1、西安网信息安全等级保护方案西安网信息安全三级等保方案西安网2017年09月目录第一章项目简介11.1项目背景11.2建设目标21.3建设原则21.4建设依据3第二章信息系统定级52.1定级指南要求52.2等级保护级别确定6第三章安全需求分析73.1关键业务流程73.1.1节目文件化备播流程73.1.2节目归档流程83.1.3节目回调流程83.2安全风险分析总结93.2.1基础网络安全风险93.2.2边界安全风险93.2.3终端安全风险103.2.4服务端安全风险103.2.5应用安全风险103.2.6数据安全风险113.2.7物理安全风险113.2.8管理安全风险113.3安全需求总结123.
2、3.1技术安全需求123.3.2通用物理安全需求133.3.3通用管理安全需求13第四章信息安全设计154.1信息安全保障体系154.1.1总体框架概述154.1.2信息安全管理体系164.1.3信息安全技术体系174.1.4信息安全运行体系184.2安全域体系规划设计194.2.1安全域划分194.2.2边界确定214.3安全防护功能设计214.3.1基础网络安全设计214.3.2边界安全设计224.3.3计算环境安全设计234.3.4终端安全设计254.3.5安全管理中心设计274.4云支撑平台294.4.1云支撑平台整体设计294.4.2云支撑平台架构设计324.4.3云计算管理平台35
3、4.4.4支撑平台特点564.4.5云平台安全设计59第五章信息安全详细设计625.1基础网络安全设计625.1.1结构安全625.1.2网络设备防护625.2边界安全设计635.2.1互联网接入域边界安全设计635.2.2互联网域与办公域边界安全设计635.2.3办公域与综合制作域边界安全设计645.2.4综合制作域与新闻制播域边界安全设计655.2.5综合制作域与播出域边界安全设计655.3身份鉴别设计655.3.1身份鉴别机制665.3.2身份鉴别技术665.4自主访问控制设计675.4.1制作工作站685.4.2数据库服务器685.4.3非接口类服务器695.4.4播出站695.5标记
4、与强制访问控制设计695.6安全审计设计705.6.1网络安全审计705.6.2主机安全审计715.6.3数据库安全审计725.6.4运维安全审计735.6.5应用系统安全审计755.7入侵防范设计755.7.1漏洞扫描765.7.2安全配置765.8恶意代码防范设计765.9应用系统安全改造765.9.1资源控制775.9.2通信完整性775.9.3软件容错785.10安全管理中心设计785.10.1统一身份认证系统设计795.10.2安全管理平台系统设计835.11西安网络电视台信息安全拓扑图975.12安全设备选型及清单995.12.1安全设备选型995.12.2西安网安全设备清单102
5、第六章信息安全管理体系设计1086.1信息安全管理体系概述1086.2信息系统安全管理原则1096.3信息安全组织架构规划1106.3.1信息安全组织模型1106.3.2安全组织建设因素1126.3.3信息安全组织规划1126.4信息安全策略体系设计1146.4.1一级文件1166.4.2二级文件1166.4.3三级文件1236.4.4四级文件1236.5信息安全管理体系建设过程1236.5.1计划阶段1256.5.2实施阶段1266.5.3监控阶段1276.5.4改进阶段128第七章信息安全物理体系设计129第一章 项目简介1.1 项目背景2003年,由国务院国家信息化领导小组发布国家信息化
6、领导小组关于加强信息安全保障工作的意见(中办发200327号),明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。为了更好的实现系统建设与安全播出建设工作的完善与统一,西安网在系统设计时应充分考虑安全的设计工作;同时,为了更有效的保障信息安全设计与建设的完美统一与切实落地,将对国内信息安全厂商与集成单位进行充分调研和了解,希望此次建设单位能够有效解决:国家和行业内信息安全等级保护相关制度和标准的落地、广电总局安全播出62号令的正确理解与实施(特别是2014年10月份新颁布的电视中心实施细则)、电视台业务
