政务云安全设计方案
政务云安全设计方案
目录
一、项目概述 (7)
1.1建设目标 (7)
1.2设计原则 (7)
1.3参考依据 (8)
二、总体设计架构 (10)
2.1总体框架设计 (10)
2.2政务外网安全架构设计 (11)
2.3政务内网安全架构设计 (13)
2.4政务内外网摆渡区架构设计 (15)
2.5政务内外网架构总体设计(含县区) (16)
三、安全体系设计 (16)
3.1总体安全策略 (16)
3.2网络安全 (18)
3.2.1 网络结构安全 (18)
3.2.2 网络安全审计 (19)
3.2.3 网络访问控制 (19)
3.2.4 边界完整性检查 (20)
3.2.5 入侵防范 (20)
3.2.6 恶意代码防范 (21)
3.2.7 网络设备防护 (22)
3.3.1 身份鉴别 (24)
3.3.2 访问控制 (24)
3.3.3 安全审计 (25)
3.3.4 剩余信息保护 (26)
3.3.5 入侵防范 (26)
3.3.6 恶意代码防范 (27)
3.3.7 资源控制 (28)
3.4应用安全 (28)
3.4.1 身份鉴别 (28)
3.4.2 访问控制 (29)
3.4.3 安全审计 (30)
3.4.4 剩余信息保护 (30)
3.4.5 通信完整性 (31)
3.4.6 通信保密性 (31)
3.4.7 抗抵赖 (32)
3.4.8 软件容错 (32)
3.4.9 资源控制 (33)
3.5数据安全 (34)
3.5.1 数据传输安全 (34)
3.5.2 数据完整性与保密性 (34)
3.5.3 数据备份与恢复 (35)
四、总体实施方案概述 (38)
4.1项目管理 (38)
4.1.1 项目整体管理 (38)
4.1.2 项目管理范围 (40)
4.1.3 项目进度管理 (41)
4.1.4 项目成本管理 (43)
4.1.5 项目质量管理 (43)
4.1.6 项目人力资源管理 (46)
4.1.7 项目沟通管理 (47)
4.1.8 文档与配置管理 (48)
4.1.9 项目变更管理 (49)
4.1.10 信息系统安全管理 (50)
4.1.11 项目风险管理 (51)
4.1.12 项目验收管理 (52)
4.2建设范围及内容 (52)
4.3项目管理组织机构 (53)
4.3.1 项目组织计划涉及的内容 (53)
4.3.2 人员组织架构 (61)
4.4实施规划 (66)
4.4.1 实施环节规划总表 (66)
4.4.2 设备订货及到货 (66)
4.4.4 检测方案 (69)
五、技术培训 (70)
5.1.1 培训计划 (70)
5.1.2 培训流程 (72)
5.1.3 培训内容 (72)
5.1.4 培训方式 (76)
5.1.5 培训目标 (77)
5.1.6 培训对象 (77)
5.1.7 培训管理 (77)
六、售后服务方案 (78)
6.1技术服务机构 (78)
6.2售后维保服务目标 (80)
6.3维保服务方式 (80)
6.3.1 远程支持 (81)
6.3.2 现场支持 (81)
6.3.3 预防性健康检查方式 (81)
6.3.4 服务响应时间 (81)
6.4设备保修及故障处理 (82)
6.4.1 设备保修及部件调整 (82)
6.4.2 故障处理及解决时限 (82)
6.5预防性健康检查服务 (83)
6.5.1 巡检计划 (83)
6.5.2 巡检内容 (84)
6.5.3 维护保养时间计划表 (84)
6.5.4 升级及应急演练服务 (86)
6.5.5 技术咨询服务 (86)
6.6厂商配合及服务文档 (86)
6.6.1 技术服务配合协调 (86)
6.6.2 服务文档 (87)
6.7保密承诺 (87)
七、实施应急方案 (87)
7.1应急流程 (87)
7.2风险分析与预防措施 (88)
7.3应急处理措施 (89)
八、技术转移 (90)
8.1系统集成项目测试计划编写规范 (91)
8.2项目工作情况周报 (92)
8.3个人工作情况周报 (93)
8.4文档管理 (95)
一、项目概述
1.1建设目标
