网络安全等级保护解决方案 2023-11-20 10:04
为客户提供完整的网络安全等级保护解决方案,以及安全设备的供货,实施,以及售后服务保障。
XXXX系统网络安全等级保护
安全体系建设方案
(通用要求版)
2023-11
奇安信集团
- 版本变更记录
| 时间 |
版本 |
说明 |
修改人 |
| 2019-04-24 |
1.0 |
创建 |
解决方案部 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
网络安全等级保护相关核心标准即将发布,为帮助技术体系售前技术人员更好地了解等级保护方案设计的基本要素,并在等级保护项目过程中更高效地完成等级保护合规方案设计,编制本方案模板。
在使用本方案模板过程中需注意以下:
1、本方案按照新等级保护相关标准进行设计,主要满足《网络安全等级保护基本要求》中的通用要求,不适用含云计算、移动互联、工控、物联网和大数据等应用场景的信息网络。
2、本方案为合规版方案,方案设计的主要思路是为满足等级保护合规要求,针对客户个性化安全需求及超出等级保护合规要求的安全需求不在本方案中体现。
3、本方案不针对特定行业场景,并以新建信息系统的安全需求为例,因此,建议各行业在编制针对本行业特定客户的等级保护方案时,充分结合行业或单位背景和信息安全现状,进行安全现状描述、风险分析、安全需求分析等,并结合实际情况选择安全控制措施;在编制过程中也可根据实际情况对方案结构进行增补和调整。
4、本方案在编制过程中以公司当前产品和安全服务为例进行控制措施描述,在实际方案设计过程中建议根据项目需求补充或更新相关产品及服务的描述。
5、本方案模板为内部资料,仅供内部售前使用,同时,我们不建议直接将模板提供给客户;在使用过程中我们将不断修订和完善,欢迎大家提供宝贵意见。
目录
1. 概述
1.1 建设背景
1、网络安全建设的必要性
当前全球网络安全形势严峻,网络安全面临着各种新的挑战,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。与此同时,伴随我国信息化发展进入新阶段,云计算、大数据、移动办公等新技术新应用已经十分成熟,并大规模应用,新技术是一把双刃剑,在促进信息化发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力出现不足。
为应对网络安全面临的全新形势和挑战,2014年2月,中央网络安全和信息化领导小组成立,习近平总书记作为领导小组组长,指出“没有网络安全就没有国家安全”、“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,确定了国家网络安全和信息化发展的方向。与此同时,我国网络安全制度体系建设和组织机制建设也进入了快车道,随着《中华人民共和国网络安全法》(以下简称《网络安全法》)的正式发布,将网络安全工作提升到法律的高度,各单位在信息化建设过程中,必须同步考虑网络安全建设。
2、等级保护政策背景
网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。自从2007年《信息安全等级保护管理办法》发布以来,在公安部的监管下,我国开始全面推行信息安全等级保护制度,各单位按照等级保护制度的要求开展定级备案、建设整改和等级测评工作,等级保护制度开展对促进我国信息安全的发展起到重要的推动作用。
随着信息化的快速发展,新技术新应用逐渐成为各单位信息化建设的重要基础或重要组成,同时,新的安全威胁层出不穷,原有的安全保障制度体系已经远不能解决信息安全工作面临的新风险新问题。2016年11月7日,《中华人民共和国网络安全法》发布,于2017年6月1日起正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,网络安全法进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。随着《网络安全法》的发布施行,国家网络安全保障制度和标准体系也在逐步完善,2018年6月,由公安部牵头制定的《网络安全等级保护条例》发布征求意见稿,与此同时,等级保护核心系列标准也基本修订完成,此外,针对关键信息基础设施的相关制度和标准也在加紧制定中。
可以说,为适应信息化技术的快速发展和新的信息安全形势,我国网络安全等级保护制度体系已经发生了巨大的变化,同时,也对各单位的信息安全保障工作也提出了新的要求。
3、项目建设背景
XXXX系统是XXXX单位的重要信息系统,是按照XXX规划建设的信息系统,在系统建设过程中,考虑到系统承载业务的重要性和即将面临的安全风险,按照等级保护制度的相关要求,需同步规划安全保障体系,并在系统建设过程中,落实安全保障技术措施和管理措施。
此外,除等级保护要求外,XXXX系统作为XXXX,还需满足XXXX监管部门的相关安全建设要求,包括XXXX,XXXXX。
(根据具体情况编写)
1.2 建设目标
本项目将根据国家网络安全等级保护相关要求,分析XXXX系统的实际安全需求,结合其业务的实际特性,建立符合系统实际安全需求的网络安全保障体系框架,设计安全保障体系方案,综合提升系统的安全保障能力和防护水平,确保系统的安全稳定运行。
本项目以等级标准化为基础,结合当前信息系统安全保障理论的最佳实践,采用新的信息安全保护技术,按照体系化的信息安全防护策略进行的整体规划,同时强化风险应对(监测、预警、处置、溯源等)能力,建设一套完整的“事前有防范、事中有应对、事后有追溯”的安全防御体系,并后续进行配套建设人才培养体系,合理的安全运营管理,实现新形势下安全管理上台阶、安全技术见实效、综合实力有提升的建设成效,形成具有主动防御和协同运营能力的新一代网络安全保障体系,实现信息系统长期安全稳定的运行。
1.3 建设范围
本方案建设范围包括:XXXXX系统的整体网络安全建设。具体内容包括:
1、结合等级保护要求,进行符合项目实际安全需求安全体系的设计,通过针对XXXX系统的安全风险分析,设计符合XXXX系统特点的整体信息安全保障体系;
2、对XXXX系统进行等级保护建设和上线前的整改工作,并在系统建设完成后,协助用户安全体系的建设成果通过国家权威测评机构测评;
3、基于大数据技术的安全监测和态势感知平台的基础安全运营能力建设,以平台为技术支撑,通过流程化、制度化初步构建安全运营体系,通过持续化运营逐步完善安全运营体系;
4、健全和完善XXXX单位网络与信息安全组织队伍,明确责任分工,加强沟通协作,完善网络与信息安全制度体系建设并强化落实,持续改进和优化安全管理体系。
2. XXXX系统建设情况
XXXX系统是按照《XXXXX规范》、《XXXXX数据规范》等国家标准建设的集基础业务、信息共享、数据整合、工作协同为一体的综合办公系统,系统建设分四级部署,以应用集中模式部署,除市级中心外,其他下级节点都是终端接入。
目前,应用系统正处在需求调研和详细设计阶段,属于新建信息系统,按照XX省对XXXX系统安全防护要求和XXXX系统实际承载业务的重要性,拟按照等级保护三级的要求进行安全防护设计。
(根据实际调研情况,可分小节详细描述系统现状,如基础环境、网络情况、服务器及终端情况、应用系统情况、现有安全保障措施、安全管理情况等)
3. 系统安全风险及需求分析
3.1 系统安全风险分析
3.1.1安全技术风险分析
当今,信息化技术快速发展,新技术的应用促使信息化系统的业务服务模式也产生了很大变化,移动办公、虚拟化、大数据、云计算等新兴技术已经成当今信息化建设和提供服务的主要模式,然而,新技术的应用并没有使信息系统更安全,相反,不仅传统的安全威胁依然存在,系统还面临着由于新技术、新服务模式的应用所带来的新的安全风险。
3.1.1.1通用安全风险
1、威胁分析
信息安全风险是资产、威胁和系统脆弱性三个因素共同作用导致的,信息安全风险评估是围绕着资产、威胁、脆弱性和安全措施这些基本要素展开的,在对基本要素的评估过程中,需要充分考虑业务目标、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
信息安全风险分析的原理如图所示。
图 3 1 信息安全风险分析原理图
由三者之间的关系可以得出:
(1)业务目标的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
(2)资产是有价值的,组织的业务目标对资产的依赖程度越高,资产价值就越大;
(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;
(4)资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;
(5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
(6)风险的存在及对风险的认识导出安全需求;
(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
(8)安全措施可抵御威胁,降低风险;
(9)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
(10)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
以下通过威胁主体、来源、途径等多种属性分析XXX系统安全防护对象所面临的安全威胁。
XXXX系统的安全防护对象包括物理环境、通信网络、区域边界、计算环境,具体来说,物理环境包活机房、办公场所;通信网络包括广域网、局域网的通信网络;区域边界包括互联网接入边界、与其他专网的接入边界、局域网内各安全域边界、无线接入边界等;计算环境包括服务器、终端、网络设备、安全设备自身,设备的操作系统、系统软件、中间件、数据库、应用系统及数据等。
安全威胁分析如下:
| 威胁种类 |
威胁来源 |
防护对象 |
威胁描述 |
| 物理环境影响 |
环境因素 |
机房、办公场所、传输网络 |
对信息系统正常运行造成影响的物理环境问题和自然灾害。 |
| 物理攻击 |
恶意人员 |
机房、办公场所 |
通过物理的接触造成对软件、硬件、数据的破坏。 |
| 软硬件故障 |
环境因素 |
机房、办公场所、软硬件自身、 |
对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷造等问题。 |
| 无作为或操作失误 |
非恶意人员 |
机房、软硬件自身、操作系统和系统软件、应用系统、 |
应该执行而没有执行相应的操作,或无意地执行了错误的操作。 |
| 网络攻击 |
恶意人员 |
广域网传输、局域网传输、互联接入边界、其他专网接入边界、操作系统和系统软件、 |
对利用工具和技术通过网络对信息系统进行攻击和入侵。 |
| 篡改 |
恶意人员 |
广域网传输、局域网传输、应用系统、数据 |
非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。 |
| 越权或滥用 |
恶意人员 |
局域网传输、网络架构、互联接入边界、其他专网接入边界、内网安全域边界、操作系统和系统软件、应用系统、数据 |
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。 |
| 恶意代码 |
恶意人员 |
操作系统和系统软件、 |
故意在计算机系统上执行恶意任务的程序代码 |
| 抵赖 |
恶意人员 |
局域网传输、互联接入边界、其他专网接入边界、内网安全域边界、应用系统、数据 |
不承认收到的信息和所作的操作和交易 |
| 身份假冒 |
恶意人员 |
互联网接入边界、其他专网接入边界、应用系统 |
伪造或盗取合法人员身份进行非法访问信息资源。 |
| 泄密 |
恶意人员 |
数据 |
信息泄露给不应了解的他人 |
| 管理不到位 |
非恶意人员 |
全部 |
安全管理无法落实或不到位,从而破坏信息系统正常有序运行。 |
2、脆弱性分析
脆弱性分析是在充分评估现有资产及现有安全措施的基础上进行的,对资产和脆弱性的识别需要对信息系统进行深入的调研分析,并采用专业的技术工具进行系统脆弱性检测评估,对于已经运行的信息系统,需要在安全评估的基础上,对照等级保护要求进行详细的差距分析,并结合系统实际面临的安全威胁,得出针对特定系统的安全风险。
(本部分需要结合用户系统实际情况进行分析,根据项目情况也可简化描述)
3、通用安全风险
对于采用传统网络架构的信息系统来说,随着国家实施“互联网+”战略、电子政务、电子商务、互联网金融等互联网应用日新月异,传统的网络架构也发生了巨大变化,信息系统更加开放,面向更多的公众提供服务,接入网络更加复杂,终端分布范围更广且多样化,攻击者技术和手段不断提高,传统的安全架构和防护手段已经远不能应对新的安全风险,这些风险主要体现在:
(1)信息技术的快速发展使得安全边界不断扩大,传统安全架构面临挑战。
传统信息系统网络架构中,局域网是单位办公的主要方式,信息系统的重要服务器和内部终端均部署在局域网内,对外互联的出口往往可控且较少,随着信息化的快速发展,终端范围不断扩大,传统意义上的安全边界已经不断外延,且政务、金融、企业对外服务及信息交互已经成为基本需求,系统对外的暴露面不断增加,可被恶意人员利用攻击内部系统的途径也不断增加,传统的以防为主的安全架构受到了极大挑战,安全防御手段也明显不足,需要重新分析当前信息系统的架构,评估安全措施的有效性,实施积极防御为主导思想的新的安全架构。
(2)局部分散的防护措施无法应对更加多样化的攻击手段,安全需具备体系化建设思想。
信息系统是一个有机的整体,需要系统的、整体的安全保障体系,且“木桶的最大容积取决于最短的一块木板”,任何信息安全的短板都将成攻击者的主要目标,安全防护的重要目标就是提高整个系统的“安全最低点”的安全保障能力,安全防护措施必须是有机的整体,是多层次纵深的防御体系,这样才能有效的避免和弥补安全短板。而企业在信息安全建设过程中往往为满足合规要求而堆砌安全产品,无法系统地、整体地规划安全体系,造成防护措施分散、无序,安全策略配置不到位、重复建设严重但安全短板依然存在,针对当前多样化的攻击手段,暴露出许多高风险点,需要进行整体的安全体系规划。
(3)攻击防不胜防,安全监测、预警、响应能力成为关键
“没有攻不破的网络,没有绝的信息安全”,这是信息安全业的普遍共识,随着攻击技术的提升,攻击者的团伙化,攻击技术的复杂化、攻击背景的国家化,使得攻击防不胜防,安全保障体系的最大作用已经成为提高攻击者的攻击成本,减少信息安全风险带来的损失,单位也越来越意识到信息安全事件的发生是无法完全避免的,更加关注如何发现和快速处置信息安全事件,及时止损,降低影响。因此,安全监测、预警和响应能力成为主动防御的关键,也是新等级保护的核心思想。
(4)国家层面网络对抗不断升级,面临更严格的安全监管要求。
“没有网络安全就没有国家安全”,国家层面的网络攻击对抗已经成为重要信息系统面临的主要风险,面对当今的信息安全形势,国家高度重视信息安全,不断加强监管,成立了国家层面的,多部门协同的信息安全领导组织,并相继出台了《网络安全法》、《网络安全等级保护条例》等法律法规,相关配套制度和标准也在不断完善,单位面临更严格的信息安全监管要求,对于政府部门、金融、能源等国家关键信息基础设施,合规风险甚至是单位面临的最重要的风险,必须不断提升安全防护能力。
3.1.1.2新技术新威胁带来的安全风险
1、远程及移动办公安全风险分析
随着各类智能移动终端的快速普及以及移动互联网的快速发展,人们越来越感受到移动终端给人们工作和生活带来的便利。但移动终端往往处在不受控的办公环境中,通过互联网连接到办公内网中,通过攻击移动终端及远程传输网络渗透到服务器系统导致用户信息泄露,用户资产被盗的例子举不胜举。
此外,移动APP的互联性和易用性使其暴露在众多的网络安全风险和威胁之下,容易遭受到病毒、木马、蠕虫等恶意程序的攻击,攻击者能够通过移动APP的安全漏洞入侵应用服务器,获取企业及个人用户的敏感信息,或通过技术手段对应用程序进行篡改,植入广告、盗链及数据窃取等功能,甚至对数据进行篡改,对信息系统进行恶意破坏,保护移动APP安全刻不容缓。
2、虚拟化技术安全风险分析
虚拟化技术是生成一个和真实系统行为一样的虚拟机器,虚拟机像真实操作系统一样,同样存在软件漏洞与系统漏洞。在关注宿主机的安全的同时,必须像对待真正的操作系统一样加固虚拟机,给程序不断地及时打补丁升级,以此来保证虚拟机的安全。
虚拟机之间的隔离主要通过虚拟化层软件实现,软件的漏洞为攻击者提供了方便之门。虚拟机镜像、快照恢复的时候,由于缺乏及时的系统补丁,造成新创建的虚拟机极易受到攻击。
此外,传统网络可以通过交换机、IDS等设备进行日常监测、审计,而虚拟主机间可能通过硬件背板而不是网络进行通讯,这些通讯流量对标准的网络安全控制来说是不可见的,因此,传统的安全防护措施变成了毫无用处。
由于虚拟化环境自身的特性,单位需要充分考虑虚拟化的引入所带来的相应的风险,根据各个风险点带来的问题及威胁建设针对性的防护方案,以保障单位数据的安全及业务系统的平稳运行。
3、新型攻击带来的安全风险分析
高级持续性威胁(Advanced Persistent Threat,以下简称“APT攻击”)是一种典型的新型攻击模式,甚至已经成为当今各国面临的主要的信息安全威胁,其造成的破坏性和带来的危害远大于普通的安全事件。
APT攻击可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证等。而APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。
在国家新等级保护标准中,明确提出了 “应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析”,就是应对当前信息安全威胁的新形势而提出的新的安全防护要求,需采取有效的防护手段应对新的安全风险。
(注:云计算、大数据、工控等新技术安全风险本方案后续不涉及,故不在此描述,与风险相关的内容可根据项目实际情况补充。)
3.1.2安全管理风险分析
信息系统在建设和运营过程中,都面临着安全管理缺失带来的安全风险。
1、系统建设期面临的安全管理风险
新系统的开发、新技术的应用、新的应用模式都加大了信息安全管理层面的难度和风险。
首先,新系统开发时间紧,任务重,人员队伍建设无法迅速满足系统建设的需求,在很多环节导致安全管理上的缺失和不足,如应用系统在规划设计阶段未充分考虑安全功能的需求,导致系统在上线交付时无法满足安全要求,而系统已经开发完成,任何针对信息系统的重新设计或功能完善都将导致迭加的成本投入,甚至不可行。而在应用系统的整个开发过程中,代码编写不规范、人为设置的系统后门开发过程安全管理都是不可忽视的问题,如果不进行规范管理,将导致系统上线后的各种安全问题。
其次,虚拟化、大数据、移动办公等新技术、新应用模式的使用,要求信息安全管理人员能充分认识到信息技术可能带来的安全技术风险和安全管理风险,传统的安全管理手段需要在新技术下进行调整和优化,如针对移动办公,安全管理边界明显扩大,安全管理要求必须配备技术手段的应用;此外,海量敏感信息数据也需要严格的安全管理措施,在系统投入运营前,严格控制采用实际数据进行系统测试,并采取严格的人员管理措施。
2、系统运营期面临的安全管理风险
系统投入运营后面临来自组织层面和系统运营层面的安全管理风险。
(1)组织层面的安全管理包括安全策略、安全制度体系的建设和完善以及安全管理机构的建设和人员安全管理。
首先,信息安全管理需要明确的安全管理机构和专职的安全管理人员,目前,许多政府部门已经建立了比较完善的安全管理机构,并且配备了专职的安全管理人员,但随着系统规模的不断扩大,新上线系统的不断增加,人员不足已经成为普遍的问题,此外,内部人员的信息安全意识水平需要不断提高,事实证明,很多网络信息安全事件都是由于内部人员的疏忽或恶意行为导致的。
其次,随着单位信息化的快速发展,信息安全技术体系的不断完善,原有的安全管理策略和制度也需要不断完善,“三分技术、七分管理”,体现了信息安全管理的重要性,安全管理制度要体现和落实安全管理责任制,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系,并切实执行落地。
(2)系统运营层面的安全管理包括办公环境管理、资产管理、介质管理、设备维护管理、系统变更管理、配置管理、备份和恢复管理、应急管理等,体现在系统运营过程中的各个方面,运营管理的缺失可能导致信息系统崩溃、数据泄露、丢失、设备损害等风险,运营安全管理往往需要辅助技术手段措施,完善各操作环节的规章制度、完善安全配置基线,进行操作培训、安全培训、应急演练、备份与恢复演练。此外,还有加强对外包运维的管理。
3.1.3系统运营风险分析
系统投入运营后,面对数量庞大的信息资产、海量的日志信息和复杂多变的策略体系,日常安全运营存在较大安全隐患和风险,主要表现在:
1、数量庞大的资产信息无法完全掌控
单位的网络和业务越来越复杂,范围原来越广,变更越来越频繁,单位的安全管理员也常常搞不清楚单位内网的具体状况,如,哪些资产是关键资产,哪些资产对外提供服务,哪些资产配置了安全策略等,如果连这些单位内网的基本环境都无法准确掌握,那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下,攻击者即便是大摇大摆的出入企业的敏感数据区域也无人知晓,投入了大量资金建设的安全防御体系也成了摆设。因此,需要通过自动化的手段掌握全网的资产状况,这也是系统安全运维的基础。
2、分散多样的信息设备对策略的维护是巨大挑战
随着网络基础建设和网络安全控制的逐步健全,企业的网络环境规模和复杂度不断增加,部署在其中的防火墙以及配置访问控制列表的路由交换设备日益增多。新的运维应用场景需求不断新增,加载于这些设备之上的网络安全策略规则也相应的变得更加繁冗和复杂。此外,实际的网络环境中,往往会跨越多个供应商、多个运维团队,管理控制方面呈现出多分支、多层级的复杂局面。策略控制的粒度日趋细化严格,网络复杂度不断增加导致运维效率更加底下,两者之间的矛盾在实际运维中会日趋明显。传统的依赖于人手动维护网络设备管理方式将变得越来越无法容忍,且带来的运维成本不断增加。
3、高级威胁和未知病毒的检测和分析考验专业运维能力
随着攻击对抗技术的不断发展,越来越多的信息安全事件是由长期持续、有组织的高级威胁和未知病毒所导致的,而面对这类问题,普通运维人员往往束手无策,攻击者的手段和变化形式越来越多样化,带来的危害也越来越大,仅依靠普通驻场运维人员很难定位和解决这类安全问题,一旦安全事件得不到定位分析和处置,持续蔓延将可能造成重大损失,因此,在系统运营过程中,是否有及时发现问题的一线运维人员,以及能进行专业分析定位安全问题的技术专家是安全运维能力的集中体现,也是安全运营的重要因素。
4、面对安全事件的快速响应是安全运营的关键
本地化安全运维能确保对安全事件的应急响应速度,面对信息安全事件,快速响应和处置的能力体现在应急专业队伍的技术水平、应急服务网络的覆盖度、应急流程和体系的成熟度以及应急响应经验和资源准备情况等,针对XXXX信息系统庞大的网络结构和资产数量,专业的应急队伍和应急支撑平台的建设是降低系统运营安全风险的必要措施,系统运营中应急技术能力的建设包括了人员、工具、设备、流程、系统平台等多种因素,其中,专业人员是关键,但仅有人员,没有相关的设备、工具、应急指挥系统、应急预案等也无法提升系统运营过程中的应急响应能力,各因素缺一不可。
3.2 系统安全需求分析
3.2.1安全技术需求分析
XXXX系统是XXXXX单位重要的信息系统,承载着XXX的核心业务,并传输和存储着大量敏感信息,面对来自信息系统内外部的各种安全威胁,以及新技术新安全形势的发展,需要从多层级、多维度建设整体的、符合系统安全保护等级要求的安全防御体系。
具体安全技术需求如下。
1、物理环境安全需求
物理和环境安全主要是指由于网络运行环境和系统的物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。
物理和环境安全包括机房选址、机房建设、设备设施的防盗防破坏、防火、防水、电力供应、电磁防护等,需要在数据中心机房的建设过程中严格按照国家相关标准进行机房建设、综合布线、安防建设,并经过相关部门的检测和验收。
2、通信网络安全需求
网络整体架构和传输线路的可靠性、稳定性和保密性是业务系统安全的基础,通信网络的安全主要包括:网络架构安全、通信传输安全、边界安全、防入侵、网络安全审计和网络安全的集中管控等方面。
(1)网络架构安全
网络架构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。
(2)通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
3、区域边界安全需求
(1)边界隔离与访问控制
边界安全包括对接入网络和外联的双重安全管控要求,随着移动办公的发展,网络范围不断延展,无线网络的使用相对传统办公而言,对网络边界的有效管控更是严峻的考验;对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,同时,需要能够对内部用户非授权联到外部网络的行为进行限制或检查;并对无线网络的使用进行管控。
(2)防入侵和防病毒
现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络形态进行传播,并且,一旦病毒通过网络边界传入局域网内部,就已经对信息系统造成了破坏,因此,病毒防护手段需要在系统边界进行部署,在网络层进行病毒查杀,防止感染系统内部主机。
此外,来自互联网、其他非可信网络的各类网络攻击也需要通过安全措施实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
(3)网络安全审计
安全技术措施并不可能万无一失,一旦发生网络安全事件,需要进行事件的追踪与分析,针对网络的攻击行为和非授权访问等行为,需要在网络边界、重要网络节点上进行流量的采集和检测,并进行基于网络行为的审计分析,从而及时发现异常行为,规范正常的网络应用行为。
4、计算环境安全需求
信息设备存储和处理大量的业务信息,也是攻击者的最终目标,主机系统自身的漏洞一旦被攻击者利用,获取系统权限,将直接导致信息系统被破坏或数据泄露。此外,应用和数据是安全保护的对象,应用系统在开发过程中由于技术的局限性和开发管理的漏洞,总是存在一些安全漏洞,在系统上线后,被恶意攻击者利用,进而给单位的经济利益、业务、甚至声誉带来影响。
计算环境安全需求包括对主机和应用系统用户进行身份鉴别和访问控制、安全审计、对主机和各类终端的入侵防范和恶意代码防护、数据保密性和完整性保护、数据备份与恢复、剩余信息和个人信息保护。具体包括:
(1)主机身份鉴别
主机操作系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,并定期进行更换,或者,采取更可靠的身份鉴别措施。
(2)主机访问控制
主机访问控制主要为了保证用户对主机资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
(3)系统审计
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。
(4)恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此除了在网络层采取必要的病毒防范措施外,必须在主机部署恶意代码防范软件进行监测与查杀,同时保持恶意代码库的及时更新。
(5)应用系统安全功能开发
应用系统在开发过程中需同步考虑安全功能的实现,包括系统用户管理、身份认证、访问控制和应用安全审计等相关功能,并在应用系统开发过程中通过采用密码技术实现数据的完整性和保密性保护。
需要实现对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;对于重要信息系统需要采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现;
需要提供访问控制功能,对登录的用户分配账号和权限;授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级。
需要提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
需要提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。
需要提供剩余信息保护功能,保证释放内存或磁盘空间前,上一个用户的登录信息和访问记录被完全清除或被覆盖。
(6)数据完整性与保密性
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。具体包括:
需要采用校验码技术或密码技术保证重要数据在传输和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
采用密码技术保证重要数据在传输和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
(7)数据备份和恢复
对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。
5、集中安全管控需求
XXX系统内部署着大量的安全设备和网络设备,各安全设备和网络设备每天采集大量的日志信息和流量信息,需要对设备进行统一的、集中的管控,包括以下几方面:
(1)安全管理实现三员分离
具备系统管理、安全管理和审计管理功能,功能权限分离,三员(系统管理员、审计管理员、安全管理员)分离,并能对三员进行身份鉴别和操作审计。
(2)统一安全运营和管控的需求
对于资产规模和部署范围庞大的XXX系统,必须建设统一的安全运营和管理中心,对全网资产、日志、事件信息进行统一的监测、检测、响应和分析,掌握全网的信息资产安全状况,及时发现和处置安全事件。
(3)集中安全策略管理需求
面对复杂的网络结构,多厂商安全设备,由人工进行安全策略的配置和动态调整,无论是从工作量和工作难度上来说都是不可接受的,需要能够采用自动化工具进行全网主要设备的安全策略自动下发和集中管理。
3.2.2安全管理需求分析
根据上述的针对建设期和运营期的安全管理风险分析,总结以下安全管理需求:
1、建设期安全管理需求
系统建设期包括系统的需求分析阶段、系统设计阶段、系统开发设计阶段、系统工程实施阶段、系统测试验收阶段和系统交付阶段,XXXX系统属于重要业务系统,在整个建设期间需要加强以下安全管理:
(1)系统规划设计阶段需同步安全设计
在应用系统的需求分析阶段就需要同步考虑安全需求,并进行安全功能的规划和设计,并且在信息系统建设规划阶段,也需要同步考虑安全技术体系的设计,并在应用开发和系统建设过程中同步落实相关安全措施,对安全产品和密码产品的选型要符合国家等级保护的相关要求。
(2)需加强外包软件开发管理
外包软件开发面临来自人为的恶意和非恶意的安全风险,数据表明,大部分软件开发都不可避免地存在代码漏洞,但严格的安全开发管理能大大降低应用系统漏洞带来的风险,因此,需要在外包软件开发过程中加强对开发人员、开发过程、编码规范、代码审查管理,并要求外包厂商提供源代码。
(3)工程实施安全管理
在整个工程实施过程中,需要指定专门的部门和人员负责工程实施过程管理,指定工程实施方案控制安全工程实施过程,并引入第三方监理控制项目的实施过程。
(4)系统测试验收和交付管理
在系统正式上线前,需要进行必要的系统测试,制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;需要进行上线前的安全性测试,并出具安全测试报告。在系统交付过程中,需制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;对负责运行维护的技术人员进行相应的技能培训;确保提供了建设过程中的文档和指导用户进行运行维护的文档。
(5)系统测评和服务供应商选择
按照等级保护的要求,三级信息系统必须经过国家等级保护测评,并对不符合项进行整改,对服务供应商的选择需要符合国家的有关规定。
2、运营期安全管理需求
运营期指系统上线投入运营后到系统废止,运营期安全管理需要建设一整套信息安全管理体系并加以落实,按照等级保护和ISO27001的信息安全管理体系建设要求,信息安全管理文件体系包括信息安全方针和策略、信息安全制度、操作流程和规范、记录表单等分层级的信息安全管理制度系统,其中,每一层级文件都是对上一层级的具体化和落实,从安全管理体系构成来说包括安全管理制度、安全管理机构、安全管理人员、安全运维管理等几个方面,每个方面都需要制定和落实相关的管理制度,信息安全制度体系与信息安全技术体系和信息安全运营体系相辅相成,缺一不可。
3.2.3安全运营需求分析
安全运营需求分析从技术角度分析系统上线运行后在整个较长的后续运营期间对安全运营的需求。主要包括:
(1)全面掌握信息安全资产需求
信息安全运营的前提是摸清网内信息资产的全貌,这些资产包括主机/服务器、安全设备、网络设备、WEB应用、中间件、数据库、邮件系统和DNS系统等,资产的信息包括设备类型、域名、IP、端口、版本信息等,这是信息安全运营的前提和基础,而单位往往并不完全掌握这些资产信息,采用人工方式进行资产梳理对于庞大的信息系统既不可能,也不全面,因此,首先需要进行全网信息资产的自动化发现,并结合业务特点,对资产的重要性等情况进行梳理,形成资产清单,并能对变化进行周期性的监控。
(2)日常安全运营需求
单位信息系统在上线后,需要对网络及系统进行日常安全运维,包括定期的系统安全评估、检查系统的配置是否满足安全防护的需求,定期检查设备的运行状态和系统漏洞情况,及时修补系统漏洞,对于应用系统新上线的功能模块或新上线系统进行安全评估、代码审计,并在上线后定期进行渗透测试,针对于暴露于互联网的WEB应用由于其面临的风险更大,还需要提供更专业更实时的运维服务支撑。
(3)重要时期安全保障需求
对于重要行业,如政府、能源、教、育医疗、金融、广电等,重要时期的安全运营保障服务尤为重要,是单位领导关注的重点工作。重要时期的安全运营保障包括了事前、事中、事后的整体的安全运营保障服务,需要更加全面的安全评估检查、渗透测试,以及应急演练,现场值守、应急处置和后续的工作总结等。重要时期的安全保障能力集中体现了单位安全运营的能力水平。
(4)专家级安全运营服务支撑需求
当前安全威胁形势已经发生了很大的变化,大部分安全事件都是由于未知威胁或高级安全威胁导致的,如近两年发生的勒索病毒事件,单位内部的安全团队面对这样的威胁形势往往束手无策,一旦发生安全事件,如果无法及时处置,将导致不可估量的损失,这些损害不仅仅是经济层面的,对政府而言,主要是政治影响和大量敏感数据的泄露。因此,新等级保护制度增加了单位对于未知威胁的检测、发现和分析能力的要求以及对日志的综合分析能力的要求,对于XXXX系统这类关键信息系统需要有专家级的安全分析和应急响应能力,在安全事件发生时,能将事件造成的损失和影响降至最低,并对事件进行分析溯源,防患于未然。
4. 设计原则和思路
4.1 方案设计依据
本方案的设计过程中将按照国家的相关法律标准展开,在方案的设计过程中,既考虑满足合规要求,有符合单位的实际安全建设需求,主要依据的标准文件包含如下:
- 《中华人民共和国网络安全法》(2017年6月1日)
- 《网络安全等级保护管理条例》(征求意见稿)
- 《网络安全等级保护定级指南》(GB/T 22240-20XX)
- 《网络安全等级保护基本要求》(GB/T 22239-2019)
- 《网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
- 《网络安全等级保护实施指南》(GB/T 25058-20XX)
- 《信息安全风险评估规范》(GB/T 20984-2007)
- 《电子信息系统机房设计规范》(GB/T 50174-2008)
- 《计算机场地安全要求》(GB/T 9361-2006)
- XXX行业等级保护相关监管制度及标准
- …...
