网络安全等级保护与分级保护指导案例
一、等级保护概述
1、等级保护简介
等级保护制度:
信息系统安全等级保护指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护; 对信息系统中使用的信息安全产品实行按等级管理; 对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的定位和作用:
是信息安全工作的基本制度、基本国策,是国家意志的体现。 是开展信息安全工作的基本方法。 是促进信息化、维护国家信息安全的根本保障。
保护等级:
全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高)。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务特殊需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
等级保护制度:
GB17859-1999标准规定了计算机系统安全保护能力的五个等级:
1. 用户自主保护级
2. 系统审计保护级
3. 安全标记保护级
4. 结构化保护级
5. 访问验证保护级
1)用户自主保护级
通过隔离用户信息与数据,使用户具备自主安全保护的能力。对用户实施访问控制,避免其他用户对数据的非法读写与破坏。
计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
2)系统审计保护级
它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
本级在自主访问控制的基础上控制访问权限扩散。
本级的身份鉴别通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
3)安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据,计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。
4)结构化保护级
第三级实施的自主和强制访问控制基础上,进一步扩展到所有主体和客体。
5)访问验证保护级
本机的计算机信息系统可信计算基满足访问监控器需求。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。与第四级相比,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。
规定动作 :
“定级、备案、安全建设整改、等级测评、检查” 五个规定动作。
1)系统定级
2)信息系统备案
3)信息系统建设整改
二、分级保护概述
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄露。
目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
(1)秘密级,其防护水平不低于国家信息安全等级保护三级的要求。
(2)机密级,其防护水平不低于国家信息安全等级保护四级的要求。
机密级(增强)的要求:使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门。
(3)绝密级,其防护水平不低于国家信息安全等级保护五级的要求。不能与城域网或广域网相连。
涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。
1)涉密信息系统的定级
在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级。
2)安全规划方案设计的设施与调整
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求。当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求。
3)安全运行与维护
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行。
三、等保1.0与等保2.0对比
1、等保1.0时代
等保1.0标准体系:
2、等保2.0时代
等保2.0标准体系:
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》等4个行业标准。
1)GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。
2)GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
3)GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
4)GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。
3、整体变化
等级保护2.0要求一览图:
安全控制域划分上有较大变化,原有十个安全域整合为八个,定义上更精确,内涵更为丰富。
安全控制要求的部分条款被合并,部分条款被删除,同时也有部分新增要求,整体数量有较大降低。
整体内容上,对过于细节内容进行精炼或合并,对部分要求进行了删减,同时也新增了部分要求。 在操作落实方面更灵活,同时与1.0相比整体安全要求有所降低。
4、定级要求
1. 重新对部分内容的顺序作了调整,从整体显得更加的合理。
2. 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析:
5、新增定级流程
6、定级对象
重新对定级对象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。
7、等级保护内容
8、等级保护2.0通用技术要求
1. 物理和环境安全变更
降低物理位置选择要求,机房可设置在建筑楼顶或地下室,但需要加强相应防水防潮措施。
降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。
降低了电力供应的要求,不再要求必须配备后备发电机。
降低了电磁防护的要求,不再要求必须接地。
降低了防盗和防破坏要求,可部署防盗系统或视频监控系统
2. 网络和通讯安全变更
强化了对设备和通信链路的硬件冗余要求。
强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。
降低了带宽控制的要求,不再要求必须进行QOS控制。
降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。
强化了安全审计的统一时钟源要求。
强化了对网络行为审计的要求。
强化了网络边界的安全控制,特别是无线网络与有线网络的边界控制。
强化了对网络攻击特别是“未知攻击”的检测分析要求。
强化了对恶意代码和垃圾邮件的防范要求,强调在“关键网络节点”。
降低了对审计分析的要求,不再要求必须生成审计报表。
特别增加了安全集中管控的要求,建设集中安全管理系统成为必要。
将原有属于网络设备防护的内容移到了“设备和计算安全”部分。
3. 设备和计算安全变更
强化了访问控制的要求,细化了主体和客体的访问控制粒度要求。
强化了安全审计的统一时钟源要求。
强化了入侵防范的控制要求,包括终端的准入要求、漏洞测试与修复。
降低了对审计分析的要求,不再要求必须生成审计报表。
降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。
提出了采用可信计算技术防范恶意代码的控制要求。
强化了将网络设备本身安全看作整体设备和计算安全的一部分,突出了“重要节点”的概念 。
4. 应用和数据安全变更
特别增加了个人信息保护的要求。
强化了对软件容错的要求,保障故障发生时的可用性。
强化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。
强化了安全审计的统一时钟源要求。
降低了对资源控制的要求,包括会话连接数限制、资源监测、资源分配控制。
降低了对审计分析的要求,不再要求必须生成审计报表。
5. 安全策略和管理制度变更
降低了对安全管理制度的管理要求,包括版本控制、收发文管理等,其中不再要求必须由信息安全领导小组组织制度的审定。
6. 安全管理机构和人员变更
对安全管理和机构人员的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如记录和文档的操作要求、制度的制定要求等,另一方面对岗位配备、人员技能考核等要求也有实质性的删减。
强化了对外部人员的管理要求,包括外部人员的访问权限、保密协议的管理要求。
7. 安全建设管理变更
对安全建设管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动、不再对某些管理制度的制定作细化要求;另一方面对安全规划管理、测试验收管理也有实质性的删减。
强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。
强化了对自行软件开发的要求,包括安全性测试、恶意代码检测、软件开发活动的管理要求。
8. 安全运维管理变更
对安全运维管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动、不再对某些管理制度的制定作细化要求;另一方面对介质管理、设备管理也有实质性的删减。
将原有属于监控管理和安全管理中心的内容移到了“网络和通信安全”部分。
将原有属于网络安全设备的部分内容移到了“漏洞和风险管理”部分。
降低了对网络和系统管理的要求,包括安全事件处置管理、实施某些网络管理活动、网络接入策略控制。
特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。
强化了对账号管理、运维管理、设备报废或重用的管理要求。
四、等级保护2.0要求解析
1、云计算扩展
云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。
软件即服务( SaaS)
在平台即服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台。
平台即服务( PaaS)
在平台即服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台。
基础设施即服务( IaaS)
在基础设施即服务模式下,云计算平台由设施、硬件、资源抽象控制层组成。
责任划分:
IaaS:
1. 设施——控制要求
2. 硬件——控制要求
特别增加了镜像和快照保护的控制要求。
提出了对身份验证机制的控制要求。
提出了对职责与权限划分、数据安全审计、恶意代码检测、虚拟机迁移、资源控制的要求。
PaaS:
提出了对数据集中审计的、职责划分的要求。
提出了对开发环境访问控制的要求。
SaaS:
特别增加了接口安全的控制要求。
提出了对应用系统监测、数据备份/存储/迁移/审计的控制要求。
提出了对职责与权限划分、数据安全审计、恶意代码检测、资源控制的要求。
特别增加了供应链管理、监控和审计管理的控制要求。
提出了对选择服务商、测试验收、平台接口安全、授权审批的控制要求。
云等级保护要求:
云系统保护对象扩展:
针对云租户的安全要求:
云系统测评指标选取:
云等保建设两个维度:
云等保对应设备及措施:
云平台三级等保建设产品选择:
租户资源池等保建设产品选择:
2、移动互联扩展
移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
1. 移动终端
提出了对移动终端 自身安全、移动终端运行环境、移动终端应用管理的控制要求。
特别增加了应用管控、移动终端管控的控制要求。
2. 无线网络
特别增加了网络设备防护、无线通信完整性和保密性的控制要求。
提出了对无线网络设备在无线设备接入、无线设备自身安全、通信安全、网络边界安全的控制要求。
3. 移动应用
特别增加了软件审核与检测的控制要求。
提出了对移动应用系统自身安全、代码完整性、通信安全、备份恢复管理的控制要求。
4. 移动管理
提出了对管理制度的制定、岗位职责设定、日常操作管理、技能培训的管理要求。
提出了对软件开发活动、产品采购、工程实施、方案设计、系统交付活动、服务商选择的管理要求。
特别增加了应用软件来源管理和监控和审计管理的要求。
提出了对资产管理、漏洞评估与修复、恶意代码检测、版本管理、备份恢复管理、事件处置的管理要求。
3、工业控制扩展
1. 生产管理层
提出了对网络区域防护、设备硬件冗余、访问控制策略管理、审计管理的控制要求。
特别增加了应用软件来源管理和监控和审计管理的要求。
提出了对资产管理、漏洞评估与修复、恶意代码检测、版本管理、备份恢复管理、事件处置的管理要求。
特别增加了应用软件来源管理和监控和审计管理的要求。
提出了对资产管理、漏洞评估与修复、恶意代码检测、版本管理、备份恢复管理、事件处置的管理要求。
特别增加了应用软件来源管理和监控和审计管理的要求。
提出了对资产管理、漏洞评估与修复、恶意代码检测、版本管理、备份恢复管理、事件处置的管理要求。
五、等保实施指导
1、等保定级
2、医疗等保
3、广电等保
4、安全域功能要求及对应安全产品
5、整个等保流程
6、等保整改加固
六、等级保护实施指导细则
本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。
需要指出的是,本指引无法涵盖所有高风险案例,测评机构须根据安全问题所实际面临的风险做出客观判断。
本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。
1、术语和定义
1)可用性要求较高的系统
指出现短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,即可用性级别大于等于99.9%,年度停机时间小于等于8.8小时的系统;一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统等。
2)核心网络设备
指部署在核心网络节点的关键设备,一般包括但不限于核心交换机、核心路由器、核心边界防火墙等。
3)数据传输完整性要求较高的系统
指数据在传输过程中遭受恶意破坏或篡改,可能造成较大的财产损失,或造成严重破坏的系统,一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等。
4)不可控网络环境
指互联网、公共网络环境、内部办公环境等无管控措施,可能存在恶意攻击、数据窃听等安全隐患的网络环境。
5)可被利用的漏洞
指可被攻击者用来进行网络攻击,可造成严重后果的漏洞,一般包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等。
2、参考依据
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T 25069-2010 信息安全技术术语
3、安全物理环境
1)物理访问控制
机房出入口控制措施:
对应要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
判例内容:机房出入口区域无任何访问控制措施,机房无电子或机械门锁,机房入口也无专人值守;办公或外来人员可随意进出机房,无任何管控、监控措施,存在较大安全隐患,可判高风险。
适用范围:所有系统。
满足条件(同时):
1、机房出入口区域无任何访问控制措施;
2、机房无电子或机械门锁,机房入口也无专人值守;
3、办公或外来人员可随意进出机房,无任何管控、监控措施。
补偿措施:如机房无电子门禁系统,但有其他防护措施,如机房出入配备24小时专人值守,采用摄像头实时监控等,可酌情降低风险等级。
整改建议:机房出入口配备电子门禁系统,通过电子门禁鉴别、记录进入的人员信息。
2)防盗窃和防破坏
机房防盗措施:
对应要求:应设置机房防盗报警系统或设置有专人值守的视频监控系统。
判例内容:机房无防盗报警系统,也未设置有专人值守的视频监控系统,出现盗窃事件无法进行告警、追溯的,可判高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统所在机房;
2、机房无防盗报警系统;
3、未设置有专人值守的视频监控系统;
4、机房环境不可控;
5、如发生盗窃事件无法进行告警、追溯。
补偿措施:如果机房有专人24小时值守,并且能对进出人员进出物品进行登记的(如部分IDC机房有要求设备进出需单登记),可酌情降低风险等级。
整改建议:建议机房部署防盗报警系统或设置有专人值守的视频监控系统,如发生盗窃事件可及时告警或进行追溯,确保机房环境的安全可控。
3)防火
机房防火措施:
对应要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
判例内容:机房内无防火措施(既无自动灭火,也无手持灭火器/或手持灭火器药剂已过期),一旦发生火情,无任何消防处置措施,可判高风险。
适用范围:所有系统。
满足条件(同时):
机房内无任何防火措施(既无自动灭火,也无手持灭火器/或手持灭火器药剂已过期)。
补偿措施:无。
整改建议:建议机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火,相关消防设备如灭火器等应定级检查,确保防火措施有效。
4)温湿度控制
机房温湿度控制措施:
对应要求:应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
判例内容:机房无有效的温湿度控制措施,或温湿度长期高于或低于设备允许的温湿度范围,可能加速设备损害,提高设备的故障率,对设备的正常运行带来安全隐患,可判高风险。
适用范围:所有系统。
满足条件(同时):
1、机房无温湿度调节措施;
2、机房温湿度长期处于设备运运行的范围之外。
补偿措施:对于一些特殊自然条件或特殊用途的系统,可酌情降低风险等级。
整改建议:建议机房设置温、湿度自动调节设备,确保机房温、湿度的变化在设备运行所允许的范围之内。
5)电力供应
1. 机房短期的备用电力供应措施
对应要求:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
判例内容:对于可用性要求较高的系统,如银行、证券等交易类系统,提供公共服务的民生类系统、工控类系统等,机房未配备短期备用电力供应设备(如UPS)或配备的设备无法在短时间内满足断电情况下的正常运行要求的,可判高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、无法提供短期备用电力供应或备用电力供应无法满足系统短期正常运行。
补偿措施:如机房配备多路供电,且供电方同时断电概率较低的情况下,可酌情降低风险等级。
