表7-1 安全措施与安全层次对照表
措施 |
物理层 |
网络层 |
系统层 |
信息交换层 |
应用层 |
管理层 |
安全管理 |
设备管理规定、设备监控 |
网络管理规定、网络设备监控 |
系统评测规范 |
信息交换规范 |
系统运行规定、信息系统运行和信息内容监控 |
相应的组织机构及职能 |
网络防护 |
|
防火墙和网络入侵检测系统联动 |
|
|
|
|
不同信息安全域的信息安全交换 |
|
内网部分加密机之间设备认证;外网利用VPN技术提供接入设备的认证功能 |
|
内网部分利用普密级加密机提供链路级的加密;外网利用VPN技术提供数据加密功能 |
利用“安全岛”或离线方式实现内、外网之间的数据适度安全交换 |
|
安全审计 |
设备的审计 |
网络层审计 |
系统层审计 |
|
应用层审计 |
管理层审计 |
局部计算环境安全 |
|
|
关键主机加固 |
|
病毒和恶意代码防治 |
|
数据和系统备份 |
加密设备和网络设备备份 |
|
系统容灾恢复 |
数据存储备份 |
提供重要系统的系统备份 |
|
应急响应与技术支持服务 |
物理环境安全性评估 |
网络脆弱性分析 |
系统漏洞分析 |
|
提供应急情况的响应和技术支持 |
提供安全培训和各类安全服务
|
7.3.1 安全管理
建立健全有关安全管理的组织机构,制定有关规章制度,确保系统安全、可靠地运行。
1、组织结构
应成立安全保密管理办公室(简称“安全办”)。安全办由信息保密与密码管理小组、网络安全监控和管理小组、认证与授权管理小组、检查预警与应急响应小组组成。
(1) 信息保密与密码管理小组负责起草有关信息保密的规章制度,提出相应的保密等级以及信息交换保密规则,对相关网络信息保密工作进行指导和监管检查。
(2) 网络安全监控和管理小组负责起草有关网络和信息安全的规章制度,提出信息系统等级保护的实施细则,对策略的执行情况进行检查。
(3) 认证与授权管理小组提出统一的身份认证策略和授权管理机制,负责统一授权访问控制系统的日常管理和维护工作。
(4) 检查预警与应急响应小组负责督导和检查系统运行期间的病毒和垃圾邮件的检测和防治工作。
2、规章制度
应严格遵守国家的法律法规和网络信息安全的相关规定,包括:
《中华人民共和国保守国家秘密法》
《中华人民共和国国家安全法》
《中华人民共和国计算机信息系统安全保护条例》
《计算机信息系统国际联网保密管理规定》
《计算机信息系统安全专用产品检测和销售许可证管理办法》
《计算机病毒防治管理办法》等
3、建设安全管理中心
安全管理中心功能如下:
(1) 集中安全管理:安全设备管理、配置管理、事件管理、策略管理;
(2) 服务器操作系统补丁管理:可以自动分发、安装补丁,自动检测补丁安装情况;
(3) 综合安全审计与分析:提供安全事件的综合分析和事件回放功能。存储应用系统、网络系统、安全设备的安全事件日志,汇总各种报警信息,分析后进行综合报警;
(4) 共享平台客户端安全管理:IP地址信息搜集、违规非法外联监控、客户端补丁分发和管理、客户端防病毒软件日志情况监控;
(5) 监控管理:对安全设备和关键应用系统实时监控。
(6) 安全信息发布:在安全网站上及时发布综合报警信息、各类安全事件。
(7) 安全平台用户管理:对使用安全管理平台的用户进行管理,并具有权限分级的功能。
(8) 日志收集和格式支持:主要收集网络设备、安全设备、操作系统、应用系统的日志。支持Syslog、Webtrends、ODBC、SNMP Trap和其他日志格式。
7.3.2 交通运输政务内网安全防护
1.在交通运输政务内网节点网络边界处,部署由国家信息安全保密部门批准装备的普密级IP网络密码机,保证在网络线路上进行数据传输的安全。部署防火墙与入侵检测系统,保证网络层的安全。
2.在交通运输政务内网节点局域网中采用安全保障措施。对交通运输政务内网信息共享平台采取划分信息安全域,实施等级保护。信息共享平台按三层结构设计,分为外联层、渗透层和核心数据层。
外联层,是实现与信息共享平台连接的联接区。包括公共区的门户服务器和DMZ区的应用访问控制服务器、安全管理中心和网络管理设备等。
渗透层,是实现信息服务和业务应用的功能区。包括应用服务器、共享支撑服务器等。
