XX市智能公交系統(tǒng)信息安全等級保護建設(shè)方案

X市

X智能公交系統(tǒng)信息安全

等級保護建設(shè)方案

（二級標(biāo)準(zhǔn)）

目錄

一.項目概述................................................................3

1.1項目背景................................................................3

1.2項目建設(shè)目標(biāo)...........................................................3

1.3項目建設(shè)范圍...........................................................4

1.4項目設(shè)計原則...........................................................4

二.設(shè)計參考標(biāo)準(zhǔn).............................................................5

三.項目堂設(shè)思路.............................................................6

四.項目總體設(shè)計方法.........................................................8

4.1思體設(shè)計方法..........................................................8

4.2安全基線設(shè)計...........................................................8

五.現(xiàn)狀分析10

5.1定級情況概述..........................................................10

5.2自身安全防護方面的需求.................................................10

六.安全域劃分...............................................................12

6.1安全域劃分目的........................................................12

6.2確定保護對象...........................................................13

6.3安全域劃分思路.........................................................14

6.4安全域劃分.............................................................15

七.整體解決方案..........................15

7.1方案設(shè)計目標(biāo)...........................................................15

7.2網(wǎng)絡(luò)拓撲設(shè)計...........................................................16

A.詳細方案設(shè)計.............................................................16

8.1防火墻邊界訪問控制方案................................................16

8.1.1風(fēng)險與需求分析.........................................................16

8.1.2方案設(shè)計...............................................................18

8.1.3滿足指標(biāo)描述..........................................................19

8.2入侵防御解決方案......................................................21

8.2.1風(fēng)險與需求分析.........................................................21

8.2.2方案設(shè)計...............................................................23

8.2.3滿足指標(biāo)描述..........................................................24

8.3NEB防護解決方案.......................................................24

8.3.1風(fēng)險與需求分析........................................................24

8.3.2方案設(shè)計..............................................................26

8.3.3指標(biāo)滿足描述..........................................................27

8.4遠程安全接入解決方案..................................................28

8.4.1風(fēng)險與需求分析........................................................28

8.4.2方案設(shè)計...........................................................30

8.4.3指標(biāo)滿足描述..........................................................31

8.5數(shù)據(jù)庫審計解決方案...................................................31

8.5.1風(fēng)險與需求分析........................................................31

8.5.2方案設(shè)計..............................................................33

8.5.3滿足指標(biāo)描述..........................................................33

8.6網(wǎng)閘解決方案..........................................................34

8.6.1風(fēng)險與需求分析.........................................................34

8.6.2方案設(shè)計...............................................................34

8.6.3滿足指標(biāo)描述...........................................................35

(3)實現(xiàn)企業(yè)安全生產(chǎn)運營管理有序；

(4)實現(xiàn)市民出行方便、快捷，常態(tài)化、動態(tài)化、智能化的公共交通服務(wù)

體系。

本次建設(shè)的目標(biāo)是：通過此次項目建設(shè)，XX市智能公交信息系統(tǒng)符合國家

等級保護建設(shè)二級要求，通過二級等保測評。

1.3項目建設(shè)范圍

本次項目建設(shè)的范圍主要是XX市智能公交信息系統(tǒng)

1.4項目設(shè)計原則

＞等級保護建設(shè)原則

XX市智能公交信息系統(tǒng)屬國家重要信息系統(tǒng)，其安全建設(shè)不能忽視國家相

關(guān)政策要求，在安全保障體系建設(shè)上最終所要達到的保護效果應(yīng)符合《信息系統(tǒng)

安全等級保護基本要求》。

＞體系化的設(shè)計原則

系統(tǒng)設(shè)計應(yīng)充分考慮到各個層面的安全風(fēng)險，構(gòu)建完整的安全防護體系，充

分保證系統(tǒng)的安全性。同時，應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)

計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性。

＞產(chǎn)品的先進性原則

XX市智能公交信息系統(tǒng)安全保障體系建設(shè)規(guī)模龐大，意義深遠。對所需的

各類安全產(chǎn)品提出了很高的要求。必須認真考慮各安全產(chǎn)品的技術(shù)水平、合理性、

先進性、安全性和穩(wěn)定性等特點，共同打好工程的技術(shù)基礎(chǔ)。

＞可擴展性原則

XX市智能公交信息系統(tǒng)建設(shè)的同時應(yīng)該充分考慮系統(tǒng)的可擴充性和可延展

性，主要包括兩個方面的內(nèi)容：一是為網(wǎng)絡(luò)將擴充新的節(jié)點和新的分支預(yù)先作好

硬件、軟件和管理接口。二是網(wǎng)絡(luò)必須具有升級能力，能夠適應(yīng)網(wǎng)絡(luò)新技術(shù)發(fā)展

的要求。

>標(biāo)準(zhǔn)化規(guī)范化原則

XX市智能公交信息系統(tǒng)建設(shè)所采用的技術(shù)和設(shè)備材料等，都必須符合相應(yīng)

的國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，或者符合相關(guān)系統(tǒng)內(nèi)部的相應(yīng)規(guī)范。便于系統(tǒng)的升級、

擴充，以及與其它系統(tǒng)或廠家的設(shè)備的互連、互通。

二.設(shè)計參考標(biāo)準(zhǔn)

我國對信息安全保障工作的要求非常重視，國家相關(guān)監(jiān)管部門也陸續(xù)出臺了

相應(yīng)的文件和要求，從標(biāo)準(zhǔn)化的角度，XX市智能公交信息系統(tǒng)的安全建設(shè)中參

考以下的政策和標(biāo)準(zhǔn)：

>GB/T21052-2007信息安全等級保護信息系統(tǒng)物理安全技術(shù)要求

>信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

>信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南（報批中）

>信息安全技術(shù)信息安全等級保護實施指國（報批中）

>信息安全技術(shù)信息系統(tǒng)安全等級保護測評指南

>GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

>GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

>GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

>GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

>GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求與測試評價方法

>GB/T20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法

>GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求

>GB/T20277-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法

>GB/T20279-2006信息安全技術(shù)網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求

>GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法等。

三.項目建設(shè)思路

“等級化安全體系”是依據(jù)國家信息安全等級保護制度，根據(jù)系統(tǒng)在不同階

段的需求、業(yè)務(wù)特性及應(yīng)用重點，采用等級化與體系化相結(jié)合的安全體系設(shè)計方

法，幫助構(gòu)建一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全防御體系。

體系化設(shè)計方法等級化設(shè)計方法

安全要求安全措施

“等級化”設(shè)計方法，是根據(jù)需要保護的信息系統(tǒng)確定不同的安全等級，根

據(jù)安全等級確定不同等級的安全目標(biāo)，形成不同等級的安全措施進行保護。

“體系化”設(shè)計方法，是根據(jù)業(yè)務(wù)目標(biāo)確定安全目標(biāo)，通過結(jié)構(gòu)化方法進行

分解，將問題、對象或目標(biāo)拆分成子問題、對象或目標(biāo)的迭代方法。這一設(shè)計方

法包含三個主要原則，分別是“充分覆蓋”、“互補重疊”和“不可再細分”。

整體的安全保障體系包括技術(shù)和管理兩大部分，其中管理部分可以分為策略、

組織和運作三個部分。即，整個體系分為四部分，包括策略體系、組織體系、技

術(shù)體系和運作體系。整個安全保障體系的四個部分既有機結(jié)合，又相互支撐，之

間的關(guān)系為“根據(jù)策略體系中策略，由組織體系（或人員），利用技術(shù)體系作為

工具和手段，進行操作來維持運行體系二

根據(jù)等級化安全保障體系的設(shè)計思路，等級保護的設(shè)計與實施通過以下步驟

進行：

1.系統(tǒng)識別與定級：通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及

業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況,

包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)

