马鞍山市纪检监察外网建设方案
项目名称:
马鞍山市纪检监察外网建设项目
申报单位:
(盖章)
编制单位:
编制日期:
注:所有项目建设方案编制必须按照上述要求填写,若方案编制与提纲不符,我局有权不予受理。
1
目 录 第一章 项目概述 ..................................................................................................................... 3
1.1 项目名称 ........................................................................................................................ 3
1.2 项目建设方案编制依据 ............................................................................................... 3
1.3 项目概况 ........................................................................................................................ 3
1.3.1 项目背景 ............................................................................................................... 3
1.3.2 建设目标 ............................................................................................................... 4
1.3.3 项目建设内容考核情况 ....................................................................................... 5
1.3.4 项目建设的意义和必要性 ................................................................................... 5
1.3.5 部门业务需求说明 ............................................................................................... 5
第二章 业务需求分析 ............................................................................................................. 7
2.1 业务功能、业务流程和业务量分析 ............................................................................ 7
2.2 系统功能和性能需求分析 ............................................................................................ 7
第三章 建设方案 ................................................................................................................... 10
3.1 网络整体设计 .............................................................................................................. 10
3.2 马鞍山市级组网设计 .................................................................................................. 12
3.2.1 市纪检监察外网组网 .......................................................................................... 12
3.2.2 区县级、县级派驻及乡镇级纪检监察外网组网 .............................................. 13
3.3 市级纪检监察外网 ...................................................................................................... 13
3.4 县区级纪检监察外网 .................................................................................................. 14
3.5 县区级派驻及乡镇级纪检监察外网 .......................................................................... 14
3.6IP 规划 .......................................................................................................................... 15
