安全服務(wù)實施方案

安全服務(wù)實施方案1.概述(1)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，設(shè)計安全標準必須達到等級保護相關(guān)等級的基本要求，并依據(jù)風(fēng)險分析的結(jié)果進行補充和調(diào)整必要的安全措施；(2)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃；(3)應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件；(4)應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施；(5)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件；系統(tǒng)根據(jù)“一個中心”管理下的“三重保護”體系框架進行設(shè)計，構(gòu)建安全機制和策略，形成定級系統(tǒng)的安全保護環(huán)境。該環(huán)境共包括四部分：安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。2．設(shè)計要求和分析主要針對以下四個方面進行設(shè)計：2.1安全計算環(huán)境設(shè)計(1)用戶身份鑒別應(yīng)支持用戶標識和用戶鑒別。(2)自主訪問控制在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的對象具有訪問操作權(quán)限，這個權(quán)限可以根據(jù)用戶進行授權(quán)。可以具體到針對被訪問對象的具體操作。(3)標記和強制訪問控制可以對訪問者和被訪問者在身份鑒別的基礎(chǔ)上進行安全標記，實現(xiàn)對主體訪問客體的操作進行控制。(4)系統(tǒng)安全審計對訪問行為進行完整的審計，審計的內(nèi)容包括訪問對象、被訪問對象，訪問的行為、時間等內(nèi)容。(5)用戶數(shù)據(jù)完整性保護采用備份、HASH方法對數(shù)據(jù)的完整性進行保護，防止被篡改。(6)用戶數(shù)據(jù)保密性保護采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性保護。(7)客體安全重用客體安全重用即指被訪問對象不應(yīng)保留訪問對象的特征，避免由于不同訪問對象的訪問而造成訪問對象之間信息的泄露。(8)程序可信執(zhí)行保護采用可信計算技術(shù)，保證程序執(zhí)行過程是可信的?？尚攀莻€復(fù)雜的環(huán)節(jié)，但是我們可以在重點服務(wù)器計算環(huán)境內(nèi)實現(xiàn)可信。對于(1),(2),(3),(4)的要求可以通過高強度的身份認證產(chǎn)品實現(xiàn)。(5),(6),(7)可以通過比較流行的敏感信息數(shù)據(jù)保護技術(shù)實現(xiàn);(8)是一個復(fù)雜的要求，如何做到可信的環(huán)境也是一個復(fù)雜的命題，畢竟在多數(shù)情況下，我們的計算環(huán)境還是建立在一個開放的平臺上進行建設(shè)。而且，從硬件開始至操作系統(tǒng)，基本都是國外的產(chǎn)品構(gòu)成.可信執(zhí)行保護只能在操作系統(tǒng)平臺上實現(xiàn)，很難做到完全的可信。2.2安全區(qū)域邊界設(shè)計(1)區(qū)域邊界訪問控制要求在區(qū)域邊界進行控制，防止非授權(quán)訪問。(2)區(qū)域邊界包過濾要求在區(qū)域邊界進行包過濾檢測措施。(3)區(qū)域邊界安全審計要求在區(qū)域邊界進行安全審計措施，保證內(nèi)外數(shù)據(jù)的審計。(4)區(qū)城邊界完整性保護應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探淵非法外聯(lián)和人侵行為，并及時報告安全管理中心。2.3安全通信網(wǎng)絡(luò)設(shè)計(1)通信網(wǎng)絡(luò)安全審計在安全通信網(wǎng)絡(luò)設(shè)置審計機制，由安全管理中心集中管理，并對確認的違規(guī)行為進行報警。(2)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完軼性保護對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行完整性檢驗和保護。