1、深圳市*公司信息安全规划报告书深圳*软件有限公司2010 年 3 月自治区烟草安全规划方案建议书 I目 录1 概述 12 深圳市*公司业务网络现状及需求分析 23 信息安全规划思路 33.1 信息安全目标和工作思路 33.2 信息安全建设主要任务 34 第一阶段-迫切阶段 74.1 加强区公司与地州公司的边界访问控制 74.2 解决区公司的网页安全问题 74.3 提升入侵防御能力 74.4 加强对区公司、地州终端的桌面管理能力 84.5 解决 VPN 系统的更新并且有效过渡的问题 94.6 提升区公司及地州公司对网络可管理的能力 94.7 加强对上网行为审计的能力 95 第二阶段信息安全建设方
2、案 115.1 建设原则 115.2 遵照的标准或规范 125.3 安全建设的思路和方法 135.4 安全域建设 135.4.1 安全域基本概念 145.4.2 安全域划分的原则 145.4.3 安全域理论 175.5 统一认证授权系统技术方案 225.6 深圳市*公司网络安全评估 316 第三阶段信息安全建设方案 616.1 建设内容 616.2 建设需求 616.3 4A 统一管理平台建设方案 616.3.1 统一日志审计子系统技术方案 636.3.2 功能概述 636.3.3 安全日志采集 646.3.4 安全日志多维分析 646.3.5 安全日志实时展现 656.3.6 报表分析 67
3、6.3.7 审计策略配置 696.4 系统平台和应用系统安全建设方案 706.4.1 认证、授权与行为审计的基本概念 706.4.2 认证、授权与行为审计体系的建设原则 706.4.3 实施效果 71自治区烟草安全规划方案建议书II6.5 综合信息安全支撑平台的概念 726.5.1 综合安全支撑平台的建设原则 736.5.2 实施效果 737 第四阶段信息安全建设方案 777.1 建设内容 777.2 建设方案 777.3 信息安全管理体系规划制定 777.3.1 深圳市 *公司信息安全体系规划建议 797.3.2 安全策略体系 807.3.3 三年规划建设任务 82自治区烟草安全规划方案建议
4、书 11 概述*行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,深圳市*公司结合本单位实际情况认真落实*行业信息安全保障体系建设指南的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。自治区烟草安全规划方案建议书 22 深圳市*公司业务网络现状及需求分析深圳市*公司业务网络是全省业务办公与通信的基础和支撑平台,整个信息系统目前存在诸多安全隐患:1)没有一个完整的信息安全体系,不能对* 公司信息安全程度进行有效评
5、估。2)缺少完整的安全管理制度规范,一旦发生安全问题,没有解决依据。3)安全域划分不清晰,网络安全边界防护采取的技术比较单一; 防火墙只能基于端口和流量进行控制,却无法防御复杂的攻击和入侵。4)内部信息系统所存在的安全漏洞和隐患,不能及时发现;对于网络而言,内外网互连私接的情况不能进行有效监控。5)终端安全没有保障,缺乏统一终端管理平台。无法有效的对*公司网络进行准入控制,致使网络接入存在一定的风险。6)没有数据安全保障体系,数据的传输和存储都没办法保证不被窃取。7)没有一个统一的员工身份管理系统,无法做到各类内部权限的细分,以及信息安全的加密以及事前、事中、事后的审计。8)缺乏主机和应用系统
6、安全保障机制,没有及时发现和弥补系统的漏洞和弱点,存在大量弱口令等问题。9)没有统一的审计和响应机制,即便是发生攻击事件无法快速定位到源头,并进行针对性的解决。自治区烟草安全规划方案建议书 33 信息安全规划思路3.1 信息安全 目标和工作思路我们应该按照信息安全总体规划,从信息安全管理、信息安全风险控制、信息安全技术等方面入手,采用先进可行的技术手段和管理理念,逐步建成全面、完整、有效的一套信息安全体系。通过系统化的安全技术和安全管理建设,深圳市*公司逐步形成安全管理规范和安全体系架构,逐步有机的融合安全技术和安全管理,使深圳市*公司的安全建设逐渐成熟,为整个业务的正常运行提供强有力的支持和
