41 KiB
网络系统设计方案
根据云平台整体架构规划,网络接入设计包括互联网接入区、政务外网接入区,每个接入区的业务处理网络通安全隔离区彼此做了隔离,以保证安全性。湖北省山洪灾害预报预警系统功能部署在政务外网及专网区的服务器上面。网络规划图如下图所示:
{width="5.922916666666667in"
height="2.525in"}
政务外网及专网区
沿用省政务云之前政务外网及专网区内部设计,具体如下:
1.接入区:提供专线接入湖北省水利厅专网,主要是通过路由器或链路负载均衡设备对外部流量进行引流,将流量接入数据中心内部,同时考虑安全,接入区对内部分区之间需通过防火墙做隔离,并对外设置安全策略。
2. 核心交换区:主要功能是完成各功能分区之间数据流量的高速交换,是接入侧纵向流量与内部服务功能分区间横向流量的交汇点。作为整个平台的汇聚,考虑安全性,对业务数据、存储数据、管理数据分别采用不同设备进行汇聚。
3. 运维区:主要提供远程运维接入服务。
4. 管理区域:提供数据中心整体的管理功能,包括云平台、云管平台、运维管理、安全管理几大部分,提供云服务支持、日常运维、运营保障的功能,以及漏洞扫描、安全审计等安全部署。
5. 计算区(云资源区):按不同需求对外提供云计算服务,主要部署服务器,结合虚拟化技术,对外提供不同类型的虚拟机资源。
6. 存储及本地备份区域:部署存储及备份设备,服务器资源通过高性能IP/FC交换机与存储相连。同时根据业务需求对于重要数据做本地备份。
7. 灾备区域:通过网络互通,提供远程的数据容灾与备份功能。
省政务云为本年度项目的山洪灾害监测预报预警"四预"系统的稳定运行提供保障。
互联网区
互联网具体分区功能如下:
1.接入区:提供电信、联通、移动三网互联网带宽接入,主要是通过路由器或链路负载均衡设备对外部流量进行引流,将流量接入数据中心内部,同时考虑安全,接入区对内部分区之间需通过防火墙做隔离,并对外设置安全策略。
2. 核心交换区:主要功能是完成各功能分区之间数据流量的高速交换,是接入侧纵向流量与内部服务功能分区间横向流量的交汇点。作为整个平台的汇聚,考虑安全性,对业务数据、存储数据、管理数据分别采用不同设备进行汇聚。
3. 运维区:主要提供远程运维接入服务。
4. 管理区域:提供数据中心整体的管理功能,包括云平台、云管平台、运维管理、安全管理几大部分,提供云服务支持、日常运维、运营保障的功能,以及漏洞扫描、安全审计等安全部署。
5. 计算区(云资源区):按不同需求对外提供云计算服务,主要部署服务器,结合虚拟化技术,对外提供不同类型的虚拟机资源。
6. 存储及本地备份区域:部署存储及备份设备,服务器资源通过高性能IP/FC交换机与存储相连。同时根据业务需求对于重要数据做本地备份。
湖北省山洪灾害监测预报预警"四预"系统互联网访问复用2022年建设的访问方式,主要是在互联网和专网区通过防火墙技术进行内外网的IP和端口的映射达到互联网的访问。
安全隔离区
采用安全隔离区,实现互联网区与专网区之间的隔离,保证跨区域数据交互的安全。
运维管理设计方案
目标及原则
本项目的运维服务范围,覆盖用户在使用本项目云资源中的各个环节,通过高效的运维服务,确保云服务安全稳定可靠运行,为业务系统正常运行提供技术服务支撑。
服务内容
提供具有经验丰富的技术服务工程师为本项目云服务提供综合故障解决、日常巡检与监控、服务使用疑难解答、安全防护、应急处理等服务等,及时排查和处理各类问题,确保系统的稳定运行。以上服务可以归纳为基础运维服务和安全防护应急处理服务。
1.基础运维服务
(1)及时解决云主机日常运行中存在的问题,及时处理云平台、云存储平台故障,并根据日常故障情况不断补充完善,提高预案完备性。
(2)定期系统巡检,检查云主机运行情况,对云平台整体架构进行优化以减少运行故障,对云主机可能出现的故障进行预警。
(3)支撑用户在使用云主机时提出的疑难问题,解决和云主机相关的操作系统问题以及用户需求。
2.安全防护和应急处理
(1)安全防护。省级政务云可为云上的应用系统提供如下常用的安全防护服务:抗DDOS服务、网络入侵防护服务、WEB应用防火墙、数据库审计服务、网页防篡改服务、主机安全服务、漏洞检测扫描服务,各应用系统将根据使用场景选择所需的安全防护。提供安全工程师负责支持各设备在使用过程中的安装、巡检、升级、策略调配、故障处理、排错、设备日志与告警分析等运维事宜。