依照国家相关法律、法规要求,结合智慧城市业务、应用、数据、基础设施等架构的规划,以提升信息安全保障能力为总目标,以安全防护和集中监控为基础,以安全检查、风险评估、等级保护为抓手,以应急机制为保障,适应大数据、云计算和基于公共网络面向公众的要求,为许昌电子政务信息化发展提供有效的信息安全保障。
充分调研安全防护现状,合理规划安全域,制订可具体操作的安全策略,并在充分利用信息安全设施的基础上,构建信息系统的安全技术体系、安全管理体系与服务体系,形成集防护、检测、响应、恢复于一体的安全保障体系,保证各系统等信息系统安全稳定运行,以满足智慧城市全方位的安全保护需求。
1.2设计原则
1.统一规划,集约建设:
基于电子政务网络的特点,着眼全局,以统一的规划、制度、标准和技术体系对建设和管理加以规范,同时综合考虑先进、成熟的技术的利用和未来系统升级拓展的需求,对基础设施进行集约建设,提高投资效能。
2.需求主导,实用高效:
紧紧围绕电子政务工作需求,立足实际,急用先行,突出重点,先易后难,着力建设实用高效的电子政务网络系统。
3.整合资源,创新发展:
加强资源整合,避免重复建设。不断推进技术、管理和服务创新,实现电子政务网络可持续发展。
4.防控结合,保障安全:
坚持积极防御、综合防范的方针,严格落实等级保护机制,优先采用国产化设备和系统,综合运用信息安全技术,强化电子政务网络安全措施和管理,做到既确保安全又方便使用。
1.3参考依据
1.GB-17859 计算机信息系统安全等级保护划分准则
2.GBT-22240 信息系统安全保护等级定级指南
3.GBT-22239 信息系统安全等级保护基本要求
4.GBT-25070 信息系统等级保护安全设计技术要求
5.GBT-25058 信息系统安全等级保护实施指南
6.信息系统安全等级保护测评指南
7.GBT-20270 网络基础安全技术要求
8.GBT-20271 信息系统通用安全技术要求
9.GBT-21052 信息系统物理安全技术要求
10.GBT-20269 信息系统安全管理要求
11.GBT-20984 信息安全风险评估规范
12.GAT708 信息系统安全等级保护体系框架
二、总体设计架构
2.1总体框架设计
根据风险分析、需求分析,结合政务云数据中心实际情况,以国家等级保护三级防护为指导方针,设计出信息安全体系框架,具体如下图:
2.2政务外网安全架构设计
安全域划分:互联接入区、核心交换区、核心业务区、核心数据区、业务服务区与运维管理区。
互联接入区:用于电子政务外网接入,主干设备采用“口字型”,双机架构部署,防止单点故障,提高链路稳定性与可靠性,流量清洗、防火墙、入侵防护系统、防病毒网关采用透明模式部署,链路负载均衡设备采用路由模式部署,进行智能选路与DNS解析,设备之间开启链路探测技术,
一台设备故障进行单条链路的整体切换,保障业务持续稳定运行。
核心交换区:部署核心交换网络,旁路部署APT威胁检测系统,通过端口镜像方式采集全网流量,针对恶意代码与未知威胁数据进行检测,当发现威胁时,及时告警并通过与入侵防护系统联动,进行入侵威胁阻断。
业务服务区:部署统一门户与部分对外提供服务的前置系统。双机架构,透明串行部署WAF,针对SQL注入、XSS跨站等针对http/https应用系统的攻击代码进行检测并阻断,实时监控后台门户服务器的健康状态,形成详细的报表。部署网页防篡改系统,针对动、静态页面进行保护,防止页面篡改造成不良影响。旁路部署SSL VPN系统,针对远程接入业务与需求,提供身份鉴别、数据加密并能够与堡垒机进行联动,实现外部远程加密运维调试。
运维管理区:旁路部署运维堡垒主机、漏洞扫描系统与日志审计系统。堡垒主机用于运维管理与审计,漏洞扫描进行主机、中间件、应用与数据库扫描,并提供漏洞修补建议方案。日志审计用于采集前端网络设备、安全设备、主机、应用与数据库日志系统,进行日志规范化,形成日志记录并针对违反安全规则的日志信息进行预警。
核心业务区:旁路部署业务网审计系统,实现“人-应用-中间件”全方位审计机制,监测业务操作数据流量,监测违规与恶意业务操作行为并及时预警。
2.3政务内网安全架构设计
安全域划分:内网接入区、核心交换区、核心业务区、核心数据区、终端用户区与运维管理区。
互联接入区:用于电子政务内网接入,主干设备采用“口字型”,双机架构部署,防止单点故障,提高链路稳定性与可靠性,防火墙、入侵防护系统采用透明模式部署,设备之间开启链路探测技术,一台设备故障进行单条链路的整体切换,保障业务持续稳定运行。
