西安网信息安全三级等保方案.doc-道客多多

资源描述

1、西安网信息安全等级保护方案西安网信息安全三级等保方案西安网2017 年 09 月西安网信息安全等级保护方案目录第一章项目简介 .11.1 项目背景 11.2 建设目标 21.3 建设原则 21.4 建设依据 3第二章信息系统定级 52.1 定级指南要求 52.2 等级保护级别确定 6第三章安全需求分析 73.1 关键业务流程 73.1.1 节目文件化备播流程 .73.1.2 节目归档流程 83.1.3 节目回调流程 83.2 安全风险分析总结 93.2.1 基础网络安全风险 .93.2.2 边界安全风险 93.2.3 终端安全风险 103.2.4 服务端安全风险 103.2.5 应用安

2、全风险 103.2.6 数据安全风险 113.2.7 物理安全风险 113.2.8 管理安全风险 113.3 安全需求总结 123.3.1 技术安全需求 123.3.2 通用物理安全需求 .133.3.3 通用管理安全需求 .13第四章信息安全设计 15西安网信息安全等级保护方案4.1 信息安全保障体系 154.1.1 总体框架概述 154.1.2 信息安全管理体系 .164.1.3 信息安全技术体系 .174.1.4 信息安全运行体系 .184.2 安全域体系规划设计 194.2.1 安全域划分 194.2.2 边界确定 214.3 安全防护功能设计 214.3.1 基础网络安全设计 .2

3、14.3.2 边界安全设计 224.3.3 计算环境安全设计 .234.3.4 终端安全设计 254.3.5 安全管理中心设计 .274.4 云支撑平台 294.4.1 云支撑平台整体设计 .294.4.2 云支撑平台架构设计 .324.4.3 云计算管理平台 354.4.4 支撑平台特点 564.4.5 云平台安全设计 59第五章信息安全详细设计 625.1 基础网络安全设计 625.1.1 结构安全 625.1.2 网络设备防护 625.2 边界安全设计 635.2.1 互联网接入域边界安全设计 .635.2.2 互联网域与办公域边界安全设计 .635.2.3 办公域与综合制作域边界安全

4、设计 .645.2.4 综合制作域与新闻制播域边界安全设计 .65西安网信息安全等级保护方案5.2.5 综合制作域与播出域边界安全设计 .655.3 身份鉴别设计 655.3.1 身份鉴别机制 665.3.2 身份鉴别技术 665.4 自主访问控制设计 675.4.1 制作工作站 685.4.2 数据库服务器 685.4.3 非接口类服务器 695.4.4 播出站 695.5 标记与强制访问控制设计 .695.6 安全审计设计 705.6.1 网络安全审计 705.6.2 主机安全审计 715.6.3 数据库安全审计 725.6.4 运维安全审计 735.6.5 应用系统安全审计 .755.7

5、入侵防范设计 755.7.1 漏洞扫描 765.7.2 安全配置 765.8 恶意代码防范设计 765.9 应用系统安全改造 765.9.1 资源控制 775.9.2 通信完整性 775.9.3 软件容错 785.10 安全管理中心设计 785.10.1 统一身份认证系统设计 .795.10.2 安全管理平台系统设计 .835.11 西安网络电视台信息安全拓扑图 .975.12 安全设备选型及清单 995.12.1 安全设备选型 99西安网信息安全等级保护方案5.12.2 西安网安全设备清单 .102第六章信息安全管理体系设计 .1086.1 信息安全管理体系概述 1086.2 信息系统安

6、全管理原则 1096.3 信息安全组织架构规划 1106.3.1 信息安全组织模型 1106.3.2 安全组织建设因素 1126.3.3 信息安全组织规划 1126.4 信息安全策略体系设计 1146.4.1 一级文件 1166.4.2 二级文件 1166.4.3 三级文件 1236.4.4 四级文件 1236.5 信息安全管理体系建设过程 .1236.5.1 计划阶段 1256.5.2 实施阶段 1266.5.3 监控阶段 1276.5.4 改进阶段 128第七章信息安全物理体系设计 .129西安网信息安全等级保护方案1第一章项目简介1.1 项目背景2003 年，由国务院国

