第1章 项目概述
1.1 项目目标
本方案将通过对公司网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动 XX 企业公司网络信息系统安全整改工作的进行。根据 XX 企业公司信息系统目前实际情况,综合考虑 XX 企业公司信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高 XX 企业公司信息系统的安全防护水平,完善安全管理制度体系。
在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
1.2 项目范围
本文档适用于指导 XX 企业信息系统安全整改加固建设工作。
1.3 信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
1.4 等级保护建设依据
1.4.1 国内标准
《中华人民共和国网络安全法》
《信息系统安全等级保护基本要求》 GB/T 22239-2008
《信息安全风险评估规范》 GB/T 20984-2007
《信息安全管理实用规划》 GB/T 22081-2008
1.4.2 国际标准
ISO27001
ISO27002
ISO/IEC 13335
ISO9001
1.4.3 行业要求
《关于印发 < 信息安全等级保护管理办法 > 的通知》(公信安 [2007]43 号)
《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)
《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号)
《信息安全等级保护管理办法》(公通字 [2007]43 号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安 [2007]861 号)
《公安机关信息安全等级保护检查工作规范》(公信安 [2008]736 号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安 [2009]1429 号)
第2章 安全现状分析
2.1 网络现状描述
图片
1.XX 企业公司网络信息系统内网架构为三层架构
2.核心交换机直连各楼栋汇聚交换机
3.用户接入交换机,通过 VLAN 划分用户区域
3.网络出口上有两条链路:一条为 500M 的互联网线路;一条为 20M 专线的的集团线路。
2.2 安全现状
XX 企业在一些关键区域已经部署了相应的安全防护设备,如在出口区域部署了防火墙和上网行为管理设备,一定程度上提升了公司信息系统在物理层、传输层、网络层的网络防护能力,网络结构基本满足公司办公网络的安全和管理需要。
由于目前网络中潜在的安全隐患大多数来自会话层、表示层和应用层,但是公司目前部署的防火墙并不具备防护来自以上三层威胁的能力,同时在防御外网对公司内网的黑客入侵、嗅探、流量攻击等高危险攻击方式上也没有相应的安全措施来抵御。其次,在互联网出口区域部署两台功能相近的上网行为管理设备,虽然可以实现功能的分担、负载的分担,但也严重影响了用户的上网体验,而且两台都采用串接的方式,增加了链路单点故障的风险。最后,就是在企业内网缺乏发现安全隐患的的机制,从网络攻击的行为分析,大部分的攻击针对的是网络信息系统中的漏洞,如:操作系统漏洞、网络漏洞、软件漏洞等等,这是漏洞就是网络信息系统安全的最大风险,而这些漏洞却又不是能轻易发现的,因此需要在内网建立一个能预先发现系统漏洞的机制,对漏洞进行修补,防止被黑客利用对企业内网进行攻击和窃取关键数据。
2.3 安全定级情况
信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:
安全等级
基本描述
安全保护要求
第一级
适用于一般的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成较小的负面影响。
参照国家标准自主进行保护。
第二级
适用于处理日常信息和提供一般服务的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成中等程度的负面影响。
在主管部门的指导下,按照国家标准自主进行保护。
第三级
适用于处理重要信息和提供重要服务的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。
在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。
第四级
适用于涉及国家安全、社会秩序、经济建设和公共利益的重要IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。
在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。
第五级
适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。
根据安全需求,由主管部门和运营单位对IT系统进行专门控制和保护。
参照以上等级保护的定级标准, XX 公司信息系统的等级保护级别建议定为二级。
第3章 安全现状分析
3.1 网络安全风险
通过网络架构分析和安全基线核查,我们发现 XX 企业的网络:互联网出口的下一代防火墙,入侵防御、 web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。
3.2 主机安全风险
通过漏洞扫描,我们发现 XX 企业 OA 系统主机上存在高风险安全漏洞:通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
图片
3.3 应用安全风险
通过安全基线核查,我们发现 XX 企业的 OA 系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
3.4 数据安全和备份恢复风险