4.2 方案设计原则
XXXX系统安全防御体系设计以安全合规要求为基础,以实际业务安全需求为主导,构建信息安全等级保护深度防御体系。在建设过程中,遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则。除此之外,作为国家等级保护重点防护的信息系统,在信息系统设计环节重点把握如下原则:
1、统一性、整体性原则
XXXX单位的信息系统是一个有机的整体,为适应目前以及未来业务发展的需要,为业务系统提供可靠的安全保障,需要有一个完整、可靠的整体安全体系。
对整个XXXX系统安全防御体系实行统一规划,统一标准,并进行一体化安全建设、安全管理和安全运营;按照总体规划、部署和要求,做好各层面的统一建设和管理工作。
2、一致性原则
“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上不同层次不同位置上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全威胁和安全风险进行分析、评估和检测,是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,重要目标是提高整个系统的“安全最低点”的安全性能。
任何单一层次的安全措施都不是绝对安全的,都可能被攻破。必须建立系统性的安全防护措施,从多层次,多维度进行多重保护,各个层次的保护相互补充,形成统一协调的安全策略,避免防护短板,层层防护,即使某一层保护被攻破时,其它层保护仍可保护信息系统的安全。
针对XXX系统的安全体系设计上必须具备一定的冗余和前瞻性,能随着网络性能及安全需求的变化而变化,要在整个系统内尽可能引入更多的灵活自适应的因素,并具有良好的扩展性。要能够为将来业务扩展提供足够的安全扩展能力。
4.3 方案设计思路
本项目在进行安全体系方案设计时,将根据国家信息安全等级保护相关要求,通过分析系统的实际安全需求,结合其业务信息的实际特性,并依据及参照相关政策标准,设计安全保障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。具体设计将遵循以下思路开展。
信息安全风险分析是识别信息系统面临安全威胁和系统脆弱性的方法,通过风险分析方法可以全面掌握信息系统面临安全风险的全貌,并根据安全风险等级确定信息安全建设的重点,我公司在等级保护建设中将首先采用《安全风险评估规范》中的信息安全风险评估模型,提取其中的关键要素建立风险分析的最终方法。
在完成基于资产风险分析的基础上,对信息系统现状进行实际调研,掌握系统防护现状与等级保护基线要求间的实际差距,结合信息安全风险评估的方法,对信息系统进行全面的资产、脆弱性、威胁和业务风险等方面系统化的评估分析,发现基于业务的安全风险问题。将差距分析结果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并充分保障业务安全的建设需求。
2、纵深防御的安全体系设计思路
信息系统安全体系建设的思路是根据分区分域防护的原则,按照层次化的纵深防御的思想,建设信息系统安全等级保护深度防御体系。
图 4 1 纵深防御的安全体系
按照信息系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络三部分,以计算节点为基础对这三部分实施保护,构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心,三重防护”结构。
3、体系化安全保障框架设计思路
一个完整的信息安全体系应该是安全技术、安全管理、安全运营的结合,三者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国内外安全保障理论也在不断的发展之中,我公司根据信息系统的实际情况,参照国际安全控制框架的有关标准,形成符合信息系统的安全保障体系框架。
在方案设计中 “三个体系”(安全技术体系、安全管理体系和安全运营体系)各自相对独立,又相互依赖和互补,共同形成整体的安全保障体系框架。
4、安全体系叠加演进,以积极防御为主的设计思路
SANS的滑动标尺模型是网络安全保障建设的进化模型,它应用于网络安全建设者自我完善发展过程。从最初的基础架构安全建设,到被动的合规性防御,再到业务驱动的,以监控为核心的积极防御,然后到采集威胁情报进行安全态势分析,掌控安全全局,最后发展就是具备反制进攻能力的进攻性防御阶段。每个阶段的建设都是依据前一阶段的基础,所以称为叠加演进。
图 4 2 安全滑动标尺模型
等级保护制度经历了十几年的推广,大多数用户的安全建设已经进入到第二阶段后期,有些重点行业已经到了第三阶段。因此,积极防御思想成为新等级保护制度的重要思想之一。传统的信息系统安全防护在各个技术控制点采用单一防护措施,而且主要是以安全产品的特征码和规则库进行防护,缺少把控动态安全的能力。针对当前的各种新的威胁形势,需要转变思路,进行积极主动防御。主要体现在:
(1)建立多维度防护体系,结合云端安全大数据产生威胁情报,提升自身的安全防护能力。
- 预警能力
利用云端的威胁情报,监控与检测,态势感知能力,赋予信息系统预警的能力,能够从海量的安全大数据中精确判断攻击行为,提前保护信息系统的安全。
- 防护能力
将等级保护的安全技术控制措施,通过新技术产品进行替代并增强,同时结合云防护的能力,将整体的信息系统防护能力提升。
- 溯源能力
利用威胁情报与本地全量数据进行整合,通过可视化分析技术,快速定位安全风险,形成智能的安全管理中心。
(2)改变传统安全运营的单兵作战,通过智能化安全运营、安全态势感知与防御协同联动,提升防护效率,降低运营成本。
5. 安全防护体系总体设计
5.1 安全防护体系架构设计
图 5 1 安全防护体系架构图
XXX系统安全保障体系是以“一个中心、三重防护、三个体系”为核心指导思想,构建集防护、检测、响应、恢复于一体的全面的安全保障体系。其中;
“一个中心”是指安全运营管理中心,即构建先进高效的安全运营管理中心,实现针对系统、产品、设备、策略、信息安全事件、操作流程等的统一管理;
“三重防护”是指构建安全区域边界、安全计算环境、安全通信网络三维一体的技术防御体系;
“三个体系”是指形成安全技术体系、安全管理体系、安全运营体系三个体系,三个体系相互融合、相互补充,形成一个整体的安全防御体系。其中,安全管理体系是策略方针和指导思想,安全技术体系是纵深防御体系的具体实现,安全运营体系是支撑和保障。
1、安全技术体系
安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全运营管理中心、计算环境安全、区域边界安全、通信网络安全。
(1)安全运营管理中心
安全管理中心是安全技术体系的核心和中枢,集安全监测中心、安全运维中心、安全防御中心和安全响应中心的功能为一体。
安全监测中心:其中主要包括对系统、设备安全监测和报警,并提供基于人工或工具的多层次的安全监测服务。
安全防御中心:在构建整体的技术防御体系的基础上,通过安全防御中心加强协调联动,进行积极主动防御,提升整体安全防御水平。
安全运维中心:实现安全运维操作的流程管理和标准化管理,实现自动化安全运维,实现运维策略可视化。
安全响应中心:采用本地服务+云端服务+专家的新型工作模式,结合云端的威胁情报、大数据提供及时的技术保障服务。
(2)三重防护
计算环境安全:为XXX系统打造一个可信、可靠、安全的计算环境。从系统、应用的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、资源控制等方面,全面提升XXX系统在系统及应用层面的安全;
区域边界安全:从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面,提升网络边界的可控性和可审计性;
通信网络安全:从保护局域网和广域网的数据传输安全、整体网络架构可靠可用等方面保障网络通信安全。
2、安全管理体系
仅有安全技术防护,无严格的安全管理相配合,难以保障整个系统的稳定安全运行。在系统建设、运行维护、日常管理中都要重视安全管理,制定并落实安全管理制度,明确责任权力,规范操作,加强人员、设备的管理以及人员的培训,提高安全管理水平,同时加强对紧急事件的应对能力,通过预防措施和恢复控制相结合的方式,使由意外事故所引起的破坏减小至可接受程度。
3、安全运营体系
由于安全技术和管理的复杂性、专业性和动态性,XXX系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务和运营队伍支持。基础的安全运营服务包括系统日常维护、安全加固、应急响应、安全评估、安全培训和安全咨询等工作;在系统建设上线后,需要逐步完善安全运营体系,确保系统运行安全。
5.2 总体安全策略
5.2.1信息安全技术体系总体策略
1、以XXX网络环境及XXX系统为保障对象,参照以《网络安全等级保护基本要求》中三级保护要求为控制要求,建设基础安全技术体系框架。
2、安全技术体系建设覆盖物理环境、通信网络、区域边界、计算环境和安全管理中心五个方面。
3、通过业界成熟可靠的安全技术及安全产品,结合专业技术人员的安全技术经验和能力,系统化的搭建安全技术体系,确保技术体系的安全性与可用性的有机结合,达到适用性要求。
4、建设集中的安全管理平台,实现对安全系统的集中管控、分权管理。
5.2.2信息安全管理体系总体策略
1、建立信息安全领导小组和信息安全工作组,形成等级保护基本要求的信息安全组织体系职责。
2、建立信息安全管理制度和策略体系,形成符合等级保护基本要求的安全管理制度要求。
3、建立符合系统生命周期的安全需求、安全设计、安全建设和安全运维的运行管理要求。
4、系统安全建设过程应落实等级保护定级、备案、建设整改、测评等管理要求。
5、系统安全运营过程应落实等级保护监督检查的管理要求。
5.2.3信息安全运营体系总体策略
1、通过互联网等领域所形成的新技术适当提升安全能力,强化风险应对(监测、预警、防护、处置、溯源等)能力。
2、建立规范的信息化安全运营体系,以安全视角规范信息系统安全运营的整个过程,形成安全业务标准与流程。
3、建立信息安全运营中心,安全运营实行分级保障,加强安全运营的可持续性建设。
6. 安全技术体系设计
6.1 安全物理环境
物理安全是整个网络信息系统安全的前提,可能面临的物理安全风险有:地震、水灾、火灾、电源故障、电磁辐射、设备故障、人为物理破坏等,这些风险都可能造成系统的崩溃。因此,物理安全必须具备环境安全、设备物理安全和防电磁辐射等物理支撑环境,保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失,防止各种以物理手段进行的违法犯罪行为。
等级保护基本要求对系统的物理安全要求较为严格,主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
XXXX系统数据中心机房建设应严格按照国家对信息系统机房的建设标准,机房应在各方面满足等级保护的相关要求。
6.2 安全通信网络
6.2.1安全体系架构
为了对XXXX系统实现良好的安全保障,参照等级保护的要求对系统安全区域进行划分设计,实现内部办公、数据共享交换与外部接入区域之间的安全隔离,并对核心区域进行冗余建设,用以保障关键业务系统的可用性与连续性。
1、安全域划分原则
安全域是由安全保护对象中安全计算环境和安全区域边界的综合组成,根据安全域的描述可以把保护对象进行进一步的划分,同时使整个网络逻辑结构清晰。
安全域可以根据其更细粒度的防护策略,进一步划分成安全子域,其关键是能够区分防护重点,形成重要资源重点保护的策略。
安全域的理论和方法所遵循的根本原则:
- 业务保障原则:
安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。
- 适度安全原则:
在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分。
- 结构简化原则:
安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
- 等级保护原则:
安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等。
- 立体协防原则:
安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防。
- 生命周期原则:
对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
2、XXXX系统网络安全域划分
根据XXXX网整体安全需求并结合《网络安全等级保护基本技术要求》和《网络安全等级保护安全设计技术要求》中的相关要求,区域划分如下:
包含于Internet通信的路由设备和网络安全边界设备,与DMZ区、核心网络区有通信,向外联接Internet,向内连接外网DMZ区,负责XXXX网络信息系统对Internet移动用户的接入。
包含DMZ交换机和对外应用服务器,向外与专网其他单位有通信,直接连接专网接入区的边界设备,向内与安全管理区有通信。
包含核心交换机和安全设备,对网络信息系统起数据通讯支撑作用。向外连接互联网接入区,负责内部网络与互联网的数据交互;向内连接业务服务器区、安全管理区、办公终端区等,主要负责这各区域间的通信。这样部署提高了网络通讯新能,增加网络可靠性和安全性,为今后网络信息系统扩展提供了一个基础网络平台。
包含网络管理系统、防病毒系统、补丁升级系统、IDS管理端、漏洞扫描系统等,与所有的区域都有通信,连接核心网络区。
向外联接核心网络区,与核心网络区通信,这样调整增加了服务器区网络的稳定性同时具备更好的扩容能力。
包含楼层接入交换机,与业务服务器区和DMZ区有通信,连接核心网络区。
(7)共享交换区
进行与其他网络,如视联网、其他专网进行数据共享交换,可供其他专网用户直接访问,通过两套网闸与内部应用逻辑隔离,分由外向内导入和由内向外导出,连接核心交换区。
(8)专网接入区
业务的与上级及下级进行通信和业务的接入区域,通过核心接入与DMZ和业务服务器区连接。
6.2.2网络通信安全
6.2.2.1基于专网的广域网传输安全
XXXX系统依托于电子政务外网,电子政务外网是与互联网逻辑隔离的专用网络,电子政务外网广域网传输按照国家电子政务外网建设的相关规范要求进行建设,在整个传输链路上都有相关的传输加密的整体设计,符合等级保护对于通信传输加密的安全要求。
6.2.2.2基于互联网的广域网传输安全
1、安全风险
随着远程办公、移动办公的普及,越来越多的单位内部的员工通过互联网接入内部办公系统,此外,随着业务规模的扩大,办公场所增加,不同地域的分支机构往往需要通过互联网将分散在办公地点进行网络互联。
XXXX信息系统由于业务需要,存在大量远程办公用户,这些用户通过互联网访问内部应用系统,远程办公方式为用户使用带来了很大便利,但是,也带来了安全风险,如果工作人员使用移动办公设备传输数据时发生了篡改、或者敏感数据发生泄漏的话,后果将会非常严重。所以如何保证移动办公的远程传输安全、数据安全和身份安全等是单位需要考虑的重中之重。
2、控制要求
等级保护标准在“安全通信网络”中明确要求:
- “应采用校验技术或密码技术保证通信过程中数据的完整性;”(1.2.2 a))
- “应采用密码技术保证通信过程中数据的保密性”。 (1.2.2 b))
在“安全计算环境”中针对数据保护要求:
- “应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;”(1.4.7 a))
- “应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等”。 (1.4.8 a))
并且在对终端(包括移动终端)访问系统时要求:
- “对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;”(1.4.1 a))
- “采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”。(1.4.1 d))
3、控制措施
通过部署安全接入网关(SSL VPN)可以实现远程用户的安全访问,从用户接入身份的安全性、终端设备的合法性、访问业务系统的权限合法性、业务数据传输的安全性等多个层面保障用户跨互联网远程接入的安全。主要控制措施如下:
(1)采用密码技术,符合国家密码管理相关要求。为确保密码算法的安全性,远程传输加密的设备或组件除了需要支持AES、DES、3DES、RSA等多种国际主流的商用加密算法之外,还需要支持国密算法,包括 SM1、SM2、SM3、SM4等。
(2)数据远程传输加密保护。远程办公终端连接VPN以后,远程终端与网关之间采用加密传输协议进行数据传输,从而实现数据的保密性。
(3)数据远程传输完整性保护。远程办公终端在传输数据的过程中,通过采用校验码技术或密码技术对传输数据的完整性进行验证和保护。
(4)多因素认证,确保身份安全。能够采用多种认证方式的多因素组合认证,包括用户名密码方式、数字证书认证、指纹认证、Radius动态口令等多种身份认证方式,支持采用密码技术的身份认证需求。
4、产品部署
在互联网区部署安全接入网关(SSL VPN),实现非可信链路的传输层加密,确保信息通过互联网传输时的机密性和完整性。作为互联网远程接入解决方案的门户,为实现高可用性,可采用双机热备方式,根据实际业务场景选择主从或主主业务模式。
6.3 安全区域边界
6.3.1边界访问控制
6.3.1.1边界防护与访问控制
1、安全风险
边界是信息安全的第一道防线,所有访问内部应用的数据均会通过网络边界进入内部网络,随着攻击手段的不断演进,边界所面临的安全风险越来越高,频发突发、隐蔽性强、手段多样、实施体系化的复合型攻击,已经成为当前网络边界威胁的主要特征。事实证明,每一次网络攻击的成功,都是攻击者通过技术手段数次突破网络边界防线的过程,传统的边界防御技术已经不能满足新的边界安全防护的需求。
2、控制要求
等级保护标准在“安全区域边界”中明确要求:
- “应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;”(1.3.1 a)
- “应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;”(1.3.2 a)
- “应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;”(1.3.2 b)
- “应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;”(1.3.2 c)
- “应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;”(1.3.2 d)
- “应对进出网络的数据流实现基于应用协议和应用内容的访问控制。”(1.3.2 e)
3、控制措施
针对新的边界安全威胁,边界访问控制已经成为基本安全措施,必不可少,但为了更加有效的应对当前的网络威胁,防火墙设备应当更加智能化、联动化,以满足安全有效性和防御实时性的切实需求。
当前,下一代防火墙技术已经逐步成熟,通过相关功能实现及策略配置,可实现上述要求,防火墙主要功能及配置要求如下:
(1)访问控制
能够基于IP、安全域、VLAN、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制,一条安全策略可配置应用控制、入侵防护、URL过滤、病毒检测、内容过滤、网络行为管理等高级访问控制功能。能对HTTP、SMTP、POP3、IMAP、FTP、TELNET协议进行细粒度的控制,过滤不受信任的网络行为。
(2)应用层访问控制
能实现文件过滤、URL过滤、邮件过滤等、实现针对主要的应用协议如HTTP、FTP、POP3、SMTP、IMAP等的双向内容传输过滤,可预定义或自定义敏感信息库进行敏感信息定义。
(3)入侵防范
对于主要攻击能进行防护,包括:Flood(SYN Flood、ICMP Flood、UDP Flood、IP Flood)、恶意扫描(禁止tracert、IP地址扫描攻击、端口扫描)、欺骗防护(IP欺骗、DHCP监控辅助检查)、异常包攻击(Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片、ICMP管控(禁止ICMP分片、禁止路由重定向报文、禁止不可达报文、禁止超时报文、ICMP报文大小限制)、应用层Flood(DNS Flood、HTTP Flood)、SYN Cookie等。
(4)负载均衡
作为主要的链路设施,能实现基于IP、ISP、应用、用户、服务等的多链路负载均衡,DNS流量的负载均衡,基于服务器地址的负载均衡。
(5)高可靠性
具备双机热备功能,在路由和透明模式下能支持“主-备”、“主-主”模式,能实现接口联动,链路探测。
(6)动态QoS功能
可配置带宽限制策略。策略类型包括共享型和独享型,用户优先级分为高、中、低,服务类型包括应用层的多种协议。在用户都满足保证带宽情况下,高优先级用户将抢占中、低优先级用户带宽,中优先级用户将抢占低优先级用户带宽。当网络中存在空闲带宽时,防火墙系统会根据当前网络带宽分配情况,自动将空闲带宽分配给重要业务,保证重要业务的正常访问。
(7)支持IPv6
能够支持完整的双栈协议,支持IPv6下的多种功能,包括网络功能和安全功能,包括IPv6接口、IPv6路由、IPv6认证管理、IPv6日志管理、IPv6 VPN、IPv6安全功能及安全策略等。
(8)虚拟防火墙
具备虚拟系统功能,即将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙,每一个虚拟系统都可以为用户提供定制化的安全防护功能,并可配备独立的管理员账号。
(9)协同联动
能够与终端安全管理系统、云端的URL库、病毒库、应用识别库等资源进行联动,提升对已知威胁的识别效率,并能对在终端发现的威胁从网络层及时阻断。
(10)日志管理
对各类日志,如流量日志、威胁日志、URL过滤日志、邮件过滤日志、行为日志等进行分析和日志外发,能基于IP、用户、接口、地区、应用等过滤条件搜索自定义时间段内的历史日志。
各安全区域都应针对自身业务特点设定访问控制策略,下表表述了各安全区域之间的访问控制关系,在对各网络安全区域设置安全策略时,可以此为参考原则进行设置:
| 目的 源 |
核心交换区 |
DMZ区 |
移动互联接入区 |
专网接入区 |
共享交换区 |
安全管理区 |
业务服务器区 |
业务终端区 |
| 核心交换区 |
— |
互通 |
互通 |
互通 |
互通 |
互通 |
互通 |
互通 |
| DMZ区 |
互通 |
— |
互通 |
互通 |
禁止 |
禁止 |
禁止 |
禁止 |
| 移动互联接入区 |
互通 |
互通 |
— |
禁止 |
禁止 |
禁止 |
互通 |
互通 |
| 专网接入区 |
互通 |
互通 |
禁止 |
— |
互通 |
互通 |
禁止 |
禁止 |
| 共享交换区 |
互通 |
禁止 |
禁止 |
互通 |
— |
禁止 |
禁止 |
互通 |
| 安全管理区 |
互通 |
禁止 |
禁止 |
互通 |
禁止 |
— |
互通 |
互通 |
| 业务服务器区 |
互通 |
禁止 |
互通 |
禁止 |
禁止 |
互通 |
— |
互通 |
| 业务终端区 |
互通 |
禁止 |
互通 |
禁止 |
互通 |
互通 |
互通 |
— |
访问控制策略应根据网络及业务变化和单位的安全基线进行合理配置和及时调整,及时删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
4、产品部署
防火墙一般部署在各安全域边界,在互联网接入边界、安全管理区边界、核心业务区边界均建议需单独部署防火墙设备,设置严格的访问控制规则,并定期进行策略的检查和优化。
6.3.1.2边界隔离与访问控制
1、安全风险
XXXX系统作为XX单位重要的核心业务应用,其业务系统处理和存储了大量敏感业务信息,且与XXX网需要进行频繁的业务数据的交换,但一旦与外网连接,将存在被恶意人员利用进行端口攻击、非授权访问等安全风险,为确保 XXXX系统的核心业务数据安全,在设计上不能与其他网络直接互联,需要采用更高安全级别的产品来实现边界隔离,以确保核心业务边界不被非法入侵。
2、控制要求
对于三级信息系统,等级保护在“安全区域边界”中要求“应对进出网络的数据流实现基于应用协议和应用内容的访问控制。(8.1.3.2 e)”但对于四级信息系统,要求“应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。(9.1.3.2 e)”
对于部分承载大量敏感业务信息的三级信息系统,应进行充分的安全风险评估,在关键业务区域边界可考虑采用较高等级的安全防护要求。
3、控制措施
为了实现在保证数据信息实时传递的同时,实现强逻辑安全隔离,需要采用安全隔离与信息交换系统(网闸),保障“内外网安全隔离”以及“适量的信息交换”。
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
网闸系统的主要功能包括:
能实现对网闸管理用户的多样灵活的身份认证方式,实现对设备自身的安全管理,认证方式包括:本地用户名及口令认证、U-Key认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证以及多方式结合的双因子认证等。
(2)文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
网闸可实现基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
网闸的数据库同步功能,完全内置于网闸内部,所有的同步操作由网闸自己独立完成,并能适合各种数据库同步工作的需要。由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。
采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送,以避免信息的泄漏。
网闸可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志等)。并能进行本地日志缓存,可实现本地日志的浏览查询等操作,可实现日志的分级发送。
4、产品部署
针对不同的业务场景网闸有不同的部署方式,常见的部署设计如下:
(1)数据库安全同步部署方式
针对电子政务等场景,允许公众通过互联网提交服务申请并查询结果,但不允许直接访问核心数据库,可在核心数据库服务器和外部不可信网络间部署网闸,在Web服务区部署前置数据库,则来自互联网的用户只能通过Web服务器访问到前置数据库服务器。根据安全策略定时将前置数据库和核心数据库的内容进行同步,既可满足对外服务的要求又提供了安全保障。
(2)文件安全交换部署方式
在内外网之间部署网闸系统,由安全管理员制定相应的信息交换策略,如交换方向、文件类型、只允许或不允许包含相应内容的文件通过等,可对文件进行内容检查、查病毒等处理,网闸定时进行文件交换。
6.3.2边界入侵防范
6.3.2.1边界入侵防御
1、安全风险
随着国家信息化的发展,网络攻击活动也愈演愈烈,而网络攻击造成的破坏性因信息化程度的高度集中也越来越大。主要呈现如下趋势:网络应用越来越复杂,单纯的依靠端口识别应用以达到攻击检测的目的不再有效;网络带宽的快速增长给入侵防护系统的处理能力带来挑战,仅依靠防火墙这样的边界防护设备实现网络攻击检测已经远远不能满足要求,具备大流量业务并发处理能力的专业设备尤其重要;除具备针对网络层/传输层的基础攻击防护外,针对应用层深度识别和防御能力越发重要。