3.7 域名规划 ...................................................................................................................... 15
3.8 网络安全设计 .............................................................................................................. 15
3.8.1 安全等级划分 ...................................................................................................... 15
3.8.2 总体设计 .............................................................................................................. 16
3.8.3 安全技术体系 ...................................................................................................... 17
3.8.4 安全管理保障体系 .............................................................................................. 30
3.8.5 安全加固和运维服务 .......................................................................................... 32
2 第四章 项目运维管理 ........................................................................................................... 34
4.1 人员配置计划 .............................................................................................................. 34
4.2 人员培训方案 .............................................................................................................. 35
4.3 实施进度计划 .............................................................................................................. 37
第五章
效益与评价指标分析 ............................................................................................. 39
5.1 效益分析 ..................................................................................................................... 39
5.2 项目评价指标分析 ..................................................................................................... 39
第六章 注意事项 ................................................................................................................... 40
第七章 产品性能参数和数量 ............................................................................................... 43
7.1 市集中招标部分 .......................................................................................................... 43
7.2 省集中采购部分(省纪委已集中招标,地市无需再次招标)
.............................. 58
3 第一章 项目概述 1.1 项目名称
马鞍山市纪检监察外网建设项目
1.2 项目建设方案编制依据 1)互联网+政务服务”技术体系建设指南 2)政务信息资源类规范、标准 3)国家、省级、行业建设规范 安徽省《纪检监察外网建设方案》 《网络安全法》(2017)
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 《信息安全技术 网络安全等级保护测评要求》GB/T 22239-2019 《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 22239-2019 1.3 项目概况
