【正文】 ...........................80 三年規(guī)劃建設(shè)任務(wù) ..................................................................................................82III / 861 概述**行業(yè)信息安全保障體系是行業(yè)信息化健康發(fā)展的基礎(chǔ)和保障，是行業(yè)各級(jí)數(shù)據(jù)中心的重要組成部分。為推進(jìn)行業(yè)信息安全保障體系建設(shè)，提高信息安全管理水平和保障能力，深圳市**公司結(jié)合本單位實(shí)際情況認(rèn)真落實(shí)《**行業(yè)信息安全保障體系建設(shè)指南》的各項(xiàng)要求，構(gòu)建“組織機(jī)制、規(guī)章制度、技術(shù)架構(gòu)”三位一體的信息安全保障體系，做到信息安全工作與信息化建設(shè)同步規(guī)劃、同步建設(shè)、協(xié)調(diào)發(fā)展。2）缺少完整的安全管理制度規(guī)范，一旦發(fā)生安全問(wèn)題，沒(méi)有解決依據(jù)。 防火墻只能基于端口和流量進(jìn)行控制，卻無(wú)法防御復(fù)雜的攻擊和入侵。5）終端安全沒(méi)有保障，缺乏統(tǒng)一終端管理平臺(tái)。6）沒(méi)有數(shù)據(jù)安全保障體系，數(shù)據(jù)的傳輸和存儲(chǔ)都沒(méi)辦法保證不被竊取。8）缺乏主機(jī)和應(yīng)用系統(tǒng)安全保障機(jī)制，沒(méi)有及時(shí)發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)的漏洞和弱點(diǎn)，存在大量弱口令等問(wèn)題。3 / 863 信息安全規(guī)劃思路 信息安全 目標(biāo)和工作思路我們應(yīng)該按照信息安全總體規(guī)劃，從信息安全管理、信息安全風(fēng)險(xiǎn)控制、信息安全技術(shù)等方面入手，采用先進(jìn)可行的技術(shù)手段和管理理念，逐步建成全面、完整、有效的一套信息安全體系。信息化安全體系建設(shè)過(guò)程中應(yīng)遵循以下工作思路：? “分級(jí)保護(hù)”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及面臨的風(fēng)險(xiǎn)大小等因素決定各類(lèi)信息的安全保護(hù)級(jí)別，分級(jí)保護(hù)，合理投資。? “內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和審計(jì)機(jī)制。? “風(fēng)險(xiǎn)管理”原則：進(jìn)行安全風(fēng)險(xiǎn)管理，確認(rèn)可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)，并以較低的成本將其降低到可接受的水平。 信息安全建設(shè)主要任務(wù)基于企業(yè)信息安全逐步建設(shè)和節(jié)省投資的考慮，深圳市**公司信息安全建4 / 86設(shè)采用分階段實(shí)施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu)先地位進(jìn)行安全建設(shè)。 建設(shè)要求本次網(wǎng)絡(luò)基礎(chǔ)安全建設(shè)主要考慮安全域劃分和加強(qiáng)安全邊界防護(hù)措施，優(yōu)先考慮辦公業(yè)務(wù)網(wǎng)出口的安全問(wèn)題。因此在辦公業(yè)務(wù)網(wǎng)與核心交換區(qū)的邊界處，應(yīng)采用多種安全技術(shù)和手段來(lái)防范外來(lái)的威脅。 第二階段——加強(qiáng)階段5 / 86 建設(shè)內(nèi)容安全建設(shè)第一階段成功結(jié)束后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對(duì)安全的狀態(tài)。主要從安全日志審計(jì)、系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)安全兩個(gè)方面展開(kāi)。這些安全產(chǎn)品和大量的網(wǎng)絡(luò)產(chǎn)品以及應(yīng)用系統(tǒng)產(chǎn)生海量的日志和事件，尤其是入侵檢測(cè)之類(lèi)的安全產(chǎn)品，每天的事件量巨大，靠人工的方式很難檢索所有的事件，如漏掉重要事件很可能會(huì)帶來(lái)較大損失，鑒于此，需要部署統(tǒng)一的日志審計(jì)管理平臺(tái)。