7、家信息化领导小组发布国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号），明确指出实行信息安全等级保护， “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度 ”。为了更好的实现系统建设与安全播出建设工作的完善与统一，西安网在系统设计时应充

8、分考虑安全的设计工作；同时，为了更有效的保障信息安全设计与建设的完美统一与切实落地，将对国内信息安全厂商与集成单位进行充分调研和了解，希望此次建设单位能够有效解决：国家和行业内信息安全等级保护相关制度和标准的落地、广电总局安全播出 62 号令的正确理解与实施（特别是 2014 年 10 月份新颁布的电视中心实施细则）、电

9、视台业务与安全防护的有机结合、将技术、管理、运维多方面完善整合，形成符合全台现状与业务特点的安全防护体系。通过此次系统建设，将实现：全台业务的互联互通的需要。在业务系统建设过程中，充分考虑网台业务的互联互通，摒弃很多网台业务系统孤岛的建设模式，将全台业务形成完整整体，将所有业务打通，实现网台的业务网络化

10、、文件化传输，业务的互联互通不仅能够提升整个网台的业务模式，业务流程的完整统一，采、编、播、管、存工作一体化，大大提升网台的业务能力和工作效率，而且可以让网台的业务融合与扩展，乃至以后的发展都能够奠定扎实的基础环境。业务的互联互通，特别需要充分考虑文件化制播体系使安全保障工作，没有一个坚强的安全保障体系

11、作为后盾，安全播出工作将尤为艰难。全台一体化的环境中，需根据信息安全等级保护标准，从系统定级、整体设计、系统建设和安全测评方面进行综合考虑，目前省级网络电视台通过等级保护测评的单位不多，但可以进行充分调研，以期少走弯路、节约投资、尽快成效。西安网信息安全等级保护方案2 全媒体业务的全流程和安全密不可分。全台打造全媒体业

12、务流程，将节目的汇聚、生产、管理、发布融为一体，做好业务系统的同时，需将监控、安全作为保障体系的两个要素，形成统一的运维保障体系，日常能够发现安全风险、安全漏洞、安全事件；定期进行安全检查、安全分析、安全总结；年度进行安全规划、安全整改；将信息安全防护作为业务稳定可靠运行的有效保障，切实落实全台的安全播

13、出需要。1.2 建设目标设计建立西安网整体信息安全保障体系根据西安网的网络现状及未来规划，为基础网络进行信息安全设计初步了解西安网未来业务系统概况，进行信息安全设计保证业务持续性，促进业务高效稳定运行保证信息的机密性、完整性和可用性1.3 建设原则西安网信息安全体系设计，要充分依照国内、国际的规范、标准，从西安网络电视台网络信息化建设的实际需求出发，对西安网的信息安全体系进行统一规划

14、、设计和建设。应遵循以下原则：业务驱动原则设计采用“以业务为中心，以系统安全性及可用性为基本点” 的业务驱动原则。通过业务系统具体分析，充分保障业务系统的高效、稳定、安全的运行。法规、标准、规范的符合性原则在整体安全设计过程中不仅遵照广电总局等级保护标准要求，同时还参考了国家等级保护相关标准和 ISO 27001 等国际标准。先进性原则要求系统设计的过程中密切关注媒体行业相关系统的发展动态，设计具有前瞻性，既要立足于目前的使用，又要适应未来广播技术的发展需求。安全管理与安全技术结合原则“三分技术，七分管理 ”是对于信息安全系统使用能否达到良好效果的根本。再西安网信息安全等级保护方案3好

15、的技术也是为了业务系统的使用而建立，同样，再好的安全防护手段也需要科学的管理使用方法。1.4 建设依据设计标准主要包括以下标准：信息安全等级保护管理办法（公通字200743 号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号）信息安全等级保护整改工作的指导意见（公信安20091429 号）信息系统安全等级保护定级指南（GB/T 22240-2008）信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统等级保护安全设计技术要求（GB/T 25070-2010）广播电视安全播出管理规定电视中心实施细则广播电视相关信息系统安

