方案设计

　　本方案针对证件管理系统，严格参考了《信息安全技术 信息系统等级保护安全设计技术要求》和《信息安全技术 信息系统等级保护基本要求》，根据分级、分域的原则，进行了安全保障体系的建设与规划，从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心，使安全保障体系全面保障证件管理系统的正常、安全运行，并通过引入PKI/CA认证平台，以及建立应急响应预案，进一步提升系统的可靠性和应用安全性。

　　根据区域划分的原则，对证件管理系统划分为6个计算环境、8个区域边界以及4个通信网络，并且考虑到证件管理系统定级为三级，并且保护等级按照“A3S3G3”的标准来进行防护，除终端系统以外，其余环节均按照三级要求进行设计，形成如下图所描述的整体建设方案(简化版)。

　　证件管理系统安全防护总体示意图

　　部署措施

　　Ø 保护计算环境

　　n 针对三级计算环境的证件管理应用服务器、证件管理数据库服务器、安全数据交换服务器，采用安全操作系统，从而全面提升了操作系统的安全性，在身份认证、标记与强制访问控制、用户文件机密性/完整性保护、剩余信息保护实现有效的防护，弥补了商用操作系统在强访问控制、用户文件机密性/完整性保护、客体重用控制方面的不足。

　　n 也可采用操作系统核心加固系统，来弥补商用操作系统的不足，核心加固系统也能够实现包括双因素身份认证、标记与强制访问控制、客体重用控制等方面的内容;

　　n 针对数据库采用安全数据库管理系统，将有效弥补商用数据库在强制访问控制方面的不足，安全数据库管理系统支持强身份认证(双因素认证)、标记与强制访问控制、数据机密性/完整性保护、数据客体重用、数据库管理员的分权管理等安全机制，有效保障了证件管理信息系统的数据安全性;

　　n 也可采用购买数据库安全模块的方法，ORACLE 11G单独提供了实现安全机制的模块，通过模块也可实现强身份认证、标记与强制访问控制以及数据机密性/完整性保护，在配合数据库安全模块进行人工加固，也可实现三级计算环境所要求的内容，符合三级系统对数据安全和主机安全的一些要求;

　　n 此外，在各个服务器、数据库开启审计功能，在采用安全操作系统以及安全数据库后，系统从底层上就有措施来保护审计进程的有效性;如果采取操作系统内核加固以及数据库安全模块加固后，系统也可对审计进程进行保护;然后再通过集中的日志审计系统，来收集各个服务器及数据库的日志信息，进行集中存储，也有效防范了日志信息被非法篡改或删除;

　　n 此外，通过部署基于终端、服务器的防病毒软件，有效查杀感染到端点的病毒，防止病毒、木马、蠕虫等恶意代码对系统的破坏，并且通过部署的集中病毒管理服务器，实现对各个防病毒节点的病毒库统一升级，保持防病毒系统的有效性;

　　n 在三级计算环境的服务器和数据库服务器上安装主机入侵检测，实时监控系统，自动检测可疑行为，分析来自主机内部的入侵信号, 如果与预定义的事件匹配成功，则产生事件报警信息。在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施，最大程度地为主机系统提供安全保障，保护重要的服务器和数据库服务器不受到攻击的威胁;

　　n 另外，对于三级计算环境，部署本地和异地数据备份中心，将重要的数据库、用户文件分别在本地和异地进行定时备份，有效保障了系统服务的可用性，一旦发生以外，数据和用户文件将通过网络进行有效恢复，或实现系统服务的A/A、A/S切换;

　　n 在所有的终端设备上安装终端管理平台，实现终端桌面安全监管、桌面行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统的安全。同时部署的终端管理平台有效监测了终端的非法外联和非法内联情况，从而满足三级系统的“边界完整性”保护要求。

　　Ø 保护区域边界

　　n 针对三级区域边界，采取防火墙进行隔离，并在隔离后的各个安全区域边界执行严格的访问控制，防止非法访问;

　　n 在远程终端的边界也采用防火墙技术，实现基于源地址、目标地址、通信协议、端口、流量、事件等因素的访问控制;

　　n 针对数据交换平台的内数据库服务器和外数据库服务器，根据保密系统提出的“涉密信息系统与非涉密信息系统的连接”技术要求，在证件管理信息系统实现三级防护强度后，并且证件管理信息系统与互联网物理隔离的情况下，可采取双向传输隔离网闸来实现非涉密的证件管理信息系统与涉密的审查部门专网之间的安全信息交换。网闸将有效实现证件申请信息从证件管理信息系统向审查部门专网的摆渡，以便审查部门进行相关的背景审查，审查结束后信息将再次从审查部门专网摆渡到证件信息管理系统内，进行后续操作;

　　n 采取了网络入侵防护系统，实现区域边界的安全监测，监视来自外部的攻击行为，有效保护关键的服务器、数据库资源;

　　n 在区域边界处，采取网络病毒过滤网关后，对网络传递的数据包进行病毒的监测和过滤，防止病毒在不同的安全区域之间传播，造成破坏;

　　n 此外，部署的终端安全管理平台很好地解决了终端内联和外联监测的问题，从而有效实现了区域边界完整性检查。

　　Ø 保护通信网络

　　n 针对三级通信网络，通过在核心交换机上部署网络入侵检测系统，有效监视从外部对网络的攻击行为，并通过与防火墙的联动，将攻击行为的数据包阻断在网络之外，有效保护了关键的服务器和数据库资源;

　　n 在网络设备了开启审计措施，同时将网络设备的日志信息集中记录到日志审计服务器上，实现了日志信息的集中记录;

　　n 对于证件管理信息系统的核心交换机，和关键的路由器以及防火墙、入侵防护等系统，则采用双机的方式，以提升系统的整体容错能力，防止出现单点故障;

　　n 分别在证件受理终端区域的出口处，和证件管理信息系统的出口处，部署IPSEC VPN网关，对远程通信数据提供机密性、完整性、抗抵赖、抗重放的保护，确保远程安全通信和数据传输;

　　n 此外，在安全管理中心部署VPN集中管理服务器，实现对所有部署的VPN网关的集中策略管理，和隧道集中管理，保障VPN的有效性;

　　n 通过ACS来实现对网络设备登录的双因素认证，保障网络设备的身份认证的强度;

　　n 对网络设备进行安全加固，以提升网络设备的抗攻击能力，更好地支撑上层应用。

　　Ø 实现集中安全管理

(责任编辑：)