整改建议:建议配备容量合理的后备电源,并定期对UPS进行巡检,确保在在外部电力供应中断的情况下,备用供电设备能满足系统短期正常运行。
2. 机房电力线路冗余措施
对应要求:应设置冗余或并行的电力电缆线路为计算机系统供电。
判例内容:机房未配备冗余或并行电力线路供电来自于同一变电站,可判高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、机房未配备冗余或并行电力线路供电来自于同一变电站。
补偿措施:如机房配备大容量UPS,且足够保障断电情况下,一定时间内系统可正常运行或保障数据存储完整的,可酌情降低风险等级。
整改建议:建议配备冗余或并行的电力线路,电力线路应来自于不同的变电站;对于可用性要求较高的系统(4级系统),建议变电站来自于不同的市电。
3. 机房应急供电措施
对应要求:应提供应急供电设施。
判例内容:系统所在的机房必须配备应急供电措施,如未配备,或应急供电措施无法使用,可判高风险。
适用范围:4级系统。
满足条件(同时):
1、4级系统;
2、机房未配备应急供电措施,或应急供电措施不可用/无法满足系统正常允许需求。
补偿措施:如果系统采用多数据中心方式部署,且通过技术手段能够实现应用级灾备,一定程度上可降低单一机房发生故障所带来的可用性方面影响,可酌情降低风险等级。
整改建议:建议配备应急供电设施,如备用发电设备。
6)电磁防护
机房电磁防护措施:
对应要求:应对关键设备或关键区域实施电磁屏蔽。
判例内容:对于涉及大量核心数据的系统,如机房或关键设备所在的机柜未采取电磁屏蔽措施,可判高风险。
适用范围:对于数据防泄漏要求较高的4级系统。
满足条件(同时):
1、4级系统;
2、系统存储数据敏感性较高,有较高的保密性需求;
3、机房环境复杂,有电磁泄露的风险。
补偿措施:如该4级系统涉及的信息对保密性要求不高,或者机房环境相对可控,可酌情降低风险等级。
整改建议:建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术,且相关产品或技术获得相关检测认证资质的证明。
4、安全通信网络
1)网络架构
1. 网络设备业务处理能力
对应要求:应保证网络设备的业务处理能力满足业务高峰期需要。
判例内容:对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施,可判定为高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上。
补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降低风险等级。
整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长,制定合适的扩容计划。
2. 网络区域划分
对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、涉及资金类交易的支付类系统与办公网同一网段;
2、面向互联网提供服务的系统与内部系统同一网段;
3、重要核心网络区域与非重要网络在同一网段。
补偿措施:无。
整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并做好各区域之间的访问控制措施。
3. 网络访问控制设备不可控
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、互联网边界访问控制设备无管理权限;
2、无其他任何有效访问控制措施;
3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。
补偿措施:无。
整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。
4. 互联网边界访问控制
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当,存在较大安全隐患。
3、互联网出口访问控制措施配置失效,无法起到相关控制功能。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。
5. 不同区域边界访问控制
对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例内容:办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、办公网与生产网之间无访问控制措施;
2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议不同网络区域间应部署访问控制设备,并合理配置访问控制策略,确保控制措施有效。
6. 关键线路、设备冗余
对应要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
判例内容:对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
适用范围:对可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统可用性要求较高;
3、关键链路、核心网络设备或关键计算设备无任何无冗余措施,存在单点故障。
补偿措施:
1、如系统采取多数据中心部署,或有应用级灾备环境,能在生产环境出现故障情况下提供服务的,可酌情降低风险等级。
2、对于系统可用性要求不高的其他3级系统,如无冗余措施,可酌情降低风险等级。
3、如核心安全设备采用并联方式部署,对安全防护能力有影响,但不会形成单点故障,也不会造成重大安全隐患的,可酌情降低风险等级。
整改建议:建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署(如采用热备、负载均衡等部署方式),保证系统的高可用性。
2)通信传输
1. 传输完整性保护
对应要求:应采用密码技术保证通信过程中数据的完整性。
判例内容:对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。
适用范围:对数据传输完整性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统数据传输完整性要求较高;
3、数据在网络层传输无任何完整性保护措施。
补偿措施:如应用层提供完整性校验等措施,或采用可信网络传输,可酌情降低风险等级。
整改建议:建议采用校验技术或密码技术保证通信过程中数据的完整性。
2. 传输保密性保护
对应要求:应采用密码技术保证通信过程中数据的保密性。
判例内容:口令、密钥等重要敏感信息在网络中明文传输,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、设备、主机、数据库、应用等口令、密钥等重要敏感信息在网络中明文传输;
3、该网络管控措施不到位,存在口令被窃取并远程登录的风险。
补偿措施:
1、如网络接入管控较好且网络环境为内网封闭可控环境,确保密码被窃取难度较大,或使用多因素等措施确保即使密码被窃取也无法进行管理,可酌情降低风险等级。
2、如业务形态上必须使用远程Internet访问的相关设备,设备采用多因素认证,且严格限制管理地址的,可酌情降低风险等级。
整改建议:建议相关设备开启SSH或HTTPS协议或创建加密通道,通过这些加密方式传输敏感信息。
5、安全区域边界
1)边界防护
1. 互联网边界访问控制
对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当,存在较大安全隐患。
3、互联网出口访问控制措施配置失效,无法起到相关控制功能。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。
2. 网络访问控制设备不可控
对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
判例内容:互联网边界访问控制设备若无管理权限,且未按需要提供访问控制策略,无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、互联网边界访问控制设备无管理权限;
2、无其他任何有效访问控制措施;
3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。
补偿措施:无。
整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。
3. 违规内联检查措施
对应要求:应能够对非授权设备私自联到内部网络的行为进行检查或限制。
判例内容:非授权设备能够直接接入重要网络区域,如服务器区、管理网段等,且无任何告警、限制、阻断等措施的,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、机房、网络等环境不可控,存在非授权接入可能;
3、可非授权接入网络重要区域,如服务器区、管理网段等;
4、无任何控制措施,控制措施包括限制、检查、阻断等。
补偿措施:如接入的区域有严格的物理访问控制,采用静态IP地址分配,关闭不必要的接入端口,IP-MAC地址绑定等措施的,可酌情降低风险等级。
整改建议:建议部署能够对违规内联行为进行检查、定位和阻断的安全准入产品。
4. 违规外联检查措施
对应要求:应能够对内部用户非授权联到外部网络的行为进行检查或限制。
判例内容:核心重要服务器设备、重要核心管理终端,如无法对非授权联到外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私自外联互联网,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、机房、网络等环境不可控,存在非授权外联可能;
3、对于核心重要服务器、重要核心管理终端存在私自外联互联网可能;
4、无任何控制措施,控制措施包括限制、检查、阻断等。
补偿措施:如机房、网络等环境可控,非授权外联可能较小,相关设备上的USB接口、无线网卡等有管控措施,对网络异常进行监控及日志审查,可酌情降低风险等级。
整改建议:建议部署能够对违规外联行为进行检查、定位和阻断的安全管理产品。
5. 无线网络管控措施
对应要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
判例内容:内部核心网络与无线网络互联,且之间无任何管控措施,一旦非授权接入无线网络即可访问内部核心网络区域,存在较大安全隐患,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、内部核心网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当;
3、非授权接入无线网络将对内部核心网络带来较大安全隐患。
补偿措施:
1、在特殊应用场景下,无线覆盖区域较小,且严格受控,仅有授权人员方可进入覆盖区域的,可酌情降低风险等级;
2、对无线接入有严格的管控及身份认证措施,非授权接入可能较小,可根据管控措施的情况酌情降低风险等级。
整改建议:如无特殊需要,内部核心网络不应与无线网络互联;如因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部核心网络的访问进行限制,降低攻击者利用无线网络入侵内部核心网络。
2)访问控制
1. 互联网边界访问控制
对应要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
判例内容:与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当,存在较大安全隐患。
3、互联网出口访问控制措施配置失效,启用透明模式,无法起到相关控制功能。
补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。
2. 通信协议转换及隔离措施
对应要求:应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。
判例内容:可控网络环境与不可控网络环境之间数据传输未采用通信协议转换或通信协议隔离等方式进行数据转换,可判定为高风险。
适用范围:4级系统。
满足条件(同时):
1、4级系统;
2、可控网络环境与不可控网络环境之间数据传输未进行数据格式或协议转化,也未采用通讯协议隔离措施。
补偿措施:如通过相关技术/安全专家论证,系统由于业务场景需要,无法通过通信协议转换或通信协议隔离等方式进行数据转换的,但有其他安全保障措施的,可酌情降低风险等级。
整改建议:建议数据在不同等级网络边界之间传输时,通过通信协议转换或通信协议隔离等方式进行数据交换。
3)入侵防范
1. 外部网络攻击防御
对应要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
判例内容:关键网络节点(如互联网边界处)未采取任何防护措施,无法检测、阻止或限制互联网发起的攻击行为,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、关键网络节点(如互联网边界处)无任何入侵防护手段(如入侵防御设备、云防、WAF等对外部网络发起的攻击行为进行检测、阻断或限制)。
补偿措施:如具备入侵检测能力(IDS),且监控措施较为完善,能够及时对入侵行为进行干预的,可酌情降低风险等级。
整改建议:建议在关键网络节点(如互联网边界处)合理部署可对攻击行为进行检测、阻断或限制的防护设备(如抗APT攻击系统、网络回溯系统、威胁情报检测系统、入侵防护系统等),或购买云防等外部抗攻击服务。
2. 内部网络攻击防御
对应要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
判例内容:关键网络节点(如核心服务器区与其他内部网络区域边界处)未采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、关键网络节点(如核心服务器区与其他内部网络区域边界处)无任何入侵防护手段(如入侵防御、防火墙等对内部网络发起的攻击行为进行检测、阻断或限制)。
补偿措施:如核心服务器区与其他内部网络之间部署了防火墙等访问控制设备,且访问控制措施较为严格,发生内部网络攻击可能性较小或有一定的检测、防止或限制能力,可酌情降低风险等级。
整改建议:建议在关键网络节点处(如核心服务器区与其他内部网络区域边界处)进行严格的访问控制措施,并部署相关的防护设备,检测、防止或限制从内部发起的网络攻击行为。
4)恶意代码和垃圾邮件防范
网络层恶意代码防范:
对应要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
判例内容:主机和网络层均无任何恶意代码检测和清除措施的,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、主机层无恶意代码检测和清除措施;
2、网络层无恶意代码检测和清除措施。
补偿措施:
1、如主机层部署恶意代码检测和清除产品,且恶意代码库保持更新,可酌情降低风险等级。
2、如2级及以下系统,使用Linux、Unix系统,主机和网络层均未部署恶意代码检测和清除产品,可视总体防御措施酌情降低风险等级。
3、对与外网完全物理隔离的系统,其网络环境、USB介质等管控措施较好,可酌情降低风险等级。
整改建议:建议在关键网络节点处部署恶意代码检测和清除产品,且与主机层恶意代码防范产品形成异构模式,有效检测及清除可能出现的恶意代码攻击。
5)安全审计
网络安全审计措施:
对应要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、无法对重要的用户行为和重要安全事件进行日志审计。
补偿措施:无。
整改建议:建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。
6、安全计算环境
1)网络设备、安全设备、主机设备等
1. 身份鉴别
① 设备弱口令
对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
判例内容:网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐户,并可通过该弱口令帐户登录,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、存在空口令或弱口令帐户;
2、可使用该弱口令帐户登录。
补偿措施:
1、如采用双因素认证等管控手段,恶意用户使用该空/弱口令帐号无法直接登录相关设备,可酌情降低风险等级。
2、如测评对象重要性较低,不会对整个信息系统安全性产生任何影响,可酌情降低风险等级。
整改建议:建议删除或重命名默认账户,制定相关管理制度,规范口令的最小长度、复杂度与生存周期,并根据管理制度要求,合理配置账户口令策略,提高口令质量。
② 远程管理防护
对应要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,鉴别信息明文传输,容易被监听,造成数据泄漏,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、通过不可控网络环境远程进行管理;
2、管理帐户口令以明文方式传输;
3、使用截获的帐号可远程登录。
补偿措施:
1、如整个远程管理过程中,只能使用加密传输通道进行鉴别信息传输的,可视为等效措施,判符合。
2、如采用多因素身份认证、访问地址限定、仅允许内部可控网络进行访问的措施时,窃听到口令而无法直接进行远程登录的,可酌情降低风险等级。
3、如通过其他技术管控手段(如准入控制、桌面管理、行为管理等),降低数据窃听隐患的,可酌情降低风险等级。
4、在有管控措施的情况下,如果默认采用加密进行管理,但同时也开启非加密管理方式,可根据实际管理情况,酌情判断风险等级。
5、可根据被测对象的作用以及重要程度,可根据实际情况,酌情判断风险等级。
整改建议:建议尽可能避免通过不可控网络对网络设备、安全设备、操作系统、数据库等进行远程管理,如确有需要,则建议采取措施或使用加密机制(如VPN加密通道、开启SSH、HTTPS协议等),防止鉴别信息在网络传输过程中被窃听。
③ 双因素认证
对应要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
判例内容:重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、重要核心设备、操作系统等通过不可控网络环境远程进行管理;
3、设备未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种鉴别技术中未用到密码技术或生物技术。