(2)安全应急响应处理。依靠省级政务云安全团队安全攻防实战技术能力和管理经验,参照国家信息安全事件响应处理相关标准,在业务系统发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供7*24小时远程安全应急响应服务,协助云上用户快速响应和处理信息安全事件并恢复业务,可在事后协助用户规划和设计安全事件根除方案,从根本上遏制安全事件的发生,降低业务影响。
服务流程
服务总体流程
为解决本项目的稳定运行,需要根据实际,在运维过程中对发现的问题及时进行处理,服务流程主要包括以下环节:
{width="2.459722222222222in"
height="3.001388888888889in"}
服务工作步骤
(1)问题搜集。运维服务人员通过定期巡检或用户反馈搜集系统运行使用问题,并及时记录问题的详细信息。
(2)问题确认。用户对定期巡检或用户反馈的问题进行确认,确定需要进行处理或者升级。
(3)提出解决方案。技术服务人员根据反馈的问题,进行商讨确认,提出解决方案提供至用户。
(4)问题解决。技术服务人员根据经过用户确认的解决方案,制定处理计划,进行问题处理。
(5)测试验证。技术服务人员将完成问题处理后,进行系统更新迭代,并进行测试,查看问题是否解决。
(6)处理结果反馈。用户对更新后的系统进行查看确认,确认问题已解决。若未解决,反馈给技术服务人员继续进行修改完善。
(7)对解决完的问题,进行统一归档。
服务内容
1.开展系统基础运维服务。及时解决云主机日常运行中存在的问题,及时处理云平台、云存储平台故障,并根据日常故障情况不断补充完善,提高预案完备性;定期系统巡检,检查云主机运行情况,对云平台整体架构进行优化以减少运行故障,对云主机可能出现的故障进行预警;支撑用户在使用云主机时提出的疑难问题,解决和云主机相关的操作系统问题以及用户需求。
2.安全防护和应急响应。建立规范的安全管理制度,严格落实相关数据安全管理措施,开展安全隐患排查,提高应急处置能力,建立应急响应机制,采取及时有效的安全防护手段,减少安全风险,保障系统安全稳定运行。
服务工作方法
1.开展日常巡检
每月派技术人员一名,对云资源进行巡检,记录系统各功能使用情况,如有发现系统故障则及时予以修复,不能修复的则进行版本升级。
2.提供全天候服务
全年7×24热线电话、e-mail支持服务,向客户提供不限时间、不限数量的电话支持或e-mail支持迅速有效地解决问题,为客户提供系统使用疑难解答、故障排除等服务。
3.现场维护服务
当发现云服务出现较为严重故障时,可要求提供现场服务。委派有经验的工程师提供现场技术支持,为客户提供系统运行状况检查、故障排除等服务。
安全设计方案
概述
本系统严格按照信息系统安全等级保护2.0安全三级等保设计技术要求建设。安全服务能力包括:物理安全、网络安全、主机安全、数据安全。
等级保护安全设计方案
等级保护定级
安全保护原则
等级划分
等级划分是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同 等级的安全目标,形成不同等级的安全措施进行保护。等级划分的精髓思想就是"等级化"。等级划分可以把业务系统、信息资产、安全边界等进行"等级化",分而治之, 从而实现信息安全等级保护的"等级保护、适度安全"思想。
根据本项目在不同阶段的需求、业务特性及应用重点,采用等级化设计方法,将需要保护的信息系统确定不同的安全等级,再确定不同等级的安全目标,形成不同等级的安全措施进行保护。
分层保护
分层保护是指根据信息系统的架构组成进行分层保护。按照物理层、网络传输层、 数据层、应用层四个层次构成,根据确定的安全策略,规范设置相应的安全防护、检测、 响应功能,利用公钥基础设施/授权管理基础设施、防火墙、入侵检测及防御、防病毒、深度防护、线路冗余等多种安全技术和产品,进行全方位的安全保护。
分域保护
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