7、保障。信息化安全体系建设过程中应遵循以下工作思路: “分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。 “三分技术、七分管理”原则:*公司信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。 “内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。 “整体规划,分步实施”原则:需要对*公司信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。 “风险管理”原则:进行安全风险管理,确认可能影响信息
8、系统的安全风险,并以较低的成本将其降低到可接受的水平。“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。3.2 信息安全建设主要任务基于企业信息安全逐步建设和节省投资的考虑,深圳市*公司信息安全建自治区烟草安全规划方案建议书 4设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。具体实施步骤如下图所示:安全建设阶段和内容1、第一阶段 紧迫阶段按照本次深圳市*公司安全建设的要求,主要是对深圳市*公司网络中的服务器群区域进行安全防护,尤其是对办公业务网进行安全防护。1.1 建设要求本次网络基础安全建设主要考虑安
9、全域划分和加强安全边界防护措施,优先考虑办公业务网出口的安全问题。办公业务网中有深圳市*公司网络中重要的服务器群,保证这些服务器的安全是保障深圳市*公司网络安全的基础。因此在办公业务网与核心交换区的边界处,应采用多种安全技术和手段来防范外来的威胁。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面。1.2 第二阶段加强阶段自治区烟草安全规划方案建议书 51.2.1 建设内容安全建设第一阶段成功结束后,网络状态可以达到相对安全的状态。在第二阶段的安全建设中需要考虑加强手段。主要从安全日志审计、系统平台和应用系统安全两个方面展开。1.2.2 建设方案(1)安全日志审
10、计系统第一阶段部署了大量的安全产品。这些安全产品和大量的网络产品以及应用系统产生海量的日志和事件,尤其是入侵检测之类的安全产品,每天的事件量巨大,靠人工的方式很难检索所有的事件,如漏掉重要事件很可能会带来较大损失,鉴于此,需要部署统一的日志审计管理平台。这个平台能够收集所有网络产品、安全产品、主机以及应用系统的日志和安全事件,对其进行规范化处理,根据审计规则发现真正有价值的事件后及时告警,并能够存储海量事件,能够提供事后取证.(2)系统平台和应用系统安全在第一阶段建设了安全评估体系,定期进行评估和加固,已经有效地增强主机和应用的安全,第二阶段需要进一步加强系统平台和应用系统的安全管理,考虑从完
11、整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功能,就可以针对各业务系统的帐号级的信息安全审计和追踪。1.3 第三阶段管理阶段1.3.1 建设内容待安全建设一、二阶段建设完成后,深圳市*公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化。此时进行安全管理建设,主要从安全管理中心、安全管理体系着手完善。1.3.2 建设方案(1)安全管理中心自治区烟草安全规划方案建议书 6建设安全管理统一平台,将全网的安全管理通过该平台进行。通过该平台可以及时准确地获知网络安全体系的效果和现状,帮助安全管理员进行正确的决策分析。该平台应该具备风险管理、策略中心、事件
12、中心、响应中心、知识中心等功能模块,并且应具备很好的开放性和可定制性。(2)安全管理体系安全管理建设应该自始至终,并且对安全建设和运维起到指导作用。主要从安全策略制定、组建安全管理队伍、安全评估、资产鉴别和分类、安全认证等多种管理领域开展,最终形成管理和技术相融合,共同形成真正的安全体系架构。信息化安全建设规划方案基于企业信息安全逐步建设和节省投资的考虑,我省信息安全建设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。安全建设第一阶完成后,网络状态可以达到相对安全的状态。请结合深圳市*公司信息安全建设,考虑第二阶段的安全建设将如何进行。以及待深圳市*公司