計、安全保障體系框架設(shè)計、安全要求選擇以及安全措施選擇提供依據(jù)。

2.安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分圻系統(tǒng)業(yè)務(wù)流程、功能模塊，根

據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為

多個層次，為二一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。

3.安全保障體系框架設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保障

體系框架（包括策略、組織、技術(shù)和運作），各層次的安全保障體系框架

形成系統(tǒng)整體的安全保障體系框架。

4.確定安全域安全要求：參照國家相關(guān)等級保護安全要求，設(shè)計等級安全指

標(biāo)庫。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安

全域所需采用的安全指標(biāo)。

5.評估現(xiàn)狀：根據(jù)各等級的安仝要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)

風(fēng)險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風(fēng)險評估。通過

等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安

全技術(shù)解決方案設(shè)計和安全管理建設(shè)提供依據(jù)。

6.安全技術(shù)解決方案設(shè)計：針對安全要求，建立安全技術(shù)措施庫。通過等級

風(fēng)險評估結(jié)果，設(shè)計系統(tǒng)安全技術(shù)解決方案。

7.安全管理建設(shè)：針對安全要求，建立安全管理措施庫。通過等級風(fēng)險評估

結(jié)果，進行安全管理建設(shè)，并建立各種安全管理制度體系。

通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全

術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。

四.項目總體設(shè)計方法

4.1總體設(shè)計方法

本次xx市智能公交信息系統(tǒng)建設(shè)的主要目標(biāo)是通過建設(shè)滿足國家等級保護

二級標(biāo)準(zhǔn)，通過等保二級測評。為完成本項目的建設(shè)目標(biāo)，并指導(dǎo)后期的項目建

設(shè)，達到整個系統(tǒng)的安全防護效果，本項目技術(shù)方案的總體設(shè)計方法為：

?根據(jù)目前信息中心現(xiàn)狀進行差距評估結(jié)構(gòu)進行分析和設(shè)計。

?分析并確定本項目需求和設(shè)計的關(guān)鍵點。

?建立并開發(fā)適合本項目的安全基線。

?根據(jù)本項目的目標(biāo)和業(yè)務(wù)特點進行安全需求分析。

?根據(jù)安全需求進行項目的方案設(shè)計，即受全體系的整體設(shè)計。

4.2安全基線設(shè)計

安全基線是指確定一組正式的安全需求，這些安全需求應(yīng)覆蓋所有的安全目

標(biāo)并符合所有相關(guān)的安全政策和法規(guī)等外部因素的限定。定義安全基線任務(wù)包括

以下幾個方面：

1.確定安全目標(biāo)

安全目標(biāo)是指使用目標(biāo)系統(tǒng)內(nèi)資產(chǎn)時的安全目標(biāo)以及安全保護的程度。高層

操作安全目標(biāo)將影響到相應(yīng)類別中所有資產(chǎn)的具體安全目標(biāo)，例如“目標(biāo)系統(tǒng)內(nèi)

的數(shù)據(jù)在傳輸?shù)侥繕?biāo)系統(tǒng)外時應(yīng)嚴(yán)格防止泄露"。目標(biāo)系統(tǒng)內(nèi)的每一個可能向外

傳輸?shù)男畔ο髴?yīng)基于這個目標(biāo)制定相應(yīng)的具體目標(biāo)。

2.確定安全基線涉及的方面

安全目標(biāo)的實現(xiàn)是安全基線制定的目的，所有的安全目標(biāo)必須有相應(yīng)的安全

基線保證。

3.安全基線定義

安全基線需按類別逐條加以定義。每條安全基線應(yīng)有目標(biāo)系統(tǒng)范圍內(nèi)唯一的

標(biāo)識，該標(biāo)識可作為安全基線配置管理庫中的配置項標(biāo)識。安全基線的定義只須

涉及安全需求，無須涉及要滿足需求的具體技術(shù)和方法。

4.匹配安全基線與安全目標(biāo)

安全基線構(gòu)成后，應(yīng)建立安全基線與安全目標(biāo)的關(guān)系?？梢酝ㄟ^匹配矩陣的

形式來檢查每個安全目標(biāo)是由哪些安全基線保證的。針對每一個安全目標(biāo)，檢查

是否安全基線覆蓋了該目標(biāo)的要求。當(dāng)安全目標(biāo)和安全基線數(shù)量較大時，可按類

別用多個矩陣表示安全目標(biāo)與安全基線的關(guān)系。

5.本項目的安全基線

在本項目的設(shè)計中將構(gòu)建信息系統(tǒng)的安全基愛標(biāo)準(zhǔn)。此安全基線以二級防護

要求為依據(jù)，參照信息系統(tǒng)等級保護二級基本要求的框架，形成本項目的安全基

線，具體方法和思路如下：

?以信息系統(tǒng)等級保護二級基本要求指標(biāo)項作為輸入，并根據(jù)對本系統(tǒng)可

能面臨的風(fēng)險和安全需求及針對本項目目前建設(shè)的實際情況，進行指標(biāo)

裁剪；

?將此兩項的指標(biāo)進行合并輸入，合并時，對于一個指標(biāo)項都有對應(yīng)的，

取高要求，指標(biāo)項沒有對應(yīng)，增加此指標(biāo)項，最后形成綜合指標(biāo)輸入，

并根據(jù)對本系統(tǒng)可能面臨的風(fēng)險和安全需求及針對本項目建設(shè)的實際情

況，進行指標(biāo)裁剪，形成適合本期建設(shè)的精簡指標(biāo)項作為輸出。將裁剪

后的指標(biāo)形成本項目建設(shè)的安全基線

五.現(xiàn)狀分析

5.1定級情況概述

業(yè)務(wù)信息安全保護等級：（信息中心互聯(lián)網(wǎng)服務(wù)發(fā)布區(qū)信息系統(tǒng)系統(tǒng)一旦數(shù)

