体系统由 WEB 应用、网络设备、操作系统、数据库、中间件等网络元素共同构建，系统承担着数据采集、存储、分析、展示等功能，依据信息安全技术信息安全等级保护基本技术要求，物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁 : 1 物理层安全：物理层面面临盗窃和破坏、雷击、火宅、静电、停电等威胁。 2.系统层安全：该层的安全问题来自网络运行的操作系统。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题 。 3网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。 4应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、 Web 服务、域名系统、交换与路由系统、防火墙及应用网管系统、业 务应用软件以及其它网络服务系统等。 5 数据层风险：数据传输泄露、数据损坏等。 因此，有必要通过安全产品与安全服务的方式，发现以上五个层面存在的安全隐患，比对问题采取相应的加固和处理措施，满足信息安全等级保护的技术要求。 2.2 管理需求分析 该系统不仅需要考虑技术防护手段，也需要通过合理的安全管理规范，避免人为因素导致的系统破坏。依据信息安全技术信息安全等级保护基本技术要求。应制定完善的安全管理体系，以满足系统的安全管理要求，管理体系应考虑如下五个方面： 1 安全管理制度 根据安全管理制度的基本要求制定各类管 理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。 - 5 - 2 安全管理机构 根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责； 设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员；成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求 。 3 人员安全管理 根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。 4 系统建设管理 根据基本要求制定系统建设管理制度，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。 5 系统运维管理 根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行 ，包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于相应等级安全状态中。 三 . 等级保护建设 通过 xxx 信息系统的特点以及面临的安全风险，参考业界主流安全标准和规范要求，制定了针对 xxx 等级保护建设解决方案，方案包括了整体部署拓扑、安全技术要求和安全服务三部分，从三个不同的层面来建设本单位信息系统安全防护体系，有效降低信息系统的安全风险，保障业务的顺畅运行，满足等级保护 建设要求。 - 6 - 3.1 参考标准与依据 3.1.1 相关法规和政策 国家信息安全相关文件： 中华人民共和国计算机信息系统安全保护条例（国务院 147 号令） 国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号） 关于信息安全等级保护工作的实施意见（公通字 200466 号） 信息安全等级保护管理办法（公通字 200743 号） 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安 2007861号） 公安机关信息安全等级保护检查工作规范（公信安 2008736 号） 关于开展信息安全等级保护安全建设整改工作的指导意见（公信安 20091429号） 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303 号） 以及其他相关文件。 3.1.2 国家标准及行业标准 国信安标委组织制定的国家标准： GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T22240-2008 信息安全技术信息系统安全保护等级定级指南 GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南 GB/T22239-2008 信息安全技术信息系统 安全等级保护基本要求 GB/T20269-2006 信息安全技术信息系统安全等级保护管理要求 GB/T20270-2006 信息安全技术网络基础安全技术要求 GB/T20271-2006 信息安全技术信息系统通用安全技术要求 GB/T20272-2006 信息安全技术操作系统安全技术要求 GB/T20273-2006 信息安全技术数据库管理系统安全技术要求 GB/T20282-2006 信息安全技术信息系统安全工程管理要求 - 7 - GB/T21082-2007 信息安全技术服务器安全技术要求 GBT 25070-2010 信息系统 等级保护安全设计技术要求（报批稿） GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南 GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求 - 8 - 3.2 整体 部署拓扑图 外 网 防 火 墙核 心 交 换 机公 众 服 务 区W E B 服 务 器 群办 公 区核 心 应 用 