7、与安全防护的有机结合、将技术、管理、运维多方面完善整合,形成符合全台现状与业务特点的安全防护体系。通过此次系统建设,将实现: 全台业务的互联互通的需要。在业务系统建设过程中,充分考虑网台业务的互联互通,摒弃很多网台业务系统孤岛的建设模式,将全台业务形成完整整体,将所有业务打通,实现网台的业务网络化、文件化传输,业务的互联互通不仅能够提升整个网台的业务模式,业务流程的完整统一,采、编、播、管、存工作一体化,大大提升网台的业务能力和工作效率,而且可以让网台的业务融合与扩展,乃至以后的发展都能够奠定扎实的基础环境。业务的互联互通,特别需要充分考虑文件化制播体系使安全保障工作,没有一个坚强的安全保障体
8、系作为后盾,安全播出工作将尤为艰难。 全台一体化的环境中,需根据信息安全等级保护标准,从系统定级、整体设计、系统建设和安全测评方面进行综合考虑,目前省级网络电视台通过等级保护测评的单位不多,但可以进行充分调研,以期少走弯路、节约投资、尽快成效。 全媒体业务的全流程和安全密不可分。全台打造全媒体业务流程,将节目的汇聚、生产、管理、发布融为一体,做好业务系统的同时,需将监控、安全作为保障体系的两个要素,形成统一的运维保障体系,日常能够发现安全风险、安全漏洞、安全事件;定期进行安全检查、安全分析、安全总结;年度进行安全规划、安全整改;将信息安全防护作为业务稳定可靠运行的有效保障,切实落实全台的安全播
9、出需要。1.2 建设目标l 设计建立西安网整体信息安全保障体系l 根据西安网的网络现状及未来规划,为基础网络进行信息安全设计l 初步了解西安网未来业务系统概况,进行信息安全设计l 保证业务持续性,促进业务高效稳定运行l 保证信息的机密性、完整性和可用性1.3 建设原则西安网信息安全体系设计,要充分依照国内、国际的规范、标准,从西安网络电视台网络信息化建设的实际需求出发,对西安网的信息安全体系进行统一规划、设计和建设。应遵循以下原则:l 业务驱动原则设计采用“以业务为中心,以系统安全性及可用性为基本点”的业务驱动原则。通过业务系统具体分析,充分保障业务系统的高效、稳定、安全的运行。l 法规、标准
10、、规范的符合性原则在整体安全设计过程中不仅遵照广电总局等级保护标准要求,同时还参考了国家等级保护相关标准和ISO 27001等国际标准。l 先进性原则要求系统设计的过程中密切关注媒体行业相关系统的发展动态,设计具有前瞻性,既要立足于目前的使用,又要适应未来广播技术的发展需求。l 安全管理与安全技术结合原则“三分技术,七分管理”是对于信息安全系统使用能否达到良好效果的根本。再好的技术也是为了业务系统的使用而建立,同样,再好的安全防护手段也需要科学的管理使用方法。1.4 建设依据设计标准主要包括以下标准:l 信息安全等级保护管理办法(公通字200743号)l 关于开展全国重要信息系统安全等级保护定
11、级工作的通知(公信安2007861号)l 信息安全等级保护整改工作的指导意见(公信安20091429号)l 信息系统安全等级保护定级指南(GB/T 22240-2008)l 信息系统安全等级保护基本要求(GB/T 22239-2008)l 信息系统等级保护安全设计技术要求(GB/T 25070-2010)l 广播电视安全播出管理规定电视中心实施细则l 广播电视相关信息系统安全等级保护定级指南(GD/J 037-2011)l 广播电视相关信息系统安全等级保护基本要求(GD/J 038-2011)l 广播电视相关信息系统安全等级保护实施指南(征求意见稿)l 广播电视相关信息系统安全等级保护测评指南
12、(GD/J 044-2012)l 中华人民共和国网络安全法在风险等关键因素的评估及安全体系、安全规划、安全策略、安全方案的建设等方面,还参考了SSE-CMM、ISO15408、ISO13335和等级保护标准作为理论依据。此外,其它现阶段有效的标准或规定,均应作为设计的参考和约束。127第二章 信息系统定级2.1 定级指南要求根据GD/J 037-2011定级指南,电视中心相关信息系统的等级保护对象分类如下:表: 电视中心信息安全等级保护对象分类分类信息系统分类定义西安网直播系统实现节目播出和控制的信息系统新闻制播系统以新闻节目为核心,制作播出一体化的信息系统媒资系统实现数字媒体节目的接收、存储
