《粮库智能化升级改造项目系统安全设计方案.docx》由会员分享,可在线阅读,更多相关《粮库智能化升级改造项目系统安全设计方案.docx(16页珍藏版)》请在课桌文档上搜索。
1、粮库智能化升级改造项目系统安全设计方案服务于整个实施解决方案上的信息安全控制,其目的在于提供安全、可靠的解决方案,从而为项目建立安全的基础,预先协调应用软件、系统和网络间的安全控制能力,并确保系统在一定接入水平上的机密性、完整性和可靠性。1.1.1数据中心安全(1)线路安全保障单线路、单设备的结构很容易发生单点故障导致业务中断,因此对于提供关键业务服务的信息系统,应用访问路径上的任何一条通信链路、任何一台网关设备和交换设备,都采用可靠的冗余备份机制,以最大化保障数据访问的可用性和业务的连续性。为防止单点线缆故障,系统网络主干链路和网络设备以及服务器等均采用冗余线路部署,对于主干网的边界防火墙以
2、及内部重要安全域的交换机、边界防火墙、负载均衡、入侵防御等系统,均采用冗余热备的部署方式,以提升网络系统的整体容错能力,防止出现单点故障。此外,对于系统外部用户接入链路,建议也采用冗余备份,以防止单条链路一旦发生故障而导致业务中断。(2)网络设备自身防护网络核心交换设备和路由设备的配置信息进行人工检查,对于存在安全隐患的配置进行修改,主要关注以下方面:登录口令安全策略:应当使用安全的口令策略,制定口令长度、复杂度及生存周期等规则,并对本地保存的用户口令进行加密存放;登录地址控制策略:对重要网络设备进行配置,指定可管理该网络设备的主机地址,只有使用在指定地址范围内的主机方可连接并管理该网络设备;
3、用户身份唯一性策略:对重要网络设备的管理员帐号进行维护,禁止多个管理员共享相同用户名对网络设备同时进行登录和操作;登录及会话安全策略:应当制定登录错误锁定、会话超时退出等安全策略;特权用户权限分离策略:应实现特权用户的权限分离,如配置管理员不应拥有更改或删除操作日志的权限;远程管理安全策略:应当采用HTTPS、SSH等安全远程管理手段,而不应采用不安全的HTTP、Telnet方式进行远程管理;网络管理安全策略:网络设备或服务器采用基于SNMP的网络管理系统进行监控及管理,建议使用SNMPV3版本,必须设定较为复杂的Community控制字段,不应使用“Public、“Private”等默认字段
4、;配置文件保护策略:应当每次更新网络设备或安全设备配置信息后,以及定期进行配置文件备份,防止配置意外更改或丢失。(3)边界访问控制针对内网服务器域、互联网域、省直属机构接入域等边界,建议采用防火墙实现边界访问控制策略,实现边界协议过滤。(4)边界完整性保护服务器区域边界完整性各服务器安全域的接入交换机端口上绑定所连接服务器的MAC地址,并关闭不用的交换机端口。 终端区域边界完整性为了减轻管理员手工监视、管理的负担,并获得更好的监控效果,采用专门的安全产品:终端安全管理系统来提供系统终端接入域边界完整性保护,实现非法外联监控和非法接入监控功能。需要在安全管理域部署终端管理服务器,对接入终端设备进
5、行统一准入认证和安全策略管理,并对接入终端的网络资源访问权限进行严格控制。 非法外联监控为了防止局域网内部的终端用户私自利用无线、拨号等手段上互联网,可通过终端安全管理系统来进行集中监控。一旦发现被监控终端有违规外联行为,可依据预置的策略采取提示、报警、记录、断网或重启等处理动作。 非法接入监控对于非法接入用户,可分为两类:一类是用户冒用他人的地址接入网络进行非法操作,另一类是外部终端私自接入交换机进行非法访问。对于前者,可通过在所有交换机上开启接口安全特性并作MAC绑定来进行控制;对于后者,应关闭所有网络及安全设备的空闲端口,避免外部人员随意接入网络。(5)网络入侵防护在网络接入区域、内网服