进行安全域划分可以帮助理顺网络和应用系统的架构,使得信息系统的逻辑结构更 加清晰,从而更便于进行运行维护和各类安全防护的设计。基于安全域的保护极大的简化了系统的防护复杂度:由于属于同一安全域的信息资产具备相同的 IT 要素,因此可以针对安全域而不是信息资产来进行防护,这样会比基于资产的等级保护更易实施。由于安全域将具备同样 IT 特征的信息资产集合在一起,因此在防护时可以采用公共的防护措施而不需要针对每个资产进行各自的防护,这样可以有效减少重复投资。
等保设计思路
总体设计思路
基于等级保护2.0的安全要求,通过建设"一个中心"管理下的"三重防护"体系,分别对通信网络、区域边界、计算环境进行管理,实施多层隔离和保护措施,构建网络安全纵深防御体系。
{width="5.983333333333333in"
height="2.229861111111111in"}
等级保护定级
基于GA/T1389-2017《网络安全等级保护定级指南》之要求,对等级保护定级主体进行了扩展,基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等,都将根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,确定其定级。
不同于等级保护1.0时代的"自主定级、自主保护"模式,等级保护2.0中对于对象的定级需要组织专家评审。
根据《信息系统安全等级保护要求》对各等级信息系统定级的划分,本项目包含网络、数据中心以及相关业务的应用,属于国家的重要信息系统。
本系统的安全运维支撑体系建设可参照《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息系统安全等级保护实施指南》。
在安全系统建设过程中,将结合项目实际安全防护需求,参照国家信息安全等级保护制度第三级要求进行安全系统的建设。安全保护等级初步确定为第三级等级保护对象,其运营使用单位应当进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
安全技术方案
基于本系统安全保护等级,按照《网络安全等级保护安全设计技术要求》(GB/T25070-2019)和 《网络安全等级保护测评要求》(GB/T28448-2019)的有关规定,对系统的安全技术方案(包括安全物理环境、安全区域边界、安全计算环境、安全管理中心、安全通信网络)进行阐述。
技术安全设计
物理安全设计
网络、服务器、存储等设备进行集中部署,相关硬件设备一般面临以下的安全风险:
(1)自然灾害:地震、火灾、台风、雷电、水灾等不可抗拒性破坏;
(2)环境:有害气体、电磁污染、电磁干扰、静电、温度、鼠虫害以及其他环 境事故的破坏;
(3)电源故障:电力供应的突然中断或电压的波动、设备的故障;
(4)人员因素:包括人为盗窃、私自连(并)接、破坏设备等行为;
(5)设备老化和意外故障,电磁泄漏。 在上述系列风险中尤其以雷电、静电、供电异常、设备老化等情况发生的可能性最大。
因此,在物理安全设计中,从设备安全、电磁波防护、电源等物理形态方面进行安全保障,如防雷、防火、防盗、防人为破坏等,通过安装机房门禁及机房 视频监控等防盗及防止人为破化,部署防火、防雷、UPS 等设备。
本项目机房采用服务方式,租赁省级政务云机房,省级政务云已通过等保三级测评,完全满足信息系统物理安全要求。
网络安全设计
本项目接入互联网络。内部网络又分为各个不同的业务区域,网络结构较为复杂。所面临的安全威胁也较多,主要包括:
(1)拓扑结构:不同网络信任域各自的内部网络拓扑结构信息暴露给连接的其他网络信任域。
(2)恶意用户可能会发现网络中的缺陷和漏洞,并利用这些网络的缺陷和漏洞, 对进行非授权访问或非法入侵,造成数据混乱、丢失以及敏感信息被暴露。
(3)凭他须与外部其它网络相联,其中包括互联网及其它相关网络,获取外部各类数据、视频、图像等信息,以及提供容灾等功能。如果没有做好安全保障,将存在恶意攻击、非法接入、数据泄密等安全隐患。
(4)内部用户使用过程中,可能导致一些病毒传入,影响网络的传输性能甚至导致网络的瘫痪。
因此,在项目建设中,合理设计网络结构,按照分级、分层、分域的原则,合理规划各个安全区域,部署相应安全技术实现网络层的安全。
