根據國家網絡**保護法以及國標《信息**技術網絡**等級保護基本要求》(GBT22239-2019)的要求��,結合業務**需求特點��,遵循適度**為核心����,重點保護保障關鍵業務���,以技術�、管理、服務并重���、標準化和成熟性為原則,從多個層面進行建設�,構建以**管理體系和**技術體系為支撐的信息**體系��,使指揮信息系統在網絡**、主機**�����、數據**、應用**��、管理**各個層面應達到信息**技術網絡**等級保護基本要求��,為信息系統業務的運行提供網絡**保障����。
1�、信息系統**等級定級
根據國家標準《GB∕T 28448-2019 信息**技術網絡**等級保護測評要求》有關要求�,結合系統實際情況,來確定系統主要業務信息**保護等級���。
|
系統服務被破壞時所侵害的客體
|
對相應客體的侵害程度
|
|
一般損害
|
嚴重損害
|
特別嚴重損害
|
|
公民、法人和其他組織的合法權益
|
***
|
**級
|
**級
|
|
社會秩序���、公共利益
|
**級
|
第三級
|
第四級
|
|
國家**
|
第三級
|
第四級
|
第五級
|
|
|
|
|
|
系統屬于為國計民生、經濟建設等提供服務的信息系統�,根據其服務范圍等����。業務信息遭到破壞后����,所侵害的客體是公民、法人和其他組織的合法權益�,同時也侵害社會秩序和公共利益但不損害國家**����?����?陀^方面表現得侵害結果為:
(1) 可以對公民��、法人和其他組織的合法權益造成侵害(影響正常工作的開展,導致業務能力下降���,造成**影響,引起法律糾紛等)�;
(2) 可以對社會秩序公共利益造成侵害(造成社會**影響���,引起公共利益的損害等)����。
根據《定級指南》的要求�����,出現上述兩個侵害客體時,優先考慮社會秩序和公共利益��。上述結果的程度表現為:對社會秩序和公共利益造成嚴重損害���,即會出現較大范圍的社會**影響和較大程度的公共利益的損害等�。由于侵害的客體有兩個,侵害的程度也有兩個,則業務信息**保護等級應為第三級。
|
系統服務被破壞時所侵害的客體
|
對相應客體的侵害程度
|
|
一般損害
|
嚴重損害
|
特別嚴重損害
|
|
公民、法人和其他組織的合法權益
|
***
|
**級
|
**級
|
|
社會秩序����、公共利益
|
**級
|
第三級
|
第四級
|
|
國家**
|
第三級
|
第四級
|
第五級
|
|
|
|
|
|
信息系統的**保護等級由業務信息**等級和系統服務**務安等級的較高者決定���。所以��,系統**保護等級應為第三級。
1. 對應國家三級等級保護的措施
|
三級等級保護的主要技術要求
|
方案采取的措施
|
|
網絡結構**:應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段�����;
|
IPS技術����、防火墻技術,實現重要網段和其他網段的邏輯隔離。MPLS VPN/設備冗余/vlan 技術隔離/帶寬保障(ACG)�����,需下一代防火墻���、下一代防火墻的IPS 功能模塊和下一代防火墻的 ACG 功能模塊
|
|
網絡訪問控制
|
防火墻技術. 核心交換機MPLS VPN/vlan 技術隔離����,需下一代防火墻和核心交換機
|
|
網絡**審計
|
網絡**審計系統(ACG/iMC),需下一代防火墻的ACG 功能模塊和網絡**管理平臺(也可以直接由**設備自身的管理頁面和配置、告警信息來實現但工作量大�����,實時性差)
|
|
網絡邊界完整性檢查
|
網絡管理平臺和**準入系統(本方案不涉及)實現�����,或者通過人工實現
|
|
網絡入侵防范
|
IPS 入侵保護系統����,需下一代防火墻的 IPS 功能模塊
|
|
網絡惡意代碼防范
|
防病毒網關(IPS 及網絡/主機病毒防范)需下一代防火墻的 IPS 功能模塊和防病毒功能模塊
|
|
網絡設備防護
|
通過運維審計系統來實現
|
|
主機身份鑒別
|
需部署 CA 系統����,**準入系統
|
|
主機**審計
|
可通過部署網絡**管理平臺來實現統一的**審計,也可以直接由**設備自身的管理頁面和配置、告警信息來實現(后者工作量大���,實時性差)。