據(jù)的完整性和機密性受到破壞后，由于信息中心互聯(lián)網(wǎng)服務(wù)發(fā)布區(qū)信息系統(tǒng)妁重

要性，因此將會對社會秩序造成嚴(yán)重損害）

對相應(yīng)客體的侵害程度

業(yè)務(wù)信息安全被破壞時所侵害的

一般損害嚴(yán)重損害特別嚴(yán)重損

客體

害

公民、法人和其他組織的合法權(quán)第一級第二級第二級

益

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

系統(tǒng)服務(wù)安全保護等級：（分析信息中心互聯(lián)網(wǎng)服務(wù)發(fā)布區(qū)信息系統(tǒng)，一旦

系統(tǒng)的可用性遭到破壞后，將會對社會秩序造成嚴(yán)重損害）

系統(tǒng)服務(wù)安全被破壞時所侵害的對相應(yīng)客體的侵害程度

客體一般損害嚴(yán)重損害特別嚴(yán)重損害

公民、法人和其他組織的合法權(quán)第一級第二級第二級

益

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

5.2自身安全防護方面的需求

在自身安全防護方面，經(jīng)過分析，xx市智能公交信息系統(tǒng)主要的安全防護

需求包括:

物理層安全需求

?應(yīng)建設(shè)安全可靠的機房，提供良好的運行環(huán)境，用以支撐重要應(yīng)用系統(tǒng)

的運行，防止電磁信息的泄露、防止設(shè)備被盜被破壞；

?建設(shè)完備的災(zāi)難備份系統(tǒng)，實現(xiàn)系統(tǒng)、數(shù)據(jù)和應(yīng)用軟件的備份；

?應(yīng)當(dāng)保障支撐交易應(yīng)用的重要網(wǎng)絡(luò)設(shè)備妁冗余性，避免因設(shè)備故障出現(xiàn)

的系統(tǒng)運行中斷。

網(wǎng)絡(luò)層安全需住

?實現(xiàn)安全域劃分，并在此基礎(chǔ)上實現(xiàn)安全、可控的邏輯隔離；

?保護交易網(wǎng)站不會因來自互聯(lián)網(wǎng)拒絕服務(wù)攻擊而癱瘓，不會被非法篡改,

并且需具有自動恢復(fù)被篡改頁面的功能；

?對進山各安全域的信息和數(shù)據(jù)進行嚴(yán)格的控制，防止對安全域的非法訪

問；

?對于各個安全域之間交互的信息和數(shù)據(jù)，保護其完整性、可用性、保密

性，防止在傳輸過程中被竊取、篡改和破壞；

?在各個安全域內(nèi)，能及時發(fā)現(xiàn)和響應(yīng)各種網(wǎng)絡(luò)攻擊與破壞行為；

系統(tǒng)層安全需求

?建立病毒及惡意代碼的預(yù)警和響應(yīng)機制，能及時發(fā)現(xiàn)和響應(yīng)各種病毒及

惡意代碼的攻擊、破壞和信息泄露行為；

?使系統(tǒng)內(nèi)的操作系統(tǒng)能及時升級、安裝安全補丁；

?實現(xiàn)主機操作系統(tǒng)的內(nèi)核級安全加固，使其由普通商用操作系統(tǒng)提升為

安全性較高的系統(tǒng)

