《信息安全等级保护三级建设方案.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护三级建设方案.docx(21页珍藏版)》请在优知文库上搜索。
1、Xx信息安全手缎保护(三级)虚设方案目录1. 访方31.1 概述31.2 相关政策及标准32. 现状及需求分析51. 1.现状分析52. 2.需求分析53. 等保三圾It设总体规划63.1 网络边界安全比谀63.2 日志集中审计建谀63.3 3.安全达维建设63.4 答保及安全合规性白米建设63.5 迂设方案优瞥总结74. 寺保三级速设相关产品介绢94.1 阿热边界安殳仿航94.1.1 标渔委求94.1.2 明抑下一代仿火战104.1.3 明抑人收仿砌系悦(IPS)134.2.日志及敬媒洋安全审计154.2.1标渔委未154.2.2呻抑捺合H志审计平台174.2.3明柳数据库审计与风检拄制系统
2、194.3. 安全运雄审升224. 3.1标虺耍米225. 3.2吼抑运慢审计和风检控制系统234.4. 核心WEB应用安全防妒264.4.1 标论安求264.4.2 3.2明抑WEB应用防火险274.4.3 觇抑网站卫士304.5. 寺保及安全合规检查314.5.1 标准安求314.5.2 5.2明笠WEB应用弱点打描器324.5.3 明笠敦据库嘉点扫描3344.5.4 5.4明某远包安全评佶系统374.5.5 明宓信息金等级保护捡查工具箱384. 6.等保速设咨询服务404. 6.1服务概述405. 6.2安全服务遗钠标准416. 6.3服务内容及客户敢及415. 等保三圾虚设配置虔议42
3、前1. 1概述穆孙互联网金融的快it发展,金枕构对信息系统的依戟幅度日益增高.信息安全的问魅也越来垓突出.同时.由于利拉的驱使,针时金融机构的妥全威胁越来越多,尤其是涉及民生与兔椒相关的单位,收到攻击的次我日渐诙繁,相关单位必须加强自务的信息安全保障工作.建立先杏的安全机制来抵卿将来和内在的信息安全威胁.为提升我国玄要信息系统终体信息安全管理水平和抗风陡健,力,国率公安部、保宏局、国宰资吗管理局、国务陀信息化领导小蛆办公室于2007年我合i布861号文件关于开展全国支要信愿系统安全导火假护定圾工作的通知和信息安仝等缄保护管理办法,要求涉及国计民生的信息乐烧应达到一定的安全曾皴,根据文件忖种和寺
4、级划分的殷训,涉及到政用机关、金融等核心信息系统,构筑至少应达到三级或.以上防护要未。互联同金融行业是关东及济、社会稳定等的支委单(1,等级保护制度的瞄立和实达,无疑对互联冈金融单位加快自身信安全虐议共有前喙性、系统性的指导毒义.从国家层田上看.在点点行业、单住推行寻汲保将$4度式.关系列国家憎息安金的大事.为矶保更要行业和单位的等级保护信息系统叔利开照实施,同时出台了一系列政策文件来规范,、指导和粗劲风险评估工作的进行,等级保护也枳极响应各林标港和政发,以保障支点行业传息系悦安全.1.2相关政袋及珞发国家相关部门对等级保护安全要求相当史祖.相继出台多个信息安全相关指导感山与法姆.土冬在:中华
5、人K共和国计算机信息系统安全等保护条例3(国务虎147号令)关于推动信息安全寻见保护测评体系建设和开展等次测评工作的通知(公信安2010)303)6GB/T22239-2008信息安全技术信息系统安仝等级保护基本娶东tt中,目前等级保护等嵌主要安全依据,上要冬期6GB178597999优息系统安全导火保妒制评准购和CGB/T22239-2008信息安全技辰信息第统安全导彼保护基本要求瓦本方堂亦主要依据这两个标浪,以其他要求为辅.来建立本技术方案。2. 现状及需求分析2.1. 观状分析XX核心亚分系统为互联冈客户提供在伐业务以及准下业务史抖。通过该系统平台,实或互取同金融业务信息全面融合、集中管