|
|
主機訪問控制
|
防火墻結合主機操作系統本身技術可以實現。需下一代防火墻
|
|
主機入侵防范
|
入侵保護系統結合運控系統技術;主機文件系統備份及集群技術�����。需部署漏洞掃描系統
|
|
主機惡意代碼防范
|
防病毒/網頁防篡改����,部署與網關處不同品牌防病毒軟件
|
|
主機資源控制
|
運控系統、防火墻���、主機操作系統結合技術實現。
|
|
Web應用**
|
部署 web 應用防火墻
|
|
應用身份鑒別
|
需部署 CA 系統,**準入系統
|
|
應用訪問控制
|
應用用戶權限控制�,可結合下一代防火墻實現
|
|
資源控制
|
部署的應用系統應具備此功能
|
|
應用完整性���、保密性、抗抵賴性
|
(推薦使用加密機)
|
|
數據**及備份恢復
|
(推薦使用 CA 系統)
|
|
應提供異地數據備份功能�,利用通信網絡將關鍵數據定時批量傳送至備用場地���;
|
|
|
應采用冗余技術設計網絡拓撲結構�,避免關鍵節點存在單點故障����;應提供主要網絡設備、通信線路和數據處理系統的硬件冗余����,保證系統的高可用性�����。
|
|
2. 對應國家三級等級管理的措施
|
三級等級保護的主要管理要求
|
方案采取的措施
|
|
資產管理
|
網管平臺或者 web 界面人工管理
|
|
監控管理
|
網管平臺或者 web 界面人工管理
|
|
網絡**管理
|
管理設備軟件管理,配置文件管理�����,漏洞掃描
|
|
惡意代碼防范管理
|
下一代防火墻
|
|
密碼管理
|
通過 ca 系統/加密機實現
|
|
變更管理
|
運維審計統
|
|
備份與恢復
|
制定數據的備份策略和恢復策略/備份過程應記錄/建立備份及冗余設備的安裝�����、配置�����、啟動、操作及維護過程控制的程序���,記錄設備運行過程狀況(備份軟件)
|
2、**環境設計
1. 防火墻**設計
部署一臺多功能**防火墻��,實現防火墻�、VPN�、防病毒、入侵防御等多種設備的功能�,從而降低了設備成本和管理成本���,能夠從網絡層到應用層對網絡縱向邊界提供全方位的**保護��。
2. IDS入侵檢測**設計
在**網絡域的核心交換機處部署IDS設備�����,實現內部網絡區域入侵行為的報警與記錄。
3. 數據庫審計系統設計
數據庫審計部署為旁路監聽模式���,使用偵聽數據庫協議,審計的內容包括:訪問時間���、訪問者IP、訪問對象IP�、雙方端口����、協議��、內容����、數據庫操作��、數據庫信息等���。
網絡審計系統能夠**詳實地記錄網絡內流經監聽出口的各種網絡行為�����,以便進行事后的審計和分析�。網絡行為日志**地記錄了包括使用者、分組、訪問時間����、源IP地址�����、源端口、源MAC地址、目的IP地址�、目的端口�、訪問類型��、訪問地址/標識等關鍵數據項�����。審計數據庫用戶登錄事件,并記錄用戶賬號信息;可實現對數據庫的查詢���、創建、插入���、刪除、更新等常規數據庫操作過程的審計,可還原用戶操作過程����;可實現數據庫特權操作(如權限更改���、備份與恢復等)的審計�����,可還原操作過程。
4. 終端**管理系統設計
在用戶辦公終端上部署終端**管理系統,主要實現內部辦公終端用戶接入域的主機**防護����、**監控、外設管理����、準入控制���、**審計��、非法外連控制、**檢測����、**加固���、**響應和終端防泄密等���。
5. 防病毒**設計
針對病毒的風險����,在各應用服務器、數據庫服務器、用戶終端等安裝防病毒軟件��,有效查殺病毒���、惡意腳本�����、木馬��、蠕蟲等惡意代碼。加強終端主機與服務器系統、網絡出入口的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫�。使網絡免受病毒、特洛伊木馬和其它惡意程序的侵襲�,不讓其有機會透過文件及數據的分享進而散布到整個網絡環境�����,提供完整的病毒掃描防護功能。
本方案中部署網絡版防病毒設備�����,在所有服務器及工作終端上部署防病毒客戶端軟件����。
6. WEB應用**防護