13、的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化,即可考虑第三阶段和第四阶段将如何开展。自治区烟草安全规划方案建议书 74 第一阶段- 迫切阶段4.1 加强区公司与地州公司的边界访问控制目前,深圳市*公司已经全疆范围内部署了防火墙与 VPN 系统,但是由于时间已经很长,设备在性能与功能上都不能适应现在的网络与业务的发展。在本次项目中,我们建议更换防火墙系统,加强网络边界防御工作。从节省资金的角度出发,在本次的防火墙选型中,直接选用带有 VPN 功能的防火墙系统,便于操作与管理。4.2 解决区公司的网页安全问题当前国际、国内的政治形势和经济形势比较特殊,又正
14、值 7. 5 事件发生后期,网站安全问题越来越复杂,Web 服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。针对网站,各类安全威胁正在飞速增长。2008 年,CNCERT/CC 监测到中国大陆被篡改网站总数累积达 61228个,比 2007 年增加了 1.5 倍。Google 最新数据表明,过去 10 个月中,Google 通过对互联网上几十亿 URL 进行抓取分析,发现有 300 多万个恶意URL。其中,中国的恶意站点占到了总数的 67%。传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对 Web
15、应用攻击完善的防御能力。因此,深圳市*公司网站有必要采用专业的安全防护系统,有效防护各类攻击、降低网站安全风险。4.3 提升入侵防御能力防火墙作为深圳市*公司安全保障体系的第一道防线,已经得到了非常好的应用效果,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。自治区烟草安全规划方案建议书 8深圳市*公司想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局
16、限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。深圳市*公司想要实现完全的入侵防御,就需要在网络上将完全协议分析和在线防御相融合,这就是入侵防御系统(IPS): online 式在线部署,深层分析网络实时数据,精确判断隐含其中的攻击行为,实施及时的阻断。4.4 加强对区公司、地州终端的桌面管理能力区公司采用本类产品目的在于,能够对客户端进行状态安全控管,主要涉及客户端联网监控、客户端状态管理、设备注册、客户端桌面安全审计、客户端补丁分发管理、客户端应用资源控制以及远程协助管理等能。系统实时监控和报警网络中存在的客户端违规、病毒事件等行为,提供在线客户端安全状态信息;依据系统报警信
17、息和客户端上报的安全信息,管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施(如断网、告警、远程协助等) 。对补丁进行自动分发部署和管理控制。 客户端进程黑白名单控制,防止非法进程启动。全网客户端进程统一汇总监视。 客户端软件黑白名单管理,客户端软件统一汇总监视。 客户端软件自动分发和管理。 客户端统一的端口策略控制。 如何有效进行网络资源管理和设备资产管理。 网络节点控制。 弱口令监控。 Usb 移动存储设备的行为审计和控制。 防止防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患行为(对于物理隔离的网络,切实保障其有效的隔离度,保证专网专自治区烟草安全规划方案建议书
18、 9用) 。 进行外来笔记本电脑以及其它移动设备(如 u 盘、移动硬盘等)的随意接入控制。 准确有效的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络。 安全、方便的将非安全计算机阻断出网。 监控内网的敏感信息。 按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。 有效监控客户端的运维信息,以便网管了解网络中的客户端是否已超负荷运转,是否需要升级。 策略按照(区域、操作系统、时间等)进行控制和多级级联。 软件使用简单,所有的策略均在策略中心统一配置,用户上手简便。4.5 解决 VPN 系统的更新并且有效过渡的问题在本次项目中,我们在采购防火墙时,就带有 VPN 模
