【導讀】知識水壩為您整理。等級保護整改方案

　　

【正文】 要是兩處： ? 一是來自外部的攻擊： 主要集中于 廣州市財政局 網絡系統(tǒng) 與 其他外部網絡 的接入口； ? 二是來自內部的攻擊： 主要攻擊可能來自全網各個相關互連部門，目標是 廣州市財政局 網絡系統(tǒng) 提供的網絡服務和核心資產數據。 知識水壩（網 @pologoogle）為您整理 謝謝使用 鑒于重要的網段分部 在不同的物理和邏輯網段，所以應配置一個管理控制中心，集中管理 分布在不同地點的網絡入侵檢測 系統(tǒng) ，發(fā)現異常迅速反應，及時切斷入侵行為。 此外， 防火墻作為網絡邊界設備，放置在不同網絡出入口上，控制各級網絡用戶之間的相互訪問，規(guī)劃網絡的信息流向，同時可以起到一定的用戶隔離作用，一旦某一子網發(fā)生安全事故，避免波及其他子網。對各個安全區(qū)域必須使用防火墻作為其邊界的安全保護。 病毒的防治 隨著計算機技術的不斷發(fā)展，計算機病毒也變得越來越復雜和高級，其擴散速度也越來越快，破壞力也越來越強，對計算機網絡系統(tǒng)構成極大的威脅。 在網絡中，病毒已從存儲介質（軟、硬、光盤）的感染發(fā)展為網絡通訊和電子郵件的感染上來。其傳播速度極快、破壞力更強， 據 統(tǒng)計一個新病毒從一 臺計算機出發(fā)僅六個小時就能感染全球互聯網機器。網絡一旦被病毒侵入 ，將會對重要數據的安全、網絡 的正常運行帶來嚴重的危害 ， 所以防止計算機病毒是 廣州市財政局 網絡系統(tǒng) 安全工作的重要環(huán)節(jié)。 因此針對此情況，需要建立相應的防病毒安全策略以配合防病毒軟件 ， 比如對全網的所有客戶端設置強安全策略，不允許用戶隨意的關閉病毒實時監(jiān)控程序，以免病毒趁虛而入，從而對全網造成威脅。每周定時設置全網全面查毒，并建立人員檢查制度，定期查看防病毒日志，以期及早的發(fā)現病毒隱患并加以處理等 。 此外，在網絡邊界處部署 網絡層防病毒 設備，對病毒進行基 本的過濾和檢測，可以減輕部署在 PC 終端的防病毒產品的壓力，也可以有效防范蠕蟲病毒的大規(guī)模傳播；同時對于網絡病毒的防治，采用兩家不同廠商提供的“防病毒庫”，可以避免單一防病毒產品的局限，達到更高的防護強度。 安全審計 安全審計通過收集并分析系統(tǒng)日志等數據，從而發(fā)現違反安全策略的行為。與入侵檢測相比，安全審計主要側重于事后分析，即當發(fā)生安全事故或者發(fā)生違知識水壩（網 @pologoogle）為您整理 謝謝使用 反安全策略的行為之后，通過檢查、分析、比較審計系統(tǒng)收集的數據，從中發(fā)現違反安全策略行為。 在 廣州市財政局 網絡 系統(tǒng) 的重要 網絡設備 ， 如 思科 、 H3C 核心交換機 ，應配置 安全審計系統(tǒng)，針對 應用系統(tǒng)和 數據庫的操作進行審計，并且針對于特殊要求的主機系統(tǒng)部署基于主機的審計系統(tǒng)，以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內，能夠根據存儲的記錄和操作者的權限進行查詢、統(tǒng)計、管理、維護等操作。并且能夠在必要時從記錄中抽取所需要的資料。 安全管理 建立完善的安全管理機構及安全管理制度，安全管理培訓制度化，制定有效措施，保證系統(tǒng)安全措施的執(zhí)行，強化安全管理。完善系統(tǒng)管理員制度，建立網絡拓撲圖，方便系統(tǒng)管理員圖形化的管理；建立硬件資產管理系統(tǒng)，讓管理員能查詢系統(tǒng)中所有平臺的硬件信息（如硬盤大小、 內存大小、外設配置等）。 