16、全等级保护定级指南（GD/J 037-2011）广播电视相关信息系统安全等级保护基本要求（GD/J 038-2011）广播电视相关信息系统安全等级保护实施指南（征求意见稿）广播电视相关信息系统安全等级保护测评指南（GD/J 044-2012）中华人民共和国网络安全法在风险等关键因素的评估及安全体系、安全规划、安全策略、安全方案的建设等方面，还参考了 SSE-CMM、ISO15408、ISO13335 和等级保护标准作为理论依据。此外，其它现阶段有效的标准或规定，均应作为设计的参考和约束。西安网信息安全等级保护方案4第二章信息系统定级2.1 定级指南要求根据 GD/J 037-

17、2011 定级指南，电视中心相关信息系统的等级保护对象分类如下：表：电视中心信息安全等级保护对象分类分类信息系统分类定义直播系统实现节目播出和控制的信息系统新闻制播系统以新闻节目为核心，制作播出一体化的信息系统媒资系统实现数字媒体节目的接收、存储、管理、转换、共享和发布的信息系统综合制作系统以节目制作为核心业务以及为核心制作业务提供辅助服务的信息系统业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统西安网生产管理系统与生产业务相关的管理服务等信息系统根据 037-2011 定级指南，各级电视中心播出相关信息系统安全保护等级如下：表：各级电视中心播出相关信息系统安全保

18、护等级级别序号信息系统分类国家级省级省会城市、计划单列市地市及以下1 播出系统第四级第三级第三级第三级2 新闻制播系统第三级第三级第三级第二级3 业务支撑系统第二级第二级第二级第二级4 媒资系统第二级第二级第二级第二级5 综合制作系统第二级第二级第二级第二级6 生产管理系统第二级第二级第二级第二级西安网信息安全等级保护方案52.2 等级保护级别确定根据广播电视相关信息系统安全等级保护定级指南（GD/J 037-2011），西安网络电视台信息系统定级结果如下：表：西安网络电视台信息系统定级结果汇总序号级别机构分类单位名称信息系统

19、名称安全等级1 市级电视中心西安网播出系统第三级2 市级电视中心西安网新闻制播系统第三级3 市级电视中心西安网综合制作系统第二级4 市级电视中心西安网媒体资产管理系统第二级5 市级电视中心西安网全台互联互通平台第二级6 市级电视中心西安网 OA 系统第二级7 市级电视中心西安网财务系统第二级8 市级电视中心西安网人力资源系统第二级9 市级电视中心西安网广告管理系统第二级西安网信息安全等级保护方案6第三章安全需求分析3.1 关键业务流程台内关键的业务流程主要有三个：节目文件化备播流程节目归档流程节目回调流程3.1.1

20、节目文件化备播流程节目文件化备播流程串联起了综合制作系统到播出系统的文件、信息传输，图节目文件化备播流程各制作网通过非编软件调用转码模块将文件转换为 MXF 格式，点击“提交备播”功能键后会自动通过主干的 ESB/EMB 传输到节目备播子系统，备播子系统给播出接口服务器发送消息，通过 xml 文件告知文件相关信息；另一方面，频道编辑通过编单系统形成电子串联单，电子串联单在保存发布后，播出接口服务器提取消息信息中的文件信息将文件从备播子系统下载到播出系统。西安网信息安全等级保护方案73.1.2 节目归档流程节目归档流程表示制作网的节目如何归档到媒资系统，如下图所示：图节目归档流程各制作网的

21、责编提交入库申请到媒资并由总编审核，主干到制作网取文件，然后通过 FTP 传输到媒资的存储区。3.1.3 节目回调流程节目回调流程表示了各制作网通过主干将媒体文件从媒资调回制作网的过程。首先由制作网向媒资下发回调任务，然后主干通过 FTP 或者系统内置的传输方式将文件传输到制作网。根据从媒资系统到主干文件传输方式的不同，可以细分为两种流程，如下图所示：图节目回调流程 1西安网信息安全等级保护方案8图节目回调流程 23.2 安全风险分析总结本节通过对信息资产本身存在的脆弱性，信息系统面临的威胁，以及这些威胁可以利用哪些资产的脆弱性导致安全事件的发生等几个方面进行安全风险分析，从而对整个系统信

