项目背景
Y县环保局以科学发展观统揽全局,大力推行城区集中供热、供气、加强烟尘治理,为全县优质空气环境质量贡献不菲的价值。
随着Internet的普及,人们对网络的依赖性越来越强,但是由于Internet的开放性、设计时对信息的保密和系统的安全性考虑不够完备,造成网络的攻击与破坏事件层出不穷,对人们的日常生活和经济社会造成了很大的麻烦。而自2000年以来,网络攻击事件也越来越多地集中到网络应用上。
Y县环保局作为网络运营者,信息数据民生息息相关,重要性不言而喻。无论从网络安全防御技术层面还是从网络安全法、等级保护制度、行业指导规范的合规、合法上来说,完善的网络安全技术手段,保护关键基础设施安全、重要信息数据安全势在必行。
需求分析
安全技术需求
边界防护:边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。
访问控制:对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
入侵防范:各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
安全审计:在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。
可信验证:对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口、USB接口,这对于随时随地快速接入到Y县环保局业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来U盘、移动存储不加阻拦的接入到网络中来,就有可能破坏网络环境,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的移动存储介质,能够阻断其访问,保护好已经建立起来的安全环境。
安全管理需求
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。主要包括:安全管理制度、安全管理机构、安全管理人员。
规划建议
设计目标
本次整改建设完成后Y县环保局网络在统一的安全防护策略下具有抵御大规模、较强恶意攻击的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭受损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。使系统具有在统一安全策略管控下,保护敏感资源的能力,并保障基础计算资源和应用程序可信,确保关键执行环节可信。
设计思路
构建纵深的防御体系:在方案设计过程中应从技术和标准两个方面考虑,在采取由点到面的各种安全措施时,在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证Y县环保局整体的安全防御能力,应从通信网络、网络边界、局域网络内部,形成纵深防御体系。
采取互补的安全措施:方案设计应遵从互补原则,在将各种安全控制措施落实到Y县环保局网络中时,应考虑各个安全措施之间的互补性,关注各个安全控制在层面内,层面间和功能间产生的链接、交互、协调、协同等相互关联关系,保证各个安全控制共同综合作用于Y县环保局网络上,使得Y县环保局网络的整体安全保护能力得以保证。
方案总体拓扑设计
根据Y县环保局网络信息化建设现状,结合网络安全通用技术要求对Y县环保局网络安全规划如下图:
安全技术体系设计
边界防护、访问控制:在Y县环保局的网络边界、政务网办公与互联网的网络边界以透明模式部署1台下一代防火墙;采用逻辑隔离的方式对防火墙配置基于端口的访问控制策略,并启用入侵防御和防病毒安全检测引擎,确保所有跨越网络边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理;
入侵防范:在互联网区和政务办公区域部署专业的APT攻击预警平台;通过镜像引流的方式接入,实时发现从外部网络发起的网络攻击行为,检测来自其它网络区域的攻击流量对重要区域造成影响。并记录攻击行为的攻击源IP、攻击类型、攻击目标、攻击时间等,向运维管理人员发送告警信息。
安全审计:在互联网以透明串接模式部署上网行为管理,对Y县环保局办公外网终端访问互联网的行为进行分析、审计和控制,防止内部员工上班时间违规内容或在网上发表违规言论,同时设置日志归并时间为6个月以上,保存至少6个月的访问日志,以便协助公安调查取证。