應(yīng)用層安全需求

?應(yīng)用系統(tǒng)需要有認證、應(yīng)用訪問控制、審計、加密、資源控制等多種手

段，能夠保障信息系統(tǒng)被合理使用；

?數(shù)據(jù)應(yīng)當(dāng)有足夠的防竊聽、防篡改手段；

?交易網(wǎng)的通訊應(yīng)當(dāng)有抗抵賴措施；

?對系統(tǒng)、應(yīng)用、數(shù)據(jù)庫系統(tǒng)進行審計，建立相應(yīng)的安全審計機制，對引

發(fā)事件的根源進行責(zé)任認定。

管理層安全需求

?制定合理、有效、可行的安全管理制度，將一期工程信息系統(tǒng)的安全管

理水準(zhǔn)維持在較高的水平；

?能夠及時了觸各個安全域的安全現(xiàn)狀，以便發(fā)現(xiàn)并解決安全問題；

六.安全域劃分

6.1安全域劃分目的

1)在規(guī)劃設(shè)計或者網(wǎng)絡(luò)調(diào)整時，通過合理的劃分安全區(qū)域，保證重要

網(wǎng)段部署在外部不能直接訪問到的位置，增加非法入侵的難度，有

利于進行必要的訪問控制、防攻擊、身份鑒別等防護。

2)在規(guī)劃設(shè)計或者網(wǎng)絡(luò)調(diào)整前深入了解實際需求，充分考慮各部門的

工作職能、重要性和信息的重要程度等因素，進行內(nèi)部安全區(qū)域的

細化，并根據(jù)實際情況和將來擴展的需要劃分子網(wǎng)和分配地址，安

全域的細化形成了內(nèi)部的安全邊界，有利于內(nèi)網(wǎng)各區(qū)域間邊界防護

和控制的實施。

3)通過規(guī)劃設(shè)計或配置路由避免非主流業(yè)務(wù)數(shù)據(jù)流對主要業(yè)務(wù)數(shù)據(jù)流

的干擾，通過Qos配置使主業(yè)務(wù)數(shù)據(jù)流且具有較高優(yōu)先級，使主要

業(yè)務(wù)數(shù)據(jù)流盡量經(jīng)過較為安全的鏈路和設(shè)備，保障了主要業(yè)務(wù)的服

務(wù)質(zhì)量和服務(wù)可用性。

4)通過繪制真實、準(zhǔn)確、易讀的拓撲圖妥善放置，以便在需要調(diào)整改

造、處理事件時方便查詢、使用。

6.2確定保護對象

保護對象是一些具有類似業(yè)務(wù)功能，處于類似運行環(huán)境、承載類似級別或類

別的信息、有類似的用戶使用管理特征具有相對明確的物理的或邏輯的邊界，可

以配置類似的安全策略的設(shè)備軟件系統(tǒng)數(shù)據(jù)的集合。

一、保護對象的劃分有以下原則：

（一）每類保護對象的組成具有一定的相似性。這些相似性包括：

（1）管理范圍一致；

（2）具有相似的運行環(huán)境（面臨的威脅相似）的區(qū)域；

（3）安全策略基本一致；

（4）操作流程和使用人員的相似性。

（二）不同保護對象之間具有一定的差異性。這些差異性包括：

（1）承載的信息屬于不同的業(yè)務(wù)主體；

（2）保護對象的管理屬于不同的管理主體；

（3）具有相對明顯的物理或邏輯邊界；

（4）安全策略有較大的差異性。

二、保護對象屬性：

保護對象具有相應(yīng)的保護對象屬性，以標(biāo)識保護對象的內(nèi)容和特征。

（一）范圍：描述保護對象管理和使用范圍。

（二）組成：描述保護對象的主要資產(chǎn)組成。

（三）管理機構(gòu)：描述保護對象的管理機構(gòu)。

（四）使用人員：描述保護對象的使用人員類型及特征。

（五）業(yè)務(wù)功能：描述保護對象的業(yè)務(wù)功能。

（六）信息分類：描述保護對象內(nèi)包括的主要信息類型。

6.3安全域劃分思路

對信息系統(tǒng)進行安全保護，不是對整個系統(tǒng)進行同一等級的保護，而是針對

系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不同等級的保護。因此，安全域劃分是進行信息安

全建設(shè)的首要步驟。

安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素

的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護需求，

具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同

的網(wǎng)絡(luò)安全域共享同樣的安全策略。當(dāng)然，安全域的劃分不能單純從安全角度考

慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理

現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。

安全域劃分的原則如下：

＞業(yè)務(wù)保障原則：在保證安全的同時，更要保障網(wǎng)絡(luò)承載業(yè)務(wù)的正常、高效

運行；

＞等級保護的原則：對系統(tǒng)內(nèi)不同的保護對象區(qū)分對待；

＞結(jié)構(gòu)簡化原則：安全域劃分的直接目標(biāo)是為整個網(wǎng)絡(luò)變得更加簡單，簡單

的網(wǎng)絡(luò)結(jié)構(gòu)便亍設(shè)計防護體系。因此，安全域劃分并不是粒度越細越好，

安全域數(shù)量過多、過雜反而可能導(dǎo)致安全域的管理過于復(fù)雜，實際操作過

于困難；

＞立體協(xié)防原則：安全域劃分的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護需

要考慮在各個層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用

等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別、訪

問控制、檢測宣計、鏈路冗余、內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防。

對信息系統(tǒng)安全域（保護對象）的劃分應(yīng)主要考慮如下方面因素：

1）業(yè)務(wù)和功能特性

?業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性

?業(yè)務(wù)系統(tǒng)對外連接：對外業(yè)務(wù)，支撐，內(nèi)部管理

2）安全特性的要求

?安全要求相似性：可用性、保密性和完整性的要求

?威脅相似性：威脅來源、威脅方式和強度

?資產(chǎn)價值相近性；重要與非重要資產(chǎn)分離

3）參照現(xiàn)有狀況

?現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況：現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機房等

?參照現(xiàn)有的管理部門職權(quán)劃分

6.4安全域劃分

xx市智能公交信息系統(tǒng)的包括：對外發(fā)布互聯(lián)網(wǎng)接入域、數(shù)據(jù)應(yīng)用中心區(qū)

域、安全管理中心區(qū)域、調(diào)度指揮區(qū)域、另一系統(tǒng)區(qū)域、分調(diào)度管理區(qū)域等。

七.整體解決方案

7.1方案設(shè)計目標(biāo)

二級系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：落實GB178597999對二級系統(tǒng)的安

全保護要求，在二級安全保護環(huán)境的基礎(chǔ)上，通過實現(xiàn)基于安全策略模型和標(biāo)記

的強制訪問控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下,

保護敏感資源的能力。

本次針對XX市智能公交信息系統(tǒng)進行等保二級建設(shè)，主要在網(wǎng)絡(luò)安全、主

機安全、應(yīng)用安全、數(shù)據(jù)安全進行建設(shè)滿足等保二級要求，根據(jù)等保合規(guī)性分析

報告中指出的不滿足的控制點進行建設(shè)。

7.2網(wǎng)絡(luò)拓撲設(shè)計

下圖是本次建設(shè)中規(guī)劃的網(wǎng)絡(luò)拓撲圖:

分

■

?

?

!

?

女

?

中

--G

八.詳細方案設(shè)計

8.1防火墻邊界訪問控制方案

8.1.1風(fēng)險與需求分析

＞風(fēng)險列表

序號網(wǎng)絡(luò)層風(fēng)險種類

1惡意代碼和蠕蟲病毒

2越權(quán)或濫用

3黑客攻擊技術(shù)

＞風(fēng)險分析

?越權(quán)或濫用

攻擊者通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或

者濫用自己的職權(quán)，做出破壞計算機系統(tǒng)的行為。

?惡意代碼和蠕蟲病毒傳播

惡意代碼和蠕蟲病毒具有快速自我復(fù)制、自我傳播能力，通過網(wǎng)絡(luò)對計算機

系統(tǒng)構(gòu)成破壞，可導(dǎo)致網(wǎng)絡(luò)設(shè)備與計算機系統(tǒng)的運行緩慢甚至癱瘓。。

?黑客攻擊

利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后

門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對網(wǎng)絡(luò)和計算機系統(tǒng)進行攻擊和入

侵。

＞需求分析

通過前面的安全域劃分和邊界分析，二級系統(tǒng)要求在主要邊界處進行訪問控

制。作為網(wǎng)絡(luò)安全的基礎(chǔ)防護要求，具體需求如下：

1）保護脆弱的服務(wù)

通過過濾不安全的服務(wù)，保證只可訪問到允許訪問的業(yè)務(wù)系統(tǒng)，其他訪問均

被嚴(yán)格控制，可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。

?可實現(xiàn)基于源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查,

以允許/拒絕數(shù)據(jù)包出入

?能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制

粒度為端口級。

?對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET.

SMTP.POP3等協(xié)議命令級的控制

2）控制對系統(tǒng)的方問

提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的

主機。通過訪問控制列表對系統(tǒng)資源實現(xiàn)允許或拒絕用戶訪問，控制粒度至少為

用戶組。

3）記錄和統(tǒng)計網(wǎng)絡(luò)日志

記錄和統(tǒng)計通過邊界的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)并對非法訪

問作記錄日志，從設(shè)備或?qū)ｉT的日志服務(wù)器提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和

探測，利用日志可以對入侵和非法訪問進行跟蹤以及事后分析。

8.1.2方案設(shè)計

在互聯(lián)網(wǎng)接入?yún)^(qū)域；應(yīng)用服務(wù)中心區(qū)域、調(diào)度指揮區(qū)域、另一系統(tǒng)區(qū)域各部

署一臺防火墻設(shè)備，在核心區(qū)域與分調(diào)度管理區(qū)域部署兩臺防火墻設(shè)備，通過防

火墻的部署解決邊界訪問控制的相關(guān)問題。

防火墻技術(shù)是目前網(wǎng)絡(luò)邊界保護最有效也是最常見的技術(shù)。采用防火墻技術(shù),

對重要節(jié)點和網(wǎng)段進行邊界保護，可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安

全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防范各類攻

擊行為，杜絕越權(quán)訪問，防止非法攻擊，抵御可能的DOS和DDOS攻擊。通過合

理布局，形成多級的縱深防御體系。

互聯(lián)網(wǎng)邊界防火墻將對外發(fā)布區(qū)域、數(shù)據(jù)庫服務(wù)器區(qū)等和互聯(lián)網(wǎng)進行邏輯隔