1.3.1 项目背景
党的十九大报告中提出,当前,反腐败斗争形势依然严峻复杂,
4 需要进一步推进反腐败国家立法,建设覆盖纪检监察系统的检举举报平台。中央纪委规划,全国纪检监察系统依托电子政务外网建设纪检监察外网,纵向贯通中央、省、市、县(区)、乡镇(街道)五级,满足纪检监察机关之间的业务协同和信息共享需求。
依照安徽省纪委监委《纪检监察外网设计方案》,马鞍山市纪委监委机关依托电子政务外网建设纪检监察外网,纪检监察外网需要承载的业务主要有检举举报业务,具备承载移动办公业务的条件,以及乡镇街道、基层单位派驻机构、企业高校等纪检监察内网无法覆盖的单位使用的基层版系统。
纪检监察外网通过网络隔离设备与电子政务外网对接,完成纪检监察机关之间的业务协同和数据共享。纪检监察外网需要与电子政务外网网络保持逻辑隔离,在完成数据交换的同时确保信息安全。
马鞍山市纪检监察外网依照省《纪检监察外网建设方案》设计和实施,符合省纪委对纪检监察外网的网络规划及安全要求。
1.3.2 建设目标 本项目依托市电子政务外网建设覆盖全市的纪检监察外网,共113 个点位,其中包含 1 个市级节点,8 个区县级节点,和 104 个县级派驻和乡镇纪委节点。其中市级节点需建设必要的安全系统,并通过网络安全等级保护三级评测。
5 1.3.3 项目建设内容考核情况 按照省纪委的规划和要求,建设马鞍山市纪检监察外网。
1.3.4 项目建设的意义和必要性 党的十九大报告提出,当前反腐败斗争形势依然严峻复杂,需要进一步推进反腐败国家立法,建设覆盖纪检监察系统的检举举报平台。
按照中央纪委的规划,全国纪检监察系统依托电子政务外网建设纪检监察外网,纵向贯通中央、省、市、县(区)、乡镇(街道)五级,横向连接协查单位,满足纪检监察机关之间、纪检监察机关与协查单位之间的业务协同和信息共享需求。马鞍山市纪检监察外网依照省《纪检监察外网建设方案》设计和实施,符合省纪委对纪检监察外网的网络规划及安全要求。
1.3.5 部门业务需求说明
本次按三级建设,其中市本级节点 1 个,区县级节点 8 个,区县派驻和乡镇节点 104 个,区县级派驻和乡镇节点数量分布如下:
序号 市区县 市本级 区县级 区县派驻和乡镇节点 合计 1 马鞍山市 1
1 2 当涂
1 25 26 3 含山县
1 20 21 4 和县
1 21 22 5 博望区
1 7 8 6 花山区
1 15 16 7 雨山区
1 13 14 8 经开区
1 1 2
6 9 郑蒲港新区
1 2 3 10 总计 1 8 104 113
7 第二章 业务需求分析 2.1 业务功能、业务流程和业务量分析 1)软件部分要求 2)硬件部分要求 本项目使用产品应从特定目录中选择,如目录中无相关产品,按产品参数进行选择。
2.2 系统功能和性能需求分析 依照安徽省纪委监委《纪检监察外网设计方案》,马鞍山市纪委监委机关依托电子政务外网建设纪检监察外网,纪检监察外网需要承载的业务主要有检举举报业务,具备承载移动办公业务的条件,以及乡镇街道、基层单位派驻机构、企业高校等纪检监察内网无法覆盖的单位使用的基层版系统。
纪检监察外网通过网络隔离设备与电子政务外网对接,完成纪检监察机关之间的业务协同和数据共享。纪检监察外网需要与电子政务外网网络保持逻辑隔离,在完成数据交换的同时确保信息安全。
马鞍山市纪委监委机关纪检监察外网中心节点设置在马鞍山市印山东路 2009 号汇通大厦 4 层市数据资源管理局电子政务外网机房。马鞍山市纪检监察外网中心节点是全市纪检监察外网的核心,包括核心交换区、广域接入区、管理业务区和终端接入区。
市纪委监委机关纪检监察外网中心节点通过 1 条电子政务外网
8 链路接入市电子政务外网。新建广域接入区,通过 VPN 网关与省、区县级、乡镇 VPN 网关建立隧道连接,形成纪检监察机关独立私有的纪检监察外网。同时设立纪检监察外网核心交换区、终端接入区、管理业务区。
9
10 第三章
建设方案
1 3.1 网络整体设计
纪检监察外网依托电子政务外网构建,贯穿中央、省、地(市)、县(区)、乡镇(街道)五级。马鞍山市纪委纪检监察外网涵盖市本级、县(区)级、乡镇(街道)三级,对上连接安徽省纪委纪检监察外网,满足上下级纪检监察机关之间信息共享和业务协同需求,为各级纪检监察机关业务提供网络支撑。
整体架构如下:
马鞍山市纪委纪检监察外网 VPN 网关向上通过安徽省电子政务外网与安徽省纪委监委 VPN 网关建立安全隧道连接;向下通过县区
11 级电子政务外网与各县区级、各乡镇纪检监察机关 VPN 网关建立安全隧道连接。
各县区级纪检监察外网 VPN 网关向上通过县区级电子政务外网与市纪委监委 VPN 网关建立安全隧道连接。
各乡镇纪委检监察外网 VPN 网关向上通过县区级电子政务外网与市纪委监委 VPN 网关建立安全隧道连接。
相应人员在业务网络中身份的唯一性通过数字证书来表明,数字证书依托省纪委监委电子认证基础设施(省二级 RA 分中心),我市不进行统一身份认证体系建设。
12 2 3.2 马鞍山市级组网设计
1 3.2.1 市纪检监察 外网组网
市纪委联网如上图所示,市纪委通过专线连接政务外网接入设备上,再通过接入设备联入本级电子政务外网,纵向贯通省、市、县、乡。
市纪委内部局域网划分为政务外网区域和 IPSec VPN 两个区域,
13 用户网关配置于电子政务外网接入设备上,业务通过三层路由协议进行互连互通,IPSec VPN 区域主要用于纪检监察外网业务系统部署及访问,用户网关配置于核心区核心交换机上,核心交换机与各区域边界设备通过静态路由协议互访,核心交换区域写有到上游 IPsec VPN 网关设备路由,由上游 VPN 网管设备对业务流量加密,并通过电子政务外网底层 MPLS VPN 网络实现对全市纪检监察外网底层网络搭建,在通过建立 IPsec VPN 隧道实现互联互通。
2 3.2.2 区县级、县级派驻及乡镇级纪检监察外网组网