补偿措施:
1、如设备通过本地登录方式(非网络方式)维护,本地物理环境可控,可酌情降低风险等级。
2、采用两重用户名/口令认证措施(两重口令不同),例如身份认证服务器、堡垒机等手段,可酌情降低风险等级。
3、如设备所在物理环境、网络环境安全可控,网络窃听、违规接入等隐患较小,口令策略和复杂度、长度符合要求的情况下,可酌情降低风险等级。
4、可根据被测对象的作用以及重要程度,根据实际情况,酌情判断风险等级。
整改建议:建议重要核心设备、操作系统等增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。
2. 访问控制
默认口令处理:
对应要求:应重命名或删除默认账户,修改默认账户的默认口令。
判例内容:网络设备、安全设备、操作系统、数据库等默认账号的默认口令未修改,使用默认口令进行登录设备,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、未修改默认帐户的默认口令;
2、可使用该默认口令账号登录。
补偿措施:无。
整改建议:建议网络设备、安全设备、操作系统、数据库等重命名或删除默认管理员账户,修改默认密码,使其具备一定的强度,增强账户安全性。
3. 安全审计
设备安全审计措施:
对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统
2、重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
补偿措施:
1、如使用堡垒机或其他第三方审计工具进行日志审计,能有效记录用户行为和重要安全事件,可视为等效措施,判符合。
2、如通过其他技术或管理手段能对事件进行溯源的,可酌情降低风险等级。
3、如核查对象非重要核心设备,对整个信息系统影响有限的情况下,可酌情降低风险等级。
整改建议:建议在重要核心设备、安全设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件类审计策略或使用第三方日志审计工具,实现对相关设备操作与安全行为的全面审计记录,保证发生安全问题时能够及时溯源。
4. 入侵防范
① 不必要服务处置
对应要求:应关闭不需要的系统服务、默认共享和高危端口。
判例内容:网络设备、安全设备、操作系统等存在多余系统服务/默认共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隐患,可判定为高风险。
适用范围:所有系统。
满足条件:操作系统上的多余系统服务/默认共享/高危端口存在可被利用的高风险漏洞或重大安全隐患。
补偿措施:如通过其他技术手段能降低漏洞影响,可酌情降低风险等级。
整改建议:建议网络设备、安全设备、操作系统等关闭不必要的服务和端口,减少后门等安全漏洞;根据自身应用需求,需要开启共享服务的,应合理设置相关配置,如设置账户权限等。
② 管理终端管控措施
对应要求:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,未采取技术手段对管理终端进行限制,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、可通过不可控网络环境远程进行管理;
3、未采取技术手段对管理终端进行管控(管控措施包括但不限于终端接入管控、网络地址范围限制、堡垒机等)。
补偿措施:如管理终端部署在运维区、可控网络或采用多种身份鉴别方式等技术措施,可降低终端管控不善所带来的安全风险的,可酌情降低风险等级。
整改建议:建议通过技术手段,对管理终端进行限制。
③ 已知重大漏洞修补
对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
判例内容:对于一些互联网直接能够访问到的网络设备、安全设备、操作系统、数据库等,如存在外界披露的重大漏洞,未及时修补更新,无需考虑是否有POC攻击代码,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、该设备可通过互联网访问;
2、该设备型号、版本存在外界披露的重大安全漏洞;
3、未及时采取修补或其他有效防范措施。
补偿措施:
1、如相关漏洞暴露在可控的网络环境,可酌情降低风险等级。
2、如某网络设备的WEB管理界面存在高风险漏洞,而该WEB管理界面只能通过特定IP或特定可控环境下才可访问,可酌情降低风险等级。
整改建议:建议订阅安全厂商漏洞推送或本地安装安全软件,及时了解漏洞动态,在充分测试评估的基础上,弥补严重安全漏洞。
④ 测试发现漏洞修补
对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
判例内容:通过验证测试或渗透测试能够确认并利用的,可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等),可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、存在可被利用的高风险漏洞;
2、通过验证测试或渗透测试确认该高风险漏洞可能对该设备造成重大安全隐患。
补偿措施:只有在相关设备所在的物理、网络、管理环境严格受控,发生攻击行为可能性较小的情况下,方可酌情降低风险等级;对于互联网可访问到的设备,原则上不宜降低其风险等级。
整改建议:建议在充分测试的情况下,及时对设备进行补丁更新,修补已知的高风险安全漏洞;此外,还应定期对设备进行漏扫,及时处理发现的风险漏洞,提高设备稳定性与安全性。
5. 恶意代码防范
操作系统恶意代码防范:
对应要求:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
判例内容:Windows操作系统未安装防恶意代码软件,并进行统一管理,无法防止来自外部的恶意攻击或系统漏洞带来的危害,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、Windows操作系统未安装杀毒软件。
2、Windows操作系统安装的杀毒软件病毒库一月以上未更新。(可根据服务器部署环境、行业或系统特性缩短或延长病毒库更新周期)
补偿措施:
1、如一个月以上未更新,但有完备的补丁更新/测试计划,且有历史计划执行记录的,可根据服务器部署环境、行业或系统特性酌情降低风险等级。
2、可与网络安全部分中的入侵防范和访问控制措施相结合来综合评定风险,如网络层部署了恶意代码防范设备,可酌情降低风险等级。
3、对与外网完全物理隔离的系统,其网络环境、USB介质等管控措施较好,可酌情降低风险等级。
整改建议:建议操作系统统一部署防病毒软件,或采用集成性质防病毒服务器或虚拟化底层防病毒措施,并及时更新病毒库,抵挡外部恶意代码攻击。
2)应用系统
1. 身份鉴别
- ① 口令策略
对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
判例内容:应用系统无任何用户口令复杂度校验机制,校验机制包括口令的长度、复杂度等,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、应用系统无口令长度、复杂度校验机制;
2、可设置6位以下,单个数字或连续数字或相同数字等易猜测的口令。
补偿措施:
1、如应用系统采用多种身份鉴别认证技术的,即使有口令也无法直接登录应用系统的,可酌情降低风险等级。
2、如应用系统仅为内部管理系统,只能内网访问,且访问人员相对可控,可酌情降低风险等级。
3、如应用系统口令校验机制不完善,如只有部分校验机制,可根据实际情况,酌情降低风险等级。
4、特定应用场景中的口令(如PIN码)可根据相关要求,酌情判断风险等级。
整改建议:建议应用系统对用户的账户口令长度、复杂度进行校验,如要求系统账户口令至少8位,由数字、字母或特殊字符中2种方式组成;对于如PIN码等特殊用途的口令,应设置弱口令库,通过对比方式,提高用户口令质量。
② 弱口令
对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
判例内容:应用系统存在易被猜测的常用/弱口令帐户,可判定为高风险。
适用范围:所有系统。
满足条件:通过渗透测试或常用/弱口令尝试,发现应用系统中存在可被登录弱口令帐户。
补偿措施:如该弱口令帐号为前台自行注册,自行修改的普通用户帐户,被猜测登录后只会影响单个用户,而不会对整个应用系统造成安全影响的,可酌情降低风险等级。
整改建议:建议应用系统通过口令长度、复杂度校验、常用/弱口令库比对等方式,提高应用系统口令质量。
③ 登录失败处理
对应要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
判例内容:可通过互联网登录的应用系统未提供任何登录失败处理措施,攻击者可进行口令猜测,可判定为高风险。
适用范围:3级及以上系统。
满足条件:
1、3级及以上系统;
2、可通过互联网登录,且对帐号安全性要求较高,如帐户涉及金融、个人隐私信息、后台管理等;
3、对连续登录失败无任何处理措施;
4、攻击者可利用登录界面进行口令猜测。
补偿措施:
1、如应用系统采用多种身份鉴别认证技术的,可酌情降低风险等级。
2、仅通过内部网络访问的内部/后台管理系统,如访问人员相对可控,可酌情降低风险等级。
3、如登录页面采用图像验证码等技术可在一定程度上提高自动化手段进行口令暴力破解难度的,可酌情降低风险等级。
4、可根据登录帐户的重要程度、影响程度,可酌情判断风险等级。但如果登录帐户涉及到金融行业、个人隐私信息、信息发布、后台管理等,不宜降低风险等级。
整改建议:建议应用系统提供登录失败处理功能(如帐户锁定、多重认证等),防止攻击者进行口令暴力破解。
④ 双因素认证
对应要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
判例内容:通过互联网方式访问,且涉及大额资金交易、核心业务等操作的系统,在进行重要操作前应采用两种或两种以上方式进行身份鉴别,如只采用一种验证方式进行鉴别,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、通过互联网方式访问的系统,在进行涉及大额资金交易、核心业务等重要操作前未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种鉴别技术中未用到密码技术或生物技术。
补偿措施:
1、采用两重用户名/口令认证措施,且两重口令不可相同等情况,可酌情降低风险等级。
2、如应用服务访问的网络环境安全可控,网络窃听、违规接入等隐患较小,口令策略和复杂度、长度符合要求的情况下,可酌情降低风险等级。
3、在完成重要操作前的不同阶段两次或两次以上使用不同的方式进行身份鉴别,可根据实际情况,酌情降低风险等级。
4、涉及到主管部门认可的业务形态,例如快捷支付、小额免密支付等,可酌情降低风险等级。
5、可根据被测对象中用户的作用以及重要程度,在口令策略和复杂度、长度符合要求的情况下,可根据实际情况,酌情判断风险等级。
6、系统用户群体为互联网用户,且冒名登录、操作不会对系统或个人造成重大恶劣影响或经济损失的,可酌情判断风险等级。
整改建议:建议应用系统增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。
2. 访问控制
① 登录用户权限控制
对应要求:应对登录的用户分配账户和权限。
判例内容:应用系统访问控制功能存在缺失,无法按照设计策略控制用户对系统功能、数据的访问;可通过直接访问URL等方式,在不登录系统的情况下,非授权访问系统功能模块,可判定为高风险。
适用范围:所有系统。
满足条件:可通过直接访问URL等方式,在不登录系统的情况下,非授权访问系统重要功能模块。
补偿措施:
1、如应用系统部署在可控网络,有其他防护措施能限制、监控用户行为的,可酌情降低风险等级。
2、可根据非授权访问模块的重要程度、越权访问的难度,酌情提高/减低风险等级。
整改建议:建议完善访问控制措施,对系统重要页面、功能模块进行访问控制,确保应用系统不存在访问控制失效情况。
② 默认口令处理
对应要求:应重命名或删除默认账户,修改默认账户的默认口令。
判例内容:应用系统默认账号的默认口令未修改,可利用该默认口令登录系统,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、未修改默认帐户的默认口令;
2、可使用该默认口令账号登录。
补偿措施:无。
整改建议:建议应用系统重命名或删除默认管理员账户,修改默认密码,使其具备一定的强度,增强账户安全性。
③ 访问控制策略
对应要求:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
判例内容:应用系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功能模块等,可判定为高风险。
适用范围:所有系统。
满足条件:系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功能模块等。
补偿措施:
1、如应用系统部署在可控网络,有其他防护措施能限制、监控用户行为的,可酌情降低风险等级。
2、可根据非授权访问模块的重要程度、越权访问的难度,酌情提高/减低风险等级。
整改建议:建议完善访问控制措施,对系统重要页面、功能模块进行重新进行身份、权限鉴别,确保应用系统不存在访问控制失效情况。
3. 安全审计
安全审计措施:
对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统
2、应用系统无任何日志审计功能,无法对用户的重要行为进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
补偿措施:
1、如有其他技术手段对重要的用户行为进行审计、溯源,可酌情降低风险等级。
2、如审计记录不全或审计记录有记录,但无直观展示,可根据实际情况,酌情降低风险等级。
整改建议:建议应用系统完善审计模块,对重要用户操作、行为进行日志审计,审计范围不仅针对前端用户的操作、行为,也包括后台管理员的重要操作。
3)安全审计
1. 安全审计措施
对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统
2、应用系统无任何日志审计功能,无法对用户的重要行为进行审计;
3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。
补偿措施:
1、如有其他技术手段对重要的用户行为进行审计、溯源,可酌情降低风险等级。
2、如审计记录不全或审计记录有记录,但无直观展示,可根据实际情况,酌情降低风险等级。
整改建议:建议应用系统完善审计模块,对重要用户操作、行为进行日志审计,审计范围不仅针对前端用户的操作、行为,也包括后台管理员的重要操作。
4)入侵防范
1. 数据有效性检验功能
对应要求:应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
判例内容:由于校验机制缺失导致的应用系统存在如SQL注入、跨站脚本、上传漏洞等高风险漏洞,可判定为高风险。
适用范围:所有系统。
满足条件:
1、应用系统存在如SQL注入、跨站脚本、上传漏洞等可能导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,造成严重后果的高风险漏洞;
2、无其他技术手段对该漏洞进行防范。
补偿措施:
1、如应用系统存在SQL注入、跨站脚本等高风险漏洞,但是系统部署了WAF、云盾等应用防护产品,在防护体系下无法成功利用,可酌情降低风险等级。
2、不与互联网交互的内网系统,可根据系统重要程度、漏洞危害情况等,酌情判断风险等级。
整改建议:建议通过修改代码的方式,对数据有效性进行校验,提交应用系统的安全性,防止相关漏洞的出现。
2. 已知重大漏洞修补
对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
判例内容:应用系统所使用的环境、框架、组件等存在可被利用的高风险漏洞,导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,可能造成严重后果的,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、应用系统所使用的环境、框架、组件等存在可被利用的,可能导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,造成严重后果的高风险漏洞;
2、无其他有效技术手段对该漏洞进行防范。
补偿措施:
1、如应用系统使用的环境、框架、组件等存在高风险漏洞,但是系统部署了WAF、云盾等应用防护产品,在防护体系下无法成功利用,可酌情降低风险等级。
2、不与互联网交互的内网系统,可通过分析内网环境对相关漏洞的影响、危害以及利用难度,酌情提高/降低风险等级。
整改建议:建议定期对应用系统进行漏洞扫描,对可能存在的已知漏洞,在重复测试评估后及时进行修补,降低安全隐患。
3. 测试发现漏洞修补
对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
判例内容:如应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况,可判定为高风险。
适用范围:所有系统。
满足条件:通过测试,发现应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况。
补偿措施:无。
整改建议:建议通过修改应用程序的方式对发现的高风险/严重逻辑缺陷进行修补,避免出现安全隐患。
5)数据完整性
1. 传输完整性保护
对应要求:应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
判例内容:对传输完整性要求较高的系统,如未采取任何措施保障重要数据传输完整性,重要数据在传输过程中被篡改可能造成严重后果的,可判定为高风险。
适用范围:对数据传输完整性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、未对传输的重要数据进行完整性保护;
3、通过中间人劫持等攻击技术修改传输数据,可能对系统造成重大安全影响。
补偿措施:
1、如通过技术手段确保无法对传输数据进行修改,可酌情降低风险等级。
2、可根据传输数据的重要程度、传输数据篡改的难度、篡改后造成的影响等情况,酌情提高/降低风险等级。
整改建议:建议在应用层通过密码技术确保传输数据的完整性,并在服务器端对数据有效性进行校验,确保只处理未经修改的数据。
6)数据保密性