22、息安全的状况做出准确的判断。3.2.1 基础网络安全风险1. 办公外网出口没有冗余链路，万一联通 200M 出口发生故障将导致整个办公外网无法访问 Internet；2. 网络设备未采用安全加固，存在很多不必要的服务，可能被黑客利用；3. 登录网络设备仅采用单一的用户名和密码的方式，存在账户被暴力破解，网络设备被非授权访问的风险； 4. 网络设备未开启安全审计功能，一旦发生安全事件，无法进行定位和追溯；3.2.2 边界安全风险1. 网络边界缺乏访问控制设备，容易发生黑客攻击；2. 网络边界缺乏入侵检测机制，发生入侵行为时无法及时定位和响应；西安网信息安全等级保护方案93. 网络边界如果缺少安全

23、数据交换机制，则容易发生恶意代码互相感染，泄密等事件；4. 网络边界如果缺少安全审计，一旦发生安全事件，则无法进行定位和追溯；5. 网络边界缺乏恶意代码防范，一旦一个安全域中的设备感染恶意代码，可通过边界感染相邻的安全域中的设备。3.2.3 终端安全风险1. 终端操作系统登陆账户使用简单的鉴别方法（用户名和口令），并且没有密码管理规范，则很容易被人暴力破解；2. 终端缺乏安全审计能力，则一旦发生安全事件，就无法进行定位、追溯；3. 终端缺乏安全加固和配置基线，系统组件和安装的应用程序没有严格限制，系统补丁不经常更新，导致对新型病毒的主动防御能力不足，一旦感染病毒、蠕虫等，将会给网络带来极大的安

24、全风险；4. 终端缺乏安全审计能力，一旦发生安全事件，就无法进行定位、追溯。3.2.4 服务端安全风险1. 服务器操作系统登陆账户使用简单的鉴别方法（用户名和口令），并且没有密码管理规范，则很容易被人暴力破解；2. 服务器缺乏安全审计能力，一旦发生安全事件，则无法进行定位、追溯；3. 服务器缺乏安全加固和配置基线，系统组件和安装的应用程序没有严格限制，系统补丁不经常更新，则导致对新型病毒的主动防御能力不足，一旦感染病毒、蠕虫等，将会给网络带来极大的安全风险。3.2.5 应用安全风险1. 存在多人共同使用一个账号的问题，在发生安全事故时，无法根据账号审西安网信息安全等级保护方案10计、追溯到具体

25、责任人。3.2.6 数据安全风险1. 由于西安网业务的特殊性，制作的节目本来就是要播放给公众看的，因此在数据的机密性方面风险较低，但对数据的可用性和完整性要求高；2. 没有采取数据备份和数据恢复手段与措施，会导致数据的丢失，影响系统的正常运行，甚至造成这个系统完全瘫痪。3.2.7 物理安全风险物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。3.2.8 管理安全风险“三分技术、七分管理 ”更加突出的是管

26、理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。1. 如果没有专门的信息安全相关岗位和岗位职责，则导致安全制度得不到落实。如果人员得不到相关安全知识培训，则人员会缺乏安全意识；2. 如果没有成体系的安全规范和制度，则导致安全管理无规可循，无章可依，无法进行高效、系统的安全管理。西安网信息安全等级保护方案113.3 安全需求总结3.3.1 技术安全需求3.3.1.1 基础网络安全需求1. 办公外网增加一个 ISP 出口，部署链路负载均衡设备；2.

