系统安全实施方案
XXX系统安全实施方案
目录
1.1.1 计算环境安全设计 2
1.1.1.1 物理安全 2
1.1.1.2 主机和应用安全加固 4
1.1.1.3 数据库安全审计 6
1.1.1.4运维堡垒主机 7
1.1.1.5 主机病毒防护 7
1.1.1.6 备份与恢复 8
1.1.1.7 客体安全重用 8
1.1.2 区域边界安全设计 8
1.1.2.1 边界访问控制 8
1.1.2.2 边界完整性检查 9
1.1.2.3 边界入侵防范 9
1.1.2.4 边界安全审计 11
1.1.2.5 边界恶意代码防范 11
1.1.3 通信网络安全设计 12
1.1.3.1 网络结构安全 12
1.1.3.2 网络设备防护 12
1.1.3.3 通信完整性 13
1.1.3.4 通信保密性 13
1.1.3.5 网络安全审计 13
1.1.1.4 安全行为管理 17
1.1.1.4.1 行为分析 17
1.1.1.4.2 数据挖掘 18
1.1.1.4.3 行为异常审计 18
1.1.1.5 安全风险联动 18
1.1.1 计算环境安全设计
1.1.1.1 物理安全
物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
Ø 机房选址
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
Ø 机房管理
机房出入口安排专人值守,控制、鉴别和记录进入的人员;
需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围。
对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
Ø 机房环境
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机房应安装防静电活动地板。
机房安装防雷和接地线,设置防雷保安器,防止感应雷,要求防雷接地和机房接地分别安装,且相隔一定的距离;机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。配备空调系统,以保持房间恒湿、恒温的工作环境;在机房供电线路上配置稳压器和过电压防护设备;提供短期的备用电力供应,满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电;建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰。对关键设备和磁介质实施电磁屏蔽。
Ø 设备与介质管理
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
1.1.1.2 主机和应用安全加固
需要通过专业安全服务实现主机和应用安全加固,加固内容主要有以下几点:
一、身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面:
主机身份鉴别:
为提高主机系统安全性,保障各种应用的正常运行,对主机系统需要进行一系列的加固措施,包括:
Ø 对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
Ø 根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
Ø 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
Ø 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。
Ø 对主机管理员登录进行双因素认证方式,采用USBkey+密码进行身份鉴别。
应用身份鉴别:
为提高应用系统系统安全性应用系统需要进行一系列的加固措施,包括:
Ø 对登录用户进行身份标识和鉴别,且保证用户名的唯一性。
Ø 根据基本要求配置用户名/口令,必须具备一定的复杂度;口令必须具备采用3种以上字符、长度不少于8位并定期更换;
Ø 启用登陆失败处理功能,登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。
Ø 应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
Ø 对于三级系统,要求对用户进行两种或两种以上组合的鉴别技术,因此可采用双因素认证(USBkey+密码)或者构建PKI体系,采用CA证书的方式进行身份鉴别。
二、系统审计包含主机审计和应用审计两个层面:
主机审计:
通过服务器安全加固,启用服务器操作系统本身的审计功能,实现对于主机层面的安全审计要求。
应用审计:
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密结合,此审计功能应与应用系统统一开发。
应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。
三、应用资源监控:
为保证现网应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标。应用系统如具备上述功能则需要通过XXX用户或者安全服务工作开启相关功能,若不具备则需进行相应的功能开发,且使用效果要达到以下要求:
Ø 会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够及时检测并自动结束会话,释放资源;
Ø 会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段内可能的并发会话连接数进行限制,同时对单个帐户的多重并发会话进行限制,设定相关阈值,保证系统可用性。
Ø 登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端登录。
Ø 超时锁定:根据安全策略设置登录终端的操作超时锁定。
Ø 用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,保障正常合理的资源占用。