因此,如何有效的对网络攻击行为、异常行为进行监测防御,是边界安全的重要一环。
2、控制要求
根据等级保护的要求,针对“安全区域边界”和“安全计算环境”的防护要求包括:
- “应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;”(1.3.3 a)
- “应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;”(1.3.3 b)
- “检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警”。(1.3.3 d)
- “应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。”(1.4.4 f)
3、控制措施
在网络区域的边界处,需要通过部署入侵防御设备对网络攻击行为进行检测与阻断,并及时产生报警和详尽的报告。
入侵防御设备需要具备以下功能:
(1)具备新一代检测分析技术
新一代检测引擎能结合异常检测与攻击特征数据库检测的技术,同时也包含了深层数据包检查能力,除了检查第四层数据包外,更能深入检查到第七层的数据包内容,以阻挡恶意攻击的穿透,同时不影响正常程序的工作。
(2)多层多类型攻击检测
可以检测多层多种类型攻击,如应用型攻击:包括Web cc、http get flood、DNS query flood等攻击;流量性攻击:包括SYN Flood、UDP Flood、ICMP Flood 、ARP Flood、Frag Flood、Stream Flood等攻击;蠕虫连接型攻击;普通常见攻击:包括ipspoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan、null_scan、xmas_scan、ping-of-death、smurf、arp-reverse-query、arp-spoofing等。
(3)双向攻击检测
通过对进出网络的流量进行采集分析,可对由内向外发起的网络攻击行为和由外向内发起的网络攻击行为均进行检测和告警。
(4)日志告警和阻断
网络入侵防御系统除了需要能检测辨别出各种网络入侵攻击,保护网络及服务器主机的安全外,还需要提供完整的取证信息,提供客户追查黑客攻击的来源,这些信息包括黑客攻击的目标主机、攻击的时间、攻击的手法种类、攻击的次数、黑客攻击的来源IP地址等,并提供包括Email/SNMP trap/声音等方式的告警。对于在线部署模式,可以对攻击行为进行实时阻断。
(5)高可用性
对于在线部署模式的设备,当出现软件故障、硬件故障、电源故障时,系统bypass电口自动切换到直通状态以保障网络可用性,能够避免单点故障,不会影响业务。
4、产品部署
入侵防御系统支持在线部署和旁路部署,针对XXX系统的网络环境及业务需求,通过在互联网接入边界部署入侵防御系统,实现对网络事件的检测,入侵防御系统采用串接方式部署在防火墙和核心交换机之间,能够有效检测和阻断入侵攻击。
6.3.2.2高级威胁攻击检测
1、安全风险
近年来,具备国家和组织背景新型网络攻击日益增多,其中最为典型的为APT攻击,而APT攻击采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。
APT攻击的隐蔽性、持久性和复杂性远超普通的网络攻击行为,且针对的往往是政府、企业、金融等单位的关键应用系统,正式由于APT攻击的这些特点,其造成的破坏性往往也是巨大的,使单位、行业乃至国家安全面临严峻挑战,必须采用专门的技术措施对这类攻击进行检测、发现和分析,并能够追踪溯源。
2、控制要求
面对新的安全威胁形势,新等级保护标准中除了对边界攻击检测能力提出要求外,还明确提出了对高级威胁攻击和未知攻击的检测、发现能力,具体要求如下:
- “应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。”(1.3.3 c)
3、控制措施
通过部署专业的APT检测设备,实现对新型网络攻击行为的发现、分析、追溯的能力,设备所需具备的功能包括:
(1)APT攻击发现
由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击,难以做到真正的追踪溯源,而从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。
(2)APT攻击定位、溯源与阻断
用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输,而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化,可对未来扩展攻击特征并进行精准攻击定位和溯源提供支撑。
对APT攻击的定位、溯源和阻断离不开专业的安全分析团队,需要能够针对用户网内发现的APT攻击等行为进行深度挖掘和分析,减少损失。
(3)未知恶意代码检测
针对新型攻击和病毒,需要采用机器学习等人工智能算法,通过恶意代码智能检测技术,对海量程序样本进行自动化分析,解决大部分未知恶意程序的发现问题。
(4)未知漏洞攻击检测
可采用基于轻量级沙箱的未知漏洞攻击检测引擎对客户端应用中已知漏洞和未知0day漏洞的攻击利用进行检测。
4、产品部署
APT攻击检测设备旁路部署在核心交换机上,对用户网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于数据平台,云端威胁情报和本地文件威胁鉴定器分析结果与本地分析平台进行对接,为用户提供基于情报和文件检测的威胁发现与溯源的能力。
6.3.3边界完整性检测
6.3.3.1网络安全准入
1、安全风险
目前大多数企业构建的还是开放式的网络,这种开放网络给企业业务开展确实能够带来便捷,但也有严重的安全风险,开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全,因此需要构建新一代的内部终端准入安全防御体系。
为了防止企业网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和终端接入行为的同时,需采用技术手段保障终端入网的安全可信,同时达到了规范化地管理计算机终端的目的。
2、控制要求
等级保护标准在“安全区域边界”中要求:
- “应能够对非授权设备私自联到内部网络的行为进行检查或限制”。 (1.3.1 c)
即需要对单位的内部网络边界进行管控,对非授权的连接行为能够发现和限制。
3、控制措施
针对网络层的非授权连接行为管控可以通过网络安全准入系统(NAC)进行控制,网络安全准入系统可实现以下功能:
利用网络安全准入系统的动态检测技术和安全策略管理,可针对接入用户和终端进行网络访问控制功能。不符合安全策略的计算机终端进行隔离,并友好提示,提供向导式的安全修复指引。拦截可疑的计算机终端或设备、恶意尝试认证的用户,支持强制下线和账号锁定功能。对接入用户进行动态VLAN的分配管理,有效的对网络访问权限进行控制。
(2)终端安全合规检查
网络安全准入系统的安全检查策略会检测终端入网安全状态,能快速定位发现入网计算机终端的安全合规状态,并利用其本地防火墙隔离管控技术立即将这个设备与网络上的其它设备隔离起来,只能够访问修复区,同时依照策略进行引导修复。对于已授权合规终端,如发现运行阶段又不符合安全检查策略,可调用周期检查或定时检查引擎,对该终端的安全状态进行二次检查,期间如发现不合规进行再次隔离,禁止其访问企业核心资源,可提供安全检查结果详情和全网安全状态统计等日志报表。
针对外来人员临时性的访问需求,能够进行访客入网管理,包括访客用户注册申请、访客认证、用户审批流程,经管理员审批或系统自动审批后才能认证入网,审批结果可邮件通知用户。
能够实现多种认证源认证方式,包括本地用户、AD认证、LDAP认证、Email认证、Http认证适应用户不同网络环境,满足用户实名制认证、集中统一管理的入网需求。
支持多种条件绑定认证,即用户和终端、交换机、VLAN、交换机端口等进行绑定认证、提高入网安全强度。
用户网络中存在大量的哑终端设备,如:网络打印机、视频会议系统等设备,并分散在各地,能够提供设备的白名单管理,当添加到白名单的合法设备可以直接接入网络,反之非法设备不允许接入,此方式可适应于多种认证技术方式,如:Portal和802.1X认证方式。
用户正常的802.1x认证成功后,如果认证会话没有过期网络会持续可用,系统专有的认证客户端可以实时接收认证服务器的控制指令,管理员可以在任何时候强制在线的用户和终端下线、注销当前登录的网络,确保非正常情况下可对终端入网进行控制和强制隔离处理。
4、产品部署
网络安全准入系统(NAC)采用旁路部署,通过监听来发现和评估哪些终端入网是否符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到合规入网的管理规范要求。
6.3.3.2违规外联检测
1、安全风险
互联网应用已经渗透到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,成为企业高效运营、提高竞争力的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利;与此同时,互联网的开放性与虚拟性也为单位和个人带来巨大安全隐患,如果不对单位的互联网访问行为加以控制,将导致单位的数据、业务面临安全风险。
2、控制要求
等级保护标准中明确要求:
- “应能够对内部用户非授权联到外部网络的行为进行限制或检查”。(1.3.1 b)
因此,不仅要对私自接入内部网络的终端进行发现和阻断,还要对内部用户的非授权连接外网的行为进行检查和限制。
3、控制措施
对于终端的非法外联可以通过终端安全管理系统或者采用专业的上网行为管理设备进行控制。终端安全管理系统可对终端的外联端口、外联能力进行检查和阻断,上网行为管理设备通过在网络出口处进行安全策略的配置,限制单位用户的外联访问行为,具体功能如下:
- 上网行为管理系统
(1)URL访问审计与过滤
采用URL分类数据库,通过管理员配置基于URL分类的控制策略(策略条件可包括用户、部门、时间段、访问类别、URL关键字、网页内容关键字、下载文件类型等),进行WEB访问控制,发现非法访问可进行阻断、记录或报警。
(2)应用控制
通过应用特征与行为特征对应用进行识别。所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。通过精细化的控制策略设置,可以实现对单位应用访问的精细化管理。
(3)内容审计和过滤
对内容的审计可以有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的安全风险,内容审计和过滤包括邮件收发审计和过滤、论坛发帖审计和过滤、搜索引擎关键字审计和过滤、HTTP文件传输审计和过滤、FTP文件传输审计和过滤等。
(4)共享接入监控
共享接入是指使用NAT等技术将一个网络出口共享到多个主机,共享接入监控能够对接入网络的设备做观察、控制,能够检测到一个用户或IP所共享的终端数量,并可以对数量做策略控制,以达到掌控用户终端数量的目的,在监控到用户使用的终端数后,可以对此进行控制,屏蔽该用户的上网流量。
(5)日志审计
能够完整地记录内网用户网络访问的日志,包括上网时间、网络流量、Web访问记录、接收与发送的邮件等等。为进一步的查询统计与报表分析提供了完整的基础信息。
- 终端安全管理系统
为了防止计算机终端用轻易通过拨号、私设代理、多网卡通讯等非法外联手段,造成内部机密外泄的情况发生,终端安全管理系统提供非法外联管控功能,可根据探测类型,使用对应的技术手段如域名解析,对传入的ip或是网址进行连接,如果连接成功则根据策略处理措施,进行对应的提示、断网或关机处理。
(1)外联设备控制(可以禁用终端上可能运行的外联设备——冗余有线网卡、移动数据网卡、MODEM设备、ISDN设备、ADSL设备、WIFI及SSID例外)
(2)外联能力探测(选择探测方式发现终端是否具有外联能力)
(3)外联控制措施(发现终端具有外联能力后的处理措施——提示、断网、关机)
4、产品部署
上网行为管理系统可以串接和旁路镜像部署在单位的互联网出口处,在串接模式下,串接方式能实现对上网行为的控制,并完整审计所有上网数据。串接包括网桥和网关两种模式,采用网桥模式时,当单位拥有两个互联网出口,且单位内部不同子网需要通过不同的互联网出口连接互联网时,上网行为管理系统可提供双入双出,双网桥的部署模式。通过一台设备即可同时管控两条链路内的用户互联网行为。
6.3.4边界恶意代码检测
1、安全风险
当前,病毒的产生速度、种类、危害程度已经发生了巨大的变化,电子邮件和互联网已经成为网络病毒传播的主要途径,由于网络传播的快速性,对于越来越多的混合型病毒和未知病毒更加难以防范,影响范围也更大,而病毒一旦进入网络内部植入主机,往往已经对单位造成了损失,因此,需要在网络边界处入手,及时检测处病毒,并切断传播途径,采取更积极主动的防病毒措施。
2、控制要求
根据等级保护要求“应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新”。 (8.1.3.4 a)
3、控制措施
下一代防火墙一般均具有专业的AV模块,能在网络重要节点处(如互联网入口)进行病毒的检测和清除,但考虑到部分单位已有的防火墙性能不高,也可以采用专业的防病毒网关,在网络边界处进行病毒的检测和阻断。
下一代防火墙通过启用一体化安全防护策略,将反病毒、漏洞防护、防间谍软件、恶意URL防护等功能集成到一条策略,并基于优越的架构设计保障高性能的安全能力。
通过在互联网边界启用下一代防火墙的漏洞防护、防间谍软件、反病毒、URL过滤等功能,基于本地安全引擎,能高效拦截常见漏洞入侵、间谍软件、病毒、木马、钓鱼网站、恶意URL访问等网络威胁。
同时,防火墙通过云端协同可以极大提升特征库数量级,补充本地识别库,并提升防火墙对高级威胁的识别能力,提高防火墙拦截的精确度和高效性。
防火墙的特征库能够支持自动升级,定期进行病毒库的升级和系统的更新。
4、产品部署
为实现对病毒的实时阻断,在互联网边界需串接防火墙,开启AV模块,或在防火墙后串接专业的防病毒网关,实现从网络层检测和阻断恶意代码。
6.3.5网络安全审计
1、安全风险
随着《网络安全法》的颁布实施,安全审计已经成为网络安全建设的必要措施,随着威胁的多样化,传统信息安全以“防”为主的思路已经发生重大转变,在攻击防不胜防的情况下,持续的监测、快速响应并追踪溯源成为新等级保护体系下的主要思想,因而,安全审计变得尤为重要。
自《网络安全法》实施以来,已经有许多单位因为安全审计没有达到合规要求而面临处罚,因此,新等级保护制度下,安全审计措施的缺失不仅仅将使单位存在安全防护短板,更将会给单位带来严重的合规风险。
2、控制要求
《网络安全法》第二十一条之(三)规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
等级保护标准中针对网络安全审计的要求包括:
- “应在网络边界、 重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;”(1.3.5 a)
- “审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;”(1.3.5 b)
- “应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;”(1.3.5 c)
- “应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析”。(1.3.5 d)
3、控制措施
网络安全审计系统通过镜像获取通过核心交换机上流量数据可对整个网络的流量进行审计分析,可对用户的行为进行审计。包括:
(1)对用户的HTTP、邮件、FTP、TELNET等应用进行审计。
(2)对远程桌面、QQ远程等远程访问行为进行审计。
(3)对用户的互联网访问行为进行审计。
(4)本地日志可以FTP、USB等方式导出,支持将日志发送至外置日志存储系统,确保日志记录满足合规要求。
网络安全事件的踪迹一般都分布在网络的边界设备、安全设备、访问控制设备的日志中,除对网络流量中用户的行为进行审计分析外,发现网络安全事件也是网络安全审计的重要目标,集中安全审计系统通过收集网络设备、安全设备、服务器、应用系统等的日志信息,结合网络流量日志进行关联分析,可以快速发现网络安全事件,并进行定位和报警,相关功能描述可参见“集中安全运营与管理”部分。
4、产品部署
网络安全审计系统通过旁路部署在核心交换机,通过分析网络流量进行用户行为的分析审计。
6.4 安全计算环境
6.4.1主机身份鉴别与访问控制
1、安全风险
信息系统面临的一个主要安全威胁就是身份信息被假冒,随着攻击技术的发展,对于常见的身份鉴别方式,如用户名+密码,采用字典攻击等手段进行破解仅仅需要几分钟甚至更短,因此,对于重要的操作系统和应用系统用户的身份鉴别信息应具有不易被冒用的特点,采用口令或指纹等生物识别方式加基于密码技术的身份鉴别手段实现双因素认证,是实现身份安全可靠的重要手段。
XXX系统的主机环境涵盖了服务器、终端和网络设备操作系统、系统软件、应用系统、数据库等。这些设备和系统用户在登录时,应进行身份鉴别,并对系统进行最小化授权。
XXXX系统所有涉及的系统用户(包括技术支持人员,如操作人员、网络管理员、系统程序员以及数据库管理员等)应当具备仅供其个人或单独使用的独一无二的标识符(即用户ID),以便跟踪后续行为,从而责任到人。
2、控制要求
等级保护制度在“安全计算环境”中,对包括终端和服务器设备操作系统在内的保护对象统一提出了安全保护要求,包括身份鉴别和访问控制要求。
身份鉴别要求包括:
- “应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;”(1.4.1 a)
- “应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;”(1.4.1 b)
- “应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”。(1.4.1 d)
访问控制要求包括:
- “应对登录的用户分配账号和权限;”(1.4.2 a)
- “应重命名或删除默认账户,修改默认账户的默认口令;”(1.4.2 b)
- “应及时删除或停用多余的、过期的账户,避免共享账户的存在;”(1.4.2 c)
- “应授予管理用户所需的最小权限,实现管理用户的权限分离。”(1.4.2 d)
- “应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;”(1.4.2 e)
- “访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;”(1.4.2 f)
- “应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。”(1.4.2 g)
3、控制措施
针对主机的双因素身份鉴别一般可采用专业的终端安全登录产品,终端安全登录产品可结合单位的CA系统实现基于数字证书的双因素认证,终端安全登录产品所使用的密码设备应符合国家密码管理相关要求。
针对主机访问控制的要求,采用服务器加固系统,并进行以下安全配置:
- 启用访问控制功能,依据安全策略控制用户对资源的访问;
- 根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
- 严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
- 及时删除多余的、过期的帐户,避免共享帐户的存在;
- 对重要信息资源设置敏感标记;
- 依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
对重要的主机系统采用专业的主机安全加固系统对主机进行整体安全防护,设置强制安全访问控制策略,从而使操作系统达到B1级高安全级别。对数据库进行安全配置,对于存储大量敏感数据的数据库采用安全数据库或数据库防火墙进行保护。
4、产品部署
终端安全登录产品分为服务器端和客户端,服务器端作为重要的管理端设备一般部署在安全管理区,客户端部署在各业务终端上。
6.4.2一体化终端安全防护
1、安全风险
系统内部面临的各种威胁,尤其是大量的终端系统,面临来自病毒木马的入侵、各种类型设备接入不同网络区域不易管理、容易引发泄密等所带来的问题、需要人工维护各类系统进行补丁升级等工作所带来的巨大工作量…这一系列问题都为单位终端安全管理带来的极大的挑战。
而随着单位安全建设的推进,由于受条件和其它因素限制,在针对上述解决问题制定解决方案的时候,企业往往采取了分而治之的方式,某一类问题就采用一套独立的系统解决问题。现在再回顾的话,企业内部可能部署了多套系统,而这些系统甚至来自不同的厂商,彼此独立完成不同的功能。同时,这些各种各样的安全系统也给企业安全带来了一些新的问题:
(1)终端被各种软件占据,资源耗费巨大
各系统均有独立的数据库、内存加载项、数据扫描行为等一系列资源需求,包括对磁盘存储需求、内存需求、CPU需求等,这些资源需求往往处于自身软件设计的考虑,极易导致对整体终端系统资源的较大消耗,影响用户实际使用体验,干扰用户正常业务工作。
(2)系统之间容易产生冲突
终端安全软件实现方式往往采用进程注入、API挂载、驱动挂载等系统级的处理方式,使得安全软件之间的兼容性,安全软件与其它软件的兼容性出现问题。譬如某软件安装后,其它软件出现功能无法使用、软件无法启动、系统蓝屏等问题。由于终端系统的复杂性,这种兼容性所带来的问题往往都比较难以处理。
(3)系统之间独立,无法联动
安全从过去的孤立针对某个方面的防护已经全面进入大数据阶段,通过各种数据的整合、分析、处置是应对新型威胁的有效办法。而过去安全建设所产生的多种安全防护体系彼此孤立,无论从系统层面还是数据层面都无法进行有效整合,从而造成实际防护效果大打折扣,在应对未知威胁时捉襟见肘。
(4)管理维护困难
多个安全系统的存在意味着针对每个系统要有不同的运维管理的工作量,如系统的安全策略的定义、细化、调优、更改,系统的更新,系统日志管理、数据库管理等一系列工作。这无疑给安全管理人员提出来非常高的要求,这不仅仅是增加了工作量,而且要求管理员在不同的系统之间进行管理切换必须充分了解每个系统之间细微的差别,以确保对系统的设置不会出错。
2、控制要求
除了终端身份鉴别和访问控制外,等级保护对终端的安全防护主要从以下几个方面进行要求:
- “应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;”(1.4.5)
- “应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;”(1.4.3 a)
- “审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;”(1.4.3 b)
- “应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;”(1.4.3 c)
- “应对审计进程进行保护,防止未经授权的中断。”(1.4.3 d)
- “应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”。 (1.5.4 e)
3、控制措施
综合分析单位面临的终端安全风险,需要一个综合的终端安全管理系统,以应对不同层面的安全需求,满足合规要求,而满足这些安全需求的同时,又不会割裂这些系统之间的关系,使得他们能在统一的安全环境里执行一致的安全策略,并互相协同,发挥最大的安全防护效率。
采用终端安全管理系统作为终端合规管控一体化解决方案。通过建设恶意代码防范体系、落实终端安全管理技术措施、启用统一终端运维、开启安全审计功能,来建设终端合规一体化体系,一体化终端安全管理的建设内容如下:
(1)终端恶意代码防护
全网部署终端安全管理系统客户端代理,通过集中管理端实现对病毒查杀策略、病毒库的统一升级管理。通过采用云查杀引擎、未知病毒检测等新技术,解决传统防病毒软件本地特征库对新型病毒查杀效果不明显的问题。
在终端安全管理系统的控制中心制定策略,进行全网终端的流量监控、非法外联监控、应用程序黑白名单控制、外设管控、桌面安全加固等。
(3)终端软件管理
通过策略配置和日志报表功能,管理员可以掌握网内软件使用情况,及时发现异常,保证企业内部网软件的正常运行和软件安全性,支持单位软件的统一分组、定时分发,并可实现自动安装应用以及强制卸载应用,帮助管理员按照企业规定管理终端用户软件的安装。
办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要进行全面的补丁管理,终端安全管理系统控制中心对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,并能实现对补丁库的统一升级和管理。
终端安全管理系统统一运维功能,实现全网终端硬件资产管理,并且通过远程协助功能,当终端需要远程帮助的时候,运维人员向终端用户发送远程控制请求,等终端用户确认后,协助IT维护人员高效的完成终端运维工作。
终端安全管理系统通过综合审计功能,对终端用户的行为进行审计,审计内容包括软件使用日志、外设使用日志、开关机日志、系统帐号日志、文件操作日志、文件打印日志、邮件记录日志等;并提供报表功能,对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、安全配置、文件及应用日志、终端事件告警等信息进行报表统计。
4、产品部署
在网络内部部署终端安全管理系统控制中心和终端,终端通过控制中心连接到升级服务器进行升级、更新等。终端根据控制中心制定的安全策略,进行杀毒、修复漏洞、运维管控、移动存储管理等安全操作。
6.4.3主机脆弱性评估与检测
1、安全风险
漏洞是系统固有的弱点,是由软硬件开发设计缺陷导致的,而这些设计缺陷往往是不可避免的,只能尽可能消除却无法完全避免,这些漏洞有些是人为的,有些是技术能力所限,但一旦这些漏洞被恶意人员利用,都将给系统带来巨大威胁,而有目的的攻击组织行为往往利用未被公开的漏洞进行恶意攻击,造成的后果往往是灾难性的,因此,单位不许持续发现和关注系统内的漏洞,尤其是高危漏洞,并及时地修补漏洞或者采取其他措施规避风险。
2、控制要求
按照等级保护的要求,主机系统应定期进行漏洞评估并进行安全配置,这些要求包括:
- “应能发现可能存在的已知漏洞, 并在经过充分测试评估后,及时修补漏洞;”(1.4.4 e)
- “应关闭不需要的系统服务、默认共享和高危端口”。(1.4.4 b)
3、控制措施
漏洞扫描系统针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试。测试系统补丁更新情况,网络设备漏洞情况,远程服务端口开放等情况并进行综合评估,在黑客发现系统漏洞前提供给客户安全隐患评估报告,提前进行漏洞修复,提前预防黑客攻击事件的发生。
通过部署漏洞扫描系统,可以帮助用户快速建立针对自己网络的安全风险评估体系。
(1)发现内部资产
帮助用户快速发现内部资产,避免未知资产带来的安全风险,实现内部IT资产的标识和分类管理,方便安全扫描策略的部署何风险评估的进行
(2)实现针对内部网络的脆弱性评估
通过漏洞知识库以及多样的漏洞扫描策略,针对网络设备、系统主机、应用程序等存在的漏洞和风险进行有效评估,并生产完善的评估报告,帮助用户建立起高效的安全漏洞管理解决方案。