13、、管理、转换、共享和发布的信息系统综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统生产管理系统与生产业务相关的管理服务等信息系统根据037-2011定级指南,各级电视中心播出相关信息系统安全保护等级如下:表:各级电视中心播出相关信息系统安全保护等级序号信息系统分类级别国家级省级省会城市、计划单列市地市及以下1播出系统第四级第三级第三级第三级2新闻制播系统第三级第三级第三级第二级3业务支撑系统第二级第二级第二级第二级4媒资系统第二级第二级第二级第二级5综合制作系统第二级第二级第二级第二级6生产管理系统第二级第二级
14、第二级第二级2.2 等级保护级别确定根据广播电视相关信息系统安全等级保护定级指南(GD/J 037-2011),西安网络电视台信息系统定级结果如下:表:西安网络电视台信息系统定级结果汇总序号级别机构分类单位名称信息系统名称安全等级1市级电视中心西安网播出系统第三级2市级电视中心西安网新闻制播系统第三级3市级电视中心西安网综合制作系统第二级4市级电视中心西安网媒体资产管理系统第二级5市级电视中心西安网全台互联互通平台第二级6市级电视中心西安网OA系统第二级7市级电视中心西安网财务系统第二级8市级电视中心西安网人力资源系统第二级9市级电视中心西安网广告管理系统第二级第三章 安全需求分析3.1 关键
15、业务流程台内关键的业务流程主要有三个:l 节目文件化备播流程l 节目归档流程l 节目回调流程3.1.1 节目文件化备播流程节目文件化备播流程串联起了综合制作系统到播出系统的文件、信息传输,图 节目文件化备播流程各制作网通过非编软件调用转码模块将文件转换为MXF格式,点击“提交备播”功能键后会自动通过主干的ESB/EMB传输到节目备播子系统,备播子系统给播出接口服务器发送消息,通过xml文件告知文件相关信息;另一方面,频道编辑通过编单系统形成电子串联单,电子串联单在保存发布后,播出接口服务器提取消息信息中的文件信息将文件从备播子系统下载到播出系统。3.1.2 节目归档流程节目归档流程表示制作网的
16、节目如何归档到媒资系统,如下图所示:图 节目归档流程各制作网的责编提交入库申请到媒资并由总编审核,主干到制作网取文件,然后通过FTP传输到媒资的存储区。3.1.3 节目回调流程节目回调流程表示了各制作网通过主干将媒体文件从媒资调回制作网的过程。首先由制作网向媒资下发回调任务,然后主干通过FTP或者系统内置的传输方式将文件传输到制作网。根据从媒资系统到主干文件传输方式的不同,可以细分为两种流程,如下图所示:图 节目回调流程1图 节目回调流程23.2 安全风险分析总结本节通过对信息资产本身存在的脆弱性,信息系统面临的威胁,以及这些威胁可以利用哪些资产的脆弱性导致安全事件的发生等几个方面进行安全风险
17、分析,从而对整个系统信息安全的状况做出准确的判断。3.2.1 基础网络安全风险1. 办公外网出口没有冗余链路,万一联通200M出口发生故障将导致整个办公外网无法访问Internet;2. 网络设备未采用安全加固,存在很多不必要的服务,可能被黑客利用;3. 登录网络设备仅采用单一的用户名和密码的方式,存在账户被暴力破解,网络设备被非授权访问的风险; 4. 网络设备未开启安全审计功能,一旦发生安全事件,无法进行定位和追溯;3.2.2 边界安全风险1. 网络边界缺乏访问控制设备,容易发生黑客攻击;2. 网络边界缺乏入侵检测机制,发生入侵行为时无法及时定位和响应;3. 网络边界如果缺少安全数据交换机制
18、,则容易发生恶意代码互相感染,泄密等事件;4. 网络边界如果缺少安全审计,一旦发生安全事件,则无法进行定位和追溯;5. 网络边界缺乏恶意代码防范,一旦一个安全域中的设备感染恶意代码,可通过边界感染相邻的安全域中的设备。3.2.3 终端安全风险1. 终端操作系统登陆账户使用简单的鉴别方法(用户名和口令),并且没有密码管理规范,则很容易被人暴力破解;2. 终端缺乏安全审计能力,则一旦发生安全事件,就无法进行定位、追溯;3. 终端缺乏安全加固和配置基线,系统组件和安装的应用程序没有严格限制,系统补丁不经常更新,导致对新型病毒的主动防御能力不足,一旦感染病毒、蠕虫等,将会给网络带来极大的安全风险;4.
