網絡安全等級保護工程

建設項目建設方案建設方案2021年TOC\o"1-5"\h\z\o"CurrentDocument"1背景概述 3\o"CurrentDocument"1.1建設背景 3\o"CurrentDocument"1.2文件要求 3\o"CurrentDocument"1.3參考依據 3\o"CurrentDocument"2安全防護總體要求 4\o"CurrentDocument"2.1系統性 4\o"CurrentDocument"2.2安全防護的目標及重點 4\o"CurrentDocument"2.3安全防護總體策略 4\o"CurrentDocument"2.4綜合安全防護要求 5\o"CurrentDocument"2.4.1安全區劃分原則 5\o"CurrentDocument"2.5綜合安全防護基本要求 5\o"CurrentDocument"2.5.1主機與網絡設備加固 5\o"CurrentDocument"2.5.2入侵檢測 5\o"CurrentDocument"2.5.3安全審計 6\o"CurrentDocument"2.5.4惡意代碼、病毒防范 6\o"CurrentDocument"3需求分析 6\o"CurrentDocument"3.1安全風險分析 6\o"CurrentDocument"3.2安全威脅的來源 7\o"CurrentDocument"4設計方案 9\o"CurrentDocument"4.1拓撲示意 9\o"CurrentDocument"4.2安全部署方案 10\o"CurrentDocument"4.2.1下一代防火墻（上網行為管理及入侵防御） 10\o"CurrentDocument"4.2.2日志審計系統 10\o"CurrentDocument"4.2.3運維審計系統（堡壘機） 13\o"CurrentDocument"4.2.4數據庫審計系統 15\o"CurrentDocument"4.2.5網絡防病毒系統 16\o"CurrentDocument"4.2.6災備系統 17\o"CurrentDocument"4.2.7統一身份管理系統 181背景概述1.1建設背景隨著科技的進步和時代的發展，網絡已經徹底地融入到我們生活的各行各業，網絡安全問題直接關系到國家的金融環境和信息安全。只有保證網絡信息的安全性，國家安全和社會信息安全才會有可靠的保障。1.2文件要求根據《中華人民共和國網絡安全法》，水利相關單位是國家關鍵信息基礎設施和網絡安全重點保護單位。監控、數據調度系統網絡空間大，涉及單位多，安全隱患分布廣，一旦被攻破將直接威脅安全生產。為進一步提業務系統、監控系統、數據系統、網絡的安全性和穩定性，需滿足以下文件要求及原則。滿足已投運設備接入的要求；滿足生產調度各種業務安全防護的需要；滿足責任到人、分組管理、聯合防護的原則；提高信息安全管理水平，降低重要網絡應用系統所面臨的的安全風險威脅，保證信息系統安全、穩定的運行，使信息系統在等級保護測評環節基本符合國家信息安全等級保護相應級別系統的安全要求。1.3參考依據本次網絡安全保障體系的建設，除了要滿足系統安全可靠運行的需求，還必須符合國家相關法律要求，同時基于系統業務的特點，按照分區分域進行安全控制《計算機信息系統安全保護等級劃分準則》(GB17859-1999)。2安全防護總體要求系統安全防護具有系統性和動態性的特點。2.1系統性其中以不同的通信方式和通信協議承載著安全性要求各異的多種應用。網絡采用分層分區的模式實現信息組織和管理。這些因素決定了系統的安全防護是一個系統性的工程。安全防護工作對內應做到細致全面，清晰合理；對外應積極配合上級和調度機構的安全管理要求。2.2安全防護的目標及重點局中心機房安全防護是系統安全生產的重要組成部分，其目標是：1） 抵御黑客、病毒、惡意代碼等通過各種形式對閥門監控系統發起的惡意破壞和攻擊，尤其是集團式攻擊。