安全域划分
安全域的划分主要依据系统应用功能、资产价值和资产所面临的风险。本项目按照不同功能分区,共划分为多个网络区域,各网络区域功能如下。
网络区域 功能
外联区 提供专线连接水利专网
核心交换区 提供内部各个网络区域核心交换
测试服务区 提供内部各个网络区域测试系统的网络接入
运维区 提供内部各个网络区域堡垒机、VPN等网络接入
备份服务区 提供内部各个网络区域本地备份网络
管理区 提供内部云平台、安全和运维监控管理的网络
存储区 提供内部区各个网络区域存储资源网络连接
边界划分
网络边界安全设计上,严格遵循等级保护的安全规范和标准的要求,需采用一致的边界安全隔离方式。这种边界安全的一致性主要体现在以下五个方面:
1、各逻辑区域之间采用相同的安全隔离策略;
2、各逻辑区域之间采用相同厂商、相同品牌的防火墙设备;
3、各逻辑区域之间的对应防火墙设备采用相同的安全规则配置;
4、数据中心的各二层透传区域,通过STP根结点的调整,避免产生环路的隐患;
5、通过数据中心对应逻辑区域防火墙设备的一致性和安全规则配置的一致性,确保数据中心内部各逻辑区域的一致性。
防火墙服务
防火墙作为重要的边界防护设备,将在安全域之间,同时部署在不同等级保护级别的区域之间。按照高可用的原则、纵深防御的安全原则:
1、所有区域防火墙进行冗余部署;
2、在外联区域部署防火墙进行边界防护;
3、核心交换区部署安全模块进行分层防护;
4、数据交换区与政务专网之间部署防火墙隔离;
5、部署虚拟防火墙进行分域保护。
省级政务云默认提供防火墙服务。
网络防病毒服务
网络防病毒服务可在出口网关处对病毒进行初次拦截,提供网络层防护能力。网络防病毒服务采用高效查杀引擎,配合病毒库上亿条记录,可将绝大数病毒彻底剿灭在云平台网络之外,将病毒威胁降至最低。
网络防病毒服务防护特点如下:
业界一流的病毒防护能力:支持IPsec/SSL VPN杀毒,阻止远程用户传播病毒;支持HTTP、FTP、SMTP、POP3、IMAP协议病毒检测;内置智能脚本分析引擎,可识别网页中的恶意脚本、JavaApplet、ActiveX控件和Cookies。
管理功能强大:自主研发的高可靠性ROS操作系统;图形化的WebUI界面管理系统,支持HTTPS安全登录管理;支持命令行管理模式,可通过SSH远程或本地串口管理;多级管理员分级控制;支持集中管理,对网络中所有防毒墙设备进行统一管理,实现防毒墙的单点控制。
深度的防挂马系统:共享上亿用户的"云安全"成果,可在最短时间内发现、截获、处理海量的最新木马病毒和恶意网址,并将解决方案共享所有防病毒用户,提前防范各种新网络威胁。
省级政务云默认提供网络防病毒服务。
防DDoS攻击服务
提供针对大流量的DDoS攻击的高效防护能力,可对HTTP Get/Post Flood 攻击防范、HTTP重传攻击防范、 HTTP劫持攻击防范支持HTTP慢速攻击、 HTTPS Flood攻击或对空连接攻击、CC等多种DDoS攻击种类的准确识别和控制,同时还能提供蠕虫病毒流量和僵尸网络的识别和防范服务能力。
省级政务云默认提供防DDoS攻击服务。
操作监控与审计(堡垒机)服务
保障网络和数据不受来自外部和内部用户的入侵和破坏,运用操作监控与审计设备(堡垒机)实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理。要求包括:
对操作系统、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改;
统一账户管理策略,对所有服务器、网络设备、安全设备等账号进行集中管理和监控;
角色管理能力,审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求;
统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件key和生物特征等多种认证方式,设备具有灵活的自定义接口,可以与第三方认证服务器之间互联。
基于用户、目标设备、时间、协议类型IP和行为等要素实现细粒度的操作授权;
对不同用户进行不同策略的制定,实行细粒度的访问控制;