19、块,其中支持IPSEC、SSL 两种模式,可以根据应用自由选择,比现有的 VPN 系统速度更快,配置更方便,使用更便捷。使现有的 VPN 系统很平滑地向新技术过渡。4.6 提升区公司及地州公司对网络可管理的能力随着信息化发展的加速和深入,深圳市*公司的 IT 系统和网络越来越复杂,各级分公司对网络正常运转的依赖性逐渐增大,IT 和网络应用逐渐融入到单位的日常工作中。网络基础设施和各种应用系统在不断增加,一旦 IT 系统和网络运行出现问题,将会对所有的依赖于信息化平台的正常工作产生影响。因此,高效的系统与管理已经成为*公司信息化建设是否成功的重要条件。网络管理系统可广泛应用于对局域网、广域网、城
20、域网和关键 IT 业务系统中的路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间件、网站、域名、URL、OA、CRM、ERP、SCM、HIS 等各种 IT 网络组件和业务系统进行 7X24 的持续监控、不间断的数据采集和分析,对错误和故障数据进自治区烟草安全规划方案建议书 10行颜色、声音、短信息、邮件等多种方式的报警,提供多种图形和报表帮助用户进行故障分析和性能诊断,保证 IT 业务系统和网络持续、稳定运行,提高IT 系统的效率,降低由于 IT 业务系统故障而导致的损失。4.7 加强对上网行为审计的能力随着 Internet 接入的普及和网络带宽的增加,使用户上网条件得到改
21、善,同时也给*公司网络带来了更高的危险性、复杂性。终端用户随意使用网络资源将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络泄密和违法行为增多。*公司网络作为一个开放的网络系统,运行状况愈来愈复杂。网管中心如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常) ,并进行快速的故障定位,这些都是对*公司信息安全管理的挑战,这些问题包括:管理员如何对网络效能行为进行统计、分析和评估,管理员如何监控、控制一些非工作上网行为和非正常上网行为,管理员如何杜绝用户通过电子邮件、MSN 等途径泄漏内部机密资料,以及管理员如何在发生问题时
22、有查证的依据。因此,如何有效地解决这些问题,以便提高用户的工作效率,降低安全风险,减少损失,对网络进行统一管理,调整网络资源的合理利用,已经成为*公司信息中心迫在眉睫的紧要任务。因此内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。自治区烟草安全规划方案建议书 115 第二阶段信息安全建设方案在这三年信息安全建设过程中,我们实现安全信息安全体系框架的规划设计与实现,并重点围绕深圳市*公司当前网络中存在的问题进行解决,而且该安全体系框架的规划设计,要能够适应深圳市*公司在自身发展中可能出现
23、的业务调整和变化。5.1 建设原则在设计技术方案时要遵从以下原则:1. 实用性原则深圳市*公司的安全体系建设将始终遵循“面向应用,注重实效”的指导思想。紧密结合深圳市*公司现有网络和应用情况,充分保证原有系统和结构的可用性。2. 协商原则对于一个应用系统而言,他的安全性有时候与合理性存在着矛盾,从使用者的角度讲是合理的,站在安全的角度来分析则是不安全的,存在着风险,这时候就需要协调和论证在二者之间做出平衡。3. 完整性原则深圳市*公司网络安全建设必需保证整个防御体系的完整性。在安全体系建设中,我们采取多种安全防御的技术和措施来保障深圳市*公司的网络系统安全运行。4. 整体均衡原则 要对信息系统
24、进行全面均衡的保护,要提高整个信息系统的“安全最低点“的安全性能,保证各个层面防护的均衡。 5. 安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,自治区烟草安全规划方案建议书 12不能为了追求安全而牺牲效率,或投入过大。6. 标准化与一致性原则 在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。7. 产品异构性原则在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。8. 区域等级原则要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。9. 动态
