1.系统主机安全设计
系统主机信息安全范围主要包括:身份鉴别、访问控制、入侵防范、恶意病毒防范、资源控制、漏洞扫描、服务器安全加固等方面进行安全设计和控制,为用户信息系统运行提供一个安全的环境。
1.1、身份鉴别
用户(包括技术支持人员,如操作人员、网络管理员、系统程序员以及数据库管理员等)应当具备仅供其个人或单独使用的独一无二的标识符(即用户ID),以便跟踪后续行为,从而责任到人。用户ID不得表示用户的权限级别。
操作系统和数据库系统用户的身份鉴别信息应具有不易被冒用的特点,为不同用户分配不同的用户名,确保用户名具有唯一性,例如长且复杂的口令,一次性口令等;对重要系统的用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,例如使用令牌或者证书。具体设置如下:
1)、管理员用户设置
对操作系统进行特权用户的特权分离(如系统管理员、应用管理员等)并提供专用登陆控制模块,采用最小授权原则,进行授权。
2)、管理员口令安全
启用密码口令复杂性要求,设置密码长度最小值为8位,密码最长使用期限90天,强制密码历史等,保证系统和应用管理用户身份标识不易被冒用。
3)、登陆策略
采用用户名、密码、密钥卡令牌实现用户身份鉴别。
4)、非法访问警示
配置账户锁定策略中的选项,如账户锁定时间、账户锁定阈值等实现结束会话、限制非法登陆次数和自动退出功能。
1.2、访问控制
业务服务器操作系统应选用C2或以上安全级别的操作系统。
主机层安全启用访问控制功能,依据安全策略控制用户对资源的访问,对重要信息资源设置敏感标记,安全策略严格控制用户对有敏感标记重要信息资源的操作。对管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,实现操作系统和数据库系统特权用户的权限分离,严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令并应及时删除多余的、过期的帐户,避免共享帐户的存在。具体设置如下:
1)、资源访问记录
通过操作系统日志以及设置安全审计,记录和分析各用户和系统活动操作记录和信息资料,包括访问人员、访问计算机、访问时间、操作记录等信息。
2)、访问控制范围
对重要系统文件进行敏感标记,设置强制访问控制机制。根据用户的角色分配权限,授予用户最小权限,并对用户及程序进行限制,从而达到更高的安全级别。
3)、关闭系统默认共享目录
关闭系统默认共享目录访问权限,保证目录数据安全。
4)、远程访问控制
通过主机操作系统设置,授权指定IP地址进行访问控制,未授权IP地址,不允许进行访问。
1.3、入侵防范
为有效应对网络入侵,在网络边界处部署防火墙、IPS、防病毒网关、WEB应用防火墙等安全设备,用于应对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等各类网络攻击;
防火墙能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP 欺骗攻击、源IP攻击、IP 碎片攻击、DoS/DDoS 攻击等;实时应用层内容过滤,在防火墙内核协议栈中实现。支持HTTP、FTP、SMTP 协议,具体包括URL 过滤、网页关键字过滤、FTP 文件下载过滤、FTP 文件上传过滤、SMTP收件人过滤、SMTP 发件人过滤、邮件主题过滤、反邮件中转过滤、Internet 蠕虫过滤。根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接.