6、务器域、运行管理管理域、互联网域、省直属机构接入域等边界处及内部重要服务器区域边界处均应部署入侵检测/防御设备,第一时间发现网络攻击行为能够与防火墙进行联动实施有效安全防护措施,并向管理人员发出报警和产生详细的报告,为网络安全事件的审计追查提供第一手材料。(6)基础设施安全 防雷接地从电源防雷、机房接地、机房内部等电位措施、机房线路电磁波隔离和机房线路分级防浪涌保护等方面对机房进行相应的防雷接地保护设计。防雷等级:CLASSII/C级,820uso温湿度机房室内温度控制在+25C2C范围,相对湿度控制在20%70%范围,有效保障机房运行的标准环境。供电机房供电系统至少2路不同主电强电接入,一路
7、市电、一路UPS供电系统。在市电无法供电的情况下,UPS保证供电5-8小时,以保证各系统正常运行。监控机房配置标准的机房安防监控系统,24小时实时监控机房环境的状态运行情况,保障机房安全运营。门禁机房配备标准的机房门禁系统,严格控制机房大门人员出入情况,实时进行安全防控,保障机房安全运营。消防机房使用标准消防系统,配备各种探测器、灭火器等,保障机房设备的消防安全。(7)数据备份安全备份系统利用当前先进、可靠的数据备份和数据复制技术,建设可管理、可运营的备份服务,为粮库智能化管理平台提供不同等级的备份服务,以保证在灾难发生后能够快速、准确的恢复用户的业务数据和关键应用系统,保障用户业务的连续运行
8、。此外,备份服务可进一步降低项目的成本。1.1.2数据安全在数据安全方面,数据分等级保护安全措施,数据的等级划分是根据数据在其生命周期所有阶段(生成、修改、增加、储存、传输、归档)的敏感性及重要性而将其划分为不同的等级;数据访问在系统安全架构中定义关于数据访问的通用方法,并针对每种应用的数据定义不同的安全要求。需要记录关键数据的访问,进行严格的认证和授权,并进行日志记录;数据管理需要根据有关的法律法规制定相关的数据保留标准和策略,定义各种数据保留的周期和保存方式,并制定数据相关的灾难恢复标准和相关的指标。在数据完整性保护方面,数据完整性是指数据的精确性和可靠性,其中包含以下几个方面:在任何操作
9、(包括传输、存储与访问)过程中数据可保持一致性;数据记录仅为其所指定的用途;数据与操作相关联;保证数据的访问与修改仅限于有相应权限的用户;数据完整性的保障措施应包含数据在存储状态、被访问期间及传输过程中的完整性保障措施。1.13移动应用安全移动应用安全主要从移动用户身份安全、移动终端接入安全、网络通信安全、应用访问控制和移动终端信息存储安全等环节进行综合安全防护,构成多层次、全方位的移动安全接入体系。为移动终端用户提供安全的移动信息安全服务,为用户提供了强有力的数据信息安全支撑。主要解决以下问题:(1)移动接入终端身份安全:通过TF卡usbeky证书/口令用户密码等方式来保证接入终端用户身份安
10、全;(2)网络通信安全:通过高安全算法(SMl/SM2/SM4)对传输通道加密,确保移动接入终端和内网通讯的链路安全;(3)应用安全访问:基于网关的安全访问控制实现不同的接入终端可访问不同的应用。(4)移动终端数据存储安全:对接入终端要求安全高或应用数据极为重要的应用数据不落地,通过移动安全接入网关保证移动终端和内网应用能实时连接且安全访问互访;移动终端从移动应用上下载的文件落地加密存储在终端上,实现移动应用数据的安全存储和交换。1.1.4 信息系统安全技术方案1.1.4.1 物理安全保证信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭
11、地震、水灾、火灾等环境事故和人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全设计主要涉及环境安全、设备安全、媒体安全三个方面,是对信息系统所在环境、所用设备,所载媒体进行安全保护。对于环境安全,机房设计要求符合GB9361-88的A类安全标准,实行分区管理。对于设备安全,主要是设置安全防盗报警装置和监视系统,采用电源保护、防线路截获、防辐射泄漏、防雷电击、利用噪声干扰等措施来保护设备的物理安全和媒体安全,同时通过板卡、设备冗余,保障设备自身的安全性。1.1.4.2 网络安全通过一系列的安全防范措施实现对全网的全面安全防护、安全监测、安全响应与安全管理。通过访问控制、操作系统安全、防火