2） 防止內部未授權用戶訪問系統或非法獲取信息以及重大違規操作。3） 防護重點是通過各種技術和管理措施，對實時閉環監控系統及調度數據網的安全實施保護，防止閥門監控系統癱瘓和失控，并由此導致系統故障。2.3安全防護總體策略＞安全分區根據局中心機房業務的重要性和對各個系統的影響程度進行分區，所有系統都必須置于相應的安全區內。＞網絡專用安全區邊界清晰明確，區內根據業務的重要性提出不同安全要求，制定強度不同的安全防護措施。特別強調，為保護生產控制業務應建設調度數據網，實現與其它數據網絡物理隔離，并以技術手段在專網上形成多個相互邏輯隔離的子網，保障上下級各安全區的互聯僅在相同安全區進行，避免安全區縱向交叉。綜合防護綜合防護是結合國家信息安全等級保護工作的相關要求對各系統從主機、網絡設備、惡意代碼方案、應用安全控制、審計、備份等多個層面進行信息安全防護的措施。2.4綜合安全防護要求2.4.1安全區劃分原則各系統劃分為不同的安全工作區，反映了各區中業務系統的重要性的差別。不同的安全區確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。2.5綜合安全防護基本要求2.5.1主機與網絡設備加固廠級信息監控系統等關鍵應用系統的主服務器，以及網絡邊界處的通用網關機、Web服務器等，應當使用安全加固的操作系統。加固方式最好采用專用軟件強化操作系統訪問控制能力以及配置安全的應用程序，其中加固軟件需采用通過國家權威部門檢測的自主品牌。非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用調度數字證書，在網絡設備和安全設備實現支持HTTPS的縱向安全Web服務，能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。應當對外部存儲器、打印機等外設的使用進行嚴格管理或直接封閉閑置端口。2.5.2入侵檢測閥門監控業務區需統一部署一套網絡入侵檢測系統，應當合理設置檢測規則，檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。2.5.3安全審計閥門監控業務區的監控系統應當具備安全審計功能，能夠對操作系統、數據庫、業務應用的重要操作進行記錄、分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統中的操作行為，應該進行嚴格的安全審計。同時可以采用安全審計功能，對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析。2.5.4惡意代碼、病毒防范應當及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當經過測試。禁止閥門監控業務區與辦公業務區共用一套防惡意代碼管理服務器。3需求分析3.1安全風險分析局中心機房各系統面臨的主要風險優先級風險說明/舉例0旁路控制(BypassingControls)入侵者對發送非法控制命令，導致系統事故，甚至系統瓦解。1完整性破壞(IntegrityViolation)非授權修改控制系統配置、程序、控制命令；非授權修改交易中的敏感數據。2違反授權(AuthorizationViolation)控制系統工作人員利用授權身份或設備，執行非授權的操作。