通过安全基线核查,我们发现 XX 企业的 OA 系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。缺少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。
第4章 安全整改方案
4.1 等级差距分析服务
等级差距评估首先根据系统的安全等级选择和确定系统基本安全要求指标,然后按照安全指标评估系统安全现状,找出系统现状与安全指标之间的差距,并通过风险评估方法根据承载业务的安全特点找出系统的特定需求。
在等级保护工作中,对信息系统的等级评估如果只是简单地套用标准,按标准中描述的相应等级基线的安全技术要求和安全管理要求进行僵化的符合性评估,而不考虑具体信息系统面临的特定的安全威胁和风险,将很难准确评估信息系统的安全状况和与相应等级的差距。
等级差距评估是结合风险评估的方法和理论,围绕着系统所承载的具体业务,通过风险评估的方法评估系统的风险状况,判断系统风险水平是否低于系统可接受的风险水平要求,以及系统的安全措施是否符合相应等级的安全要求两方面条件来判断系统与所定等级的差距。采用的方法有:
人工评估:安排相关人员逐项检查系统的各项配置和运行状态,评估对象应包括各主机的操作系统、网络设备和数据库,给出评估报告。
工具评估:基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描,评估对象应包括主机、网络设备和各种数据库 , 给出评估报告。
渗透测试:可依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,测试对象应涵盖网络中的核心服务器及重要的网络设备,包括服务器、交换机、防火墙等,给出评估报告。
网络架构评估:网络架构评估应涵盖文档方面、网络拓扑方面、运行维护方面、网络管理方面、数据安全方面、安全产品方面、安全控制方面等。
网络数据抽样:利用网络分析设备或工具从网络中抓包分析现有网络的安全情况,分析现有网络的安全风险态势。
4.2 整改加固服务
信息安全管理是改进当前信息系统安全状况的主要保障,不健全的安全管理机制是信息安全最大的薄弱点,也是等级保护的工作重点,相对于安全技术来说,等级保护在安全管理方面所需工作更是任重道远。
但安全管理体系绝不是各类安全管理制度的简单叠加,以系统用户的角度,以保障系统业务正常运行为出发点,将系统的信息安全管理状况与等级保护管理要求进行深入的差距分析,深入分析现有的系统管理体系和信息安全管理制度,从各个方面协助建立与信息系统安全技术和安全运行相适应的完善的符合系统业务特点的信息安全管理体系。
安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节,将针对系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务,而且站在更高的角度,以一个系统建设者的角度,把信息系统安全建设与信息系统建设过程平滑有机地结合起来。
在安全管理体系和安全技术体系改造完成之后,派遣专业工程师到现场,针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
4.3 协助测评服务
在信息系统等级保护基线建设完成后,我们将协助客户依照等级保护测评的实际标准进行预测评,整理测评所需相关文档、资料、记录等,计划预测评的整体符合率达到 80% 以上。在内部预测评合格后,将向测评机构提出测评申请,邀请第三方的测评机构进行测评,配合测评队伍完成现场测评,并保证测评整体符合率达到 60% 以上,从而通过最终的等级测评。帮助客户的相关信息系统通过信息系统安全等级保护的测评,获得测评通过的报告。
4.4 整改方案思路
4.4.1 安全域内部策略
b1 、通过合理的结构设计和网段划分手段实现合理分配、控制网络、操作系统和应用系统资源及路由选择和控制;
b2 、通过网络访问控制手段实现网络、系统和应用的访问的严格控制及数据、文件或其他资源的访问的严格控制;
b3 、通过拨号访问控制手段实现对数据、文件或其他资源的访问进行严格控制。
b4 、通过网络安全审计手段实现记录用户操作行为和分析记录;以及对资源访问的行为进行记录、集中分析并响应;
b5 、通过边界完整性检查手段实现检测非法接入设备及检测网络边界完整性;并能切断非法连接;
b6 、通过网络入侵防范手段实现检测、集中分析、响应、阻止对网络和所有主机的各种攻击;
b7 、通过恶意代码防范手段实现发现并修补已知漏洞;对恶意代码的检测、集中分析、阻止和清除及防止恶意代码在网络中的扩散;对恶意代码库和搜索引擎及时更新并防止未授权下载、拷贝软件或者文件;
b8 、通过网络设备防护手段实现对网络、系统和应用的严格访问控制及对用户进行唯一标识;同时对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别;另外对硬件设备进行唯一标识和合法身份确定;并在持续非活动状态一段时间后自动切断连接。
4.4.2 安全域边界策略
通过网络访问控制手段实现网络、系统和应用的访问的严格控制;
数据、文件或其他资源的访问的严格控制;
通过拨号访问控制手段实现对数据、文件或其他资源的访问进行严格控制;
通过边界完整性检查手段实现检测非法接入设备;
检测网络边界完整性;
切断非法连接;
4.4.3 安全域互联策略
不同安全等级的安全域之间可以根据业务需要进行互联。互联问题的本质就是互联系统间的边界安全问题。不同安全等级互联,要根据系统业务和安全需求,制定相应的多级安全策略,主要包括访问控制策略和数据交换策略等,采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。
不同安全等级的安全域互联主要有以下几种情况:
位于同一业务单位域内共享网络平台的系统互联
位于同一业务单位域内不同安全等级网络平台的系统互联
位于不同业务单位域内的系统互联
需要说明的是:相同安全等级的系统互联,也应根据系统业务和安全需求,制定相应的系统互联安全策略,采取相应的安全保护措施。
