第等级信息系统的安全应如何设计
安全保障系统是信息系统建设的重要组成部分,特别是重要信息系统的建设,应根据国家信息安全等级制度要求,进行系统定级、安全规划与设计、等级测评、备案等工作。在信息系统建设的前期定级和规划设计阶段,主要依据《信息系统安全等级定级指南》、《信息系统安全等级基本要求》(以下简称《基本要求》)等管理规范和标准,同步建设符合相应等级要求的信息安全设施。
信息系统安全等级分为五级,由于实践中很多重要信息系统多按照要求进行建设,同时安全系统建设具有一定的复杂性,因此文中重点研究第安全措施。
信息系统的安全保障系统的设计应首先明确系统的安全需求,主要通过对信息系统的架构、承载的业务、系统定级等的综合分析确定系统的安全风险。和防护需求,依据相应等保基本要求,并平衡安全、成本和效率之间的关系,确定安全措施。随着系统和业务的发展,安全系统也应不断完善。安全保障系统的设计流程如图1所示。
在设计之初需要了解安全现状、安全需求,对系统基本情况和业务特点进行分析。安全现状包括是否有可依托的基础安全措施、整体安全规划、存在问题等,了解信息系统等级或定级倾向;系统分析内容包括系统边界、网络结构、网络处理能力、系统组成及设备部署、系统的管理框架等;业务分析内容包括用户范围和类型、业务应用种类和特性、安全关注点等。通过以上分析得出系统面临的安全风险和安全需求,同时结合建设方需求(建设范围和内容、建设期、投资、额外/特殊安全需求等),确定系统的安全方案。
信息系统的定级工作应在总体安全规划、设计之前进行,对于新建信息系统未确定安全等级情况,为了合理规划设计安全保障系统方案,应建设方尽快开展定级工作。
第基本要求在技术上包括5个方面:物理安全、主机安全、网络安全、应用安全和数据安全,详见《基本要求》,这里总结了系统在二级系统基础上增加的主要安全要求。
1)物理安全:包括物理的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。系统主要在安全、物理访问控制和防盗窃防等方面较二级系统应有所加强,例如重要区域配置电子门禁系统,机房设置防盗报警系统和设置火灾自动消防系统等。
2)网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。要求主要增强点:结构安全扩展到对重要网段采取可靠的技术隔离,在网络边界增加对恶意代码检测和清除;安全审计增强审计数据分析和,生成审计报表;访问控制扩展到对进出网络的信息内容过滤,实现应用层HTTP、FTP、TELNET等协议命令级的控制;边界防护应能够对非授权设备私自联到内部网络的行为进行检查和有效阻断;主要网络设备要求采用两种或两种以上组合的鉴别技术实现身份鉴别;在网络入侵防范方面不仅能够被动的防护,还应能主动发出报警。
3)主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。要求主要增强点:身份鉴别要求对管理用户采用组合鉴别技术;通过设置标记加强对重要信息资源的访问控制;安全审计应对记录数据进行分析、生成报表,审计进程;入侵防范应能检测到对重要服务器的入侵行为,并报警,重要程序的完整性;对恶意代码的防范应与网络防恶意代码产品异构。
4)应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗、软件容错和资源控制等。要求主要增强点:身份鉴别要求组合鉴别技术;访问控制和安全审计基本同主机安全增强要求;要求对通信过程中的整个报文或会话过程进行加密,采用密码技术通信过程中数据的完整性;增加抗要求,为数据原发者或接收者提供数据原发或接收;应用软件容错能力和资源控制方面要求也有所增强。
5)数据安全:包括数据完整性和保密性、数据的备份和恢复。要求主要增强点:对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复,采用加密或其他有效措施实现以上数据传输和存储的保密性;提供异地数据备份等。
安全保障系统的设计应根据系统或设备所处的物理、网络拓扑、网络脆弱性等划分安全域,并制定相应的安全策略,对安全薄弱环节预先,对安全事件能够实时,并能针对遭受到的进行实时响应,信息的安全和系统连续正常的运行。通过分析《基本要求》,第系统的基本安全措施主要包括:
1)物理场所安全设计应结合系统建设的需求,制定物理场所安全保障策略和技术措施,提高场所安全性和可靠性。此部分建设内容一般在机房或场所装修时统一考虑。
3)根据安全要求和安全策略,在具体实施时对边界控制设备、主要网络设备、操作系统数据库系统等进行安全加固配置。
按照《基本要求》,除了安全加固配置和应用软件开发安全,系统应具有的基本安全技术框架如图2所示。
1)在网络出口、服务器区域及其他重要网段等各边界部署防火墙类边界隔离设备,对网络边界或区域逻辑隔离,实现网络层的访问控制。
2)在网络边界部署防,在服务器、终端设备上安装网络防病毒系统(要求与防病毒网关具有不同的恶意代码库)。
3)在网络中的关键点部署入侵检测系统(IDS)或入侵防御系统(IPS)实时和分析网络数据流及网络行为,即时发现各种恶意和可疑行为,提供及时的报警及响应。
6)主要网络设备、应用系统、主机系统等应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。通常在用户名密码方式基础上,增加第二种身份鉴别方式,如采用CA数字证书身份认证系统、动态电子令牌身份认证系统等认证方式。
7)根据《基本要求》的管理要求应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。可以部署SOC系统,实现统一安全配置、统一安全策略、统一安全管理等功能。
9)部署漏洞扫描系统,对管理的所有支持TCP/IP协议的设备进行漏洞扫描,通过补丁分发系统修补操作系统和应用系统的漏洞。
10)对于通过网站面向提供服务的系统应部署应用层防火墙或网页防系统等,对WEB服务器进行。
《基本要求》是不同安全等级信息系统的最低要求,以上提出的也是第系统应考虑的基本安全保障措施,对于具体建设项目,还应结合安全风险评估、技术发展、实际建设需求,并参考其他信息安全标准进行补充或调整。同时,安全体系的建立是全方位多因素制约的复杂过程,存在许多非技术因素同样对安全起重要的作用。安全保障系统的建设除了满足相关技术要求,更应注重安全管理要求。为保障安全措施的有效运行,应基于信息安全等级技术规范的要求和安全管理部门的相关,建立完善的安全制度体系,包括安全管理的组织机构、人员、规章制度等,并在安全制度的支撑下,实施安全管理。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
延伸相关词:
陈小艺被曝姐弟恋,倒追小伙被当保姆,陆贞传奇演员表,人鱼情未了 电视剧,莫小棋三级,保拉的诱惑,李慧珍老公,luciano rivarola,如意剧情介绍电视猫,电视剧当狗爱上猫