对字符串、图形、文件传输和数据库等全程进行操作行为审计:通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备和数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
省级政务云默认提供操作监控与审计(堡垒机)服务。
日志审计服务
日志审计服务可实现日志的监控与审计,实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。日志审计可实现以下功能:
高效的日志采集:日志审计系统使用Syslog、SNMP、NetFlow、ODBC/JDBC等协议,全面采集各种网络、安全设备、应用和系统的日志信息,基于国家网络安全法要求及行业监管机构要求对日志进行统一的采集、分析、存储和展示。
支持从不同设备或系统中采集各类日志,支持配置过滤和聚合功能,合并重复的设备日志,支持各类日志统一进行解析识别。支持日志的统一存储,支持保存时长自定义配置,存储时间不低于180天。
网络入侵防护服务(含IPS+IDS)
网络入侵防护服务包含入侵防御和入侵检测。
入侵防御主要用于检测对应用主机存在的攻击迹象,通过应急响应机制,将攻击影响减少到最低的程度。入侵防御通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略(比如与防火墙建立联动)等。
入侵检测服务是对防火墙有益的补充,入侵检测被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控,提供动态保护大大提高了网络的安全性。
主机安全设计
主机安全风险包括文件泄密通道、系统安全漏洞、用户行为威胁和第三方软件漏洞等方面,均可能导致数据泄密,威胁网络安全,具体表现在以下几个方面:
(1)文件泄密通道
网络访问拷贝
ftp/web 数据上传拷贝
移动存储设备拷贝(USB PCMCIA 1394 等)
移动刻录设备拷贝(DVD/CD-rw 光驱、软驱)
网络打印机、扫描仪扫描
电子邮件发送
硬件资产丢失(计算机、硬盘等)
(2)系统安全漏洞
操作系统用户密码弱口令
操作系统后门帐号
操作系统帐号权限提升
操作系统软件自身漏洞
操作系统进程、服务(木马、病毒)
操作系统默认文件目录共享(认为共享目录)
(3)用户行为安全威胁
用户恶意网络攻击(内部、外部人员)
用户非法网络访问(越权、蓄意)
用户误操作(数据删除)
用户非法外联(互联网、其他网络)
(4)其他未设想到的入侵泄密途径,如第三方软件存在漏洞导致的入侵等。
安全漏洞扫描服务
主机漏洞扫描服务是用于监测主机漏洞的安全服务,提供准确、全面的漏洞扫描与风险监测,并提供专业的修复建议,从而避免漏洞被黑客利用,影响资产安全。安全漏洞扫描服务包括以下特性:
扫描全面:涵盖多种类型主机资产扫描,支持云内或云外的主机扫描,支持内网扫描;智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
简单易用:配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。
高效精准:内部验证机制不断自测和优化,提高检测准确率;时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。
报告全面:清晰简洁的扫描报告,多角度分析资产安全风险;多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。
应用安全设计
本项目在业务数据方面涉及基础数据资源,在业务应用方面涉及相关应用及辅助平台,平台涉及大量的敏感数据及应用,面临的主要安全威胁如下:
(1)越权:非法用户出于某种目的,未经授权以非法手段越权使用某个系统。
(2)恶意代码:病毒的侵害往往是应用层中最常见的威胁。同时,病毒技术发 展迅速,已经摆脱了原有的寄生性、潜伏性,发展到了利用网络进行独立的智能化攻击。 其传播的速度已经缩短到了几十分钟,危害程度越来越大。
(3)人为操作失误、恶意操作的风险:是指因为人员的误操作;出于某种原因 的蓄意恶意操作等给系统造成的损失。
(4)不同信任域之间信任关系传递或互联带来的风险:是指不同信任域的人员 等实体的不同信任关系由于等级不同或存在交叉,而在信任关系传递或互联后造成的漏洞。