区县级、县级派驻及乡镇级纪委直接通过边缘 IPsec VPN 设备,并在区县 PE 设备上建立 MPLS VPN 逻辑通道,依托电子政务外网直接与市 VPN 设备建立 IPsec VPN 隧道连接,通过 IPsec VPN 隧道实现纪检监察业务的互访,VPN 网关设备可做到“0 配置上线”,具备国密算法。
3 3.3 市级纪检监察外网
市级纪委监委机关纪检监察外网以终端接入为主,使用在纪检监察外网省本级集中部署的检举举报业务、信息查询业务和基层版系统,并为派驻机构、乡镇单位提供 IPSecVPN 接入服务。
市级节点需建设核心交换区、广域接入区、管理业务区和终端接入区。市级节点需建设必要的安全系统,并通过等级保护三级评测。
14 4 3.4 县区级纪检监察外网
马鞍山市县区级纪委监委机关纪检监察外网以终端接入为主,使用在省纪检监察外网集中部署的检举举报业务、信息查询业务和基层版系统。
各县区纪检监察机关在市纪委监委的统一领导下,建设广域接入区和终端接入区。各县区级节点需建设必要的安全系统。
5 3.5 县区级派驻及乡镇级纪检监察外网
马鞍山市电子政务外网已全面完成县区各委办局及乡镇领导班子办公点覆盖,乡镇级纪委监委机关全部可通过电子政务外网以终端接入的形式访问纪检监察外网,使用在省纪检监察外网集中部署的检举举报业务、信息查询业务和基层版系统。各乡镇纪委与乡镇党委在同一院落内可通过网线或光纤接入马鞍山市电子政务外网。
各乡镇级节点可通过桌面级 VPN 设备接入市级纪检监察外网节点。
桌面 VPN 设备采用国密算法,配置不少于 5 个千兆电口,商密算法 SM2+SM3+SM4 加密流量≥20Mbps,防火墙性能≥200Mbps;VPN 隧道数≥100;支持用户数≥60。
终端计算机需要安装终端安全管理及病毒防护系统,接受市纪委管理。
15 P 3.6IP 规划
根据省纪委监委统一部署,马鞍山市 IP 地址规划如下:
IP 地址规划 序号 地区 IP 范围 备
注 1 马鞍山市 159.50.160.0/24 到159.50.163.0/24 市本级 4 个 C 类地址 市县两级的汇聚路由地址为159.50.160.0/19 2 马鞍山县区 159.50.164.0/24 到159.50.189.0/24 三区三县,每县区 4 个 C 类地址。
经开区和郑蒲港 1 个 C 类地址 预留地址:159.50.190.0/24
159.50.191.0/24
7 3.7 域名规划
电子政务外网区的域名由数据资源局统一规划和分配。
纪检监察外网区的域名独立规划,分为纪委监委机关域名后缀和业务系统名称两部分。省纪委监委使用独立的二级域名作为我市域名后缀,我市市级县区乡镇在此基础扩展为三级、四级域名。
每一级域名长度不超过 63 个字符,域名总长度不能超过 253 个字符。
8 3.8 网络安全设计
3.81 .1 安全等级划分
纪检监察外网运行过程中,将会产生、传输和储存大量结构化和非结构化信息。这些信息对于业务的正常运行起到十分关键的作用,
16 同时业务系统中传输的部分信息相对敏感,直接关乎社会稳定与国家安全。根据《网络安全等级保护定级指南》等级定级情况如下:
纪检监察外网应用系统数据的机密性一旦遭到破坏,将会对互联网、外网数据的采集、公示、分析、调用服务造成中断,对社会秩序和公共利益造成严重损害,对国家安全也会造成一定影响。
综合考虑业务信息等级和系统服务等级,市级纪检监察外网应用系统最终的安全保护等级应是由业务信息安全等级和系统服务安全等级的较高者决定,即安全等级为第三级,县区级纪检监察外网比照二级标准进行建设。
3 3. .8 82 .2 总体设计
网络安全保障体系包含安全技术体系和安全管理体系。安全技术体系包括物理安全、安全基础设施、通信网络安全、区域边界安全、计算环境安全等方面;安全管理体系主要包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、应急预案管理等六个方面。
县区级、乡镇对照市纪委监委,成立本单位安全管理机构,制定安全策略与配套安全管理制度,明确安全管理人员工作职责和要求,安排专人负责组织管理安全建设和安全运维,为纪检监察外网的安全运行提供组织保障。
17 3 3. .8 83 .3 安全技术体系
3 3. .8 81 .3.1 安全域划分
马鞍山市纪检监察外网划分 4 个安全区域:核心交换区、广域接入区、终端接入区、管理业务区。
3 3. .8 82 .3.2 安全物理环境
本次马鞍山市纪检监察外网搭建于马鞍山市印山东路 2009 号汇通大厦 4 层市数据资源管理局电子政务外网机房,物理环境建设应符合《技术要求》中关于机房物理位置、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等相关要求。
3 3. .8 8 .3.3 3 安全通信网络
综合考虑网络规模和业务数据吞吐量等因素,按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机。核心交换设备、外部接入链路、系统服务器等重要网络节点实现主机、链路冗余部署,从网络结构、硬件配置上保障系统不间断运行的需要。
1) 网络架构
根据纪检监察外网业务高峰期需求,选用性能匹配的网络设备、安全设备,并具有一定的性能余量。
18 根据纪检监察外网网络安全体系建设需求,业务系统的功能和特性、业务系统面临的威胁、业务系统的价值及相关安全防护要求等因素,对网络进行安全域的划分,分为核心交换区、广域接入区、终端接入区和管理业务区。
在核心交换区部署1台高性能核心交换机,部署1台防火墙设备。
通过安全域划分,实现按需防护、多层次纵深防护的技术理念。关键网络设备、安全设备和计算设备冗余部署可保障核心网络的持续稳定运行,保障核心业务区域的安全防护及业务持续畅通。