結(jié)合安全日志審計(jì)功能，就可以針對(duì)各業(yè)務(wù)系統(tǒng)的帳號(hào)級(jí)的信息安全審計(jì)和追蹤。此時(shí)進(jìn)行安全管理建設(shè)，主要從安全管理中心、安全管理體系著手完善。通過(guò)該平臺(tái)可以及時(shí)準(zhǔn)確地獲知網(wǎng)絡(luò)安全體系的效果和現(xiàn)狀，幫助安全管理員進(jìn)行正確的決策分析。（2）安全管理體系安全管理建設(shè)應(yīng)該自始至終，并且對(duì)安全建設(shè)和運(yùn)維起到指導(dǎo)作用。信息化安全建設(shè)規(guī)劃方案基于企業(yè)信息安全逐步建設(shè)和節(jié)省投資的考慮，我省信息安全建設(shè)采用分階段實(shí)施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu)先地位進(jìn)行安全建設(shè)。請(qǐng)結(jié)合深圳市**公司信息安全建設(shè)，考慮第二階段的安全建設(shè)將如何進(jìn)行。7 / 864 第一階段 迫切階段 加強(qiáng)區(qū)公司與地州公司的邊界訪問(wèn)控制目前，深圳市**公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN 系統(tǒng)，但是由于時(shí)間已經(jīng)很長(zhǎng)，設(shè)備在性能與功能上都不能適應(yīng)現(xiàn)在的網(wǎng)絡(luò)與業(yè)務(wù)的發(fā)展。從節(jié)省資金的角度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN 功能的防火墻系統(tǒng)，便于操作與管理。針對(duì)網(wǎng)站，各類(lèi)安全威脅正在飛速增長(zhǎng)。Google 最新數(shù)據(jù)表明，過(guò)去 10 個(gè)月中，Google 通過(guò)對(duì)互聯(lián)網(wǎng)上幾十億 URL 進(jìn)行抓取分析，發(fā)現(xiàn)有 300 多萬(wàn)個(gè)惡意URL。傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì) Web 應(yīng)用攻擊完善的防御能力。 提升入侵防御能力防火墻作為深圳市**公司安全保障體系的第一道防線，已經(jīng)得到了非常好的應(yīng)用效果，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報(bào)道，這就意味著有一類(lèi)攻擊行為是防火墻所不能防御的，比如說(shuō)應(yīng)用層的攻擊行為。防火墻等訪問(wèn)控制設(shè)備沒(méi)有能做到完全的協(xié)議分析，僅能實(shí)現(xiàn)較為低層的入侵防御，對(duì)應(yīng)用層攻擊等行為無(wú)法進(jìn)行判斷，而入侵檢測(cè)等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無(wú)法及時(shí)切斷可疑連接，都達(dá)不到完全防御的要求。 加強(qiáng)對(duì)區(qū)公司、地州終端的桌面管理能力區(qū)公司采用本類(lèi)產(chǎn)品目的在于，能夠?qū)蛻?hù)端進(jìn)行狀態(tài)安全控管，主要涉及客戶(hù)端聯(lián)網(wǎng)監(jiān)控、客戶(hù)端狀態(tài)管理、設(shè)備注冊(cè)、客戶(hù)端桌面安全審計(jì)、客戶(hù)端補(bǔ)丁分發(fā)管理、客戶(hù)端應(yīng)用資源控制以及遠(yuǎn)程協(xié)助管理等能。對(duì)補(bǔ)丁進(jìn)行自動(dòng)分發(fā)部署和管理控制。全網(wǎng)客戶(hù)端進(jìn)程統(tǒng)一匯總監(jiān)視。? 客戶(hù)端軟件自動(dòng)分發(fā)和管理。? 如何有效進(jìn)行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理。? 弱口令監(jiān)控。? 防止防范用戶(hù)繞過(guò)防火墻等邊界防護(hù)設(shè)施，直接聯(lián)入外網(wǎng)帶來(lái)的嚴(yán)重安全隱患行為（對(duì)于物理隔離的網(wǎng)絡(luò)，切實(shí)保障其有效的隔離度，保證專(zhuān)網(wǎng)專(zhuān)9 / 86用） 。? 準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相關(guān)網(wǎng)絡(luò)。? 監(jiān)控內(nèi)網(wǎng)的敏感信息。? 