27、合理划分安全域和安全分区，加强 VLAN 间的访问控制；3. 网络设备本身开启安全审计功能，并将审计数据发送至安全管理平台进行集中管理和分析；4. 对第三方运维人员或其他人员对安全设备、重要网络设备等的操作行为进行安全审计，并根据安全策略进行响应；5. 对网络设备进行安全加固配置，规范账号管理、关闭不必要的服务和端口，对登录失败有处理机制。3.3.1.2 边界安全需求1. 在网络边界增加 UTM 防火墙设备，对数据流进行细粒度的访问控制，防御网络蠕虫病毒、木马等基于网络传播的恶意代码；2. 在网络边界增加入侵检测系统，对流经的数据流进行实时监控，发现入侵行为及时进行告警；3. 在网络边界部署安

28、全隔离媒体交换网关，用户不同网络之间的数据交互。3.3.1.3 终端安全需求1. 部署恶意代码防范软件，防御蠕虫、病毒、木马等恶意代码。同时保持恶意代码库的及时更新；2. 终端部署终端安全管理系统，进行统一资产管理、补丁分发、检测并阻断非法外联、外设封禁；西安网信息安全等级保护方案123. 终端制定安全配置基线，定期进行脆弱性检查，并根据评估结果进行安全加固增强；4. 终端开启安全审计功能，并对审计信息进行集中管理。3.3.1.4 服务端安全需求1. 部分服务器部署操作系统加固软件，对主体和客体设置敏感标记，并启用强制访问控制功能；2. 服务器制定安全配置基线，定期进行脆弱性检查，并根据评估结

29、果进行安全加固增强；3. 服务器开启安全审计功能，并对审计信息进行集中管理；3.3.1.5 数据安全需求1. 制定数据备份计划，建立灾难恢复应急预案并定期进行演练。3.3.2 通用物理安全需求物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。因此，在通盘考虑安全风险时，应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。3.3

30、.3 通用管理安全需求安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：总要求西安网信息安全等级保护方案13 安全管理机构人员安全管理系统建设管理系统运维管理需在上述方面建立一系列的管理制度与操作规范，并明确执行。西安网信息安全等级保护方案14第四章信息安全设计4.1 信息安全保障体系4.1.1 总体框架概述西安网信息安全保障体系总体框架包括三个部分内容：信息安全管理体系、信息安全技术体系和信息安全运行体系。图: 信息安全保障体系框架信息安全管理体系：明确了西安网信息安全方针和目标，以及完成这些目标所用的方法和体系；是信息安全工作

31、开展的规范。该体系由三部分内容组成，包括信息安全治理结构、信息安全组织以及信息安全策略；信息安全技术体系：明确了西安网信息安全建设过程中所需的技术手段；是信息安全工作开展的有力支撑；主要包括信息安全产品和工具；信息安全运行体系：明确了西安网日常信息安全工作的主要过程和内容；是信息安全规范要求和控制措施的具体落实；主要包括日常的信息安全管西安网信息安全等级保护方案15理行为和安全管理中心。4.1.2 信息安全管理体系信息安全管理体系是在整个西安网范围内建立信息安全方针和目标，以及完成这些目标所用的方法，它是直接管理的结果，表示方针、原则、目标、方法、过程、核查表（checklists）等要素

32、的集合。图：信息安全管理体系模型信息安全管理体系的建立，首先应该建立自己的管理机构，在信息安全管理机构的领导下，制定信息安全策略，建立信息安全管理制度。并要有一套可操作的保障机制来保证这些策略和制度的落实。通过信息安全管理体系的实施，明确每个人对相关信息的安全责任，便于在工作中实施、监督和考核。使员工了解到信息安全不仅仅是网络安全，还包括业务信息安全、人员安全、组织安全等方面的内容，使员工的安全意识有所增强，并在日常业务中按照相关规范执行信息安全要求。信息安全管理体系提倡在行为规范上严格要求，使员工养成良好的习惯，避免发生大的事故，表面上看建立安全规则对员工多了一道约束，实际上提供了对员工符

33、合性（ Compliance）业务连续性管理（ Busines continuity management）信息安全事故管理（ Information security incident management）访问控制（ Aces control）人力资源安全（ Human resourcessecurity）物理和环境安全（ Physical andenvironmentalsecurity）通信和操作安全（ Comunicationsand operationsManagement）信息系统采集开