優先級風險說明/舉例3工作人員的隨意行為(Indiscretion)控制系統工作人員無意識地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等。4攔截/篡改(Intercept/Alter)攔截或篡改調度數據廣域網傳輸中的控制命令、參數設置、交易報價等敏感數據。5非法使用(IllegitimateUse)非授權使用計算機或網絡資源。6信息泄漏(InformationLeakage)口令、證書等敏感信息泄密。7欺騙(Spoof)Web服務欺騙攻擊；IP欺騙攻擊。8偽裝(Masquerade)入侵者偽裝合法身份，進入閥門監控系統。9拒絕服務(Availability,.DenialofService)向調度數據網絡或通信網關發送大量雪崩數據，造成網絡或監控系統癱瘓。10竊聽(Eavesdropping,.DataConfidentiality)黑客在調度數據網或專線通道上搭線竊聽明文傳輸的敏感信息，為后續攻擊做準備。3.2安全威脅的來源辦公區等網絡不是一個孤立的系統，是和互聯網連接，提供員工上網的需求和對外信息發布的平臺，那么來自外部威脅的可能性非常大。例如應用系統遭受拒絕服務攻擊，信息泄露等。內部威脅內部人員有意或無意的違規操作給信息系統造成的損害，沒有建立健全安全管理機制使得內部人員的違規操作甚至犯罪行為給信息系統造成的損害等。病毒或惡意代碼目前病毒的發展與傳播途徑之多、速度之快、危害面之廣、造成的損失之嚴重，都已達到了非常驚人的程度。也是計算機信息系統不可忽略的一個重要安全威脅源。病毒和惡意代碼主要針對操作系統、數據庫管理系統、應用系統等軟件。病毒和惡意代碼的威脅主要來自內部網絡、USB盤、光盤等介質。自然災害主要的自然威脅是：?地震、水災、雷擊；?惡劣環境，如不適宜的溫度濕度，以及塵埃、靜電；?外電不穩定、電源設備故障等。管理層面的缺陷?管理的脆弱性在安全管理方面的脆弱性主要表現在缺乏針對性的安全策略、安全技術規范、安全事件應急計劃，管理制度不完善，安全管理和運行維護組織不健全，對規章、制度落實的檢查不夠等。?安全組織建設風險信息系統安全體系的建設對組織保障提出了更高的要求。?安全管理風險安全管理制度的建設還不全面，如：缺乏統一的用戶權限管理和訪問控制策略，用戶、口令、權限的管理不嚴密，系統的安全配置一般都是缺省配置，風險很大。對安全策略和制度執行狀況的定期審查制度及對安全策略和制度符合性的評估制度不夠完善。沒有根據各類信息的不同安全要求確定相應的安全級別，信息安全管理范圍不明確。缺乏有效的安全監控措施和評估檢查制度，不利于在發生安全事件后及時發現，并采取措施。缺乏完善的災難應急計劃和制度，對突發的安全事件沒有制定有效的應對措施，沒有有效的機制和手段來發現和監控安全事件，沒有有效的對安全事件的處理流程和制度。?人員管理風險人員對安全的認識相對較高，但在具體執行和落實、安全防范的技能等還有待加強。

4設計方案本方案重點描述局中心機房等與業務直接相關部分的安全防護。方案實現的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊，以及其它非法操作，防止局中心機房各個系統癱瘓和失控，并由此導致的一次系統事故。4.1拓撲示意操作系統安全是計算機網絡系統安全的基礎，而服務器上的業務數據又是被攻擊的最終目標，因此，加強對關鍵服務器的安全控制，是增強系統總體安全性的核心一環。對局中心機房各個系統關鍵服務器實現安全加固，合理配置檢查規則。強制進行權限分配，保證對系統資源（包括數據和進程）的訪問符合定義的主機安全策略，防止主機權限被濫用。冬水利站整個系統方案建成后如圖:冬水利站整個系統方案建成后如圖:4.2安全部署方案4.2.1下一代防火墻（上網行為管理及入侵防御）在部署下一代防火墻。安全建設充分考慮到廣域網組網、運行過程中潛在的安全問題及可靠性問題，通過下一代防火墻，綜合事前、事中、時候一體化安全運營中心，實現安全組網防護效果，確保局域網高安全和高可用。同時，通過下一代防火墻集成入侵防御、入侵檢測、上網行為管理、防病毒網關功能，實現一體化安全的安全策略部署防護效果，簡化管理運維成本，實現了最優投資回報。同時，給區域內網絡構建立體的防護體系，防止內部終端遭受各個層次的安全威脅。