1. 传输保密性保护
对应要求:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
判例内容:用户鉴别信息、公民敏感信息数据或重要业务数据等以明文方式在不可控网络中传输,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、用户身份认证信息、个人敏感信息数据或重要业务数据等以明文方式在不可控网络中传输。
补偿措施:
1、如使用网络加密的技术确保数据在加密通道中传输,可根据实际情况,视为等效措施,判为符合。
2、如敏感信息在可控网络中传输,网络窃听等风险较低,可酌情降低风险等级。
整改建议:建议采用密码技术确保重要数据在传输过程中的保密性。
2. 存储保密性保护
对应要求:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
判例内容:用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储,且无其他有效保护措施,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储;
2、无其他有效数据保护措施。
补偿措施:如采取区域隔离、部署数据库安全审计等安全防护措施的,可通过分析造成信息泄露的难度和影响程度,酌情降低风险等级。
整改建议:采用密码技术保证重要数据在存储过程中的保密性。
7)数据备份恢复
1. 数据备份措施
对应要求:应提供重要数据的本地数据备份与恢复功能。
判例内容:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的,可判定为高风险。
适用范围:所有系统。
满足条件:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复。
补偿措施:无。
整改建议:建议建立备份恢复机制,定期对重要数据进行备份以及恢复测试,确保在出现数据破坏时,可利用备份数据进行恢复。
2. 异地备份措施
对应要求:应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
判例内容:对系统、数据容灾要求较高的系统,如金融、医疗卫生、社会保障等行业系统,如无异地数据灾备措施,或异地备份机制无法满足业务需要,可判定为高风险。
适用范围:对系统、数据容灾要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对容灾要求较高的系统;
3、系统无异地数据备份措施,或异地备份机制无法满足业务需要。
补偿措施:
1、一般来说同城异地机房直接距离不低于为30公里,跨省市异地机房直线距离不低于100公里,如距离上不达标,可酌情降低风险等级。
2、系统数据备份机制存在一定时间差,若被测单位评估可接受时间差内数据丢失,可酌情降低风险等级。
3、可根据系统容灾要求及行业主管部门相关要求,根据实际情况酌情提高/减低风险等级。
整改建议:建议设置异地灾备机房,并利用通信网络将重要数据实时备份至备份场地。
3. 数据处理冗余措施
对应要求:应提供重要数据处理系统的热冗余,保证系统的高可用性。
判例内容:对数据处理可用性要求较高系统(如金融行业系统、竞拍系统、大数据平台等),应采用热冗余技术提高系统的可用性,若核心处理节点(如服务器、DB等)存在单点故障,可判定为高风险。
适用范围:对数据处理可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对数据处理可用性要求较高系统;
3、处理重要数据的设备(如服务器、DB等)未采用热冗余技术,发生故障可能导致系统停止运行。
补偿措施:如当前采取的恢复手段,能够确保被测单位评估的RTO在可接受范围内,可根据实际情况酌情降低风险等级。
整改建议:建议对重要数据处理系统采用热冗余技术,提高系统的可用性。
4. 异地灾难备份中心
对应要求:应建立异地灾难备份中心,提供业务应用的实时切换。
判例内容:对容灾、可用性要求较高的系统,如金融行业系统,如未设立异地应用级容灾中心,或异地应用级容灾中心无法实现业务切换,可判定为高风险。
适用范围:对容灾、可用性要求较高的4级系统。
满足条件(同时):
1、4级系统;
2、对容灾、可用性要求较高的系统;
3、未设立异地应用级容灾中心,或异地应用级容灾中心无法实现业务切换。
补偿措施:如当前采取的恢复手段,能够确保被测单位评估的RTO在可接受范围内,可根据实际情况酌情降低风险等级。
整改建议:建议对重要数据处理系统采用热冗余技术,提高系统的可用性。
8)剩余信息保护
1. 鉴别信息释放措施
对应要求:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
判例内容:身份鉴别信息释放或清除机制存在缺陷,如在正常进行释放或清除身份鉴别信息操作后,仍可非授权访问系统资源或进行操作,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、身份鉴别信息释放或清除机制存在缺陷;
2、利用剩余鉴别信息,可非授权访问系统资源或进行操作。
补偿措施:无。
整改建议:建议完善鉴别信息释放/清除机制,确保在执行释放/清除相关操作后,鉴别信息得到完全释放/清除。
2. 敏感数据释放措施
对应要求:应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
判例内容:身份鉴别信息释放或清除机制存在缺陷,如在正常进行释放或清除身份鉴别信息操作后,仍可非授权访问系统资源或进行操作,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、敏感数据释放或清除机制存在缺陷;
3、利用剩余信息,可非授权获得相关敏感数据。
补偿措施:如因特殊业务需要,需要在存储空间保留敏感数据,相关敏感数据进行了有效加密/脱敏处理的,且有必要的提示信息,可根据实际情况,酌情降低风险等级。
整改建议:建议完善敏感数据释放/清除机制,确保在执行释放/清除相关操作后,敏感数据得到完全释放/清除。
9)个人信息保护
1. 个人信息采集、存储
对应要求:应仅采集和保存业务必需的用户个人信息。
判例内容:在采集和保存用户个人信息时,应通过正式渠道获得用户同意、授权,如在未授权情况下,采取、存储用户个人隐私信息,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、在未授权情况下,采取、存储用户个人隐私信息,无论该信息是否是业务需要。
2、采集、保存法律法规、主管部门严令禁止采集、保存的用户隐私信息。
补偿措施:如在用户同意、授权的情况下,采集和保存业务非必需的用户个人信息,可根据实际情况,酌情提高/降低风险等级。
整改建议:建议通过官方正式渠道向用户表明采集信息的内容、用途以及相关的安全责任,并在用户同意、授权的情况下采集、保存业务必需的用户个人信息。
2. 个人信息访问、使用
对应要求:应禁止未授权访问和非法使用用户个人信息。
判例内容:未授权访问和非法使用个人信息,如在未授权情况下将用户信息提交给第三方处理,未脱敏的情况下用于其他业务用途,未严格控制个人信息查询以及导出权限,非法买卖、泄露用户个人信息等,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、在未授权情况下将用户个人信息共享给其他公司、机构、个人(国家、法律规定的公安、司法机构除外)。
2、未脱敏的情况下用于其他非核心业务系统或测试环境等。
3、未严格控制个人信息查询以及导出权限。
4、非法买卖、泄露用户个人信息。
补偿措施:如互联网系统在收集用户的个人敏感信息前,数据收集方明确数据的用途,可能涉及使用数据的单位、机构,权责清晰,并根据各自职责与用户签订个人信息保密协议和个人信息收集声明许可协议的,可根据实际情况酌情提降低风险等级。
整改建议:建议通过官方正式渠道向用户表明采集信息的内容、用途以及相关的安全责任,并在用户同意、授权的情况下采集、保存业务必需的用户个人信息,通过技术和管理手段,防止未授权访问和非法使用
7、安全区域边界
1)集中管控
1. 运行监控措施
对应要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
判例内容:对可用性要求较高的系统,若没有任何监测措施,发生故障时难以及时对故障进行定位和处理,可判定为高风险。
适用范围:可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对可用性要求较高的系统;
3、无任何监控措施,发生故障也无法及时对故障进行定位和处理。
补偿措施:无。
整改建议:建议对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
2. 日志集中收集存储
对应要求:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
判例内容:《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相关设备日志留存不满足法律法规相关要求,可判定为高风险。
适用范围: 3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求(不少于六个月)。
补偿措施:对于一些特殊行业或日志时效性短于6个月的,可根据实际情况,可酌情降低风险等级。
整改建议:建议部署日志服务器,统一收集各设备的审计数据,进行集中分析,并根据法律法规的要求留存日志。
3. 安全事件发现处置措施
对应要求:应能对网络中发生的各类安全事件进行识别、报警和分析。
判例内容:未部署相关安全设备,识别网络中发生的安全事件,并对重要安全事件进行报警的,可判定为高风险。
适用范围: 3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无法对网络中发生的安全事件(包括但不限于网络攻击事件、恶意代码传播事件等)进行识别、告警和分析。
补偿措施:无。
整改建议:建议部署相关专业防护设备,对网络中发生的各类安全事件进行识别、报警和分析,确保相关安全事件得到及时发现,及时处置。
8、安全管理制度
1)管理制度
1. 管理制度建设
对应要求:应对安全管理活动中的各类管理内容建立安全管理制度。
判例内容:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统的,可判定为高风险。
适用范围:所有系统。
满足条件(任意条件):
1、未建立任何与安全管理活动相关的管理制度。
2、相关管理制度无法适用于当前被测系统。
补偿措施:无。
整改建议:建议按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度。
9、安全管理机构
1)岗位设置
1. 网络安全领导小组建立
对应要求:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
判例内容:未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导不是由单位主管领导委任或授权,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、未成立指导和管理信息安全工作的委员会或领导小组,或领导小组最高领导不是由单位主管领导委任或授权。
补偿措施:无。
整改建议:建议成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
10、安全建设管理
1)产品采购和使用
1. 网络安全产品采购和使用
对应要求:应确保网络安全产品采购和使用符合国家的有关规定。
判例内容:网络关键设备和网络安全专用产品的使用违反国家有关规定,可判定为高风险。
适用范围:所有系统。
满足条件:网络关键设备和网络安全专用产品的使用违反国家有关规定。
补偿措施:无。
整改建议:建议依据国家有关规定,采购和使用网络关键设备和网络安全专用产品。(《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。)
2. 密码产品与服务采购和使用
对应要求:应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
判例内容:密码产品与服务的使用违反国家密码管理主管部门的要求,可判定为高风险。
适用范围:所有系统。
满足条件:密码产品与服务的使用违反国家密码管理主管部门的要求。
补偿措施:无。
整改建议:建议依据国家密码管理主管部门的要求,使用密码产品与服务。(如《商用密码产品使用管理规定》等)
2)外包软件开发
1. 外包开发代码审计
对应要求:应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
判例内容:对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明,可判定为高风险。
适用范围:涉及金融、民生、基础设施等重要核心领域的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、涉及金融、民生、基础设施等重要行业的业务核心系统;
3、被测单位为对外包公司开发的系统进行源代码安全审查;
4、外包公司也无法提供第三方安全检测证明。
补偿措施:
1、开发公司可提供国家认可的第三方机构出具的源代码安全审查报告/证明,可视为等效措施,判符合。
2、可根据系统的用途以及外包开发公司的开发功能的重要性,根据实际情况,酌情提高/减低风险等级。
3、如第三方可提供软件安全性测试证明(非源码审核),可视实际情况,酌情减低风险等级。
4、如被测方通过合同等方式与外包开发公司明确安全责任或采取相关技术手段进行防控的,可视实际情况,酌情降低风险等级。
5、如被测系统建成时间较长,但定期对系统进行安全检测,当前管理制度中明确规定外包开发代码审计的,可根据实际情况,酌情减低风险等级。
整改建议:建议对外包公司开发的核心系统进行源代码审查,检查是否存在后门和隐蔽信道。如没有技术手段进行源码审查的,可聘请第三方专业机构对相关代码进行安全检测。、
3)测试验收
1. 上线前安全测试
对应要求:应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
判例内容:系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,可判定为高风险。安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、系统上线前未进行任何安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线。
补偿措施:
1、如被测系统建成时间较长,定期对系统进行安全检测,管理制度中相关的上线前安全测试要求,可根据实际情况,酌情减低风险等级。
2、如系统安全性方面是按照技术协议中的约定在开发过程中进行控制,并能提供相关控制的证明,可根据实际情况,酌情减低风险等级。
2、可视系统的重要程度,被测单位的技术实力,根据自检和第三方检测的情况,酌情提高/减低风险等级。
整改建议:建议在新系统上线前,对系统进行安全性评估,及时修补评估过程中发现的问题,确保系统不“带病”上线。
11、安全运维管理
1)漏洞和风险管理
1. 安全漏洞和隐患的识别与修补
对应要求:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
判例内容:未对发现的安全漏洞和隐患及时修补,会导致系统存在较大的安全隐患,黑客有可能利用安全漏洞对系统实施恶意攻击,如果安全漏洞和隐患能够构成高危风险,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、通过漏洞扫描,发现存在可被利用的高风险漏洞;
3、未对相关漏洞进行评估或修补,对系统安全构成重大隐患。
补偿措施:如果安全漏洞修补可能会对系统的正常运行造成冲突,应对发现的安全漏洞和隐患进行评估,分析被利用的可能性,判断安全风险的等级,在可接受的范围内进行残余风险评估,明确风险等级,若无高危风险,可酌情降低风险。
整改建议:建议对发现的安全漏洞和隐患进行及时修补评估,对必须修补的安全漏洞和隐患进行加固测试,测试无误后,备份系统数据,再从生产环境进行修补,对于剩余安全漏洞和隐患进行残余风险分析,明确安全风险整改原则。
2)网络和系统安全管理
1. 重要运维操作变更管理
对应要求:应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。
判例内容:未对运维过程中改变连接、安装系统组件或调整配置参数进行变更审批,且未进行变更性测试,一旦安装系统组件或调整配置参数对系统造成影响,有可能导致系统无法正常访问,出现异常,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、未建立变更管理制度,对于重大变更性运维过程无审批流程;
3、变更过程未保留相关操作日志及备份措施,出现问题不发进行恢复还原。
补偿措施:无。
整改建议:建议对需要作出变更性运维的动作进行审批,并对变更内容进行测试,在测试无误后,备份系统数据和参数配置,再从生产环境进行变更,并明确变更流程以及回退方案,变更完成后进行配置信息库更新。
2. 运维工具的管控
对应要求:应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
判例内容:未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,未对运维工具的接入进行严格的控制和审批,运维工具中可能存在漏洞或后门,一旦被黑客利用有可能造成数据泄漏,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,如病毒、漏洞扫描等;对运维工具的接入也未进行严格的控制和审批;操作结束后也未要求删除可能临时存放的敏感数据。
补偿措施:
1、如使用官方正版商用化工具,或自行开发的,安全可供的运维工具,可根据实际情况,酌情降低风险等级。
2、如对于运维工具的接入有严格的控制措施,且有审计系统对相关运维操作进行审计,可根据实际情况,酌情降低风险等级。
整改建议:如果必须使用运维工具,建议使用商业化的运维工具,严禁运维人员私自下载第三方未商业化的运维工具。
3. 运维外联的管控
对应要求:应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