可信验证:在Y县环保局互联网和政务网中分别部署EDR终端管理系统,对终端PC、服务器等设备进行管控,防止人员终端自身的安全问题影响业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常适合于对数据中心运维终端的安全管理。
管理技术体系设计
安全管理制度
根据管理制度建设的要求,对安全策略体系进行规划。体系包括确定Y县环保局信息安全愿景和使命的信息安全总体目标,约束和指导人员信息安全工作的规章制度、管理办法和工作流程,规范系统、网络和安全管理员进行安全操作的技术标准和规范,文档结构如下图所示:
信息安全方针是纲领性的安全策略主文档,阐述了安全策略的目的、适用范围、信息安全目标、信息安全的管理意图等,是信息安全各个方面所应遵守的原则方法和指导性策略。是安全方面工作的最高指导文件。
规章制度
1)《信息安全组织体系和职责》:规定安全组织机构的职责和工作。
2)《信息安全岗位人员管理办法》:加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查。
3)《信息安全工作人员安全管理办法》:工作人员在录用、调动、离职过程中的信息安全管理,提出对信息安全培训及教育、奖励和考核的要求。
4)《信息安全培训及教育管理办法》:信息安全培训的要求和主要内容。
5)《信息安全第三方人员安全管理办法》:必须加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方签署安全责任协议,明确其安全责任。
6)《安全检查及考核管理办法》建立安全检查制度和安全处罚制度,对违反规章制度的处室和人员按照规定进行处罚。
7)《信息安全体系管理办法》:建设完整安全体系,实现从设计、实施、修改和维护生命周期的安全体系自身保障。
8)《信息安全策略管理办法》:安全策略本身应规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障。
9)《信息安全安全现状评估管理办法》:信息安全体系的建设和维护,要通过及时获知和评价信息安全的现状,通过对于安全现状的评估,实施信息安全建设工作,减少和降低信息安全风险,提高信息安全保障水平。
10)《信息安全信息资产管理办法》:必须加强信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。
11)《信息安全IT设备弱点评估及加固管理办法》:增强主机系统和网络设备的安全配置,应定期进行安全评估和安全加固。
12)《信息安全预警管理办法》:对安全威胁提前预警,及时将国内外安全信息通知各级信息安全管理人员及工作人员,确保能够及时采取应对措施,以此降低信息安全风险。
13)《信息安全安全审计及监控管理办法》:应部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施,保障业务系统的安全运行。
14)《信息安全项目立项安全管理办法》:加强项目建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全评估和论证的管理。
15)《安全运行维护管理办法》:建立日常维护操作规程和变更控制规程,规范日常运行维护操作。
16)《信息安全配置变更管理办法》:严格控制和审批任何变更行为。
17)《信息安全病毒防护管理办法》:加强病毒防治工作,提升病毒整体防护能力,降低并防范病毒对于业务造成的影响。
18)《信息安全补丁管理办法》:按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程进行补丁安全管理。
19)《信息安全账号口令及权限管理办法》:加强用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。
20)《信息安全应急响应管理办法》:制定各业务系统的应急方案,及时发现、报告、处理和记录。
安全人员管理
1) 定期的人员考核:应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核,作为人员是否适合当前岗位的参考;
2) 定期的人员审查:对关键岗位人员,应定期进行审查,如发现其违反安全规定,应控制使用;
3) 管理有效性的审查:对关键岗位人员的工作,应通过例行考核进行审查,保证安全管理的有效性;并保留审查结果;
4) 全面严格的审查:对所有安全岗位人员的工作,应通过全面考核进行审查,如发现其违反安全规定,应采取必要的应对措施。
5) 应知应会要求:应让信息系统相关工作人员知晓信息的敏感性和信息安全的重要性,认识其自身的责任和安全违例会受到纪律惩罚,以及应掌握的信息安全基本知识和技能等;