離。實現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信

時間等信息，執(zhí)行嚴(yán)格的訪問控制。并將互聯(lián)網(wǎng)服務(wù)區(qū)通過單獨的防火墻接口形

成獨立安全域進行隔離。

采用防火墻實現(xiàn)以下的安全策略：

?安全域隔離：互聯(lián)網(wǎng)出口防火墻部署核心交換機與接入路由器之間，并

提供多個端口，分別連接到網(wǎng)站區(qū)和內(nèi)部區(qū)域，相當(dāng)于在邏輯上隔離了

上述區(qū)域，對各個計算環(huán)境提供有效的保護；而管理區(qū)邊界防火墻將管

理區(qū)域其他區(qū)域進行邏輯隔離。

?訪問控制策略：防火墻工作在不同安全區(qū)域之間，對各個安全區(qū)域之間

流轉(zhuǎn)的數(shù)據(jù)進行深度分析，依據(jù)數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、

端口、流量、用戶、通信時間等信息，進行判斷，確定是否存在非法或

違規(guī)的操作，并進行阻斷，從而有效保障了各個重要的計算環(huán)境；

?地址轉(zhuǎn)換策略：針對核心的應(yīng)用服務(wù)器區(qū)域，部署的防火墻將采取地址

轉(zhuǎn)換策略，將來自廣域網(wǎng)遠程用戶的直接訪問變?yōu)殚g接訪問，更有效的

保護了應(yīng)用服務(wù)器；

?應(yīng)用控制策略：在防火墻上執(zhí)行內(nèi)容過濾策略，實現(xiàn)對應(yīng)用層HTTP、FTP、

TELNET.SMTP、POP3等協(xié)議命令級的控制，從而提供給系統(tǒng)更精準(zhǔn)的安

全性；

?會話監(jiān)控策略：在防火墻配置會話監(jiān)控策略，當(dāng)會話處于非活躍一定時

間或會話結(jié)束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話

才能繼續(xù)訪問資源；

?日志審計策略：防火墻詳細記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包，可提供給網(wǎng)絡(luò)管

理人員進行分析。這里應(yīng)當(dāng)將防火墻記錄日志統(tǒng)一導(dǎo)入到集中的日志管

理服務(wù)器。

8.1.3滿足指標(biāo)描述

指標(biāo)類

指標(biāo)要求改進行為改進對象

別

應(yīng)通過訪問控制列

表對系統(tǒng)資源實現(xiàn)

網(wǎng)絡(luò)安采購部署并配置訪問控

允許或拒絕用戶訪訪問控制系統(tǒng)

全制功能

問，控制粒度至少

為用戶組。

應(yīng)根據(jù)訪問控制列

表對源地址、目的

網(wǎng)絡(luò)安地址、源端口、目采購部署防火墻配置訪

訪問控制系統(tǒng)

全的端口和協(xié)議等進問控制

行檢查，以允許/

拒絕數(shù)據(jù)包出入；

應(yīng)能根據(jù)會話狀態(tài)

信息為數(shù)據(jù)流提供

網(wǎng)絡(luò)安

明確的允許/拒絕配置狀態(tài)檢測訪詞控制訪問控制系統(tǒng)

全

訪問的能力，控制

粒度為網(wǎng)段級。

應(yīng)在會話處于非活

網(wǎng)絡(luò)安躍一定時間或會話

配置訪問控制設(shè)備訪問控制系統(tǒng)

全結(jié)束后終止網(wǎng)絡(luò)連

接；

應(yīng)能根據(jù)會話狀態(tài)

信息為數(shù)據(jù)流提供

網(wǎng)絡(luò)安

明確的允許/拒絕配置訪問控制設(shè)備訪問控制系統(tǒng)

全

訪問的能力，控制

粒度為端口級；

應(yīng)對進出網(wǎng)絡(luò)的信

息內(nèi)容進行過濾，

實現(xiàn)對應(yīng)用層

網(wǎng)絡(luò)安

HTTP、FTP、配置訪問控制設(shè)備訪問控制系統(tǒng)

全

TELNET.SMTP、

POP3等協(xié)議命令級

的控制；

重要網(wǎng)段應(yīng)采取技

網(wǎng)絡(luò)安

術(shù)手段防止地址欺配置訪問控制設(shè)備訪問控制系統(tǒng)

全

騙；

應(yīng)按用戶和系統(tǒng)之

間的允許訪問規(guī)

貝L決定允許或拒

網(wǎng)絡(luò)安

絕用戶對受控系統(tǒng)配置訪問控制設(shè)備訪問控制系統(tǒng)

全

進行資源訪問，控

制粒度為單個用

戶；

應(yīng)限制具有撥號訪

網(wǎng)絡(luò)安

問權(quán)限的用戶數(shù)配置訪問控制設(shè)備訪問控制系統(tǒng)

全

量。

應(yīng)在網(wǎng)絡(luò)邊界部署

網(wǎng)絡(luò)安

訪問控制設(shè)備，啟采購部署訪問控制系統(tǒng)

全

用訪問控制功能；

應(yīng)限制網(wǎng)絡(luò)最大流

網(wǎng)絡(luò)安

量數(shù)及網(wǎng)絡(luò)連接配置訪問控制設(shè)備訪問控制系統(tǒng)

全

數(shù)；

8.2入侵防御解決方案

8.2.1風(fēng)險與需求分析

＞風(fēng)險列表

序號風(fēng)險種類

1漏洞攻擊

2蠕蟲攻擊

3木馬傳播

4間諜軟件

5帶寬濫用

＞風(fēng)險分析與描述

?漏洞攻擊

在系統(tǒng)程序開發(fā)的過程中，常因為程序開發(fā)者疏于程序安全性，而導(dǎo)致開發(fā)

出有系統(tǒng)漏洞的操作系統(tǒng)或應(yīng)用程序。這類系統(tǒng)的漏洞經(jīng)常是發(fā)生在程序沒有對

外界輸入的參數(shù)長度進行檢查，而發(fā)生所謂的緩沖區(qū)溢出攻擊(bufferoverflow

attack)o當(dāng)緩沖溢出區(qū)攻擊發(fā)生時，輕則導(dǎo)致系統(tǒng)沒有響應(yīng)、死機，成功的緩

沖區(qū)溢出攻擊還可以讓黑客獲得整個系統(tǒng)控制權(quán)，而由于服務(wù)器系統(tǒng)的特殊性，

通常管理員對補丁的更新非常慎重，因而造成一定的延時，因此，利用漏洞進行

攻擊的行為也顯得尤為突出。

?蠕蟲攻擊

蠕蟲(worm)與一般的檔案型病毒(virus)不同之處，在于蟠蟲具備快速自我

復(fù)制擴散的功能。而蠕蟲之所以能夠快速將自我擴散到其它系統(tǒng)，是因為蠕蟲具

備自動利用系統(tǒng)漏洞而入侵的能力。每當(dāng)計算機的系統(tǒng)漏洞被公布，在短時間內(nèi)

