项目安全保障体系建设方案目录第一部分系统建设方案 (2)1 项目概述 (2)1.1 项目背景 (2)1.2 建设单位概况 (2)1.3 建设目标 (2)2 项目建设依据 (2)3 安全保障体系建设方案 (3)3.1 安全保障体系总体设计 (3)3.2 安全保障技术设计 (4)3.3 安全管理设计 (10)3.4 安全服务设计 (15)第一部分系统建设方案1 项目概述1.1 项目背景1.2 建设单位概况1.3 建设目标2 项目建设依据中心城区非生活用水户远程监控系统(一期)建设依据的相关标准规范包括:《国家电子政务标准化体系》《电子政务工程技术指南》(国信办[2003]2 )《关于我国电子政务建设的指导意见(即17 号文件)》《信息资源规划—信息化建设基础工程》《关于加强信息资源开发利用工作的若干意见》(中办发[2004]34 号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27 号)《电子政务信息安全等级保护实施指南》(国信办[2005]25 号)《信息系统安全等级保护基本要求》(GB/T 22239—2008)《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)《信息安全等级保护管理办法》(公通字[2007]43 号)《电子政务业务流程设计方法通用规范》(GB/T 19487-2004)《计算机软件需求说明编制指南》(GB/T 9385-2008)《计算机软件文档编制规范》(GB/T 8567-2006)《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)《信息技术安全技术信息技术安全性评估准则》(GB/T 18336-2001)《GB/T 9385-2008 计算机软件需求规格说明规范》《计算机软件需求说明编制指南》(GB9385-1988)《功能建模方法IDEF0》(IEEE 1320.1-1998)《信息建模方法》(IEEE 1320.2-1998)《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》(国保发[1998]1 号)《计算机软件产品开发文件编制指南》(GB/T 8567-1988)《计算机信息系统安全保护等级划分准则》(GB/T 17859-1999)《涉及国家秘密的计算机信息系统安全保密方案设计指南》(BMZ2-2001)《信息技术开放系统互联高层安全模型》(GB/T 17965-2000)《信息技术开放系统互联基本参考模型》(GB/T 9387)《信息技术开放系统互联应用层结构》(GB/T 17176-1997)《信息技术开放系统互联开放系统安全框架》(GB/T 18794)《信息技术开放系统互联通用高层安全》(GB/T 18237)《数据元和交换格式信息交换日期和时间表示法》ISO 8601—1988《电子政务数据元》《计算机软件需求说明编制指南》(GB/T 9385-1988)《计算机软件产品开发文件编制指南》《GB/T 8567-1988》。
3 安全保障体系建设方案3.1 安全保障体系总体设计安全保障体系设计如下图所示:图 3.1-1 安全体系设计示意图上图中的安全体系设计需要依托电子政务云计算中心的信息化安全保障体系来建设。
本项目需要建设的内容主要涉及到本项目相关的网络安全、主机系统安全、应用安全、数据安全及备份恢复等内容。
3.2 安全保障技术设计网络安全网络安全设计应分析非生活用户远程监控系统局域网网内、网络边界以及广域网络间面临的安全风险,从优化局域网网络结构、提高网络边界抗攻击能力、保障网络边界完整、保障网络间传输安全以及全面提升网络的可审计能力3.2.1等多方面,全方位整体设计,力求构筑非生活用户远程监控系统安全可靠的网络平台。
3.2.1.1 网络结构安全局域网网络结构可以采用三层的网络拓扑设计:即接入层、汇聚层、核心层。
关键核心网络设备根据需要进行冗余备份及负载均衡设计。
根据机构业务的特点,在满足业务高峰期需要的基础上,进行网络带宽管理及流量控制。
局域网根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的安全域。
安全域通过可以划分VLAN 的方式或通过部署防火墙等安全设备的方式隔离不同安全区域。
安全域需要保证边界清晰,并设置合理的域间安全控制策略及措施。
3.2.1.2 网络边界的抗攻击网络边界抗攻击防护设计的思想是部署防火墙、网络病毒防护等边界防护产品,并统一对各产品集中管理。
使产品优势互补,集中联动,最大限度的实现提高网络边界的抗非法攻击能力。
防火墙用来防止来自外部的网络非法接入和访问。
它根据系统管理员设定的安全规则把守网络,提供强大的访问控制、入侵防御等功能。
防火墙可以根据需要部署在网络出口处。
并根据需要做备份及负载均衡设置。
天融信 NGFW4000 防火墙具备入侵检测功能。
入侵检测是一种在网络上自动、实时的入侵检测和响应系统,它能够实时监控网络传输情况,自动检测可疑行为,分析来自网络外部和内部的入侵信号,在网络受到危害前发出警告,最大程度地为网络提供安全保障。
发现非法行为并报警的同时,防火墙进行及时阻断。
3.2.1.3 网络传输加密对于市级应急信息平台、区县应急信息平台和乡镇应急信息平台需要通过专线方式接入市政务外网与其他外部网络互连。
由于传输的数据可能属于涉密工作秘密的敏感信息,而公共网络平台的开放性会造成系统泄密或被恶意存在的风险,因此需要做加密保护。
