【正文】 ...........................43 系統(tǒng)測評階段 ..............................................................................................................................44 安全運(yùn)維階段 ..............................................................................................................................46附 1：WINDOWS 系統(tǒng)加固手冊樣例 ....................................................................................................48附 2：成功 案例 ......................................................................................................................................59遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 11. 前言根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》 （國務(wù)院令第 147 號）和遼寧省 XXXX 對等級保護(hù)相關(guān)工作提出的要求，為落實等級保護(hù)各項任務(wù)，提高遼寧省 XXXX 信息系統(tǒng)安全防護(hù)能力，特制定本方案。. 項目背景遼寧省 XXXX 為了落實和貫徹公安部、國家保密局、國家密碼管理局、司法系統(tǒng)等部門等國家有關(guān)部門信息安全等級保護(hù)工作要求，全面完善 XXXX 信息安全防護(hù)體系，落實 XXXX“等級防護(hù)、多層防御”的安全防護(hù)策略，確保等級保護(hù)工作在各單位的順利實施，提高 XXXX 整體信息安全防護(hù)水平，開展等級保護(hù)建設(shè)工作。本方案實施的范圍為：遼寧省 XXXX通過本建設(shè)方案的實施，可進(jìn)一步提高信息系統(tǒng)等級保護(hù)符合性要求，將XXXX 整個信息系統(tǒng)的安全狀況提升到一個較高的水平，并盡可能地消除或降低信息系統(tǒng)的安全風(fēng)險。根據(jù) GB/T222392022《信息安全技術(shù)信息安全等級保護(hù) 》基本要求，需對 XXXX 網(wǎng)絡(luò)進(jìn)行安全加固，滿足國家信息安全等級保護(hù)的前提下，提升 XXXX網(wǎng)絡(luò)的抗風(fēng)險性和安全性。一個安全域可劃分為若干安全子域，安全子域也可繼續(xù)依次細(xì)化為次級安全域、三級安全域等。遼寧省 XXXX 應(yīng)用系統(tǒng)主要部署于信息內(nèi)網(wǎng)，與互聯(lián)網(wǎng)有交互的子系統(tǒng)或功能單元部署于信息外網(wǎng)，信息內(nèi)網(wǎng)與信息外網(wǎng)進(jìn)行了安全的物理隔離，對于信息內(nèi)外網(wǎng)將分別進(jìn)行安全域劃分。由于地市 XXXX 主要應(yīng)用系統(tǒng)位于信息內(nèi)網(wǎng)，信息外網(wǎng)主要是一些需要與互聯(lián)網(wǎng)交互的子系統(tǒng)或應(yīng)用模塊，且系統(tǒng)數(shù)量較少，因此將應(yīng)用系統(tǒng)統(tǒng)一部署于同一安全域內(nèi)進(jìn)行安全防護(hù)，該安全域中的應(yīng)用系統(tǒng)在主機(jī)及應(yīng)用層面按各系統(tǒng)所屬的安全級別進(jìn)行防護(hù)，網(wǎng)絡(luò)及與信息外網(wǎng)邊界防護(hù)按滿足域中各系統(tǒng)所屬最高等級就高進(jìn)行安全建設(shè)。. 設(shè)計目標(biāo)XXXX 網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的總體目標(biāo)是防止信息網(wǎng)絡(luò)癱瘓、防止應(yīng)用系統(tǒng)破壞、防止業(yè)務(wù)數(shù)據(jù)丟失、防止企業(yè)信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊，以確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全?？