便會有黑客組織在網(wǎng)絡(luò)上發(fā)布針對新漏洞的攻擊程序，接著便會有針對該漏洞的

攻擊程序在網(wǎng)絡(luò)上流傳，此時蠕蟲作者便將這些已發(fā)布的攻擊程序納入其蠕蟲程

序的主體中，然后再散布新的蠕蟲對外大量擴散。從漏洞公布到蠕蟲產(chǎn)生所需的

時間已大幅縮減，這讓用戶無法有充裕的時間測武系統(tǒng)廠商所發(fā)布的補丁程序

?木馬傳播

木馬是一種危害很大的后門程序，通過網(wǎng)頁、郵件、文件等多種方式進行傳

播，攻擊者可以遠程對被植入了木馬的計算機系統(tǒng)進行所有操作，因此，危害巨

大。

?間諜軟件

大部分間諜軟件由于是通過廣告、瀏覽器漏洞、自訂功能如ActiveX插件來

誘使不夠小心謹慎的用戶安裝的，安裝之后會收集用戶信息，并發(fā)送給相關(guān)機構(gòu)。

?帶寬濫用

目前網(wǎng)絡(luò)上P2P、在線視頻、游戲等各種在線應(yīng)用對帶寬資源消耗很大，過

多的非正常帶寬占用將影響正常業(yè)務(wù)的開展。同時，這樣應(yīng)用帶來了工作效率的

下降。因此，網(wǎng)絡(luò)管理人員需要對這些應(yīng)用進行控制。

＞需求分析

需求分類詳細需求

攔截外網(wǎng)攻擊入侵防護可檢測掃描、DoS/DDoS,緩沖區(qū)溢出、SQL注入、

XSS跨站腳本、木馬、蠕蟲、間諜軟件、網(wǎng)絡(luò)釣

魚、IPpoofing等攻擊，并實時主動阻斷，使網(wǎng)

絡(luò)系統(tǒng)免受攻擊。

攔截外網(wǎng)攻擊，及時發(fā)現(xiàn)各種針對業(yè)務(wù)系統(tǒng)的滲透型攻擊，并進行主動阻斷控制

管理內(nèi)部應(yīng)用，對各種非工作應(yīng)用和占用大量帶寬的應(yīng)用進行識別和控制。

8.2.2方案設(shè)計

在外網(wǎng)鏈路區(qū)域網(wǎng)絡(luò)邊界增加一臺入侵防御系統(tǒng)，采用透明接入方式部署，

阻止各種網(wǎng)絡(luò)攻擊行為。

入侵防護系統(tǒng)(IntrusionPreventionSystem,以下簡稱"IPS")是繼"防

火墻”、“信息加密”、入侵檢測等傳統(tǒng)安全保護方法之后的新一代安全保障系統(tǒng)。

IPS串行部署在網(wǎng)絡(luò)關(guān)鍵節(jié)點，監(jiān)視計算機系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并進行分

析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為

并主動進行有效攔截。專業(yè)TPS所具有的實時性、動態(tài)檢測和主動防御等忖點，

彌補了防火墻等靜態(tài)防御工具的不足。

網(wǎng)御星云IPS采用具有自主知識產(chǎn)權(quán)的VSP(VersatileSecurityPlatform)

通用安全平臺，集成了流狀態(tài)跟蹤、協(xié)議分析、深度內(nèi)容解析、異常檢測、關(guān)聯(lián)

分析等多種分析、檢測技術(shù)，配合實時更新的事件特征庫，可攔截蠕蟲、病毒、

木馬、間諜軟件、DDoS/DoS、SQL注入、XSS跨站腳本等各種網(wǎng)絡(luò)攻擊行為，有

效凈化網(wǎng)絡(luò)流量。同時提供豐富的上網(wǎng)行為管理功能，可對P2P下載、聊天

軟件、在線視頻、網(wǎng)絡(luò)游戲、炒股軟件、加密隧道等網(wǎng)絡(luò)應(yīng)用按用戶和時間進行

阻斷或精確到1Kbps的帶寬限流，合理優(yōu)化網(wǎng)絡(luò)流量。從而，很好地彌補了防火

墻、入侵檢測等產(chǎn)品的不足，提供了動態(tài)、主動、深度的安全防護。

8.2.3滿足指標(biāo)描述

指標(biāo)類

指標(biāo)要求改進行為改進對象

別

當(dāng)檢測到攻擊行為

時，應(yīng)記錄攻擊源

IP、攻擊類型、攻

網(wǎng)絡(luò)入侵防范設(shè)

入侵防擊目的、攻擊時

備配置入侵阻斷入侵防范系統(tǒng)

范間，在發(fā)生嚴(yán)重入

功能

侵事件時應(yīng)提供報

警及自動采取相應(yīng)

動作。

8.3Web防護解決方案

8.3.1風(fēng)險與需求分析

隨著B/S模式應(yīng)用開發(fā)的發(fā)展，信息中心資源逐漸向數(shù)據(jù)中心轉(zhuǎn)移并集中，

Web平臺承載了越來越多的核心業(yè)務(wù)，Web的開放性給工作方式帶來了高效、方

便的同時也使業(yè)務(wù)重要信息完全暴露在危險中。Neb應(yīng)用的威脅主要來自于以下

幾個部分：

>Web網(wǎng)站早期開發(fā)者安全意識薄弱

Web應(yīng)用程序和服務(wù)的增長已超越了當(dāng)初程序開發(fā)人員所接受的安全培訓(xùn)

和安全意識的范圍，給攻擊者留下大量可乘之機。有些已運行的WEB應(yīng)用系統(tǒng)由

于難以更改、或更改成本過高，或系統(tǒng)已加密、或版權(quán)問題等原因無法更改也是

WEB安全問題的重要原因。

＞第三方內(nèi)容成風(fēng)險源

第三方內(nèi)容是現(xiàn)在網(wǎng)站編程里面經(jīng)常采用的一個技術(shù)，網(wǎng)站的制作者會把本

身網(wǎng)頁里面嵌入一些第三方網(wǎng)站內(nèi)容的“指針”。這些網(wǎng)頁被客戶端瀏覽器打開

的時候，瀏覽器會根據(jù)這些指針去采第三方網(wǎng)站上面的內(nèi)容，包括圖片、文字、

flash和一些動態(tài)腳本等等。攻擊者利用這些內(nèi)容源對目標(biāo)進行攻擊

＞篡改Web系統(tǒng)數(shù)據(jù)