(3)建立完善的漏洞管理和风险评估体系
通过定期的漏洞扫描和漏洞验证帮助用户形成规范的全网漏洞管理体系,并辅以风险报表以及解决方案建议,为用户提供了完整的从漏洞发现、验证、修复建议的流程。
(4)解决漏洞原因造成的安全问题
实时漏洞扫描,定期安全漏洞评估帮助用户及时修复当前系统中存在的漏洞,避免漏洞问题造成的安全威胁和带来的安全隐患。
4、产品部署
漏洞扫描系统可旁路部署在待评估网络中的核心交换机上,网络可达待评估的主机、网络设备和系统软件。
6.4.4虚拟机安全防护
1、安全风险
虚拟化技术的采用在传统计算架构上增加了一个新的虚拟化软件层,也就引入了新的攻击面,而且虚拟化软件层往往运行在核心态,具有最高特权,针对虚拟软件化层的攻击将直接对上层的虚拟机和应用带来安全威胁。
(1)核心的宿主机安全问题
一直以来无论虚拟化厂商或安全厂商都将安全的关注点放在虚拟机系统和应用层面,直到近期“毒液”安全漏洞的出现,才将人们的目光转移到宿主机。由于宿主机系统本身也都是基于Windows或Linux系统进行底层重建,因此宿主机不可避免的会面对此类漏洞和风险问题,一旦宿主机的安全防护被忽略,黑客可以直接攻破虚拟机,从而造成虚拟机逃逸,即进程越过虚拟机范围,进入到宿主机的操作系统中。所以,宿主机的安全问题是虚拟化安全的根基。
(2)虚拟机之间的攻击问题
虚拟化就是将现有资源进行重复利用和系统应用集中化的过程,在向虚拟化迈进的过程中需要将原有物理服务器中的系统和应用进行数据迁移,当把不同安全等级或不同防护策略的虚拟机集中运行在同一台宿主机上时,就会出现安全问题。虚拟机和虚拟机之间的通讯依靠虚拟机交换机,由于虚拟交换机的宽泛性,所有的虚拟机都可以随时互相通讯,那么当其中一台虚拟机感染病毒或存在漏洞时,攻击者便可以利用漏洞控制这台虚拟机,然后向宿主机上其他虚拟机发起攻。由于传统的硬件安全设备无法对虚拟机之间的交互进行检测防护,不能对其他虚拟机提供安全防护能力,攻击者就可以无阻的攻击其他虚拟机。
(3)漂移导致的安全域混乱
虚拟化技术带来了弹性扩展这一优秀特性,是通过虚拟机漂移技术来实现,当宿主机资源消耗过高或者出现故障时,为了保证虚拟机上的业务稳定,虚拟机会漂移到其他的宿主机上。企业的数据中心在虚拟化后,一旦发生虚拟机漂移,原有安全管理员配置好的安全域将被完全打破,甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域这样的情况。而依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定,使得安全域混乱,安全管理出现风险。
2、控制要求
新等级保护制度中对主机的安全防护要求同样适用于虚拟机操作系统,在等级保护测评要求中,明确了对主机检测对象范围为“包括宿主机和虚拟机操作系统”,因此,在采用了服务器虚拟化(非云计算平台)和虚拟终端部署模式的主机环境,同样需要进行身份鉴别与访问控制、恶意代码方法、入侵防范和系统安全加固。
3、控制措施
针对虚拟主机可以采用虚拟化安全管理平台系统对虚拟主机进行统一的安全防护。
(1)恶意软件防护。无需在虚拟机内部安装杀毒软件,防止其受病毒、间谍软件、木马和其他恶意软件的侵害。能实现恶意代码特征库的自动更新。
(2)进程管控。支持白名单和黑名单方式,可针对不同的用户场景灵活配置管控规则,未被允许的进程将无法使用,彻底阻止勒索软件或其他恶意软件执行。
(3)防火墙。对虚机进行微隔离,不但能控制南北向流量,还可以控制云平台内部虚拟机之间的东西向流量。按照IP 地址、端口、流量类型以及流量方向来配置防火墙规则。
(4)应用控制。对应用协议进行分类,针对分类配置阻断、放行策略,对于新增的应用,能自动应用分类的配置策略。自动更新应用解析的规则库,不断增加新应用的支持,及时识别更新后的网络应用。
(5)入侵防护。对已知的漏洞进行虚拟修补,在虚拟机系统及应用不进行安全补丁升级的情况下,防御针对漏洞的攻击。防护SQL 注入,跨站脚本攻击及其他的利用Web 应用程序漏洞的攻击,并能及时防御针对最新漏洞的攻击。
(6)DDoS防护。对TCP、UDP和ICMP Flood攻击的防护,能针对每台虚拟机单独进行流量清洗。
4、产品部署
虚拟化安全管理系统有安全组件和管理中心两部分组成:
(1)管理中心
管理中心接收安全组件上传的安全事件和网络流量日志,通过多维度、细粒度的大数据分析,并以可视化的形式展现给用户,从而帮助用户对已知威胁进行溯源,并对未知威胁进行预警。
(2)安全组件
安全组件安装在数据中心每个计算节点、物理服务器上,接收管理中心配置的安全策略,对虚拟机或物理终端进行文件、网络和系统的安全防护,并将安全事件及行为日志上传到管理中心进行分析。
6.4.5应用身份鉴别与访问控制
1、安全风险
随着移动信息化的到来,企业办公也不局限于固定工位,办公人员可以在任何时间(Anytime)、任何地点 (Anywhere)处理与业务相关的任何事情(Anything),从而打造3A办公新模式。
移动办公给企业员工带来方便的同时,随之而来的就是移动办公安全问题,如何防范终端安全威胁、保障身份安全、管理用户权限、保护数据安全是每个企业所重点关注的,也是每个安全厂商急需解决的问题。
2、控制要求
根据等级保护要求,在主机操作系统以及应用和数据等多个层面都有对身份鉴别的安全要求。针对应用系统要求
- “应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;”(1.4.1 a)
- “应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;”(1.4.1 b)
- “应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”(1.4.1 c)
3、控制措施
因此,需要实现对应用系统访问的双因素认证,采用身份认证服务系统可以实现对用户身份的统一管理和多种方式组合的强身份认证。
身份认证服务系统可以与安全接入网关(SSL VPN)共同构建应用身份解决方案,该解决方案主要实现以下功能:
(1)多因素身份认证
根据不同的应用场景,可以提供动态口令、数字证书、指纹、二维码等身份安全机制。
(2)口令传输安全加密
身份认证系统与终端间传输的认证信息进行加密处理,加密算法采用RSA、DES、3DES、AES等多种加密算法组合。为了满足国家信息安全的需要,系统同时支持SM系列国密算法,大大降低了认证信息被劫持、被破译的风险。
(3)数据传输加密
在用户通过认证接入SSL VPN后,客户端和服务端通信,传输的数据都默认使用安全的SSL传输技术。确保用户账号密码、动态秘钥、应用数据传输的高安全性及稳定性。同时支持移动终端隧道控制策略,实现移动终端连接VPN以后,移动终端数据只能走VPN,不能访问互联网,从而实现防止数据泄密。
同时,为了满足国密办信息安全的相关规定,加强密码算法的安全性。SSL VPN完整支持国密算法,包括 SM1、SM2、SM3、SM4。
(4)访问控制
为不同职责人员匹配不同业务应用,精细化访问控制技术能够细粒度控制接入可以到用户级、资源级,甚至下到URL和文件级的权限,这样不同的用户拥有不同的访问权限。
(5)虚拟工作区
为防止工作区的数据遗落到个人数据区,SSL VPN采用虚拟工作区进行数据分离。个人数据与企业数据进行隔离,落地数据加密,第三方应用或转发到其它设备当中无法打开查看。 启用虚拟工作区之后,终端数据落地加密,数据采用AES256或者SM4加密算法,防止终端数据被拷贝出去而造成数据泄密。
当VPN客户端被卸载、设备进行了Root或者设备超过一定时间不能连接上网关的情况下,移动终端数据可以远程擦除,防止数据泄密。
4、产品部署
身份认证系统分为两部分组成:硬件平台与客户端APP。硬件平台采用旁路部署在企业内网,与用户的业务系统/认证系统做到网络可达即可,客户端兼容支持PC、平板、手机(android与ios)。
6.4.6WEB应用安全防护
1、安全风险
传统网络层对Web服务器的防护方式主要是使用防火墙作为安全防护的基础设施,同时辅以IPS设备作为应用层安全检测设备,同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点:
(1)防火墙设备对于开放端口的Web服务没有防护能力
一般的网络中都会部署防火墙作为安全防护设备,但防火墙仅能控制非授权IP对内不得访问,对外应用服务器,是被防火墙允许的访问。由于实现原理的限制,防火墙对于病毒或黑客在应用层面的入侵攻击“视而不见”。
(2)入侵检测防御系统(IPS)对于病毒的攻击行为反应缓慢
IPS主要负责监测网络中的异常流量,对受保护网络提供主动、实时的防护,特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于IPS对WEB的检测粒度很粗,随着网络技术和Web应用的发展复杂化,IPS在更需要专业安全防护特性的WEB防护领域已经开始力不从心。
Web服务器端是Web安全防护的重要环节,虽然Web服务器做了相关的安全防护。但服务器端的安全设置较为专业、复杂,一旦设置不合理,就使得Web服务器端很容易成为恶意攻击入侵的对象。
2、控制要求
在等级保护要求中对于计算环境的安全防护明确要求:
- “应能发现可能存在的已知漏洞, 并在经过充分测试评估后,及时修补漏洞;”(1.4.4 e)
- “应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。”(1.4.4 f)
3、控制措施
可以采用WEB应用防火墙对WEB应用进行安全防护。WEB防火墙可针对WEB应用实现以下防护功能。
(1)漏洞防护
Web应用防火墙能够对SQL注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。
(2)攻击防护
Web应用防火墙能够对用户请求提供多重检查机制和智能分析,确保对高安全风险级别攻击事件的准确识别率。针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段, WAF系统提供了有效识别、阻断并告警。
(3)网页代码检查
Web应用防火墙能够对用ASP、ASPX、JSP、PHP、CGI等语言编写的页面,对用SQL Server、MySQL、Oracle等数据构建的网站进行检查,能够在客户网站被挂马之前发现网站的脆弱点,从而使客户可以未雨绸缪,避免挂马事件的发生。
(4)访问加速
Web应用防火墙通过在现有的互联网中增加一层新的网络架构,将网站服务器内容缓存到系统内存中,使用户可以就近取得所需内容,降低服务器的压力,解决互联网拥挤的状况,提高用户访问服务器的响应速度。从而解决由于网络带宽小、用户访问量大、网点分布不均等原因所造成的用户访问网站响应速度慢的问题。
(5)挂马检测
多数攻击者在成功入侵并不采取直接的网站篡改,为了获取更多的经济利益往往采取比较隐蔽的方式,其最终目的是为了盗取用户的敏感信息,如各类账号密码,甚至使用户电脑沦为攻击者的“肉鸡”。一旦网站服务器成为传播病毒木马的“傀儡帮凶”,将会严重影响到网站的公众信誉度
(6)网页防篡改
Web应用防火墙内置有网页防篡改监控平台,可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与Web应用防火墙的网络中断时,网页文件会被自动锁定,所有“写”的权限进行封锁,只有“读”的权限。当网络恢复中,所有相关权限会自动下发,网站正常恢复更新。
4、产品部署
部署采用纯透明串行接入模式,交换机上串行接入Web应用防火墙,所有Web请求和恶意访问攻击均由Web应用防火墙来承担处理,清洗、过滤后Web应用防火墙向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好的防范来自互联网的威胁,保护网站的安全、稳定、高性能运行。
6.4.7应用开发安全与审计
6.4.7.1应用系统安全功能实现
1、安全风险
许多应用系统在设计之初往往只注重业务功能的实现,对系统安全功能的需求重视不够,在开发过程中没有进行安全功能的同步设计和实现,导致系统在上线后,自身安全机能不足,需要靠外挂安全机制进行弥补,既增加成本,又无法达到较好的效果。
应用系统承载着单位的重要业务,应用开发过程中也应按照“三同步”的原则,同步设计和开发安全功能,并在系统上线后同步进行应用安全配置。
2、控制要求
在等级保护中对于应用系统在身份鉴别、访问控制、安全审计、入侵防范、数据保护、剩余信息保护和个人信息保护等方面都提出了明确的要求,需要在应用开发过程中通过相应的安全机制实现。
3、控制措施
在系统开发过程中,应当在设计阶段同步考虑安全功能的设计,并在系统编码阶段同步实现安全功能,按照等级保护的要求,应用系统应具备以下安全功能:
(1)身份鉴别
- 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
- 应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
- 应强制用户首次登录时修改初始口令;
- 用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全;
- 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
(2)访问控制
- 应提供访问控制功能,对登录的用户分配账号和权限;
- 应重命名或删除默认账户,修改默认账户的默认口令;
- 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
- 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
- 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
- 访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
- 应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
(3)安全审计
- 应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
- 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
- 应确保审计记录的留存时间符合法律法规要求;
- 应对审计进程进行保护,防止未经授权的中断。
(4)入侵防范
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
(5)数据完整性
- 应采用校验码技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
- 应采用校验码技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
(6)数据保密性
- 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
- 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
(7)剩余信息保护
- 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
- 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
(8)个人信息保护
- 应仅采集和保存业务必需的用户个人信息;
- 应禁止未授权访问和非法使用用户个人信息。
6.4.7.2开发代码安全
第三方软件开发商应具备相应的开发资质,在应用开发过程中采用安全开发过程管理,并采用代码安全检测工具在开发过程中进行代码安全检测与审计,并要求第三方开发厂商提供系统源代码。
6.4.8数据加密与保护
数据是单位的核心资产,是攻击者的最终目标,数据分布在单位信息系统的各个组件中,被大量终端用户进行访问和处理,数据的分散性和流动性导致数据在产生、处理、流转、存储等生命周期中各个环节都面临着巨大的安全风险,必须系统等,全面地对数据安全风险进行分析,并采取有效的措施保护数据安全。
2、控制要求
等级保护制度中,对于数据安全的防护要求主要是从完整性和保密性进行规范的,并主要定义了数据在传输和存储环节的安全要求,包括:
- “应采用校验技术或密码技术保证重要数据在传输过程中的完整性, 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;”(1.4.7 a)
- “应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。”(1.4.7 b)
- “应采用密码技术保证重要数 据在传输过程中的保密性,包括但不限于鉴别数据 、重要业务数据和重要个人信息等;”(1.4.8 a)
- “应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。”(1.4.8 b)
3、控制措施
数据的完整性和保密性保护措施可以在应用系统开发过程中同步采取基于密码技术的相关功能实现,但数据保护是个复杂的过程,由于数据的分散性和流动性,在终端、网络、数据库等各层面也需要采用相关的数据防护措施。
建议通过以下具体的技术保护手段,在数据和文档的生命周期过程中对其进行安全相关防护,确保内部数据在整个生命周期的过程中的安全。
(1)加强对于数据的分级分类管理
对关键敏感数据须设置标记,对于重要的数据应对其本身设置相应的认证机制。
(2)加强对于数据的授权管理
对文件系统的访问权限进行一定的限制;对网络共享文件夹进行必要的认证和授权。除非特别必要,可禁止在个人的计算机上设置网络文件夹共享。
(3)数据和文档加密
保护数据和文档的另一个重要方法是进行数据和文档加密。数据加密后,即使别人获得了相应的数据和文档,也无法获得其中的内容。
网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。
当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
(4)加强对数据和文档日志审计管理
使用审计策略对文件夹、数据和文档进行审计,审计结果记录在安全日志中,通过安全日志就可查看哪些组或用户对文件夹、文件进行了什么级别的操作,从而发现系统可能面临的非法访问,并通过采取相应的措施,将这种安全隐患减到最低。
(5)进行通信保密
用于特定业务通信的通信信道应符合相关的国家规定,密码算法和密钥的使用应符合国家密码管理规定。
对于存在大量敏感信息的系统,还可针对信息系统和数据在使用过程中面临的具体风险进行整体地分析,采用专业的数据防泄密系统(DLP)对数据进行全生命周期防护。
6.4.9数据访问安全审计
1、安全风险
单位大量敏感数据都保存在数据库中,数据库存在的安全风险主要表现在:
(1)无法通过本地部署访问控制,及时发现或阻断超级用户对数据发起的访问。
(2)分布式技术的部署,导致用户对数据的真实存储位置不可知。
(3)虚拟化技术的运用,使用户难以获知正与哪个或者哪些其他用户共享相同的存储或处理设备,对于提供商在解决数据隔离保护问题方面部署措施的有效性更是难以获得充分、可信的信息。
2、控制要求
新等级保护要求对计算环境中包括数据库在内的保护对象有着明确的审计要求,包括以下:
- “应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;”(1.4.3 a)
- “应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;”(1.5.2 a)
- “应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。”(1.5.2 b)
3、控制措施
数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括:
(1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息
(2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据
(3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断
(4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警。
4、产品部署
一般情况下,数据库审计系统旁路部署在服务器区,对数据库访问行为进行审计。
6.4.10数据备份与恢复
等级保护制度中,针对数据的备份和恢复要求,应用数据的备份和恢复应具有以下功能:
1、应提供重要数据的本地数据备份与恢复功能;
2、应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
3、应提供重要数据处理系统的热冗余,保证系统的高可用性。
目前,XXX项目信息系统需要建立了异地备份机房,实现数据信息和业务系统的实时备份,在本方案设计中,将对信息系统的网络架构采用冗余网络,其技术架构将完全满足备份和恢复的要求。
6.5 安全运营管理中心
6.5.1设备安全运维与审计
1、安全风险
在日常信息系统运维过程中,由于未进行安全运维,可能带来以下安全问题,主要包括:
(1)特权账号的存在,操作系统自身难以实现权限最小化,从而导致过度授权、数据泄露等一系列安全风险;
(2)运维过程引入第三方服务已是常态,运维人员的误操作、恶意操作行为时有发生;
(3)缺乏有效的审计和控制手段,系统无法满足等级保护需求。
2、控制要求
等级保护制度中针对计算环境中的设备管理安全和操作安全有着明确的要求,包括:
- “应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;”(1.4.1 a)
- “当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;”(1.4.1 c)
- “应对登录的用户分配账号和权限;”(1.4.2 a)
- “应及时删除或停用多余的、过期的账户,避免共享账户的存在;”(1.4.2 b)
- “应授予管理用户所需的最小权限,实现管理用户的权限分离;”(1.4.2 d)
- “应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;”(1.5.3 a)
- “应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理”。(1.5.3 b)
- “应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;”(1.5.1a)
- “应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。”(1.5.1b)
3、控制措施
运维审计堡垒机技术主要将运维人员与被管理设备或系统隔离开来,所有的运维管理访问必须通过堡垒机进行。运维人员在操作过程中首先连接到堡垒机,由堡垒机进行身份认证和权限检查后,代替用户连接到目标设备完成远程管理操作,并将操作结果返回给运维人员,同时堡垒机对所有的运维操作及结果进行审计记录。
堡垒机实现了运维管理的集中权限管理和行为审计,同时也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。
堡垒机的主要功能包括:
运维人员可以通过B/S、C/S两种方式登陆堡垒机并进行服务器的安全管理工作。系统支持单点登录功能,运维人员登录系统时,只需输入一次系统的主帐号,无需输入服务器的操作系统帐号密码即可访问所有授权范围内的服务器等资源。
服务器账号和密码共享是一种普遍存在的现象,账号共享会导致安全事件无法清晰地定位责任人。堡垒机为每一个运维人员创建唯一的运维账号(主账号),并与服务器账号(从账号)均进行关联,确保所有运维行为审计记录均可定位至自然人,能够有效解决账号共用问题。
(3)身份认证
堡垒机支持多种双因素身份认证方式:本地认证、短信认证、手机令牌、动态令牌、数字证书等。
通过集中统一的访问控制和细粒度的命令授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
对于管理用户的操作审计包括,事件查询、历史操作图形回放、审计报告。能按照不同方式进行事件查询,审计人员可以根据操作时间、源、目标IP地址、用户名(运维、主机)、操作指令等条件对历史数据进行查询,快速定位历史事件。
能够以视频回放方式,可根据操作记录定位回放或完整重现运维、外包人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
(6)审计报表
堡垒机具有报表功能,内置能够满足不用客户审计需求的安全审计报表模板,可以自动或手工方式生成运维审计报告,便于管理员全面分析运维的合规性。
4、产品部署
堡垒机采用旁路部署,运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈。
6.5.2集中安全运营与管理
1、安全风险
信息系统上线运行后,面临大量的日常运维工作,随着信息化的发展,用户网络日益复杂,而各种安全威胁呈现爆发式增长,传统的安全运维工作面临用户巨大挑战,网络中主要面临以下几点安全风险:
(1)复杂的网络环境让安全工作无从下手
政府的网络和业务越来越复杂,政府的安全管理员也常常搞不清楚企业内网的具体状况,如:内部网络总共有多少互联网出口?总共有哪些资产?哪些服务器是重点服务器?网络中都有哪些常见行为?安全策略是否都已生效?等等。如果连这些企业内网的基本环境都无法准确掌握,那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下,攻击者即便是大摇大摆的出入政府的敏感数据区域也无人知晓,投入了大量资金建设的安全防御体系也成了摆设。
(2)围墙式的防御体系不再适应当前的网络环境
传统的安全体系建设往往是根据不同业务的安全需求,将内网分割成不同的区域分而治之,大家认为只要在边界上做好了安全控制,就能实现攻击的有效检测和防御。但随着互联网+时代的到来,云计算、移动互联等新技术、新产品、新服务在企业或组织内部应用越来越广泛,原来的边界已经变得非常模糊。虽然网络中部署了一些安全设备和系统,但这些设备和系统基本都是各自独立的,形成了一个个安全孤岛。对于一些复杂的攻击行为,依靠单一的安全设备往往不是难以发现问题就是产生过多误报。只有将这些安全孤岛整合起来,打通数据间的隔阂,形成企业或组织的全面数字安全感知体系,才能真正实现安全威胁的积极防御和有效应对。
2、控制要求
新等级保护制度强化了对集中安全管控的要求,要求各单位建立安全管理中心,明确系统管理员、审计管理员和安全管理员的职责,并进行职责和权限划分,针对集中管控的要求包括:
- “应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;” (1.5.4 a)
- “应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;”(1.5.4 b)
- “应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;” (1.5.4d)
- “应能对网络中发生的各类安全事件进行识别、报警和分析。” (1.5.4f)
3、控制措施
