H3C安全等级保护方案V10-20151124

H3C安全等级保护方案汇报H3C安全产品部2015年11月目录等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》（公字【2007】43号文），在全社会范围内（包括国家单位、企业单位、行业等）推行“信息安全等级保护”政策。推行“信息安全等级保护”政策意义：（一）在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平。（二）调动国家、法人、其他组织、公民安全防护积极性。通俗理解为——“谁主管、谁负责、谁运营、谁负责”“管好自己的一亩三分地，保家卫国”信息安全等级保护背景指导监管部门：国家等保工作开展、推进、指导。技术支撑部门：国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构信息安全等级保护管理组织等级保护指导政策《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）《信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全等级保护管理办法》（公通字〔2007〕43号）等级保护工作标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008《信息安全技术信息系统安全等级保护测评要求》MSTL-JBZ-05-005《信息安全技术信息系统安全等级保护测评过程指南》GB/T28449-2012信息安全等级保护国家标准1级自主保护监督保护强制保护专控保护2级3级4级5级依据国家管理规范和技术标准进行保护在国家监管部门指导下保护受到国家监管部门监督、检查下保护受到国家安全监管部门强制监督、检查下保护国家指定专门部门专门监督、检查下保护指导保护信息安全等级划分监管要求用户自主控制资源访问第一级用户自主保护重要敏感信息进行标记访问控制，通过标记实现强制访问控制第三级安全标记保护主体和客体之间细粒度访问控制，建立可信隐蔽通道，可信计算结构化。第四级结构化保护所有过程都需要进行验证。第五级访问验证保护第二级系统审计保护用户访问行为需要被审计信息安全等级保护级别根据业务信息和系统服务遭到破坏或泄密后，对国家安全、社会秩序、公共利及公民、法人、其他组织的合法利益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统定级安全保护能力技术措施管理措施包含具备基本安全要求满足包含满足实现等级保护要求模型《基本要求》的描述模型等级保护的建设模型每一等级信息系统等级保护的生命周期信息系统等级保护实施生命周期内的主要活动等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控事件处置和应急预案安全评估和持续改进监督检查系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化定级阶段规划设计阶段安全实施阶段安全运行管理阶段物理安全技术要求管理要求系统安全防护要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理通过安全产品可防护的领域安全产品协助防护信息系统安全保护技术现状分析开展建设整改技术方案详细设计等级测评开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施信息系统安全技术建设整改工作流程不符合标准要求工程实施及验收目录等级保护概述等级保护条款解读及应对策略H3C等级保护解决方案H3C等级保护安全产品简介H3C安全等保保护实践网络安全解读网络安全结构安全访问控制安全审计边界安全检查入侵防范恶意代码防范设备防护要点：主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署要点：端口控制、防地址欺骗协议过滤、会话控制最大流量数及最大连接数要点：审计记录审计报表审计记录的保护要点：非授权设备接入非授权网络联出要点：记录、报警、阻断要点：记录、报警、阻断要点：组合鉴别技术特权用户权限分离在云计算环境中，除以上必要的保护措施外，还需考虑云使用者利用云资源发起的网络攻击、云租户之间的隔离以及云租户与云服务商的审计独立网络安全解读-115分类基本要求说明及技术方案H3C产品部署网络安全结构安全（G3）a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；主要设备、部件冗余方案及网络设备保证b)应保证网络各个部分的带宽满足业务高峰期需要；带宽预留方案及网络设备保证c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；策略路由、静态路由、动态路由协议认证方案及网络设备保证d)应绘制与当前运行情况相符的网络拓扑结构图；根据实际情况绘制、更新拓扑图（纸质或管理软件生成）管理软件保证e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；合理划分网段整体方案保证f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；防火墙策略H3CSecPath下一代防火墙g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。