web应用防火墙服务
web应用防火墙服务主要针对http/https应用进行实时在线防护,动态实时防御外界对web应用的攻击,解决了传统安全产品如网络防火墙、入侵防御系统等难以对应用层深度防御的问题。通过部署waf可以有效地缓解网站及WEB应用系统面临如OWASP TOP 10中定义的常见威胁,可以快速地应对恶意攻击者对WEB业务带来的冲击,可以智能锁定攻击者并通知管理员对网站代码进行合理的加固。
WAF防火墙有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,从而减小Web类型服务器被攻击的可能性。
通过部署WAF防火墙,用来控制对Web应用的访问,实现对Web类型服务器相关的操作行为进行审计记录,包括管理员操作行为记录、安全策略操作行为、管理角色操作行为、其他安全功能配置参数的设置或更新等行为。增强被保护Web应用的安全性,屏蔽WEB应用固有弱点,保护WEB应用编程错误导致的安全隐患。
数据安全设计
本项目在业务数据方面涉及基础数据资源和大量的敏感数据,面临的主要安 全威胁如下:
在数据的完整性,服务器上的数据可能会被破坏、篡改,导致数据完整性受损。
在数据保密性方面,服务器、U 盘、光盘的形式将数据均可能被非法窃取。
在数据备份和恢复上,数据资源可能由于设备故障、损坏以及资源灾害等情况 受到破坏。
云数据库审计服务
数据库审计实时记录云上应用的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
安全管理方案
安全管理制度
为保证单位业务系统长期稳定运行以及业务数据的安全性,提高系统运维及人员管理的安全保障机制,实现信息安全管理的不断完善,需制定信息安全工作的总体安全方针和策略,明确安全管理工作的总体目标、范围、原则和安全框架等。根据安全管理活动中的各类管理内容建立安全管理制度;并由管理人员或操作人员执行的日常管理操作建立操作规程,形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系,从而指导并有效地规范各级部门的信息安全管理工作。通过制定严格的制度规定与发布流程、方式、范围等,定期对安全管理制度进行评审和修订。
安全管理机构
安全管理机构可以从岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面进行安全管理和控制:
(1)岗位设置
单位的信息安全管理工作应由信息安全工作委员会或领导小组来负责,其领导最高领导应由单位主管领导委任或授权,设置专职的信息安全主管、系统管理员、审计管理员、安全管理员等岗位并明确其职责。
(2)人员配备
单位需要配置相应数量的系统管理员,审计管理员和安全管理员,其中需要专职安全管理员且不可兼任
(3)授权和审批
建立完善的授权和审批机制,明确各部门的授权审批事项、审批部门、批准人等,针对于系统的变更、重要操作、物理访问等建立有效的审批程序,并且重要活动需要建立逐级审批制度;定期审查审批事项并及时更新审批事项、部门和审批人等。
(4)沟通和合作
加强各类管理人员之间和组织内部的沟通与合作,定期召开协调会议,共同讨论及协作处理信息安全问题,建立外联单位联系列表等。
加强和主管部门、监管单位、各类供应商、业界专家及安全组织的合作与沟通。
(5)审核和检查
定期进行常规的安全检查,检查系统日常运行、系统漏洞、数据备份以及安全技术的有效性和策略配置的一致性等,形成检查报告,并对检查情况进行通报。
安全管理人员
安全管理人员可以从人员录用、人员离岗、安全意识教育和培训、外部人员访问方面进行安全管理和控制。
(1)人员录用
指定或授权专门部门和人员负责人员录用,对其身份、背景、专业资格和资质、技术技能等进行审查和考核,签署保密协议和关键岗位人员的岗位责任协议。
(2)人员离岗
技术终止离岗员工的访问权限,回收各种身份证件、钥匙徽章以及软硬件设备等,办理离职手续并承诺保密义务。
(3)安全意识教育和培训
加强对各类人员进行信息安全意识培训和岗位技能培训,明确告知安全责任和惩戒措施,对不同岗位的人员制定技能培训计划,对信息安全基础知识、岗位操作规程等进行培训。