34、发和维护（ Information systemacquisition, developentand maitenance）资产管理（ Aset management）信息安全的组织（ Organizing information security）安全策略（ Security Policy）西安网信息安全等级保护方案16的保护，许多大事故往往是由小细节累积而成的。通过信息安全管理体系项目的实施，可以为西安网训练出一批具有信息安全管理知识与技能的人员，训练出一批具有“标准” 意识、思维和行为方式的员工。4.1.3 信息安全技术体系信息安全技术体系是利用各种安

35、全技术、产品以及工具作为安全管理和运行的落实的重要手段，最终支撑信息安全体系的建设。主要由身份认证技术、访问控制技术、内容安全技术、监控审计技术和备份恢复技术等方面组成。图：信息安全技术体系模型从安全的角度来看，各类安全防护手段的存在是为安全目的的实现而服务的，在可靠的安全域模型基础上对其进行高效的技术体系防护则是又一重点建设内容。无论是安全域的边界状态或是各安全域内部可能存在的安全问题都将影响西安网络电视台整个信息安全体系实现的最终效果。综上所述，信息安全技术体系的建设是一个分步设计加分步实施的过程。西安网信息安全等级保护方案174.1.4 信息安全运行体系信息系统的运行维护阶段，在信息系统

36、的生命周期中，是时间最长的一个阶段，占整个生命周期的绝大多数的时间。同时，这个阶段也是信息系统直接服务于机构，完成机构的信息使命的阶段，也是信息安全事件最大量发生的阶段。所以建设一个有效的安全运行维护体系，使信息系统能够可靠安全地运行，是保障信息系统完成其信息使命的关键所在。图：信息安全运行体系模型在西安网安全建设中，信息安全运行体系的建设是建立、健全安全管理中心，实现最终的安全目标。信息安全技术只是实现信息安全控制的一个手段，必须依赖于有效的信息安全运作模式加以综合利用；信息安全策略、标准、制度只是提出了信息安全控制的要求，必须依赖有效的信息安全运作模式加以落实，才能实现制定的信息安全目标。

37、通过安全管理中心的建设，进行相关系统设计，支持以信息安全管理为核心，建立和维护完整的信息安全体系，实现动态的、系统化的、制度化的信息安全管理。根据风险和用户安全目标进行成本效益分析，制定风险控制方案，将风险控制在可西安网信息安全等级保护方案18接受的水平内，从而保证业务连续性，实现持续的、不断提高的信息安全管理水平。通过安全管理中心的建设，能够帮助西安网在管理过程中实现有效的安全资源整合，为各级安全管理人员提供全网安全威胁可视化的技术平台，为安全管理、安全服务提供有效的分析数据，与西安网的安全组织、安全制度、流程配合实现科学高效管理，确保安全建设的可持续发展。4.2 安全域体系规划设计4.2.

38、1 安全域划分安全域”是根据信息性质、使用主体、安全目标和策略等的不同来划分的，是具有相近的安全属性需求的网络实体的集合。在保证访问安全的基础上，性能、可管理和结构优化是整个安全域划分的三大要素。为了实现分层次的安全体系设计以及安全技术规范的统一，应依据西安网络电视台业务及管理过程中涉及到的各种信息的关键性及敏感程度，合理确定各种网络应用的安全级别，划定各类安全域，从而建立一套整体的信息安全保障体系。建议采用如下图的安全域划分：西安网信息安全等级保护方案19图：西安网安全域划分西安网信息安全等级保护方案20 互联网接入域：是整个网络系统互联网接入的出口；互联网域：即办公外网所在的区域，主要用

39、于员工访问互联网；办公域：即办公内网，内部员工日常办公所在安全区域，办公内网中包括OA、财务、人事等业务系统；综合制作域：指与节目生产相关业务系统所在的安全区域，包含除播出、制播以外的其他和生产相关的业务系统，主要应用包括收录系统、综合制作系统、媒资系统、主干系统等；新闻制播域：指以新闻节目为核心，制作、播出一体化信息系统所在的安全区域；播出域：指节目播出相关系统所在的区域。4.2.2 边界确定1. 互联网接入域与互联网域的边界；2. 互联网域与办公域的边界；3. 办公域与综合制作域的边界4. 综合制作域与新闻制播域的边界；5. 综合制作域与播出域的边界。4.3 安全防护功能设计4.3