辅助防火墙设备部署QOS策略H3CSecPath下一代防火墙网络安全解读-216分类基本要求说明及技术方案H3C产品部署网络安全访问控制（G3）a)应在网络边界部署访问控制设备，启用访问控制功能；防火墙做边界访问控制H3CSecPath下一代防火墙b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；防火墙策略H3CSecPath下一代防火墙c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；IPS实现4-7层协议安全控制H3CSecpathIPSd)应在会话处于非活跃一定时间或会话结束后终止网络连接；防火墙会话老化，设置会话超时时间H3CSecPath下一代防火墙e)应限制网络最大流量数及网络连接数；防火墙策略H3CSecPath下一代防火墙f)重要网段应采取技术手段防止地址欺骗；ip、mac绑定防火墙、交换机组合方案保证g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；第一层次基于IP的访问控制，基本防火墙能力第二层次基于用户身份的访问控制，下一代防火墙支持，配合AAA系统使用H3CSecPath下一代防火墙h)应限制具有拨号访问权限的用户数量。拨号接入设备控制（可能包括PPTP等VPN方式）H3CSecPath下一代防火墙网络安全解读-317分类基本要求说明及技术方案H3C产品部署网络安全安全审计（G3）a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；技术点解析：审计网络设备操作记录，提供有效展示，并确保日志安全存储。应对方案：通过流量分析系统、运维管理系统配合实现H3C综合日志审计系统、堡垒机、iMCb)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。边界完整性检查（S3）a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；接入认证、IP/MAC绑定H3CEADb)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。防私接H3CEAD网络安全解读-418分类基本要求说明及技术方案H3C产品部署网络安全入侵防范（G3）a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；攻击检测和防御H3CSecPathIPS系列、H3CSSM安管平台b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范（G3）a)应在网络边界处对恶意代码进行检测和清除；攻击、病毒检测和防御H3CSecPathIPS系列b)应维护恶意代码库的升级和检测系统的更新。定期升级特征库网络安全解读-519分类基本要求说明及技术方案H3C产品部署网络安全网络设备防护（G3）a)应对登录网络设备的用户进行身份鉴别；网络运维人员身份管理网络设备安全策略控制设定+H3C堡垒机辅助b)应对网络设备的管理员登录地址进行限制；ACL、安全策略c)网络设备用户的标识应唯一；堡垒机做双因素认证d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；堡垒机做双因素认证e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；设置复杂口令f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；设置策略控制非法登录次数和超时退出g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；远程管理使用加密协议，如SSHh)应实现设备特权用户的权限分离。设备上设置用户权限主机安全解读主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制要点：组合鉴别技术要点：管理用户权限分离敏感标记的设置要点：审计记录审计报表审计记录的保护要点：空间释放信息清除要点：记录、报警、阻断要点：记录、报警、阻断与网络恶意代码库分离要点：监控重要服务器最小化服务检测告警在云计算环境中，除以上必要的保护措施外，还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施主机安全解读-121分类基本要求说明及技术方案H3C产品部署主机安全身份鉴别（S3）a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统的统一身份鉴别，操作系统和数据库系统用户权限分离，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机辅助b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；设置复杂密码，检测弱口令，堡垒机定期改密，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机、漏扫辅助c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；主机策略设置登录限制，安全配置核查系统定期对服务器尝试登录阈值进行检查，配置服务器检测到超过一定失败次数的登录行为后，锁定该账号，重新启用账号需向管理员提交申请，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机辅助d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；加密管理，对服务器的远程管理采用SSH、SSL等加密协议，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机辅助e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。主机策略，按照不同用户的职责为用户分配不同权限，管理账号不共用，确保用户名唯一，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机辅助f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。静态口令+动态口令/证书/生物识别/短信认证等技术，可由堡垒机辅助实现主机身份鉴别设定+H3C堡垒机辅助主机安全解读-222分类基本要求说明及技术方案H3C产品部署主机安全访问控制（S3）a)应启用访问控制功能，依据安全策略控制用户对资源的访问；由操