网络传输加密设计可以有两种实现方式:适用于实现局域网间传输加密的IPSEC VPN 和适用于移动单机与局域网间传输加密的SSL VPN。
使用 VPN 技术构建传输加密通道通常使用 IPSEC VPN 或者 SSL VPN 技术。
SSL VPN 技术比 IPSEC VPN 方式更为灵活,管理简单,适合非生活用户远程监控系统的网络环境。
SSL VPN 功能优势:⏹SSL VPN 不需要安装客户端软件。
远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。
这就易于安装和配置,明显降低成本⏹只要安装好SSL VPN,后需的专业服务需求较少,所以维护成本可以忽略不计。
⏹SSL VPN 可以在任何地点,利用任何设备,连接到相应的网络资源上。
SSL VPN 通信运行在TCP/ UDP 协议上,具有穿越防火墙和NAT 的能力。
这种能力使SSL VPN 能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。
IPSec VPN 通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP 地址冲突等困难。
⏹良好的安全性:SSL VPN 使用SSL 代理为上层应用提供服务,只向用户提供针对授权资源的代理连接,远程用户不会直接连接到网络上,因而不会威胁到其他网络资源,提供更高的安全性。
⏹SSL VPN 还具有精细的访问控制能力,可以为不同的用户提供不同的访问权限。
这种精确的访问控制功能是IPSec VPN 通常所不具有的。
主机系统安全3.2.23.2.2.1 病毒防护非生活用户远程监控系统需要构建整体的病毒防护系统。
包括服务器及终端的病毒防护、邮件及其他应用系统的病毒防护等。
防病毒软件的功能是否强大除了体现在查毒和杀毒功能外,还体现在病毒库的升级速度上。
因此,防病毒系统必须具有快速统一的升级能力。
同时,为了保证系统整体的安全性,防病毒系统必须建立统一的升级机制,以进行全系统的升级。
3.2.2.2 补丁升级操作系统以及数据库的补丁系统需要定期更新升级以减少安全漏洞。
补丁的升级较为频繁,需要构建自动的补丁升级系统和策略。
补丁程序的更新升级频率可以视情况而定,如政务外网可以定为至少一天一次。
3.2.2.3 操作系统及数据库安全3.2.2.3.1 操作系统安全及时安装升级操作系统补丁,定期进行漏洞扫描;充分利用网络监控与审计功能,对操作系统的漏洞所带来的安全隐患问题进行监控。
重要服务器和安全保密设备尽可能采用经国家相关主管部门认可的安全操作系统,并对其采取安全加固措施。
处理核心业务及涉密信息的应用终端要使用C2 级或C2 以上安全级别的操作系统产品,并进行安全配置。
使用基于主机的入侵检测系统、病毒和恶意代码检查系统对核心重要的服务器主机进行保护。
3.2.2.3.2 数据库安全数据库内存在大量敏感数据,需要做重点保护。
选用经国家相关主管部门批准使用的安全数据库,或采用安全技术措施(如安全中间件)对数据库在数据存储与访问的保密性、完整性和可用性方面进行安全增强改造。
数据库系统都需要及时安装最新补丁,定期进行漏洞扫描,发现漏洞及时处理。
同时,还可以使用基于主机的入侵检测系统对数据库进行保护。
数据库对于系统可靠性有极高要求,需要具备高效的备份容灾及恢复机制。
3.2.3 应用安全3.2.3.1 统一用户管理非生活用户远程监控系统中存在多个应用子系统,每个应用系统都具备用户管理功能。
从系统运行维护角度来看,如果不同应用系统的身份管理部分均相互独立,则对于一个相同用户的管理,需要管理员对多套系统进行类似的输入、编辑及配置,不仅工作重复复杂,而且一旦出错就可能导致各个系统中相同用户信息不一致,加大系统管理与维护难度。
因此在本项目中采用统一的用户管理机制。
3.2.3.2 分级授权管理作为三级应急管理应用体系,系统中包含了市级、区县和乡镇的重要政务信息资源,必须避免出现越权访问而导致信息泄露或非法访问,因此需要统一身份认证的基础上,实行严格授权管理与访问控制,为不同的部门和用户精确定义各自的资源访问权限,从而提供责权分明的资源保护机制,真正实现“各职其责,杜绝越权”。
即要做到既不影响用户对合法资源的访问,又能防止用户越权访问其它重要系统资源,防止用户危害整个系统安全,同时做到“谁的资源谁管理、谁的资源谁授权”。
3.2.3.3 安全单点登录、信息同步信息系统涉及到全市多个委办局的应用系统,同时在平台内部构成中,也包含了多套应用子系统。
为防止在多应用环境下,所导致最终用户在使用性上的不方便,进而影响对整个平台推广使用,因此在可信身份认证的前提下,还需要进一步实现单点登录功能,即用户完成一次系统登录认证后,即可以访问许可范围之内的应用系统,从而减少用户的操作复杂,提高办公效率。
3.2.3.4 统一规范用户标识应急指挥系统需要实现统一入口、统一认证、单点登录和统一访问控制的目标,实现这一目标的基础是需建立起统一命名规则的认证管理规范,包括用户标识、角色标识、机构标识等,简化和降低各实体的命名工作,减少命名重复的几率,方便工作人员记忆和使用,方便信息系统的开发和管理,方便各个信息系统之间用户信息共享与交换。
3.2.3.5 安全审计统一认证管理系统提供了完善的安全审计功能,对系统操作日志、用户操作日志进行详尽审计,提供日志管理、日志策略设置功能。