19、 终端缺乏安全审计能力,一旦发生安全事件,就无法进行定位、追溯。3.2.4 服务端安全风险1. 服务器操作系统登陆账户使用简单的鉴别方法(用户名和口令),并且没有密码管理规范,则很容易被人暴力破解;2. 服务器缺乏安全审计能力,一旦发生安全事件,则无法进行定位、追溯;3. 服务器缺乏安全加固和配置基线,系统组件和安装的应用程序没有严格限制,系统补丁不经常更新,则导致对新型病毒的主动防御能力不足,一旦感染病毒、蠕虫等,将会给网络带来极大的安全风险。3.2.5 应用安全风险1. 存在多人共同使用一个账号的问题,在发生安全事故时,无法根据账号审计、追溯到具体责任人。3.2.6 数据安全风险1. 由于
20、西安网业务的特殊性,制作的节目本来就是要播放给公众看的,因此在数据的机密性方面风险较低,但对数据的可用性和完整性要求高;2. 没有采取数据备份和数据恢复手段与措施,会导致数据的丢失,影响系统的正常运行,甚至造成这个系统完全瘫痪。3.2.7 物理安全风险物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。3.2.8 管理安全风险“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施
21、外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。1. 如果没有专门的信息安全相关岗位和岗位职责,则导致安全制度得不到落实。如果人员得不到相关安全知识培训,则人员会缺乏安全意识;2. 如果没有成体系的安全规范和制度,则导致安全管理无规可循,无章可依,无法进行高效、系统的安全管理。3.3 安全需求总结3.3.1 技术安全需求3.3.1.1 基础网络安全需求1. 办公外网增加一个ISP出口,部署链路负载均衡设备;2. 合理划分安全域和安全分区,加强VLAN间的访问控制;3. 网络设备本身开启安全
22、审计功能,并将审计数据发送至安全管理平台进行集中管理和分析;4. 对第三方运维人员或其他人员对安全设备、重要网络设备等的操作行为进行安全审计,并根据安全策略进行响应;5. 对网络设备进行安全加固配置,规范账号管理、关闭不必要的服务和端口,对登录失败有处理机制。3.3.1.2 边界安全需求1. 在网络边界增加UTM防火墙设备,对数据流进行细粒度的访问控制,防御网络蠕虫病毒、木马等基于网络传播的恶意代码;2. 在网络边界增加入侵检测系统,对流经的数据流进行实时监控,发现入侵行为及时进行告警;3. 在网络边界部署安全隔离媒体交换网关,用户不同网络之间的数据交互。3.3.1.3 终端安全需求1. 部署
23、恶意代码防范软件,防御蠕虫、病毒、木马等恶意代码。同时保持恶意代码库的及时更新;2. 终端部署终端安全管理系统,进行统一资产管理、补丁分发、检测并阻断非法外联、外设封禁;3. 终端制定安全配置基线,定期进行脆弱性检查,并根据评估结果进行安全加固增强;4. 终端开启安全审计功能,并对审计信息进行集中管理。3.3.1.4 服务端安全需求1. 部分服务器部署操作系统加固软件,对主体和客体设置敏感标记,并启用强制访问控制功能;2. 服务器制定安全配置基线,定期进行脆弱性检查,并根据评估结果进行安全加固增强;3. 服务器开启安全审计功能,并对审计信息进行集中管理;3.3.1.5 数据安全需求1. 制定数
24、据备份计划,建立灾难恢复应急预案并定期进行演练。3.3.2 通用物理安全需求物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。3.3.3 通用管理安全需求安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。主