通過下一代防火墻虛擬補丁和病毒防護等功能，有效防御各種攻擊和內網蠕蟲病毒，防止僵尸網絡形成，保證網絡的安全穩定運行。下一代防火墻內置僵尸網絡識別庫，通過分析內網終端的異常行為，等機制準確識別被黑客控制的僵尸終端，鏟除各類攻擊的土壤。4.2.2日志審計系統綜合日志分析系統的主要功能包括如下模塊：■采集管理：在接入各類日志和事件前，指定需要采集的目標、接入方式以及相關參數（如數據庫的各種連接參數）、選擇標準化腳本和過濾歸并策略；■事件分析：事件分析是綜合日志分析系統的核心模塊之一，它不僅可以綜合考量各種日志之間可能存在的關系，而且能夠對日志中相關要素進行分析；最終，異常事件的分析結果將以告警的形式呈現在系統中；■審計管理：審計管理是綜合日志分析系統的核心模塊之一，側重于發現日志中相關要素是否和預定的策略相符，如時間、地點、人員、方式等。審計管理能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，審計管理內置了大量審計策略模板，涵蓋了常見的、對企業非常實用的審計策略模板，如主機、防火墻、數據庫、薩班斯審計策略、等級保護策略模板等。對于根據審計策路所產生的審計違規結果，系統以告警的形式在實時監控模塊呈現給用戶，用戶可以對告警進行相關的處理。■安全監控：安全監控包括告警監控和實時監控。所謂告警是指用戶特別需要關注的安全問題，這些問題來源于事件分析、審計分析的結果。所謂實時監控是指對當前接入的事件日志的逐條、實時顯示，顯示的日志內容是可以根據用戶的需求進行設置過濾條件來定制的。■安全概覽：綜合呈現當前接入系統的安全態勢，如告警概況、系統運行狀態、事件分析統計、審計分析統計等，安全概覽顯示內容可根據需要自定制。■報表管理：系統提供豐富的報表，以滿足用戶不同的要求；■資產管理：與普通的綜合日志分析系統不同，綜合日志分析系統提供資產管理模塊，以方便用戶對被管對象的管理；■知識庫管理：系統提供日志發送配置（即如何對各種系統進行配置，使其產生日志）、安全事件知識、安全經驗等，對日志審計提供相應的支撐；■系統管理：系統的自身管理，包括如用戶管理、日志管理、升級管理等功能。以上功能，經過細化以后，可以形成如下結構:1） 安全管理對象：綜合日志分析系統能夠對各種安全風險進行采集和匯總，安全對象涵蓋了人員、網絡、安全設施、系統、終端、應用等。2） 采集層：采集各種設備的事件日志，標準化為統一的格式，然后進行過濾、歸并、關聯和審計，從海量日志中分析潛在的安全問題，同時進行相關數據的存儲和管理。3） 分析處理層：系統通過分析引擎，對日志進行關聯分析、審計分析和統計分析，并對異常事件告警策略進行管理。4） 業務功能層：業務功能層實現對企業信息安全業務的支撐，以及系統自身運行的管理。在此基礎上，通過分析事件與資產的相互關系，產生告警及報表等。5） 與此同時，業務功能層提供資產管理、報表管理、采集管理、事件分析和審計管理，分別支撐用戶的相關業務功能。6） 綜合展現層：綜合展現層是綜合日志分析系統的展示層。該層通過個人工作臺和安全概覽，將整個系統收集、分析、管理的安全事件、告警概況等信息多維度的展現在用戶面前。采集是綜合日志分析系統的重要功能模塊，它承載了日志或事件采集標準化、過濾、歸并功能.采集管理是系統進行分析的第一步，用戶通過指定需要采集的目標、相關采集參數（Syslog、SNMPTrap等被動方式無需指定）、相關的過濾策略和歸并策略等創建日志采集器，以收集相關設備或系統的日志.具體如下：＞標準化不同的系統或設備所產生的日志格式是不盡相同的，這就給分析和統計帶了巨大的麻煩，所以在綜合日志分析系統中內置了眾多的標準化腳本以處理這種情形；即便對于某些特殊的設備，您沒有發現相關的解析腳本，綜合日志分析系統也提供了相應的定制方法以解決這些問題。