Ø 对重要服务器的资源进行监视,包括CPU、硬盘、内存等。
Ø 对系统的服务水平降低到预先规定的最小值进行检测和报警。
Ø 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
1.1.1.3 数据库安全审计
计划部署数据库审计系统对用户行为、用户事件及系统状态加以审计,范围覆盖到每个用户,从而把握数据库系统的整体安全。
数据库审计系统适用于等级保护标准和规范。数据库审计系统支持所有主流关系型数据库的安全审计,采用多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术,采用黑盒逆向协议分析技术,严格按照数据库协议规律,对所有数据库的操作行为进行还原,支持请求和返回的全审计,保证100%还原原始操作的真实情况,实现细粒度审计、精准化行为回溯、全方位风险控制,为XXX的核心数据库提供全方位、细粒度的保护功能。数据库审计系统可以帮助我们解决目前所面临的数据库安全审计缺失问题,避免数据被内部人员及外部黑客恶意窃取泄露,极大的保护XXX的核心敏感数据的安全,带来以下安全价值:
Ø 全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源
Ø 跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据泄漏
Ø 检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议
Ø 为数据库安全管理与性能优化提供决策依据
Ø 提供符合法律法规的报告,满足等级保护审计要求。
1.1.1.4运维堡垒主机
计划部署运维堡垒主机,堡垒机可为XXX提供全面的运维管理体系和运维能力,支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能,能够有效的保障运维过程的安全。在协议方面,堡垒机全面支持SSH/TELNET/RDP(远程桌面)/FTP/SFTP/VNC,并可通过应用中心技术扩展支持VMware/XEN等虚拟机管理、oracle等数据库管理、HTTP/HTTPS、小型机管理等。
1.1.1.5 主机病毒防护
针对病毒的风险,通过部署主机防病毒软件进行管控,要求在所有终端主机和服务器上部署网络防病毒系统,加强主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。且主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
在XXX单位运维管控区中,可以部署防病毒服务器,负责制定和终端主机防病毒策略。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制,可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。
1.1.1.6 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
本地完全数据备份至少每天一次,且备份介质需要场外存放。并且要求提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
1.1.1.7 客体安全重用
为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。这部分工作也通过安全服务来实现。
1.1.2 区域边界安全设计
1.1.2.1 边界访问控制
通过对XXX网络的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。对现网进行安全域划分,每个安全域/或重要的安全域通过部署防火墙实现安全域隔离防护。
从防火墙的实现原理看,对七层应用协议的防护是非常薄弱的,因此外部服务区需要新增WEB应用防火墙和网页防篡改系统。
WEB应用防火墙专注于第七层防护,采用双引擎技术(用户行为异常检测引擎、透明代理检测引擎)实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护,并有效防护0day攻击。支持Web应用加速,支持在透明代理部署模式下的HA/Bypass,便于部署配置以及维护。此外,WEB应用防火墙支持透明代理模式、旁路监听模式、反向代理模式、网关模式等多种部署模式。
网页防篡改系统包含防篡改、防攻击两大子系统的多个功能模块,为网站安全建立全面、立体的防护体系。支持多种保护模式,防止静态和动态网站内容被非法篡改。采用内核驱动及文件保护技术,确保防护功能不被恶意攻击或者非法终止。采用核心内嵌技术,支持大规模连续篡改攻击保护。完全杜绝被篡改内容被外界浏览。支持继线/连线状态下篡改检测。支持多服务器、多站点、各种文件类型的防护。
1.1.2.2 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署的终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
1.1.2.3 边界入侵防范
在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。
鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。
对于接入边界,IPS可针对于内网对于外网的存取应用进行管理。可支持深入七层的分析检测技术,能检测防范的攻击类型包括:蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等,支持P2P、IM、视频等网络滥用协议的检测识别,可支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议(网络快车、网络蚂蚁)等P2P应用, MSN、QQ、ICQ等IM应用, PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。IPS采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。