25、发展原则 安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。10.统筹规划分步实施原则 技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。11.保护原有投资原则设计技术方案时,要尽量利用现有的设备与软件,避免投资浪费,这些设备包括安全设备、网络设备等。5.2 遵照的标准或规范GB/T 9387.2-1995 开放系统互连基本参考模型第 2 部分:安全体系结构RFC 1825 TCP/IP 安全体系结构ISO 10181:1996 信
26、息技术 开放系统互连开放系统安全框架GB/T 18237-2000 信息技术 开放系统互连通用高层安全自治区烟草安全规划方案建议书 13GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则ISO/ISE 17799: 2000 /BS7799ISO/ISE 15408(CC)AS/NZS 4360: 1999 风险管理标准GAO/AIMD-00-33信息安全风险评估IATF信息保障技术框架5.3 安全建设的思路和方法我们着眼于整个安全体系建设以及安全规划建设的长期目标,逐步完善深圳市*公司风险管理体系,将
27、安全建设分解成多个可实施性较强的工程阶段,明确标识出各阶段安全建设内容和解决的安全问题,为深圳市*公司提供一个可供参考的安全建设远景规划以及每期工程需要解决的风险管理规划,各期工程建设内容都是依据深圳市*公司所面临的安全风险级别和迫切需要解决的安全问题依照从高至低排序。这样的建设思路让深圳市*公司明确将来安全建设的内容以及建设方法,我们首先将解决当前对深圳市*公司威胁最大的安全风险,在以后的各期项目再逐渐完善和调整安全框架内容。5.4 安全域建设风险管理的基本解决思路在于能够准确的识别风险,并将高级别风险降低或者转移,风险管理需要积极的落实到深圳市*公司的各业务系统。只有贴近具体业务系统,对业
28、务系统的重要性和特点有了清楚的定义和识别,风险管理才可能取得确实的成效。要将风险管理和业务系统联系起来,用安全域是一个比较好的解决思路。通过划分安全域,我们可以将网络根据业务系统、功能和重要性划分成不同的层次,并且不同的安全域面临的是不完全相同的安全风险,自治区烟草安全规划方案建议书 14关注程度和解决的方法也就不同。5.4.1 安全域基本概念一般常常理解的安全域(网络安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。如果理解广义的安全域概念则是,具有相同业务要求和安全要求的 IT 系统要素的集合。这
29、些 IT 系统要素包括:网络区域主机和系统人和组织物理环境策略和流程业务和使命 5.4.2 安全域划分的原则安全域的理论和方法所遵循的根本原则:5.4.2.1 等级保护原则根据安全域在业务支撑系统中的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施,以保障业务支撑的网络和信息安全。在参考工信部等级保护的指导意见TC260-N0015 信息系统安全技术要求对安全等级的划分基础上,结合业务支撑系统的具体情况,安全域所涉及应用自治区烟草安全规划方案建议书 15和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。本文档定义了不
30、同等级的安全域,对这些安全域的等级保护从业务数据流角度来看,要求高等级安全域允许向低等级安全域发起业务访问的请求,保证发送数据的机密性,鉴别低等级安全域的合法性,对接受的数据进行完整性校验,对业务操作进行日志记录与审计;低等级安全域向高等级安全域只允许受限访问,保证发送数据的完整性,对业务操作进行日志记录与审计。在基于等级保护原则同时遵循策略最大化原则。5.4.2.2 业务保障原则安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。5.4.2.3 结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体
31、系。安全域划分不宜过于复杂。5.4.2.4 生命周期原则对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。5.4.2.5 深度防御原则根据网络应用访问的顺序,逐层进行防御,保护核心应用的安全。5.4.2.6 安全最大化原则针对业务系统可能跨越多个安全域的情况,对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级,即实现安全的最大化防护,同时满自治区烟草安全规划方案建议书 16足多个安全域的保护策略。5.4.2.7 分步实施原则分布实施原则:贯彻安全工作“统一规划,分步实施”的原则,根据自身情况分阶段落实安全域划分和边界