有效監(jiān)控客戶(hù)端的運(yùn)維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶(hù)端是否已超負(fù)荷運(yùn)轉(zhuǎn)，是否需要升級(jí)。? 軟件使用簡(jiǎn)單，所有的策略均在策略中心統(tǒng)一配置，用戶(hù)上手簡(jiǎn)便。使現(xiàn)有的 VPN 系統(tǒng)很平滑地向新技術(shù)過(guò)渡。網(wǎng)絡(luò)基礎(chǔ)設(shè)施和各種應(yīng)用系統(tǒng)在不斷增加，一旦 IT 系統(tǒng)和網(wǎng)絡(luò)運(yùn)行出現(xiàn)問(wèn)題，將會(huì)對(duì)所有的依賴(lài)于信息化平臺(tái)的正常工作產(chǎn)生影響。網(wǎng)絡(luò)管理系統(tǒng)可廣泛應(yīng)用于對(duì)局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵 IT 業(yè)務(wù)系統(tǒng)中的路由器、交換機(jī)、防火墻、負(fù)載均衡設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)站、域名、URL、OA、CRM、ERP、SCM、HIS 等各種 IT 網(wǎng)絡(luò)組件和業(yè)務(wù)系統(tǒng)進(jìn)行 7X24 的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對(duì)錯(cuò)誤和故障數(shù)據(jù)進(jìn)10 / 86行顏色、聲音、短信息、郵件等多種方式的報(bào)警，提供多種圖形和報(bào)表幫助用戶(hù)進(jìn)行故障分析和性能診斷，保證 IT 業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)持續(xù)、穩(wěn)定運(yùn)行，提高IT 系統(tǒng)的效率，降低由于 IT 業(yè)務(wù)系統(tǒng)故障而導(dǎo)致的損失。終端用戶(hù)隨意使用網(wǎng)絡(luò)資源將導(dǎo)致三個(gè)問(wèn)題：(1)工作效率低下、(2)網(wǎng)絡(luò)性能惡化、(3)網(wǎng)絡(luò)泄密和違法行為增多。網(wǎng)管中心如何及時(shí)了解網(wǎng)絡(luò)運(yùn)行基本狀況，并對(duì)網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問(wèn)題（如病毒、木馬造成的網(wǎng)絡(luò)異常） ，并進(jìn)行快速的故障定位，這些都是對(duì)**公司信息安全管理的挑戰(zhàn)，這些問(wèn)題包括：管理員如何對(duì)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計(jì)、分析和評(píng)估，管理員如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為，管理員如何杜絕用戶(hù)通過(guò)電子郵件、MSN 等途徑泄漏內(nèi)部機(jī)密資料，以及管理員如何在發(fā)生問(wèn)題時(shí)有查證的依據(jù)。因此內(nèi)網(wǎng)安全管理也隨之提升到一個(gè)新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時(shí)，從內(nèi)到外諸如審計(jì)、監(jiān)控、訪問(wèn)控制、訪問(wèn)跟蹤、流量限制等問(wèn)題也日益凸現(xiàn)。 建設(shè)原則在設(shè)計(jì)技術(shù)方案時(shí)要遵從以下原則：1. 實(shí)用性原則深圳市**公司的安全體系建設(shè)將始終遵循“面向應(yīng)用，注重實(shí)效”的指導(dǎo)思想。2. 協(xié)商原則對(duì)于一個(gè)應(yīng)用系統(tǒng)而言，他的安全性有時(shí)候與合理性存在著矛盾，從使用者的角度講是合理的，站在安全的角度來(lái)分析則是不安全的，存在著風(fēng)險(xiǎn)，這時(shí)候就需要協(xié)調(diào)和論證在二者之間做出平衡。在安全體系建設(shè)中，我們采取多種安全防御的技術(shù)和措施來(lái)保障深圳市**公司的網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。 5. 安全目標(biāo)與效率、投入之間的平衡原則 要綜合考慮安全目標(biāo)與效率、投入之間的均衡關(guān)系，確定合適的平衡點(diǎn)，12 / 86不能為了追求安全而犧牲效率，或投入過(guò)大。7. 產(chǎn)品異構(gòu)性原則在安全產(chǎn)品選型時(shí)，考慮不同廠商安全產(chǎn)品功能互補(bǔ)的特點(diǎn)，在進(jìn)行多層防護(hù)時(shí)，將選用不同廠商的安全產(chǎn)品。