保證網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。(3)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護對網(wǎng)絡(luò)數(shù)據(jù)進行傳輸保密。(4)通信網(wǎng)絡(luò)可信接人保護對通信網(wǎng)絡(luò)采用可信接人保護。安全通信網(wǎng)絡(luò)設(shè)計主要是針對通信網(wǎng)絡(luò)的保密要求，采用網(wǎng)絡(luò)加密技術(shù)可以實現(xiàn)所有要求，我們采用HTTPS技術(shù)實現(xiàn)對通信網(wǎng)絡(luò)和數(shù)據(jù)的保護。2.4安全管理中心設(shè)計(1)系統(tǒng)管理系統(tǒng)可以對系統(tǒng)管理員的行為進行身份鑒別和授權(quán)，僅允許系統(tǒng)管理員訪問特定的界面和特定的系統(tǒng)。在多數(shù)情況下，系統(tǒng)管理員可以分為網(wǎng)絡(luò)管理員、主機管理員和存儲管理員。網(wǎng)絡(luò)管理員主要對網(wǎng)絡(luò)設(shè)備進行策略配置。主機管理員主要對服務(wù)器操作系統(tǒng)進行管理和配置。多數(shù)情況下，主機管理員又分為PC服務(wù)器管理員和小型機管理員;存儲管理員主要對存儲設(shè)備進行維護和管理。(2)安全管理對安全管理員進行身份鑒別和授權(quán)?？偹苤?，安全管理員僅是對安全設(shè)備的管理，安全設(shè)備又涉及到了整個計算系統(tǒng)的各個方面，對安全管理員的管理也變得尤為重要，多數(shù)安全設(shè)備都具有LOG記錄功能，同時提供了方便的接口可以進行授權(quán)管理。(3)審計管理根據(jù)信息安全等級保護三級要求對安全審計員進行身份鑒別和管理，安全審計員要和多種設(shè)備打交道，如何保證安全審計員的行為進行控制同樣是一個復(fù)雜的要求。3．針對本單位的具體實踐3.1安全計算環(huán)境建設(shè)公司信息系統(tǒng)部署于XXX云平臺，云平臺位于中國境內(nèi)。XX云平臺完成了網(wǎng)絡(luò)安全等級保護測評（第三級），報告編號XXX。在XX云的基礎(chǔ)上，基于XX云的能力和特性，配置開通高強度的多因子身份認證系統(tǒng)，采用該身份認證系統(tǒng)，可以實現(xiàn)用戶身份鑒別、自主訪問控制、標記和強制訪問控制、系統(tǒng)安全審計等要求，采用基于代理技術(shù)的身份認證技術(shù)。除了以上功能外，還可以實現(xiàn)對訪問過程的控制，保證請求的有效、請求過程的正確、數(shù)據(jù)格式的正確等等。除此之外，服務(wù)器還部署了主機安全管理系統(tǒng)，提供了下列能力：主機漏洞管理與NVD（美國漏洞數(shù)據(jù)庫），CNVD（中國國家漏洞庫）進行對接，并根據(jù)CVSS（通用漏洞評估方法）且結(jié)合企業(yè)自身安全風(fēng)險進行計算和分析，得出準確的主機安全漏洞評估結(jié)果，并提供漏洞的應(yīng)急響應(yīng)及生命周期管理功能。安全基線管理根據(jù)操作系統(tǒng)、數(shù)據(jù)庫、中間件、Kubernetes的安全要求，制定了符合等級保護2.0的安全基線，可對集群內(nèi)的各項資產(chǎn)進行安全基線掃描，并提供安全基線生命周期管理功能。惡意代碼檢測具備勒索病毒、挖礦、蠕蟲、DDoS，webshell等惡意代碼檢測能力，為企業(yè)安全筑起最后一道防線。入侵事件檢測通過對主機的進程，文件進行監(jiān)控，并結(jié)合威脅情報，發(fā)現(xiàn)各種遠程命令漏洞利用，賬號爆破，橫向移動等入侵事件。文件完整性檢測對主機關(guān)鍵文件進行監(jiān)控，對文件的異常篡改進行告警；通過上述方案，有效保障了信息系統(tǒng)的計算環(huán)境安全。3.2安全區(qū)域邊界建設(shè)信息系統(tǒng)系統(tǒng)部署于XX公有云平臺，基于XX云的VPC技術(shù)進行嚴格的網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)隔離策略分為應(yīng)用子網(wǎng)、數(shù)據(jù)子網(wǎng)、安全子網(wǎng)等，通過服務(wù)器安全組策略實現(xiàn)網(wǎng)絡(luò)區(qū)域隔離和端口級訪問控制。