2) 通信传输
在广域接入区部署 1 台 VPN 网关设备,向上通过马鞍山市电子政务外网与省纪委监委 VPN 网关建立安全隧道连接;向下通过马鞍山市电子政务外网与区县级、乡镇纪检监察机关 VPN 网关建立安全隧道连接。
本项目中,采用符合国家密码管理局商用密码技术标准的 VPN综合安全网关设备进行基于互联网的远程通信传输。所用 VPN 综合安全网关基于国密算法,符合采用密码技术保障通信过程中数据的完整性与保密性。VPN 综合安全网关自身通信建立过程也符合通信前基于密码技术对通信的双方的认证要求,自身管理功能满足基于硬件密码模块对重要通信过程进行密码运算和密钥管理。
3 3. .8 8 .3.3 3 安全区域边界
纪检监察外网各个区域边界的安全主要通过边界防护、访问控
19 制、入侵防范、安全审计、安全隔离交换等安全措施来保障。在各个安全域分别部署防火墙、入侵检测系统、日志审计系统、网络审计系统、终端安全管理系统、漏洞扫描等网络安全新技术和新设备,提升区域边界访问控制及防入侵能力,实现不同安全域之间的安全互联,构建纵深式的区域边界防护措施。
1) 边界防护
在广域接入区和管理业务区各部署 1 台防火墙 、通过在防火墙上配置相应安全防护策略,控制各个区域之间的安全访问。确保跨越边界访问和数据流都通过安全网关受控接口通信。实现各个区域的边界防护、访问控制、入侵防范及恶意代码防范功能。
在管理业务区部署 1 套漏洞扫描系统,在管理业务区的终端上部署终端安全管理系统客户端,探测并阻止终端的违规外联行为。
采用安全边界设备将不同安全域进行隔离,将业务系统与安全技术有机结合,形成完整的防护体系,既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
2) 边界访问控制
在各区域边界部署防火墙设备上,依据总体网络访问控制策略,配置精简且必要的访问控制规则,默认情况下除允许通信外,受控接口拒绝所有通信。访问控制规则对数据包的源地址、目的地址、
20 传输层协议、源端口、目的端口和协议、请求的服务等进行检查。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用综合安全网关或防火墙就可以隐蔽那些透漏内部细节如 Finger,DNS 等服务。
3) 边界入侵防御
在核心交换区交换机上旁路部署入侵检测系统,实现网络内部入侵检测。
通过部署防火墙、入侵检测系统,能够为网络内部各安全域提供全面的攻击检测及防护:
实时入侵检测及保护
IPS 具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能,动态异常流量管理和七层应用行为识别等功能,同时配合零时差更新的特征库和自定义检测特征功能,可检测阻断各种网络攻击行为,阻断各类恶意代码进行渗透。包括:病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等。
S DoS/DDoS 的防范
DoS 攻击从出现之初到现在依然是最为活跃的攻击手法之一。入侵防护系统在防范 HTTP DoS 攻击时并非单纯地以总量计算数据包的
21 方式进行统计,而是针对每个源 IP 并统计其在单位时间内符合报文特征的次数进行判断,从而可以有效防范 CC 攻击,以确保合法用户顺利访问 Web 站点。
缓冲区溢出攻击的防范
缓冲区溢出漏洞主要来自系统和应用软件存在的 bug,攻击者利用这些漏洞可以获得系统的管理权限,大部分蠕虫病毒的传播也主要利用了缓冲区溢出漏洞。当前网络攻击的一个非常大的特点是从漏洞信息发布到第一个攻击工具出现的周期越来越短,而厂商发布补丁不及时,给攻击者留下了充足的时间进行攻击。针对这一问题,入侵防护系统可提供“虚拟补丁”技术,及时跟踪网络中各种系统、软件存在的 bug,并在第一时间提供检测特征码,为用户网络提供一个虚拟的安全补丁,防范大部分的 0day 攻击。
未知威胁发现
实现未知漏洞攻击行为检测与文件威胁行为双重检测,其中未知漏洞攻击行为检测是通过使用对应的软件(Office,Adobe Reader等)执行待检测的文档文件,观察对应的软件是否有可疑行为 ;文件威胁行为检测 是根据文件类型执行相应的程序,并将核心检测动态库注入到该进程中,核心动态库记录对应进程的所有 API 调用,分析 API 调用序列,智能提取恶意行为规则,判断文件的可疑度。
通过对常见的应用软件文件的深度解析和 Shellcode 的检测,可以有效检测出利用未知漏洞(0day)传播恶意代码的攻击行为,在检测到利用文件漏洞传播恶意代码的行为的同时,可以提取出完整的文
22 件样本,即恶意代码样本。可与 IDS 网闸等多种安全设备联动,形成全方位整理解决方案。
4) 边界恶意代码防范
针对病毒的风险,防范从源头入手。在各应用服务器、数据库服务器、办公终端安装防病毒软件,有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码。加强终端主机与服务器系统、网络出入口的病毒防护能力,并及时升级恶意代码软件版本以及恶意代码库。
通过对纪检监察外网建立统一的整体网络病毒防范体系,在网络内部建立统一的病毒防范策略,从而达到以下病毒防范效果:
通过安全管理中心统一配置综合安全网关设备病毒网防护策略,统一防范各区域之间病毒泛滥。综合安全网关对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P 软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署综合安全网关,截断了病毒通过网络传播的途径,净化了网络流量。
可以通过病毒监控管理中心(管理安全域防病毒服务器)对网络内的服务器、客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作;实现跨区域、跨平台的网络防毒系统实施统一管理和监控。