廣州市財政局 信息安全建設保障工作目前存在的主要困難包括： ? 信息安全涵蓋內容極為廣泛，從物理安全，網絡安全，系統(tǒng)安全一直到應用安全，數據安全，安全管理，安全組織等等，凡是涉及到影響正常運行的和業(yè)務連續(xù)性的都可以認為是信息安全問題； ? 安全保障是個系統(tǒng)化的工程，各個要素之間存在緊密聯系，互相依賴，牽一發(fā)而動全身； ? 安全保障是個長期性的工作，伴隨信息系統(tǒng)的整個生命周期，是一個不斷實施、檢查和改進的過程； ? 安全保障除了耗費人力財力，還會損失易用性，降低效率，所以應該考慮 信息安全 要求 與資金 人 力 投入 的 平衡 ， 控制安全的成本。 知識水壩（網 @pologoogle）為您整理 謝謝使用 3 等保安全體系總體設計 本章將對 廣州市財政局 網絡 系統(tǒng)進行總體設計，在總體設計時，將首先描述等保體系和安全要求分析，其次遵循等保體系標準作為設計方法，并根據等 級 保護 安全要求進行 廣州市財政局 網絡 系統(tǒng)的安全體系總體設計。 等級保護體系概述 標準體系的組成與相互關系 信息安全等級保護標準由運行過程控制標準、評測過程控制標準、構建過程控制標準、基礎標準（ GB17859）組成。 其中，基礎性標準包括：（ 1） GB17859— 1999 計算機信息系統(tǒng)安全保護等級劃分準則，是其他標準的基礎；（ 2）信息系統(tǒng)安全等級保護實施指南，為等級保護的實施提供指導。 構建過程控制標準包括：（ 1）技術要求標準；（ 2）產品要求標準。 測評過程控制標準包括（ 1）系統(tǒng)測試與評估標準；（ 2）產品測試域評估標準。 過程控制標準包括：（ 1）工程管理標準，為管理工程實施提供指導；（ 2）系統(tǒng)管理標準，對系統(tǒng)運行過程的管理提供指導；（ 3）監(jiān)督、檢查管理標準，為按等級保護要求對信息系統(tǒng)的構建、測評、運行過程進行監(jiān)督、檢查、管理提供指導。 標準體系的內容 標準體系的基本思想概括為：以信息安全的五個屬性為基本內容，從實現信息安全的五個 層面，按照信息安全五個等級的不同要求，分別對安全信息系統(tǒng)的構建過程、測評過程和運行過程進行控制和 管理，實現對不同信息類別按不同要求進行分等級安全保護的總體目標， 如 下 圖所示。 知識水壩（網 @pologoogle）為您整理 謝謝使用 圖表 31 等級保護基 本思想和分級、分層及控制過程 圖表 32 等級保護五個層面內容和系統(tǒng)安全運行及安全防護 標準體系的主要特點 （ 1）完備性：對信息安全的五個屬性，從五個層面、按五個等級確定安全功能要求和安全保證要求 ：對安全系統(tǒng)的構建、測評、運行三個過程進行全面控制。 知識水壩（網 @pologoogle）為您整理 謝謝使用 （ 2）整體保護性：實現信息的保密性、完整性和可用性（包括抗抵賴性、可控性和可操作性等），以及系統(tǒng)安全運行控制。 （ 3）技術先進性：標準體系是在充分了解國際上當前信息安全技術及其標準發(fā)展的基礎上，汲取先進的安全技術確定，并與國際接軌。 （ 4）實用性：充分考慮到我國信息技術的發(fā)展和信息安全的現狀，從制定可行的信息系統(tǒng)安全方案出發(fā)，適用于我國信息安全等級管理的需要。 （ 5）前瞻性和可擴展性：標準體系所確定的技術和管理，具有一定的前瞻性，并可根據信息安全技術的發(fā) 展改進和擴展。 （ 6）具有充分的法律依據和執(zhí)法保證： 147 號令、 27 號文件明確規(guī)定我國信息安全實施等級保護：執(zhí)行過程控制標準適用于安全等級管理對安全系統(tǒng)及安全產品從設計、實現、檢測、評估到監(jiān)督、檢查的管理需要：有相應的執(zhí)法人員（如電子警察）確保等級保護的貫徹執(zhí)行。 