核心交换区:部署核心交换网络,旁路部署APT威胁检测系统,通过端口镜像方式采集全网流量,针对恶意代码与未知威胁数据进行检测,当发现威胁时,及时告警并通过与入侵防护系统联动,
进行入侵威胁阻断。
终端用户区:部署统一的内网终端安全控制系统,实现网络准入、非法外联、软件与补丁分发,外设控制、介质管理、终端行为审计等功能。
运维管理区:旁路部署运维堡垒主机、漏洞扫描系统、日志审计系统、终端管理服务器端与大数据云安全管理监控平台。堡垒主机用于运维管理与审计,漏洞扫描进行主机、中间件、应用与数据库扫描,并提供漏洞修补建议方案。日志审计用于采集前端网络设备、安全设备、主机、应用与数据库日志系统,进行日志规范化,形成日志记录并针对违反安全规则的日志信息进行预警。大数据云安全管理监控平台,将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得客户能够实时掌控网络的安全态势,与各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。它完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对内部安全管理人员的相关操作进行日志记录。
核心业务区:旁路部署虚拟化安全防护系统,将虚拟化内部“东西”向数据流量牵引至物理机外部,利用已部署的安全产品进行恶意代码检测与预警,防止物理机内部虚机之间传输恶意代码流量。
核心数据区:旁路部署数据库审计系统,针对数据库操作流量进行安全检测与控制,防止违规数据操作指令下发并形成详细的数据库操作审计记录,做到事后责任的精确追溯。
2.4政务内外网摆渡区架构设计
部署业务需要电子政务内外网进行定向的数据传输与同步,设计如下内外网数据摆渡区:防火墙:边界访问控制设备,防止由外网发起的未授权或违规的向内网访问的数据流量。
入侵检测系统:配置两路监听授权,旁路部署方式进行应用层入侵威胁检测,当检测到应用层威胁数据报文时,通过与防火墙系统联动,进行数据传输阻断,形成七层安全防护体系。
网络审计系统:针对内外网之间的应用访问与数据操作行为进行全面审计记录,当检测违规应用数据操作行为及时记录并预警。
单向导入系统:针对数据出入内网,各部署一套单向导入系统,进行数据格式与内容过滤,只允许在前置系统与后置系统之间的定向UDP访问与文件传输。
安全隔离与信息交换系统:针对部分需双向进行TCP数据传输的业务系统,,通过安全隔离与信息交换系统进行授权数据访问并进行数据格式规范与内容过滤。
2.5政务内外网架构总体设计(含县区)
针对县区接入机房,通过部署防火墙与入侵防御系统形成七层全访问防护体系。
防火墙:边界访问控制设备,路由模式部署,防止未授权访问,过滤违规数据报文并通过标准的syslog向市级中心的日志审计系统进行日志信息上报。;
入侵防护系统:透明串行部署,针对应用层数据进行深度代码检查,发现应用层攻击代码进行阻断并形成详细的报表记录。
三、安全体系设计
根据风险分析中提出的防护策略,在整体保障框架的指导下,本节将就具体的安全技术措施、安全管理措施与服务措施来设计安全体系保障方案,以满足相应等级的基本安全保护能力。
3.1总体安全策略
遵循国家、地方相关法规和标准;
●贯彻等级保护和分域保护的原则;
●管理与技术并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系;
●充分依托已有的信息安全基础设施,加快、加强信息安全保障体系建设。
●第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。
在技术策略方面,第三级要求按照确定的安全策略,实施强制性的安全保护,使数据信息免遭非授权的泄露和破坏,保证较高安全的系统服务。这些安全技术主要包括物理层、网络层、系统层、应用层、数据层的以下内容:
?对计算机、网络的设备、环境和介质采用较严格的防护措施,确保其为信息系统的安全运行提供硬件支持,防止由于硬件原因造成信息的泄露和破坏;
