Xx
信息安全等级保护(三级)建设方案
目录
1. 前言 (3)
1.1 概述 (3)
1.2 相关政策及标准 (3)
2. 现状及需求分析 (5)
2.1. 现状分析 (5)
2.2. 需求分析 (5)
3. 等保三级建设总体规划 (6)
3.1. 网络边界安全建设 (6)
3.2. 日志集中审计建设 (6)
3.3. 安全运维建设 (6)
3.4. 等保及安全合规性自查建设 (6)
3.5. 建设方案优势总结 (7)
4. 等保三级建设相关产品介绍 (9)
4.1. 网络边界安全防护 (9)
4.1.1 标准要求 (9)
4.1.2 明御下一代防火墙 (10)
4.1.3 明御入侵防御系统(IPS) (13)
4.2. 日志及数据库安全审计 (15)
4.2.1 标准要求 (15)
4.2.2 明御综合日志审计平台 (17)
4.2.3 明御数据库审计与风险控制系统 (19)
4.3. 安全运维审计 (22)
4.3.1 标准要求 (22)
4.3.2 明御运维审计和风险控制系统 (23)
4.4. 核心WEB应用安全防护 (26)
4.3.1 标准要求 (26)
4.3.2 明御WEB应用防火墙 (27)
4.3.3 明御网站卫士 (30)
4.5. 等保及安全合规检查 (31)
4.5.1 标准要求 (31)
4.5.2 明鉴WEB应用弱点扫描器 (32)
4.5.3 明鉴数据库弱点扫描器 (34)
4.5.4 明鉴远程安全评估系统 (37)
4.5.5 明鉴信息安全等级保护检查工具箱 (38)
4.6. 等保建设咨询服务 (40)
4.6.1 服务概述 (40)
4.6.2 安全服务遵循标准 (41)
4.6.3 服务内容及客户收益 (41)
5. 等保三级建设配置建议 (42)
1.前言
1.1概述
随着互联网金融的快速发展,金融机构对信息系统的依赖程度日益增高,信息安全的问题也越来越突出。同时,由于利益的驱使,针对金融机构的安全威胁越来越多,尤其是涉及民生与金融相关的单位,收到攻击的次数日渐频繁,相关单位必须加强自身的信息安全保障工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升我国重要信息系统整体信息安全管理水平和抗风险能力。国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,涉及到政府机关、金融等核心信息系统,构筑至少应达到三级或以上防护要求。
互联网金融行业是关系经济、社会稳定等的重要单位,等级保护制度的确立和实施,无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看,在重点行业、单位推行等级保护制度是关系到国家信息安全的大事,为确保重要行业和单位的等级保护信息系统顺利开展实施,同时出台了一系列政策文件来规范、指导和推动风险评估工作的进行,等级保护也积极响应各种标准和政策,以保障重点行业信息系统安全。
1.2相关政策及标准
国家相关部门对等级保护安全要求相当重视,相继出台多个信息安全相关指导意见与法规,主要有:
《中华人民共和国计算机信息系统安全等级保护条例》(国务院147号令)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303)
《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》
《GB/T20984—2007 信息安全技术信息安全风险评估规范》
《GB17859-1999 信息系统安全等级保护测评准则》
其中,目前等级保护等保主要安全依据,主要参照《GB17859-1999 信息系统安全等级保护测评准则》和《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》,本
方案亦主要依据这两个标准,以其他要求为辅,来建立本技术方案。
2.现状及需求分析
2.1.现状分析
xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台,实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化,为xx 管理工作提供全面的系统支持。该系统定级为安全保护等级三级,通过第三方测评、整体分析与风险分析,xx业务系统中存在与国家等级保护三级标准要求不符合项。
2.2.需求分析
为了满足达到国家GB/T 22239-2008《信息技术信息系统安全等级保护基本要求》相应的等级保护能力要求,xx业务管理系统启动等级保护安全整改工作,以增强系统的安全防护能力,有效抵御内部和外部威胁,为切实达到国家及行业信息安全等级保护相应要求,使xx业务管理系统在现有运行环境下风险可控,能够为xx客户及内部各部门提供安全、稳定的业务服务。
本次方案结合初步检查报告,由于xx业务系统只采用防护墙进行安全防护措施,针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处,建议部署相关安全防护设备,结合安全管理制度,将满足相应的等级保护防护能力。
一、安全防护:安全防护设计网络安全、主机安全等多个测评内容,针对所发现的安全问题风险中,如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。
二、审计分析:审计分析在三级等级保护要求中,占据重要地位,涉及网络安全、主机安全、应用安全等诸多环节,xx业务系统在第三方审计相关建设上缺乏必要手段,并且对部分重要系统的安全现状难以了解,加强系统安全检测能力,和审计分析能力十分必要。
三、安全运维:安全运维管理涉及网络安全、主机安全、安全运维管理,在所发现安全问题风险中,对远程设备进行双因子认证,实现特权用户分离,对网络用户的接入访问控制,敏感资源的访问控制等,可通过加强安全运维管理和部署相应管理设备加以解决。
四、管理制度:管理制度的完善,在等级保护建设中具有非常重要的意义,通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足,从管理制度整体协助满足等级保护的相关要求。
3.等保三级建设总体规划