25、要包括:l 总要求l 安全管理机构l 人员安全管理l 系统建设管理l 系统运维管理需在上述方面建立一系列的管理制度与操作规范,并明确执行。第四章 信息安全设计4.1 信息安全保障体系4.1.1 总体框架概述西安网信息安全保障体系总体框架包括三个部分内容:信息安全管理体系、信息安全技术体系和信息安全运行体系。图:信息安全保障体系框架l 信息安全管理体系:明确了西安网信息安全方针和目标,以及完成这些目标所用的方法和体系;是信息安全工作开展的规范。该体系由三部分内容组成,包括信息安全治理结构、信息安全组织以及信息安全策略;l 信息安全技术体系:明确了西安网信息安全建设过程中所需的技术手段;是信息安全
26、工作开展的有力支撑;主要包括信息安全产品和工具;l 信息安全运行体系:明确了西安网日常信息安全工作的主要过程和内容;是信息安全规范要求和控制措施的具体落实;主要包括日常的信息安全管理行为和安全管理中心。4.1.2 信息安全管理体系信息安全管理体系是在整个西安网范围内建立信息安全方针和目标,以及完成这些目标所用的方法,它是直接管理的结果,表示方针、原则、目标、方法、过程、核查表(checklists)等要素的集合。图:信息安全管理体系模型信息安全管理体系的建立,首先应该建立自己的管理机构,在信息安全管理机构的领导下,制定信息安全策略,建立信息安全管理制度。并要有一套可操作的保障机制来保证这些策略
27、和制度的落实。通过信息安全管理体系的实施,明确每个人对相关信息的安全责任,便于在工作中实施、监督和考核。使员工了解到信息安全不仅仅是网络安全,还包括业务信息安全、人员安全、组织安全等方面的内容,使员工的安全意识有所增强,并在日常业务中按照相关规范执行信息安全要求。信息安全管理体系提倡在行为规范上严格要求,使员工养成良好的习惯,避免发生大的事故,表面上看建立安全规则对员工多了一道约束,实际上提供了对员工的保护,许多大事故往往是由小细节累积而成的。通过信息安全管理体系项目的实施,可以为西安网训练出一批具有信息安全管理知识与技能的人员,训练出一批具有“标准”意识、思维和行为方式的员工。4.1.3 信
28、息安全技术体系信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行的落实的重要手段,最终支撑信息安全体系的建设。主要由身份认证技术、访问控制技术、内容安全技术、监控审计技术和备份恢复技术等方面组成。图:信息安全技术体系模型从安全的角度来看,各类安全防护手段的存在是为安全目的的实现而服务的,在可靠的安全域模型基础上对其进行高效的技术体系防护则是又一重点建设内容。无论是安全域的边界状态或是各安全域内部可能存在的安全问题都将影响西安网络电视台整个信息安全体系实现的最终效果。综上所述,信息安全技术体系的建设是一个分步设计加分步实施的过程。4.1.4 信息安全运行体系信息系统的运行维护阶段
29、,在信息系统的生命周期中,是时间最长的一个阶段,占整个生命周期的绝大多数的时间。同时,这个阶段也是信息系统直接服务于机构,完成机构的信息使命的阶段,也是信息安全事件最大量发生的阶段。所以建设一个有效的安全运行维护体系,使信息系统能够可靠安全地运行,是保障信息系统完成其信息使命的关键所在。图:信息安全运行体系模型在西安网安全建设中,信息安全运行体系的建设是建立、健全安全管理中心,实现最终的安全目标。信息安全技术只是实现信息安全控制的一个手段,必须依赖于有效的信息安全运作模式加以综合利用;信息安全策略、标准、制度只是提出了信息安全控制的要求,必须依赖有效的信息安全运作模式加以落实,才能实现制定的信
30、息安全目标。通过安全管理中心的建设,进行相关系统设计,支持以信息安全管理为核心,建立和维护完整的信息安全体系,实现动态的、系统化的、制度化的信息安全管理。根据风险和用户安全目标进行成本效益分析,制定风险控制方案,将风险控制在可接受的水平内,从而保证业务连续性,实现持续的、不断提高的信息安全管理水平。通过安全管理中心的建设,能够帮助西安网在管理过程中实现有效的安全资源整合,为各级安全管理人员提供全网安全威胁可视化的技术平台,为安全管理、安全服务提供有效的分析数据,与西安网的安全组织、安全制度、流程配合实现科学高效管理,确保安全建设的可持续发展。4.2 安全域体系规划设计4.2.1 安全域划分安全