部署WAF系統,即WEB應用防火墻�����。WAF系統采用透明模式部署在業務服務域前��,通過實時掃描等技術���,對本區域內的基于B/S結構的工作站進行實時監測和防護�;對訪問該區域WEB工作站的數據進行**檢查����,一旦發現攻擊行為立刻中斷連接保護WEB工作站的**。
7. 堡壘機系統設計
采用物理旁路方式部署����,不需改變現有網絡結構��,同時不需要在被管理設備上安裝任何代理程序,只需確保堡壘主機和被管資源以及用戶終端維護區域網絡可達即可�����。終端維護區域用戶通過http或https方式登錄系統portal��,經過用戶身份認證后,通過資源列表單點登錄至被管目標資源。
對業務環境下的用戶運維操作進行控制和審計的合規性管控系統����。它通過對自然人身份以及資源����、資源賬號的集中管理建立“自然人賬號——資源——資源賬號”對應關系�,實現自然人對資源的統一授權,同時,對授權人員的運維操作進行記錄�����、分析�、展現,以幫助內控工作事前規劃預防、事中實時監控��、違規行為響應、事后合規報告��、事故追蹤回放�����,加強內部業務操作行為監管�����、避免核心資產(服務器、網絡設備����、**設備等)損失�,保障業務系統的正常運營����。
8. 日志審計系統**設計
日志審計系統通過監測及采集信息系統中的系統**事件���、用戶訪問行為����、系統運行日志、系統運行狀態等各類信息���,經過規范化、過濾、歸并和告警分析等處理后�,以統一格式的日志形式進行集中存儲和管理�,同時保留原始的日志信息和日志格式�,以便事后分析取證用,結合豐富的日志分析綜合顯示功能,實現對信息系統整體**狀況的**管理。
9. 漏洞掃描系統設計
漏洞掃描系統是一種主動檢測本地或遠程主機系統**性弱點的程序��,采用模仿黑客入侵的手法對目標網絡中的服務器�����、應用系統����、數據庫等各種系統以及路由器��、交換機���、防火墻等網絡設備可能存在的**漏洞進行逐項檢查�����,測試該系統上有沒有**漏洞存在,然后將掃描結果向系統管理員提供周密可靠的**性分析報告�,從而讓管理人員從掃描出來的**漏洞報告中了解網絡中服務器提供的各種服務及這些服務呈現在網絡上的**漏洞��,在系統**防護中做到"有的放矢"����,及時修補漏洞,從根本上解決網絡**問題����,有效地阻止入侵事件的發生����。
在應用業務及生產核心系統網絡通過旁路監聽方式部署漏洞掃描設備�����。漏洞掃描設備在網絡中并不是一個實時啟動的系統�,只需要定期掛接到網絡中�,對當前網段上的重點服務器以及主要的桌面機和網絡設備進行一次掃描,即可得到當前系統中存在的各種**漏洞��,針對性地對系統采取補救措施�����,即可在相當一段時間內保證系統的**���。
10. 云**計算環境設計
云平臺及虛擬化平臺應實現虛擬機之間的CPU�����、內存和存儲空間**隔離��,能檢測到非授權管理虛擬機等情況,并進行告警;應禁止虛擬機對宿主機物理資源的直接訪問��,應能對異常訪問進行告警;應支持不同云租戶虛擬化網絡之間**隔離;應監控物理機�、宿主機�����、虛擬機的運行狀態���。
同時云平臺利用網絡**設備實現以下目標:
1)用戶身份鑒別���;
2)入侵防范應能檢測到虛擬機對宿主機物理資源的異常訪問�;
3)數據保密性保護應提供重要業務數據加密服務����;
4)數據備份與恢復;
5)惡意代碼防范物理機和宿主機應安裝經過**加固的操作系統或進行主機惡意代碼防范�。
11. 移動互聯**設計
業務應用應實現以下功能:
1)用戶身份鑒別應對移動終端用戶實現基于口令或解鎖圖案����、數字證書或動態口令�、生物特征等方式的兩種或兩種以上的組合機制進行用戶身份鑒別;
2)標記和強制訪問控制應確保用戶或進程對移動終端系統資源的*小使用權限;應根據**策略��,控制移動終端接入訪問外設��,外設類型至少應包括擴展存儲卡�、GPS等定位設備��、藍牙�����、NFC等通信外設,并記錄日志�;
3)應用管控應具有軟件白名單功能�����,能根據白名單控制應用軟件安裝��、運行;應提供應用程序簽名認證機制���,拒絕未經過認證簽名的應用軟件安裝和執行���;
4)數據保密性保護應采取加密�����、混淆等措施,對移動應用程序進行保密性保護,防止被反編譯;應實現對擴展存儲設備的加密功能,確保數據存儲的**����。