业务系统信息安全建设要求
1.概述
按照《信息安全技术网络安全等级保护基本要求》网络安全等级保护第三级安全要求进行安全系统建设。
2.安全物理环境
云计算中心机房现已具备完善的机房环境,可以充分满足物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等要求。
2.1. 安全区域边界
2.1.1.网络架构
将运输云平台划分为内外网区域,运输云平台综合业务网和调度中心机房之间通过租用运输云平台的2台云防火墙服务进行连接,运输云平台外网区域通过原有防火墙连接互联网。
2.1.2.网络行为安全审计
通过租用运输云平台的日志审计服务,实现日志集中管理策略、审计分析集中展示策略、多种网络设备的
日志收集;同时,利用调度中心机房现有安全态势感知平台实现大屏展示等功能。
通过租用运输云平台的运维审计服务进行网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
2.1.
3.网络入侵行为检测
租用运输云平台的流量清洗服务,提供网络层和应用层的DDoS攻击防护(如泛洪流量型攻击防护、资源消耗型攻击防护),并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠。2.1.4.网络备份/冗余与故障恢复
为了保障整个系统传输安全与可用性,现有网络通信设备采用双机双链路方式进行部署,避免单点故障造成业务无法持续性;同时,对网络设备的配置策略进行备份,保证在发生故障时能够及时恢复。
2.1.5.网络安全传输
网络安全传输采用现有SSL VPN实现远程数据传输保密性和完整性保护。
3.安全计算环境
3.1. 身份认证系统
按照三级系统安全建设要求,基于数字证书的身份鉴别认证体系,实现计算环境中各类业务应用系统、计算设备、网络设备基于数字证书的用户身份认证。
系统能发放CSS/RA证书、系统管理员证书、加密证书、签名证书、邮件安全证书、Web服务器证书、VPN设备证书、程序代码签名证书、时间戳服务器证书、交叉认证证书以及用户自定义的各类证书。
3.2. 服务器身份认证、访问控制与审计
服务器加固通过对操作系统原有系统管理员的权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而从根本上保障操作系统安全;即使非法入侵者拥有了操作系统管理员最高权限也不能对系统核心或重要内容进行破坏操作。
具体将执行双因素身份认证策略、应用级文件完整性检测策略、应用级服务完整性检测策略、应用级文件机密性保护策略、操作系统资源统一监控与管理、基于IIS的WEB页面监测过滤、日志管理。
3.3. 服务器操作系统安全加固
对服务器进行加固和优化的范围包括帐号、服务、补丁、进程等内容,提升服务器自身的抗攻击能力,确保其能够有力支撑上层的各类应用。
在综合业务网通过租用运输云平台的云主机加固服务用于服务器安全防护,包括病毒查杀、主机加固、基线核查、后门检测、异常登陆检测、webshell检测等功能。
同时,利用原有堡垒机系统,严格执行服务器登录运维管理集中控制、限制、权限管理等约束,对运维服务器上的操作执行审计,针对如关机、重启、杀掉进程等高危操作进行提示告警,确保综合业务网服务器的运维高效与稳定。
3.4. 与系统身份认证、授权与审计
通过统一的身份认证体系、统一授权体系、统一安全审计体系,
实现单点登录、集中账号管理、身份认证、资源授权、访问控制、操作审计。
在综合业务网通过租用运输云平台的运维审计服务对综合业务网的重要节点设备告警,如网络设备、安全设备、重要服务器等进行集中采集分析,要求告警日志存留连续6个月要求的同时,保证发生安全事件时第一时间实施精准的事件溯源。
3.5. 数据库访问控制、加密与审计
web应用防护系统针对本项目所建系统的数据库安全配置加固,同时租用运输云平台的数据库审计服务实现数据库访问行为控制和详细审计,租用运输云平台的数据加密服务对重要数据进行加密存储保护,增强数据库安全防护能力。
3.5.1.数据库增强访问控制与审计
对服务器区内数据库的访问与操作行为进行增强性详细审计,其策略包括数据泄漏和篡改告警、黑白名单支持、SQL注入检测、用户权限细粒度管理、精细审计分析、实时运行监控、审计记录管理。
3.5.2.数据库加密存储
对数据库中重要的业务数据进行加密存储保护,只允许授权用户才能访问与操作,其策略包括选择性字段加密、密文索引、增强访问控制、多因子认证、审计记录管理。
3.5.3.主机防病毒
通过租用运输云平台云主机杀毒服务实现在服务器上有效查杀病

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。