12、墙系统、网络层数据加密、安全响应和处理等技术实现。信息系统的保护对象和保护层次由外而内包括:1、网络自身防护随着新型攻击手段的层出不穷,网络攻击的目标,也逐渐从网站、客户等网络的客户端,蔓延到网络本身。此类攻击首先总是明确地锁定网络基础设施,如路由器与交换机,在短时间内产生巨大的攻击流量造成上述设备不可用。为了提高信息系统自身的安全防护能力,首先,可采用冗余可靠的网络拓扑结构,运行成熟安全的网络协议,提高网络的可用性、可靠性和安全性。其次,通过加强系统防护,保障网络基础设施的安全性。同时,也可选用支持防DDOS攻击等安全特性的网络设备,提升网络设备自身的防攻击能力。2、网络内部防护网络内部是指
13、内部系统应用服务器、信息系统相关的各管理服务器等所在的内部网络区域。对网络内部的安全防护,首先要实现安全可知性,通常部署入侵检测系统等,用以了解网络的安全状态。其次,是对实现安全可控性,通常部署主机防火墙、病毒防护系统等,保障应用系统的安全可控。3、网络边界防护网络划分安全管理域、应用服务区域,因而存在不同的安全域之间的边界。一般情况下,可在各网络边界部署防火墙、Web安全防护系统等,实现网络边界的安全隔离和控制。1.1.4.3 系统安全系统防护包括主机防护和终端防护。1、主机防护主机防护,通常是通过配置主机防护系统,加强核心主机安全性能,保障业务连续性;可以采用专业的安全加固服务,加强应用系
14、统的安全防护,保障服务形象;采用专业的安全加固服务,加强数据库系统的安全防护,保障数据安全;通过配置网络防病毒系统,加强主机防病毒能力。2、终端防护终端防护通常包括终端防病毒、补丁管理、域管理、终端接入控制等,通过这些系统,加强对终端的规范化管理。1.1.4.4 数据安全业务数据安全性的首要目标是确保:1、数据机密性:只有授权的个人才能查看数据,从而保证数据的机密性,数据不会被非法查看。2、数据完整性:授权用户应该确信数据呈现的数据是正确的并且没有被错误修改过。3、数据可用性:授权用户应该在需要的时候有权访问所需数据。数据库安全措施如下:1、数据库权限控制通过数据库提供的系统权限、对象权限(查
15、询、修改、删除、插入等)来进行控制,并且利用权限角色将相应的权限分类,使得权限管理更加灵活。权限控制需要与一期平台权限管理进行对接,由一期平台统一开发。2、数据库加密对一些敏感的表进行加密,只有校验通过后,才能对这些表进行读写的操作,以免对这些表进行去操作或恶意的修改。3、数据库日志通过利用数据库提供的归档日志分析工具,可以分析数据库数据操作的全部过程,从中发现安全隐患,及时解决。4、数据一致性维护对数据进行严格的合理性校验,提高原始数据的可靠性。通过数据库本身的机制以及程序中的控制来保证数据的完整性和一致性。5、数据库审计通过安全审计记录和跟踪用户对数据库的操作,防止否认对数据库的安全责任。
16、6、数据传输安全对于传输的数据采用对称和非对称的加密技术,对于实时的数据交换采用安全交易的方式保证数据的安全性和完整性。对于非实时的数据交换采用队列的方式传输,保证数据的完整性。在重要数据的传输中还可以采用数据签名技术,防止系统数据的被窃取及篡改,保证信息传输的安全。上述两种数据交换方式都没有对外将数据库放开,保证了业务数据的安全性。7、数据备份与恢复为保证数据的安全,确保在应急情况下的紧急处理,必须对系统的数据采用备份和恢复机制。考虑对业务数据进行备份(包括本地离线、同城及异地备份)。在系统数据出现问题的时候,通过数据恢复系统,对损坏的数据进行恢复。1.1.4.5 应用安全应用系统是整个系统
17、安全要求最高的。1、身份认证用户在使用系统之前必须键入其用户名以及口令来证明其是合法的用户,只有合法的用户才能登录到应用系统。2、角色权限控制系统由很多的功能模块组成,即使对合法用户,也不能操作所有的模块,而是根据用户的工作部门、工作性质授予相应的功能模块。3、应用系统日志日志管理跟踪记录用户登录系统的信息,操作的业务模块以及操作的重要库表的信息,包括用户名称、操作的模块,对重要库表的操作类型(增、册k改)、字段操作前和操作后的数值等。通过日志管理,在发生误操作时可以方便的进行回退处理,而且也可以跟踪一些业务操作员的违规操作。1.1.4.6 运维安全安全运维目标:通过运维安全网关系统的建设为用