判例内容:制度上服务器及终端与外部连接的授权和批准制度,也未定期对相关违反网络安全策略的行为进行检查,存在违规外联的安全隐患,一旦内网服务器或终端违规外联,可能造成涉密信息(商密信息)的泄露,同时增加了感染病毒的可能性,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、管理制度上无关于外部连接的授权和审批流程,也未定期进行相关的巡检;
3、无技术手段检查违规上网及其他网络安全策略的行为。
补偿措施:在网络部署了相关的准入控制设备,可有效控制、检查、阻断违规无线上网及其他违反网络安全策略行为的情况下,如未建立相关制度,未定期进行巡检,可酌情降低风险等级。
整改建议:建议制度上明确所有与外部连接的授权和批准制度,并定期对相关违反行为进行检查,可采取终端管理系统实现违规外联和违规接入,设置合理的安全策略,在出现违规外联和违规接入时能第一时间进行检测和阻断。
3)恶意代码防范管理
1. 外来接入设备恶意代码检查
对应要求:应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。
判例内容:外来计算机或存储设备本身可能已被感染病毒或木马,未对其接入系统前进行恶意代码检查,可能导致系统感染病毒或木马,对信息系统极大的危害,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、未在管理制度或安全培训手册中明确外来计算机或存储设备接入安全操作流程;
2、外来计算机或存储设备接入系统前未进行恶意代码检查。
补偿措施:无。
整改建议:建议制定外来接入设备检查制度,对任何外来计算机或存储设备接入系统前必须经过恶意代码检查,再检查无误后,经过审批,设备方可接入系统。
4)变更管理
1. 需求变更管理
对应要求:应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、 审批后方可实施。
判例内容:未明确变更管理流程,未对需要变更的内容进行分析与论证,未制定详细的变更方案,无法明确变更的需求与必要性;变更的同时也伴随着可能导致系统无法正常访问的风险,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无变更管理制度,或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容。
补偿措施:无。
整改建议:建议系统的任何变更均需要管理流程,必须组织相关人员(业务部门人员与系统运维人员等)进行分析与论证,在确定必须变更后,制定详细的变更方案,在经过审批后,先对系统进行备份,然后在实施变更。
5)备份与恢复管理
1. 数据备份策略
对应要求:应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
判例内容:未明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,无法实现重要数据的定期备份与恢复性测试,一旦系统出现故障,需要恢复数据,存在无数据可恢复的情况,或者备份的数据未经过恢复性测试,无法确保备份的数据可用,可判定为高危风险。此外,如有相关制度,但未实施,视为制度内容未落实,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份。
补偿措施:
1、未建立相关数据备份制度,但若已实施数据备份措施,且备份机制符合业务需要,可酌情降低风险等级。
2、如系统还未正式上线,则可检查是否制定了相关的管理制度,目前的技术措施(如环境、存储等)是否可以满足制度中规定的备份恢复策略要求,可根据实际情况判断风险等级。
整改建议:建议制定备份与恢复相关的制度,明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,实现重要数据的定期备份与恢复性测试,保证备份数据的高可用性与可恢复性。
6)应急预案管理
1. 应急预案制定
对应要求:应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。
判例内容:未制定重要事件的应急预案,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程,造成应急响应时间增长,导致系统不能在最短的事件内进行恢复,可判定为高风险。
适用范围:所有系统。
满足条件:未制定重要事件的应急预案。
补偿措施:如制定了应急预演,但内容不全,可根据实际情况,酌情降低风险等级。
整改建议:建议制定重要事件的应急预案,明确重要事件的应急处理流程、系统恢复流程等内容,并对应急预案进行演练。
2. 应急预案培训演练
对应要求:应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
判例内容:未定期对相关人员进行应急预案培训,未根据不同的应急预案进行应急演练,无法提供应急预案培训和演练记录,可判定为高风险。
适用范围:3级及以上系统。
满足条件:
1、3级及以上系统;
2、未定期对系统相关的人员进行应急预案培训;
3、未进行过应急预案的演练。
补偿措施:如系统还未正式上线,可根据培训演练制度及相关培训计划,根据实际情况判断风险等级。
整改建议:建议定期对相关人员进行应急预案培训与演练,并保留应急预案培训和演练记录,使参与应急的人员熟练掌握应急的整个过程。
七、等级保护(三级)建设方案
1、项目概述
随着信息化的发展,XX交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而XX交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足XX交警队目前的网络安全需求,严重制约了XX交警队的信息化脚步。因此XX交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。
通过对XX交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
2、等级保护建设流程
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
- 系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
- 持续安全运维:通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
- 安全建设:根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。
- 安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。
- 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
- 确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
- 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
3、方案参照标准
- GB/T 21052-2007 信息安全等级保护 信息系统物理安全技术要求
- 信息安全技术 信息系统安全等级保护基本要求
- 信息安全技术 信息系统安全保护等级定级指南(报批中)
- 信息安全技术信息安全等级保护实施指南(报批中)
- 信息安全技术 信息系统安全等级保护测评指南
- GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
- GB/T 20270-2006 信息安全技术 网络基础安全技术要求
- GB/T 20984-2007信息安全技术 信息安全风险评估规范
- GB/T 20269-2006 信息安全技术 信息系统安全管理要求
- GB/T 20281-2006 信息安全技术 防火墙技术要求与测试评价方法
- GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法
- GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求
- GB/T 20277-2006 信息安全技术 网络脆弱性扫描产品测试评价方法
- GB/T 20279-2006 信息安全技术 网络端设备隔离部件技术要求
- GB/T 20280-2006 信息安全技术 网络端设备隔离部件测试评价方法等。
4、信息系统定级备案
1. 信息系统定级
确定信息系统安全保护等级的一般流程如下:
1)识别单位基本信息:
解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。
2)识别业务种类、流程和服务:
应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据。
3)识别信息:
调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。
4)识别网络结构和边界
调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。识别主要的软硬件设备
5)调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。
6)识别用户类型和分布
调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,判断系统服务中断或系统信息被破坏可能影响的范围和程度。
7)根据信息安全等级矩阵表,形成定级结果。
业务信息安全等级矩阵表:
| 业务信息安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
| 一般损害 |
严重损害 |
特别严重损害 |
|
| 公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
| 社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
| 国家安全 |
第三级 |
第四级 |
第五级 |
系统服务安全等级矩阵表:
| 系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
| 一般损害 |
严重损害 |
特别严重损害 |
|
| 公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
| 社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
| 国家安全 |
第三级 |
第四级 |
第五级 |
根据上述定级流程,XX交警队各主要系统定级结果为:3级
定级结果:
根据上述定级流程,XX交警队各主要系统定级结果为:
| 序号 |
系统名称 |
保护等级 |
|
|
执行查看系统 |
3 |
|
|
数字法院系统 |
3 |
2. 信息系统备案
依据《信息系统安全等级保护定级指南》,确定信息系统的等级后,准备定级备案表和定级报告,协助用户单位向所在地区的公安机关办理备案手续。
第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。运营使用单位或主管部门在备案时应填写《信息系统安全等级保护备案表》(以下简称《备案表》)提交有关备案材料及电子数据文件。定级工作的结果是以备案完成为标志。
受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时,应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,应颁发信息系统安全等级保护备案证明。发现定级不准的,通知备案单位重新审核确定。
5、系统安全需求分析
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,信息安全包括了保密性、完整性、可用性等特性,本方案将XX交警队公共服务平台从信息安全方面展开需求分析,使系统达到:在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭受损害后,能够较快恢复绝大部分功能。
随着信息化建设的不断推进,网络安全成为业务开展过程最重要的一环,对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在确保单位信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。
安全风险特征主要取决于两个方面:一是其资产价值,二是其运行环境。安全风险主要来自网络、主机、应用和数据四个方面,从XX交警队当前网络整体安全角度出发,需要重点关注如下几个方面的安全建设:
1)终端感染木马、病毒
病毒、木马、蠕虫仍是局外网面临的最为迫切的安全防护需求,病毒木马蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、终端被引导访问钓鱼网站、终端成为僵尸网络甚至于终端被控制之后形成跳板攻击危害到终端具有权限访问的各类服务器。
2)终端系统漏洞
终端感染病毒、木马、蠕虫等威胁是终端面临的主要威胁之一。而终端系统层面的漏洞被利用,会导致终端更严重的风险,比如终端被控制成为黑客攻击的跳板,或者终端成为僵尸网络的一部分,随时有可能发起针对内网的攻击。
3)APT攻击不断渗透
随着“火焰”蠕虫的爆发,高级持续性威胁(APT攻击)受到业内的关注。APT被称为高级持续性威胁,它是对特定目标进行长期、持续性网络入侵的攻击形式。在发动攻击之前,黑客会对攻击对象的业务流程和目标系统进行精确的往往容易被黑客渗透之后对内网发起横向转移的攻击导致敏感信息被窃取、系统被控制所有行为都暴露在黑客的视野里。
4)系统漏洞风险问题
黑客利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等漏洞攻击,获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。
5)应用层攻击问题
根据Gartner的统计报告显示,信息安全攻击有 75% 都是发生在 Web 应用层,针对web的攻击往往隐藏在大量的正常业务访问的行为中,传统的安全设备在应用层攻击防护上存在严重不足。
6)敏感信息泄漏问题
这类安全问题主要利用web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取,从而产生巨大的经济损失。
7)带宽效率风险
随着互联网的普及,XX交警队的业务大多依托于互联网开展。但是在单位内部除了一些关键业务系统外,P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着,形成了复杂的网络应用“脉络”。 XX交警队通过租用运营商处的带宽满足业务需求,租用的带宽资源是有限的,如果不能对有限的带宽资源进行合理有效的管控,一方面用户的访问速度慢、访问体验得不到有效地满足,另一方面造成带宽资源利用率低的问题,因此XX交警队亟需一个方案解决带宽效率风险问题。
8)工作效率风险
网络的普及改变了XX交警队的办公方式,而单位内总有部分用户在上班时间有意无意做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频等,将办公室变成免费网吧,影响工作效率,从长远来看,会给XX交警队带来很大的财力损失,从而导致竞争力的下降。
9)法律风险
目前,网络的违规违法事件越来越多,国家对于违规违法事件打击的力度越来越大,公安部82号令明文规定,凡是接入互联网的单位都必须具备审计的功能,记录用户的上网行为。单位职员通过组织网络,在论坛和博客发表反动、藏独等不负责任的言论,在QQ、MSN等聊天过程中传播不雅信息,都属于网络的违规违法行为,一旦被公安部门查处,单位会因此而遭受法律的制裁。
10)安全快速的移动接入
移动互联网技术的发展,使得单位办公方式多样化,部分领导出差或者员工不在办公区需要临时接入单位内网完成业务交付的需求越来越普遍。网络是信息化数据传输的载体,物联网的建设基础是互联网。目前的WEB2.0时代使得互联网的传输平台传输着各种各样的数据,互联网环境是一个没有太多规章制度来管理的大平台,如此一来,如果把单位内部十分重要的信息数据传输在这个互联网环境,很有可能会被黑客攻击窃取、篡改,也有可能遭到互联网中的威胁因素的侵害,影响网络办公。为了实现人们的远程办公,需要保证人员外出时可以安全访问单位内部网络进行日常操作,并确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性,确保移动用户在接入内部网络时全面的安全保障。
11)业务稳定性需求
XX交警队公共服务平台业务系统承载于服务器,随着访问用户数量的增加,给单位的服务器带来越来越大的压力,如何有效的保证客户访问的速度和稳定性是目前XX交警队网络改造的重要目标。
6、安全风险与差距分析
1. 物理安全风险与差距分析
物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。例如:
- 机房缺乏控制,人员随意出入带来的风险;
- 网络设备被盗、被毁坏;
- 线路老化或是有意、无意的破坏线路;
- 设备在非预测情况下发生故障、停电等;
- 自然灾害如地震、水灾、火灾、雷击等;
- 电磁干扰等。
因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。
2. 计算环境安全风险与差距分析
计算环境的安全主要指主机以及应用层面的安全风险与需求分析,包括:身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。
1)身份鉴别
身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
2)访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
3)系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
4)入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
5)软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。
6)数据安全
主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性;保护鉴别信息的保密性
7)备份与恢复
数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。
8)资源合理控制
资源合理控制包括主机和应用两个方面。