32、整合的工作。5.4.2.8 可扩展性原则当有新的业务系统需要接入业务支撑网时,按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。5.4.2.9 安全域边界防护原则根据本文档提出安全域划分原则及相关标准,在不同安全等级的域间进行数据互访必须遵循以下防护原则。归并系统接口深圳市*公司的网络目前确实存在边界不清的实际问题,在此情况下只有在保证支撑系统的各种互联需求的有效提供的前提下对安全域的边界进行合理的整合,对系统接口的进行有效的整理和归并,减少接口数量,提高系统接口的规范性,才能做到“ 重点防护、重兵把守 ”,达到事半功倍的效果。最小授权原则安全子域间的防护需要按照安全最小授
33、权原则,依据“缺省拒绝”的方式制定防护策略。防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性。业务相关性原则对安全子域的安全防护要充分考虑该子域的业务特点,在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。如果子域之间的业务关联性、互访信任度、数据流量、访问频度等较低,通常情况下没有数据互访的业务需求,因此安全防护策略非常严格,原则上不允许数据互访。如果子域之间互访信任度、数据流量、访问频度等比较高,通常情况下业务关系比较紧密,安全防护策略可以较为宽松,通常允许受限的信自治区烟草安全规划方案建议书 17任互访。策略最大化原则本文档针对各
34、域分别制定了多项防护策略。核心域防护包括核心域与接入域边界和核心域各子域之间的防护,接入域防护包括接入域内部边界和外部边界的防护,当存在多项不同安全策略时,安全域防护策略包含这些策略的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。5.4.3 安全域理论安全域划分以及基于安全域的整体安全工作,对深圳市*公司具有很大的意义和实际作用: 安全域划分基于网络和系统进行,是下一步安全建设的部署依据,可以指导系统的安全规划、设计、入网和验收工作; 可以更好的利用系统安全措施,发挥安全设备的利用率; 基于网络和系统进行安全检查和评估的基础,可以在运行维护阶段降低系统风险,提供检查审核依据
35、; 安全域可以更好的控制网络安全风险,降低系统风险; 安全域的分割是出现问题时的预防,能够防止有害行为的渗透; 安全域边界是灾难发生时的抑制点,能够防止影响的扩散。早期在进行安全域的划分时,完全从一个业务单元或者行政机构的角度考虑。将自己的网络和系统看成内部网络,将所有的其他网络都作为不可信的网络来看待;将自己看成中心,然后基于这个观点进行整个系统的分析和安全部署。随着安全区域方法的发展,发现这样的方法难于构建全局的安全体系,局部的设计和实施经验也难于推广到全局,也难于借鉴。“同构性简化”的安全域划分方法,其基本思路是认为一个复杂的网络应自治区烟草安全规划方案建议书 18当是由一些相通的网络结
36、构元所组成,这些进行拼接、递归等方式构造出一个大的网络。 “3+1 同构性简化”的安全域方法是用一种 3+1 的网络结构元来分析深圳市*公司网络的系统。 (注:除了 3+1 构造之外,还存在其他形式的构造。)具体来说深圳市*公司的承载网络和支撑系统按照其维护数据的分类可以分为安全服务域、安全接入域、安全互联域以及安全支撑域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。5.4.3.1 安全互联域连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。安全互联域的安全等级的确定与网络所连接的安全
37、接入域和安全服务域的安全等级有关。当一个网络所连接的安全服务域和安全接入域具有单一安全级别时,该安全互联域的安全等级应与该安全等级相同;当一个网络所连接的安全服务域和安全接入域具有多安全级别时,应尽量组成不同安全等级的安全互联域,为这些安全服务域和安全接入域中的不同安全级别提供不同的支持;如果确实无法分别提供支持,则应按这些安全服务域和安全接入域中的最高安全级别提供安全支持,组成与最高安全级别相同安全等级的安全互联域。主要需要解决的安全问题包括:网络设备的强壮性,防止被非法访问;防止网络的拥塞;防止线路的嗅探;防止成为恶意代码传播和扩散的载体等等。安全互联域有时会将其他域的边界融合在本域中,因