根据现有安全形势特点,针对三级等级保护的各项要求,需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设,选择典型安全系统构建。
3.1.网络边界安全建设
在网络边界处需加强对网络防护、WEB应用防护措施,通过相关的网络安全设备部署核心链路中,按照信息安全等级保护标准进行建设。
3.2.日志集中审计建设
数据库审计系统为旁路部署,需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口,如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。
综合日志审计系统为旁路部署,仅需要将系统分配好IP地址,对各型服务器、数据库、安全设备、网络设备配置日志发送方式,将自动收集各类设备的安全日志和运行日志,进行集中查询和管理。
数据库弱点扫描器部署在专用电脑上,定期对数据库进行安全检测。
3.3.安全运维建设
将运维审计与风险控制系统放置与办公内网,并设定各服务器、网络设备、安全设备的允许登录IP,仅允许运维审计与风险控制系统可登录操作,运维和管理人员对各类服务器、网络设备、安全设备的操作,均需先得到运维审计与风险控制系统的许可,所有操作均会被运维审计与风险控制系统审计下来,并做到资源控制的设定。
3.4.等保及安全合规性自查建设
为提高核心业务系统内部网络安全防护性能和抗破坏能力,检测和评估已运行网络的安全性能,需一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决措施,通过远程安全评估系统实现网络及系统合规性自查;
为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求,平衡信息系统安全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全,需提供一套针对基线配置的安全检查工具,定期检查其配置方面的与安全基准的偏差措施;
核心业务系统的信息安全等级保护建设过程中,以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测,根据结果和整改措施进行信息安全建设。将工具箱的检测报告
和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程,整改完成不代表信息安全建设工作完成,可利用工具箱进行不断的自检自查。
3.5.建设方案优势总结
通过安全运维、安全防护、审计分析、安全制度四部分的部署加固,满足事前检测(数据库弱点扫描器)、事中防护(明御WEB应用防火墙、运维审计与风险控制系统)、事后追溯(明御综合日志审计系统、明御数据库审计与风险控制系统)的安全要求,结合安全服务对管理制度的完善,提供对重要信息系统起到一体化安全防护,保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。
一、通过部署事前检测工具,依据权威数据库安全专家生成的最全面、最准确和最新的弱点知识库,提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的部署,可以定期对WEB应用和数据库进行安全检测,从而发现安全问题及相关隐患后能够及时修补。
二、通过部署事中防御设备,针对黑客的恶意进行全方位的攻击防护,防止各类对网站的恶意攻击和网页木马等,确保网站安全健康运行;同时采用智能异常引擎及关联引擎准确识别复杂攻击,有效遏制应用层DDOS攻击,依靠高速环境下的线速捕获技术实现100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据,可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙的部署,实现核心业务系统、应用的攻击防护,确保所定级的核心业务系统安全健康运行。
三、通过部署事后追溯设备,一方面采用独有的三层审计的数据库审计设备实现WEB 应用与数据库的自动关联审计,并提供细粒度的安全审计,实时监控来自各个层面的所有数据库活动,包括数据库操作请求、返回状态及返回结果集。另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计,并可以进行行为的还原和回放。
四、通过加强管理制度的建设,利用第三方安全公司长期在等级保护中的经验及专业的测评工具,帮助客户快速的对业务系统进行专业的自查并提供评估报告,以便客户后期更高效的通过等级保护测评,减少因自身经验不足而产生的测评不通过的风险,减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验,完善自身规
章制度,摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。
针对客户在等级保护建设中管理制度的经验不足,提供合规性制度解决方案,协助客户一起加强信息安全管理制度建设,并顺利的通过等级保护。
4.等保三级建设相关产品介绍4.1.网络边界安全防护
4.1.1标准要求
4.1.2明御下一代防火墙
明御下一代防火墙DAS-NGFW是安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于IP 和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为
网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。
1)功能说明
2)客户收益
在复杂环境下提供给用户网络安全管理,基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况,进而尽早的确认威胁并采取干预措施,实现主动防御,具备
对数据的收集集中能力以及智能分析能力
全面、多维的识别应用中安全风险,进行全天24小时的安全扫描和防护,当发现攻击威胁时及时阻断并审计记录,保障用户的应用安全无忧