主机系统以及应用系统的资源是有限的,不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制,制定包括:登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。
3. 区域边界安全风险与差距分析
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
1)边界访问控制
XX交警队公共服务平台业务系统可划分为如下边界:互联网接入边界、对外发布边界
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
2)边界完整性检测
边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
3)边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
4)边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。
4. 通信网络安全风险与差距分析
通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。
1)网络结构
网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。
2)网络安全审计
由于用户的计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的管理用户误操作,将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户,以利于规范正常的网络应用行为。
3)网络设备防护
由于XX交警队公共服务平台业务系统中将会使用大量的网络设备,如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击,将导致设备不能正常运行。更加严重情况是设备设置被篡改,不法分子轻松获得网络设备的控制权,通过网络设备作为跳板攻击服务器,将会造成无法想象的后果。例如,交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。
4)通信完整性与保密性
由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。
5)网络可信接入
对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到XX交警队公共服务平台业务系统网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。
7、技术体系方案设计
1. 方案设计目标
三级系统安全保护环境的设计目标是:落实GB 17859-1999对三级系统的安全保护要求,在三级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得XX交警队公共服务平台业务系统等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
2. 方案设计框架
根据《信息系统安全等级保护基本要求》,分为技术和管理两大类要求,具体如下图所示:
本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据《信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。
3. 安全域的划分
安全域划分的依据:
对大型信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。因此,安全域划分是进行信息安全等级保护的首要步骤。
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。当然,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,而又能保障其安全性。
对信息系统安全域(保护对象)的划分应主要考虑如下方面因素:
1. 业务和功能特性
① 业务系统逻辑和应用关联性。
② 业务系统对外连接:对外业务,支撑,内部管理。
2. 安全特性的要求
① 安全要求相似性:可用性、保密性和完整性的要求,如有保密性要求的资产单独划区域。
② 威胁相似性:威胁来源、威胁方式和强度,如第三方接入区单独划区域。
③ 资产价值相近性:重要与非重要资产分离,如核心生产区和管理终端区分离。
3.参照现有状况
① 现有网络结构的状况:现有网络结构、地域和机房等。
② 参照现有的管理部门职权划分。
安全域划分与说明:
根据XX交警队公共服务平台业务系统的实际情况,将安全域划分为如下几个:
- 互联网接入域:互联网接入域主要为内网用户部分和业务应用部分提供互联网接入访问支撑。
- 对外发布服务域:业务人员提供业务系统的访问。
4. 安全技术体系设计
1)机房与配套设备安全设计
机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
机房选址:
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
机房管理:
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。
对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
机房环境:
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
设备与介质管理:
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
2)计算环境安全设计
① 身份鉴别
身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面:
主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
- 对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
- 根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
- 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
- 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。
- 对主机管理员登录进行双因素认证方式,采用USB key+密码进行身份鉴别
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括:
对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USBkey+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
② 访问控制
三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现:在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。 强制访问控制实现:在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级。
由此主要控制的是对应用系统的文件、数据库等资源的访问,避免越权非法使用。采用的措施主要包括:
启用访问控制功能:制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。
权限控制:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。
账号管理:严格限制默认帐户的访问权限,重命名默认帐户,修改默认口令;及时删除多余的、过期的帐户,避免共享帐户的存在。
访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。
③ 系统安全审计
系统审计包含主机审计和应用审计两个层面:
主机审计:
部署终端安全管理系统,启用主机审计功能,或部署主机审计系统,实现对主机监控、审计和系统管理等功能。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户;内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等。同时,根据记录的数据进行统计分析,生成详细的审计报表,
系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
应用审计:
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。
应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。
部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
④ 入侵防范
针对入侵防范主要体现在主机及网络两个层面。
针对主机的入侵防范,可以从多个角度进行处理:
- 入侵检测系统可以起到防范针对主机的入侵行为;
- 部署漏洞扫描进行系统安全性检测;
- 部署终端安全管理系统,开启补丁分发功能模块及时进行系统补丁升级;
- 操作系统的安装遵循最小安装的原则,仅安装需要的组件和应用程序,关闭多余服务等;
- 另外根据系统类型进行其它安全配置的加固处理。
⑤ 主机恶意代码防范
各类恶意代码尤其是病毒、木马等是对XX交警队公共服务平台业务系统的重大危害,病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降,并且占用整个网络带宽。
针对病毒的风险,我们建议重点是将病毒消灭或封堵在终端这个源头上,在所有终端主机和服务器上部署网络防病毒系统,加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
在XX交警队安全管理安全域中,可以部署防病毒服务器,负责制定和终端主机防病毒策略,在内网建立全网统一的一级升级服务器,由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库,分发到数据中心节点的各个终端服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时,防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志,为全网的病毒防护管理提供必要的信息。
⑥ 软件容错
软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计,包括:
提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
具备自保护功能,在故障发生时,应用系统应能够自动保存当前所有状态,确保系统能够进行恢复。
⑦ 数据完整性与保密性
目前,XX交警队办公中传输的信息主要是涉密类型的数据,对信息完整性校验提出了一定的需求。
在外网接入系统中,将采用消息摘要机制来确保完整性校验,其方法是:发送方使用散列函数(如SHA、MD5等)对要发送的信息进行摘要计算,得到信息的鉴别码,连同信息一起发送给接收方,将信息与信息摘要进行打包后插入身份鉴别标识,发送给接收方。接收方对接收到的信息后,首先确认发送方的身份信息,解包后,重新计算,将得到的鉴别码与收到的鉴别码进行比较,若二者相同,则可以判定信息未被篡改,信息完整性没有受到破坏。通过上述方法,可以满足应用系统对于信息完整性校验的需求。而对于用户数据特别是身份鉴别信息的数据保密,应用系统采用密码技术进行数据加密实现鉴别信息的存储保密性。
在传输过程中主要依靠VPN系统可以来保障数据包的数据完整性、保密性、可用性。目前VPN的组建主要采用两种方式,基于IPSEC协议的VPN以及 基于SSL协议的VPN。
IPSec VPN适用于组建site-to-site形态的虚拟专有网络,IPSEC协议提供的安全服务包括:
保密性——IPSec在传输数据包之前将其加密.以保证数据的保密性。
完整性——IPSec在目的地要验证数据包,以保证该数据包任传输过程中没有被修改或替换。完整性校验是IPSEC VPN重要的功能之一。
真实性——IPSec端要验证所有受IPSec保护的数据包。
防重放——IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
SSL VPN适用于远程接入环境,例如:移动办公接入。它和IPSEC VPN适用于不同的应用场景,可配合使用。
SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL与IPSec安全协议一样,也可提供加密和身份验证安全方法,因此安全性上二者无明显差别。
SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有,不用额外的软件实现。使用SSL VPN,在移动用户和内部资源之间的连接通过应用层的Web连接实现,而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术,因为:
- SSL无需被加载到终端设备上
- SSL无需终端用户配置
- SSL无需被限于固定终端,只要有标准浏览器即可使用
产品部署方面,SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置,不增加故障点,部署简单灵活,同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问。远程移动用户只需打开标准IE浏览器,登陆SSL VPN网关,经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。
⑧ 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择,而已成为必然的趋势。
数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能,其中包括联机备份应用系统和数据文件,先进的设备和介质管理,快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。
本地完全数据备份至少每天一次,且备份介质需要场外存放。
提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
- 服务器负载均衡
应用高可用:实现多台服务器之间冗余——3到7层的多种服务器健康检查
应用高性能:实现多台服务器性能叠加——4、7层的多种负载均衡算法
应用可扩展:实现应用基于实际需求的性能调整——服务器平滑退出、平滑上线
降低服务器负载——TCP连接复用、HTTP缓存、SSL卸载。
提升用户访问速度——TCP单边加速、HTTP缓存、压缩。
服务器状态、链路状态和用户行为可视化——各类报表功能、商业智能分析
- 链路负载均衡
(入站)解决外部用户跨运营访问造成的访问速度慢的问题——智能DNS
(出入站)多条链路之间形成冗余,保障用户访问稳定性——链路健康状况检测
(出站)按需为内网用户选择合适的链路访问互联网,提升带宽资源利用率,减少带宽投资成本——多种链路负载算法、智能路由、DNS透明代理
- 全局负载均衡:
实现多数据中心入站流量选路、精确为用户选择最佳(就近)站点。
3)区域边界安全设计
① 边界访问控制入侵防范与应用层防攻击
通过对XX交警队网络的边界风险与需求分析,在网络层进行访问控制需部署边界安全防护产品,该安全产品实现对边界的访问控制、入侵防范和恶意代码防范,因此该产品具有一下功能:
- 可以对所有流经该设备的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。
- 可面对越来越广泛的基于应用层内容的攻击行为,该设备还应具有能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
- 该设备还需提供完整的上网行为管理功能,可针对于内网对于外网的存取应用进行管理。可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网络应用软件,进而根据多种条件如 IP群组、VLAN ID等范围条件制订各种不同的管理策略,限制内网用户使用诸如:IM软件、P2P软件、在线游戏等互联网应用,通过技术手段规范上网行为,防止带宽滥用,阻止内网泄密。
部署边界安全防护设备时应特别注意设备性能,产品必须具备良好的体系架构保证性能,能够灵活的进行网络部署。同时为使得达到最佳防护效果。另外,安全防护设备的防病毒库应该和桌面防病毒软件应为不同的厂家产品,两类病毒防护产品共同组成用户的立体病毒防护体系。
为能达到最好的防护效果,边界防护产品的事件库及时升级至最新版本至关重要。对于能够与互联网实现连接的网络,应对背带裤升级进行准确配置;对与不能与互联网进行连接的网络环境,需采取手动下载升级包的方式进行手动升级。
② 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
- 终端非法外联行为监控
可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。
- 终端非法外联行为管理
可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行为。
③ 边界安全审计
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
4)通信网络安全设计
① 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XX交警队网络,选用主要网络设备时需要考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要。网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要。根据相应的需求,可以考虑部署广域网优化产品,优化链路质量,削减链路数据,更好的满足业务高峰期的需求。
其次,需要按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机。根据实际需求,部署流量管理系统,实现按照业务系统服务的重要次序来分配带宽,优先保障重要主机。