6、崖、内部管院的流程化、标溶化和信息化,为XX管理工作提供全面的东统支再。该系统定统为安全保护等城三级,通过第三方测评、整体分析与风除分析,XX业务系统中存在与国家寻饯保护三级标点要求不杼合项.2.2.需求分析为了满足达到国家GB/T22239-2008信息技术信息系统安全等级保护基本要求相应的号场保护施力要求,XX业务管理系统启动等俄保护安全终改工作,以增张系统的安全防护能力,有效抵加内部和外部威胁,为切实达到国家及行业怙息安全等蚁俵护相应安未,使XX业务菁理系统在现有运行环境下风险可控.能够为XX客户及内部各部口提供安全*自定的业务服务.本次方案结合初步检查报告,由于XX业务系统只采用防护堵
7、进疔安全昉护措施,什对安全运段管理、应用层安全防护、第三方日志审计、自理制度等方面的薄题之处,建议部普相关全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。一、安全防护:安全伤护谟计网络安全、主机安全导多个溜评内容,什对所发J1.I的安全问题风险中.如网络边界未部罟防芯急代蚂设各.可通过对定点系统的网络边界部者相应的安仝防护设备来进行解决。二.审计分析:审计分析在三纨等纨保护要求中,占据也要地位,涉及网络安全,主机安全、应用安全等港多环节,XX企务乐统在不三方审计相关建设上我之必委手段,异R对部分受臭系统的安全现我雌以了解,加强系统安全检测能力,和审计分析能力十分必要.三、关全运维:
8、安全运维管理涉及网络安全、主机安全、安金运维款理.4所发现安全问题及陵中,时诋程设备进行双四子认证,实现挣权用户分离,咐网络用户的接入访问控配.敏感贵源的访向控制等,可通过加张安全运摊雷理和部署相应管理谈各加以解决。四、管理制度:管理制度的先.在寻织保厅建议中具有非常更要的意义,通过第三方专业人员的现场指导、协助也理制度的完善、你朴安全也理制度中的不足,从管理制度整体悔功满足等级保护的相关要求。3.得保三级速设思体煌划根据现有安全格势特点,41对三级等级保护的各项委未,需41对旧络边界安仝、日志集中审计、安全运维、合规性自攵四个层面进行虐谀.选杼典型安全系统为独。1. 1.同络边界安仝建设在同
9、络边界处需加强时网络防护、WEB应用防护措施,通过犯关的网络安全设备部署核心他路中.按然信息安全菁次俵护标准进行Iii攵.3. 2.日志集中审计建设数据原审计系统为旁路部畜.需要将客户端请求数据应的的数据和软据庠运匐裕客户就的数招双向猊像到一个交拽机推U作为数招库审计议备的表集口,如冬同时审计WEB应用的访问请求等同样需要杷数据送行馍便。先合a志审计系统为旁路部畜.仅需要将系统分业好IP地址,对各型服务法、据,隼、安全设备、络设备史五日志发送方式,将自动取集各矣设备的安全日志和运行日志,遗行集中爻询和管理.数招库加点拘描器部署在专用电肺上,定期对数据库造行安全检测。3. 3.安全运维建设将运蚊
10、审计与风险控制系统放式与办公内网,并设定各账务23、网络设备、安全设各的允许会求IP.仅允许运维卬计与应位控制系统可叠录操作.运维和廿度人员对各英极多话、网络设备、安全设备的操作,均需先得到运投审计与风段控制系统的许可,所有操作均会被运故审计与风检控制系妮审计下来.并做到资源控制的设定。3.4. 等依及安仝合娓性自查建设为提高核心业务系统内都阳洛安全防护性能而技破坏能力,检测和评估已运行叼络的安全姓施.常一种枳极支动的安全防护技术,提谯了对内部攻击、外部攻击和谈操作的实时保护,在网热东妮,仝到危害之圻可以提供安全防护解决柑:,通过远程安仝评估乐境实现巧络及系统合规性白生:为对核心业务系统提供配
