目前省应急厅各类网络、应用业务等信息基础设施建设已基本完成,并且部分业务系统已经迁移上云,但各省应急管理数据和业务系统及使用人员均较多、分布广泛、计算环境复杂,数据中心依然存在大量来自内部、外部的各种威胁,这就意味着重要敏感数据面临泄露与破坏的风险随着业务数字信息化的建设反而逐渐升高。这给省应急厅数据和信息系统的安全带来了巨大的挑战。为了能更有效的应对风险,必须系统化的分析应急管理数据和业务系统面临的各种风险,从而推演出安全保障系统建设的需求,设计科学高效的安全保障体系,有针对性的实施控制措施,有效的降低风险,保护好数据资产和业务系统。
为贯彻落实《网络安全法》中之要求规定,结合各省应急厅自身网络及应用业务特点,围绕等级保护中管理与技术基本要求进行详细的合规差距分析与网络、应用、数据、终端等各项安全能力建设,搭建以应用数据安全为核心的纵深防御体系,同时以防护平台化、部署集约化、运营服务工具化设计思想为指导,打造以安全大数据驱动的智能化安全运营管理与技术体系,形成标准化、工具依赖化的威胁监测、防御、响应的安全事件生命期处置闭环,并逐步建立接入应急部中央、厅级安全数据总线,通过与上下级单位、监管部门、管家安全部门、第三方机构进行数据交换、情报互通,提升协同威胁预防监控能力,进一步推动信息安全责任的落实及网络安全等级保护工作长效机制的建立,全面保障各省业务信息化建设健康可持续发展。
.总体设计..设计原则()合法合规、标准设计
省应急厅安全保障体系应以《中华人民共和国网络安全法》、《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》以及《关键信息基础设施保护条例》等相关政策标准为设计参照依据,以应急管理应用业务运营及发展需求为引导展开有据可依的规范化安全建设。
()解耦融合、弹性扩展
安全保障体系要充分考虑利用已建设成果与未来业务与新技术发展需要,既要将已有的安全能力与业务耦合进来,又要保证核心安全运营管理系统与架构采用大数据新技术进行模块化设计,安全与高效可持续发展性并举。
()技管并重、协调运营
安全运营重点突出实战配合能力与持续运营保障能力,以安全事件发现、分析研判、通告预警、响应处置、追踪调查、修复整改为核心工作流程,辅以人员机构安全管理、安全管理制度、安全系统建设与日常运维制度等管理工具手段,构建面向适用各层级安全管理人员的安全运营体系,将技术、管理、流程进行充分整合,支撑业务实战,形成保障业务、促进业务的闭环安全运营。
()整体规划、分期建设
按照整体规划、分期建设的原则,应急管理网络信息体系安全保障建设应分三个阶段完成。
第一阶段,查漏补缺、夯实基础,初步建立网络安全保障体系,对基础网络、数据、应用、终端安全能力进行差距分析,补齐安全“抓手”。
第二阶段,整合系统、完善体系,完成各安全系统与“抓手”的协同联动建设,形成比较健全、安全能力良好的安全保障体系。
第三阶段,运营维护、提升能力,进一步提升网络信息安全保障能力,通过在运营维护阶段发现与改正问题,不断修正应急管理网络信息安全技术与管理标准,建成与应急管理智能化发展相适应的健全的网络信息安全保障体系。
..参考依据()《中华人民共和国网络安全法》;
()《国家密钥管理基础设施建设指导意见》(国密发[00]号);
()《信息安全技术信息系统安全管理要求》GB/T09-00;
()《信息安全技术信息系统安全管理评估要求》GB/T8-0;
()《信息安全技术信息安全风险管理指南》GB/T-;
()《信息安全技术网络安全等级保护基本要求》GB/T9—09;
(7)《信息安全技术网络安全等级保护定级指南》GA/T89-07;