管理是生命線 管理對信息安全等級保護的實現有十分重要的意義和作用。所謂管理是對人的管理。信息安全管理是指，在實現信息安全的全過程中，人應該做什么、如何做，通常用“三分技術，七分管理”來形容管理對信息安全的重要性。用另一句話來描述管理的作用可能更為 確切，這就是：管理是貫穿信息安全整個過程的生命線。作為實施信息安全重要途徑的等級保護的管理，這種生命線的作用體現得就更為充分。 首先，信息安全等級保護制度的確立，需要有政策、法律、法規(guī)來保證。其次，信息安全等級保護的貫徹實施，需要有規(guī)范化的過程和制度，需要建立標準體系，進行系統(tǒng)和產品的研究與開發(fā)，進行系統(tǒng)和產品的測試與評估等等。這些都需要有統(tǒng)一的管理和協(xié)調。另外，與技術相關管理更是無處不在。安全系統(tǒng)開發(fā)過程需要進行工程管理；安全系統(tǒng)的運行過程需要進行系統(tǒng)管理；甚至每一個安全功能的實現和正確使用，都離不開管理 。 與信息安全有關的人包括安全系統(tǒng)的開發(fā)者、測試與評估者、運行管理者、使用者以及對這些過程的實施進行監(jiān)督檢查者。管理的目的就是讓參與信息安全的所有人員都能夠按照確定的要求去行動。對開發(fā)者的管理是為了開發(fā)出符合安知識水壩（網 @pologoogle）為您整理 謝謝使用 全要求的系統(tǒng)或產品；對測試與評估者的管理是為了對開發(fā)的系統(tǒng)和產品嚴格把關；對運行管理者的管理是為了確保運行管理者對系統(tǒng)或產品的運行進行正確控制；對使用者的管理是為了讓使用者按規(guī)定合理使用系統(tǒng)或產品；對監(jiān)督檢查者的管理是為了讓執(zhí)法者嚴格執(zhí)法。不同安全等級的信息安全對管理有不同的要求。為達到高級別的安全要 求，需要更嚴格的管理，就像為了提供高質量的產品需要有更嚴格的管理一樣。 管理的重要性還體現在，如果沒有相應的管理，許多安全技術和機制就不能發(fā)揮應有作用。比如，如果沒有嚴格的權限管理，而是隨意授權，訪問控制就失去了應有作用。又如，如果沒有人員分工上的嚴格管理，對系統(tǒng)管理員、安全員、審計員實行權限分離的安全機制就不以發(fā)揮應有作用。例似的情況在安全系統(tǒng)中隨處可見，最普遍的情況是，幾乎所有的安全機制都需要進行正確的系統(tǒng)配置、操作和運行控制，而且越是高級別的系統(tǒng)這種要求就越多、越嚴格，如果沒有按照要求進行操作、配置和 運行控制，相應的安全技術和機制會起不到應有的作用，甚至成為攻擊的弱點和漏洞，與技術密切相關的管理要求應在系統(tǒng)開發(fā)過程中同時產生，并以文檔形式（包括安全員指南和用戶指南）隨系統(tǒng)一起提交用戶。 根據我國國情，管理的重要性還體現在領導的重視程度上。實踐證明，在我國信息系統(tǒng)建設階段，哪個單位沒有領導的重視與支持，哪個單位的信息系統(tǒng)建設就不會有好的發(fā)展。相反，得到了主要領導的重視和支持，單位信息系統(tǒng)的建設就會有好的發(fā)展。這已經成為不爭的事實。同樣，對于信息安全的建設，單位領導，特別是主要領導的重視與支持，是一個單位信 息安全系統(tǒng)的建設和運行得到應有的重視，從而發(fā)揮應有效能的重要前提和保證。 等級化安全體系設計方法 設計 原則 在規(guī)劃、建設、使用、維護整個 廣州市財政局 網絡系統(tǒng) 項目的過程中，本方案 將主要 遵循 統(tǒng)一規(guī)劃、分步實施、立足現狀、節(jié)省投資、科學規(guī)范、嚴格管理的 原則 進行安全體系的整體設計和實施，并充分考慮到先進性、現實性、持續(xù)性和可擴展性。