38、此,可能会以一种平台的方式存在。安全互联域由于主要起到承载作用,应当以通为主、以隔为辅。基于这样的防护原则,其中主要采用的安全措施包括:路由器本身的路由和过滤功能;交换机的 ACL 功能;线路的监测功能。在骨干上建议只监控流量,在接入端可以考虑监控入侵行为等等。自治区烟草安全规划方案建议书 195.4.3.2 安全接入域由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全防护等级与其所能访问的安全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全防护等级应与这些安全
39、服务域的最高安全等级相同。安全接入域应有明确的边界,以便于进行保护。主要需要解决的安全问题包括:用户主体的信任问题,也就是对于用户的身份认证;客户端主机的信任问题,也就是客户端是否被感染和侵占;安全接入域内,主机(包括客户端)之间的互相感染和影响;安全接入域内,一个客户端对于另外一些客户端的攻击和嗅探;安全接入域内,各个用户之间的混淆,导致非授权操作;安全接入域内的用户和客户端突破域的边界安全规则等等。针对上述主要问题,在安全接入域内需要考虑如下一些防护要点,包括安全接入域内和安全接入域的边界。安全接入域内的防护要点:安全接入域内节点的加固,包括主机操作系统的补丁、主机和网络设备的安全配置等;
40、进而可以部署补丁管理等强制系统。安全接入域内节点的访问控制,主要是主机和网络设备管理的访问控制等;如果需要加强,还可以部署集中身份认证系统、一次登录系统(SSO)等,可以基于 CA 证书、或者口令卡等;安全接入域内节点的防病毒;安全域内的主机都应当部署防病毒系统,可以考虑部署对于客户端的强制防病毒软件安装和强制升级和更新。安全接入域内节点的防入侵;可以在客户端部署单机防入侵系统。安全接入域内可以根据用户主体的分类,分成子域。对于非常不可信的用户和客户端,可以重点部署流量监控,以便能够最快地发现可能出现的蠕虫传自治区烟草安全规划方案建议书 20播和拒绝服务攻击。安全接入域内如果根据用户所操作业务
41、分类进行子域划分,可以针对不同的子域进行应用的监控和审计;安全接入域内防泄密;监控安全接入域客户的非业务流量,特别是进行文件和信息交换的协议,比如:电子邮件、FTP、WEB 访问等。安全接入域的边界防护,主要是要保证从安全接入域到其他域的访问都是由可信的用户从可信的客户端上发起的;同时还要保证安全接入域不受其他域的侵害和影响。安全接入域和其他安全域之间边界和连线的防护要点:安全接入域和内部的边界上需要安全网关,主要考虑访问控制的要求;这样的安全网关可以是路由器、防火墙、交换机的 ACL 等等。对安全接入域边界上流经的数据进行检测,监测内容包括:入侵、病毒、蠕虫、流量、应用等;在安全接入域边界上
42、进行恶意代码防护;安全接入域和其他安全域的互联方式可能需要加密传输,VPN 就是一种常见的方式;为了防止安全接入域内的用户突破或者绕过,需要建立防止客户端非授权访问的控制系统,如非法外联系统可以防止客户端通过拨号、无线网卡等方式绕过边界防护;为了防止安全接入域内的用户互相嗅探并且越权操作,需要对用户和其相应的客户端进行分组。比如:对于用户分组后划入不同的 VLAN 就是一种方式等等。5.4.3.3 安全服务域在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一自治区烟草安全规划方案建议书 21计算机(主机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安
43、全服务域的基本依据。根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。主要需要解决的安全问题包括:服务器被入侵,完整性受到破坏;服务器被拒绝服务攻击;服务器成为恶意代码的传播载体;服务器成为垃圾的传播载体等等。防护要点:安全服务域内节点的加固,包括主机操作系统的补丁、主机和网络设备的安全配置等;安全服务域内节点的访问控制,主要是主机和网络设备管理的访问控制等;访问控制机制要和安全接入域的鉴别机制之间相互结合;安全服务域内节点的防病毒:特别是基于 windows 平台的服务器;安全服务域内节