6) 有计划培训:制定并实施安全教育和培训计划,根据不同培训对象的需要,每季度或每半年进行安全培训,培养信息系统各类人员安全意识,并提供对安全政策和操作规程的认知教育和训练等;
7) 针对不同岗位培训:针对不同岗位,制定不同的专业培训计划,包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等;
8) 按人员资质要求培训:对所有工作人员的安全资质进行定期检查和评估,使相应的安全教育成为组织机构工作计划的一部分;
9) 培养安全意识自觉性:对所有工作人员进行相应的安全资质管理,并使安全意识成为所有工作人员的自觉存在。
安全服务设计
安全咨询服务
建议由专业的安全服务机构对重要业务系统进行全面的安全管理体系建设咨询。参考国内外相关标准和国内的安全规范要求,根据业务特点,协助管理部门进行安全管理组织、安全管理职责、安全管理策略、安全管理制度、安全管理流程等的制定和优化(对已有策略),帮助推动安全管理制度的有效落地,为信息安全管理和运维提供更好的指导和支持,确保信息安全管理正规有序。
安全评估服务
网络设备评估
根据信息系统中设备类型的不同,对核心层、交换层和接入层及防火墙、入侵检测等边界网络安全设备的访问控制和安全策略,现状有针对性进行风险评估。
操作系统评估
网络服务器及可互联终端的安全始终是信息系统安全的一个重要方面,攻击者往往通过控制它们来破坏系统和信息,或扩大已有的破坏。
网络攻击的成功与否取决于三个因素:攻击者的能力;攻击者的动机;攻击者的机会。正常情况下,我们是无法削弱攻击者的能力和动机这两个因素,但有一点我们可以做到减少他们的攻击机会。
对操作系统开放的服务、安全配置、访问控制、系统漏洞进行安全脆弱性风险评估。
应急响应服务
紧急事件响应,是当安全威胁事件发生后迅速采取的措施和行动,其目的是最快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。
紧急事件主要包括:
病毒和蠕虫事件
黑客入侵事件
误操作或设备故障事件
但通常在事件爆发的初始很难界定具体是什么。所以,通常又通过安全威胁事件的影响程度来分类:
单点损害:只造成独立个体的不可用,安全威胁事件影响弱。
局部损害:造成某一系统或一个局部网络不可使用,安全威胁事件影响较高。
整体损害:造成整个网络系统的不可使用,安全威胁事件影响高。
当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟踪。
准备工作:
建立客户事件档案
与客户就故障级别进行定义
准备安全事件紧急响应服务相关资源
为一个突发事件的处理取得管理方面支持
组建事件处理队伍
提供易实现的初步报告
制定一个紧急后备方案
随时与管理员保持联系
识别事件
在指定时间内指派安全服务小组去负责此事件
事件抄送专家小组
初步评估,确定事件来源
注意保护可追查的线索,诸如立即对日志、数据进行备份(应该保存在磁带上或其它不联机存储设备)
联系客户系统的相关服务商厂商
缩小事件的影响范围
确定系统继续运行的风险如何,决定是否关闭系统及其它措施
客户相关工作人员与本公司相关工作人员保持联系、协商
根据需求制定相应的应急措施
解决问题
事件的起因分析
事后取证追查
后门检查
漏洞分析
提供解决方案
结果提交专家小组审核
后续工作
检查是不是所有的服务都已经恢复
攻击者所利用的漏洞是否已经解决
其发生的原因是否已经处理
保险措施,法律声明/手续是否已经归档
应急响应步骤是否需要修改
生成紧急响应报告
拟定一份事件记录和跟踪报告
事件合并/录入专家信息知识库
预期成果
整体安全建设
通过安全建设,主要解决Y县环保局信息系统的网络安全问题,并在一定程度上降低网络及系统漏洞的风险。使业务网络能面对目前和未来一段时期内的安全威胁,实现对业务网络安全状况的统一监控和管理,更好地保障Y县环保局系统的正常运行。
(1)、Y县环保局业务系统得到安全保障,重要的资源免受黑客入侵的威胁。
(2)、准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,降低安全风险,满足合规性审计要求,保护Y县环保局资产安全。
提供持续安全服务
选择专业的安全解决方案领导厂商,具备前瞻性的安全研究能力,提供领先的安全产品、专业的安全服务、优秀的解决方案;
选择基于多年安全积累的安全厂商,将最佳安全实践产品化,产品、服务、方案切合国内安全需求;
选择的安全厂商全部产品自主研发,依托专业的安全研究团队,保证持续稳定的软件版本升级和规则库升级;
选择的安全厂商具备强大的研发能力和技术支持团队经验。