核心数据层,是存放共享数据的核心区。主要布署数据库服务器和数据仓库服务器。
3.在信息共享平台安装由安全管理中心统一控制进行病毒特征码和防毒策略分发的防病毒网关和网络防病毒软件,并布置网络层和应用层的审计系统;对信息共享平台外联层的门户服务器、访问控制服务器,渗透层的应用服务器,核心层的数据库服务器、数据目录服务器采用主机加固的防护措施。
4.在IP地址划分、VLAN技术的使用和路由策略等方面考虑安全要求,阻断未经身份认证的用户进入外联层,阻断一般用户进入数据核心层。
5.在管理上区分用户角色,如网络管理员(保证网络联通性)、网络安全员(网络安全策略配置)、网络审计员(审计检查网络安全事件)等角色,杜绝内部人员非法操作、监守自盗的可能性。
7.3.3 交通运输政务外网的安全防护
在交通运输政务外网各节点网络边界处,采取防火墙与入侵检测系统联动的技术方案。互联网用户如需接入交通运输行业信息专网,需通过VPN接入系统在VPN网关和用户终端之间建立专用的加密信息通道,对用户身份进行认证,保障信息的保密性和不可篡改。
交通运输行业公众信息服务网上的各网站应配置网页防篡改系统,保护系统门户网站免受外部黑客和内部成员攻击,有效保障网站数据的完整性和真实性。
7.3.4 不同信息安全域的信息安全交换
主要通过鉴别服务、访问控制、数据完整性、数据保密和抗抵赖等技术措施实现不同安全域的信息安全交换,保证系统中信息内容在存取、处理和传输中,保持其机密性、完整性和可用性。
1、不同网络信任域之间的信息安全交换
交通运输政务外网各网络之间的数据交换属于不同网络信任域之间的信息交换,安全措施应采用访问控制、身份认证、加密通信等手段,必要时可采用经过国家主管部门批准使用的普密级链路加密机。
2、不同信息安全域的信息安全交换
物理隔离的两个网络之间的信息交换属于不同信息安全域之间的信息交换,安全措施主要采用人工离线或“安全岛”等方式。人工离线指采用光盘刻录的方式进行信息交换; “安全岛”方式是在两个网络之间设置缓冲区单向访问接入,缓冲区为内网和外网之间提供数据交换服务,保证数据交换时,只能够单向访问,并且对使用者进行身份认证,对交换的数据进行完整性校验,以达到物理隔离的目的。
7.3.5 安全审计
主要包括对操作系统、应用系统、数据库系统、设备和网络应用的审计。
操作系统的审计包括:系统启动、运行情况、管理员登录、操作情况、系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计;硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等的审计。
应用系统的审计主要包括应用程序重要操作的审计,如系统运转情况、用户的增加和删除操作、修改用户权限、资料等。还应包括重要应用进程的审计,如Web服务器、邮件服务器、中间件系统等系统的运行情况审计。
数据库系统的审计主要包括数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、资料备份操作和其它维护管理操作、对重要资料的访问和更改、资料完整性等的审计。
设备的审计指对系统重要设备操作的审计,如加密机的开关、备份设备的开关等操作。
网络应用的审计主要包括对网络流量中典型协议分析、识别、判断和记录、对通过Telnet、HTTP、Email、FTP、文件共享等协议的入侵检测;流量监测以及对异常流量的识别和报警、网络设备运行的监测等。
综合安全审计系统通过统一的安全控管平台,对多种复杂日志格式进行统一管理,高效管理海量日志,支持方便的日志查询,有利于综合分析,方便及时地发现问题。同时,为安全事故发生后的调查取证提供可信的第一手资料。
7.3.6 局部计算环境安全
加强系统层和应用层局部计算环境的安全,是信息系统安全保障体系的核心内容,将对保证数据安全起到十分重要的作用。
1、关键主机系统加固
在交通运输电子政务内、外网关键业务服务器上安装主机加固服务系统,并根据实际运行情况及时进行策略修改和调整。关键主机系统加固主要提供如下安全保护:
超级用户的权限控制:采用权限分离的安全策略,限制超级用户的权利,降低系统的安全风险。
