XX政府等保建设规划_20150309

XX政府等保建设规划方案启明星辰目录启明星辰公司简介基于等保的建设方案综述XX政府安全建设子项分述安全设备配置清单启明星辰【企业愿景】启明星辰公司成立于1996年，是由留美博士严望佳女士创建的拥有完全自主知识产权的网络安全高科技企业。是国内最具实力的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。【简介】【愿景】提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，成为中国最具主导地位的企业级网络安全供应商，稳步迈入国际网络安全领导企业行列。接受两代领导人接见与首肯江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司胡锦涛总书记亲切接见启明星辰公司CEO严望佳博士国内唯一我们接受过两任国家最高领导人的亲切接见专业的技术支撑团队成立积极防御实验室ADLAB1999建立博士后工作站20002002成立安全专家团服务高端客户2006联合网络设备厂商涉足高端硬件2007建立专业终端安全研究团队受邀加入微软MAPP2011整合网域星云资源，进一步扩充专业队伍2009成立核心技术研究院2010建立以客户需求为导向的产品管理团队2012扩大安全关注范围，涉及应用安全技术研究能力领先启明星辰公司专利日志管理1模式匹配15漏洞攻击1ddos3网络攻击2拓扑发现2恶意代码11P2P8垃圾邮件1风险评估5木马1聚类1蠕虫2入侵检测27SQL注入4病毒检测3XSS4云计算12协议解析13垃圾邮件2异常流量3Web安全10关联分析3漏洞扫描3爬虫2TM标准制定•参与了IDS、IPS、UTM、审计类安全产品的国家标准制定•参与了国家信息安全等级保护标准制定•受聘国家信息安全等级保护安全建设指导专家委员会•......发现的CVE漏洞占亚洲2/3国家漏洞库占60%以上LMDRHZAHIDS、SOC、审计等产品市场占有率第一139项公开专利超过同类厂商专利数总和国家及行业标准制定目录启明星辰公司简介基于等保的建设方案综述XX政府安全建设子项分述安全设备配置清单公安部及省厅等保建设文件•《关于信息安全等级保护工作的实施意见（公通字[2004]66号）》•《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)》•《关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）》•《信息安全等级保护管理办法（公通字[2007]43号)》•《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）》•《信息安全等级保护备案实施细则（公信安[2007]1360号）》3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象第一步进行系统定级业务信息安全或系统服务安全被破坏时受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级XX政府等级保护定级建议原则上，政府行业信息安全保护等级不超三级，以下重要信息系统保护等级不低于第三级：（1）跨省全国联网运行的信息系统；（2）省级应用系统和数据中心；（3）内网的核心业务信息系统；（4）其他经过信息安全技术专家委员会评定为三级的系统。序号信息系统类别说明1网站2面向内部管理的信息系统如：协同办公、政府资源管理等3面向公众服务的信息系统4基础支撑系统如：信息平台、机房、基础网络等序号信息系统类别建议定级1网站三级2面向内部管理的信息系统三级3面向公众服务的信息系统三级4基础支撑系统三级系统分类系统分级第二步：评估并确定防护强度等级差距评估/预测评工具扫描评估物理弱点评估组织体系安全评估业务流程安全评估渗透测试主机系统弱点评估管理运维安全评估网络配置弱点评估应用系统弱点评估代码分析调查问卷与人工访谈分等级的技术措施整合技术要求分等级的管理措施整合管理要求数据弱点评估等级保护管理要求等级保护技术要求依据等级保护测评结果，结合现状和需求，提出体系设计要求根据体系设计要求，以ISO27001和安全域理论基础制定安全整改方案，落实建设方案安全整改实施以安全域为基础进行技术体系建设以ISO27001标准进行管理体系设计第三步：规划设计方案安全策略管理制度操作规程边界接入域网络基础设施域支撑性设施域（网络管理和安全管理）计算环境域第四步进行实施整改安全管理运行中心等级保护技术体系安全组织设置和岗位职责安全教育、培训与资质认证安全策略体系设计安全策略与流程推广实施策略体系项目建设的安全管理安全风险管理与控制保护对象框架内部与第三方人员安全管理日常安全运行与维护安全体系推广与落实全程全网监控和审计平台统一监控与审计管理终端管理和防病毒集中管理平台安全域和网络访问控制终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台设备安全配置与加固网络及主机安全第三方统一安全接入平台应用加密第三方统一安全接入平台统一鉴别认证平台数据备份与冗灾统一身份认证与授权管理应用系统安全增强应用及数据安全等级保护管理体系运作体系组织体系建成后的等级保护体系第五步进行等级测评带病运行某级信息系统基本保护标准《定级指南》GB/T22240-2008标准《基本要求》GB/T22239-2008第二次测评(符合性测评)达到基本的安全保护风险分析定级整改存在缺陷项第一次测评(现状测评)测评合格测评第三次测评(监督性测评)目录启明星辰公司简介基于等保的建设方案综述XX政府网络安全建设子项分述安全设备配置清单信息系统安全等级保护物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理技术要求管理要求基本要求网络安全-结构安全•基本要求：根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段（G2）避