44、点的防入侵;安全服务域内重要链路的流量监控;安全服务域内业务的监控和审计;服务域内防泄密;安全服务域内一些可能产生或者传播垃圾的服务器的防护,如:邮件服务器需要部署垃圾邮件过滤等等。安全服务域和其他域之间边界和连线的防护要点:安全服务域边界上的安全网关,主要考虑访问控制的要求;安全服务域边界上的监测,监测内容包括:入侵、病毒、蠕虫、流量、应用等;安全服务域边界上的恶意代码防护;安全服务域中的服务器和其他域的服务器发生业务关联时,很可能需要考虑加密传输等等。5.4.3.4 安全支撑域为整个 IT 架构提供集中的安全服务,进行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认
45、证中心、安全管理中心等。主要需要解决的安全问题包括:安全支撑域要能够对于其他安全域提供必要的安全支撑;安全支撑域自身不能带来新的安全风险,要做好自身的防护。安全支撑域不同于其他系统的独特性在于,安全支撑域会以代理 Agent 的自治区烟草安全规划方案建议书 22方式或者提供调用服务的方式,插入(plug-into)到被监管的系统中。代理方式比如:业务支撑系统会放置计费前端服务器在业务系统中,安全监控系统会将 IDS 等检测引擎放置在被监控的网络中等等;调用服务方式比如:认证中心提供证书服务或者其他认证服务。为了能够保证这种插入机制的正确和安全,要确保插入的功能对于被监管的系统不产生不良的影响;
46、同时还要确保插入的点不会使安全支撑域受到被监管系统的影响。因此插入点和安全支撑域之间常常需要采用相应的安全措施,比如:带外管理:即插入点到安全支撑域之间建立单独的物理链路或者 vpn 连接;链路加密:插入点和安全支撑域之间的数据传输和命令传输都使用加密传输,比如采用 ssl 等;插入点自身安全性:插入点对于安全支撑域来说属于域外的飞地,因此对于插入点要能够做到比较强的安全性,其产品的安全性可以用 CC 的等级来描述。5.5 统一认证授权系统技术方案统一认证系统通过动态口令卡、PKI 数字证书、IC 卡等多种通用认证手段对用户进行身份验证,是一个对企业内部系统及网络设备的各种访问进行统一认证、授
47、权、审核的企业级认证服务平台,能够确保企业用户访问各种资源的安全性,全面的实施和贯彻用户制订的资源访问策略。根据深圳市*公司网络系统现状和安全需求,提出解决方案如下:5.5.1.1 认证服务器高可用性部署在深圳市*公司现有网络系统结构的基础上,部署两台 MS Windows 2003服务器,安装统一认证子系统,形成两台相互复制的认证服务器,用以实现冗余备份及负载分担。同时,启用认证服务器内置的 RADIUS Server,做好为主机、网络设备等资源提供身份认证的准备工作。整体上,由这两台认证服务器提供网络系统中的认证、授权、审核以及用户管理。两台认证服务器之间自动进行同步数据复制,确保数据的整
48、体完整和协调一致。当用户需求增加,两台服务器已经不能满足大量的认证请求时,或自治区烟草安全规划方案建议书 23需要考虑高可靠灾难冗余时,统一认证系统可以简单、迅速的增加镜像服务器的数量,近乎无限的扩充认证的支持数目,确保用户的投资得到保护。正常工作状态下,客户端的请求按照配置的权重自动分配到两台认证服务器上,用以降低单台服务器的工作负载,提高系统的运转性能。当某台认证服务器出现故障时,另外一台服务器零间隙、无延时的自动接管原故障服务器的认证服务,直到故障服务器恢复正常。无论在正常工作状态下,还是发生单机故障时,SPA 系统的每台服务器上均可以独立完成全部的系统管理任务,真正实现认证系统的高可用性。5.5.1.2 统一身份认证身份认证是保护业务系统中非常重要的一个部份。再安全的网络环境下,用户的身份信息被人盗取,那么业务系统中的所有信息的机密性也就无从谈起。为了解决传统静态口令认证存在的各种弊病和安全隐患,统一认证系统采用多因素身份认证方式-动态口令认证来加强用户对各种系统访问前的身份认证问题。多因素包括: 用户必须持有认证器口令牌 用户认证器的保护保护口令牌的 PIN 码 用户登陆的信息口令牌生成的口令 用户登陆信息的变化口令牌每次生成的口令不同通过这些多种因素的组合,确保用户登陆时就是其本人,而不是因非法用户盗取得到的口令而登陆系统。对于深圳市*公司这种大型企业来说,内