31、域”是根据信息性质、使用主体、安全目标和策略等的不同来划分的,是具有相近的安全属性需求的网络实体的集合。在保证访问安全的基础上,性能、可管理和结构优化是整个安全域划分的三大要素。为了实现分层次的安全体系设计以及安全技术规范的统一,应依据西安网络电视台业务及管理过程中涉及到的各种信息的关键性及敏感程度,合理确定各种网络应用的安全级别,划定各类安全域,从而建立一套整体的信息安全保障体系。建议采用如下图的安全域划分:图:西安网安全域划分l 互联网接入域:是整个网络系统互联网接入的出口; l 互联网域:即办公外网所在的区域,主要用于员工访问互联网;l 办公域:即办公内网,内部员工日常办公所在安全区域,
32、办公内网中包括OA、财务、人事等业务系统;l 综合制作域:指与节目生产相关业务系统所在的安全区域,包含除播出、制播以外的其他和生产相关的业务系统,主要应用包括收录系统、综合制作系统、媒资系统、主干系统等;l 新闻制播域:指以新闻节目为核心,制作、播出一体化信息系统所在的安全区域;l 播出域:指节目播出相关系统所在的区域。4.2.2 边界确定1. 互联网接入域与互联网域的边界;2. 互联网域与办公域的边界;3. 办公域与综合制作域的边界4. 综合制作域与新闻制播域的边界;5. 综合制作域与播出域的边界。4.3 安全防护功能设计4.3.1 基础网络安全设计网络是信息系统构建的基础,它使得计算机及其
33、相关配套的设备能够互联和共享。在对网络安全实现全方位保护之前,首先应关注整个网络的资源分布和架构是否合理。只有结构安全了,才能在其上实现各种技术功能,达到网络安全保护的目的。基础网络安全设计首先要对整个网络进行子网划分。其次在同一网段上,从保护数据信息的安全角度上来看,侦听、重放、插入攻击方式会导致数据的机密性和完整性被破坏。从保护服务功能安全的目标上来看,存在着广播风暴,同时如果网段规划得不合理,碰撞问题就会变得突出,导致网络通信效率的下降。4.3.2 边界安全设计要保护信息系统的安全,网络边界是第一道也是最关键的一道防线。不论是对外部的入侵防范、计算机恶意代码的防范,还是对内部数据的泄露等
34、都起到了最重要的作用。网络边界的防护,一般都在边界设置和安装相关的安全设备,对外部的访问进行过滤和控制,对内部向外传输的数据信息进行安全检查。网络边界的保护要从两个方面入手,一是对边界完整性的保护,另一个是对入侵的防范。1. 边界完整性保护所谓网络边界的完整性,是指网络与其他网络的连接的出口是明确的,是已知的,是安全策略所允许的。2. 网络边界入侵防范互联的目的是为了共享,共享既是网络的优点,也是风险的根源。非法用户能够从远端对计算机数据、程序等资源进行非法访问,使数据遭到拦截和破坏。网络边界的保护目的:一是防止网络外部的入侵;二是防止内部信息的泄露;三是防止内部人员违规访问网络外部。有效的控
35、制措施包括防火墙、边界隔离防护(IPS、媒体交换网关等),以及对远程用户的标识与鉴别/访问控制。有效的监视手段包括基于网络的入侵检测、漏洞扫描及恶意代码的防范。采取什么样的隔离措施,要根据系统的保护策略及该系统与之连接的其他系统的安全等级和那些系统本身的安全保护策略,当然也要根据信息安全属性所决定的保护策略。与之相关的是认证问题,应该进行角色定义和分析。对于边界保护,主要的一点是要考虑外部访问者的角色,即如何对这些角色进行控制是边界保护必须的要素。也应该从安全等级的角度出发,对于相同等级的子系统之间的边界保护,和不同等级系统之间的边界保护,其策略应该不同,对于来自低于本系统安全等级的访问应该看