具體體現為 ： 1) 等級 標準性原則 知識水壩（網 @pologoogle）為您整理 謝謝使用 構建 廣州市財政局 網絡系統(tǒng) 這樣龐大的系統(tǒng)，必須堅持遵循相關的標準。本方案從設計到產品選型都遵循 國家等級保護二級相關 標準。 2) 需求、風險、代價平衡的原則 對任一網 絡，絕對安全難以達到，也不一定是必要的。應對一個網絡進行實際分析 (包括任務、性能、結構、可靠性、可用性、可維護性等 )，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定安全策略。 3) 綜合性、整體性原則 安全模塊和設備的引入應該體現系統(tǒng)運行和管理的統(tǒng)一性。一個完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個環(huán)節(jié)，必須提高整個系統(tǒng)的安全性以及系統(tǒng)中各個部分之間的嚴密的安全邏輯關聯的強度，以保證組成系統(tǒng)的各個部分協(xié)調一致地運行。 4) 易操作性原則 安全措施需要人為去完成，如果措施 過于復雜，對人的要求過高，本身就降低了安全性。 5) 設備的先進性與成熟性 安全設備的選擇，既要考慮其先進性，還要考慮其成熟性。先進意味著技術、性能方面的優(yōu)越，而成熟性表示可靠與可用。 6) 無縫接入 安全設備的安裝、運行，應不改變網絡原有的拓撲結構，對網絡內的用戶應是透明的，不可見的 。 同時，安全設備的運行應該不會對網絡傳輸造成通信 “ 瓶頸 ” 。 7) 可管理性與擴展性 安全設備應易于管理，而且支持通過現有網絡對網上的安全設備進行安全的統(tǒng)一管理、控制，能夠在網上監(jiān)控設備的運行狀況，進行實時的安全審計。 8) 保護原有投資的原則 在進行 廣州市財政局 網絡系統(tǒng) 信息安全體系建設時，應 充分考慮原有投資，要充分利用 廣州市財政局 網絡系統(tǒng) 已有的建設基礎，規(guī)劃其 廣州市財政局 網絡系統(tǒng) 的整體安全體系和災難恢復系統(tǒng)。 9) 綜合治理 知識水壩（網 @pologoogle）為您整理 謝謝使用 廣州市財政局 網絡系統(tǒng) 是社會大環(huán)境下 的 一個系統(tǒng)工程，信息網絡的安全同樣也絕不僅僅是一個技術問題，各種安全技術應該與運行管理機制、人員的思想教育與技術培訓、安全法律法規(guī)建設相結合，從社會系統(tǒng)工程的角度綜合考慮。 總體設計參考標準與規(guī)范 總體設計參考了以下標準與規(guī)范： 1) 中共中央辦公廳、國務院辦公廳 [2020]17 號文《國家信息化領導小組關于 我國電子政務建設指導意見》 2) ISO17799/BS7799：《信息安全管理慣例》 3) 1999 GB178591999 （中華人民共和國國家標準）計算機信息系統(tǒng)安全保護等級劃分準則 4) 公安部《信息安全等級保護管理辦法》 5) 公安部《信息系統(tǒng)安全等級保護實施指南》 6) GB/T 222392020 信息安全技術 信息系統(tǒng)安全等級保護基本要求 7) GB/T 222402020 信息安全技術 信息系統(tǒng)安全等級保護 定級指南 8) 公安部《信息系統(tǒng)安全等級保護測評準則》 9) ISO/IEC TR 13335 系列標準 10) 信息系統(tǒng)安全保障理論模 型和技術框架 IATF 理論模型及方法論 分域保護框架建立 設計思