操作系统的安装遵循最小安装原则,仅开启需要的服务,安装需要的组件和程序,可以极大的降低系统遭受攻击的可能性并且及时更系统丁。建议以下设置:
关闭以下端口:
TCP: 135、139、445、593、1025等
UDP: 137、138、445等
Windows关闭以下危险服务:
echo、smtp、nameserver、clipbook、remote registry、Messenger、Task Scheduler等服务。
Linux关闭以下危险服务:
echo、priter、ntalk、sendmail、lpd、ypbind等服务
1.4、恶意病毒防范
网络中的所有服务器上均统一部署网络版防病毒系统,并确保系统的病毒代码库保持最新,实现恶意代码、病毒的全面防护,实现全网病毒的统一监控管理。
网络防病毒系统须考虑到云计算环境下的特殊要求。常规防病毒扫描和病毒码更新等占用大量资源的操作将在很短的时间内导致过量系统负载。如果防病毒扫描或定期更新在所有虚拟机上同时启动,将会引起“防病毒风暴”。此“风暴”就如同银行挤兑,其中的“银行”是由内存、存储和 CPU 构成的基本虚拟化资源池。此性能影响将阻碍服务器应用程序和虚拟化环境的正常运行。传统体系结构还将导致内存分配随单个主机上虚拟机数量的增加而呈现线性增长。
在物理环境中,每一操作系统上都必须安装防病毒软件。将此体系结构应用于虚拟系统意味着每个虚拟机都需要多占用大量内存,从而导致对服务器整合工作的不必要消耗。针对业务平台所在的云计算环境,考虑部署支持虚拟化的服务器病毒防护系统,可以减少系统开销、简化管理及加强虚拟机的透明性和安全性。
1.5、漏洞扫描
部署一套漏洞扫描系统,能够帮助提升安全管理的手段,增强系统风险应对的水平,贴合等保对主机安全的要求。漏洞扫描系统对不同系统下的设备进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
漏洞扫描系统能够提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为管理员提供实时安全建议。作为一种积极主动的安全防护技术,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。
1.6、服务器安全加固
建议对重要服务器部署安全加固系统,通过部署服务器安全加固系统,可以实现以下功能:
1)、强制的访问控制功能:内核级实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制;
2)、安全审计功能:文件的完整性检测、服务的完整性检测、WEB请求监测过滤;
3)、系统自身的保护功能:保护系统自身进程不被异常终止、伪造、信息注入。
服务器操作系统上安装主机安全加固系统,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能。
主机安全加固系统通过对操作系统原有系统管理员的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而达到从根本上保障操作系统安全的目的。也就是说即使非法入侵者拥有了操作系统管理员最高权限也不能对经过内核加固技术保护的系统一切核心或重要内容进行任何破坏和操作。此外,内核加固模块稳定的工作于操作系统下,提升系统的安全等级,为用户构造一个更加安全的操作系统平台。
通过核心加固将全面提升服务器的安全性,并执行严格的安全策略,以充分满足等级保护三级系统的主机安全要求。
2.数据层安全设计
2.1、数据安全性
数据传输安全
1.数据传输过程中加密:是指数据从源节点换出时到目标节点时数据传输过程中加密,防止经过不可信网络时防止网络抓包方式捕获传输内容,主要采用对MQ的消息进行AES加密算法进行加密。
2.数据传输防篡改:在消息发送过程中,对每一个消息分片进行CRC计算出一个Hash值,到达目标节点时需要对内容进行CRC比对,Hash值不一致说明数据被篡改。
数据使用安全
所有数据信息,针对用户和字段建立1-9级密级管理,所有数据访问需要经过管理员授权,针对敏感人员采用白名单管理。
数据存储安全
业务数据存储加密分为两种方式,
1、透明加密:“透明”应该就是指加密的动作不需要人工干预。整个加解密是和数据库服务器绑定,当数据文件被盗取,也无法解析相关数据内容;
2、核心字段AES加密:将数据库核心字段进行列级加密,设置完成后,即使登录数据库服务器也无法显示核心字段信息;在应用程序需要获取信息时,可通过硬件加密狗方式解开对应信息。
安全审计管理
在所有访问使用都记录相关日志,整个安全审计平台建立事前事中事后三种方式的检测预警,同时可以针对日志记录进行分类检索。
2.2、数据完整性
数据库的访问控制是用来防止共享数据库中的数据被非法访问的方法、机制和程序。以下控制措施专用于数据库内的数据控制:
1)、读访问控制
必须制定相应的控制措施,以确保获准访问数据库或数据库表的个体,能够在数据库数据的信息分类级别的合适的级别得到验证。通过使用报表或者查询工具提供的读访问必须由数据所有人控制和批准,以确保能够采取有效的控制措施控制谁可以读取哪些数据。
