中软华泰等级保护整改解决方案概述
2009-08-24
1.等级保护方案设计背景
随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,已引起各界的关注。
由于信息系统的安全保障体系建设是一个极为复杂的工作,为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多,结构复杂,覆盖地域广阔,涉及的行政部门和人员众多,建设起来困难重重,信息系统安全一直停留在网络安全的建设,但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。
信息安全是国家主权、政治、经济、国防、社会安全和公民合法权益保障的重要保证。
2.信息系统安全需求分析
具体定级情况:根据客体被侵害的程度所造成的影响大小对系统进行划分级别,根据GB17859-1999按照安全性由低到高的顺序,规定了计算机系统安全保护能力的五个等级,即:
第一级,用户自主保护级;
第二级,系统审计保护级;
第三级,安全标记保护级;
第四级,结构化保护级;
第五级,访问验证保护级。
我国2007年开展了全国范围的信息系统等级保护定级工作,所有的信息系统也根据其重要性分别被评定了级别,并在公安部办理了相关的备案手续。
中软华泰在进行信息系统安全需求分析时,对客户的现有信息系统定级情况、现状描述、安全现状、定级信息系统安全防护能力的要求与信息《国家重要信息系统等级保护基本要求》(以下简称《基本要求》)对比进行差异性分析,进行下一步的科学的设计。需求分析流程为:信息系统定级情况→信息系统现状描述→信息系统安全现状描述→定级信息系统安全防护能力要求→信息系统与《基本要求》差异性分析。
3.信息系统安全等级保护总体设计
方案设计原则:在建设过程中,遵循统筹规划、深度防御,统一标准、统一规范,自主产权、国产为主,强化管理、注重技术的原则。
总体技术框架:信息系统等级保护安全建设的思路是根据分级分域的原则,按照一个中心下的三重防御体系,建设具有自己特色的信息安全等级保护深度防御体系。
一个中心和三重防护体系:按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护,构成由安全管理中心支撑的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。
站系统安全架构设计:根据现有系统情况,根据设计技术要求进行架构设计。
物理安全建设:依据《基本要求》中对物理安全的要求,信息系统的物理安全建设从环境安全、设备安全和介质安全三个方面实施。
安全管理建设:“三分技术、七分管理”,安全管理和技术相辅相成。以《基本要求》为标准,结合目前信息系统安全管理体系的现状,对信息系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。
灾难与应急响应:为提高网络安全应急响应能力,对可能发生的信息网络系统的突发安全事件进行快速反应和恢复,最大即度地控制和减轻事件所带来的影响,需要制定应急响应预案。
4.信息系统安全等级保护技术设计方案
1)方案设计思想
a)构建符合信息系统等级保护要求的安全体系结构
b)建立科学实用的全程访问控制机制
c)加强源头控制,实现基础核心层的纵深防御
d)面向应用,构建安全应用支撑平台
2)结合设计技术要求进行一个中心下三重防护体系的信息系统的整体建设。
结合技术要求的三权分立原则使管理者互相监督互相制约。
中软华泰信息系统安全等级保护技术设计方案:
·HuaTech终端安全保护系统在现有Windows、Linux操作系统基础上,强化了其身份鉴别、数据保密性保护、系统完整性保护以及行为审计机制,增加了强制访问控制、边界保护机制,为全面防内提供了基础。
·恶意代码无法入侵终端
·安全机制无法被旁路
·非授权用户无法登录终端
·非授权终端无法接入系统
·重要信息无法被窃
·恶意代码无法入侵终端
·网站防护产品:解决了Web网站防篡改、防恶意代码攻击问题
·应用级防火墙:解决了SQL注入攻击、防跨站攻击、抗Dos攻击、抗端口扫描、双机热备
·职责分离管理,由安全管理中心统一对计算环境、区域边界、通信网络的全程访问控制进行指定安全策略机制。
5.信息系统安全等级保护管理安全建设
从经营者的角度来看,技术层面和管理层面必须相互结合、配合良好,其中,尤其需要强调管理的重要性,以“七分管理,三分技术”的配比来建设信息系统的安全体系,这样,才有可能构建健康的信息系统安全体系。技术层面通过安装部署相应的安全产品实现,管理层面则通过落实制度和人员培训等手段实现。
|