40、.1 基础网络安全设计网络是信息系统构建的基础，它使得计算机及其相关配套的设备能够互联和共享。在对网络安全实现全方位保护之前，首先应关注整个网络的资源分布和架构是否合理。只有结构安全了，才能在其上实现各种技术功能，达到网络安全保护的目的。西安网信息安全等级保护方案21基础网络安全设计首先要对整个网络进行子网划分。其次在同一网段上，从保护数据信息的安全角度上来看，侦听、重放、插入攻击方式会导致数据的机密性和完整性被破坏。从保护服务功能安全的目标上来看，存在着广播风暴，同时如果网段规划得不合理，碰撞问题就会变得突出，导致网络通信效率的下降。4.3.2 边界安全设计要保护信息系统的安全，网络边界是第

41、一道也是最关键的一道防线。不论是对外部的入侵防范、计算机恶意代码的防范，还是对内部数据的泄露等都起到了最重要的作用。网络边界的防护，一般都在边界设置和安装相关的安全设备，对外部的访问进行过滤和控制，对内部向外传输的数据信息进行安全检查。网络边界的保护要从两个方面入手，一是对边界完整性的保护，另一个是对入侵的防范。1. 边界完整性保护所谓网络边界的完整性，是指网络与其他网络的连接的出口是明确的，是已知的，是安全策略所允许的。2. 网络边界入侵防范互联的目的是为了共享，共享既是网络的优点，也是风险的根源。非法用户能够从远端对计算机数据、程序等资源进行非法访问，使数据遭到拦截和破坏。网络边界的保护目

42、的：一是防止网络外部的入侵；二是防止内部信息的泄露；三是防止内部人员违规访问网络外部。有效的控制措施包括防火墙、边界隔离防护（IPS、媒体交换网关等），以及对远程用户的标识与鉴别/访问控制。有效的监视手段包括基于网络的入侵检测、漏洞扫描及恶意代码的防范。采取什么样的隔离措施，要根据系统的保护策略及该系统与之连接的其他系统的安全等级和那些系统本身的安全保护策略，当然也要根据信息安全属性所决定的保护策略。与之相关的是认证问题，应该进行角色定义和分析。对于边界保护，主要的一点是要考虑外部访问者的角色，即如何对这些角色进行控制是边界保护必须的要素。也应该从安全等级的角度出发，对于相同等级的子系统之间

43、的边界保护，和不同等级系统之间的边界保护，其策略应该不同，对于来自低于本系统安全等级西安网信息安全等级保护方案22的访问应该看做是不可信的访问。对于来自同级和高于本系统安全等级的外部访问，也应慎重对待。边界防护还要考虑防止内部人员对外部系统进行的侵害和将内部信息泄露的问题。可以通过边界的审计手段记录访问者及访问行为并作可靠的保存；可以对重要的信息加以标记，避免泄露。4.3.3 计算环境安全设计保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留主机时具有可用性、完整性和保密性。计算环境的保护涉及主机上的操作系统、数据库等系统软件；也包括应用层的通用程序和定制开发的独立应用程序。1

44、. 操作系统安全操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台，它的安全性属于系统级安全的范畴，它为整个计算机信息系统提供底层的安全保障。操作系统安全关注的有两点，一是操作系统本身的安全机制，二是操作系统本身的安全。操作系统的安全机制是操作系统的重要组成部分，它表明了操作系统能够提供的安全能力，由可信计算基的安全功能来实现；而操作系统本身的安全则是表明操作系统本身的可靠性，是对它所提供的安全能力的保证，反映的可信计算基的安全保障能力。为了实现操作系统的安全，需要建立相应的安全机制，解决进程控制、内存保护、对资源的访问控制、信息流的安全控制、I/O 设备的安全管理机制、审计机

