軟件平臺等保測評解決方案

軟件平臺等保測評解決方案第一章安全等級界定 4第二章安全架構(gòu)設(shè)計(jì) 5第三章信息安全設(shè)計(jì) 63.1安全物理環(huán)境 63.2安全區(qū)域邊界 63.2.1數(shù)據(jù)中心安全區(qū)域邊界 63.2.2云平臺安全區(qū)域邊界 73.2.3移動互聯(lián)安全區(qū)域邊界 83.2.4物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域邊界 83.3安全通信網(wǎng)絡(luò) 93.3.1數(shù)據(jù)中心安全通信網(wǎng)絡(luò) 93.3.2云平臺安全通信網(wǎng)絡(luò) 3.3.3移動互聯(lián)安全通信網(wǎng)絡(luò) 3.3.4物聯(lián)網(wǎng)系統(tǒng)安全通信網(wǎng)絡(luò) 3.4安全計(jì)算環(huán)境 3.4.1數(shù)據(jù)中心安全計(jì)算環(huán)境 3.4.2云平臺安全計(jì)算環(huán)境 3.4.3移動互聯(lián)安全計(jì)算環(huán)境 3.4.4物聯(lián)網(wǎng)系統(tǒng)安全計(jì)算環(huán)境 3.5安全管理中心 3.6公眾服務(wù)與內(nèi)部業(yè)務(wù)處理安全隔離設(shè)計(jì) 3.6.1安全隔離架構(gòu) 3.6.2安全接入策略 第四章安全管理體系設(shè)計(jì) 4.1安全管理制度 4.2安全運(yùn)營體系 第五章安全服務(wù)方案 5.1安全顧問服務(wù) 5.2安全風(fēng)險評估 215.2.1滲透測試服務(wù) 225.2.2安全加固服務(wù) 235.3安全優(yōu)化服務(wù) 5.4應(yīng)急響應(yīng)服務(wù) 245.5安全預(yù)警服務(wù) 255.6定期巡檢服務(wù) 265.7標(biāo)準(zhǔn)信息安全培訓(xùn)服務(wù) 5.8提供專業(yè)信息系統(tǒng)安全等級保護(hù)支持 27第六章密碼應(yīng)用及管理設(shè)計(jì) 6.1密碼技術(shù)設(shè)計(jì) 296.1.1物理和環(huán)境安全 296.1.2網(wǎng)絡(luò)和通信安全 6.1.3設(shè)備和計(jì)算安全 6.1.4應(yīng)用和數(shù)據(jù)安全 6.2密碼管理設(shè)計(jì) 第一章安全等級界定本項(xiàng)目的業(yè)務(wù)數(shù)據(jù)涉及到敏感性，數(shù)據(jù)受到泄露后第二章安全架構(gòu)設(shè)計(jì)本項(xiàng)目基于信息安全等保2.0安全技術(shù)架構(gòu)劃分(GB/T25070-2019)標(biāo)準(zhǔn)即等保2.0中第三級安全要求的安全通用要求外，建議第三章信息安全設(shè)計(jì)現(xiàn)用戶/應(yīng)用行為的可視、可控、合規(guī)和安全，最終(1)邊界訪問控制應(yīng)建立城市綜合管理服務(wù)平臺虛擬網(wǎng)絡(luò)實(shí)現(xiàn)端口、服務(wù)、用戶等信息進(jìn)行判斷，符合訪問控制策(2)邊界入侵檢測應(yīng)提供主動的、實(shí)時的入侵檢測，具備對2到7層網(wǎng)絡(luò)的線速、深度檢測(3)邊界病毒防護(hù)(4)邊界安全審計(jì)(1)邊界防護(hù)(2)訪問控制應(yīng)對接入系統(tǒng)的移動終端，采取基于SIM卡、證書等信息的強(qiáng)認(rèn)證措施；(1)區(qū)域邊界訪問控制(2)區(qū)域邊界準(zhǔn)入控制(3)區(qū)域邊界協(xié)議過濾與控制進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對系統(tǒng)調(diào)用的主體、客體、操作可信性受到破壞時采取措施恢復(fù)，并將驗(yàn)證(1)安全隔離應(yīng)建立城市綜合管理服務(wù)平臺私有網(wǎng)絡(luò)實(shí)現(xiàn)與現(xiàn)虛擬機(jī)之間的隔離；應(yīng)在網(wǎng)絡(luò)邊界處部署監(jiān)控機(jī)制(2)安全策略(1)加密通信(1)感知層網(wǎng)絡(luò)數(shù)據(jù)新鮮性保護(hù)(2)異構(gòu)網(wǎng)安全接入保護(hù)理、發(fā)放、更新、統(tǒng)一認(rèn)證、授權(quán)管理及廢止；基于數(shù)全應(yīng)用功能，為各個應(yīng)用系統(tǒng)直接提供可信認(rèn)證、>應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)>應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩配置對包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備與系統(tǒng)、主機(jī)務(wù)在內(nèi)的多種審計(jì)數(shù)據(jù)源的日志采集。