?通过对政务云内各组成部分采用网络安全监控、安全审计、数据、设备及系统的备份与恢复、集中统一的病毒监控体系、两种鉴别方式组合实现的强身份鉴别、细粒度的自主访问控制、满足三级要求的操作系统和数据库、较高强度密码支持的存储和传输数据的加密保护、客体重用等安全机制,实现对政协云内的信息安全保护和系统安全运行的支持;
?采用分区域保护和边界防护(如应用级防火墙、网络隔离部件、信息过滤和边界完整性检查等),在不同区域边界统一制定边界访问控制策略,实现不同安全等级区域之间安全互操作的较严格控制;
?按照系统化的要求和层次化结构的方法设计和实现安全子系统,增强各层面的安全防护能力,通过安全管理中心,在统一安全策略下对系统安全事件集中审计、集中监控和数据分析,并做出响应和处理,从而构建较为全面的动态安全体系。
3.2网络安全
3.2.1网络结构安全
网络结构的安全是网络安全的前提和基础,对于本次电子政务内外网建设,每个层、区域的线路和设备均采用冗余设计。经过合理规划,在终端与服务器之间建立安全访问路径。
本次安全架构设计如下图:
如上图所示,核心网络设备、防火墙、入侵防御等均为双机冗余结构设计,设计除了可以避免因一台设备或单个系统异常而导致业务中断外,还可以对系统业务流量负载分担,避免大流量环境下线路拥堵和带宽不足的问题。采取的主要技术措施如下:
(1)主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要,同时具有可扩展、可管理等特性。
(2)采用双运营商高带宽链路保障了业务要求。
(3)通过采用防火墙、交换机等设备,在业务终端与业务服务器之间建立了安全的访问路径。
(4)在网络设备(防火墙、路由器、交换机)上配置优先级,通过技术手段(ACL依次匹配、QOS等)对业务服务的重要次序来指定分配,保证在网络发生拥堵的时候优先保护重要主机。3.2.2网络安全审计
网络安全审计系统主要用于审计记录网络中的各类网络、应用协议与数据库业务操作流量,监控系统中存在的潜在威胁,综合分析安全事件,包括各种域间和域内事件。
审计体系采用旁路部署网络安全审计系统,对全网数据流进行监测、审计记录,同时和其它网络安全设备共同为集中安全管理平台提供监控数据用于分析预警并生成详细的审计报表。
主要技术措施如下:
(1)安全审计系统对网络中的数据库行为、业务操作、网络协议、应用协议等进行审计记录;
(2)审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
(4)应能够根据记录数据进行分析,并生成审计报表;
(5)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
3.2.3网络访问控制
访问控制是网络系统安全防范和保护的主要策略之一,它的主要任务是保证系统资源不被非法使用,是系统安全、保护网络资源的重要手段。而安全访问控制的前提是必须合理的建立安全域,根据不同的安全访问控制需求建立不同的安全域。
本次电子政务内网建设,采用防火墙+准入控制的方式对终端设备(包含网络打印机)实现安全准入管理。技术防护机制如下:部署终端准入控制系统,通过安全策略制定,结合接入交换机,实现网络准入控制。为了防止交换机更换、配置修改或主机变更,致使在网络边界无法有效控制未授权终端接入的情况发生,在核心安全域边界防火墙配置了与终端准入控制系统联动策略,进行终端接入的二次验证审核,针对不满足接入安全基线的终端进行二次控制与授权
通过对系统网络的边界风险与需求分析,在网络层进行访问控制部署防火墙产品,同时设置相应的安全策略(基线),对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。
3.2.4边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。利用非法外联监控和非法内接监控设备来进行网络边界完整性检查。
非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
对于非法外联,可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。
3.2.5入侵防范
基于网络的开放性与自由性,网络中存在各种未知的威胁和不法分子的攻击。网络入侵检测和