识别未知应用的安全风险,面对来自世界各地、随时随地涌现的新类型、新应用,提供一种机制,去第一时间识别和控制应用,保障用户网络每一秒都不会暴露在网
络威胁之下。这就要求其必须要具备应用自定义的能力
4.1.3明御入侵防御系统(IPS)
1)产品介绍
安恒明御入侵防御系统(简称:DAS-IPS)是用于实现专业的入侵攻击检测和防御的安全产品。主要部署在服务器前端、互联网出口以及内网防护等用户场景中,广泛适用于政府、企业、高校等行业。
安恒DAS-IPS采用专业的高速多核安全引擎,融合安恒的安全操作系统,全面实现网络入侵攻击防御功能,除了提供4000+的攻击特征检测还提供专业的Botnet检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力,为用户业务的正常运行和使用提供可信的安全保障。
2)功能介绍
3)客户收益
为用户提供全面的L2-L7入侵防御,能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击;封堵主流的高级逃逸攻击;
为用户提供领先的入侵检测技术,采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御;采用协议异常检测机制,
对数据包进行完整性检查,从而阻止经黑客伪造不符合标准通信协议规范的数据包
进入企业内部网络采用
为用户提供专业的Botnet检测和防御,提供业界最完整的Botnet特征数据库,含C&C(命令及控制)特征库和Real-time Black List(实时检测黑名单)库 具备强大的安全管理,在可视化管理方面,提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能,在高可用性方面,支持软硬件Bypass功能和HA
功能。
4.2.日志及数据库安全审计4.2.1标准要求
4.2.2明御综合日志审计平台
1)产品介绍
信息安全等级保护中具有审计中心的概念,相关要求:审计中心包括两个应用程序,审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量统计信息、主机操作系统审计信息、应用系统审计信息等等,并且可以查询审计信息历史数据,并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限制不同级别的用户查看不同的审计内容,并且具有一定的自身安全审计功能。
安恒明御综合日志审计系统就是一种审计中心。通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。
通过部署明御综合日志审计系统,可以实现:
资产监控:可以按照监控的设备类型,对主机系统、数据库、中间件和安全设备进行实时监控,包括 CPU、内存、磁盘等关键运行指标。并对根据各个设备的特点,设置了相应的阀值,一旦超出阀值,及时进行性能异常报警。
告警收集和日志采集:通过 SYSLOG、SNMP TRAP 、SNMP轮询、XML、FTP、HTTP、TELNET/SSH、SOAP、JMX方式、Sockets、Files、专用代理程序等方式从主机系统、数据库、中间件和安全设备按照一定策略收集原始日志数据。
关联分析生成安全事件:采用安恒自主设计的避免事件误告与漏告的核心关联分析策略,大幅度提高安全事件的准确性。关联分析主要采用基于统计的关联和基于规则的关联。
详细的安全报警展现:通过平台的安全报警分析功能,可以看到平台针对收集上来的原始日志,经过实时归并、分析后的结果。包括:报警名称、类型、等级、 IP地址、 IP对应的责任单位、聚合数量、发生时间等。平台针对所有的 IP地址,和资产管理中的责任单位自动进行关联,在安全报警分析中实现将 IP地址定位到责任单位,从而为后续的以责任单位进行宏观统计与分析提供了依据。
2)功能介绍
全面日志采集:全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。
大规模安全存储:内置T级别存储设备,可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十分合适等保、密保等行业的应用要求。
智能关联分析:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网
络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
脆弱性管理:能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果,并实时和用户资产收到的攻击危险进行风险三维关联分析。
数据挖掘和数据预测:支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
可视化展示:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。
分布式部署和管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。
灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。
其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。
3)客户收益
为用户IT网络设备、安全设备、主机和应用系统日志进行全面的标准化处理
及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保用户业务的不间断运营安全;
为用户提供全维度、跨设备、细粒度的关联分析、可信赖的事件追责依据和业务运行的深度安全
提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况
4.2.3明御数据库审计与风险控制系统
1)产品介绍
数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、
安全事件回放、审计对象管理、多形式的预警机制、系统配置管理”几个部分。
2)功能介绍
丰富的协议支持
细粒度的操作审计
多层业务关联审计