栈溢出攻击保护:采用STOP技术随机化内存缓存位置使攻击者无法知道代码加载到内存中的具体位置,阻止UNIX系统上常见的缓冲区溢出攻击。
增强的系统资源访问控制:用户只能在安全策略规定的设备上和时间内才能访问主机资源。
访问权限细化:除了对资源的读、写、执行三种权限外,定义更为细化的访问权限。
安全级别划分:对信息和用户都定义安全级别,用户只可能访问同等安全级或低安全级的资源(包括文件、设备等)。
进程和服务的保护:主动保护系统进程和关键进程不被恶意中断。
加强的系统口令管理机制:通过强制性的口令更改机制和复杂度要求,减少攻击口令机制的成功率。
有效的主机访问审计:完整的系统活动审计记录有助于对安全行为的分析和行为追踪,提高安全震慑能力和恢复能力。
2、病毒和恶意代码防治
防病毒措施主要包括管理和技术两方面。管理上应制定一套严格的规章制度,从日常管理上堵住病毒流入和导出的途径。在技术上采用在网络联接处,分别设置防病毒网关,配合网络防病毒软件相结合的方式,及时将病毒清除或者阻断,形成一体化的网络病毒防护体系。
3、漏洞检测和安全评估系统
应配备漏洞检测和安全评估系统,用于识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解系统本身的脆弱性,评估可能存在的安全风险。
7.3.7 数据安全
数据安全包括数据的备份和恢复、制定数据安全制度。
数据的备份包括本地备份和异地冗灾备份。
本地备份可采用如下的备份策略:
数据相对较稳定的数据库,可设计每周一次的自动全数据库备份;
对于数据经常变化的数据库,设计每天的差异数据库备份和每周一次的全数据库备份;
对于数据相对重要的数据库,除了设计每天的差异数据库备份和每周的全数据库备份外,还要设计实时的事务日志备份;
差异数据库和全数据库自动备份时间要安排在非工作时间进行;
数据备份介质可选择磁盘阵列及磁带库,推荐采用专业的备份软件进行数据备份。
部、省两级数据中心建设过程中,条件允许情况下,建议考虑建设异地数据冗灾中心,建设过程中应遵循如下几点:
异地数据冗灾中心建设距离应考虑与数据中心保持100公里以上;
异地数据冗灾中心的核心硬件设备应尽量和数据中心保持一致;
非常重要的核心业务数据冗灾策略,应考虑完全同步的方式进行数据实时备份;
重要的核心业务数据冗灾策略,应考虑接近同步的方式进行数据实时备份;
一般的业务数据冗灾策略,应考虑异步的方式进行数据实时备份;
制定数据安全制度包括数据管理制度、数据文档管理制度、数据备份和恢复制度等。
7.3.8 应急响应体系
1.建立应急响应组织,专职负责各种突发信息安全事件的处理工作。
2.建立技术交流机制,加强各级交通运输信息化管理部门之间的技术交流和协作,共享网络监控预警情报。
3.建立一支应急响应和支援的技术队伍,对病毒防治、网络防护、关键数据修复等突发情况进行支援。
4.针对可能出现的突出情况制订相应的应急预案,并进行定期演练,在重要会议、重大活动或特殊情况下,准备及时提供技术支援。
7.3.9 安全服务与风险评估
引入或建立安全服务机制和安全保障服务队伍,开展安全服务与风险评估工作,包括:威胁与脆弱点分析、系统安全风险分析、系统安全设计、安全需求分析、更新补丁、安全风险分析、安全审计分析、安全策略调整、安全产品升级、系统安全测试等。定期进行风险评估,预先发现信息系统面临的威胁,将安全威胁发生的可能性和造成的影响降到最低。
参考标准:
《计算机信息系统 安全保护等级划分准则》(GB 17859-1999 )
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006)
《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2006)
《信息安全技术 入侵检测系统技术要求和测试评价方法》(GB/T 20275-2006)
《信息安全技术 网络脆弱性扫描产品技术要求》(GB/T 20278-2006)
《信息安全技术 网络和终端设备隔离部件安全技术要求》(GB/T 20279-2006)
《信息安全技术 防火墙技术要求和测试评价方法》(GB/T 20281-2006)