(8)《信息系统等级保护安全设计技术要求》GB/T-00;
(9)《信息安全等级保护管理办法》(公通字[]号);
(0)《信息安全技术信息系统安全等级保护实施指南》GB/T08-00;
()《信息安全技术信息系统安全等级保护定级指南》GB/T0-;
()《信息安全技术信息系统安全等级保护基本要求》GB/T9-;
()《信息安全技术信息系统安全等级保护测评要求》GB/T88-0;
()《信息安全技术信息系统等级保护安全设计技术要求》GB/T-00;
()《信息安全技术信息系统安全等级保护体系框架》GA/T-;
()《信息安全技术信息系统安全等级保护基本模型》GA/T-;
(7)《信息安全技术信息技术安全性评估准则》GB/T8-00;
(8)《信息安全技术信息安全风险评估规范》GB/T-;
(9)《信息安全技术大数据服务安全能力要求》GB/T7-07;
(0)《信息安全技术云计算服务安全能力评估方法》GB/T9-07;
()《信息安全技术云计算服务安全能力要求》GB/T8-0;
()《信息安全技术网络安全威胁信息格式规范》GB/T-08;
()《信息安全技术网络安全监测基本要求与实施指南》GB/T-08。
..体系框架.物联网安全..架构设计应急管理感知网络是基于智能传感、射频识别、视频图像、激光雷达、航空遥感等感知技术,依托天地一体化应急通信网络、公共通信网络和低功耗广域网,面向生产安全监测预警、自然灾害监测预警、城市安全监测预警和应急处置现场实时动态监测等应用需求,构建的全域覆盖应急管理感知数据采集体系,为应急管理大数据分析应用提供数据来源。
由于感知网络使用了大量的自建智能能物联网终端例如各类传感器及视频探头等设备,所以使得地方应急部门面临着物联网特有的安全问题,例如终端供货厂家较多导致产品异构难以管理、智能终端分布较为分散,攻击面广且难以感知各类安全问题的发生、智能终端普遍缺乏防护措施自身系统存在弱口令和安全漏洞等隐患、终端数据传输链路不安全等问题。
基于上述问题,省应急厅需要建立一套针对物联网智能终端及传输网络的安全体系,以提供对其进行威胁防御、威胁监测、威胁态势感知等各类安全手段。具体安全架构如下
..详细设计..0.智能物联网终端加固针对前端智能物联网终端(基于智能物联网操作系统linux、安卓等设备)的脆弱性,应对新建终端在设备出厂前进行统一的安全加固,或对已建终端进行软件更新升级进行安全加固。通过在智能物联网设备嵌入安全插件,基于内核驱动层安全防护技术,采用自学习的网络进程安全防护策略,对终端系统控制的动作指令和读写的状态进行监控,建立进程、网络、文件关系分析模型,对内部数据的关系和完整性进行安全防护,同时实现终端数据安全加密,主要功能如下。
()内核进程防护
基于系统内核进行防护,通过控制系统动作指令和读写的状态,建立进程、网络、文件关系防护模型,实现内核级的安全防护,通过自学习策略,建立终端进程白名单,抵御黑客攻击、病毒入侵行为、实现终端自我防御。
()网络防护
基于自学习策略,建立网络关系白名单,对终端产生及流向终端的流量进行细粒度控制,实现终端自我防御。
()安全感知
基于安全插件的流量、连接、进程感知能力,感知周边终端安全威胁。
()数据加密
可联动第三方秘钥管理系统进行数据加密,应支持国密SM\SM\SM9,建立完整的物联网终端加密流程体系,保证数据传输安全
..0.智能物联网终端实时监测通过部署智能物联网安全监测平台设备,实时或周期性对智能物联网终端设备进行安全摸底检查,从网络资产快速摸底、设备弱口令及漏洞检测以及网络边界检测等几个方面,对网络进行快速的扫描检测,及时发现存在的各类安全隐患,全面摸清视频监控网安全现状,排查并督促整改重要网络安全隐患、风险和突出问题,掌握感知融合网整体网络安全态势,从而防止重大网络安全事件的发生。