最后,合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
② 网络安全审计
网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。
在XX交警队交换机处并接部署网络行为监控与审计系统,形成对全网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
③ 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备需要进行一系列的加固措施,包括:
- 对登录网络设备的用户进行身份鉴别,用户名必须唯一;
- 对网络设备的管理员登录地址进行限制;
- 身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度不少于8位,并定期更换;
- 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
- 启用SSH等管理方式,加密管理数据,防止被网络窃听。
- 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需采用USB key+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。
④ 通信完整性与保密性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。
对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。
对于信息传输的完整性校验应由传输加密系统完成。部署VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系统完成。
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。
对于信息传输的通信保密性应由传输加密系统完成。部署VPN系统保证远程数据传输的数据机密性。
⑤ 网络可信接入
为保证网络边界的完整性,不仅需要进行非法外联行为,同时对非法接入进行监控与阻断,形成网络可信接入,共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是网络准入控制,启用网络阻断方式包括ARP干扰、802.1x协议联动等。
监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为,由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性,及时阻止 IP 地址的篡改和盗用行为。共同保证XX交警队网络的边界完整性。
具体如下:
在线主机监测:
可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。
主机授权认证:
可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。
非法主机网络阻断:
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。
网络白名单策略管理:
可生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。
IP和MAC绑定管理:
可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。
5)安全管理中心设计
由于XX交警队网络覆盖面广,用户众多,技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况,统一部署安全策略,应进行安全管理中心的设计,根据要求,应在系统管理、审计管理和安全管理几个大方面进行建设。
在安全管理安全域中建立安全管理中心,是有效帮助管理人员实施好安全措施的重要保障,是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设,真正实现安全技术层面和管理层面的结合,全面提升用户网络的信息安全保障能力。
① 系统管理
通过系统管理员对系统的服务器、网络设备、安全设备、应用系统进行统一的管理包括:
- 用户身份管理:统一管理系统用户身份,按照业务上分工的不同,合理地把相关人员划分为不同的类别或者组,以及不同的角色对模块的访问权限。权限设置可按角色划分,角色分为普通用户、系统管理员、安全管理员、审计管理员等。
- 系统资源配置:进行系统资源配置管理与监控,包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等,通过配置采样时间,定时检测。
- 系统加载和启动:进行系统启动初始化管理,保障系统的正常加载和启动。
- 数据备份与恢复:数据的定期备份与恢复管理,识别需要定期备份的重要业务信息、系统数据及软件系统,规定备份信息的备份方式、备份频度、存储介质、保存期等;根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,定期执行备份与恢复策略。
- 恶意代码防范管理:建立恶意代码管理中心,进行防恶意代码软件的统一管理。恶意代码管理中心实现:杀毒策略统一集中配置;自动并强制进行恶意代码库升级;定制统一客户端策略并强制执行;进行集中病毒报警等。
- 系统补丁管理:集中进行补丁管理,定期统一进行系统补丁安装。注意应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
- 系统管理员身份认证与审计:对系统管理员进行严格的身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
② 审计管理
通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
具体集中审计内容包括:
日志监视:
实时监视接收到的事件的状况,如最近日志列表、系统风险状况等;监控事件状况的同时也可以监控设备运行参数,以配合确定设备及网络的状态;日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。
日志管理:
日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口采集管理对象的日志信息,转换为统一的日志格式,再统一管理、分析、报警;自动完成日志数据的格式解析和分类;提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理,下级管理中心的日志数据可以发送到上级管理中心进行集中管理
审计分析:
集中审计可综合各种安全设备的安全事件,以统一的审计结果向用户提供可定制的报表,全面反映网络安全总体状况,重点突出,简单易懂。
系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表;支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析;支持基于多种条件的统计分析,包括:对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志,可按照入侵攻击事件、源地址、被攻击主机进行统计分析,生成各类趋势分析图表。
系统可以生成多种形式的审计报表,报表支持表格和多种图形表现形式;用户可以通过IE浏览器访问,导出审计结果。可设定定时生成日志统计报表,并自动保存以备审阅或自动通过邮件发送给指定收件人,实现对安全审计的流程化处理。
③ 监控管理
统一监控管理将集中进行系统安全监测,并为安全计算环境、安全区域边界、安全通信网络进行统一的监控与告警。
对全网的安全设备、安全事件、安全策略、安全运维进行统一集中的监控、调度、预警和管理。集中安全管理平台针对每个安全域的设备提供灵活的策略制定和管理,实现本安全域内的信息收集和处理。同时,在安全管理安全域中部署设备管理系统服务器和控制台,通过与各事件服务器组件或安全设备通信,实现整个网络的全局监控。
管理员在安全管理安全域的控制台上,可以集中的对设备的报警策略进行指定和下发,同时,监视可处理报警信息。安全管理平台可以以拓扑图的方式来直观清晰的显示设备关键属性和运行状态。
通过部署集中安全管理平台实现:安全事件的深度感知、安全事件的关联分析、安全威胁的协同响应。通过部署集中安全管理平台,提高安全管理的效率,保障网络的安全运行
8、安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计:
1)安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
2)安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
3)人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
4)系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
5)系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
9、系统集成设计
安全产品部署说明:
| 外网设备 |
|||
| 部署产品 |
数量 |
部署位置 |
部署作用 |
| 网络审计系统 |
2台 |
外网出口(双机) |
|
| 下一代防火墙 |
2台 |
外网出口(双机) |
|
| 入侵检测 |
1台 |
核心交换机旁挂 |
|
| WAF |
1台 |
WEB服务器前端 |
|
| 防火墙 |
1台 |
连接看守所出口网处 |
|
| 隔离安全网关 |
1台 |
办公网与专网交界处 |
|
| 负载均衡 |
1台 |
服务器前端 |
|
| 服务器虚拟化 |
1套 |
做2台服务器虚拟化 |
|
| SSL VPN |
一台 |
核心交换机旁挂 |
|
| 内网设备 |
|||
| 下一代防火墙 |
2台 |
内网出口(双机) |
|
| 入侵检测系统 |
1台 |
旁挂内网核心交换机处 |
|
| 集中管理设备 |
1台 |
旁挂内网核心交换机处 |
|
| 入侵防御系统 |
2台 |
内网服务器前端 |
|
| 负载均衡 |
1台 |
内网服务器前端 |
|
| 防火墙 |
1台 |
3G内外网隔离出 |
|
| 服务器虚拟化 |
1套 |
做3台服务器虚拟化 |
|
| 堡垒机 |
1台 |
旁挂内网服务器前段交换机上 |
|
| 数据库审计系统 |
旁挂内网服务器前段交换机上 |
|
|
产品选型:
① 选型建议
根据国家有关法律法规,并结合XX交警队通信网络的实际要求。我们建议使用具有国内自主知识产权的产品,并且要完全符合XX交警队提出的产品资质要求:所有产品是经公安部、国家信息安全测评认证中心等国家权威测试通过,并获得安全产品销售许可证,是在国内政府机关、银行、部队、医疗卫生等系统采用较多,运行稳定的国产防火墙、上网行为管理、SSLVPN等安全产品,在功能、性能与管理性等方面能够满足XX交警队计算机网络的需求。
② 选型要求
1、在产品选型时,需要厂家可以提供个性化的安全产品。只有这样才能保证系统的安全充分满足客户的现状,才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进,使产品更加适合用户的实际需要,而不是一般的通用性产品。
2、采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要,可以及时提供应急安全响应服务,如在病毒或黑客入侵事件发生的时候,可以在第一时间进行响应,最大程度的保护用户利益。
3、在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准,安全标准以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
4、产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
5、所选择的安全产品尽可能为同一厂家产品,以种于日常维护、升级、设备联动等。
八、报告表格模板
1、基本要求与判例对应表
| 序号 |
层面 |
控制点 |
控制项 |
对应编号 |
对于案例 |
适用范围 |
| 1 |
安全物理环境 |
物理访问控制 |
a) 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员; |
4.1.1 |
机房出入口控制措施 |
所有系统 |
| 2 |
防盗窃和防破坏 |
c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
4.2.1 |
机房防盗措施 |
3级及以上系统 |
|
| 3 |
防火 |
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; |
4.3.1 |
机房防火措施 |
所有系统 |
|
| 4 |
温湿度控制 |
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 |
4.4.1 |
机房温湿度控制 |
所有系统 |
|
| 5 |
电力供应 |
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; |
4.5.1 |
机房短期的备用电力供应措施 |
对可用性要求较高的3级及以上系统 |
|
| 6 |
c) 应设置冗余或并行的电力电缆线路为计算机系统供电; |
4.5.2 |
机房电力线路冗余措施 |
对可用性要求较高的3级及以上系统 |
||
| 7 |
d) 应提供应急供电设施。 |
4.5.3 |
机房应急供电措施 |
4级系统 |
||
| 8 |
电磁防护 |
b) 应对关键设备或关键区域实施电磁屏蔽。 |
4.6.1 |
机房电磁防护措施 |
对于数据防泄漏要求较高的4级系统 |
|
| 9 |
安全通信网络 |
网络架构 |
a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
5.1.1 |
网络设备业务处理能力 |
对可用性要求较高的3级及以上系统 |
| 10 |
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配 |
5.1.2 |
网络区域划分 |
所有系统 |
||
| 11 |
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
5.1.3 |
网络访问控制设备不可控 |
所有系统 |
||
| 12 |
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
5.1.4 |
互联网边界访问控制 |
所有系统 |
||
| 13 |
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
5.1.5 |
不同区域边界访问控制 |
所有系统 |
||
| 14 |
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用 |
5.1.6 |
关键线路、设备冗余 |
对可用性要求较高的3级及以上系统 |
||
| 15 |
通信传输 |
a) 应采用密码技术保证通信过程中数据的完整性; |
5.2.1 |
传输完整性保护 |
对数据传输完整性要求较高的3级及以上系统 |
|
| 16 |
b) 应采用密码技术保证通信过程中数据的保密性; |
5.2.2 |
传输保密性保护 |
3级及以上系统 |
||
| 17 |
安全区域边界 |
边界防护 |
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; |
6.1.1 |
互联网边界访问控制 |
所有系统 |
| 18 |
6.1.2 |
网络访问控制设备不可控 |
所有系统 |
|||
| 19 |
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; |
6.1.3 |
违规内联检查措施 |
3级及以上系统 |
||
| 20 |
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; |
6.1.4 |
违规外联检查措施 |
3级及以上系统 |
||
| 21 |
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络; |
6.1.5 |
无线网络管控措施 |
3级及以上系统 |
||
| 22 |
访问控制 |
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
6.2.1 |
互联网边界访问控制 |
所有系统 |
|
| 23 |
e) 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。 |
6.2.2 |
通信协议转换及隔离措施 |
4级系统 |
||
| 24 |
入侵防范 |
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; |
6.3.1 |
外部网络攻击防御 |
3级及以上系统 |
|
| 25 |
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; |
6.3.2 |
内部网络攻击防御 |
3级及以上系统 |
||
| 26 |
恶意代码和垃圾邮件防范 |
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更 |
6.4.1 |
网络层恶意代码防范 |
所有系统 |
|
| 27 |
安全审计 |
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
6.5.1 |
网络安全审计措施 |
所有系统 |
|
| 28 |
安全计算环境 |
身份鉴别 |
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
7.1.1.1 |
设备弱口令(网络设备、安全设备、主机设备等) |
所有系统 |
| 29 |
7.2.1.1 |
口令策略(应用系统) |
所有系统 |
|||
| 30 |
7.2.1.2 |
弱口令(应用系统) |
所有系统 |
|||
| 31 |
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