区服 务 器 群安 全管 理 区漏 洞 扫 描 系 统运 维 审 计 系 统网 页 防 篡 改 软 件IPS 入 侵 防 御 系 统漏洞扫描堡垒机安 全 管 理 平 台防火墙灰 色 标 注 ： 已 有红 色 标 注 ： 新 增抗拒绝服务系统抗 D D O SW AF防 病 毒 集 中 管理 平 台核 心 数 据 库 区IPS 入 侵 防 御 系 统数 据 库 审 计W E B 应 用 防 火 墙In t ern et数据库审计网络安全审计 3.3 安全技术防护 3.3.1 边界访问控制 3.3.1.1 防护需求 网络边界安全是网络安全保障的第一道防线，是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全，需设置与关键业务安全保护等级要求相对应的网络逻辑隔离，以重点保护关键业务系统的边界安全，作为信息服务系统中安全保护等级较高的网络，应适当与其他网络部分逻辑隔离。 根据合规性要求， GB/T 22239-2008 信息系统安全等级保护基本要求 7.1.2.2 访问控制（ G3） a) 应在网络边界部署访问控制设备，启用访问控制功能； b) 应能根据会话状态信息 为数据流提供明确的允许 /拒绝访问的能力 ，控制粒度为端口级 ； c) 应对进出网络的信息内容进行过滤，实现对应用层 HTTP、 FTP、 TELNET、 SMTP、POP3 等协议命令级的控制； d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； e) 应限制网络最大流量数及网络连接数； f) 重要网段应采取技术手段防止地址欺骗； g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； h) 应限制具有拨号访问权限的用户数量。 7.1.2.1 结构安全 a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要 b)应保证网络各个部分的带宽满足业务高峰期需要 c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径 e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段 f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段 g)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重 要主机 . 3.3.1.2 解决方案 根据以上需求，设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问，通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。 【技术实现】 本方案推荐选用绿盟科技下一代防火墙部署方案。 图 3.1 策略框架 绿盟下一代防火墙具备以下功能： 智能化识别应用 通过智能化应用、用户身份识别技术，绿盟下一代防火墙可以将网络中单纯的 IP/端口号（ IP/Ports），以及流量信息，转换为更容易理解、更加智能化的应用程序信息和用户身份信息，为后续的基于应用程序的策略控制和安全扫描，提供了 识别基础。 精细化控制应用 绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类，并且通过应用级访问控制，应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。 一体化安全扫描 在完成智能化识别和精细化控制以后，下一代防火墙对于允许使用且可能存在高安全风险的网络应用，可以进行漏洞，病毒， URL 和内容等不同层次深度扫描，如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。 资产风险识别和云端安全管理 绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估，并提出加固方案，是用户的内网安全管理专家，同时又可以通过接入云端，简化运维，对安全威胁在线分析和把控，是用户的云端安全管理专家。 【选型优势】 多核 CPU 和 ASIC 构建高速硬件平台 绿盟防火墙专用硬件平台采用多核 CPU 和 ASIC 加速芯片构建。 ASIC 芯片具有 3-4 层快速转发和流分类的特性，使得绿盟防火墙具有高速的网络处理性能；多核 CPU 的强大浮点计算能力，以及绿盟独有的多流并行分布式处理技术，使得绿盟防火墙的应用层数据处理能力大幅提高，真 正做到从 4 层防护到 7 层防护的提升。 智能协议识别（ NIPR）智能内容识别（ NICR）技术 智能协议识别技术 Nsfocus Intelligent Protocol Recognition（ NIPR）和智能内容识别技术 Nsfocus Intelligent Content Recognition（ NICR）是绿盟自主研发的网络威胁识别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟防火墙产品的核心技术。 网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行 解析识别，从而进行针对性的防护。 NIPR 和 NICR 识别技术，它利用 七个安全库（应用协议特征库、协议行为特征库、 URL 分类 库、 Web 信誉库、病毒库、攻击规则库、垃圾邮件库）， 通过动态分析网络报文中包含的协议特征、行为特征以及非法内容，识别出非法信息，然后递交给相应的处理引擎进行防护。 