攻擊者通過SQL注入等門戶網(wǎng)站應(yīng)用程序漏洞獲得網(wǎng)站系統(tǒng)權(quán)限后，可以進

行網(wǎng)頁掛馬、網(wǎng)頁篡改、修改數(shù)據(jù)等活動。黑客可以通過網(wǎng)頁掛馬，利用被攻擊

的網(wǎng)站作為后續(xù)攻擊的工具，致使更多人受害；乜可以通過網(wǎng)頁篡改，丑化門戶

網(wǎng)站的聲譽甚至造成政治影響；還也可以通過修改網(wǎng)站系統(tǒng)敏感數(shù)據(jù)，直接達到

獲取利益的目的。

＞Cookie監(jiān)聽、Cookie投毒

惡意用戶通過對Cookie監(jiān)聽破譯用戶證書，篡改從服務(wù)器傳送到瀏覽器的

cookie數(shù)據(jù)。網(wǎng)站常常將一些包括用戶ID、口令、賬號等的cookie存儲到用戶

系統(tǒng)上，通過改變這些值，惡意的用戶就可以訪問不屬于他們的賬戶。

＞客戶端網(wǎng)絡(luò)帶寬濫用

某些HTTP客戶端用戶使用工具惡意濫用服務(wù)器處理能力和網(wǎng)絡(luò)帶寬，使得

其他合法用戶無法獲得正常服務(wù)。

在傳統(tǒng)的安全產(chǎn)品中，防火堵主要工作在四層以下，主要是基于包檢測技術(shù)，不

能實現(xiàn)對HTTP協(xié)議的精細控制。防病毒產(chǎn)品不僅對Web應(yīng)用程序中的漏洞難以

識別，而且對網(wǎng)頁中存在的惡意代碼（網(wǎng)頁木馬）更是束手無策。IPS僅是對HTTP

數(shù)據(jù)包有效負載的檢測分析，并不能將所有的數(shù)據(jù)包還原組裝成數(shù)據(jù)流或具體的

內(nèi)容進行基于關(guān)鍵字或具體內(nèi)容的檢測分析與特征提取，并且IPS主要是靜態(tài)的

特征匹配，針對Web應(yīng)用交互中動態(tài)頁面中的相關(guān)內(nèi)容沒有固定特征，因此IPS

很難防范此類攻擊，并且IPS也不保持會話信息，很多與會話有關(guān)的攻擊，比如

Cookie篡改、會話劫持，IPS都不能較好的進行防護?？傊?，Web應(yīng)用攻擊之所

以與其他攻擊不同，是因為它們很難被發(fā)現(xiàn)，而且可能來自任何在線用戶，甚至

是經(jīng)過驗證的用戶。

XX市智能公交信息系統(tǒng)互聯(lián)網(wǎng)對外發(fā)布區(qū)部署有重要的呢b系統(tǒng)，Web系統(tǒng)

存在多種攻擊風(fēng)險。

8.3.2方案設(shè)計

在XX市智能公交信息系統(tǒng)對外發(fā)布區(qū)前端部署一臺Web應(yīng)用防火墻保障

Web應(yīng)用安全。

>Web應(yīng)用安全防護

WAF需要防護基于HTTP/HTTPS/FTP協(xié)議的蠕蟲攻擊、木馬后門、CGI掃描、

間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚、漏洞掃描、SQL注入攻擊及XSS攻擊等常見的

Web攻擊；

>應(yīng)用層DOS攻擊防護

WAF需要防護帶寬及資源耗盡型拒絕服務(wù)攻方。XMLDoS攻擊防護是對HTTP

請求中的XML數(shù)據(jù)流進行合規(guī)檢查，防止非法用戶通過構(gòu)造異常的XML文檔對

Web服務(wù)器進行DoS攻擊；

>Web虛擬服務(wù)

通過部署WAF來管理多個獨立的Web應(yīng)用，冬Web應(yīng)用可采用不同的安全策

略，可在不修改用戶網(wǎng)絡(luò)架構(gòu)的情況下增加新的應(yīng)用，為多元化的Web業(yè)務(wù)運營

機構(gòu)提供顯著的運營優(yōu)勢與便利條件；

>Web請求信息的安全過濾

針對HTTP請求,WAF能夠針對請求信息中的請求頭長度、Cookie個數(shù)、HTTP

協(xié)議參數(shù)個數(shù)、協(xié)議參數(shù)值長度、協(xié)議參數(shù)名長度等進行限制。對于檢測出的不

合規(guī)請求，允許進行丟棄或返回錯誤頁面處理；

>Web敏感信息防泄露

WAF應(yīng)內(nèi)置敏感信息泄露防護策略，可以靈活定義HTTP錯誤時返回的默認

頁面，避免因為Web服務(wù)異常，而導(dǎo)致的敏感信息（如：Web服務(wù)器操作系統(tǒng)類

型、Web服務(wù)器類型、Web錯誤頁面信息、銀行卡卡號等）的泄露；

>Cookie防篡改

WAF產(chǎn)品能夠針對Cookie進行簽名保護，避免Cookie在明文傳輸過程中被

篡改。用戶可指定需要重點保護的Cookie,對于檢測出的不符合簽名的請求，允

許進行丟棄或刪除Cookie處理，同時記錄相應(yīng)E志；

>網(wǎng)頁防篡改

WAF產(chǎn)品可按照網(wǎng)頁篡改事件發(fā)生的時序，事中，實時過濾HTTP請求中混

雜的網(wǎng)頁篡改攻擊流量（如SQL注入、XSS攻擊等）；事后，自動監(jiān)控網(wǎng)站所有需

保護頁面的完整性，檢測到網(wǎng)頁被篡改，第一時間對管理員進行告警，對外仍顯

示篡改前的正常頁面，用戶可正常訪問網(wǎng)站；

>Web業(yè)務(wù)的連續(xù)性

作為串行安全防護設(shè)備，WAF需要考慮了Web系統(tǒng)業(yè)務(wù)連續(xù)性保障措施，以

有效避免單點故障；

8.3.3指標(biāo)滿足描述

指標(biāo)類

指標(biāo)要求改進行為改進對象

別

a）應(yīng)在網(wǎng)絡(luò)邊界部署WEB防火墻。包括：端口

入侵防

處監(jiān)視以下攻擊掃描、強力攻擊、木馬后門

范（G2）行為：端口掃攻擊等各類攻擊行為。

描、強力攻擊、

木馬后門攻擊、

WEB防火墻

拒絕服務(wù)攻擊、

緩沖區(qū)溢出攻

擊、IP碎片攻擊

和網(wǎng)絡(luò)蠕蟲攻擊

等；

b）當(dāng)檢測到攻擊

行為時，記錄攻

擊源IP、攻擊類

型、攻擊目的、

攻擊時間，在發(fā)