36、做是不可信的访问。对于来自同级和高于本系统安全等级的外部访问,也应慎重对待。边界防护还要考虑防止内部人员对外部系统进行的侵害和将内部信息泄露的问题。可以通过边界的审计手段记录访问者及访问行为并作可靠的保存;可以对重要的信息加以标记,避免泄露。4.3.3 计算环境安全设计保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留主机时具有可用性、完整性和保密性。计算环境的保护涉及主机上的操作系统、数据库等系统软件;也包括应用层的通用程序和定制开发的独立应用程序。1. 操作系统安全操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台,它的安全性属于系统级安全的范畴,它为整个计
37、算机信息系统提供底层的安全保障。操作系统安全关注的有两点,一是操作系统本身的安全机制,二是操作系统本身的安全。操作系统的安全机制是操作系统的重要组成部分,它表明了操作系统能够提供的安全能力,由可信计算基的安全功能来实现;而操作系统本身的安全则是表明操作系统本身的可靠性,是对它所提供的安全能力的保证,反映的可信计算基的安全保障能力。为了实现操作系统的安全,需要建立相应的安全机制,解决进程控制、内存保护、对资源的访问控制、信息流的安全控制、I/O设备的安全管理机制、审计机制,以及用户标识与鉴别机制等。按照等级保护要求,高级别的信息系统(第三级以上),操作系统要达到标记安全保护级。标记安全保护级引入
38、强制访问控制(MAC)机制,并对主体和客体进行安全标识,实施标识管理。2. 数据库安全数据库系统安装在操作系统之上,并为应用层提供直接服务。通常情况下所说的信息系统中的数字信息安全,就是指数据库中产生和保存的数据。数据库存储的数据越重要、越全面,它的安全性就越重要。为了保证数据库数据的安全可靠和正确有效,必须建立统一的数据保护功能,主要包括数据库的安全性、完整性、并发控制、备份恢复和安全审计。3. 应用安全应用层是信息系统直接面向用户的层面,保证应用层面的安全应该说是信息系统安全的最终目的。应用程序保护主要是指独立应用程序的保护,也就是专为本系统的信息使命所开发的应用程序。应用程序的安全要求在
39、等级保护中有明确要求,应用程序的保护应该从以下两个方面考虑:一是对应用程序进行评估;二是对应用程序进行测试。应用软件的评估是考虑应用软件所提供的功能是否与管理策略相违背,并可能导致管理方面的漏洞。评估就是将软件的功能与安全策略相比较,通过评估和分析查找出可能违背安全策略的机制。应用程序的测试是发现和排除程序不安全因素最有效的手段,测试的目的是确定程序的正确性和排除程序中的安全隐患。为了发现程序错误,可以通过大量的测试实例,使用黑盒测试和白盒测试法进行严格的测试。从安全的角度来讲,测试应由独立的测试小组进行,这样可以检测出软件开发商程序员隐蔽在程序中的某些东西,千万不可由程序员自己测试自己编写的
40、代码。4. 数据安全关于数据安全,一是对用户数据进行加密,二是对文件完整性进行检查,最后是数据备份和恢复。应用程序应该支持加密技术的使用,特别是身份鉴别信息在传输过程中应采用加密技术。文件完整性分为两个部分,一部分是基于主机系统的文件完整性检查,另一部分是基于综合业务域到制播域、音频制作系统到音频播出系统传输的音频文件的完整性检查。主机系统的文件完整性检查可以通过文件完整性检查器实现,文件完整性检查器提供基于密码学的附加保护、当从来不应该被修改的文件被发现与原来不同时,可以进行告警并自动恢复“干净的”文件或数据结构。音频文件可以通过MD5或其它检验技术实现文件的完整性检查,当发现音频文件与原来