《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》(GB/T 20945-2007)
《信息安全技术 服务器安全技术要求》(GB/T 21028-2007)
《信息安全技术 信息系统物理安全技术要求》(GB/T 21052-2007)
第8章 附则
本《技术指南》从发布之日起施行。各级交通运输管理部门建设的业务应用信息系统,参照本《技术指南》执行。
本《技术指南》由交通运输部负责解释和修订。
附录1:术语及缩略语
英文缩略语 英文解释 中文解释
API Application Programming Interface 应用程序编程接口
COM Component Object Model 组件对象模型
CORBA Common Object Request Broker Architecture 公共对象请求代理体系结构
DES Data Encryption Standard 数据加密算法
DNS Domain Name System 域名系统
DoS Decline Service 拒绝服务
ETL Extraction-Transformation-Loading 数据抽取、转换和加载
FC SAN Fiber Channel Storage Area Network 基于光纤通道的存储区域网络
GUI Graphic User Interface 图形用户接口
IP Internet Protocol 互联网协议
IP SAN Internet Protocol Storage Area Network 基于网际协议的存储区域网络
JSSE Java Security Socket Extension Java安全套接字扩展
NAS Network Attached Storage 网络附属存储
OLAP On-Line Analytical Processing 联机分析处理
OLE DB Object Linking and Embedding, Database 对象链接嵌入数据库
OLTP on-line transaction processing 联机事务处理
PKI Public Key Infrastructure 公钥基础设施
QoS Quality of Service 服务质量
RAID Redundant Array of Independent Disks 磁盘阵列
RUP Rational Unified Process Rational 统一过程
SAN Storage Area Net work 存储区域网络
SAN Storage Area Network 存储区域网络
SAS Server-Attached Storage 服务器附加存储
SDH Synchronous Digital Hierarchy 同步数字体系
SMP Symmetric Multi-Processor 对称处理器
SNMP Simple Network Management Protocol 简单网络管理协议
SOA Service-oriented architecture 面向服务架构
SSL Secure Socket Layer 基于 WEB 应用的安全协议
TCP Transmission Control Protocol 传输控制协议
TFTP Trivial File Transfer Protocol 简单文件传输协议
TPC Transaction Processing Performance Council 评价计算机性能的非营利组织
UDP User Datagram Protocol 用户数据报协议
VPN Virtual Private Network 虚拟专用网
W3C World Wide Web Consortium 万维网联盟
XML eXtensible Markup Language 可扩展标记语言
附录2 :TPC-C估算方法
主机服务器评估