45、制，以及用户标识与鉴别机制等。按照等级保护要求，高级别的信息系统（第三级以上），操作系统要达到标记安全保护级。标记安全保护级引入强制访问控制（MAC）机制，并对主体和客体进行安全标识，实施标识管理。2. 数据库安全数据库系统安装在操作系统之上，并为应用层提供直接服务。通常情况下所说的信息系统中的数字信息安全，就是指数据库中产生和保存的数据。数据库存储的西安网信息安全等级保护方案23数据越重要、越全面，它的安全性就越重要。为了保证数据库数据的安全可靠和正确有效，必须建立统一的数据保护功能，主要包括数据库的安全性、完整性、并发控制、备份恢复和安全审计。3. 应用安全应用层是信息系统直接面向用户的层

46、面，保证应用层面的安全应该说是信息系统安全的最终目的。应用程序保护主要是指独立应用程序的保护，也就是专为本系统的信息使命所开发的应用程序。应用程序的安全要求在等级保护中有明确要求，应用程序的保护应该从以下两个方面考虑：一是对应用程序进行评估；二是对应用程序进行测试。应用软件的评估是考虑应用软件所提供的功能是否与管理策略相违背，并可能导致管理方面的漏洞。评估就是将软件的功能与安全策略相比较，通过评估和分析查找出可能违背安全策略的机制。应用程序的测试是发现和排除程序不安全因素最有效的手段，测试的目的是确定程序的正确性和排除程序中的安全隐患。为了发现程序错误，可以通过大量的测试实例，使用黑盒测试和白

47、盒测试法进行严格的测试。从安全的角度来讲，测试应由独立的测试小组进行，这样可以检测出软件开发商程序员隐蔽在程序中的某些东西，千万不可由程序员自己测试自己编写的代码。4. 数据安全关于数据安全，一是对用户数据进行加密，二是对文件完整性进行检查，最后是数据备份和恢复。应用程序应该支持加密技术的使用，特别是身份鉴别信息在传输过程中应采用加密技术。文件完整性分为两个部分，一部分是基于主机系统的文件完整性检查，另一部分是基于综合业务域到制播域、音频制作系统到音频播出系统传输的音频文件的完整性检查。主机系统的文件完整性检查可以通过文件完整性检查器实现，文件完整性检查器提供基于密码学的附加保护、当从来不应该

48、被修改的文件被发现与原来不同时，可以进行告警并自动恢复“干净的” 文件或数据结构。音频文件可以通过 MD5西安网信息安全等级保护方案24或其它检验技术实现文件的完整性检查，当发现音频文件与原来不同时，可以采用重传或其他机制保证音频文件不被篡改。数据备份指的是，为了保障数据存储的安全性，将数据复制成若干份分开保存的处理方法，数据备份策略是对数据备份技术如何合理使用的指导文件。理想的备份系统应具备以下功能：集中式管理；全自动的备份；备份系统能根据用户的实际需求定义需要备份的数据；数据库备份和恢复；在线式的索引；归档管理；有效的媒体管理；支持数据分类与分级存储管理；系统灾难恢复；满足系统不断增加的需

49、求。高安全级别（第三级以上）的信息系统，需要制定完整的灾难备份及恢复方案；应包括备份硬件、备份软件、备份制度和灾难恢复计划四个部分。4.3.4 终端安全设计4.3.4.1 终端安全管理系统设计4.3.4.1.1 功能设计1. 服务和进程管理系统可以通过控制服务名和进程名的方式制定管理策略，管理客户端上运行的服务和进程，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。2. 文件操作管理系统可以通过文件名和文件类型的方式制定管理策略，管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送邮件等控制。3. 远程计算机管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。4. 补丁分发西安网信息安全等级保护方案25客户端集成本机扫描功能。通过进行本机扫描，可以根据终端上存在的安全漏洞，分析到对应的补丁，并下发至终端进行安装。分发支持强制安装和通知安装两种方式，安装支持静默安装和非静默安装两种方式。5. 外设及端口控制外

展开阅读全文