具备了 NIPR 和 NICR 的绿盟防火墙，不再受动态端口或攻击工具变化的影响。对于 P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。 超强的网络攻击检测 /防护能力 绿盟防火墙集成了绿盟科技专业的入侵检测 /防护模块，可实现基于 IP 地址 /网段、规则（组、集）、时间、动作等对象的虚拟 IPS。绿盟防火墙采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、 SQL 注入、跨站脚本等各种攻击。 首创的内网资产风险管理 绿盟科技下一代防火墙，除了具备国 际权威咨询机构 Gartner 所定义的下一代防火墙全部特性，不仅在新一代网络中保障用户的边界网络安全，防范“外敌”入侵，更首创性的提供内网资产风险识别功能，让用户对内网易受攻击资产进行风险提前评估和预警，双向安全，双向保障。即作为事中安全拦截设备，又作为事前风险防范设备，为用户在安全投资不变的情况下提供一举两得的加强安全效应。 先进的云端安全管理模式 业界首创的云端安全管理模式，对传统防火墙及业界其它下一代防火墙产品，在运维服务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累，分析沉淀国 际及国内市场的用户需求趋势，深刻把脉真正下一代安全的未来走向，通过构造云端安全管理平台，让用户在便捷、高效安全管理上有了全新的体验，极大减免了用户的安全运维投入，从而有能力在应对不断增长变化的威胁攻击中百战不殆，游刃有余。 全面支持 IPv6 绿盟防火墙使用双协议栈 (dual stack)架构，支持 IPv6/IPv4 双协议栈功能，能同时辨识IPv4 和 IPv6 通讯流量。 多种隧道模式的支持， 确保 IPv6 过渡时代的网络通畅。 IPv6 环境下攻击检测技术和基于 IPv6 地址格式的安全控制策略，为 IPv6 环境提供了完善的安 全防护。 细致的应用层控制手段 图 3.2 应用控制 传统防火墙的访问控制或流量管理粒度粗放，只能基于 IP/端口号对数据流量进行一刀切式的禁止或允许。 NF 基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨 识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的 IP 地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。 例如，允许 HTTP 网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于 HTTP协议的视频流量通过；允许通过 QQ 进行即时通信，但是不允许通过 QQ 传输文件；允许邮件传输，但需要进行防病毒扫描或敏感信息过滤，如发现有病毒入侵或泄密事件马上阻断，等等。 卓越的应用层安全处理性能 数 通引 擎L 2 / L 3 解 码路 由 / N A TV P N / H A用 户 识 别C P U核 # 1数 通引 擎L 2 / L 3 解 码路 由 / N A TV P N / H A用 户 识 别C P U核 # 2数 通引 擎L 2 / L 3 解 码路 由 / N A TV P N / H A用 户 识 别C P U核 # 3数 通引 擎L 2 / L 3 解 码路 由 / N A TV P N / H A用 户 识 别C P U核 # n应 用 识 别安 全引 擎入 侵 防 御W e b 安 全病 毒 防 护内 容 安 全C P U核 # 1应 用 识 别安 全引 擎入 侵 防 御W e b 安 全病 毒 防 护内 容 安 全C P U核 # 2应 用 识 别安 全引 擎入 侵 防 御W e b 安 全病 毒 防 护内 容 安 全C P U核 # 3应 用 识 别安 全引 擎入 侵 防 御W e b 安 全病 毒 防 护内 容 安 全C P U核 # n高速数据包处理平台图 3.3 双引擎多核并发 NF 构筑在新一代 64 位多核并发，高速硬件平台之上，拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个 CPU 核心之上，各司其职，不仅保证了基础网 络数据包的高速转发，更加确保了应用层安全处理的高性能。 不仅于此， NF 采用的高速数据包处理技术专门针对 I/O 密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道，极大提升了平台安全处理性能和吞吐率，使下一代防火墙设备在安全处理性能上有了一个质的飞跃。 3.3.1.3 方案价值 内网和互联网区之间部署下一代防火墙可发挥如下作用：基于应用 /用户识别的访问控制、流量控制、上网行为管理、 SNAT 转发、 ISP 链路负载均衡、安全威胁阻断等；在互联网与DMZ 区之间可发挥如下作用：访问控制、 DNAT、服务器负载均衡、基于应用 /户识别的流量 控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用：访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求，提供网络容灾备份方案，保证用户网络安全访问无中断。 下一代防火墙具有带宽管理及控制能力 、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能，满足信息安全等级保护保护技术要求。 3.3.2 边界入侵防护 3.3.2.1