11、更安全保证.高足监管单Ii及行业安全要求,平期信息系统安全付出版本与所籍够承受的安全风险,遵行信息安仝茶皴保护中对网络、主机、应用及数抵四个安全勺i城的安全,常提供一您针对基准配J1.的安全检狂工具.定期检走*业置.方面的与安全基沼的偏息指渔:核,”生务系统的怙息安全答蚁保护虚设过程中,以及在正式测评之前徐利用怙息安全等汲保护检查工具箱进行自测,机据结果和终改措施逝行信息安全Iti攵.将工具罚的检测报告和些改措施述议作为终改的依现和参考的标准.由于信息安全M个动态的过程,槃改究成不代表信息安全建设工作完成,可利用工具笳进行不断的自检自查。3.5. 比设方爱优努忌懿通过安全运维、安全济胪、审计分
12、析、安全制度四郃分的部片加固,满足事前检测(数挥库筋点扫描2)、事中防护(明抑WEB应用防火堆、运维审计与风险校制系统)、事后追溯(明和拧合日志审计系统、明御数据库审计与风险找$,系统)的安全要求.站台安全服芬对管度制度的完善,栈供时空笑信息系婉起到一体化安仝仿护,保证了核心应用和立委数据的安全。满足三级等级保护计相关检测项目的要求.一、通过部署事前检测工具,依弱权威钛捱库安全专家生成的泰全面、豉*厮和最新的筋点知识霹,提供时我据扉“晶点、不安全配置、晶口令、扑丁”等冰层次安全检测及港确评估。通过WEB应用弱点扫描式及明基依据用西*扫描云的部署,可以定期对WEB应用和数据库进行安仝检测,从而发
13、现安全问题及相关摩患后能,够及时修补.二、通过部署事中防加设备,什对赛窖的连意送行全方便的攻击防护,防止各笑对网站的志曲攻击和网页木马等,确保网站安全健康运行:冏时家用智能芹常引擎及关嵌引擎准隔识别复奈攻击,有败通骷质用乐DoOS攻击.依靠高建环境下的线建捕获技术实现100%的敦据秫获.通过事件忖放为安全事件的快速佥询与定值、成因分析、成任认定提供有力证据,可采取壶连或者旁路部者模式.在无需史及现有网络结构及应用配改的情况下,可以讨用站应用实时发控。通过网络安全网关、IPS、WEB应用防火城的部署,实现核心业务系统、应用的攻击厉护,瑞保所定级的核心业务系统安全健覆运行。三、通过部后事后追溯设备
14、.一方而采用独有的三层串升的数据博审计设备实现WEB应用与数据庠的白切关发审计,并提供细粒度的安全审计,实计长控来自各个房面的所有效期库活动.包括数据库操作请求、返回状态及返回结果集.另一方面通过雉合日志审计平台时客户内络谈都、安全设备、土机和应用乐境日志进行仝面的标净化处崖,及时发现各种安全威胁、异常行为事件,为节理人员提供全局的视角,确保客户业务的不间断运拶安全。通过找胡库审计与风险控制系统及观令日志审计系统实现同他谀备、安全改善、敦现今储、WEB应用、坡或霹、主机及其它软收件资产的E1.志审计,并可以进行行为的还原和回放。四、通过加强管理制度的比设,钊用第三方安全公司长期在等级保护中的珏
15、验及书业的掰奸工具,帮助客户快建的对业务乐院进行专业的自查并提供评估报告,以便客户后期更高效的道迂曾统保护测评,减少国白身及脸不足而产生的测评不通过的收检,减少在时刈与兔技方面的抬失.客户可以依托第三方安全公司在信息安全令规姓电谀中的经脸,兜耳自身现聿制度.接代繁琐的制度令视J1.W查并切实有效的提高自身管理小品。什对客户在等缎保护建设中管理制度的经敢不足,槎供合规性制度,移决方赛.伊助客户一起加强信怎安全节理制度建设.并顺利的遇过等级保护。页面显示到用户端并将篡改事件及时告警10WEB应用加速采用WebCaChe技术对防护的网站送行加速,通过对肝态文件的废存技术,动态请求的TCP连拄复用技术实现了网站访何速度的能升11WEB贞载均衡WAF实现对防护站点的轻量圾货代均衡,有效的城解了因单台展务3可能存在单点故障的情况.从而实现了网站不间断被务12站点访问审计对同站的访问情况过行统计分析呈现即时访何也外33、用户靛关注的网页、访问者敞条中的地市区域等信息,便于