()物联网终端状态实时监控
物联网安全监测平台采用高速扫描引擎系统,应可实现千每秒级别的物联网设备的监测与扫描,通过轮询探测技术,可以实时的监控物联网设备安全状态,及时发现其中的在线、离线、故障等状态异常情况。
()物联网终端脆弱性监控
物联网安全监测平台具备全面的漏洞检测能力,可以快速对硬件安全情况进行监测,实时发现设备存在的系统漏洞、弱口令等脆弱性信息。
()物联网终端异常接入监控
物联网安全监测平台可以快速扫描全网的物联网设备硬件信息,并形成硬件信息库,通过设备指纹识别与对比分析技术,一旦发现其中存在身份仿冒、非法接入等情况,可以快速进行预警,为用户分析、取证、管控提供技术支撑。
()物联网终端安全风险评估报告
物联网安全监测平台应可以根据客户指定的时间段,输出改时间段内整网资产安全风险评估报告,一站式了解整网资产安全风险状况。
..0.智能物联网终端专项态势感知通过对感知融合网中的物联网设备的安全状态实时监控,搭建形成针对物联网络的态势感知平台,平台应采用大数据分析技术、动态预警技术、泛系统漏洞检测技术等多项关键技术,对感知融合网范围内的物联网络设备进行安全漏洞威胁主动巡检,及时感知海量物联网设备的安全状态、漏洞及风险情况,实现物联网设备额安全态势感知和通报预警,最终达到及时感知物联网络风险所在,督促用户进行整改。
()资产管理
对接入态势感知平台的物联网终端资产信息进行管理,资产信息应至少包括资产IP、资产所属区域、资产类型、资产型号、CPU及内存利用率、网络质量状况、在线状态及其他可选配置操作项等等。
()威胁管理
对遭受各类威胁的系统,根据威胁类型,风险等级分类展示,威胁信息应至少包括威胁来源、所属区域、威胁目的、威胁类型、风险等级、攻击时间、协议、威胁详情描述等。
()审计管理
对物联网终端设备的网络连接和进程进行详细记录,记录内容应至少包括资产IP、审计类型(连接或进程)、时间、恶意行为判断、进程所属用户、审计详情描述等等。
()态势感知
对资产信息进行实时的威胁态势感知,展示内容应至少包括资产总数、在线资产数量、资产在线率、有威胁资产数量、有漏洞资产数量、非法接入资产数量、设备类型、威胁轮播、趋势统计、高危区域TOPX、区域安全指数、威胁地图等等。
()准入管理
对前端准入设备发给态势感知平台的资产信息进行管理,准入信息至少应包括资产IP、区域、资产类型、资产型号、数据来源、MAC地址、准入信息、在线状态。
..部署示意.通信网络安全..架构设计以网络高效稳定运行为出发点,从设备自身安全、边界安全、网络流量安全监测三方面构建安全可靠的边界纵深防御体系、边界流量监测全覆盖体系,保障指挥信息网安全高效可靠运行。
指挥信息网作为应急通信网络的重要组成部分,主要面向指挥决策部门、应急救援部门的特定用户,承载应急指挥救援、大数据分析、视频会议、部分监测预警等关键应用,是基于IPv的网络系统,支持IPv共网运行,具有高可靠、高稳定、高安全、全覆盖的特点,与国家电子政务外网、互联网安全互联。
指挥信息网与国家电子政务外网、互联网之间安全互联,与国家电子政务内网之间物理隔离。指挥信息网与国家电子政务外网、互联网、其他行业专网的业务数据交换通过应急管理部数据中心统一交换,各省及以下单位原则上不增设指挥信息网和电子政务外网、互联网、其他行业专网的数据交换接口。确需在省级增设接口的,由省级应急管理部门或消防总队编制相应方案并向应急管理部报备同意后实施。指挥信息网与卫星通信网、无线通信网之间安全互联,卫星通信网与指挥信息网在部、省级节点相互连接,无线通信网与指挥信息网在部、省、市、县四级节点就近相互连接。