18、户单位的系统资源运维人员提供统一的入口,支持统一身份认证手段。在完成统一认证后,根据账号所具有访问权限发布、管理、登录各个主机、网络设备、数据库。系统应根据“网络实名制”原则记录用户从登录系统直至退出的全程访问、操作日志,并以方便、友好的界面方式提供对这些记录的操作审计功能。系统应具备灵活的管理和扩展能力,系统扩容时不会对系统结构产生较大影响。系统应具备灵活的授权管理功能,可实现一对一、一对多、多对多的用户授权。1.1.5 信息系统安全管理方案1.1.5.1 安全策略体系安全策略是贯彻信息安全方针的基础文件,是机构对信息安全要求的书面表达,具有普遍约束力。安全策略可以是多种具体呈现形式,可以包
19、括各种安全制度、管理办法、操作流程、配置标准、实施指南等。建立层级化的安全策略体系,总体而言,安全策略包括如下内容:1、国际标准和国家标准:包括ISOITU等国际标准,国家原信产部相关标准,国家公安部相关标准,以及电信行业相关标准等。2、机构标准和策略:包括本机构发展战略相关的安全维护和发展策略,以及机构内部制定的相关安全标准。3、安全规定、流程和操作手册:用于指导安全建设和安全运维的相关流程和规定,以及指导具体运维的操作手册。4、其它安全资料:包括用户安全服务协议、培训资料等。加强安全策略体系的管理,确保机密信息不泄漏,落实相关策略,并加强对策略执行情况的监督。1.1.5.2 安全组织体系为
20、了确保信息系统安全保障体系的顺利实施及运行,需要在条件合适的时候建立合适的安全管理组织框架,以保证在组织内部开展和控制信息安全的实施。安全组织体系的建设主要包括如下内容:设立具有管理权的适当的信息安全管理委员会来负责领导安全保障体系的实施;建立网络安全管理机构;设立提供信息安全建议的专家小组,并与组织外部安全专家的联系;对管理机构的人员,应根据其岗位性质,定期进行相关的安全培训;建立一支应急支援技术队伍,对应急情况进行支援。1.1.5.3 安全运作体系安全运行体系是通过制订安全管理制度来保障整个网络的运行的。整个网络的建设、运行、维护、管理都要严格按照制度执行,须建立一个统一的管理部门,明确责
21、任权利,规范操作,加强人员、设备的管理,以保障网络的稳定、高效、安全运营。1.1.6 信息安全建设方案设计1.1.6.1 方案设计目标三级系统安全保护环境的设计目标是:落实GB17859-1999对三级系统的安全保护要求,在二级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得信息系统的等级保
22、护建设方案最终既可以满足等级保护的相关要求,又能够全方面为信息系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。1.1.6.2 方案设计框架根据信息系统安全等级保护基本要求,分为技术和管理两大类要求本方案将严格根据技术与管理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型,根据信息系统等级保护安全设计技术要求,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的5个方面。信息系统的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定,因此,对某一个定级后的信息系统的安全保护的侧重点可以有多种组合。对于3
23、级保护系统,其组合为:(在S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3选择)。信息系统的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护。因此,安全域划分是进行信息安全等级保护的首要步骤。需要通过合理的划分网络安全域,针对各自的特点而采取不同的技术及管理手段。安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。