23 在管理服务器上能够方便地查看全网的病毒报警和报告,包括感染节点的主机名、IP 地址、病毒名称、清除情况、被感染文件的路径等。
建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的传播。从发现病毒及病毒行为到上报控制台报警信息更迅速,能够快速的定位病毒来源,病毒名称,以便网络管理员能够迅速觉察并进行处理。
通过部署综合安全网关及网络版防病毒软件对查询外网网络系统内的安全区域及各种不同操作系统的服务器、客户端进行多层次、全方位的病毒监控防范,监视所有病毒可能的来源途径。如:Internet、网络驱动器、网络共享、移动存储设备、光盘、软盘和email 等,彻底的斩断病毒在服务器、客户端内的寄生及网络内部的传播。
5) 网络安全审计
在网络核心交换机旁路部署网络审计系统,在管理业务区部署日志审计系统,可满足内网全流量全用户全事件安全审计要求。
在网络边界、重要网络节点设备上配置安全审计策略,将日志发往安全管理中心的日志审计系统。
在网络核心位置部署网络审计系统,形成对全网网络数据的流屋监测审计,通过对网络中的数据包进疔分析、匹配、统计,特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,并生成
24 审计报表。在各安全区域边界开启边界安全设备的审计功能,根据审计策略对流经数据进行审计并记录各类操作。同时通过安全管理中心对审计信息进行统一集中管理,日志至少保留 6 个月以上。
网络审计系统能够全面详实地记录网络内流经监听出口的各种网络行为,以便进行事后的审计和分析。日志以加密的方式存放,只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源 IP 地址、源端口、源 MAC 地址、目的 IP 地址、目的端口、访问类型、访问地址/标识等关键数据项。
针对互联网上流行的可还原协议,网络审计系统系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容,包括正文、文件等信息,以便进行事后的审计和分析,我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录,又能通过策略指定访问者(IP 地址/帐号/分组)、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。
各安全区域边界已经部署了相应的安全网关设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审
25 计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
3 3. .8 8 .3.4 4 安全计算环境
计算环境的安全主要通过身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等安全机制来保障。
1) 访问控制
在管理业务区部署漏洞扫描系统,对主机进行安全配置检查,并对主机系统进行安全加固。
对登录用户分配账户和权限,重命名或删除默认账户,修改默认账户的默认口令,及时删除或停用多余的、过期的账户,避免共享账户的存在。授予管理用户所需的最小权限,实现管理用户的权限分离。
采用强制访问控制技术,对安全管理员进行严格的身份鉴别和权限控制,并由安全管理员通过配置访问控制策略,对主、客体进行安全标记,主体标记采用身份鉴别系统 USBKey 数字证书+PIN(口令)的方式进行标记,客户标记由业务系统实现,粒度应为文件或数据库表级。
通过部署主机监控与审计系统,提供非法外联管理控制功能,防止用户非法连接非授权网络的厅为。
26 2) 安全审计
安全审计系统应对重要的用户行为和重要的安全事件进行审计,包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并提供审计记录查询、分类、分析和存储保护功能,确保审计记录不被破坏或非授权访问。
具体包括:主机审计和应用审计。
主机审计实现对主机监控、审计和系统管理等功能。主机监控功能包括:服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP 地址更改审计、服务与进程审计等。系统管理功能包括系统用户管理、安全策略管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
应用层安全审计是对业务应用系统行为的审计,需要与应用系统紧密站合,此审计功能应与应用系统统一开发。应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。、应用系统配置安全审计策略,并将日志发往管理业务区的日志审计系统。
在终端主机上安装部署“内网安全管理系统”,实现基于主机侧的安全审计功能。包括:打印审计、网站审计、FTP 审计、windows
27 事件日志审计、应用程序审计、主机名及 IP 和 MAC 变更审计、终端Windows 登录审计、终端开关机审计、ISM 客户端运行审计、终端使用 USB 设备历史审计、移动存储设备审计、文件审计等。确保审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
在管理业务区部署日志审计系统,对系统日志进行统一存储及审计。
3) 入侵防护
借助部署在各个区域边界的综合安全网关或防火墙、入侵检测系统及威胁发现采集探针,对计算环境内部进行综合入侵检测及防护。
在管理业务区部署漏洞扫描系统,对查询外网内的主机进行漏洞扫描和系统安全配置检查,及时发现安全漏洞并进行修补。
