文档介绍：该【等级保护安全设计方案 】是由【业精于勤】上传分享，文档一共【44】页，该文档可以免费在线阅读，需要了解更多关于【等级保护安全设计方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。等级保护安全设计方案
■文档编号
■密级
商业机密
■版本编号
■日期
目录
1
1
1
2
4
4
4
、风险与需求分析 5
5
7
7
8
9
10
11
11
11
11
12
13
14
14
15
20
25
前言
随着我国信息化建设的不断深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,已引起各界的关注。
由于信息系统的安全保障体系建设是一个极为复杂的工作,为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多,结构复杂,覆盖地域广阔,涉及的行政部门和人员众多,建设起来困难重重,我国多数信息系统安全一直停留在网络安全阶段。为了保障我国现代化建设的有序进行,必须加强我国的信息系统安全体系建设。
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
概述
项目目标
根据对XXXX运行监控系统的了解,并结合国家的相关政策标准,XXXX运行监控系统的信息安全建设应落实《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)和《关于开展信息系统安全等级保护基础调查工作的通知》(公信安【2005】1431号),实施符合国家标准的安全等级保护体系建设,通过对
XXXX运行监控系统的安全等级划分,合理调配XXXX运行监控系统的资源、信息科技资源、业务骨干资源等,重点确保XXXX运行监控系统的核心信息资产的安全性,从而使重要信息系统的安全威胁最小化,达到XXXX运行监控系统信息安全投入的最优化。实现信息资源的机密、完整、可用、不可抵赖和可审计性,基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”,具体目标是:
并协助完成如下任务:
1、定级:根据国家等级保护的要求,对XXXX运行监控系统提出合理的定级建议,组织专家评审定级是否合理,协助甲方完成定级工作;
2、评估:XXXX运行监控系统等级保护工作不是在原有网络基础之上进行整改,而是根据业务信息系统的需要全新构建一个安全的业务系统平台。在对XXXX运行监控系统信息系统建设需求进行调研、分析的基础上,按照等级保护二级的建设要求,以系统为单位进行安全风险评估,找出目标系统技术环节及管理环节的不足以及面临的威胁,出具安全风险评估报告并提出安全加固建议;
3、方案设计与评审:结合等级保护的技术和管理要求,提交XXXX运行监控系统的安全设计方案。召开项目成果专家验收评审会,XXXX运行监控系统的安全设计方案进行评审。
4、成果输出:后期建设期间,提供咨询和支持,协助客户和集成商最终完成等级保护测评。
5、辅助测评:在第三方测评的前期准备,中期过程支持,后期遗漏修补,以帮助客户测评合格。
设计原则
根据本次项目的目标,本项目应当遵循以下项目原则:
一、符合性原则
符合国家等级保护的相关标准、管理文件和流程要求;
二、规范性原则
工作中的过程文档和最终文档,具有很好的规范性,可以便于项目的跟踪和控制;
三、最小影响原则
评估工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等);
四、连续性原则
网络平台在进行网络设计时,不仅需要满足目前的需求,还要考虑到技术的发展,具备适度的前瞻性,能够满足现今和将来一段时期的需要。同时还要为未来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护,又要兼顾未来的发展和变化。本原则的贯彻主要体现在网络系统设计和应用系统设计方面。
五、实用性原则
实用性的原则的目的是在保证实用要求和技术可行性的前提下,要选择易于操作和管理,应用见效快的技术和方案,以及适当档次和价格的设备。这主要指:“从实际出发,讲求实效”,在通讯网络平台的设计中,首先要考虑的是实用性和易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备和资源的充分利用,保护原有的投资。
六、先进性原则
为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用,将整个网络系统的技术水平定位于一个较高的层次上,从而保证系统的先进性,以适应新世纪的发展需要。
七、可扩展性原则
可扩充性和可延展性主要包括两个方面的内容:一是为网络将扩充新的节点和新的分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力,能够适应网络新技术发展的要求。
八、可靠性原则
鉴于通讯网络规模较大,数据类型复杂,要求网络系统必须具有较高的可靠性,和良好的网络管理能力,要充分考虑设备、线路和网络设计的冗余备份,网络模块要能够热插拔,以便在线更换和扩充。另外,通讯网络系统较大,应能对其进行有效的管理与维护。
九、安全性原则
在系统建设中,安全性原则应在各个方面予以高度重视,计算机网络的建设也不能例外,特别是网络中和其他不可信网络进行了连接,有可能会发生这样那样的蓄意破坏事件,威胁到网络的可靠安全运行。因此在网络系统设计和实施等各个环节将严格遵循这项原则。在设计上采用恰当的技术手段为系统提供保护、监视、审计等手段。
十、标准化、规范化
方案所采用的技术和设备材料等,都必须符合相应的国际标准或国家标准,或者符合相关系统内部的相应规范。便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通。
依据标准