作为网络安全的最外层防线,一旦安全基础设施自身出现安全漏洞或被攻破,将会带来严重的后果。针对指挥信息网的网络设备自身安全,通过对网络设备的安全配置策略核查、漏洞检测和安全运行监控三个方面进行监督检查去夯实网络安全基础能力的可靠性。
在指挥信息网边界处采用边界一体化和关键节点重点防护的安全策略,针对不同网络的安全边界,按需采用异常流量清洗(抗DDOS)、入侵防护、恶意代码过滤、未知威胁防御、一体化访问控制、邮件安全过滤与审计等安全措施,保障山东省指挥信息网的高效传输和其它网络的安全互联接入。
同时,采用网络流量安全监测探针进行网络流量及行为监测,同时上报的恶意行为事件及流量数据将会由安全运营管理中心基于大数据和人工智能等技术进行深度挖掘和关联分析,可用于动态调整、持续优化网络安全策略,提升网络安全动态防御对抗能力和水平。
..详细设计...指挥信息网互联架构...边界安全设备检查()设备自身漏洞检查
通过各类漏洞扫描系统,对安全设备自身进行周期性扫描工作,以此发现设备由于自身开发过程中可能会出现的操作系统漏洞、应用服务漏洞、开源组件漏洞等,发现后应通知相关安全管理负责人进行第一时间修补或设备替换。
()安全配置策略检查
通过对安全设备的各项安全性配置进行登录检查,例如密码复杂度要求、管理员分权、管理IP限制等等,同时检查安全设备的安全策略是否符合默认拒绝、最小开放的原则,将重复、不可用、不安全的策略进行剔除,保障安全设备能够有效执行安全访问控制策略。
()安全运行数据采集
通过安全设备的配置及安全管理系统进行检查,是否对安全设备的性能及安全日志数据进行采集(例如是否配置SNMP及syslog外发),以便第一时间发现设备运行异常及安全事件的产生。
...边界安全防护()边界一体化访问控制
通过建立边界安全网关,应满足最基础的边界网络访问控制,即通过设置明确详细的访问控制规则列表,安全管理员只需要通过一条策略便可完成对源接口、源地址、用户、目的接口、目的地址、应用、服务、时间等维度的匹配,并针对应用、URL、入侵防御、病毒查杀等内容进行统一策略调用及管控。
()边界入侵防护
通过建立边界安全网关,应满足边界入侵防护级别的安全控制,可以处理网络类威胁,包括安全漏洞、木马后门、可以行为、CGI访问、CGI攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持等,同时应只支持入侵防护特征库的本地及在线更新。
()边界恶意代码防范
通过建立边界安全网关,应满足边界恶意代码访问的控制要求,具备专用的病毒查杀引擎与病毒特征库,能够精准识别并清除流行木马和顽固病毒,可以在HTTP、SMTP、FTP、POP、IMAP等多种协议下病毒防御,支持非标准端口的协议识别方式进行病毒检测,防止恶意程序在网络间的扩散。支持病毒库的本地及在线更新。
()异常流量清洗(互联网边界抗DDOS)
通过建立边界安全网关,对大流量的DDOS攻击行为,例如各类flood等通过消耗网络或设备系统性能类型的攻击进行清洗式防护,通过各类阈值及相关算法,将恶意的攻击流量进行清洗,并将清洗后的流量转发只相应应用业务。
()上网行为管理(互联网边界)
通过建立边界安全网关,借助于应用识别功能,可以准确识别网络上正在运行的应用,应用流量的准确识别不但可洞悉整个网络的运行情况,而且可针对具体需求做用户行为的准确管控,这在一定程度上既可保证业务流的高效运行也可预防由于内网机器受到攻击而生产的威胁,同时识别应用类型也是应用审计与应用流量控制的基础。