傮w設(shè)計目標(biāo)：以信息系統(tǒng)的實際情況和現(xiàn)實問題為基礎(chǔ)，遵照國家的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，參照國際的安全標(biāo)準(zhǔn)和最佳實踐，依據(jù)相應(yīng)等級信息系統(tǒng)的基本要求和安全目標(biāo)，設(shè)計出等級化、符合系統(tǒng)特點、融管理和技術(shù)為一體的整體安全保障體系，指導(dǎo)信息系統(tǒng)的等級保護(hù)建設(shè)工作。上述對三級的信息系統(tǒng)的基本安全保護(hù)能力要求是一種整體和抽象的描述。遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 5. 設(shè)計原則XXXX 管理信息系統(tǒng)安全防護(hù)體系將遵循以下策略進(jìn)行建設(shè)：雙網(wǎng)雙機(jī)：XXXX 網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行隔離，信息內(nèi)外網(wǎng)分別采用獨立的服務(wù)器及桌面主機(jī)；分區(qū)分域：依據(jù)定級情況及業(yè)務(wù)系統(tǒng)類型，進(jìn)行安全域劃分，以實現(xiàn)不同安全域的獨立化、差異化防護(hù)；等級防護(hù)：管理信息系統(tǒng)將以實現(xiàn)等級保護(hù)為基本出發(fā)點進(jìn)行安全防護(hù)體系建設(shè)，并參照國家等級保護(hù)基本要求進(jìn)行安全防護(hù)措施設(shè)計；多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個層次進(jìn)行安全防護(hù)設(shè)計，以實現(xiàn)層層遞進(jìn)，縱深防御。分域防護(hù)、綜合防范的原則：任何安全措施都不是絕對安全的，都可能被攻破。需求、風(fēng)險、代價平衡的原則：對任何類型網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必須的，需正確處理需求、風(fēng)險與代價的關(guān)系，等級保護(hù)，適度防護(hù)，做到安全性與可用性相容，做到技術(shù)上可實現(xiàn)，經(jīng)濟(jì)上可執(zhí)行。因此在考慮信息系統(tǒng)信息安全時，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育、技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。信息安全保障建設(shè)可先保證基本的、必須的安全性和良好的安全可擴(kuò)展性，今后隨著應(yīng)用和網(wǎng)絡(luò)安全技術(shù)的發(fā)展，不斷調(diào)整遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 6安全策略，加強(qiáng)安全防護(hù)力度，以適應(yīng)新的網(wǎng)絡(luò)安全環(huán)境，滿足新的信息安全需求。安全措施框架示意圖如下：分層防護(hù)應(yīng)用安全防護(hù)主機(jī)安全防護(hù)網(wǎng)絡(luò)安全防護(hù)邊界安全防護(hù)司法系統(tǒng)域內(nèi)網(wǎng)服務(wù)系統(tǒng)域外網(wǎng)應(yīng)用系統(tǒng)域（ 內(nèi) 、 外網(wǎng) ）內(nèi)網(wǎng)桌面終端域三級系統(tǒng)二級系統(tǒng)（ 暫無 ）其他分域分級分區(qū)外網(wǎng)桌面終端域遼寧省 XXXX 網(wǎng)絡(luò)安全措施框架示意圖不同的安全等級要求具有不同的基本安全保護(hù)能力，實現(xiàn)基本安全保護(hù)能力將通過選用合適的安全措施或安全控制來保證，可以使用的安全措施或安全控制表現(xiàn)為安全基本要求，依據(jù)實現(xiàn)方式的不同，信息系統(tǒng)等級保護(hù)的安全基本要求分為技術(shù)要求和管理要求兩大類。根據(jù)威脅分析、安全策略中提出的基本要求和安全目標(biāo)，在整體保障框架的指導(dǎo)下，本節(jié)將就具體的安全技術(shù)措施和安全管理措施來設(shè)計安全解決方案，以滿足相應(yīng)等級的基本安全保護(hù)能力。可以使用防火墻和入侵防御產(chǎn)品實現(xiàn)上述功能要求。進(jìn)行邊界安全防護(hù)的首要任務(wù)是明確安全邊界，遼寧省 XXXX 網(wǎng)絡(luò)安全邊界歸為信息外網(wǎng)第三方安全邊界、信息內(nèi)網(wǎng)第三方安全邊界、信息內(nèi)外網(wǎng)安全邊界、信息內(nèi)網(wǎng)縱向安全邊界及橫向域間安全邊界五類。 遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 9? 