(4)外部人员访问管理
外部人员进行物理访问受控区域前进行书面申请,批准后由专人全程陪同并登记备案,外部人员离场前清除所有访问权限,获得系统访问权限的外部人员需签署保密协议。
安全建设管理
从系统安全建设管理角度出发,主要涉及到定级备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。从信息安全管理与风险控制角度出发,建立完善的信息安全管理制度体系和过程控制安全机制,为系统的全生命周期的信息安全提供管理安全保障。
(1)定级备案
单位需要对等级保护对象进行科学定级,在系统等级初步确定后需要邀请专家对定级的合理性进行评审,形成专家评审意见,并报送主管单位审核后到公安机关进行备案登记。
(2)安全方案设计
具备符合标准安全的整体安全设计要求,根据相应的系统保护等级选择基本安全保护措施,依据风险分析的结果进行补充调整,对系统安全保护形成完整的安全规划设计方案,设计内容应包含密码技术相关内容,并由专家对方案及其配套文件的合理性和正确性进行论证审定,经过批准后单位才能正式实施。
(3)产品采购和使用
在相关设备采购中确保相关信息安全产品、密码产品和服务,符合国家的有关规定和国家密码主管单位的要求。预先对产品进行严格的选型测,确定产品的候选范围,并定期审定和更新候选产品名单。
(4)自行软件开发
确保开发测试环境与生产环境进行物理隔离,通过制定软件开发管理制度对开发过程中的控制方法和人员行为准则进行明确,制定代码编写安全规范并实行,对软件开发设计相关文档和使用指南文档使用进行严格控制管理,对资源库中的程序资源的修改、更新、发布进行授权和批准,并进行严格的版本控制,另外确保开发人员为专职人员,对其的开发活动进行监视、控制和审查。
(5)外包软件开发
对于外包交付的软件代码在交付时应进行严格的恶意代码检查,防止恶意代码插入及后门,并且要求外包方提供完善的软件设计文档和使用指南,对于外包单位提供的软件源代码需要进行严格的代码审计,确保代码安全。
(6)工程实施
制定或授权专门的部门或人员负责工程实施的管理工作,制定健全的工程实施方案和工程过程安全控制机制,通过第三方工程监理实施工程过程安全控制。
(7)测试验收
制定完整的测试验收方案,根据测试验收方案形成测试验收报告,在系统上线前进行安全性测试,并提供安全测试报告,安全测试报告需要包含密码应用安全性测试。
(8)系统交付
制定清晰的交付清单,对所交接的设备、软件和文档进行清点,定期对负责运维的技术人员进行相应的技能培训,确保系统在建设过程中和指导人员进行运行维护的相关文档能够完整提供。
(9)等级测评
定期进行等级测评,发现不符合相应等级保护标准要求的要及时整改,在系统发生重大变更或级别发生变化时需重新进行等级测评,对于测评单位的选择应具备国家相关技术资质和安全资质的测评单位。
(10)服务供应商选择
首先确保服务供应商的选择符合国家有关规定,与服务供应商签订相关协议,明确整个服务供应链各方需要履行的信息安全义务,定期监督、评审和审核服务供应商提供的服务,并对其变更的服务内容进行控制。
安全运维管理
安全运行维护与管理主要从环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面进行。
(1)环境管理
指定专门部门或人员进行机房安全管理,对机房供电、温湿度、消防等进行实时监控和维护管理,通过机房安全管理规定对机房的访问、物品的进出以及机房运行环境等作出规定,重要区域不接待来访人员,敏感信息的纸质文档和移动介质禁止随意乱放,敏感信息设置专门的存储区域进行妥善保管。
(2)资产管理
编制保护对象的资产清单,包括资产的责任部门、重要程度以及所处位置等,对资产重要程度进行标识管理,根据资产价值制定相应的管理措施,明确对资产的信息分类和标识方法,制定信息分类标识规定,对信息的使用、传输和存储等进行规范化管理。
(3)介质管理
确保介质存储环境安全,对各类介质进行控制和保护,指定专人管理并定期进行介质目录盘点,对介质传输过程中的人员选择、打包、交付等情况进行控制,对介质的规定和查询等进行登记记录。
(4)设备维护管理