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段（G3）安全域划分步骤调研和访谈业务分析网络结构分析业务描述网络描述综合分析威胁分析安全域划分边界整合安全域部署方案业务单元划分网络结构现状了解现状综合分析安全域规划XX政府内网信息网络安全域划分XX政府外网网络安全域规划2020/4/14网络安全-访问控制•基本要求：应在网络边界部署访问控制设备，启用访问控制功能（G2）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级（G2）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制（G3）网络安全-访问控制（内网）防火墙防火墙防火墙防火墙网络安全-访问控制（外网）防火墙WAF网络安全-访问控制•按安全域划分的区域边界、业务流关系落实访问控制措施•在网络层进行访问控制需部署防火墙：端口级的控制粒度建立用户与系统之间的访问规则网络流量、网络连接数控制•在外网互联网接入区域部署防火墙，对互联网和外网实现有效隔离：•外网服务器区部署WAF，对网站做应用层访问控制；部署需求同内网注：防火墙需过业务流分析，使用ANY-ANY，是不符合等保要求的！网络安全-安全审计•基本要求：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录（G2）；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息（G2）；应能够根据记录数据进行分析，并生成审计报表（G3）；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等（G3）。网络安全-安全审计（内网）运维审计安管平台2020/4/14网络安全-安全审计（外网）上网行为管理网络安全-安全审计•在内网安全管理区部署运维审计系统：实现信息系统的运维权限管理实现运维行为细粒度审计日志存储、报表分析•在内网安全管理区部署安全管理平台：日志统一格式存储、监控对设备状态、安全审计等事项集中管理安全事件及时响应•在外网互联网出口区部署上网行为管理：规范各种互联网行为对虽有上网行为做全面审计规避法律风险网络安全-入侵防范•基本要求：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等（G2）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警（G3）•面对越来越广泛的基于应用层内容的攻击行为，需要采用入侵检测系统和入侵防御系统，及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。2020/4/14网络安全-入侵防范（内网）IPSIPSIDS2020/4/14网络安全-入侵防范（外网）IPS网络安全-入侵防范•入侵检测系统采用旁路的形式部署在网络中；能够监视计算机系统或网络中发生的事件，寻找网络入侵行为；提供告警、全网检测；•入侵防御系统串接部署、高危区域优先考虑；入侵行为进行检测，并能够阻断来自外部的数据攻击以及垃圾数据流的泛滥；网络安全-边界完整性检查•基本要求：应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断（S3）——外来终端接入内网管理应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断（S3）——内部终端接入外部网络管理2020/4/14网络安全-边界完整性检查终端准入网络安全-边界完整性检查合法终端非法终端天珣Server是否更新病毒库是否安装客户端是否通过身份认证是否安装补丁弹出修复向导正常访问状态不合规状态合规2、监视非法外联行为发生，并进行控制1、网络准入控制，确保合法终端接入网络安全-恶意代码防范•基本要求：应在网络边界处对恶意代码进行检测和清除。（G3）应维护恶意代码库的升级和检测系统的更新。（G3）•省政府信息系统连接外部网络的边界部署防病毒网关，在最接近病毒发生源安全边界处进行集中防护。2020/4/14网络安全-恶意代码防范防病毒网关防病毒网关UTMUTM信息系统安全等级保护物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理技术要求管理要求基本要求主机安全-入侵防范•基本要求应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警（G3）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新（G2）主机安全-入侵防范•入侵检测系统可以起到防范针对主机的入侵行为；•采用漏洞扫描系统对业务系统主机进行安全性检测；•针对业务系统主机，可通过对操作系统人工加固的方式，来提升服务器的抗攻击能力，保障服务器的安全性：身份认证加固访问控制加固资源限制措施服务器抗攻击加固数据库安全加固2020/4/14主机安全-入侵防范漏洞扫描服务器加固主机安全-安全审计•基本要求审计范围应覆盖到服务器和重要客户端（G3）上的每个操作系统用户和数据库用户（G2）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件（G2）应能够根据记录数据进行分析，并生成审计报表（G3）主机安全-安全审计•运维审计系统可以满足服务器安全审计的要求；•终端安全管理系统可以对重要客户端进行审计；进程系统补丁病毒库注册表保护软件Windows本地安全策略密码强度策略更多……资产审计文件审计移动存储审计……主机安全-恶意代码防范•基本要求：应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库（G2）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库（G3）应