在管理业务区部署内网安全管理系统服务器,在查询外网内终端上部署内网安全管理系统客户端,实现主机安全防护及补丁管理。
主机及应用系统安全加固。关闭不需要的系统服务、默认共享和高危端口;遵循最小安装的原则,仅安装需要的组件和应用程序; 通过部署综合安全网关或防火墙、入侵检测系统及威胁发现采集探针,能够为网络内部各计算环境提供全面的攻击检测及防护。通过漏洞扫描系统能够发现信息系统存在的系统漏洞、应用漏洞、Web应用安全漏洞、安全配置漏洞等。对象涵盖各种常见的网络主机、操作系统、数据库系统、Web 应用、云平台等,覆盖了当前网络环境中重要的、流行的漏洞,且能够根据网络环境的变化及时调整更新,
28 确保漏洞识别的全面性和时效性。通过内网安全管理系统实现主机端灵活的补丁管理,主机操作系统补丁的获得和配置都是自动的,并且有多种的分发选项。管理员可以通过报表查看网络中单台电脑的补丁安装情况,也可以查看单个补丁在内网中的整体安装等情况。通过内网安全管理系统实现主机安全防护。内网安全管理系统具有访问控制、流量控制、ARP 欺骗控制、网络行为模式控制、非法外联控制等多种防护技术,实现针对主机的威胁主动防御和网络行为控制,从而保证主机双向访问安全、行为受控。
4) 主机防病毒
在管理业务区部署部署防病毒服务器,在各应用服务器、数据库服务器、办公终端安装防病毒软件,有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码。加强终端主机与服务器系统病毒防护能力,并及时升级恶意代码库。
可以通过管理业务区防病毒服务器病毒监控管理中心对网络内的服务器、客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作;实现跨区域、跨平台的网络防毒系统实施统一管理和监控。在管理服务器上能够方便地查看全网的病毒报警和报告,包括感染节点的主机名、IP 地址、病毒名称、清除情况、被感染文件的路径等。建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的传播。从发现病毒及病毒行为到上报控制台报警信息更迅速,能够快速的定位病毒来源,病毒名称,以便网络管理员能
29 够迅速觉察并进行处理。通过部署综合安全网关或防火墙及网络版防病毒软件对查询外网网络系统内的安全区域及服务器、客户端进行多层次、全方位的病毒监控防范,监视所有病毒可能的来源途径。如:Internet、网络驱动器、网络共享、移动存储设备、光盘、软盘和 email 等,彻底的斩断病毒在服务器、客户端内的寄生及网络内部的传播。
5) 数据完整性与保密性
采用加密技术和数字签名技术实现数据的完整性与保密性。通过签名验证技术等完整性校验机制,对服务器、计算终端中存储的重要数据进行完整性校验。通过数字签名及签名验证技术,确保数据发送方的真实性。采用国密密码算法,对服务器、计算终端中存储的业务数据进行加密,实现重要数据机密性保护。
6) 资源控制
通过资源控制,保证各业务系统正常运行。为达到控制目标,通过应用系统开发或配置来实现会话自动结束、会话限制、登录条件限制、超时锁定、资源监控、检测和报警、优先级设定等。应用系统上线前,做好安全审查工作,包括:安全功能审查、漏洞审查等。
30 3 3. .8 8. .4 4 安全管理保障体系
3 3. .8 8. .4 41 .1 安全管理制度
1、安全管理制度 对安全管理活动中的各类管理内容建立安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程,形成由安全策略、管理制度、操作流程、记录表单等构成的全面的安全管理制度体系。
2、安全管理制度体系文件 (1)制定和发布 指定或授权专门的部门或人员负责安全管理制度的制定,并通过正式、有效的途径发布,并进行版本控制。
(2)评审和修订 定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足后需要改进的安全管理制度进行修订。
3.8 8. .4 42 .2 安全管理机构
根据基本要求中设置安全管理机构的组织形式和运作方式,明确岗位职责,设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导或管理信息安全工作的委员会或领导小组,最高领导由单位主管领导委任或授权;明确安全管理机构各个部门和岗位职责、分工和技能要求。建立授权审批制度和内外部沟通合作渠道,定期进行全面安全检查。
31 3.8 8. .4 43 .3 安全管理人员
根据基本要求制定人员录用、离岗、转岗、考核、培训等方面的规定,并严格执行,规定外部人员访问流程,并严格执行。
3.8 8. .4 44 .4 安全建设管理
根据基本要求开展定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、安全服务厂商选择等工作。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
3.8 8. .4 45 .5 安全运维管理
根据基本要求,利用管理制度以及安全管理中心进行信息系统日常运行维护管理,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置等,使系统始终处于相应等级安全状态中。
3.8 8. .4 46 .6 应急预案管理
针对出现突发安全事件制定相应的处理流程,针对不同的安全事件制定针对性的应急响应预案,包括:应急处理流程、系统恢复流程等内容,定期进行演练,应指定责任部门与责任人,定期进行检查与培训。同时将安全事件的等级进行划分,包括响应的范围等。
32 5 3.8.5 安 全加固和运维服务