＞過濾和歸并為了對接收的日志數量進行壓縮，綜合日志分析系統還提供了過濾和歸并功能；其中，過濾功能不僅僅是丟棄無用的日志，而且也可以將它們轉發到外部系統或對部分事件字段進行重新填充。＞事件分析綜合日志分析系統的事件分析功能是系統中的核心功能之一；其中關聯分析策略主要側重于各類日志之間可能存在的邏輯關聯關系.綜合日志分析系統不僅支持以預定義規則的方式進行事件關聯，還支持基于模式發現方式的關聯；系統不僅支持短時間內的序列關聯，還支持長時間的關聯（最長可達30天）。對于事件關聯分析所產生的結果將在關聯事件中呈現，如果符合關聯策略，將以告警的形式在實時監控模塊呈現給用戶，用戶可以對告警進行相關的處理。4.2.3運維審計系統（堡壘機）借助切實有效的技術手段，通過對運維環境中人員、設備、操作行為等諸多要素的統籌管理和策略定義，建立一個具有完備控制和審計功能的運維管理系統，為業務生產系統進一步的發展建立堅實基礎。該方案需要在技術層面完成如下建設目標：■實現單點登錄：全部運維人員集中通過運維管理系統，來管理后臺的服務器、網絡設備等資源，同時對運維人員進行統一的身份認證；■實現統一授權：統一部署訪問控制和權限控制等策略，保證操作者對后臺資源的合法使用，同時實現對高危操作過程的事中監控和實時告警；■快速定位問題：必須對操作人員原始的操作過程進行完整的記錄，并提供靈活的查詢搜索機制，從而在操作故障發生時，快速的定位故障的原因，還原操作的現場；■簡化密碼管理：實現賬號密碼的集中管理，在簡化密碼管理的同時提高賬號密碼的安全性；■兼容操作習慣：盡量不改變運維環境中已有的網絡架構、對操作者原有的操作習慣不造成任何影響；集中管理是前提：只有集中以后才能夠實現統一管理，只有集中管理才能把復雜問題簡單化，分散是無法談得上管理的，集中是運維管理發展的必然趨勢，也是唯一的選擇。身份管理是基礎：身份管理解決的是維護操作者的身份問題。身份是用來識別和確認操作者的，因為所有的操作都是用戶發起的，如果我們連操作的用戶身份都無法確認，那么不管我們怎么控制，怎么審計都無法準確的定位操作責任人。所以身份管理是基礎。訪問控制是手段：操作者身份確定后，下一個問題就是他能訪問什么資源、你能在目標資源上做什么操作。如果操作者可以隨心所欲訪問任何資源、在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權訪問所帶來的風險。操作審計是保證：操作審計要保證在出了事故以后快速定位操作者和事故原因，還原事故現場和舉證。另外一個方面操作審計做為一種驗證機制，驗證和保證集中管理，身份管理，訪問控制，權限控制策略的有效性。自動運維是目標：操作自動化是運維操作管理的終極目標，通過讓該功能，可讓堡壘機自動幫助運維人員執行各種常規操作，從而達到降低運維復雜度、提高運維效率的目的。4.2.4數據庫審計系統在運維管理區部署數據庫審計，采用旁路模式部署。采用安全審計系統數據庫審計功能則主要針對網絡內數據庫服務器，實時采集網絡中對數據庫訪問的信息進行審計。數據庫審計系統通過對網絡數據的實時采集分析、監控來自網絡內部和外部的用戶對數據庫的訪問活動，及時識別和發現其中是否存在安全威脅和違規行為。系統的審計分析結果能幫助管理員對數據庫安全策略進行分析，提升數據庫安全性，并為管理員調整數據庫安全策略、收集證據及事后追蹤起訴提供用力的幫助。該產品通過旁路監聽，實時采集網絡中的數據庫訪問信息，進行審計分析，恢復和還原用戶的數據庫訪問過程，自動記錄訪問過程，協助網管人員掌握數據庫的訪問情況，及時發現和制止非法訪問行為。多層業務關聯審計：通過應用層訪問和數據庫操作請求進行多層業務關聯審計，實現訪問者信息的完全追溯，包括：操作發生的URL、客戶端的IP、請求報文等信息，通過多層業務關聯審計更精確地定位事件發生前后所有層面的訪問及操作請求，使管理人員對用戶的行為一目了然，真正做到數據庫操作行為可監控，違規操作可追溯。