7.2.1.3 |
登录失败处理(应用系统) |
3级及以上系统 |
||
| 32 |
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃 |
7.1.1.2 |
远程管理防护(网络设备、安全设备、主机设备等) |
所有系统 |
||
| 33 |
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
7.1.1.3 |
双因素认证(网络设备、安全设备、主机设备等) |
3级及以上系统 |
||
| 34 |
7.2.1.4 |
双因素认证(应用系统) |
3级及以上系统 |
|||
| 35 |
访问控制 |
b) 应重命名或删除默认账户,修改默认账户的默认口 |
7.1.2.1 |
默认口令处理(网络设备、安全设备、主机设备等) |
所有系统 |
|
| 36 |
7.2.2.2 |
默认口令处理(应用系统) |
所有系统 |
|||
| 37 |
a) 应对登录的用户分配账户和权 |
7.2.2.1 |
登录用户权限控制(应用系统) |
所有系统 |
||
| 38 |
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
7.2.2.3 |
访问控制策略(应用系统) |
所有系统 |
||
| 39 |
安全审计 |
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
7.1.3.1 |
设备安全审计措施(网络设备、安全设备、主机设备等) |
3级及以上系统 |
|
| 40 |
7.2.3.1 |
安全审计措施(应用系统) |
3级及以上系统 |
|||
| 41 |
入侵防范 |
b) 应关闭不需要的系统服务、默认共享和高危端口; |
7.1.4.1 |
不必要服务处置(网络设备、安全设备、主机设备等) |
所有系统 |
|
| 42 |
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; |
7.1.4.2 |
管理终端管控措施(网络设备、安全设备、主机设备等) |
3级及以上系统 |
||
| 43 |
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; |
7.2.4.1 |
数据有效性检验功能(应用系统) |
所有系统 |
||
| 44 |
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
7.1.4.3 |
已知重大漏洞修补(网络设备、安全设备等) |
所有系统 |
||
| 45 |
7.1.4.4 |
测试发现漏洞修补(网络设备、安全设备等) |
所有系统 |
|||
| 46 |
7.2.4.2 |
已知重大漏洞修补(应用系统) |
所有系统 |
|||
| 47 |
7.2.4.3 |
测试发现漏洞修补 |
所有系统 |
|||
| 48 |
恶意代码防范 |
应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
7.1.5.1 |
操作系统恶意代码防范(网络设备、安全设备、主机设备等) |
所有系统 |
|
| 49 |
数据完整性 |
a) 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
7.2.5.1 |
传输完整性保护(应用系统) |
对数据传输完整性要求较高的3级及以上系统 |
|
| 50 |
数据保密性 |
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
7.2.6.1 |
传输保密性保护(应用系统) |
3级及以上系统 |
|
| 51 |
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
7.2.6.2 |
存储保密性保护(应用系统) |
所有系统 |
||
| 52 |
数据备份恢复 |
a) 应提供重要数据的本地数据备份与恢复功能; |
7.2.7.1 |
数据备份措施(应用系统) |
所有系统 |
|
| 53 |
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
7.2.7.2 |
异地备份措施(应用系统) |
对系统、数据容灾要求较高的3级及以上系统 |
||
| 54 |
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性 |
7.2.7.3 |
数据处理冗余措施(应用系统) |
对数据处理可用性要求较高的3级及以上系统 |
||
| 55 |
d) 应建立异地灾难备份中心,提供业务应用的实时切换。 |
7.2.7.4 |
异地灾难备份中心(应用系统) |
对容灾、可用性要求较高的4级系统 |
||
| 56 |
剩余信息保护 |
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; |
7.2.8.1 |
鉴别信息释放措施(应用系统) |
所有系统 |
|
| 57 |
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 |
7.2.8.2 |
敏感数据释放措施(应用系统) |
3级及以上系统 |
||
| 58 |
个人信息保护 |
a) 应仅采集和保存业务必需的用户个人信息; |
7.2.9.1 |
个人信息采集、存储(应用系统) |
所有系统 |
|
| 59 |
b) 应禁止未授权访问和非法使用用户个人信 |
7.2.9.2 |
个人信息访问、使用(应用系统) |
所有系统 |
||
| 60 |
安全区域边界 |
集中管控 |
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; |
8.1.1 |
运行监控措施 |
可用性要求较高的3级及以上系统 |
| 61 |
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; |
8.1.2 |
日志集中收集存储 |
3级及以上系统 |
||
| 62 |
f) 应能对网络中发生的各类安全事件进行识别、报警和分析; |
8.1.3 |
安全事件发现处置措施 |
3级及以上系统 |
||
| 63 |
安全管理制度 |
管理制度 |
a) 应对安全管理活动中的各类管理内容建立安全管理制度; |
9.1.1 |
管理制度建设 |
所有系统 |
| 64 |
安全管理机构 |
岗位设置 |
a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权 |
10.1.1 |
网络安全领导小组建立 |
3级及以上系统 |
| 65 |
安全建设管理 |
产品采购和使用 |
a) 应确保网络安全产品采购和使用符合国家的有关规 |
11.1.1 |
网络安全产品采购和使用 |
所有系统 |
| 66 |
b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; |
11.1.2 |
密码产品与服务采购和使用 |
所有系统 |
||
| 67 |
外包软件开发 |
c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 |
11.2.1 |
外包开发代码审计 |
涉及金融、民生、基础设施等重要核心领域的3级及以上系统 |
|
| 68 |
测试验收 |
b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 |
11.3.1 |
上线前安全测试 |
3级及以上系统 |
|
| 69 |
安全运维管理 |
漏洞和风险管理 |
a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; |
12.1.1 |
安全漏洞和隐患的识别与修补 |
3级及以上系统 |
| 70 |
网络和系统安全管理 |
g) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; |
12.2.1 |
重要运维操作变更管理 |
3级及以上系统 |
|
| 71 |
h) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; |
12.2.2 |
运维工具的管控 |
3级及以上系统 |
||
| 72 |
j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 |
12.2.3 |
运维外联的管控 |
3级及以上系统 |
||
| 73 |
恶意代码防范管理 |
a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; |
12.3.1 |
安全漏洞和隐患的识别与修补 |
3级及以上系统 |
|
| 74 |
变更管理 |
a) 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、 审批后方可实施; |
12.4.1 |
需求变更管理 |
3级及以上系统 |
|
| 75 |
备份与恢复管理 |
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
12.5.1 |
数据备份策略 |
3级及以上系统 |
|
| 76 |
应急预案管理 |
b) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; |
12.6.1 |
应急预案制定 |
所有系统 |
|
| 77 |
c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练; |
12.6.2 |
应急预案培训演练 |
3级及以上系统 |
2、信息系统安全等级保护备案表
填 表 说 明:
- 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
- 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
- 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
- 本表中有选择的地方请在选项左侧“0”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
- 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
- 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
- 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
- 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
- 表一05单位负责人:是指主管本单位信息安全工作的领导;
- 表一06责任部门:是指单位内负责信息系统安全工作的部门;
- 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
- 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
- 表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
- 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
- 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
- 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
- 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
- 解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一 单位基本情况
|
|||||||||||||||||||
|
省(自治区、直辖市) 地(区、市、州、盟) 县(区、市、旗) |
||||||||||||||||||
|
|
||||||||||||||||||
负责人 |
姓 名 |
职务/职称 |
|||||||||||||||||
| 办公电话 |
电子邮件 |
||||||||||||||||||
|
|||||||||||||||||||
联系人 |
姓 名 |
职务/职称 |
|||||||||||||||||
| 办公电话 |
电子邮件 |
||||||||||||||||||
| 移动电话 |
|||||||||||||||||||
|
01中央 02省(自治区、直辖市) 03地(区、市、州、盟) 04县(区、市、旗) 09其他 |
||||||||||||||||||
|
01党委机关 02政府机关 03事业单位 04企业 09其他 |
||||||||||||||||||
|
011电信 012广电 013经营性公众互联网 021铁路 022银行 023海关 024税务 025民航 026电力 027证券 028保险 031国防科技工业 032公安 033人事劳动和社会保障 034财政 035审计 036商业贸易 037国土资源 038能源 039交通 040统计 041工商行政管理 042邮政 043教育 044文化 045卫生 046农业 047水利 048外交 049发展改革 050科技 051宣传 052质量监督检验检疫 099其他 |
||||||||||||||||||
总数 |
个 |
|
个 |
|
个 |
||||||||||||||
|
个 |
|
个 |
||||||||||||||||
表二( / )信息系统情况
|
|
||||||||||||
承载 业务 情况 |
业务类型 |
01生产作业 02指挥调度 03管理控制 04内部办公 05公众服务 09其他 |
|||||||||||
| 业务描述 |
|||||||||||||
服务 情况 |
服务范围 |
010全国 011跨省(区、市) 跨 个 020全省(区、市) 021跨地(市、区) 跨 个 030地(市、区)内 099其它 |
|||||||||||
| 服务对象 |
01单位内部人员 02社会公众人员 03两者均包括 09其他 |
||||||||||||
网络 平台 |
网络范围 |
01局域网 02城域网 03广域网 09其他 |
|||||||||||
| 网络性质 |
01业务专网 02互联网 09其它 |
||||||||||||
|
01与其他行业系统连接 02与本行业其他单位系统连接 03与本单位其他系统连接 09其它 |
||||||||||||
|
序号 |
产品类型 |
数量 |
使用国产品率 |
|||||||||
| 1 |
安全专用产品 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
| 2 |
网络产品 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
| 3 |
操作系统 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
| 4 |
数据库 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
| 5 |
服务器 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
| 6 |
其他 |
0全部使用 0全部未使用 0部分使用,使用率 % |
|||||||||||
|
序号 |
服务类型 |
服务责任方类型 |
||||||||||
| 本单位 |
国内服务商 |
国外服务商 |
|||||||||||
| 1 |
等级测评 |
0有0无 |
|||||||||||
| 2 |
风险评估 |
0有0无 |
|||||||||||
| 3 |
灾难恢复 |
0有0无 |
|||||||||||
| 4 |
应急响应 |
0有0无 |
|||||||||||
| 5 |
系统集成 |
0有0无 |
|||||||||||
| 6 |
安全咨询 |
0有0无 |
|||||||||||
| 7 |
安全培训 |
0有0无 |
|||||||||||
| 8 |
其它 |
||||||||||||
|
|||||||||||||
|
年 月 日 |
||||||||||||
|
0是 0否(如选择是请填下两项) |
||||||||||||
|
|||||||||||||
|
|||||||||||||
表三( / )信息系统定级情况
业务 信息 安全 保护 等级 |
损害客体及损害程度 |
级别 |
||
| 0仅对公民、法人和其他组织的合法权益造成损害 |
0第一级 |
|||
| 0对公民、法人和其他组织的合法权益造成严重损害 0对社会秩序和公共利益造成损害 |
0第二级 |
|||
| 0对社会秩序和公共利益造成严重损害 0对国家安全造成损害 |
0第三级 |
|||
| 0对社会秩序和公共利益造成特别严重损害 0对国家安全造成严重损害 |
0第四级 |
|||
| 0对国家安全造成特别严重损害 |
0第五级 |
|||
系统 服务 安全 保护 等级 |
0仅对公民、法人和其他组织的合法权益造成损害 |
0第一级 |
||
| 0对公民、法人和其他组织的合法权益造成严重损害 0对社会秩序和公共利益造成损害 |
0第二级 |
|||
| 0对社会秩序和公共利益造成严重损害 0对国家安全造成损害 |
0第三级 |
|||
| 0对社会秩序和公共利益造成特别严重损害 0对国家安全造成严重损害 |
0第四级 |
|||
| 0对国家安全造成特别严重损害 |
0第五级 |
|||
|
0第一级 0第二级 0第三级 0第四级 0第五级 |
|||
|
年 月 日 |
|||
|
0已评审 0未评审 |
|||
|
0有 0无(如选择有请填下两项) |
|||
|
||||
|
0已审批 0未审批 |
|||
|
0有 0无 附件名称 |
|||
| 填表人: |
填表日期: 年 月 日 |
|||
表四( / )第三级以上信息系统提交材料情况
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |
|
0有 0无 附件名称 |