本期计划在互联网接入区和专网接入区各部署一套入侵防御系统/或在下一代防火墙开启IPS功能模块。
1.1.2.4 边界安全审计
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。XXX计划开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时将所有审计信息通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。并部署网络审计系统,实现对于所有访问业务系统的行为的审计,并能够记录该行为的源IP、目的IP等,并可以方便的生成报表等。网络审计系统通过网络旁路侦听的方式对网络数据流进行采集、分析和识别,并对应用层协议进行完整还原,根据制定的安全审计策略进行审计响应。将边界安全审计、主机审计、应用审计和网络审计等一起构成完整的、多层次的审计系统。
另外,在互联网接入网出口已部署上网行为管理系统,实现对于所有内部用户访问互联网的安全审计,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,为用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
1.1.2.5 边界恶意代码防范
一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。
现网网络层面没有恶意代码防护措施,本期计划在边界部署下一代防火墙,并开启AV防病毒功能/或部署一套入侵防御系统。
1.1.3 通信网络安全设计
1.1.3.1 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XXX网络,选用主要网络设备时会充分考虑业务处理能力的高峰数据流量,考虑冗余空间满足业务高峰期需要;网络各个部分的带宽需要保证接入网络和核心网络满足业务高峰期需要;本期对XXX网络核心交换区进行升级改造,实现双机冗余部署。按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
1.1.3.2 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,通过安全服务对网络设备需要进行一系列的加固措施,包括:
l 对登录网络设备的用户进行身份鉴别,用户名必须唯一;
l 对网络设备的管理员登录地址进行限制;
l 身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度不少于8位,并定期更换;
l 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
l 启用SSH等管理方式,加密管理数据,防止被网络窃听。
l 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需采用USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法性。
1.1.3.3 通信完整性
信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。
对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。
通过部署VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验则由应用系统和数据库系统完成。
1.1.3.4 通信保密性
应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;并对通信过程中的敏感信息字段进行加密。
对于信息传输的通信保密性通过部署VPN系统保证远程数据传输的数据机密性。
1.1.3.5 网络安全审计
计划在XX网络核心交换机上部署网络安全审计系统,形成对全网网络数据的流量监测并进行相应安全审计,侦察系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件,同时和其它网络安全设备共同为安全管理中心提供监控数据用于分析及检测。
1.1.1 安全管理中心设计
计划部署以业务为核心的、网络安全、应用安全、业务安全一体化的安全管理系统,该安全管理中心的特点是:定位于以面向业务的安全管理中心,围绕着资产和业务,融合对安全、网络、应用的管理,实现设备管理及策略部署管理、运转监控、风险预警、到安全联动响应的完整安全闭环管理,实现安全风险的可视可管可预防。
整个一体化安全管理中心功能要求如下:
1.1.1.1 安全可视化
在虚拟化技术、大数据分析技术快速发展的背景下,安全管理中心需考虑围绕着资产和业务为核心,以数据挖掘技术为依托,对云、网、端提供一体化安全管理,实现安全服务从规划开通、运行监控、到闭环响应的完整生命周期管理。
全网资产管理可以做到:
1)监控到的性能指标可用于事件关联分析,比如,DDOS事件与CPU利用率进行关联,以确认攻击的实效是否达成;
2)确保安全设备的正常运转,提供配置文件管理、设备状态监控、拓扑监控等,从而保障关键安全节点正常行使功能;
3)攻击溯源:基于拓扑关系,提供从源到目的端的真实拓扑路径,管理员可进行更有针对性的实施管理动作。
1.1.1.2 资产风险管理
安全管理中心可以对被管对象进行基础信息管理,包括其IT属性、普通属性以及安全属性,主要用于当产生安全问题时,快速找到资产基本信息来辅助问题的解决,比如,快速找到责任人、存放位置、资产重要程度等,另外,资产详细信息中的资产重要程度也将作为资产风险评分计算的重要参数。
安全管理中心关注的资产不仅包含安全设备、网络设备、服务器和应用,同时还可以由操作者自定义新的资产类型,并向其下面增添资产。除了对资产的信息管理,还支持资产运行监控以及风险监控。