生嚴(yán)重入侵事件

時應(yīng)提供報警。

a）應(yīng)在網(wǎng)絡(luò)邊界部署WEB防火墻。包括：端口

惡意代

處對惡意代碼進掃描、強力攻擊、木馬后門

碼防范行檢測和清除；攻擊等各類攻擊行為進行惡

WEB防火墻

（G2）b）應(yīng)維護惡意代意代碼的檢測與清除，并定

碼庫的升級和檢期升級惡意代碼庫。

測系統(tǒng)的更新。

8.4遠程安全接入解決方案

8.4.1風(fēng)險與需求分析

＞風(fēng)險列表

序號風(fēng)險種類

1網(wǎng)絡(luò)偵聽

2數(shù)據(jù)篡改

3中間人攻擊

4重放攻擊

＞風(fēng)險分析與描述

?網(wǎng)絡(luò)偵聽

業(yè)務(wù)數(shù)據(jù)如果在網(wǎng)絡(luò)中以明文的方式傳播的活，攻擊者通過網(wǎng)絡(luò)偵聽的方式

可以獲得相應(yīng)數(shù)據(jù)包并進行還原，從而導(dǎo)致重要業(yè)務(wù)數(shù)據(jù)泄漏，機密性受到極大

地影響，因此，對于重要的業(yè)務(wù)數(shù)據(jù)應(yīng)采用加密方式進行傳輸。

?數(shù)據(jù)篡改

攻擊者對于偵聽捕獲的數(shù)據(jù)，可以通過改變消息內(nèi)容，刪除其中的部分內(nèi)容,

用一條假消息去代替原始消息，或者將某些額外消息插入其中等方式破壞數(shù)據(jù)的

完整性。

?中間人攻擊

中間人”能夠與原始計算機建立活動連接并允許其讀取或修改傳遞的信息,

然而兩個原始計算機生戶卻認為他們是在互相通信，中間人攻擊將導(dǎo)致數(shù)據(jù)泄密

和數(shù)據(jù)的篡改。

?重放攻擊

就是攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要

用于身份認證過程，

＞需求分析

因此保證業(yè)務(wù)數(shù)據(jù)傳輸安全性的重點在于建立安全的數(shù)據(jù)通道，該通道應(yīng)具

備以下的基本安全要素：

?保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址假冒

(IPSpoofing)的能力。

?保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不

法分子篡改數(shù)據(jù)的能力。

?保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解

攔截到的通道數(shù)據(jù)。

?提供動態(tài)密鑰交換功能和集中安全管理服務(wù)C

?提供安全防護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊信

息中心網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制

＞需求總結(jié)

采用有效合理的方式，實現(xiàn)業(yè)務(wù)數(shù)據(jù)在傳輸過程中的機密性、完整性、可控

性等安全特性。

8.4.2方案設(shè)計

在外網(wǎng)鏈路區(qū)域交換機旁路部署SSLVPN系統(tǒng)，使之移動辦公用戶可采用

安全的接入方式訪問內(nèi)部網(wǎng)絡(luò)

虛擬專用網(wǎng)（VPN）是一種以公用網(wǎng)絡(luò)，尤其是Internet為基礎(chǔ)，綜合運用

隧道封裝、認證、加密、訪問控制等多種網(wǎng)絡(luò)安會技術(shù)，為信息中心總部、分支

機構(gòu)、合作伙伴及遠程和移動辦公人員提供安全的網(wǎng)絡(luò)互通和資源共享的技術(shù),

包括和該技術(shù)相關(guān)的多種安全管理機制。

目前應(yīng)用最廣泛的的VPN解決方案主要包括IPSEC和SSL兩種實現(xiàn)方式的

VPN.

IPSecdPSecurity）是IETFIPSec工作組為了在IP層提供通信安全而制

訂的一整套協(xié)議標(biāo)準(zhǔn)，IPSec的主要特征在于它可以對所有IP級的通信進行加

密和認證，正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務(wù)器、電子

郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全。IPSECVPN解決方案的優(yōu)

勢如下：

?IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當(dāng)在廣域網(wǎng)出口

處安裝IPSec時，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系

統(tǒng)中執(zhí)行IPSec,應(yīng)用程序一類的上層軟件也不會被影響。

?IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培

訓(xùn)。

?TPSEC更適合于網(wǎng)絡(luò)到網(wǎng)絡(luò)之間的數(shù)據(jù)加密傳輸和安全應(yīng)用。

SSLVPN采用了SSL（Securitysocketlayer）協(xié)議，該協(xié)議是介于介于

HTTP層及TCP層的安全協(xié)議，通過SSLVPN是接入信息中心內(nèi)部的應(yīng)用，而不

是信息中心的整個網(wǎng)絡(luò)，因此，SSLVPN更適合于單個用戶接入信息中心內(nèi)部的

應(yīng)用。SSLVPN的優(yōu)勢在于無需安裝客戶端、無需改變用戶網(wǎng)絡(luò)既有設(shè)置、無需

考慮NAT穿透問題、無需考慮私有地址沖突問題，無論用戶在何時、無論用戶在

何地、無論用戶用何種接入設(shè)備、無論用戶用何種接入方式，只要能夠支持標(biāo)注

的SSL協(xié)議的瀏覽器，均可通過SSLVPN安全、快捷的適用內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，實

現(xiàn)業(yè)務(wù)延伸

8.4.3指標(biāo)滿足描述

指標(biāo)類

指標(biāo)要求改進行為改進對象

別

應(yīng)采用加密或其他

數(shù)據(jù)保有效措施實現(xiàn)系統(tǒng)

部署SSLVPN網(wǎng)

密性管理數(shù)據(jù)、鑒別信VPN虛擬專網(wǎng)解決方案

關(guān)

息和重要業(yè)務(wù)數(shù)據(jù)

傳輸保密性；

應(yīng)能夠檢測到鑒別

數(shù)據(jù)完信息和重要業(yè)務(wù)數(shù)部署SSLVPN網(wǎng)

VPN虛擬專網(wǎng)解決方窠

整性據(jù)在傳輸過程中完關(guān)

整性受到破壞。

8.5數(shù)據(jù)庫審計解決方案

8.5.1風(fēng)險與需求分析

作為當(dāng)前網(wǎng)絡(luò)信息安全業(yè)界一個逐漸得到公認的事實：在安全事件造成的損

失中，有75%以上來自內(nèi)部，其中包括內(nèi)部人員的越權(quán)訪問、濫用、以及誤操作

等。審計系統(tǒng)幫助記錄發(fā)生在重要信息系統(tǒng)中各種各樣的會話和事件，包括網(wǎng)絡(luò)

的、主機和應(yīng)用系統(tǒng)的。這些審計信息反映了信息系統(tǒng)運行的基本軌跡。一方面，

它可以幫助管理層和審計者審核信息系統(tǒng)的運行是否符合法律法規(guī)的要求和組

織的安全策略；另一方面，這些寶貴的審計信息在信息系統(tǒng)出現(xiàn)故障和安全事故

時，就像航空器“黑盒子”一樣，幫助調(diào)查者深入挖掘事件背后的情報，重建事

件過程，直至完整的分析定位事件的本源[1],并部署進一步的措施來避免損失

的再次發(fā)生。

當(dāng)前的許多安全標(biāo)準(zhǔn)和規(guī)范都要求組織建設(shè)并保證審計系統(tǒng)的可靠性。例如

安全管理業(yè)界標(biāo)準(zhǔn)IS027001：2005,美國公眾上市公司需要遵循的薩班斯

(SarbanesOxley)法案，以及國家最近頒布的安全等級保護技術(shù)要求等等。

＞風(fēng)險分析與描述

內(nèi)部人員操作安全隱患

隨著信息中心信息化進程不斷深入，信息中心的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由

內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢

測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作

卻無能為力。根