对各种设备包括冗余备份的设备、线路制定专门的部门或人员进行维护管理,并建立配套的软硬件维护方面的管理制度,明确维护人员责任、维修和服务的审批、维修过程的监督控制等;信息处理设备必须经过审批才能带离机房或办公地点,存储介质带出工作环境必须加密重要数据,存储介质的设备在报废和重用前,需确保设备上的敏感数据和授权软件无法进行恢复重用。
(5)漏洞和风险管理
识别安全漏洞和隐患并评估其可能得影响性后进行修复,定期进行安全测评形成测评报告,对发现的安全问题采取整改措施。
(6)网络和系统安全管理
划分不同的管理员进行网络和系统的运维管理,明确其岗位职责,指定专门的部门或人员进行账号管理,对账号的申请、建立、删除等进行控制。建立完善的网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令更新周期进行规定。制定重要设备的配置和操作手册,并根据手册进行安全配置和优化。记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。指定专门部门或人员对日志、监测和报警数据等进行分析,统计、及时发现可疑行为。
严格控制、审批运维管控工具的使用以及远程运维权限的开通,操作结束后需要立即关闭运维接口或通道。确保所有与外部链接的行为得到授权和审批,定期检查无线上网或违反网络安全策略的行为。
所有的运维操作过程需要保留不可更改的审计日志。
(7)恶意代码防范管理
提高员工的恶意代码防范意识,接入系统的设备或存储进行恶意代码检查,对恶意代码防范工具的使用、恶意代码库的升级、恶意代码定期查杀等进行规定,确保恶意代码防范措施的有效性。
(8)配置管理
记录和保存网络拓扑结构、设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等,并将配置参数纳入变更管理范畴,对配置变更信息的改变进行控制,及时更新基本配置信息库。
(9)密码管理
使用经过国家密码管理局认证核准的密码技术和产品。
(10)变更管理
明确变更需求,制定变更方案且经过评审、审批后才能实施,变更的申报和审批程序依据程序控制,记录变更的实施过程,建立终止变更并从失败变更的恢复程序,明确方法和人员职责,必要时对恢复过程进行演练。
(11)备份与恢复管理
识别定期备份的重要业务信息、系统数据及软件系统,明确备份信息的备份方式、频率、存储介质和保存期等,定期对重要业务信息、系统数据、软件系统等进行备份,根据数据的重要性和数据对系统运行的影响,制定数据备份策略和恢复策略、备份程序和恢复程序等。
(12)安全事件处置
向安全管理部门及时报告发现的安全弱点和可疑事件,制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责,在安全事件报告和响应处理过程中分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;对造成系统中断和造成信息泄露的重大事件采用不同的处理程序和报告程序。
(13)应急预案管理
规定统一的应急预案框架,包括启动应急预案的条件、应急组织构成、应急资源保障(人力、设备、技术和财力等方面)、事后教育和培训等内容,制定重要事件的应急预案,包括应急处理流程和系统恢复流程,定期对系统和相关人员进行应急培训并进行应急预案的演练,定期对应急预案进行重新评估和修订完善。
质量控制
项目质量管理直接决定了项目成败。项目质量管理结合项目特点和组织结构,贯彻整个项目执行过程,以确保如期高质量地交付合格软件产品给用户。我方根据本项目的具体情况,制定了一套完整、成熟、适用的质量管理框架,以指导软件开发及项目管理活动。
我方设立了专门部门的质量保证组,主要负责以下工作:
-
建立并维护内部的质量保证体系。
-
对可能导致产品不合格的问题予以识别,采取措施予以避免。
-
发现并记录产品的质量问题。
-
提出、采取或推荐问题解决办法。
-
验证解决办法的实施效果。
-
对不合格产品的处理、交付过程进行控制,确保最终问题得以纠正。
-
质量保证组的评审活动应由与被评审工作无直接责任的人员组成。
-
制定质量方针和质量目标确保项目组成员均理解质量方针并能坚持贯彻执行。
质量保证组负责人应每月对质量体系进行评审,主要是对内部质量审核结果的评定,以保证质量体系持续有效,保存评审记录。