1.1.1.3 业务风险监控
业务是最上层安全风险监控的组织单元。业务由应用、服务器、网络设备组成。通过业务建模,将应用、服务器、网络设备组织成起来形成一个业务。
安全管理中心应提供基于“业务”的风险监控。在展现上,以业务为对象,形成一个个“业务风险卡片”,呈现繁忙度、健康度、安全度等与业务运转强相关的监控内容,并提供攻击类型统计、漏洞类型统计、受攻击资产TOP10、资产风险情况统计、资产攻击源和目的统计等多项美观的统计图表,使管理员/领导及时关注到“业务”层面的宏观风险状况,快速发现业务的当前“安全度”状况,避免直接陷入细节而对业务运转风险难以一幕了然的展现。另外,当出现安全风险时,很可能业务性能也出问题了。 “风险卡片”帮助梳理这种内在联系。风险卡片中的业务安全度,由组成业务的各元素(如主机、应用等)的安全状况加权而得到。
1.1.1.4 实时攻击分析
动态展示最新发生的攻击事件以及攻击行为,并统计攻击源、攻击目的TOP N信息。通过该页面使企业面临的攻击威胁状况得以可视化展示,便于采取相应动作来削弱政务云所面临的风险。
1.1.1.5 整网安全态势实时监控
列出整网安全评分,最近一小时内的攻击状态,提供针对攻击目的IP、攻击源IP、攻击协议、安全威胁整体趋势等信息。同时提供业务风险雷达,将各个业务面临的风险状况(按风险程度高-中-低)在雷达中体现出来。
整网安全态势实时监控用来帮助管理员直观地了解到网内最新的安全状况,及时采取必要的行动。
1.1.1.6事件概览
给出最近一小时内的安全事件统计信息。便于管理员快速获知当前的安全态势。事件概览中提供攻击源、攻击目的、产生事件最多的设备、产生最多的事件等多个TOP统计图表;同时提供IPS规则级别、攻击协议等统计图表;并支持查看安全事件趋势
1.1.1.7 实时事件列表
实时事件列表列出了最近一小时内的攻击事件,详细展示了最近一小时内的攻击事件,详细给出了事件包含的具体内容,包括日志级别、时间、源IP/用户、目的IP/用户、协议、攻击类型、事件数和设备名称。同时,提供了基于设备名称、协议、源用户、源IP、目的用户、目的IP的查询条件,方便管理员快速的查询到需要的攻击事件信息。
1.1.1.8 攻击拓扑溯源
基于强大的拓扑引擎,计算攻击源到目的的端到端路径,对攻击进行网络路径角度的可视化呈现,管理员可参考并实施针对性管理动作(为确保展现效果,相应设备应加入到管理中)。该功能用来协助操作员作出判断,可以对攻击源进行下线、走工单流程等处理动作,也可以参考着变更安全规则的部署。
1.1.1.9 安全评估
安全管理中心的安全评估特性,可以配合WEB、主机、数据库三种扫描器,支持扫描任务管理和部署、结果分析。
1.1.2.0 安全评估分析
安全管理中心可记录每次漏扫任务的执行详情。以列表的形式给出任务执行状态(成功or失败)、任务名称、启动时间、完成时间、扫描类型、执行人员、安全评分。以报表和列表的形式给出扫描结果和解决办法。基于每条评估历史,可查看到评估结果信息,包括该次评估的得分,该次评估扫描到的风险详细信息机改进建议等。
1.1.2.1 漏扫关联
支持漏扫结果与业务和资产进行关联,使重要IT管理对象的安全性得以直观呈现。这种关联是数据统计角度的关联。
1.1.1.4 安全行为管理
1.1.1.4.1 行为分析
除了SIEM从网络事件、主机信息角度的安全分析,行为分析从用户上网行为、用户流量模型角度分析和用户行为直接相关的安全威胁。关键技术包含深度的应用识别和用户行为识别、用户身份的识别等。
1.1.1.4.2 数据挖掘
安全管理中心可以通过对用户行为的跟踪,进行深度数据挖掘,从而满足公安部82号令等安全审计相关的要求。
1.1.1.4.3 行为异常审计
安全管理中心可以根据用户行为按敏感文件、可疑邮件、敏感词等审计点进行异常行为审计,并以横轴坐标展示异常行为的发生情况
1.1.1.5 安全风险联动
网络的风险无处不在,在实现安全风险可视化的基础上,下一步的动作就是针对风险报警采取相应的动作阻断攻击或威胁。而如何实时防范和抵御安全风险,最有效的手段还是能够将安全管理平台与现网部署的安全设备联动起来,实现风险的自动防御和应急响应。
1.1.5 不同网络互联互通
XXX现有6张网之间存在数据交互需求,根据系统业务要求和等级保护要求,两网之间部署网闸,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等,严格控制数据在不同网络以及不同安全等级系统之间的流动。
5 安全管理体系设计
安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计,计划通过XXX和专业安全服务共同实现:
l 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,定期或不定期对安全管理制度进行评审和修订,修订不足及进行改进。
l 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由监所主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
l 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
l 系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
l 系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
6 安全运维体系设计
新华三根据用户当前安全运维需要和安全技术保障需要提出与信息系统安全总体方案中运维部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全运维的同步建设,具体活动内容包括:
结合系统实际安全运维需要和本次技术建设内容,确定本次安全运维建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全运维设计的内容主要考虑:日常安全运维、事件应急响应、安全咨询与评估、系统加固与培训等。