采用态势感知与安全运营平台(NGSOC)可以实现对系统的集中安全管控,态势感知与安全运营平台作为单位集中安全运营的主要技术支撑平台,可以实现以下功能。
(1)威胁管理
态势感知与安全运营平台提供面向威胁全生命周期的管理功能,可以通过多种威胁检测手段对威胁进行发现,并集中呈现全网的各种威胁情况。客户可结合各自需要对威胁进行筛选、标记、处置。同时态势感知与安全运营平台也支持针对威胁的处置工单下发,管理者可以指定对应威胁的处置责任人,通过邮件、短信、消息中心等方式进行通知,由其对威胁进行处理,并跟踪工单流转状态。态势感知与安全运营平台也支持根据设定的动作进行自动化通知下发告警,提升日常运营工作的效率。
(2)资产管理
资产管理是态势感知与安全运营平台的重要功能模块,能够提供对网内资产的扫描发现、手工管理、资产变更比对、资产信息整合展示等基本功能。资产发现部分,态势感知与安全运营平台可以通过IP扫描、SNMP扫描、流量发现等手段对网内IP的存活情况进行跟踪,一旦发现超出当前管理范围的IP,用户可以导出相关数据进行编辑后录入资产数据库。而对于已经录入资产数据库的资产,用户可以通过分组、标记等方式对资产做更加细致的管理,态势感知与安全运营平台也会提供长期的服务、流量、威胁相关的监控,所有资产相关的监控数据在资产详情页均可查看。而且为了方便用户快速掌握资产信息,态势感知与安全运营平台上任何一个威胁如果涉及到资产信息,用户均可直接在告警上查看到相关资产的基本信息并能够快速切换到资产页面查看对应详情。资产详情中将展现资产属性基本信息、资产相关告警信息、资产相关漏洞信息及资产相关账号信息,可视化呈现资产的多维度信息。
(3)拓扑管理
态势感知与安全运营平台可以对单位网络拓扑进行扫描和发现,用户可以将管理好的资产直接添加到任何一个自定义网络拓扑中,并对拓扑进行相关编辑。在拓扑管理页面,用户可以连接任意资产、调整拓扑的展示布局、隐藏连接关系、隐藏资产名称、查看资产详情,完成拓扑绘制相关的所有工作。同时为了实现逻辑拓扑和实际拓扑的映射,态势感知与安全运营平台提供了实际拓扑与逻辑拓扑图映射的功能,用户可以将实际拓扑上的关键设备映射到逻辑拓扑图上的指定区域,以此帮助用户快速理解实际拓扑对应的管理责任。拓扑管理生成的拓扑图在态势感知模块中将作为重要展示元素结合风险值进行展示,以从宏观层面体现企业内网的安全情况。
(4)漏洞管理
态势感知与安全运营平台能够直接调度指定厂家的漏洞扫描器,实现扫描任务的创建和下发。同时态势感知与安全运营平台支持导入多种厂家的漏洞报告,并且支持灵活自定义的漏洞报告解析规则,可以轻松适配不同客户的漏洞管理需求。对于导入的漏洞,态势感知与安全运营平台将按照资产的情况进行漏洞的归并展示,帮助用户直观的掌握资产漏洞情况。漏洞详情描述支持关联查询漏洞知识库,漏洞详细信息为处置提供依据。态势感知与安全运营平台支持针对漏洞进行处置状态管理、处置任务的工单下发,实现漏洞的闭环管理。
(5)日志搜索
态势感知与安全运营平台提供了针对事件/流量日志/终端日志的查询、检索模式,分别为快捷模式、高级模式及专家模式。用户可以使用快捷模式对日志中的各种字段进行查询。高级模式中支持与或非等逻辑语法,精确匹配、模糊匹配、通配符查询多种匹配方式,同时支持时间段、地址区间、数值范围等一系列区间查询,为用户提供了多样化的查询条件。态势感知与安全运营平台创新提供了专家模式搜索,通过学习成本较低的类SQL数据分析语言,实现数据累加求和、排序、筛选、剔除重复数据、计算差值、替换空值、格式化、提取正则表达式、比较差异、计算相关性等统计计算功能,并支持查询结果的可视化展现。
为了方便用户的查询操作,态势感知与安全运营平台提供搜索欢迎页面和搜索帮助中心,可快速了解快捷模式、高级模式、专家模式的使用说明和搜索结果字段说明。同时支持搜索规则的收藏和搜索历史记录。态势感知与安全运营平台也提供了快速筛选和字段统计功能,每次查询完成后,都会形成搜索结果的时间轴分布图,用户可以直接在图表上通过拖拽进行时间段的筛选。
(6)场景化分析
场景是指在特定的主题下,通过一系列图、表等可视化手段,依据攻防等经验构造的数据展示形式。场景化分析旨在提供用户相关的视角来查看相关数据,为其发现、判断网络安全问题提供帮助。解决了规则判定时,无法确定具体阈值的问题,用户可根据自己网络特点和经验进行判断。态势感知与安全运营平台可提供丰富的场景化分析结果呈现,包括内网安全、VPN安全、账号安全及邮件安全等。
(7)工单
态势感知与安全运营平台可提供流程化的工单管理功能,能够派发或接收针对威胁告警和漏洞的处置工单,并对与责任人相关的工单流转状态及处置进展进行跟踪。同时态势感知与安全运营平台支持根据待处置内容定义工单的级别及通知方式,可查看、编辑处置内容和工单任务,也支持对处置中的工单任务进行撤销及根据查询条件批量导出工单列表。
(8)调查分析
在单位的日常安全管理中,安全工程师经常需要不断地对安全事件进行分析、定性、处置。这一系列工作中都需要广泛的调取各种数据信息以保证每次判断都是有事实依据的,而传统的SOC产品均忽略了相关功能,安全工程师只能以纸质报告和截图代替。为此态势感知与安全运营平台特别开发了调查分析模块。用户可使用该功能针对任何需要调查的安全问题创建实例(case),将所有与要调查的问题相关的告警、日志、甚至其他文本、图片信息都录入case中,然后通过时间趋势展示、标注等功能可以回溯并记录问题的发展过程和相关影响,再通过搜索等功能不断的扩展其他的日志线索,丰富该问题的相关证据。最后在有支撑的情况下形成调查结论。
(9)知识库
态势感知与安全运营平台提供知识库功能,预置漏洞知识库等,漏洞知识库可根据漏洞名称、漏洞类型、CVE编号、CNNVD编号进行快速查询搜索,同时支持对漏洞扫描报告结果详情进行关联查询,也允许用户在系统使用过程中不断丰富和完善知识库。
(10)报表管理
态势感知与安全运营平台可以提供灵活的报表管理功能,可以支持快速报表,实时的输出期望的报表内容,也可按照客户指定的周期自动生成报表以帮助用户周期回顾安全情况。同时系统提供了报表模板的灵活编辑,用户可以根据自身需要在数十个预置报表展示内容中选择自身需要内容,调整顺序以形成自身需要的报表;并能够对报表进行定制。
(11)仪表展示
态势感知与安全运营平台能够提供人性化的首页仪表板展示,用户可根据个人需要创建自己的仪表板,通过拖拽、拉伸等交互调整仪表板上每一个展示内容的布局和大小,以形成用户化的仪表板展示。同时用户可以选择是否将相关仪表板设置为首页、分享给其他用户。仪表板上预置了几十种具体展示内容,其中覆盖了威胁统计、资产统计、日志统计、漏洞统计、工单分析等多个方面,可以帮助用户宏观的查看或监控整个单位的安全情况和系统的工作情况,而且用户可以直接通过仪表板跳转到对应功能页面,实现由宏观到微观的工作流程。
(12)安全态势
安全问题纷繁复杂,如何整体查看政府的安全情况并作出准确判断一直以来是安全管理的难题。态势感知与安全运营平台可以在多种安全功能基础之上提供态势感知模块。该模块可以帮助用户快速的、宏观的了解整个单位的安全情况,态势感知与安全运营平台可以提供资产风险态势感知和外部威胁态势感知。
在常规态势以外,不同用户经常有自身的感知需求,可针对不同场景进行态势感知定制。
4、产品部署
态势感知与安全运营平台主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件模块,对于设备运营需专业的驻场安全运营队伍进行系统运维。
(1)流量传感器
流量传感器的功能主要是采集网络中的流量数据,将原始的网络全流量转化为按session方式记录的格式化流量日志,全流量日志会加密传输给分析平台存储用于后期的审计和分析。同时对网络流量中传输的文件进行还原,还原后的文件会传输给文件威胁鉴定器用于判定文件是否有威胁。
流量传感器通常部署在网络出口交换机旁,或者其他需要监听流量的网络节点旁,接收镜像流量。
(2)日志采集探针
日志采集器的主要功能是对网络内各业务应用系统、设备、服务器、终端等设备通过主动采集或被动接收等方式对日志进行采集并进行归一化预处理,方便数据流后面的关联规则和数据分析能够快速使用。同时日志采集器还负责对内网资产进行扫描识别,收集资产数据。
(3)关联规则引擎
关联规则引擎主要负责对来自日志采集器的大量日志信息进行实时流解析,并匹配关联规则,对异常行为产生关联告警。通常关联规则引擎与分析平台和日志采集探针部署在同一位置。
(4)分析平台
分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。
态势感知与安全运营平台也可提供EDR/NDR自动响应功能,将相关告警推送到终端安全管理系统执行在主机上的调查分析和阻断操作,完成威胁检测与响应闭环。
(5)威胁情报
态势感知与安全运营平台引入了核心威胁情报数据,可以通过失陷类威胁情报直接对高级威胁或APT攻击进行检测和跟踪、并使用云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。
同时,态势感知与安全运营平台也支持用户威胁情报的自定义和第三方威胁情报的导入,通过这种方式可以为客户提供更加灵活和开放的失陷类情报管理。
(6)专业运维服务
态势感知与安全运营平台的核心是对安全事件进行检测告警并进行关联分析,同时以大数据技术为支撑,以云端威胁情报作为辅助,来发现安全事件并进行分析处理。而这些分析处理的人员需要掌握专业的安全事件分析的技术和能力,如果没有这种能力来运营则平台的效果和作用就会大打折扣。需要辅助用户共建安全运营能力,可以提供安全驻场服务来对安全事件进行分析,协助用户进行安全事件的处理,并定期出具安全分析报告。同时安全服务人员也是客户和厂商沟通的桥梁和纽带,可以将客户需求反馈给公司,并将公司的能力向客户推送。
6.5.3策略集中管理与分析
1、安全风险
随着单位设备的增加,安全策略的有效性和时效性已经成为运维的一大难题,需要通过技术手段实现集中化、可视化的网络边界访问控制管理,协助网络安全管理人员统一管理网络访问控制策略,并结合网络安全域管理和安全策略的定义,实时分析网络安全策略执行情况,通过细粒度的按需申请自动化部署安全策略,最小化网络受攻击面,从而提升网络安全运维人员效率,简化网络权限管理复杂度,避免人工操作造成的错误配置,保障配置管理和变更管理规范和合规。
2、控制要求
等级保护中对于安全设备的集中管控要求包括如下:
- “应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;” (1.5.4e)
- “应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。” (1.5.4c)
3、控制措施
采用防火墙策略集中管理与分析系统可以实现多网内防火墙设备策略的统一管理和集中监控,系统的主要功能如下:
通过管理分析系统可以配置防火墙的安全策略、NAT策略、安全认证策略、SSL解密策略、IP-MAC绑定、黑白名单、会话限制策略,并可以配置防火墙的对象,通过策略一起下发到防火墙上。
(2)统一升级
通过管理分析系统可以进行防火墙系统版本升级、打补丁或防火墙的资源库升级。
(3)防火墙状态监控
管理分析系统支持对被管设备进行状态监控,对包括CPU使用率、内存使用率、CPU温度、系统盘使用率、当前是否在线等的参数进行监控显示。并支持在地图中显示设备的位置和状态。
(4)防火墙日志管理和可视化报表
管理分析系统支持接收防火墙的所有类型的日志,并可以对日志进行存储,支持日志模糊搜索和按条件搜索。
管理分析系统支持对防火墙日志进行统计和分析。可视化展示威胁统计、流量统计、网络行为统计、阻止活动统计、日志量统计的结果;和应用分析、威胁分析、资产安全分析、终端行为分析的结果。并支持本地生成日报、周报或月报,可支持邮件发送给用户。
4、产品部署
防火墙集中管理与分析平台可部署在安全管理区,对网内防火墙策略进行统一管理。
6.5.4安全运营平台升级
近几年,国家对网络安全的事件检测、威胁分析、安全运营、态势感知等方面非常重视,“加强网络与信息安全保障”作为我国信息化建设的一个重要的指导思想,随着“十二五”建设的完成,我国各政府、部委、央企、金融及运营商等行业各自依据国家标准及各自的行业标准,基本逐步完成了各自的信息安全技术体系建设和信息安全管理体系建设,达到了国家和主管单位对于信息系统安全保障的基础要求。进入“十三五”期间,信息系统面临新的安全威胁形势,根据国家政策法规要求以及各行业的业务发展需求,需要各单位进一步全面提升网络安全防护能力。
2016年4月,习主席在网络安全和信息化工作座谈会发表了重要讲话,从整体战略的高度勾勒出了我国国家网络安全战略框架。习主席指出“当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”习主席还要求必须“全天候全方位感知网络安全态势”,只有加强大数据挖掘分析,更好感知网络安全态势,才能做到知己知彼,百战不殆。
《网络安全法》第一章第五条规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。说明国家对网络安全风险和威胁非常重视,对关键信息基础设施的安全非常关注。《网络安全法》第五章“监测预警与应急处置”则将监测预警机制提到了一个全新的高度,要求各行业和各领域均建立完善的网络安全监测预警机制。
在系统建设完成后,随着运营数据的不断增多,系统运行使用过程中各种安全问题的不断出现,需要持续优化安全运营能力,安全运营能力不仅是技术与平台,要结合人的能力。既需要对日常安全事件持续处理的运维人员,也需要能够对数据进行深度分析的研判分析人员,最终的汇总信息还需要能进行决策与行动安排的决策者。
综上,在安全能力建设中后续需考虑不断升级集中安全运营平台的技术服务能力,清晰梳理要监测与防护的最关键业务资产,然后应用合理的技术从基础网络层面获取尽可能完整的安全要素数据,这些数据越全,对威胁发生的过程、攻击链条看的就更全。再结合态势感知与安全运营平台以及集成了安全大数据能力的威胁情报,从整体层面来分析数据、发现威胁与异常,并结合安全服务来落地安全能力,发挥态势感知的真正作用。
6.6 整体安全防护效果
6.6.1技术防护措施总结
整个XXXX系统的网络拓扑结构如下图所示。
图 6 1 XXXXX系统整体网络拓扑图(示例)
整个技术防护体系采取的主要安全措施总结如下:
1、采用防火墙系统对区域边界进行访问控制,根据业务需求,设置访问控制策略,定期进行安全策略的优化和维护。
2、采取网闸系统对内外网之间进行安全隔离,同时,保证内外网数据的高效交换需求
3、采用入侵防御系统,并开启防火墙的AV模块(或部署防病毒网关),对网络入侵行为和网络层病毒进行检测和阻断,并进行告警。
4、采用专业抗APT攻击系统实现对新型网络攻击行为的检测、发现,并结合专家服务进行分析处置。
5、采用一体化终端安全管理系统、虚拟机化安全管理平台实现对物理主机、虚拟主机的安全防护,并对终端进行集中安全管控、集中病毒管理、统一补丁管理和安全审计;
6、采用SSL VPN实现对远程通信传输、远程终端数据的安全防护,实现基于互联网的传输加密和数据安全,并进行远程接入用户身份认证和访问控制。
7、采用堡垒机实现对设备的集中管理和运维审计,并实现运维管理日志的集中存储和安全运维。
8、应用系统开发同步考虑相关安全功能的实现,对重要的业务数据和系统鉴权数据进行加密存储。
9、采用应用身份认证服务平台实现对应用的双因素认证,并通过集成SSL VPN实现应用数据的传输安全。
10、采用网络安全审计系统、数据库审计系统、上网行为审计系统、一体化终端安全管理系统的审计功能实现对用户行为审计的全覆盖,并满足远程访问和上网行为审计需求。
11、采用态势感知与安全运营平台和抗APT攻击系统实现全网安全设备日志和安全事件的统一分析和告警,实现对高级威胁和未知威胁的发现、检测和告警,并提供安全事件报表。
12、采用防火墙集中管理与分析平台实现全网防火墙的自动化策略优化、下发、维护,实现策略可视化。
6.6.2与等级保护合规技术要求的对标
机房设计及建设需符合国家相关标准。
2、通信网络安全
| 安全要求点 |
安全要求项 |
对应技术措施 |
| 网络架构 |
a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
主要网络设备和安全设备的性能满足要求。 |
| b) 应保证网络各个部分的带宽满足业务高峰期需要; |
防火墙、核心交换机、网管系统的带宽管理功能。 |
|
| c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
防火墙区域隔离、网络设备VLAN划分 |
|
| d) 应避免将重要网络区域部署在网络边界处且没有边界防护措施; |
内部应用区域等重要网络区域采用防火墙(网闸或网关)进行隔离和访问控制。 |
|
| e) 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。 |
主干链路,核心交换机、防火墙采用双机双链路冗余。 |
|
| 通信传输 |
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性; |
IPSec VPN/SSL VPN |
| b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。 |
IPSec VPN/SSL VPN |
|
| 可信验证 |
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 |
(可选项) |
3、区域边界安全
| 安全要求点 |
安全要求项 |
对应技术措施 |
| 边界防护 |
a)应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。 |
边界设备(防火墙、交换机、网闸、路由器等)的访问控制策略(外部边界和内部边界)。 |
| b)应能够对非授权设备私自联到内部网络的行为进行限制或检查; |
关闭网络设备闲置端口,部署网络准入控制设备(网络准入) |
|
| c)应能够对内部用户非授权联到外部网络的行为进行限制或检查; |
终端安全管理系统(违规外联模块),上网行为管理系统 |
|
| d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。 |
无线接入网关 |
|
| 访问控制 |
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
防火墙、网闸、交换机、路由器等的访问控制策略 |
| b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; |
防火墙、网闸、交换机、路由器等的访问控制策略 |
|
| c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; |
防火墙、网闸、交换机、路由器等的访问控制策略 |
|
| d) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; |
防火墙、网闸、交换机、路由器等的访问控制策略 |
|
| e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。 |
防火墙的应用层访问控制功能,WEB防火墙 |
|
| 入侵防范 |
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; |
IPS、抗DDOS攻击系统、APT检测设备 |
| b) 应在关键网络节点处检测和限制从内部发起的网络攻击行为; |
IPS、抗DDOS攻击系统、抗APT攻击系统 |
|
| c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析; |
抗APT攻击系统、安全服务 |
|
| d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 |
IPS、抗APT攻击系统、抗DDOS攻击系统 |
|
| 恶意代码和垃圾邮件防范 |
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; |
防火墙的AV模块、防病毒网关 |
| b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 |
防垃圾邮件网关 |
|
| 安全审计 |
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
网络安全审计系统、网络安全设备的审计功能、上网行为管理系统、态势感知与安全运营平台 |
| b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; |
网络安全审计系统、网络安全设备的审计功能、上网行为管理系统、态势感知与安全运营平台 |
|
| c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
网络安全审计系统、网络安全设备的审计功能、上网行为管理系统、态势感知与安全运营平台 |
|
| d) 应确保审计记录的留存时间符合法律法规要求; |
日志留存时间不少于6个月 |
|
| e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 |
SSL VPN、网络安全审计系统、上网行为管理系统 |
|
| 可信验证 |
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
(可选项) |
4、计算环境安全
| 安全要求点 |
安全要求项 |
对应技术措施 |
| 身份鉴别 |
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
身份认证系统、堡垒机、终端安全登录系统、服务器安全加固系统 |
| b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
身份认证系统、堡垒机、终端安全登录系统、服务器安全加固系统 |
|
| c) 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; |
身份认证系统、堡垒机、终端安全登录系统、服务器安全加固系统 |
|
| d) 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。 |
身份认证系统、堡垒机、终端安全登录系统、服务器安全加固系统 |
|
| 访问控制 |
a) 应对登录的用户分配账号和权限; |
堡垒机策略、网络设备、安全设备策略、应用访问控制功能及策略 |
| b) 应重命名或删除默认账户,修改默认账户的默认口令; |
配置检查工具 |
|
| c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; |
配置检查工具 |
|
| d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; |
堡垒机策略、网络设备、安全设备策略、应用系统管理用户权限及策略(三员分离)、服务器安全加固系统 |
|
| e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
堡垒机策略、网络设备、安全设备策略、应用系统管理用户权限及策略(三员分离)、服务器安全加固系统 |
|
| f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; |
应用系统访问控制功能、可信应用代理、服务器安全加固系统 |
|
| g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 |
应用系统访问控制功能、安全数据库、可信应用代理、服务器安全加固系统 |
|
| 安全审计 |
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
终端安全管理系统(审计功能)、上网行为审计系统、数据库审计系统、应用系统审计功能等 |
| b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; |
终端安全管理系统(审计功能)、上网行为审计系统、数据库审计系统、应用系统审计功能等 |
|
| c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
终端安全管理系统(审计功能)、上网行为审计系统、数据库审计系统、应用系统审计功能、日志数据定期备份。 |
|
| d) 应对审计进程进行保护,防止未经授权的中断。 |
终端安全管理系统(审计功能)、数据库审计系统记录保护功能。 |
|
| 入侵防范 |
a)系统应遵循最小安装的原则,仅安装需要的组件和应用程序; |
终端安全管理系统、配置检查工具 |
| b)应关闭不需要的系统服务、默认共享和高危端口; |
配置检查工具 |
|
| c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; |
终端安全管理系统(管理控制功能)、堡垒机 |
|
| d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; |
应用系统输入有效性验证功能、代码审计 |
|
| e)应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞; |
终端安全管理系统(补丁管理功能)、漏洞扫描设备 |
|
| f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 |
WAF、服务器安全加固系统 |
|
| 恶意代码防范 |
应采用免受恶意代码攻击的技术措施或 主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
防病毒系统(终端安全管理系统的防病毒功能) |
| 可信验证 |
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
(可选项) |
| 数据完整性 |
a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性, 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
应用系统功能、数据防泄密系统(DLP) |
| b) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性, 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
应用系统功能、数据防泄密系统(DLP) |
|
| 数据保密性 |
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
SSL VPN、应用系统功能 |
| b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
数据库安全配置、数据防泄密系统(DLP) |
|
| 数据备份恢复 |
a) 应提供重要数据的本地数据备份与恢复功能; |
数据备份系统、备份策略 |
| b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
数据备份系统、备份策略 |
|