9. 動(dòng)態(tài)發(fā)展原則 安全防范體系的建設(shè)不是一個(gè)一勞永逸的工作，而是一個(gè)長(zhǎng)期不斷完善的過(guò)程，所以技術(shù)方案要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整而不斷升級(jí)發(fā)展。設(shè)計(jì)技術(shù)方案時(shí)，要盡量利用現(xiàn)有的設(shè)備與軟件，避免投資浪費(fèi)，這些設(shè)備包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備等。這樣的建設(shè)思路讓深圳市**公司明確將來(lái)安全建設(shè)的內(nèi)容以及建設(shè)方法，我們首先將解決當(dāng)前對(duì)深圳市**公司威脅最大的安全風(fēng)險(xiǎn)，在以后的各期項(xiàng)目再逐漸完善和調(diào)整安全框架內(nèi)容。只有貼近具體業(yè)務(wù)系統(tǒng)，對(duì)業(yè)務(wù)系統(tǒng)的重要性和特點(diǎn)有了清楚的定義和識(shí)別，風(fēng)險(xiǎn)管理才可能取得確實(shí)的成效。通過(guò)劃分安全域，我們可以將網(wǎng)絡(luò)根據(jù)業(yè)務(wù)系統(tǒng)、功能和重要性劃分成不同的層次，并且不同的安全域面臨的是不完全相同的安全風(fēng)險(xiǎn)，14 / 86關(guān)注程度和解決的方法也就不同。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的 IT 系統(tǒng)要素的集合。在參考工信部等級(jí)保護(hù)的指導(dǎo)意見(jiàn)《TC260N0015 信息系統(tǒng)安全技術(shù)要求》對(duì)安全等級(jí)的劃分基礎(chǔ)上，結(jié)合業(yè)務(wù)支撐系統(tǒng)的具體情況，安全域所涉及應(yīng)用15 / 86和資產(chǎn)的價(jià)值越高，面臨的威脅越大，那么它的安全保護(hù)等級(jí)也就越高。在基于等級(jí)保護(hù)原則同時(shí)遵循策略最大化原則。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。安全域劃分不宜過(guò)于復(fù)雜。 深度防御原則根據(jù)網(wǎng)絡(luò)應(yīng)用訪問(wèn)的順序，逐層進(jìn)行防御，保護(hù)核心應(yīng)用的安全。 分步實(shí)施原則分布實(shí)施原則：貫徹安全工作“統(tǒng)一規(guī)劃，分步實(shí)施”的原則，根據(jù)自身情況分階段落實(shí)安全域劃分和邊界整合的工作。 安全域邊界防護(hù)原則根據(jù)本文檔提出安全域劃分原則及相關(guān)標(biāo)準(zhǔn)，在不同安全等級(jí)的域間進(jìn)行數(shù)據(jù)互訪必須遵循以下防護(hù)原則。最小授權(quán)原則安全子域間的防護(hù)需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護(hù)策略。業(yè)務(wù)相關(guān)性原則對(duì)安全子域的安全防護(hù)要充分考慮該子域的業(yè)務(wù)特點(diǎn)，在保證業(yè)務(wù)正常運(yùn)行、保證效率的情況下分別設(shè)置相應(yīng)的安全防護(hù)策略。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等比較高，通常情況下業(yè)務(wù)關(guān)系比較緊密，安全防護(hù)策略可以較為寬松，通常允許受限的信17 / 86任互訪。核心域防護(hù)包括核心域與接入域邊界和核心域各子域之間的防護(hù)，接入域防護(hù)包括接入域內(nèi)部邊界和外部邊界的防護(hù)，當(dāng)存在多項(xiàng)不同安全策略時(shí)，安全域防護(hù)策略包含這些策略的合集，并選取最嚴(yán)格的防護(hù)策略，安全域的防護(hù)必須遵循策略最大化原則。早期在進(jìn)行安全域的劃分時(shí)，完全從一個(gè)業(yè)務(wù)單元或者行政機(jī)構(gòu)的角度考慮。隨著安全區(qū)域方法的發(fā)展，發(fā)現(xiàn)這樣的方法難于構(gòu)建全局的安全體系，局部的設(shè)計(jì)和實(shí)施經(jīng)驗(yàn)也難于推廣到全局，也難于借鑒。 “3+1 同構(gòu)性簡(jiǎn)化”的安全域方法是用一種 3+1 的網(wǎng)絡(luò)結(jié)構(gòu)元來(lái)分析深圳市**公司網(wǎng)絡(luò)的系統(tǒng)。）