TPC-C测试基准主要用于测试主机服务器每分钟能够处理的联机交易笔数,测试产生的单位结果是TPM值。TPC-C虽然客观的反映了各个计算机厂商的系统处理性能,并且测试基准也在不断完善以更加贴近现实应用的交易环境,但是仍然无法与纷繁多样的各类实际应用完全吻合;而且参加TPC测试的主机系统都做了适当程度的系统优化。因此,在实际业务应用系统选择主机服务器乘载体时,必须考虑到多方面的因素,以最大程度的做到适合应用系统的生产需求。
以下计算公式是IBM公司在金融综合业务系统的实际应用中总结的经验方法论,基本反映了金融业务特点对主机处理能力的需求:
其中:
TASK:为每日业务统计峰值交易量。
T:为每日峰值交易时间,假设每日80%交易量集中在每天的4小时,即240分钟内完成:T=240。
S:为实际银行业务交易操作相对于标准TPC-C测试基准环境交易的复杂程度比例。由于实际的金融业务交易的复杂程度与TPC C标准测试中的交易存在较大的差异,须设定一个合理的对应值。以普通储蓄业务交易为例,一笔交易往往需要同时打开大量数据库表,取出其相关数据进行操作,相对于TPC-C标准交易的复杂度,要复杂很多;根据科学的统计结果,每笔交易操作相比较于TPC标准测试中的每笔交易的复杂度此值可设定为10-20。
C:为主机CPU处理余量。实际应用经验表明,一台主机服务器的CPU利用率高于80%则表明CPU的利用率过高会产生系统瓶颈,而利用率处于75%时,是处于利用率最佳状态。因此,在推算主机性能指标时,必须考虑CPU的冗余,设定C=75%。
F:为系统未来3-5年的业务量发展冗余预留。
综上所述,为保障联机业务处理性能要求,我们可推算得出主机所需的处理能力,据此得出相应的机型和配置。
应用服务器评估
应用服务器与主机测算方法不同,整个系统基于J2EE架构实现,应用服务器运行Java中间件服务器。因此,应用服务器测算标准按照业界公认的SPEC组织的Jbb2005作为测算服务器运行Java应用所需要的能力。Jbb2005测试的主要因素包括JVM、JIT编译器、垃圾回收、线程、操作系统内核、CPU处理能力、Cache大小、内存大小、服务器SMP的线程扩展能力等。衡量应用服务器的指标为bops。
应用服务器的负载按照并发来全面考虑,为了计算方便,以Servlet为粒度来进行计算。计算相关参数:
(一)并发系数:请求应用服务器的瞬间并发占峰值业务的比例。该值分为两个值测算,一是由内部人员产生的并发请求,一是由建设项目申请人通过网络申报产生的并发请求。在最繁忙的时候有2/3的业务是通过网上业务实现,1/3的业务是内部人员进行处理的,在业务量高峰期,并发可能性为1/3。
(二)Servlet计算依据:一个业务请求通常对应2次Servlet请求,网上业务该系数设置为2,内部人员应用需要处理打印等该系数设置为3。
(三)无妥协计算原则:保证在服务器池故障率达到50%时,仍然能够满足并发用户的需求,该系数为0.3。
(四)高性能计算原则:根据计算机性能的经验,计算机负载在70%以上时,对于请求的相应将有所变缓,为了保证单组服务器的响应能力,将负载控制在不超过70%,该系数为0.7。
(五)单次业务请求需处理的最大Java对象数:业务复杂度具体的应用关系密切,一次申报业务,将提交4条主表记录、3条附表记录、4条建设项目数据记录,对应VO(值对象)为11个,对应处理该笔的BO(业务对象,包括数据校验与转换对象等)为10个左右,最少需要1个数据库连接对象,1个日志对象,总的需要处理23个。
(六)测算公式=并发请求数*Servlet请求数/(1-无妥协计算系数)/高性能计算系数*单次请求最大Java对象数。
Web服务器评估
Web服务器主要考虑服务器处理HTTP Get请求的并发性能,系统中对Web服务器估算的依据以SPEC Web2005为准,估算并发Web请求数。Web服务器器受以下参数影响较大:
CPU主频
内存大小
网卡速率
磁盘I/O(主要是图片)
内存拷贝速率
操作系统调用延迟
根据SPEC Web2005测算依据,按照以下指标作为测算最大并发HTTP请求的计算公式:
峰值业务量:以峰值业务作为峰值业务请求数;
并发业务请求系数:以峰值业务量中的1/3作为可能的并发系数;
系统冗余比例:保证服务器在满负荷时仍然有30%的余量;
并发HTTP请求:=峰值业务量 × 并发业务请求系数/(1-系统冗余比例)。