| c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
应用系统双冗余 |
|
| 剩余信息保护(S) |
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; |
应用系统功能、主机安全配置 |
| b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 |
应用系统功能、主机安全配置 |
|
| 个人信息保护(S) |
a) 应仅采集和保存业务必需的用户个人信息; |
业务应用需求 |
| b) 应禁止未授权访问和非法使用用户个人信息。 |
应用系统访问控制功能 |
5、安全管理中心
| 安全要求点 |
安全要求项 |
对应技术措施 |
| 系统管理 |
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
堡垒机、态势感知与安全运营平台(NGSOC) |
| b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
堡垒机、态势感知与安全运营平台、网管系统 |
|
| 审计管理 |
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; |
数据库审计、堡垒机、态势感知与安全运营平台 |
| b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
数据库审计、堡垒机、态势感知与安全运营平台 |
|
| 安全管理 |
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计 |
堡垒机、态势感知与安全运营平台 |
| b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 |
堡垒机、态势感知与安全运营平台 |
|
| 集中管控 |
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; |
区域划分有单独的安全管理区部署安全管理设备 |
| b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; |
堡垒机 |
|
| c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; |
网管系统、态势感知与安全运营平台 |
|
| d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析; |
态势感知与安全运营平台、日志审计系统 |
|
| e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; |
防火墙集中管理系统(SMAC)、终端安全管理系统的控制中心 |
|
| f) 应能对网络中发生的各类安全事件进行识别、报警和分析; |
态势感知与安全运营平台 |
(注:表中下划线标注的设备表示在技术措施中可选择,但在本方案中未进行详细描述的产品。)
7. 安全管理体系设计
7.1 安全管理制度
7.1.1安全策略和制度体系
1、建设思路
安全技术措施的有效实施需要安全管理制度的助力,同样,安全管理制度的落实也常常需要技术措施的支撑,两者是相辅相成,相互关联的,等级保护对于单位安全制度体系的建设要求参照了ISO 27001的相关标准,即安全管理制度体系自上而下分为安全策略、管理制度和操作规程、记录表单,单位需要建设符合单位实际情况的管理制度体系,应覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容,并对管理人员或操作人员执行的日常管理操作建立操作规程。
2、建设内容
单位信息安全管理制度体系应结合实际业务需要,建立符合本单位实际情况的安全制度体系,需包括信息安全方针、安全策略、安全管理制度、安全技术规范以及流程等,如下所示。
(1)安全方针和策略。
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。
(2)安全管理制度和规范
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。
技术标准和规范,包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。
安全管理制度和规范包括如下表:(示例)
| 序号 |
类型 |
制度组成 |
| 1 |
总体方针、安全策略 |
《信息安全总体方针和安全策略》 |
| 2 |
安全管理机构 |
《信息安全组织及职责管理规定》 |
| 3 |
《重大事项授权和审批管理规定》 |
|
| 4 |
安全制度管理 |
《信息安全制度管理规定》 |
| 5 |
人员安全管理 |
《内部人员安全管理规定》 |
| 6 |
《外部人员安全管理规定》 |
|
| 7 |
信息系统建设管理 |
《信息系统建设安全管理办法》 |
| 8 |
系统运维管理 |
《机房环境安全管理规定》 |
| 9 |
《办公环境安全管理办法》 |
|
| 10 |
《信息资产安全管理办法》 |
|
| 11 |
《介质管理办法》 |
|
| 12 |
《信息资产运行维护安全管理办法》 |
|
| 13 |
《网络安全管理规定》 |
|
| 14 |
《系统安全管理规定》 |
|
| 15 |
《防病毒管理办法》 |
|
| 16 |
《口令管理办法》 |
|
| 17 |
《信息系统变更管理规定》 |
|
| 18 |
《备份与恢复管理规定》 |
(3)安全流程和操作规程
为信息安全建立相关的流程,保证安全运营可以遵照标准流程制度执行,主要的内容包括:
流程制定:建立健全流程管理制度,主要包括的流程有:安全事件处置流程、安全风险评估流程、安全事件应急响应流程、安全事件溯源取证流程、安全设备上线交割流程等;
流程变更维护:定期的维护和修订相关的管理制度;
流程发布:根据需要,定期发布变更后的全套流程到相关的组织范围内,并对发布的流程进行相关的培训。
(4)安全记录单
安全记录单是落实安全流程和操作规程的具体表单,根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。
7.1.2制度文件管理
1、建设思路
制度文件需要正式发布并进行定期评审修订和版本控制。信息安全管理制度应该得到单位负责人的签发和认可,只有被正式发布并真正落实的管理制度才能促使单位安全管理能力的提升和安全技术措施的有效运行。
2、建设流程
信息安全管理制度体系是不断改进和完善的过程,包括以下:
(1)制定和发布
安全制度系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
安全制度在制定和发布过程中,应当实施以下安全管理:
- 安全管理制度应具有统一的格式,并进行版本控制;
- 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
- 安全管理制度应通过正式、有效的方式发布;
- 安全管理制度应注明发布范围,并对收发文进行登记。
必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和绝大多数员工,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以落实,需要不断改进。
(2)评审和修订
信息安全领导小组应组织相关人员对于信息安全制度体系文件进行评审,并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档,具体检查内容包括:
信息安全策略中的主要更新;
信息安全标准中的主要更新。信息安全标准不需要全部更新,可以仅对因变更而受影响的部分进行更新;如果必要,可以使用年度审视/更新流程对信息安全标准做一次全面更新。
- 安全管理组织机构和人员的安全职责的主要更新;
- 操作流程的主要更新;
- 各类管理规定、管理办法和暂行规定的主要更新;
- 用户协议的主要更新等等。
7.2 安全管理机构
7.2.1信息安全组织机构及职责
1、建设思路
信息安全管理机构是行使单位信息安全管理智能的重要机构,一般由信息安全管理领导机构和执行机构构成,信息安全领导机构需确保整个组织贯彻单位的信息安全方针、策略和制度等。等级保护制度中明确规定“单位应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。”并设立网络安全管理的职能部门。
2、建设内容
单位应根据管理工作需要设立安全管理机构,但至少应包括信息安全领导小组和信息安全管理职能部门,其工作职责分工如下:
(1)信息安全领导小组
信息安全领导小组是公司信息安全工作的最高领导决策机构,负责公司信息安全工作的宏观管理,其最高领导由单位主管领导担任或授权,职责如下:
- 贯彻执行国家关于信息安全工作的方针、政策,组织落实公司信息安全体系建设工作的目标、方针、政策。
- 审定信息安全相关策略、规范及管理规定。
- 监督、检查信息安全相关制度的落实与执行情况。
- 协调指挥信息安全重大突发事件的应急处理。
- 完成上级单位交办的有关工作。
2、信息安全管理部门
信息安全管理部门负责落实信息安全领导小组各项决策,协调组织公司各项信息安全工作,具体职责如下:
- 负责信息安全日常工作的协调和处理。
- 负责信息安全总体规划设计与实施。
- 组织信息安全管理规定的编制;
- 督促信息安全重大突发事件应急预案的落实。
- 组织信息安全培训的相关工作。
- 完成信息安全领导小组交办的有关事项。
7.2.2岗位职责及授权审批
1、建设思路
信息安全管理应落实岗位安全责任,信息安全组织机构及职责明确了组织层面的管理职责,但管理职责的落实需要层层落实到人,等级保护中明确要求要“设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责”,并设立系统管理员、审计管理员和安全管理员,并明确岗位工作职责。
2、建设内容
根据单位实际情况,设立相关的信息安全管理岗位,但至少应包括安全主管以及“三员”(系统管理员、审计管理员和安全管理员),且“三员”工作职责需分工明确,互相监督,安全管理员需专职,不得兼任其他岗位工作。
三员的岗位职责建议如下:
(1)安全管理员
安全管理员不能兼任网络管理员、系统管理员,其职责是:
- 组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全现状评估报告;
- 定期编制信息安全状态报告,向信息安全领导小组报告公司的信息安全整体情况;
- 负责核心网络安全设备的安全配置管理工作;
- 编制信息安全设备和系统的运行维护标准;
- 负责信息系统安全监督及网络安全管理系统、补丁分发系统和防病毒系统的日常运行维护工作。
- 负责沟通、协调和组织处理信息安全事件,确保信息安全事件能够及时处置和响应。
(2)系统管理员
系统管理员不能兼任安全管理员,其职责是:
- 负责网络及网络安全设备的配置、部署、运行维护和日常管理工作;
- 负责编制网络及网络安全设备的安全配置标准;
- 能够及时发现、处理网络、网络安全设备的故障和相关安全事件,并能根据流程及时上报,减少信息安全事件的扩大和影响;
- 负责服务器的日常安全管理工作,确保服务器操作系统的漏洞最小化,保障服务器的安全稳定运行;
- 负责编制服务器操作系统的安全配置标准;
- 能够及时发现、处理服务器和操作系统相关安全事件,并能根据流程及时上报,减少信息安全事件的扩大和影响。
(3)安全审计员
安全审计员的职责是:
- 定期审计信息安全制度执行情况,收集和分析信息系统日志和审计记录,及时报告可能存在的问题;
- 对安全、网络、系统、应用、数据库管理员的操作行为进行监督,对安全职责落实情况进行检查。
单位可根据实际管理需要进行岗位职责的细化,如将系统管理和网络管理工作分别由不同的人负责,对重要的应用系统设置业务系统管理员,对机房、数据库、信息资产进行专门的管理,设置机房管理员、数据库管理员、信息资产管理员等,并明确岗位职责。
在明确岗位职责过程中,单位需梳理在信息安全管理过程中需要授权审批的事项,并根据各个部门和岗位的职责明确授权审批部门和批准人等,对于系统变更、重要操作、物理访问和系统接入等重要事项建立审批程序,按照审批程序执行审批过程, 对重要活动建立逐级审批制度,并定期审查,及时更新相关信息。
7.2.3内部沟通和外部合作
1、建设思路
信息安全管理工作不是孤立的,在单位业务工作中离不开安全管理工作的保障,同样,信息安全管理工作也离不开单位业务部门的配合,要使信息安全管理工作顺利开展,需“加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题”,加强内部沟通。
同时,单位的信息安全工作也需要得到外部专家和技术力量的支持,包括监管部门、供应商、业界专家及其他安全组织等。
2、建设内容
聘请专家和外部顾问成员,这些成员需要对信息安全或相关领域有丰富地知识和经验,如安全技术、电子政务、等级保护或质量管理等。专家和外部顾问负责对信息安全重要问题的决策提供咨询和建议。
同时加强与供应商、业界专家、专业的安全公司等安全组织的合作和沟通。建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
7.2.4安全审核与检查
1、建设思路
信息安全管理工作是否有效,安全制度和规范是否得到落实需要单位信息安全管理部门定期进行检查,以便及时发现问题,持续改进和提升信息安全管理能力。按照等级保护的要求,单位信息安全检查可分为定期常规安全检查和定期全面安全检查,安全检查工作需进行认真准备,保留记录。
2、建设内容
单位可根据实际情况,进行安全检查工作安排。包括:
(1)定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
(2)定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;由于单位人员及安全技术能力有限,全面安全检查可请专业的安全厂商协助完成。
(3)制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。单位也可参照上级单位或自行制定安全检查评价指标,以便量化考核安全工作的执行情况。
7.3 安全管理人员
7.3.1内部人员安全管理
1、建设思路
人是信息安全工作的主体,也是信息安全威胁的主要来源,调查发现,越来越多的信息安全事件是由内部人员的恶意或工作疏忽导致,因此,加强人员安全管理是信息安全管理工作的重中之重,其中,尤其需要加强对内部人员的安全教育和审核。
2、建设内容
针对内部人员的安全管理需从人员的录用、安全培训和教育、技能考核和调用、离岗审核等全过程进行安全管理,具体管理要求包括:
(1)录用前
- 指定或授权专门的部门或人员负责人员录用;
- 应对被录用人员的身份、安全背景、专业资格或资质等进行审查, 对其所具有的技术技能进行考核;
- 与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。
(2)工作期间
- 对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
- 针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;
- 定期对不同岗位的人员进行技能考核;
(3)调离岗
(1)及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
(2)办理严格的调离手续,并承诺调离后的保密义务后方可离开。
7.3.2外部人员安全管理
1、建设思路
在日常业务工作中,单位越来越多地与外部单位人员进行业务合作和往来,外部人员包括指软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习生、临时工、调用人员等。这些人员由于工作需要需临时或短期访问单位内部网络,进出单位工作场所,非内部人员由于流动性强,背景情况不明,给单位信息系统的安全带来较大隐患,必须建立严格的物理和网络访问授权审批制度,并有效执行。
2、建设内容
单位应制定外部人员物理访问和网络接入的管理制度,并记录相关内容,具体要求如下:
(1)在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
(2)在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
(3)外部人员离场后及时清除其所有的访问权限;
(4)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
7.4 安全建设管理
7.4.1系统定级和备案
1、建设思路
根据新等级保护制度的要求,二级以上(含二级)信息系统在定级工作中需要组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定,新建信息系统在规划阶段就可根据信息系统将承载的业务的重要程度对信息系统进行定级,按照相应等级进行等级保护安全体系设计和建设,对二级以上(含二级)信息系统还需按照公安机关的要求进行备案。
2、建设内容
为了进一步明确信息系统定级、备案的相关责任和流程,应明确系统定级、备案和系统测评流程,包括以下内容
(1)明确定级备案责任部门和责任人;
(2)跟公安部门沟通明确定级备案相关材料要求和格式;
(3)制定系统定级和备案工作的时间计划;
(4)定级评审相关单位和专家联系和确定;
(5)组织定级评审工作,并获得上级或相关部门的批准。
为确保系统等级保护定级备案工作的规范性和专业性,可选择专业的等级保护咨询服务完成相关工作。
7.4.2系统安全方案设计
1、建设思路
按照“三同步”的原则,信息安全需要与信息化建设同步规划、同步建设、同步使用,在系统建设规划阶段需明确安全建设的目标和建设需求并进行安全规划方案的设计,安全方案应经过评审,经过批准后才能实施。
2、建设内容
安全方案设计需根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
安全方案应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;
安全建设项目根据实际建设阶段需设计不同的安全方案,包括总体建设规划方案、详细设计方案、建设实施方案等,安全方案需组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
7.4.3安全产品采购管理
1、建设思路
信息安全产品的采购和使用应符合国家的有关规定,对于密码产品的采购和使用需符合国家密码主管部门的要求,并预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
2、建设内容
针对XXXX系统中安全设备采购,需严格按照设备采购管理流程和政府设备采购目录来采购相应的安全产品;并且在搭建的模拟系统中对这些安全设备和软件进行测试和试运行验证,以防止产生对系统产生不可预见的影响。
7.4.4外包软件开发管理
1、建设思路
对于外包软件开发由于开发过程可控,在系统上线后可能引发各种安全问题,且难以从源头解决,因此,在等级保护制度中,对于外包软件开发明确要求应在软件交付前检测其中可能存在的恶意代码,并要求开发单位提供软件设计文档和使用指南,对于三级系统的外包软件开发还要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
2、建设内容
针对外包软件开发建议可选择专业的安全公司作为第三方进行开发过程的安全管理,包括协助开发单位建立安全开发制度和流程,并在软件开发的关键节点进行代码检测,代码检测采用自动化工具+专家审核的检测方式,既提高检测准确性和效率,又能发现系统逻辑错误等问题。
7.4.5工程实施管理
1、建设思路
信息系统安全建设过程中,涉及产品安装部署、功能启用、策略配置、与应用系统集成等各方面工作,安全工程建设整个过程本身还需要安全可控,需要由专门的部门或人员负责工程实施过程的管理,并制定安全工程实施方案,控制工程实施过程。对于三级信息系统,等级保护还明确要求需通过第三方工程监理控制项目的实施过程。
2、建设内容
XXXX系统实施周期较长,在实施过程中指定XXX作为项目第三方监控单位,并指定了专门的项目安全工作负责人,制定了项目管理制度和项目实施方案。
7.4.6测试及交付管理
1、建设思路
项目建设完成后在正式上线前应进行系统测试,应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告,按照等级保护的要求,应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
在系统交付时,应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点,对负责系统运行维护的技术人员进行相应的技能培训,提供建设过程文档和运行维护文档。
2、建设内容
由于XXX系统的复杂性,在系统及各子系统交付时,要制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;对负责运行维护的技术人员进行相应的技能培训;确保提供建设过程中的文档和指导用户进行运行维护的文档。
系统安全性测试建议选择专业的安全公司进行系统上线前安全检测,并针对安全风险及时采取措施整改。
7.4.7系统等级测评
1、建设思路
在系统建设完成后,按照等级保护的要求必须选择国家认可的测评机构对信息系统进行等级测评,并在系统运行过程中定期进行测评,对于三级系统要求每年测评一次,对发现不符合相应等级保护标准要求的及时整改,并在发生重大变更或级别发生变化时进行等级测评。
2、建设内容
系统上线运行后,选择经过国家认可的等级保护测评机构进行测评,由于测评工作的专业性和复杂性,建议选择专业安全厂商协助单位进行测评工作,如在正式测评前协助单位进行自测和整改等。
7.4.8服务供应商选择
1、建设思路
来自供应链的安全威胁已经越来越引起人们的关注,加强对供应链的管理是新等级保护制度的变化之一,等级保护制度规定要确保服务供应商的选择符合国家的有关规定;与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务;并定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
2、建设内容
确保选择有相应资质的安全服务商、安全集成商、系统集成商和软件开发商,并与其签订协议,明确相关安全义务和责任。
7.5 安全运维管理
按照等级保护要求,日常安全运维管理主要从环境管理、资产管理、介质管理、资产维护管理、漏洞和风险管理、网络和系统安全管理、防病毒管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置管理、应急预案管理、外包运维管理几个方面进行考虑。
7.5.1环境管理
1、建设思路
环境是指信息系统所处的物理环境,包括机房、配线间、办公场所等,加强对环境的安全管理主要是为了防止非授权物理访问导致的对信息系统的破坏,一般来说,机房作为重要信息设备集中放置的场所应重点加强防护,重要办公区域也需要加强物理防护。
2、建设内容
所有的服务器和核心网络设备均按照要求放置在机房中,指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
制定机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;
制定办公环境安全管理制度,并对以下方面进行规定:办公室的信息安全要求;办公终端信息安全保密要求;办公终端使用规范等。
7.5.2资产管理
1、建设思路
信息资产是构成网络和信系统的基础,是系统各种服务功能实现的提供者和信息存储的承载者,应明确单位信息资产的种类、数量、责任人等,并建立清单,定期盘点,对重要信息资产应重点保护。
2、建设内容
编制并定期更新与被保护对象相关的资产清单,包括各类硬件、软件、数据、介质、文档等,确定并标识资产责任部门、重要程度和所处位置等内容;
根据资产的重要程度对资产进行标识管理,针对重要信息资产制定专门的管理措施;
对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
7.5.3介质管理
1、建设思路
介质作为信息的载体,在信息的存储、传递过程中发挥着重要作用,同时,也是恶意代码传播的重要手段、且容易导致信息泄露。
单位需要制定严格的介质管理制度,规范介质的使用行为,对个人介质更加需要严格的管理。
2、建设内容
需制定介质安全管理制度,规定介质的使用范围、介质标识、介质保存等方面的内容。
对于单位介质,需将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
7.5.4设备维护管理
1、建设思路
信息设备在日常工作中存储和处理业务信息,设备的可用性和安全性对信息安全至关重要,要加强对信息设备日常的管理,包括设备日常维护、外带、报修、报废等。
2、建设内容
对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等;
信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;
含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。
7.5.5漏洞和风险管理
1、建设思路
信息安全漏洞是信息系统脆弱性的主要表现,易被攻击者利用进而入侵系统进行破坏,对漏洞的发现和修补除了需采取必要的技术措施外,加强对系统的日常安全评估,并及时进行整改修复,也是降低信息安全风险的重要手段。
2、建设内容
定期开展安全评估,形成评估报告,对发现的漏洞等安全问题及时通报,并限定整改时间;
定期开展安全测评,形成安全测评报告,对发现的问题制定整改方案,采取措施应对发现的安全问题,相关内容形成记录。
7.5.6网络和系统安全管理
1、建设思路
网络和系统作为信息系统的基础性设施,为各个业务系统和办公应用提供连通和数据传输,实现信息共享,网络和系统应进行更细分更专业的管理,对重要的业务系统还需要指定专门的管理人员。
2、建设内容
按照等级保护的要求,对网络和系统的安全管理包括:
(1)划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。可以指定专门的网络管理员、系统管理员、数据库管理员等,对网络设备、操作系统、数据库等进行专业化管理。
(2)指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。对重要服务器、数据库、业务应用等的管理账户应更加严格管理。
(3)建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、 日志管理 、日常操作、升级与打补丁、口令更新周期等方面作出规定;
(4)制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
(5)详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;
(6)指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;
(7)严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