具體來(lái)說(shuō)深圳市**公司的承載網(wǎng)絡(luò)和支撐系統(tǒng)按照其維護(hù)數(shù)據(jù)的分類(lèi)可以分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全支撐域四類(lèi)。同一區(qū)域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問(wèn)控制，物理安全特性等。安全互聯(lián)域的安全等級(jí)的確定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級(jí)有關(guān)。主要需要解決的安全問(wèn)題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問(wèn)；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。安全互聯(lián)域由于主要起到承載作用，應(yīng)當(dāng)以通為主、以隔為輔。在骨干上建議只監(jiān)控流量，在接入端可以考慮監(jiān)控入侵行為等等。安全接入域的安全防護(hù)等級(jí)與其所能訪問(wèn)的安全服務(wù)域的安全等級(jí)有關(guān)。安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。針對(duì)上述主要問(wèn)題，在安全接入域內(nèi)需要考慮如下一些防護(hù)要點(diǎn)，包括安全接入域內(nèi)和安全接入域的邊界。安全接入域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；如果需要加強(qiáng)，還可以部署集中身份認(rèn)證系統(tǒng)、一次登錄系統(tǒng)(SSO)等，可以基于 CA 證書(shū)、或者口令卡等；安全接入域內(nèi)節(jié)點(diǎn)的防病毒；安全域內(nèi)的主機(jī)都應(yīng)當(dāng)部署防病毒系統(tǒng)，可以考慮部署對(duì)于客戶(hù)端的強(qiáng)制防病毒軟件安裝和強(qiáng)制升級(jí)和更新。安全接入域內(nèi)可以根據(jù)用戶(hù)主體的分類(lèi)，分成子域。安全接入域內(nèi)如果根據(jù)用戶(hù)所操作業(yè)務(wù)分類(lèi)進(jìn)行子域劃分，可以針對(duì)不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計(jì)；安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶(hù)的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、FTP、WEB 訪問(wèn)等。安全接入域和其他安全域之間邊界和連線的防護(hù)要點(diǎn)：安全接入域和內(nèi)部的邊界上需要安全網(wǎng)關(guān)，主要考慮訪問(wèn)控制的要求；這樣的安全網(wǎng)關(guān)可以是路由器、防火墻、交換機(jī)的 ACL 等等。比如：對(duì)于用戶(hù)分組后劃入不同的 VLAN 就是一種方式等等。根據(jù)數(shù)據(jù)分布，可以有以下安全服務(wù)域：?jiǎn)我挥?jì)算機(jī)單一安全級(jí)別服務(wù)域，多計(jì)算機(jī)單一安全級(jí)別服務(wù)域，單一計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域，多計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域。防護(hù)要點(diǎn)：安全服務(wù)域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；安全服務(wù)域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；訪問(wèn)控制機(jī)制要和安全接入域的鑒別機(jī)制之間相互結(jié)合；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防病毒：特別是基于 windows 平臺(tái)的服務(wù)器；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防入侵；安全服務(wù)域內(nèi)重要鏈路的流量監(jiān)控；安全服務(wù)域內(nèi)業(yè)務(wù)的監(jiān)控和審計(jì)；服務(wù)域內(nèi)防泄密；安全服務(wù)域內(nèi)一些可能產(chǎn)生或者傳播垃圾的服務(wù)