細粒度數據庫審計：通過對不同數據庫的SQL語義分析，提取出SQL中相關的要素（用戶、SQL操作、表、字段、視圖、索引、過程、函數、包…）實時監控來自各個層面的所有數據庫活動，包括來自應用系統發起的數據庫操作請求、來自數據庫客戶端工具的操作請求以及通過遠程登錄服務器后的操作請求等通過遠程命令行執行的SQL命令也能夠被審計與分析，并對違規的操作進行阻斷系統不僅對數據庫操作請求進行實時審計，而且還可對數據庫返回結果進行完整的還原和審計，同時可以根據返回結果設置審計規則。精準化行為回溯：一旦發生安全事件，提供基于數據庫對象的完全自定義審計查詢及審計數據展現，徹底擺脫數據庫的黑盒狀態。全方位風險控制：靈活的策略定制：根據登錄用戶、源IP地址、數據庫對象（分為數據庫用戶、表、字段）、操作時間、SQL操作命令、返回的記錄數或受影響的行數、關聯表數量、SQL執行結果、SQL執行時長、報文內容的靈活組合來定義客戶所關心的重要事件和風險事件多形式的實時告警：當檢測到可疑操作或違反審計規則的操作時，系統可以通過監控中心告警、短信告警、郵件告警、Syslog告警等方式通知數據庫管理員。職權分離：《計算機信息系統安全等級保護數據庫管理技術要求》、《企業內部控制規范》、SOX法案或PCI中明確提出對工作人員進行職責分離，系統設置了權限角色分離。友好真實的操作過程回放：對于客戶關心的操作可以回放整個相關過程，讓客戶可以看到真實輸入及屏幕顯示內容。對于遠程操作實現對精細內容的檢索，如執行刪除表、文件命令、數據搜索等。4.2.5網絡防病毒系統在各服務器、終端pc上安裝防病毒軟件系統，在運維管理區部署防病毒管理系統，在全網部署防病毒系統后，通過代碼特征匹配和動態行為分析識別惡意軟件變種與族群，有效解決病毒、木馬、漏洞、免殺逃逸等終端威脅，實現了反病毒、主動防御和主機防火墻等三大功能。部署設計：＞全面集中管理防病毒系統企業版具有全面集中管理和全網設置的功能，網絡管理員可以十分輕松地實現全網的統一設置，以及對服務器端/客戶端進行分組管理。支持的服務器端/客戶端類型有Windowsserver2003\2008\2012，WindowsPCXP\7\8、Linuxserver等。在管理員控制臺上，管理員能夠對上述任何一種服務器端/客戶端進行直接操作：設置策略、策略下發、客戶端分組、殺毒、補丁升級、啟動/關閉實時監控、統一報表等。＞全網查殺毒防病毒系統企業版能夠隨時啟動對全網的統一查殺毒，這樣就能全網統一行動，最大程度的減小了病毒傳播的可能。當然，管理員也可以對很方便的使用企業管理中心對單個或多個客戶端進行查殺毒。＞直接監視服務器端/客戶端防病毒系統企業版能夠直接顯示每一個服務器端/客戶端的實時監控狀態、安裝的版本、查殺毒狀態，這樣管理員對于任何安裝了防病毒系統企業版的計算機的狀態都一目了然，隨時監測有無異常情況出現。＞遠程報警防病毒系統企業版管理中心記錄了整個網絡中任意服務器端/客戶端計算機上查殺毒時發現的病毒信息，并且能夠在控制臺病毒列表欄上顯示。管理員由此能及時發現染毒的計算機，做出及時的反應。整個網絡的病毒報警信息是由運維管理中心來統一維護的，因此管理員通過管理中心能夠查詢和管理之前的病毒歷史記錄。對病毒的傳播途徑進行有效的跟蹤，做到了層層防護。4.2.6災備系統備份存儲系統（備份一體機）是一種集備份、虛擬帶庫等功能為一體的軟、硬件一體化備份平臺。備份存儲系統包含一整套階梯式產品，完全可以服務于各種不同級別的數據備份存儲需求。備份存儲系統可采用SATA、SAS、SSD等多種磁盤，提供FC光纖、萬兆以太網以及千兆以太網的擴展卡以滿足用戶不同的應用需求。備份存儲系統具有最廣泛的備份功能，支持多種數據類型的備份，如數據庫備份、文件備份、應用備份、操作系統備份等，涵蓋從Windows^Linux到Unix操作系統平臺，備份的數據可以通過IP-SAN、FC-SAN