區(qū)域邊界部署了WAF、FLEET安全中心對網(wǎng)絡(luò)攻擊行為進行檢測和報警。部署了堡壘機、XX云對象存儲OSS、XX云SQL洞察對網(wǎng)絡(luò)安全事件、重要用戶行為進行安全審計和日志記錄。WAF對流入數(shù)據(jù)進行攻擊和惡意代碼檢溯，作為安全保護的第一道防線，在邊界起到重要的作用。但是僅僅具有WAF是不夠的，服務(wù)器部署了主機安全管理軟件，做到全網(wǎng)統(tǒng)一策略，從而可以保證對流入的惡意代碼進行實時查殺，且對入侵行為進行告警。3.3安全通信網(wǎng)絡(luò)建設(shè)信息系統(tǒng)部署了WAF、堡壘機、FLEET云安全中心、FLEET主機安全管理系統(tǒng)、XX云對象存儲OSS、XX云SQL洞察服務(wù)或設(shè)備對系統(tǒng)進行綜合管控和安全防護，通過服務(wù)器安全組劃分網(wǎng)絡(luò)區(qū)域，重要網(wǎng)絡(luò)區(qū)域未部署在網(wǎng)絡(luò)邊界處。采用HTTPS、SSH、RDP等方式建立安全通信連接。3.4安全管理中心建設(shè)本公司XX信息系統(tǒng)明確了不同安全管理崗位的職責(zé)。系統(tǒng)管理員、審計管理員、安全管理員通過堡壘機進行身份鑒別后開展安全管理工作，并通過堡壘機、XX云對象存儲OSS、XX云SQL洞察對用戶操作進行審計和日志記錄。網(wǎng)絡(luò)中劃分出特定的安全管理區(qū)對網(wǎng)絡(luò)中的安全設(shè)備進行集中管控，采用HTTPS、SSH等建立了安全的信息傳輸路徑。通過XX云監(jiān)控系統(tǒng)對安全設(shè)備和服務(wù)器等的運行狀態(tài)進行集中監(jiān)控，部署了堡壘機、XX云對象存儲OSS、XX云SQL洞察對安全設(shè)備、服務(wù)器、數(shù)據(jù)庫的審計數(shù)據(jù)進行收集匯總和集中分析，日志保存周期超過6個月，通過統(tǒng)一管理的FLEET安全中心、FLEET主機安全管理系統(tǒng)進行惡意代碼的集中管理，部署了WAF、FLEET安全中心等設(shè)備或服務(wù)對網(wǎng)絡(luò)中發(fā)生的主要安全事件進行識別和報警，并由安全管理員進行及時處理。使用FLEET安全管理中心，提供了以下能力。統(tǒng)一安全日志管理具備跨云，跨數(shù)據(jù)中心的安全日志/安全數(shù)據(jù)接入能力。支持UDP，TCP，SYSLOG，HTTP，SNMPTrap等協(xié)議，快速接入Linux日志，硬件防火墻，硬件WAF，硬件IPS/IDS，殺毒軟件，網(wǎng)絡(luò)設(shè)備等數(shù)百種設(shè)備或系統(tǒng)日志。用戶可以通過安全管理中心強大的數(shù)據(jù)集成能力，打通分散的數(shù)據(jù)中心，云平臺，安全設(shè)備的數(shù)據(jù)孤島，為基于數(shù)據(jù)驅(qū)動的安全運維，安全防護打下堅實基礎(chǔ)。安全大數(shù)據(jù)分析提供了實時安全分析和監(jiān)控能力，基于流計算的復(fù)雜事件處理CEP，ComplexEventProcess）技術(shù)，可基于規(guī)則處理各種實時安全日志并從中發(fā)現(xiàn)安全威脅。也提供針對海量歷史數(shù)據(jù)的回溯分析能力，且具有靈活的分析任務(wù)調(diào)度功能，可自動化的對各種數(shù)據(jù)指標進行分析，以發(fā)現(xiàn)復(fù)雜的，隱蔽的安全威脅。安全事件生命周期管理安全事件生命周期管理為企業(yè)提供了扁平化，跨部門，可審計的安全事件處置能力。通過該功能，可以讓全工司的工程師參與安全事件的處理，貢獻每一個工程師的力量來保障公司的安全性，即減輕了安全團隊的工作量又提高了全公司人員對信息安全的參與度與重視程度。安全事件生命周期可對接各種來源的安全事件，同時，提供了事件分發(fā)，事件處理，事件驗證和事件總結(jié)的全生命周期管理。3.5安全管理規(guī)范制定目前在業(yè)界內(nèi)大多數(shù)用戶也已經(jīng)達成共識，單純依靠技術(shù)不能解決所有的安全問題，必須配套相應(yīng)的管理手段。安全管理規(guī)范是必要而且非常重要的輔助手段，根據(jù)實際的情況，采用系統(tǒng)管理員、安全管理員、安全審計員三權(quán)分立、互不兼任的原則，約束各個管理員的行為，同時配合門禁、