41、不同时,可以采用重传或其他机制保证音频文件不被篡改。数据备份指的是,为了保障数据存储的安全性,将数据复制成若干份分开保存的处理方法,数据备份策略是对数据备份技术如何合理使用的指导文件。理想的备份系统应具备以下功能:集中式管理;全自动的备份;备份系统能根据用户的实际需求定义需要备份的数据;数据库备份和恢复;在线式的索引;归档管理;有效的媒体管理;支持数据分类与分级存储管理;系统灾难恢复;满足系统不断增加的需求。高安全级别(第三级以上)的信息系统,需要制定完整的灾难备份及恢复方案;应包括备份硬件、备份软件、备份制度和灾难恢复计划四个部分。4.3.4 终端安全设计4.3.4.1 终端安全管理系统设计
42、4.3.4.1.1 功能设计1. 服务和进程管理系统可以通过控制服务名和进程名的方式制定管理策略,管理客户端上运行的服务和进程,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。2. 文件操作管理系统可以通过文件名和文件类型的方式制定管理策略,管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为,并可以根据客户端的违规情况,对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。3. 远程计算机管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁,否则无论强制重新启动或者进入安全模式均不能使用。4.
43、 补丁分发客户端集成本机扫描功能。通过进行本机扫描,可以根据终端上存在的安全漏洞,分析到对应的补丁,并下发至终端进行安装。分发支持强制安装和通知安装两种方式,安装支持静默安装和非静默安装两种方式。5. 外设及端口控制外设与接口管理实现对终端上的各种外设和接口进行管理。终端与内网安全管理系统可以禁用系统的外设和接口,防止用户非法使用。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。终端安全管理系统可以禁止如下存储设备的使用:软驱(Floppy)、光驱(CD/DVD/HD-DVD/BlueRay)、磁带机、Flash存储设备(U盘及MP3播放器)、
44、移动硬盘(USB或1394)等。终端安全管理系统可以禁止如下外设计口的使用:串口和并口(COM/LPT)、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口(1394)、PCMCIA插槽等。终端安全管理系统可以设置将所有移动存储设备置于只读状态,不允许用户修改或者写入。4.3.4.1.2 部署方式终端区中所有办公终端和业务系统工作站安装终端安全管理系统客户端,所有的安全策略由终端安全管理系统服务端统一部署下发策略。4.3.4.2 恶意代码防范设计4.3.4.2.1 功能设计本方案建议在业务系统内部部署一套网络版防病毒系统,业务系统内部所有主机安装防病毒软件。产品功能列
45、表l 客户端软件具备多层安全防护能力,包括防病毒、防木马/间谍软件,个人防火墙、入侵防护、操作系统保护、前瞻性的主动威胁防护等功能;所有功能由一个集成的代理软件完成;l 防病毒引擎应具备恶意代码自动修复的功能,可以检测底层的rootkit技术并可以清除rootkit;l 能够检测收发Internet电子邮件时,可采用启发式扫描检测外发邮件病毒,有效的防范邮件蠕虫的攻击;l 提供对于未知病毒、恶意代码的防范能力,支持基于行为的检测和防护技术:如对于利用U盘进行传播的病毒可以主动拦截;l 针对未知恶意威胁具有行为打分能力,智能识别蠕虫或者木马软件,无需提示用户操作判断;l 可自动灵活的分配客户端扫描优先级别,提供至少三种调节方式(最佳扫描性能,平衡性能和最佳应用程序性能),调节扫描占用的CPU资源, 在机器繁忙时自动降低手动或调度扫描对机器资源的占用;l 对于安全风险检测有详细的分类,同时有灵活的处理方式,包括清除、隔离以及自动的排除。并能设置威胁的跟踪功能。4.3.5 安全管理中心设计安全管理中心是对防护体系的有效支撑,是