等级保护 2.0 标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。通过运营将等保 2.0 中的技术要求和管理要求有效落地。
系统自身的漏洞、来自内外部的威胁,是管理的基本要素。以漏洞和威胁为基础,把技术和管理体系融合,建立安全运营体系。提供如下安全加固服务:
1) 完成本次采购的安全设备与现有网络设备的集成和安装配置。
2) 依据国家相关文件、标准、系统安全保护等级和《信息系统安
全等级保护测评要求》,结合测评机构出具的差距分析报告,提供安全咨询与加固服务,提供整改咨询服务,并协助招标人制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
33 3) 季度安全巡检:厂商工程师团队每年针对业务系统网络开展安 全巡检,巡检内容包括安全日志分析,安全设备运行情况评估,业务系统监控度评估,安全策略合理性评估,漏洞扫描,配置核查等相关工作,并根据巡检结果出具安全巡检分析报告及整改建议。
4) 季度漏扫:厂商工程师团队提供漏洞检测服务进行漏洞检测。
帮助指导漏洞修复,进行修复验证。
5) 季度配置核查:厂商工程师团队配置检测服务(主机操作系统 检测:对目标范围内操作系统、网络设备、数据库、中间件等多类设备及系统进行安全检查; 终端计算机检测:检查终端计算机的弱口令、防病毒软件安装及策略配置情况,主机配置层面弱点和漏洞层面弱点进行检查等;)
6) 应急响应:厂商工程师团队依据用户业务系统的重要程度及实 际需求,协助编制网络安全综合应急预案及针对不同业务系统的专项应急预案,根据业务系统的重要程度,提供应急响应处置服务,重大安全事件提供 4 小时内专家上门支持,协助开展应急处置工作,处置完成后形成处置报告。针对业务系统的大规模攻击提供云安全防护临时应急措施。
7) 应急演练:厂商工程师团队每年协助开展两次应急演练工作, 应急前提供应急演练方案、应急演练脚本、协助准备应急演练环境,演练期间协助开展应急演练整个流程,应急结束后编制应急演练报告。并根据应急演练结果优化对应的应急预案制度。
34 8) 安全培训:厂商工程师团队每年开展两次安全培训工作,分别 为针对全员的网络安全意识培训和针对信息人员的专业技能培训,网络安全意识培训包括国家及行业的法律法规标准解读,网络安全趋势讲解,网络安全案例讲解,生活中的网络安全意识讲解,工作中的网络安全意识讲解。专业技能培训内容包括网络安全应急技能培训、日常安全运维重点工作培训、渗透测试技能概述培训和其他用户需求的技能培训。
9) 测评整改:协助招标人完成测评整改工作,中标人需根据测评 机构出具的系统安全问题及整改建议书和整改方案,进行安全加固,直至完成测评。
第四章 项目运维管理 4.1 人员配置计划 项目组织结构主要由项目领导小组、承建单位组成。
项目领导小组
项目领导小组由项目建设业务部门领导组成,负责项目实施过程的总协调和总推进。
承建单位
承建单位主要包括参与本项目的系统集成商、设备供应商,在本项目中主要承担的工作包括:
1. 制订项目实施的详细设计和质量保证计划,经项目领导小组
35 审定后组织实施。
2. 项目实施期间,认真组织好人力、物力等资源的投入,并向提供月、周进度报告及相应进度统计报表。
3. 按合同要求在工程进度、成本、质量方面进行过程控制,发现不合格项时及时纠正。
4. 在项目实施过程中按规定程序及时、主动、自觉接受项目领导小组的监督检查;并提供各种统计数据的报表。
5. 项目实施完成后,及时向项目领导小组提交项目测试申请报告,对测试中发现的问题及时进行改进。
6. 保存好完整的项目资料档案,以便后期移交项目领导小组。
7. 日常维护:
(1)指定 1 名项目经理作为运维服务接口人与招标人对接。
(2)为本项目的运行进行远程服务的原厂技术人员不少于 2 人,能够提供 7*24 小时热线服务,解决客户运维问题。技术服务人员应熟悉系统中的使用管理以及现场业务和市电子政务外网情况,掌握运维管理服务的工作技巧和方法
4.2 人员培训方案 成交供应商负责免费对采购人进行全面的培训,通过讲授相关硬件和软件的性能、系统结构与原理、系统维护管理技术以及实际操作等方式,使系统管理和使用人员熟练掌握业务管理、系统配置
36 与常规维护、故障处理等技能,确保整个系统的正常运行及工作开展。在服务过程中,根据采购人需要免费进行后续培训。在培训过程中成交供应商负责提供实际操作培训所需的设备和资料。
1、培训目的 通过系统管理人员和操作人员进行全面的技术类和操作类培训,确保用户维护管理和操作人员达到能独立操作、独立进行管理、运营、故障处理、日常维护测试等工作,使供货商提供的相关设备与系统能够正常、安全的运行。
2、培训策略 培训内容先进性与实用性相结合; 聘请专业的培训教师为学员授课; 培训教材采用原厂商提供的中文教材,授课语言为中文; 非现场培训做好接待工作,协调好相关的一切事宜; 建立培训反馈体系,由学员考评培训教师,确保培训质量。
3、培训内容 总体培训安排 采取现场培训和集中培训两种方式,组织下列培训:
序号
培训人群
培训内容
1 技术人员 安全管理的理论知识,包含安全管理制度、安全设备工作原理、日常运维流程。
2 技术人员 安全设备的安装、管理和维护的知识和技能,实现独立配置,并根据安全需求配置相应的安
37 全策略。
3.1、 现场培训 项目启动初期,安全技术、以及原理、概念培训。
培训目的:在项目启动初期,对用户方项目参与人员进行项目方案、设备概念等方面技术的初步介绍和交流,为进一步的深入技术培训打下基础。
3.2、集中培训 融入项目建设过程的设备安装、调试、配置、优化。
为了保证项目后期,我信息科人员能够顺利地掌握设备的使用,主要着重于系统的总体结构、各种设备的安装、策略配置,使得系统管理员应能够在系统正式运行后接手所有的工作,...
相关热词搜索: 马鞍山市 纪检监察 方案