XXXX运行监控系统属于国家信息建设的组成部分,其信息安全保障体系的建设必须要符合国家相关法律和要求,我国对信息安全保障工作的要求非常重视,国家相关监管部门也陆续出台了相应的文件和要求,从标准化的角度,XXXX运行监控系统的安全规划应参考以下的政策和标准:
主要依据标准
在本次安全策略开发中,依据的主要标准以等级保护为主,具体标准如下:
《证券期货业信息系统安全等级保护基本要求》(送审稿)
《信息系统安全等级保护基本要求》(GB/T22239-2008)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全保护等级定级指南》(GB/T22240-2008)
《信息系统等级保护安全设计技术要求》
《信息安全等级保护实施指南》
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术数据库管理系统通用安全技术要求》(GB/T20273-2006)
《信息安全技术信息系统安全等级保护基本模型》(GA/T709-2007)
辅助参考标准
ISO27000
《关于开展信息安全风险评估工作的意见》2006年1月国家网络与信息安全协调小组
《关于印发《信息安全风险评估指南》的通知》2006年2月国信办(国信办综[2006]9号)
IATF:《信息保障技术框架》。由美国国家安全局组织编写,为信息与信息基础设施的安全建设提供了技术指南。
ISO/IEC15408(CC):《信息技术安全评估准则》。该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。
安全现状、风险与需求分析
安全现状分析
说明:此拓扑为逻辑拓扑图,接口和系统为逻辑接口和逻辑系统模型,如有与实际情况不符的地方可修改。
现状说明:
系统的数据仓库专用网在XX大厦,本系统的数据对外交换平台,也是整个系统的中枢环节。XX大厦的数据仓库专用网包括五个对外的逻辑接口。接口1主要接收来自上交所、深交所、中登总部主机、期货保证金监控中心、投保基金的数据;接口2接收来自互联网供应商的数据;接口3主要接收来自人民银行、外管局、发改委、统计局的数据;接口4主要与投资广场进行数据交互;接口5主要与XX大厦进行数据交互。系统内部还包括WEB/APP、数据库服务器、磁盘阵列等。
投资广场的系统开发人员和运维人员主要负责数据仓库专用网的开发和运维工作,在投资广场包括两个接口,接口1主要负责与XX大厦进行数据交互;接口2为互联网接口连接Internet,与内网系统物理隔离。
XX大厦通过接口1与XX大厦进行数据交互,用户终端和管理服务器对数据监控和管理。并且通过手工导入的方式向会内网导入一些会内网需要的数据信息。
安全技术需求分析
主机安全需求分析
身份鉴别
需要对整个XXXX运行监测系统的终端和服务器进行安全配置或部署安全产品,使操作系统和数据库系统的用户名不能相同且用户口令或密码具有不被仿冒的特点,满足密码复杂性要求并定期对口令或密码进行更换;当用户口令或密码输入错误达到一定数量需要采取一定的限制措施;远程管理时需要防止鉴别信息被窃听。
访问控制
需要对XXXX运行监测系统的终端和服务器进行安全配置,删除多余的账号;实现操作系统与数据库系统账户的权限分离;限制默认账户的访问权限。
安全审计
需要通过对XXXX运行监测系统的终端和服务器启用审计功能或部署安全产品,对重要用户的行为和系统的运行状况进行审计且应保障审计系统被恶意的删除、修改或覆盖;审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
入侵防范
需要通过对XXXX运行监测系统的终端和服务器进行安全配置,保证其满足最小安装原则,仅安装业务所需的软件程序;通过安全配置或部署安全产品进行补丁的更新。
恶意代码防范
需要通过在XXXX运行监测系统的终端和服务器部署安全软件的方式,实现恶意代码的防范,安全软件应当支持统一管理。
资源控制
需要通过对XXXX运行监测系统的终端和服务器进行安全配置,实现登陆操作系统超时锁定和设定用户对系统资源的使用限额;通过部署安全产品的方式限制终端登陆方式。
应用安全需求分析
身份鉴别
XXXX运行监测系统的各应用模块需要提供身份鉴别功能,并且通过应用模块或者部署安全产品实现用户身份标识唯一化控制,提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
访问控制
通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品,控制用户对文件或表单等的访问,设置用户业务所需的最小权限并限制默认用户的访问权限。
安全审计
通过对XXXX运行监测系统的各应用模块的配置或通过部署安全产品,对用户的关键性动作进行审计,审计信息事件日期、时间、发起者信息、类型、描述和结果等内容,并保证审计信息不能随意的添加、删除、修改和覆盖。
通信完整性
通过在XXXX运行监测系统部署安全产品实现,XX大厦与上交所、深交所、中登主机、期货监控、投保基金,XX大厦与投资广场、XX大厦等在进行数据交换过程数据的完整性保护。
通信保密性
通过在XXXX运行监测系统部署安全产品对传输数据进行加密实现,XX大厦与上交所、深交所、中登主机、期货监控、投保基金,XX大厦与投资广场、XX大厦等在进行数据交换过程数据的保密性保护。
软禁容错
XXXX运行监测系统各应用模块的开发要满足容错的要求,提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;在软件故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
资源控制
资本运行监测系统通过自身开发或者部署安全产品,对用户访问资源的情况进行限制,对系统的最大并发连接进行限制,应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。