信息系统安全等级不是指涉密信息的保密等级,处理涉密信息的涉密系统,要根据国家有关法规和标准建设和运行。如下图所示,不同安全等级的非涉密系统之间的数据交换应满足以下安全策略要求:
不同安全等级系统的非敏感数据,可在高等级和低等级之间相互传输,可以根据需要,制定具体的数据交换安全策略
低等级系统的敏感数据可以向高等级系统传输,但应根据需要,制定具体的数据交换安全策略
高等级系统的敏感数据不能向低等级系统传输
第5章 安全运维方案
5.1 定期安全巡检
为客户定期进行安全巡检,包括安全设备巡检、策略巡检和安全事件分析总结等。
安全巡检服务主要对生产环境以及环境内的防火墙、路由器、交换机、防病毒系统、桌面管理等安全系统的进行定期巡检工作,发现是否存在安全隐患和可疑事件,运行是否正常。巡检内容包括但不限于设备的运行状态、策略、配置、日志分析等。
1.日志获取 :巡检人员在现场获取业务支持系统中的安全设备、监控工具等的相关信息,并统一存储在安全信息库中。
2.事件确认 :监控工具或安全设备报告的事件中有些是误报有些是有威胁的攻击,需要考虑网络环境、安全防护措施、操作系统、系统补丁、应用情况等情况。这样经过巡检人员及时分析确认的事件才有实际意义,可以用来触发事件响应,包括应急支持等。
3.专家分析 :信息安全专家对数据挖掘专家的日志做进一步的分析,从中发现可疑的行为和事件,并判断这种行为对系统可能造成的影响以及影响的程度;分析可疑的节点行为,评估其对整个业务支持系统造成的影响,并建立特殊的黑名单机制,对其做进一步的监控;对需要响应的疑点、病毒事件或安全事件及时通告的紧急事件响应小组。
安全巡检报告是为 XX 企业客户深刻了解自身业务支持系统安全状况的一种有效形式,它主要涉及了如下的内容:
1.主体事件统计:明确了在 XX 企业客户业务支持系统中的主要事件,有助于 XX 企业客户了解其网络资源的利用效能。
2.病毒与安全危险 :记录了业务支持系统中曾经出现过的病毒或者安全危险,记录了病毒或者安全事件的来源与目标,病毒感染范围、削除时限。有助于 XX 企业客户了解在其业务支持系统中各个终端的病毒感染、安全事件状况以及存在的内部与外部的安全隐患。
3.特殊事件分析:对于可疑安全事件进行深层次的分析,判断其可能造成的伤害和影响,并提供对这些事件的处理建议。
4.系统安全建议:根据分析的结果,对业务支持系统设备提出包括零入侵攻击保障时段时长频度,重点保护日期、时段及要求在内的合理化建议。
5.2 定期安全检查
每季度对服务器、网络设备、数据库、应用系统等进行一次全面的系统漏洞扫描和安全配置检查,清晰定性安全风险,给出修复建议和预防措施,并进行跟踪处理;每季度对外网网站进行渗透测试服务,挖掘应用风险漏洞,避免网站被篡改和控制。
5.3 新业务上线检查
在自主开发业务系统或委托开发业务系统时,更多的是从业务功能实现方面对业务系统进行验收,缺乏相应的技术手段和能力对交付的业务系统的安全状况进行检验。如果业务系统在上线后由于存在类似 SQL 注入、密码明文传输、安全功能缺失等漏洞而遭受攻击,会直接影响正常业务运行,甚至造成经济和名誉的损失,再加上有些漏洞涉及代码改写,考虑到业务连续性的要求,这些漏洞几乎无法得到修复。
5.4 应急响应服务
目前许多 XX 企业客户自身尚没有足够的资源和能力对安全事故做出反应,甚至在当今的信息社会,更多的组织还没有准备面对信息安全问题的挑战。网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务,所以当紧急安全问题发生,一般技术人员又无法迅速解决的时候,及时发现问题、解决问题就必须依靠紧急响应来实现。
一方面是事先的充分准备。这方面在管理上包括安全培训、制订安全政策和应急预案以及风险分析等,技术上则要增加系统安全性,如备份、打补丁了,升级系统与软件,有条件的可以安装防火墙,入侵检测工具( IDS )和杀毒工具等。
另一方面事件发生后的采取的抑制、根除和恢复等措施。其目的在于尽可能的减少损失或尽快恢复正常运行。如收集系统特征,检测病毒、后门等恶意代码,隔离、限制或关闭网络服务,系统恢复,反击,跟踪总结等活动。
以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失。其次,事后的响应可能发现事前计划的不足,吸取教训。从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
第6章 方案总结
本安全实践方案具有以下特点:
1 、体现了分级防护的思想。本方案根据 3 级信息系统的基本要求和安全目标,提出了具体的安全等级保护的设计和实施办法,明确 3 级信息系统的主要防护策略和防护重点。
2 、体现了框架指导的思想。本方案将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型,利于在众多安全因素中理清等级保护的主线。
3 、体现了分域防护的思想。本方案根据信息系统的访问控制要求,针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略,实现安全域之间的访问控制;在不同的安全域内实施不同级别的安全保护策略;针对不同等级的安全域之间的互联也要实现相应的保护。
4 、体现了深度防御的思想。本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下, 综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。
5 、体现了多角度对应的思想。本方案从威胁出发引出保护基本需求,从基本要求引出安全策略和目标,在需求分析和安全策略之间分层相互对应;在总体策略里提出各层面的总体保护要求,在具体策略里提出各层面的具体保护要求,各层相互对应;在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。
6 、体现了动态发展的思想。本方案在满足信息系统目前 基本的、必须的安全需求的基础上,要求随着应用和网络安全技术的发展,不断调整安全策略,应对不断变化的网络安全环境。