2)、读取/写入访问控制
对于那些提供读访问的数据库而言,每个访问该数据的自然人以及/或者对象或进程都必须确立相应的账户。该ID可以在数据库内直接建立,或者通过那些提供数据访问功能的应用予以建立。这些账户必须遵从本标准规定的计算机账户标准。
用户验证机制必须基于防御性验证技术(比如用户ID/密码),这种技术可以应用于每一次登录尝试或重新验证,并且能够根据登录尝试的被拒绝情况指定保护措施。
为了保证数据库的操作不会绕过应用安全,定义角色的能力不得成为默认的用户特权。访问数据库配置表必须仅限于数据库管理员,以防未经授权的插入、更新和删除。
2.3、数据保密性
建议通过以下具体的技术保护手段,在数据和文档的生命周期过程中对其进行安全相关防护,确保内部数据和文档在整个生命周期的过程中的安全。
1)、加强对于数据的认证管理
操作系统须设置相应的认证;数据本身也须设置相应的认证,对于重要的数据应对其本身设置相应的认证机制。
2)、加强对于数据的授权管理
对文件系统的访问权限进行一定的限制;对网络共享文件夹进行必要的认证和授权。除非特别必要,可禁止在个人的计算机上设置网络文件夹共享。
3)、数据和文档加密
保护数据和文档的另一个重要方法是进行数据和文档加密。数据加密后,即使别人获得了相应的数据和文档,也无法获得其中的内容。
网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。
4)、加强对数据和文档日志审计管理
使用审计策略对文件夹、数据和文档进行审计,审计结果记录在安全日志中,通过安全日志就可查看哪些组或用户对文件夹、文件进行了什么级别的操作,从而发现系统可能面临的非法访问,并通过采取相应的措施,将这种安全隐患减到最低。
5)、进行通信保密
用于特定业务通信的通信信道应符合相关的国家规定,密码算法和密钥的使用应符合国家密码管理规定。
对于移动办公人员的安全接入,建议在网络安全管理区部署一个SSL虚拟专用网络接入平台,所有外网对内网业务系统的访问需求均需通过SSL 虚拟专用网络平台认证,并在数据访问过程中,采取加密传输的方式进行,开放指定的资源。
6)、数据防泄密
为防止数据泄密,建议在系统中部署数据防泄密系统,基于数据存在的存储、使用、传输等三种形态,对数据生命周期中的各种泄密途径进行全方位的监查和防护,保证敏感数据泄露行为事前能被发现,事中能被拦截和监查,事后能被追溯,使得数据泄露行为无处遁形,敏感数据无径可出。
满足合规要求 满足信息安全等保规范以及SOX、PCIDSS等其它信息安全监管要求。
发现敏感数据 事前发现敏感数据存储分布及安全状态,为保障用户监管提供坚实基础。
防止数据泄露 对敏感数据进行事前、事中、事后的综合一体化泄露防护,保障敏感数据不丢失。
追溯泄露事件 全面的日志记录,让泄密事件可查可究,提升数据安全管理能力。
2.4、备份和恢复
建立数据备份恢复系统,制定完善的备份策略,对业务系统重要数据进行定时备份,并定期开展数据恢复演练工作。
3.运维管理设计
3.1、信息资产集中管理
建设信息资产管理平台,实现对网络、主机、数据库、中间件、安全设备、应用系统等IT资产的集中统一管理是网络安全自动化管理的基础。需要实现对服务器、路由器、交换机、数据库、中间件、安全设备的统一管理;针对今后将陆续扩展的各种资产管理对象,必须提供可扩展和灵活数据库建模及管理框架设计;针对各种管理对象的重要程度,实现对信息资产安全保护等级的划分。
3.2、设备状态实时监控
建设运维管理平台,实时监视主机、存储、数据库、网络、操作系统等运行状态,能够实现对骨干网路由器、交换机、安全设备、重要主机、中间件和重要应用系统运行状态的实时监控;上述被监视对象一旦发生死机、断线、不能完全响应、异常流量等严重故障或严重安全事件时,监控平台能及时报告;系统能够根据故障或事件的严重程度,结合资产的安全保护等级,以对话框、邮件、电话、短信等不同方式向管理人员告警。
3.3、异常状况及时预警
建设事态感知平台,在故障事故发生前,总是会有一些异常迹象,事态感知系统应实时捕捉住这些异常迹象并及时报告,可以帮助管理人员迅速采取措施,防患于未然。例如可以对骨干网异常流量、拒绝服务攻击状况、重要设备和重要应用系统过载等异常状态进行预警。
3.4、安全事件统一存储
建设日志分析平台,将网络中部署的各类安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来并进行规一化处理,使得用户通过单一的管理控制台对IT计算环境的安全信息进行统一监控。并且提供实时关联分析工具。用户可以定义不同的实时分析场景,从不同的观察侧面对来自信息系统各个角落的安全事件进行准实时分析,通过分析引擎进行安全事件进行关联、统计、时序分析。协助安全管理人员进行事中的安全分析,在安全威胁造成严重后果之前,及时保护关键资产,阻止安全事态进一步扩散,降低损失。
结束语
综上所述,信息安全已经涉及我们生活的方方面面,在当前互联网应用触手可及的环境下,需要我们不断提升信息安全防范意识,合理进行系统主机信息安全规划、设计,才能保障业务系统的稳定运行。