(8)严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
(9)严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
(10)保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
7.5.7防病毒管理
1、建设思路
对于病毒的防范需要采取必要的安全技术措施,但技术措施的有效性需要安全管理制度进行保障,病毒防范作为单位重要的信息安全基础性工作,必须确保提高全员的防病毒意识,确保技术手段的有效落实。
2、建设内容
(1)制定防病毒管理办法,明确防恶意代码软件授权使用、恶意代码库升级、定期汇报等流程,明确对外来计算机或存储设备接入系统前进行恶意代码检查。
(2)定期验证防范恶意代码攻击的技术措施的有效性;
(3)组织全员的信息安全意识培训,提高全员对病毒的防范意识。
7.5.8配置管理
1、建设思路
信息系统的配置基线管理是重要的日常运维管理工作,良好的配置管理是系统安全可靠运行的基础,配置基线应结合等级保护的要求,进行相关配置信息的保存、更新和变更控制。
2、建设内容
单位日常配置管理包括:
(1)记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;
(2)将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。
(3)建立安全配置基线,对设备、操作系统、数据库等制定安全基线,并定期维护安全基线。
7.5.9密码管理
1、建设思路
根据等级保护的要求,单位在信息安全建设过程中需遵循密码相关国家标准和行业标准,使用国家密码管理主管部门认证核准的密码技术和产品。
2、建设内容
确保在系统中使用的密码相关产品获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书。
7.5.10变更管理
1、建设思路
信息安全风险是“动态”的主要因素之一,就是网络和信息系统是会发生变化的,为了加强防范由于网络和系统变化对整体安全现状的影响,规避变更产生的风险,需进行变更管理。
2、建设内容
变更管理建设的内容包括:
(1)明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施;
(2)建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程;
(3)建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
7.5.11备份与恢复管理
1、建设思路
按照等级保护要求,三级信息系统需具备实时的数据备份能力,并能进行异地备份,对于单位信息系统容灾备份能力的建设,除了建设备份与恢复技术措施外,对备份策略的制定和管理,备份与流程的制定以及备份恢复能力的演练是单位系统实现高可用的重要保证。
2、建设内容
制定单位备份与恢复管理制度,体现的内容包括:
(1)指定责任部门,识别需要定期备份的重要业务信息、系统数据及软件系统等;
(2)定义备份信息的备份方式、备份频度、存储介质和保存期等;
(3)根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
(4)建立备份和恢复流程,对备份过程进行记录,所有文件和记录应妥善保存;
(5)建立演练流程,定期对恢复程序进行演练,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
7.5.12安全事件处置和应急管理
1、建设思路
新等级保护制度强调了单位对于信息安全事件处置能力和应急管理的能力,在当前信息安全威胁形势下,各类安全事件频发,信息安全保障的思路已经从传统的以防为主,转换为更加关注单位威胁检测能力以及快速的响应和处置能力。
2、建设内容
针对信息安全事件需要建设以下内容:
(1)及时向安全管理部门报告所发现的安全弱点和可疑事件;在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;
(2)制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
(3)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。
此外,对单位应急管理需要从总体制度层面加以规范和明确,并按照国家应急管理的相关规定明确流程,定期演练,包括:
(1)规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。
(2)制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
(3) 定期对系统相关的人员进行应急预案培训,并进行应急预案的演练;
(4)定期对原有的应急预案重新评估,修订完善。
7.5.13外包运维管理
1、建设思路
针对目前普遍存在的信息系统运维工作外包的现状,新等级保护明确了对外部管理的相关要求,单位选择外包服务商应符合国家相关制度规范,并需明确外部服务商的责任。
2、建设内容
对于外包服务商的管理包括以下:
(1)确保外包运维服务商的选择符合国家的有关规定,与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容;
(2)保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;
(3)在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
8. 安全运营体系设计
只有安全技术体系和安全管理体系,并不能充分保障XXXX系统的安全性,这是因为:一方面,无论是技术控制措施还是管理制度,都需要人来落地操作,这类事情就是运营工作;如果出现不会操作、操作不好或违规操作的情况,而且安全管理者也没有能力对操作行为进行监控,那就必将导致技术体系无法真正发挥威力,也会导致管理体系难以落地;另一方面,技术体系的控制措施,主要通过软硬件系统来实现;然而,还有不少技术控制措施,需要通过人的专业服务来实现;专业安全服务是一类特殊的安全操作,也属于运营体系范畴。总之,安全运营体系的作用是支撑、连通技术体系和管理体系,使之真正发挥效能。
XXXX系统上线运行后,将面临新的安全威胁以及较繁重的安全运营工作,传统安全防御体系与安全运维模式已经不能应对新形势下的安全事件监测、响应与处置需求,未知风险对业务系统及数据信息的威胁巨大,如何有效对应安全威胁动态变化、安全意识整体薄弱、安全技能相对缺乏的现状,如何能够不断加强安全运营体系的适用性、高效性、可扩展性,确保业务的连续性以及信息系统抗风险的能力,已成为单位即将面临的重大课题。
紧跟信息化发展趋势,充分利用安全产品、网络产品的数据收集、关联、分析等自动化分析能力,结合企业云端大数据资源及安全威胁情报信息,形成一套规范有序、高效运转、快速响应的安全运营体系,提升对未知威胁感知和防御能力,有效防御各种新型攻击,是新形势下网络安全保障工作的重要环节。
8.1安全运营体系总体设计
根据网络安全现状与安全运营需求,开展安全运营体系建设工作,安全运营体系如下图所示。
图 8 1等级保护安全运营体系图
8.1.1以日常安全运营为基础
日常安全运营是安全运营体系的基石,只有日常做好了安全运营工作,才能及时识别、研判、处置各类安全隐患和安全事件,将风险扼杀在萌芽状态;否则,在重大事件期间,就容易出现安全问题层出不穷、疲于应付的状态。
日常安全运营工作可分为风险管控、监控分析、安全运维三大类:
(1)风险管控
风险管控是一个安全风险管理过程,包括:风险识别、风险分析、风险处置。要想做好风险分析,又需要从资产识别、威胁识别分析、脆弱性识别分析、已有安全措施确认来入手。
当前环境下,业务和人员上网的趋势势不可挡,所以,资产识别的核心工作是识别暴露在互联网的资产,特别是违规暴露、隐匿暴露的情况。本项安全控制措施,通过互联网资产发现服务来落地实现。
威胁识别分析,是识别、分析威胁源头、威胁入侵方式、威胁后果(安全事件),是发现、分析、确诊“真实发生”的安全问题;这有别于“脆弱性识别分析”只是发现信息系统自身的脆弱性,而这种脆弱性是否能够利用、是否已被利用则不得而知。从这个角度看,威胁识别分析是安全运营体系的刚需。有鉴于此,在安全运营体系设计中,突出了威胁识别分析的控制措施。全流量订阅分析服务和Web失陷检测服务,就是这一控制措施的落地服务。
脆弱性识别分析,是识别、分析网元设备(网络设备、操作系统、中间件、数据库)和应用系统自身的安全弱点,包括漏洞和不安全配置;区别于威胁识别分析,尽管有脆弱性问题并不代表一定会受到入侵,但脆弱性问题的识别、分析和整改,仍是整个安全体系的重要一环,也是安全运营体系的关键控制措施。本控制措施,通过基础安全评估服务、渗透测试服务,进行黑盒的脆弱性检测;再辅以白盒的代码安全检测,实现了脆弱性分析实现方法的全覆盖。
已有安全措施的确认,也是通过基础安全评估服务,实现控制措施的落地。
(2)监控分析
风险管控工作,离不开及时的监控分析,实际上监控分析和风险管控工作是联动的,监控分析发现的问题,导入风险管理流程。监控分析的关键是及时性。监控分析又可以分为几个维度:
预警预测:预警预测在安全运营体系中的作用日渐突出,本质原因是漏洞本身难以避免,也是黑客入侵的核心方法之一;在目前这种基于移动互联网的、信息快速扩散的环境下,谁能及时获取安全情报、未雨绸缪及时整改,谁就掌握了先机,减轻甚至避免了严重损失。此项控制措施是通过“安全预警通告服务”来落地实现的;
内网威胁监控:在目前勒索病毒、APT攻击盛行的情况下,每个组织都不应对安全威胁掉以轻心,威胁监控是刚需性的控制措施,是确诊组织是否被入侵、如何被入侵、遭受了哪些损失的关键方法;此项控制措施是通过周期性的“流量订阅分析服务”来落地实现,服务监控到的结果,导入风险管控流程进行处理;
网站监测:网站是XXXX核心互联网应用之一,因为B/S架构的半开放性特点,网站安全的问题较为严重,需要设计控制措施及时发现网站的可用性、脆弱性等各类安全问题。本控制措施通过网站云监测服务来落地实现;
安全态势监控:通过实时收集安全事件的分布情况、分类情况、损失情况等数据,研判分析安全体系的薄弱环节,以及安全态势的发展情况。本控制措施,通过态势感知与安全运营平台运营分析服务来落地实现。
(3)安全运维
安全运维工作中,大部分是基础的运营服务,它们的服务对象主要是组织中的安全软硬件设备。通过安全运维服务,解决安全软硬件设备“不会用”、“用不好”的最后一公里问题,真正发挥安全防御体系的威力。此类服务,本方案中主要是驻场运维服务、安全巡检服务、态势感知与安全运营平台基础运营服务。
应急响应服务是一个高阶运营服务,和驻场运维、安全巡检、态势感知与安全运营平台基础运营工作密切相关,它针对已经发生或可能发生的安全事件进行检测、分析、协调、处理,是安全对抗的重要一环。应急响应服务是最考验工程师和服务单位能力的安全服务之一,也是安全运营体系和整个等级保护安全体系的刚需环节,原因是:由于攻防的不对称性,面对APT类攻击,任何安全防御体系都有可能被击穿,这时候,应急响应服务就至关重要,它是整个等级保护安全体系的托底控制措施。
8.1.2以重大事件保障为抓手
重大事件保障是安全运营体系的抓手,抓手作用体现在:
一方面,重大事件期间,面临着更严峻的内、外部安全威胁,非常考验组织的安全运营能力,重大事件保障工作是组织安全运营能力的练兵场和试金石;
另一面,重大事件期间,网络安全工作的能见度大幅提升,安全运营工作如果能在此时发力,就能起到事半功倍的效果。
“重要时期安全保障服务”发展至今,已经是一个覆盖重保工作部署、现场安全值守、事件分析研判、应急处置等的多模块服务,可以根据需求进行灵活组合。
8.2安全运营体系详细设计
8.2.1日常安全运营
8.2.1.1风险管控
8.2.1.1.1互联网资产发现
1、安全风险
近年来联网信息系统的风险形势一直很严峻,并且每一次联网信息系统风险被恶意者利用后导致的损失都较为严重。形势尽管如此严峻,但是大量应急响应案例表明:大量组织未全面掌握暴露在互联网上的IT资产,这就造成了组织的防御边界出现了盲区,成为整个网络安全体系的重要短板。甚至,在一些真实案例中,我们看到组织一方面在竭尽全力检测、分析、抑制攻击,而另一方面,新的攻击却从一些“陌生资产”源源不断爆发出来。这些“陌生资产”就像黑洞一样,平时不可见、无防备,关键时刻却吸引了大量攻击流量、造成整个防御体系的失效。
2、控制措施
互联网资产发现服务是通过平台结合人工分析的方式,针对某一组织,进行互联网资产梳理与暴露面筛查的综合服务。它包括如下控制细项:
(1)资产及应用发现
互联网资产发现服务通过数据挖掘和调研的方式确定资产范围,之后基于IP或域名,采用WEB扫描技术、操作系统探测技术、端口的探测技术、服务探测技术、WEB爬虫技术等各类探测技术,对信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。
(2)安全资产画像绘制
在资产及应用发现的基础上,安全专家对每个业务梳理分析,依据信息系统实际情况、业务特点、资产重要度等信息,结合信息安全的最佳实践进行归纳,最终针对性地形成专属的资产画像,构建起专属的信息安全资产画像。资产画像构建完成后可根据域名、IP、端口、中间件、应用、技术架构、变更状态、业务类型(自定义)等条件对资产进行查询、统计,并能对资产进行周期变化监控。
互联网资产发现服务可以带来如下价值:
(1)全面梳理互联网资产及应用暴露面
依托细粒度资产信息指纹库,全面、精准地梳理出暴露在互联网上的IT资产(设备类型、厂商、域名、IP、端口等),并深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。资产发现和应用发现结合,全面、精准解决互联网资产边界盲区问题,打好安全防御的基础。
(2)精准绘制互联网资产画像
通过对探测到的互联网节点进行多维度的搜索,快速定位符合条件的目标网络节点,支持的信息搜索维度,包括但不限于:所属国家、所属城市、所属组织、资产类型(自定义)、业务类型(自定义)、IP、端口、服务、域名、运行的操作系统类型、运行WEB应用的标题等,打造目标网络节点的详细信息,完成信息安全资产画像的绘制。
3、服务方式
通过工具平台和人工梳理相结合的方式,远程进行服务。建议每月或每季度进行一次服务,及时掌握互联网资产的暴露情况。
4、服务交付
服务交付通常包括如下内容:
- 《资产信息库列表》
- 《资产画像》
- 《项目实施方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.1.1.2基础安全评估
1、安全风险
信息系统是一个复杂系统,覆盖从网络层到数据层的多层结构,容易出现自身的脆弱性问题,包括:标准网元组件(网络设备、操作系统、中间件、数据库)本身的漏洞,以及不合理配置问题,这些脆弱性问题是黑客入侵的基础性条件,给整个信息系统带来了重大风险;同时,信息系统是由人来设计、实施、运营的,人无法做到如机器般的高可靠性,这就意味着脆弱性问题是信息系统始终伴生的问题,必须予以重视和控制。
2、控制措施
采用基础安全评估服务可以对系统进行脆弱性问题进行客观评估,主要包括如下内容:
(1)漏洞扫描
漏洞扫描主要是通过漏洞扫描工具以本地扫描的方式,对评估范围内的终端设备进行主动扫描,从内网和外网两个角度,来查找网络结构、网络设备、服务器主机、数据等安全对象目标存在的安全漏洞。漏洞扫描工作涉及了如下三个层面的安全问题:
- 网络层安全:该层的安全问题主要包括网络设备自身的安全性、网络资源的访问控制、域名系统的安全性等;
- 系统层安全:该层的安全问题主要来自操作系统,包括:UNIX、Linux、Windows以及专用操作系统等。安全性问题主要表现在操作系统本身的不安全因素,包括身份认证、访问控制、系统漏洞等;
- 应用层安全:该层的安全考虑应用系统和数据的安全性,包括:数据库、Web服务、电子邮件系统、业务应用系统等。
(2)基线检查
安全基线是指为满足安全规范要求,各网元设备(网络设备、操作系统、中间件、数据库等)的安全配置必需达到的标准。基线检查就是对各网元设备的安全配置进行人工检查,判断其是否满足安全基线要求,检查内容主要包括了账号配置安全、口令配置安全、授权配置、日志配置、IP 通信配置等方面内容,这些安全配置直接反映了系统自身的安全脆弱性。
- 网络及安全设备基线检查
针对交换机、路由器、防火墙、入侵防御系统、VPN等网络及安全设备进行设备配置的人工检查,尽量减少网络设备因配置不当产生的安全弱点,提升网络设备自身及网络整体的抗攻击能力。
针对Windows、Linux、Unix、AIX等操作系统进行系统配置的人工检查,尽量减少服务器因操作系统设置不当生的安全弱点,提升服务器自身的抗攻击能力,并根据应用系统的不同情况,提供定制式安全策略建议,使操作系统的安全级别达到较理想状态。
针对MYSQL、SQLServer、ORACLE、INFORMIX等数据库进行系统配置的人工检查,尽量减少数据库系统因配置不当产生的安全弱点,提升数据库系统的安全性。
针对IIS、TOMCAT、WEBLOGIC、Apache、JBoss等中间件进行人工配置检查,利用系统自身的安全功能提高中间件的安全性。
基础安全评估服务可以带来如下价值:
- 提高信息系统的安全脆弱性识别能力;
- 提供丰富完善的安全脆弱性现状分析;
- 提供有针对性的脆弱性问题整改方案;避免因“脆弱性被利用”而产生的安全损失。
3、服务方式
现场提供服务。使用漏洞扫描器、基线检查脚本、基线检查checklist等服务工具。服务周期建议为每月或每季度周期进行。
4、服务交付
服务交付通常包括如下内容:
- 《安全评估报告》
- 《项目实施方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.1.1.3应用系统安全检测
1、安全风险
除了标准网元组件(网络设备、操作系统、中间件、数据库)本身的脆弱性问题外,购买或开发的各类应用系统也有不少脆弱性问题,而且应用系统和标准网元组件相比,具有更强的个性化特征,也和业务绑定更加紧密;这都造成难以通过漏洞扫描器、基线检查脚本等工具来准确检测应用系统的脆弱性问题。
2、控制措施
针对应用系统的脆弱性检测包括黑盒和白盒两种方式,黑盒方式的检测通过渗透测试服务来实现,白盒方式的检测通过代码安全检测服务来实现。
(1)渗透测试服务
渗透测试服务是在客户授权前提下,依托威胁情报和技术资源,融合原厂工程师、第三方测试人才,融合远程和现场服务,人工模拟黑客可能使用的攻击技术和漏洞发现技术,对目标应用系统的安全性做深入的探测,尽可能广泛、深入地人工挖掘应用系统“真实可被利用”的漏洞并验证,特别是应用漏洞和业务逻辑漏洞。
在服务的过程中,通过实名认证、双因子身份验证、全流量审计等多种管理和技术手段,保障测试过程安全可监控、可审计、可追溯。
整个渗透测试过程包括:初次渗透测试、双交付、复测、报告解读几个环节:
- 初次渗透测试
渗透测试团队由原厂工程师和15~50名精英可信白帽共同组成,借助威胁情报、技术工具等资源,远程对指定信息系统进行定向、深入、全面的漏洞发现。
内容包含外部威胁(包括但不限于web应用安全风险、业务安全风险、安全设备绕过等)与内部威胁(包括但不限于配置不当、弱口令、社工库利用、内部人员泄密[如源代码、文档、敏感文件、邮件]等)所带来的风险,从安全体系涉及的各个层面(包括但不限于应用系统、操作系统、数据库等)进行全面、系统的测试。
测试涉及到信息系统的网络层、操作系统层、业务应用层。其中覆盖OWASP TOP10漏洞类型以及近几年爆出的漏洞类型。
- 双交付
渗透测试服务采用“双交付模式”,大幅缩短漏洞暴露窗口期。
第一次交付:线上及时交付:通过登录线上SaaS系统,第一时间获取实施过程中挖掘到的漏洞,而无需等待整个渗透测试工作完成;漏洞暴露窗口期从平均5天,缩短90%(0.5天)。
第二次交付:综合报告交付:整个测试工作完成后,拟写完整的《渗透测试报告》,通过线上或者线下途径交付。《渗透测试报告》中包含整改建议,服务方配合讨论具体漏洞修复方法,并协助进行整改工作。
- 复测
在整改工作完成后,还将提供复测服务(回归测试),确认先前的安全漏洞得到有效的修复,又综合渗透测试方法和经验,多方位测试,确保没有引入新的安全漏洞,使整改工作达到预期目标。
- 报告解读
项目测试全部结束后,进行现场报告解读,通过和原厂工程师面对面的交流,准确、深入地理解渗透测试结果和整改建议。
渗透测试服务可以带来如下价值:
- 最大限度发现系统真实的安全问题
通过人工渗透测试,可发现信息系统各层的漏洞(特别是应用层和业务逻辑层),并通过人工漏洞验证,确保发现的问题真实可被利用;原厂工程师和15~50白帽组成的大兵团,确保了最大限度发现安全问题。
- 工作闭环,帮助完整解决问题
基础渗透测试服务不仅是单纯的一次渗透测试,而是包括“初次测试--双交付--复测--报告解读--问题关闭”的完整服务闭环,帮助完整解决发现的安全问题。
(2)代码安全检测服务
代码安全检测是由具备丰富编码经验,并对安全编码原则及应用安全具有深刻理解的安全服务人员,对信息系统或软件源代码及软件架构的安全性、可靠性进行全面的安全检查。
代码安全检测服务的目的在于充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷;从而提高源代码的可靠性,从底层保障应用系统本身的安全性。
代码安全检测服务通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析,从而发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。
图 8 2 代码安全检测内容
代码检测服务可以带来如下价值:
- 减少应用系统的安全漏洞和缺陷隐患,从而提高源代码的质量和可靠性;
- 从源头上有效降低应用系统安全风险,保障业务的连续性。
3、服务方式
(1)渗透测试服务
渗透测试服务以远程渗透为主,辅以现场报告解读环节。在交付模式上,采用双交付模式,平衡了交付及时性和交付完整性之间的矛盾。
渗透测试操作在“可信生产环境”中进行,通过在生产环境部署全流量分析系统、SSL VPN、防火墙等完善的安全控制措施,实现对整个渗透过程的事前认证、事中监控、事后审计溯源,将生产风险最大程度降低。
(2)代码安全检测服务
代码安全检测通常在代码权属方指定的安全地点进行。
代码安全检测操作,在“代码检测专用设备”上进行,并禁止连接互联网。专用设备具有公安部颁发的“计算机信息系统安全专用产品销售许可证”,证明公安部已对专用设备的“安全性”进行过安全检测、并获其认可;专用设备是服务方购买的正版产品,并且具有国家版权局颁发的“计算机软件著作权登记证书”。
4、服务交付
(1)渗透服务交付通常包括如下内容:
- 《渗透测试报告》(项目整体性报告)
- 《单个漏洞报告》(通过SaaS系统交付)
- 《项目实施方案》
- 《项目实施计划》
- 《服务实施授权书》
(2)代码安全检测服务交付通常包括如下内容:
- 《源代码安全检测报告》
- 《源代码检测服务方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.1.1.5Web失陷检测
目前,攻击者的主流特点是隐秘地侵入目标系统、获取关键数据或潜伏等待攻击时机,特别是Web系统,因其部署在网络最外侧提供服务;所以,面临的这类风险最为严重,一旦Web系统失陷,那么攻击者就会以此为跳板,逐渐渗透进内网的各类系统。
2、控制措施
Web失陷检测服务依托安全大数据能力,通过对Web应用访问日志,进行空间和时间维度的关联分析,发现内网中潜在的失陷主机,然后基于大数据溯源技术,找到问题发生的根本原因。攻击者威胁情报中包含了该攻击者在不同时间段使用的IP,并可以根据攻击者不同的技能能力制定不同的技术防御策略,或者使用边界安全防护类设备对IP进行实时的阻断。
由于目前互联网侧的攻击尤其是长期性、高破坏性的未知威胁攻击,在渗透成功之后,通常也不会出现明显的安全现象;但是可能造成的安全后果却是巨大的,包括数据泄露、关键时间篡改、黑词暗链等等。这种安全事件很难通过传统的检测和运营工作发现,所以,建立一种行之有效的安全事件发现溯源机制已经成为当前安全工作的重点。
Web失陷检测服务通过大数据安全检测系统对日志进行深度的分析,同时结合安全专家的研判,可明确应用系统是否已被攻击者入侵。
针对已经发生的安全事件,Web失陷检测服务能够根据攻击者的行为进行事件影响研判。如果损失或影响已经发生,则可以相对准确地发现攻击者对网站系统造成了什么样的损失。如果损失尚未发生,则可以根据该IP地址的威胁情报,对攻击者目的进行推测。
Web失陷检测服务可以带来如下价值:
(1)确诊Web应用是否遭受攻击
通过对失陷主机的特征和痕迹进行调查,确诊Web应用是否已被攻击者入侵,并对发现的安全事件进行分析和取证。
(2)还原攻击流程
发生安全事件后仍需要亡羊补牢,该服务会提供入侵事件完整的攻击路线图,包括安全事件中涉及的所有的安全漏洞,可以按图索骥,进行有针对性的修复。
(3)评估安全事件造成的影响
针对已经发生的安全事件,安全工程师会根据攻击者的行为进行事件影响研判。
(4)提升组织的安全对抗能力
利用攻击者威胁情报中的IP和IOC,可以在时间维度上极大地扩充事件调查范围,将不同的攻击来源合并为同源攻击者,完整地看到攻击者的所有攻击手段和相关安全事件。
3、服务方式
工程师现场提取数据,结合软件工具、威胁情报进行人工分析。分析工作在远程或现场均可进行。
建议每月或每季度进行一次分析,及时发现、分析安全威胁和安全事件。
4、服务交付
服务交付通常包括如下内容:
- 《Web失陷检测服务报告》(含整改建议)
- 《项目实施方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.1.2安全运维
8.2.1.2.1应急响应
1、安全风险
由于攻防的不对称性,面对APT类攻击、新型未知攻击,任何安全防御体系都有可能被击穿,这时面临的安全风险既包括系统可用性风险,更有数据失窃或被篡改的风险。因此,应急响应服务至关重要,能及时将信息安全事件带来的损失降至最低,及时“止损”。
2、控制措施
应急响应是针对已经发生或可能发生的安全事件进行检测、分析、协调、处理,保护资产安全属性的活动。应急响应的目标包括:采取紧急措施恢复业务到正常服务状态,调查安全事件发生的原因、避免同类安全事件再次发生等。
应急响应服务突出了组织的协同力量、IT平台的支撑力量,以“快速响应、力保恢复”为行动指南,通过在遇到突发安全事件后采取专业的安全措施和行动,并对已经发生的安全事件进行监控、分析、协调、处理工作,保障网络安全,最大程度地减少安全事件所带来的经济损失以及恶劣的社会负面影响。
(1)应急响应不应是一个部门单兵作战的模式,而应是协同多部门联合开展应急处置工作,形成指挥中心统一调度下的一线、二线多部门联动的大兵团作战模式。
(2)应急响应后端以高效的应急响应系统IT平台以及遍览全国安全事件的“应急响应监控指挥调度中心”作为支撑。为在发生安全事件时,第一时间作出有效决断,提供了强大的后台保障。
应急响应服务可以带来如下价值:
- 系统地响应安全事件,以采取适当的步骤;
- 帮助迅速有效地从安全事件中恢复过来,并将信息丢失、被窃以及服务被破坏的程度降到最低;
- 利用从安全事件处理过程中获得的信息,做好更充分的准备,以处理未来的安全事件并对系统和数据进行更强的保护;
- 建立安全事件响应机制,协同建立有效的防御策略来抵御网络安全威胁。