防火墻設(shè)備能為用戶定制安全策略，提供靈活性。 ? 隨著性能的提高，大型企業(yè)和服務(wù)提供商也可以使用防火墻作為優(yōu)化的整體解決方案的一部分，可擴(kuò)展性好，蘊(yùn)藏的增長潛力可觀。進(jìn)行網(wǎng)絡(luò)環(huán)境安全防護(hù)的目標(biāo)是防范惡意人員通過網(wǎng)絡(luò)對應(yīng)用系統(tǒng)進(jìn)行攻擊，同時阻止惡意人員對網(wǎng)絡(luò)設(shè)備發(fā)動的攻擊，在安全事件發(fā)生前可以通過集中的日志審計、入侵檢測事件分析等手段發(fā)現(xiàn)攻擊意圖，在安全事件發(fā)生后可以通過集中的事件審計系統(tǒng)及入侵檢測系統(tǒng)進(jìn)行事件追蹤、事件源定位以發(fā)現(xiàn)惡意人員位置或及時制定相應(yīng)的安全策略防止事件再次發(fā)生。入侵防范XXXX 外網(wǎng)與 Inter 連接，安全風(fēng)險非常高，目前只有一臺防火墻可提供安全防范功能，為提高安全防護(hù)能力，在 XXXX 外網(wǎng)部署一臺入侵防御系統(tǒng)，監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，形成防火墻之外的第二道安全閘門，充分保障 XXXX 網(wǎng)絡(luò)的安全性。遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 10安全接入控制基于網(wǎng)絡(luò)設(shè)備的準(zhǔn)入控制目前主要依賴如 等控制協(xié)議，可以控制到非注冊主機(jī)無法正常使用網(wǎng)絡(luò)，網(wǎng)內(nèi)主機(jī)無法接入外網(wǎng)等。依據(jù)業(yè)內(nèi)信息系統(tǒng)口令管理規(guī)定，網(wǎng)絡(luò)設(shè)備及安全設(shè)備定期更換口令，使用強(qiáng)度高的口令?？诹钜皶r更新，要建立定期修改制度，其中系統(tǒng)管理員口令修改間隔不遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 11得超過 3 個月，并且不得重復(fù)使用前 3 次以內(nèi)的口令。安全事件審計設(shè)定網(wǎng)絡(luò)設(shè)備、服務(wù)器日志輸出至專門的日志服務(wù)器，日志服務(wù)器可依靠安全事件管理平臺（SOC）完成；配置文件備份重要網(wǎng)絡(luò)設(shè)備及安全設(shè)備的配置均分兩份存放于網(wǎng)絡(luò)管理人員 AB 角色個人主機(jī)上，保證在問題發(fā)生時能夠快速恢復(fù)；. 主機(jī)系統(tǒng)防護(hù)應(yīng)用服務(wù)器承載著遼寧省 XXXX 的應(yīng)用系統(tǒng)及業(yè)務(wù)數(shù)據(jù)，對應(yīng)用服務(wù)器的安全應(yīng)當(dāng)從操作系統(tǒng)安全和數(shù)據(jù)庫安全兩個層面進(jìn)行設(shè)計：操作系統(tǒng)安全：操作系統(tǒng)是承載業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫應(yīng)用的基礎(chǔ)載體，是業(yè)務(wù)應(yīng)用安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問題，將對業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)安全造成嚴(yán)重威脅，關(guān)于操作系統(tǒng)安全，主要通過如下安全措施完成：操作系統(tǒng)基礎(chǔ)防護(hù)服務(wù)器應(yīng)采用一定的安全措施，主要有補(bǔ)丁管理、網(wǎng)絡(luò)防病毒系統(tǒng)部署、定期漏洞掃描、安全加固等方式進(jìn)行針對系統(tǒng)的安全加固，可以制定系統(tǒng)安全加固要求，針對Windows、Unix（AIX、Solaris、HPUX、linux）等系統(tǒng)分別制定安全加固手冊訪問控制實現(xiàn)系統(tǒng)層面的訪問控制，針對訪問的主體和客體進(jìn)行識別，劃分，授權(quán)。\t\t/var/adm/syslog\n \ /etc/touch /var/adm/authlog /var/adm/syslogchown root:system /var/adm/authlogchmod 600 /var/adm/authlogchmod 640 /var/adm/syslogstopsrc s syslogdstartsrc s syslogd配置 syslogd 發(fā)送系統(tǒng)日志到遠(yuǎn)程主機(jī)說明：通過 syslogd 配置文件，設(shè)置發(fā)送系統(tǒng)日志到第三方主機(jī)操作：遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 13printf \t\tloghost*.info。遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 14系統(tǒng)備份制定系統(tǒng)備份計劃，實現(xiàn)定期對操作系統(tǒng)及運(yùn)行于操作系統(tǒng)之上的業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)程序進(jìn)行備份；定期或在操作系統(tǒng)環(huán)境、數(shù)據(jù)庫、應(yīng)用系統(tǒng)發(fā)生變更時進(jìn)行備份恢復(fù)測試。由于終端設(shè)備有流動性大、位置分散、數(shù)量眾多、難于管理等特點，除了需要安裝防病毒軟件進(jìn)行計算機(jī)病毒防護(hù)外，還需要進(jìn)行終端級的防火墻控制、入侵檢測、補(bǔ)丁管理，以更好地保障桌面終端的安全。遼寧省 XXXX 桌面終端分為內(nèi)網(wǎng)桌面終端與外網(wǎng)桌面終端，內(nèi)網(wǎng)桌面終端用于信息內(nèi)網(wǎng)的業(yè)務(wù)操作及信息處理，外網(wǎng)桌面終端用于外網(wǎng)信息訪問。. 身份認(rèn)證機(jī)制、用戶權(quán)限及訪問控制在內(nèi)網(wǎng)服務(wù)器區(qū)部署安全訪問控制網(wǎng)關(guān) SAG，SAG 能夠在核實運(yùn)維人員真實身份的基礎(chǔ)上，控制其可以訪問的目標(biāo)資源，以及可以使用的應(yīng)用，防范越權(quán)訪問，并能夠有效地對運(yùn)維人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等資源的行為進(jìn)行記錄和審計，從而實現(xiàn)對運(yùn)維人員維護(hù)操作的“事先授權(quán)、事中監(jiān)控、事后審計” ，極大地提高了運(yùn)維管理的安全性。 遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 17? 阻止間諜軟件的威脅，保護(hù)企業(yè)機(jī)密。 ? 阻止 P2P 應(yīng)用可能導(dǎo)致的企業(yè)重要機(jī)密信息泄漏和可能引發(fā)的與版權(quán)相關(guān)的法律問題。 ? 智能、自動化的安全防御，降低企業(yè)整體的安全費用以及對于網(wǎng)絡(luò)安全領(lǐng)域人才的需求。選型建議： 通過部署入侵防御系統(tǒng)，實現(xiàn)對外網(wǎng)各重要區(qū)域的入侵防范詳細(xì)部署說明名稱 編號 部署位置 功能及說明外網(wǎng)系統(tǒng)域 ? 監(jiān)聽安全域內(nèi)的網(wǎng)絡(luò)連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件入侵防御 IPS_01外網(wǎng)桌面域 ? 監(jiān)聽安全域內(nèi)的網(wǎng)絡(luò)連接，阻斷攻擊行為? 發(fā)現(xiàn)病毒蠕蟲等事件 盾部署時至今日，Web 網(wǎng)站在某種意義上已經(jīng)代表了一個組織的公開存在，成為政府、企業(yè)以及教育等各類組織最重要的信息發(fā)布交流媒體；Web 技術(shù)改變了信息傳遞、交換的方式；使社會變得更加平等高效。各類 Web 攻擊飛速增長，極大地困擾著用戶，給組織的信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的威脅。 遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 18Web 攻擊涉及到網(wǎng)絡(luò)通信、系統(tǒng)應(yīng)用層及數(shù)據(jù)文件等多個層面，從硬件設(shè)備到系統(tǒng)服務(wù)等多方面的問題，單一的安全技術(shù)很難完善的解決防護(hù)問題。安氏領(lǐng)信由此推出了新一代產(chǎn)品——領(lǐng)信 Web 盾，為網(wǎng)站安全解決方案帶來了嶄新的面貌，在 XXXX 外網(wǎng)部署如下圖所示：遼寧省 XXXX 信息安全等級保護(hù)建設(shè)方案 19領(lǐng)信 Web 盾作為安氏領(lǐng)信公司自主研發(fā)的創(chuàng)新安全產(chǎn)品，主要防護(hù)對象是向面向互聯(lián)網(wǎng)提供信息服務(wù)的 Web 網(wǎng)站，提供平臺安全、數(shù)據(jù)安全、通信安全、應(yīng)用安全、運(yùn)行安全的全方位的保障。領(lǐng)信 Web 盾是一款全新的 Web 網(wǎng)