()设备HA冗余
通过建立边界安全网关,应满足设备的HA冗余机制,支持HA主主、主备模式保障网络处于高可靠性环境下,应具备同步设备配置、运行状态、会话状态信息、用户上线状态、特征库等内容。
(7)设备HA冗余
由于省级单位指挥信息网重要程度高,但同时又存在需要非专网用户接入等场景存在,对于VPN接入的安全性和通信信道的抗压能力就有了更高的要求,所以采用具备VPN功能的安全网关或单独的VPN接入设备作为远程接入控制与管理系统。
(8)安全接入
安装了SSLVPN客户端的用户电脑均可使用SSLVPN通过公网方便地远程接入指挥信息网。相比于IPSecVPN,SSLVPN主要的优势是配置简单,性能强大,安全稳定,具备适当的账户及权限管理功能,更适合进行灵活的应用发布远程接入。
...邮件安全等保.0中对三级系统网络通信防护提出了关于邮件安全建设的要求,应通过建立邮件安全审计平台,实现邮件相关流量与日志的采集、标准化和集中化存储,实现邮箱服务器日志的安全审计、关联分析和威胁的能力。
()邮件审计日志
该功能建设主要分为审计日志与告警日志,审计日志主要通过对邮件服务器日志记录信息的采集解析、合并存储和机器学习、关联分析等方式提供审计日志的综合预览窗口,可查看审计日志的分布趋势图和具体统计数据,详情查看审计日志列表,包括邮件系统的类别、服务端IP、服务端端口、协议、客户端IP、登录账号、行为方式、结果、邮件主题、发件人、操作详情等。来实现有效的掌握邮件统一收发状况,了解邮件往来分布等,加强邮件安全的维护和管理,提供以用户高效的日志检索能力。
告警日志主要通过数据分析层的机器学习与规则策略定义,查找出邮件安全威胁问题,主要可提供告警日志总数和本日新增查询,可详细查看告警日志列表,包括时间、邮箱系统、告警名称、等级、状态、协议、客户端IP、登录账号、行为、登录账号、邮件主题、发件人等详细信息。
邮件安全审计平台在日志搜索功能菜单中提供强大的日志存储、分析和查询功能,能够充分帮助用户达到预期的需求,帮助邮件安全运维人员快捷方便查询邮件日志与告警日志,极大的减轻了运维人员工作量。
()邮箱资产管理
邮箱系统管理:邮件安全审计平台提供邮箱系统的管理功能,支持邮箱系统的增/删/改操作,能详细查看相应邮箱系统的基本信息,可在此处添加邮件加密证书来实现流量解密功能,目前支持但不限于以下加密方式解密,HTTPS、POP加密、IMAP加密、SMTP加密等。
邮箱账号管理:邮件安全审计平台提供邮箱账号管理功能,账号添加主要通过流量审计到邮箱地址,手动添加员工信息,当员工信息所填邮箱地址与流量审计邮箱地址一致,系统将自主粘合该邮箱地址并将告警报表外送至与之相应的手机号码,还可将邮件账号进行组织架构的管理。
该功能建设实现邮箱资产及其名下账户的统一加上组织架构管理,已达到对整个用户邮件网络系统的全面实施审计,威胁实时告警。
()邮件安全策略
邮件安全审计平台在安全策略主要由模块管理、白名单、自定义规则、通知策略四部分组成。
预警策略目前主要考虑支持以下各种常见安全策略。
l暴力破解:通过识别短时间内的机器登录失败的行为,及时通知管理员对应的账号和IP,用的什么协议试图破解的目的账户及访问数据信息,实现基于邮箱账号和源IP的邮箱策略的建立,精准打击邮箱暴力破解的恶意攻击。
l指纹异常:通过对正确登录信息的入库记录实现邮箱账号与指纹信息的关联记录,实现基于邮箱账号和源IP的邮箱策略的建立,精准打击邮箱暴力破解的恶意攻击。
l重点别名异常监测:通过对客户系统内部邮件账号级别较高的,进行重点别名的