采集Web應(yīng)用防護(hù)提供對應(yīng)用系統(tǒng)全方位的防護(hù)，針對Web服務(wù)器漏洞、Web插使用時效，限制用戶必須在指定的時限內(nèi)完成驗(yàn)證，寫區(qū)分，密碼組成(大/小字母，數(shù)字，特殊字符),不滿足復(fù)雜度設(shè)定條件，提值提示用戶重新設(shè)置密碼，通過短信驗(yàn)證碼+用戶身份(1)身份鑒別(2)訪問控制(3)入侵防范應(yīng)提供基于虛擬機(jī)的安全入侵防范機(jī)制，可(4)系統(tǒng)加固(5)數(shù)據(jù)備份和恢復(fù)(1)身份驗(yàn)證(2)終端管控(3)應(yīng)用管控(1)物聯(lián)網(wǎng)設(shè)備身份鑒別應(yīng)采用密碼技術(shù)支持的鑒別機(jī)制實(shí)現(xiàn)感知層網(wǎng)關(guān)與物聯(lián)網(wǎng)感知設(shè)備之間的(2)感知層設(shè)備訪問控制備和其他設(shè)備(感知層網(wǎng)關(guān)、其他感知設(shè)備)通信時，根據(jù)安全策略對其他設(shè)備等進(jìn)行統(tǒng)一身份標(biāo)識管理；應(yīng)通過系統(tǒng)管理員對感知設(shè)備狀態(tài)(電力供應(yīng)情況、是否在線、位置等)進(jìn)行統(tǒng)一監(jiān)測和處理。析以及對網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測和預(yù)警的能力；應(yīng)具有對3.6公眾服務(wù)與內(nèi)部業(yè)務(wù)處理安全隔離設(shè)計(jì)圖2安全隔離接入架構(gòu)圖3、統(tǒng)一認(rèn)證：為安全接入的身份認(rèn)證和權(quán)限控制提供支撐，提供用戶集中4、管理與審計(jì)：提供安全接入平臺的運(yùn)行情5、安全防護(hù)：為安全接入平臺提供訪問控制、入第四章安全管理體系設(shè)計(jì)第五章安全服務(wù)方案5.2安全風(fēng)險評估關(guān)部門的安全等級要求(國家信息安全防護(hù)等級要求等)。應(yīng)的風(fēng)險處置對策；計(jì)算出任意安全域的威脅Top10資產(chǎn)，風(fēng)險Top10資產(chǎn)。驟進(jìn)行系統(tǒng)加固。如甲方提出需求，乙方須安排技術(shù)人員(視需求遠(yuǎn)程或現(xiàn)場)服務(wù)方式：每半年進(jìn)行一次安全風(fēng)險評估，共2次之際進(jìn)行評估，預(yù)計(jì)2次。每一次評估均以書面格式形成報5.2.1滲透測試服務(wù)規(guī)則試探、規(guī)避測試、入侵檢測規(guī)則試探、規(guī)避測試、不同網(wǎng)段Vlan之間的滲每季度由專業(yè)滲透測試人員針對是業(yè)主單位指定的某個信息系統(tǒng)進(jìn)行一次5.2.2安全加固服務(wù)1)操作系統(tǒng)加固服務(wù)2)數(shù)據(jù)庫加固服務(wù)3)網(wǎng)站加固服務(wù)5.3安全優(yōu)化服務(wù)應(yīng)急響應(yīng)團(tuán)隊(duì)須提供7×24小時的應(yīng)急響應(yīng)服務(wù)承諾。(1)惡意程序事件，如：計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、(2)網(wǎng)絡(luò)攻擊事件，如：后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事(3)信息破壞事件如：信息篡改事件、信息假冒事件、信息泄漏事件、信(4)信息內(nèi)容安全事件，如：違反憲法和法律、行政法規(guī)的信息內(nèi)容安全(5)系統(tǒng)故障事件，如：軟硬件自身故障及其它設(shè)備設(shè)施故障等。接到甲方通知后須在10分鐘以內(nèi)安排技術(shù)專家通過電話或者遠(yuǎn)程連接方式進(jìn)行指導(dǎo)，控制險情。并派出現(xiàn)場工程師在1小時內(nèi)抵達(dá)現(xiàn)場提供服務(wù)，2小時內(nèi)完場提供服務(wù)。4小時內(nèi)完全解決事故或明確故障原因并提出臨時應(yīng)對措施。提供7×24小時的應(yīng)急響應(yīng)服務(wù)，事后進(jìn)行應(yīng)急響安全預(yù)警內(nèi)容有配合安全預(yù)警所采用的工具需采用聚類算法持續(xù)地從事件的源IP、目的IP、資產(chǎn)類型、事件等級、事件數(shù)目5個維度(向量)朝終端、書面形式提交具體的漏洞說明和解決辦法(或者臨時處理意見)。如甲方認(rèn)為技設(shè)備遠(yuǎn)程監(jiān)控、配置管理；提供7*24黑客事件、可疑事件的遠(yuǎn)程監(jiān)控；有能力(可遠(yuǎn)程);實(shí)施網(wǎng)頁防篡改策略；對網(wǎng)站安全事件實(shí)時集中監(jiān)控。(1)網(wǎng)站監(jiān)控內(nèi)容分析(2)重點(diǎn)服務(wù)器脆弱性識別(3)設(shè)備使用環(huán)境檢測對外部運(yùn)行情況(如外接電源、防塵、防水、防鼠等措施的合理性)及內(nèi)部(4)設(shè)備硬件外觀檢測(5)設(shè)備系統(tǒng)運(yùn)行情況檢測第六章密碼應(yīng)用及管理設(shè)計(jì)本項(xiàng)目密碼設(shè)計(jì)參考GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用使用密碼技術(shù)的真實(shí)性功能保護(hù)物理訪問控制身份鑒別信息，保證重要區(qū)在通信前基于密碼技術(shù)