3、服务方式
现场提供服务,后端以高效的应急响应系统IT平台以及遍览全国安全事件的“应急响应监控指挥调度中心”作为支撑。
4、服务交付
服务交付通常包括如下内容:
- 《应急响应报告》
8.2.1.2.2驻场运维
1、安全风险
安全技术措施和安全管理制度有很大一部分是要通过基础运维操作来落地实现。没有好的基础运维操作,技术控制措施就会流于形式,处于“不会用”、“用不好”的尴尬状态。同样,没有好的基础运维操作,管理制度也会流于形式,出现制度、操作两张皮的局面。好的基础运维操作来自于人的专业能力、敬业精神,以及组织的严格管理。基础运维需求的控制措施主要有驻场运维服务、安全巡检服务;其中,驻场运维服务解决基本的安全软硬件设备使用问题。
2、服务内容
驻场运维服务是各个组织最基础也是最需要的基础性安全服务,能够及时发现安全技术体系在运行过程中存在的问题,并在第一时间快速响应,包括如下内容:
(1)事件响应
包括安全软硬件设备物理故障、策略故障的处理;客户端病毒故障的处理;安全事件处理及响应;故障知识库的建立更新。确保日常办公系统、业务系统的持续运行能力,并建立故障处理流程,规范故障处理工作。
(2)安全设备系统升级
工作主要针对网络结构内网的安全软硬件设备的补丁库、特征库、病毒库、版本进行手动升级,确保安全设备、系统的有效性。并建立系统升级流程,规范系统升级工作。同时可以针对需求,对办公计算机操作系统补丁通过软件系统进行定期升级。
(3)安全策略管理
工作主要针对网络结构内的安全软硬件设备的策略配置进行指定、定期完善。确保安全软硬件设备的有效性以及策略的针对性。并建立策略变更流程,规范策略管理工作。
(4)安全设备监控
工作主要针对网络结构内的防火墙、安全审计、IPS等安全软硬件设备的攻击事件日志,进行实时监控。通过技术人员的安全经验,第一时间发现网络内的攻击事件,并对简单事件进行处理;如遇复杂事件,则发起调用应急响应服务等二线资源。
驻场运维服务可以带来如下价值:
- 为日常办公系统提供了持续运行能力,并且针对突发事件能够做到及时响应;
- 将信息丢失、被破坏的程度降到最低;
- 建立规范的安全运维事件处理流程,提高事件处置的效果和效率;
- 确保业务系统的机密性、完整性、可用性,降低了安全困扰,提升了业务运转效率。
- 降低运维风险和运维成本;
- 从繁琐的IT运维中解脱出来,更加的关注核心业务,提高工作效率。
3、服务方式
(1)现场驻场服务。依托相关安全软硬件设备,提供服务。
(2)服务的周期:
- 事件响应:约定工作时间内,实时响应;
- 安全设备系统升级:根据合同约定周期,提供服务;
- 安全策略管理:约定工作时间内,按需实时响应;
- 安全设备监控:根据合同约定进行。
4、服务交付
服务交付通常包括如下内容:
(1)事件响应:
- 《事件通报单》
- 《事件记录单》
- 《故障报告》
(2)安全设备系统升级:
- 《系统升级流程》
- 《升级包测试结果》
(3)安全策略管理:
- 《信息系统策略变更流程》
- 《策略变更申请单》
(4)安全设备监控:
- 《安全监控记录单》
- 《事件通报单》
- 《事件处理单》
8.2.1.2.3安全巡检
1、安全风险
安全技术体系的控制措施和安全管理体系的管理制度,有很大一部分是要通过基础运维操作来落地实现。没有好的基础运维操作,技术控制措施就会流于形式,处于“不会用”、“用不好”的尴尬状态。同样,没有好的基础运维操作,管理制度也会流于形式,出现制度、操作两张皮的局面。好的基础运维操作来自于人的专业能力、敬业精神,以及组织的严格管理。基础运维需求的控制措施主要有驻场运维服务、安全巡检服务;其中,安全巡检服务提供相比驻场运维服务,技术难度更高的增强服务,提升对安全软硬件产品的运维能力。
2、控制措施
安全巡检服务包括如下内容:
(1)漏洞扫描
根据的实际需要,对确定的巡检范围内的数据库系统、主机系统、网站系统进行漏洞扫描,并导出、保存漏洞扫描记录。
(2)策略检查
根据的实际需要,对确定的巡检范围内的安全设备、网络设备、服务器,以人工的方式,结合业务状况,进行策略的合理性和有效性检查,记录、保存检查结果。
(3)日志审计
根据的实际需要,对确定的巡检范围内的服务器、数据库系统、网站系统的日志,采用人工和自动化工具相结合的方式,对日志进行审计分析,记录保存日志审计结果。
安全巡检服务可以带来如下价值:
通过专业、严谨的巡检服务,保障IT环境的安全性和稳定性;降低运维风险和运维成本;从繁琐的IT运维中解脱出来,更加的关注核心业务,提高工作效率。
3、服务方式
周期性现场服务。服务周期建议为:每月或每季度一次。
4、服务交付
服务交付通常包括如下内容:
- 《安全设备巡检记录表》
- 《安全设备配置变更记录表》
- 《安全设备配置备份记录表》
- 《安全设备故障维修记录表》
- 《安全设备升级记录表》
8.2.1.2.4态势感知与安全运营平台基础运营
1、安全风险
态势感知与安全运营平台是安全运营工作的中枢平台,是一个复杂的多组件平台,它接入多探针数据进行关联分析,并在平台上流转多种安全业务操作,包括资产管理、漏洞管理、事件流程管理等。所以,态势感知与安全运营平台的基础运营工作,本身就比较复杂,想要做好,对人员有一定的专业性要求。如果基础运营工作做不好,就无法发挥平台的价值,也难以为安全运营体系运转提供有力支撑。
2、控制措施
态势感知与安全运营平台基础运营服务是基于平台提供的专业服务,内容包括:
运营人员通过调研、工具收集,充分利用系统的资产管理功能。能够管理网络中的主机设备、终端(办公主机)、网络设备、安全设备、应用系统等),协助建立完整的资产档案信息,管理资产分组、分域的统一维护。支持以资产树的形式显示不同关系。
安全监控包括负责平台日常监控工作,筛选过滤告警日志,记录并统计告警信息,协助告警信息的通告下发,定期跟踪事件处置情况,高危安全事件的通告工作等。
漏洞扫描是发现漏洞的主要手段,网络中重要的主机系统、网络设备都会出现安全漏洞,漏洞的存在会影响着网络的安全性,如果不对其发现和处置,则会成为潜在的安全风险。运营人员利用系统提供了漏洞管理模块,实现对重要主机系统和网络设备漏洞信息的收集和管理。
威胁处置是一个复杂的流程,需要多级、多人的协同配合。运营人员通过监控、分析、通告传递给XXXX相关情况,协助利用平台将告警和漏洞情况通过工单统一跟踪。并将多个人的分析处置结果通过工单统一跟踪和记录,从而使得威胁的处置可追踪。保障每一个威胁都能够通过工单进行及时有效的跟踪,强化了安全威胁的闭环管理,协助做好评价与考核工作,确保安全事件有人盯、有人查、有人管。
态势感知与安全运营平台是由传感器、分析器等多个复杂构建组成,承载着实时收集数据、实时关联数据、实时分析数据的任务。确保平台健康平稳的运行,定期进行技术性维护是运营人员的重要工作。包括各项功能检查、传感器、分析器等多功能组件检查等。
态势感知与安全运营平台基础运营服务可以带来如下价值:
(1)充分地运用平台发挥应有的作用
人、数据、工具、流程,共同的组合成了安全运营,优秀的安全产品亦需要优秀的驾驭者。贴身、专业化的运营服务,能够更专业化地发挥安全设备效能、增加安全收益。
(2)良好的运营更好发挥出产品应有的价值
态势感知与安全运营平台不同于其他类安全防护设备,它接收来自主机、应用、终端、安全设备等各类专业化系统的日志,收集网络中的流量,并进行关联分析。态势感知与安全运营平台的运营可以加强XXXX事前与事中的安全保障能力,避免发生“中看不中用”的情况,真正体现出平台的安全中枢价值。
3、服务方式和服务交付
服务方式分驻场服务和计次服务:
(1)驻场服务
一线驻场服务+二线专家远程支持的服务模式;
提供:资产管理、安全监控、威胁分析、事件流程管理、漏洞管理、平台巡检服务;
交付物:日报、周报、月报、年度报告、事件深度分析报告、安全事件通告等。
(2)计次服务
按需到现场进行服务,同时二线专家提供远程支持;
提供:资产管理、威胁分析、平台巡检服务;
交付物:《安全事件分析报告》等。
8.2.1.3监控分析
8.2.1.3.1全流量订阅分析
1、安全风险
近年来,具备国家和组织背景的APT(高级持续性威胁)攻击日益增多,其采用的攻击手法和技术大都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,无法检测APT攻击;应对APT攻击的最佳控制措施是从流量监控分析角度切入,部署全流量分析系统,以便及时发现潜藏在网络中的安全威胁,对威胁的恶意行为进行早期的快速发现。
另一方面,要想让全流量分析系统真正发挥效能,对入侵源头、途径及攻击者背景进行准确研判,需要使用者同时具有攻防和数据分析能力,对使用者的要求较高。有鉴于此,配套全流量分析系统,需要有专业服务来支撑运营,确保日常的APT威胁分析有效落地。
2、控制措施
全流量订阅分析服务是一种融合攻防研究和数据分析的专业服务,它能其能对威胁源、威胁行为、威胁后果(安全事件)进行确诊,解决了多年来IDS设备及配套服务不能很好满足的需求,是近年来安全领域的重大突破。
本服务结合本地部署的“全流量分析系统”采集的全流量数据,云端的威胁情报,以及服务方的攻防实战经验,形成产品、服务一体化的综合交付,最终交付准确的威胁分析结论,特别是针对APT攻击及未知安全威胁。
数据分析专家确认APT(高级持续性威胁)告警,对受害IP的流量行为、资产特性、时间节点和APT组织进行关联分析,结合对攻击目标组织或机构的信息收集,能够获取组织人员的相关邮箱地址信息,并排查告警产生原因、攻击路径和影响范围。
数据分析专家通过命中的IOC(失陷标示)详情、攻击类型、攻击严重级别、相关安全事件或团伙、当前远控的状态信息等,帮助研判事件优先级、响应处置方式等。配合云端威胁分析平台进行进一步地分析,了解攻击者背景信息并通过自动化关联分析等方式,了解攻击者的相关的网络资源和历史攻击行为,并进行深入追踪。最后确认告警,对受害IP与远控端的流量进行分析,并给出处置建议。
数据分析专家通过分析“全流量分析系统”的传感器流量,迅速验证漏洞Webshell上传是否成功、Web服务器是否存在安全漏洞,确认入侵成功事件,排查影响范围,并给出处置建议;聚合传感器的攻击数据,梳理出高威胁IP。
数据分析专家通过分析“全流量分析系统”的传感器流量,确诊有哪些邮箱、数据库、FTP等服务被成功暴力破解,并进行溯源分析、行为分析、影响分析并给出处置建议。
数据分析专家通过分析“全流量分析系统”的传感器流量,确诊恶意后门(服务器主机后门、网站后门等)是否被植入服务器中,黑客是否进行了高危操作(如执行命令、下载文件、删除文件等),并进行溯源分析、行为分析、影响分析并给出处置建议。
数据分析专家通过分析数据系统登录行为、高风险数据操作语句,发现数据库系统异常登录、SQL注入漏洞和系统命令执行等影响,并分析给出处置建议。
全流量订阅分析服务可以带来以下几方面的价值:
- 及时发现网络内部存在的安全问题,并针对问题进行消除,避免引起更大的经济损失和不良影响;
- 对来自外部的攻击风险态势和进展,掌握得更全面、更精准,降低了解决问题的成本;
- 改变防御理念,从被动防御向积极主动防御进化。
3、服务方式
为保障威胁监控效果,建议每月或每季度订阅分析服务。服务可通过现场与远程两种方式提供:
- 现场服务:安全数据分析工程师到现场进行分析,在允许的管理终端上通过Web方式连接的全流量分析系统,完成部分分析工作,其他分析工作需通过工具标本方式以及人工分析方式在现场完成,如在现场发现高危告警事件,在授权的情况下可进行验证、编制报告并提交;
- 远程服务:安全数据分析工程师通过远程方式接入全流量分析系统,提取安全分析所需基础数据,在云端运营中心进行安全分析,编制报告并推送。
4、服务交付
服务交付通常包括如下内容:
- 《全流量订阅分析报告》
- 《项目实施方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.1.3.2安全预警通告
1、安全风险
当前网络空间的攻防战是一场“非对称”战争,利用0day漏洞和定向APT等新型威胁和攻击层出不穷,而目前传统方法在面对新型威胁和攻击时,防御和检测的效果甚微。所以,情报获取的及时性已变得至关重要,同时国家和监管机构在“网络安全法”和等级保护中也明确提出了“检测预警与应急处置” 和“通报预警”要求。
2、控制措施
安全预警通告服务是基于威胁情报、安全大数据以及攻防能力推出的安全情报类资讯服务,包括:威胁情报解读、高危漏洞预警、安全热点周报、漏洞统计分析,旨在提供有价值的安全预警和威胁情报资讯。
图 8 3安全预警通告服务内容
威胁情报解读属于定期推送分享服务,主要面向金融、政府、能源、科研、教育等国家重要基础设施和科研单位,分享APT攻击行为和事件情报、攻击团伙情报、恶意代码和漏洞利用情报,攻击团伙活跃态势情报,为保障国家重要基础设施和数据提供最有价值的情报信息。
高危漏洞预警属于实时预警通告服务,在第一时间发布高危漏洞预警,通告漏洞的危害程度、风险等级、影响范围(如涉及的软件及版本情况)、处置建议等信息。便于及时掌握高风险级别漏洞信息,及时修复并应对外部威胁。
安全热点资讯属于定期推送分享服务,主要通过“安全事件”、“权威发布和安全趋势”和“安全快讯”多个专栏分享网络攻击事件分析、境外黑客组织攻击行为分析、软硬件漏洞技术分析、病毒或恶意代码等有害程序事件和技术原理分析、安全技术研究报告,以及一些安全新闻或事件动态。旨在提供最新的攻击技术、漏洞技术、安全研究以及行业内安全新闻和资讯动态。
月度漏洞统计属于定期推送服务,数据来源于CNVD站点漏洞月报统计数据。主要呈现月度内漏洞统计信息,包含漏洞危害,漏洞影响软硬件及其版本,漏洞级别、漏洞类型、漏洞受关注度情况、漏洞发展趋势。
安全预警通告服务可以带来如下价值:
- 高危漏洞预警:及时掌握漏洞危害,影响范围、解决方案,有效规避攻击威胁,保障业务连续性;
- 典型性攻击事件分析:了解攻击目的、技术手法、破坏程度和影响范围,做到事前预防,将风险降到最低;
- 病毒或恶意代码事件分析:掌握检测和消除方法,及时查杀、及时预防,应对有害程序事件临危不乱;
- APT攻击行为分析:了解事件分析过程、攻击团伙及其活跃态势,提升保障国家重要基础设施和数据的能力。
3、服务方式
通过专门团队来维护通告信息。安全通告的详细细节将通过Email方式发送给登记的邮件地址;被标注为紧急级别的安全漏洞,还将通过电话、及时通信等通知方式,直接进行通知。
4、服务交付
服务交付通常包括如下内容:
- 《漏洞安全预警通告》(实时)
- 《安全热点周报》
- 《月度安全通告》
8.2.1.3.3网站云监测
1、安全风险
网站是XXXX核心互联网应用之一,因为B/S架构的半开放性特点,网站安全的问题较为严重,需要实时监测以便及时发现网站的可用性、脆弱性等各类安全问题。
2、控制措施
网站云监测能够实现对服务范围内网站的实时监测,服务主要包括如下:
(1)全国区域存活性监控
以云端资源作为支撑,在全国分布了几十个探测节点,同时支持电信、移动、联动多条运营商线路,同时对网站进行安全监控,监控内容包括网站存活性、页面存活性、页面访问时间等,监测全国区域、不同线路的用户对网站的的访问情况。
(2)网站安全问题监控
拥有威胁情报中心、漏洞库等安全数据基础,通过对安全数据的关联分析,可以做到传统扫描工具无法发现的诸多安全问题,比如DDOS攻击、钓鱼网站等。
(3)网站问题及时通知
在服务人员发现网站问题时,第一时间以邮件、短信的方式通知网站运维人员,并远程提供技术支持。
网站云监测服务可以带来如下价值:
(1)规避政治、经济风险
网站一旦受到入侵,则有可能被利用进行反动言论宣传,这会给网站所有者带来重大的政治风险;黑客可以通过网页挂马、网站漏洞来达到经济犯罪的目的,可能会带来直接经济损失;网站云监测服务能够帮助管理员迅速了解到整个网站存在的安全风险和趋势,帮助对这类威胁做到早发现、早处置,尽早规避风险。
(2)确保正常运营
随着监管力度的逐渐加大,一旦发现网页挂马的网站,就会下达通知,甚至进行强制关闭。这些网站必须进行全面整改,只有全面通过安全检测后才允许上线。网站云监测服务可以帮助做定期检查或实时监控,提前进行预警,保证网站的正常运营。
(3)提高维护效率、降低运维成本
在不需要具备专业安全知识、没有购买专业的Web扫描工具的情况下,就能够定期获取专业、权威的检查报告,从而节省了相关的开销、降低了维护人员的要求,并提高了维护效率。
3、服务方式
远程提供服务,服务依托网站云监测系统及全国分布的几十个探测节点;网站云监测系统的架构如下:
图 8 4网站云监测系统架构图
爬虫引擎是监测平台重要的基础组件,完成对监测域名的内容爬取,以供各类分析引擎使用;
流量抓包引擎,按照比例针对互联网流量进行抽样,将抽样流量进行汇总分析。得出网站是否存在安全威胁的结论;
大数据平台存储爬取的页面数据,检测的数据等。可用于后续做大数据分析和数据挖掘;
内容监测API和运维平台主要针对已有数据进行分析,为平台提供监测结果。
4、服务交付
服务交付包括如下内容:
- 《网站监测报告》
- 安全问题实时推送
8.2.1.3.4 态势感知与安全运营平台运营分析
1、安全风险
态势感知与安全运营平台是安全运营工作的中枢平台,是一个复杂的多组件平台,它接入多探针数据进行关联分析,并在平台上流转多种安全业务操作。在平台基础运营工作之上,需要更高级的运营分析工作,来挖掘、分析安全运营数据,指导安全运营体系的设计和改进,使得态势感知与安全运营平台真正发挥高阶运营能力。
2、控制措施
通过专业安全技术人员对态势感知与安全运营平台收集的数据进行专业运营分析,及时发现平台海量数据中隐藏的安全威胁,并分析安全态势,包括如下内容:
根据XXXX组织架构、业务特点进行调研、梳理,设计运营岗位、运营流程、运营制度、运营考评机制,建立完善的安全运营体系。
通过持续的安全运营收集安全事件的分布情况、分类情况、损失情况等,有针对性地结合等级保护及其它各类安全合规体系要求,研判分析终端安全、主机安全、网络安全、数据安全等方面存在的薄弱环节,以支撑XXXX在安全改进、安全建设、安全能力提升、安全规划、预算编制等方面的需求。
提供定期或不定期的专家会商机制,通过安全运营的第一手资料,深入分析安全态势情况,提出安全建议。协助XXXX挖掘安全工作价值,提升安全工作的地位,争取更多的资源投入。
态势感知与安全运营平台运营分析服务可以带来如下价值:
- 通过运营协助推动安全工作的科学开展;
- 通过安全态势分析、专家会商等方法,避免常见的“见招拆招”问题;通过长期的跟踪分析,找出安全体系的短板,提供支撑安全建设的建议,推动安全管控体系的全面提升。
3、服务方式
按需到现场进行服务,同时二线专家提供远程支持。
4、服务交付
服务交付通常包括如下内容:
- 《关联规则优化报告》
- 《运营体系设计方案》
- 《安全态势分析报告》
- 《安全整改建议书》
8.2.2重大事件保障
1、安全风险
重大事件、重要时期的安全保障工作,是我国安全运营工作的“重头戏”,可以说是“准战时”的工作。在此期间,国内外黑客、特别是国外反动势力的攻击动力大幅提升,组织面临的安全威胁陡然升高;而安全事件一旦发生,其后果通常也远超过日常安全运营阶段。在如此严峻的压力下,如果组织平时的安全运营工作松懈,存在失控资产、各种脆弱性问题,甚至已经被黑客入侵进来,那将面临极大的安全风险,发生安全事件的可能性也较高。
2、控制措施
重要时期安全保障服务(以下简称 “重保服务”)是在重要时期为关键信息系统提供:组织架构设计、积极防御、实时检测、响应处置、攻击预测等安全服务,以提高组织的网络安全保障能力,保障重大活动的顺利进行。
重保服务整体工作分成备战阶段服务、临战阶段服务、实战阶段服务、决战阶段服务四个阶段服务,其中备战阶段服务、临战阶段服务是在重大活动或者会议开始前为安全保障工作做准备;实战阶段服务和决战阶段服务是为重大活动或者会议过程中安全保障工作提供技术支撑。
备战阶段服务是重保工作的第一个阶段,主要通过互联网资产发现和自动化远程检查等手段为重保工作中的人员、信息系统安全保障,提供基础数据和攻击面总体安全态势,为后续重保工作方向提供决策依据,保障重保工作的有序进行。
重保队伍组建主要是成立重保领导小组,建设实体指挥中心,成立重保专家组及技术支撑组,与运营商、CERT等外部机构建立联动工作模式,依据重保监管单位的实际需求,由重保单位、服务方以及第三方监管机构,依据重保组织架构和重保工作的需要,建立相关团队,确保重大活动或者会议期间信息系统安全保障工作能够顺利开展。
保障方案设计是依据重保期间可能面临的安全风险,并结合实际需求对重保工作过程中所需要的服务要求、人员投入、软硬件设备使用等进行分析,形成总体的重保安全保障设计方案。
业务资产调研是根据重保单位的业务系统资产情况、网络情况以及业务安全需求等,对其进行技术和管理方面的调研,全面收集相关信息,并根据这些基础信息制定相应的资产信息列表,为后续重保安全检查工作提供支撑。
远程安全检查主要是对重保单位的信息资产、网络架构、业务流程等以远程渗透测试的方式进行安全测试,对其基本安全情况摸底调研,并就测试过程中发现的问题提供整改建议。
临战阶段服务是重大活动或者会议网络安全保障的第二阶段,通过现场检查对备战阶段发现的各种安全问题进行“清零”。临战阶段服务主要工作内容包括:一轮或多轮的现场安全检查。
现场安全检查可进行多轮:首轮主要采用现场访谈、人工技术检查等方式对被检查单位包括机房、网络、基础环境、应用和数据安全各层面安全措施的建设和落实情况进行安全评估,发现现场存在的安全问题。后续的安全评估主要是对首轮安全评估发现的安全问题进行复查,可采用不同检查单位或检查队伍以交叉检查的方式进行,对各单位安全问题整改情况进行验证,并对首轮检查统计的资产信息、网络架构、业务流程等信息进行复核,排查是否出现新的安全问题。
实战阶段服务是重大活动或者会议正式举办前的关键阶段,在前期所有安全检查及整改工作落实之后,开始对各重保单位进行重保实战阶段的工作部署,组织重要单位开展应急预案的确认与各种事件场景的应急演练,来检验前期重保检查工作的成效。
应急预案的确认与演练是为重大活动或者会议期间保障工作的顺利进行而做的必要准备工作,由重保领导小组组织各重保单位负责人召开安全工作部署会议。要求各重保单位根据自身情况制定详细的“网络安全应急预案”,并根据实际工作情况,形成具体的演练方案,并开展应急演练工作。
决战阶段服务是指在重大活动或者会议召开期间的现场安全保障值守阶段,本阶段服务一般要求安排专业技术人员进行现场值守,同时配备应急响应队伍,能够快速地发现并处置安全事件,防止安全事件对重大活动或者会议造成影响。主要工作内容包括:现场安全值守、应急处置,以及总结与报告等方面工作。
现场安全值守工作主要是在活动现场与各岗位运维人员对保障单位网络设备、应用系统等运行状态进行检测,对出现的安全事件进行综合的研判和快速响应,在发生安全事件时,值守人员应协同配合在现场通过信息收集、全流量分析、日志分析等多种技术手段对事件进行分析,确保安全事件能快速得到处置。
应急处置是当发生信息安全事件时,现场值守人员根据上报机制,上报安全事件情况,由研判专家依托威胁情报和技术资源,及时对事件进行分析后,将分析结果上报重保领导小组,重保领导小组根据实际情况,安排对应的应急处置团队赶赴现场进行应急处置,减少因安全事件对重保工作造成的影响。
总结与报告是指在完成值守工作后,对重保工作全过程进行总结并形成报告,对重保工作各环节中的经验教训进行归纳总结,指导后续重保工作的优化和完善。
重保服务可以带来如下价值:
- 保障国家重大活动时期网络信息安全;
- 协助监管单位发现重大活动期间本区域或本行业网络建设存在的问题及安全隐患;
- 全面构建重保期重要单位信息系统的积极防御体系、加强应用系统生命周期安全管理、全面建立重要单位主动运营机制、提升重要单位数据驱动的威胁对抗能力。
3、服务方式
现场为主、结合远程的综合服务交付方式。通常会成立重保领导小组,重保领导小组由XXXX分管网络安全领导及服务方重保负责人联合组成,主要负责安全保障工作中关键问题的决策,以及为重保工作的顺利开展协调充足的资源。重保领导小组下设XXXX重保工作小组和服务方重保工作小组,主要负责重保工作中的具体安保工作的执行以及双方在重保工作中的配合与沟通。
4、服务交付
服务交付通常包括如下内容:
- 《重要时期安全保障服务工作总结》
- 《重要时期安全保障服务方案》
- 《项目实施计划》
- 《服务实施授权书》
8.2.3运营赋能
8.2.3.1等保咨询服务
1、服务内容
根据国家相关政策要求,提炼、总结出全面的等级保护建设模型,强调等级保护建设的三个重点工作,包括系统定级、保障措施规划以及保障体系建设,为XXXX构建覆盖全面、突出重点、节约成本、符合实际的安全保护系统,为业务活动提供充分的保障,提供覆盖等级保护各个阶段的安全咨询服务,各阶段的服务内容如下图所示:
图 8 5等级保护咨询服务内容
等级保护咨询服务各个服务模块描述如下表所示:
| 服务模块 |
服务描述 |
服务内容 |
适用阶段 |
| 系统定级服务 |
协助对系统进行定级,准备定级备案表,协助向公安机关备案。 |
系统识别描述 系统等级划分 安全等级确定 协助定级备案 |
系统定级阶段 |
| 差距分析评估 |
根据信息系统定级结果,以及等级保护基本要求,分析信息系统安全现状与基本要求的差距,从而为需求分析奠定基础。 |
确定差距指标 安全差距分析 综合安全分析 安全措施建议 |
系统规划设计前 系统整改建设前 |
| 安全规划与方案设计服务 |
根据安全评估结果,对系统进行规划和设计,并提供可落地的解决方案,使系统满足等级保护要求。 |
安全需求分析 等保体系设计 安全建设规划 整改方案设计 |
安全规划设计阶段 |
| 系统整改实施服务 |
按设计方案,对系统从技术和管理方面改造,完成等级保护建设。 |
等级保护技术整改实施 等级保护管理整改实施 |
安全实施阶段 |
| 等保合规审计 |
根据等保基本要求及测评要求,进行等级保护合规性审计,以及运维过程中的定期检查。 |
整改效果评估 运维安全检查 系统自测评 |
系统整改建设后 系统运维过程中 |
| 辅助测评服务 |
协助通过相关测评机构的等级保护测评。 |
测评前材料准备 测评现场协助 测评后的整改 |
系统测评阶段 系统运维阶段 |
2、服务方式
现场结合远程提供相关咨询服务,贯穿等级保护各阶段工作。
3、服务交付
服务交付通常包括如下内容:
- 系统定级服务:《定级报告》,专家定级建议;
- 差距分析评估:《信息系统等级保护差距分析报告》,《差距分析表》;
- 安全规划与整改方案设计服务:《安全规划方案》,《等级保护整改设计方案》;
- 系统整改实施服务:《管理制度模版》,《管理制度清单》;
- 等保合规审计:《等级保护合规审计报告》;
- 协助测评服务:《委托协助测评工作协议》,《工作确认单》。
4、服务收益
咨询顾问在安全评估、信息资产分析、系统定级和规划方面拥有丰富的经验,能够协助完成科学的分析和定级任务,使等级保护建设正确地推进和执行下去;
等保咨询服务从定级、规划到实施要经历几个阶段,在整个过程中,安全顾问协助XXXX寻求最有效的方式,以帮助满足等保合规要求,同时平衡好业务和安全的关系。
8.2.3.2安全培训服务
1、服务内容
依据国家等级保护相关标准及等级保护的实施要求,结合团队丰富的等保实施经验,提供等保培训服务。培训主要通过循序渐进的方式,从浅显的基础到等级保护的实战经验,使学员能够更容易的由浅入深掌握等级保护的相关内容。
主要涉及的培训为三部分,由浅入深分别为等级保护基础篇、等级保护深入篇及等级保护实战篇:
- 等级保护基础篇:讲解等级保护由来、等级保护政策及制度等内容;
- 等级保护深入篇:讲解等级保护技术、管理等方面的详细内容;
- 等级保护实战篇:讲解等级保护定级、差距分析、整改等方面的实操技能。
2、服务方式
服务方式为现场培训。
3、服务交付
- 各类培训课件。
9. 项目安全产品及服务清单
略。
(根据具体项目编写)