1. 項目概述
法律法規
1994年《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)第九條明確規定,“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
2017年《網絡安全法》第二十一條明確規定國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,開展網絡安全等級保護的定級備案、等級測評、安全建設、安全檢查等工作,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改;第三十一條規定,國家關鍵信息基礎設施在網絡安全等級保護制度的基礎上,實行重點保護。
《網絡安全法》的頒布實施,標志著從1994年的國務院條例(國務院令第147號)上升到了國家法律的層面,標志著國家實施十余年的信息安全等級保護制度進入2.0階段,同時也標志著以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度依法全面實施。
1.1.1. 政策及文件
2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)明確指出,“實行信息安全等級保護。要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”,標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障工作的基本制度。
2004年7月3日審議通過的《關于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)指出,信息安全等級保護制度是國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。
自2007年《信息安全等級保護管理辦法》(公通字〔2007〕43號)頒布以來,一直是國家層面推動網絡安全工作的重要抓手。2012年,《國務院關于推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)規定,“落實信息安全等級保護制度,開展相應等級的安全建設和管理,做好信息系統定級備案、整改和監督檢查”。
除此之外,下列政策文件也對等級保護相關工作提出了要求:
? 《關于開展信息系統安全等級保護基礎調查工作的通知》(公信安〔2005〕1431號)
? 《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)
? 《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》(發改高技〔2008〕2071號)
? 《國家發展改革委關于進一步加強國家電子政務工程建設項目管理工作的通知》(發改高技〔2008〕2544號)
? 《關于開展信息安全等級保護安全建設整改工作的指導意見(公信安〔2009〕1429號)》
? 《關于進一步推動中央企業信息安全等級保護工作的通知》(公通字〔2010〕70號)
? 《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安〔2010〕303號)
? 《關于進一步加強國家電子政務網絡建設和應用工作的通知》(發改高技〔2012〕1986號)
? 《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過)
此外,在2019年5月13日,《信息安全技術網絡安全等級保護基本要求》(以下簡稱:等保2.0)正式發布,2019年12月1日起正式實施,標志著等級保護標準正式進入2.0時代。等保2.0是我國網絡安全領域的基本國策、基本制度和基本方法。等級保護標準在1.0時代標準的基礎上,注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制系統等級保護對象的全覆蓋。
1.1. 項目建設目標及內容
1.1.1. 建設目標
網絡安全等級保護安全建設工作是網絡安全等級保護制度的核心和落腳點。等級保護建設的目標是在網絡定級工作基礎上深入開展網絡安全等級保護安全建設整改工作,使網絡系統可以按照保護等級的要求進行設計、規劃和實施,并且達到相應等級的基本保護水平和保護能力。
依據網絡安全等級保護相關標準和指導規范,對XXXX系統按照“整體保護、綜合防控”的原則進行安全建設方案的設計,按照等級保護三級的要求進行安全建設規劃,對安全建設進行統一規劃和設備選型,實現方案合理、組網簡單、擴容靈活、標準統一、經濟適用的建設目標。
依據網絡安全等級保護三級標準,按照“統一規劃、重點明確、合理建設”的基本原則,在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等方面進行安全規劃與建設,確保“網絡建設合規、安全防護到位”。
最終使XXXX系統達到安全等級保護第三級要求。經過建設后使整體網絡形成一套完善的安全防護體系,提升整體網絡安全防護能力。
對于三級網絡,經過安全建設整改,網絡在統一的安全保護策略下要具有抵御大規模、較強惡意攻擊的能力,抵抗較為嚴重的自然災害的能力,以及防范計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警及記錄入侵行為的能力;具有對安全事件進行響應處置,并能夠追蹤安全責任的能力;遭到損害后,具有能夠較快恢復正常運行狀態的能力; 對于服務保障性要求高的網絡,應該能夠快速恢復正常運行狀態; 具有對網絡資源、用戶、安全機制等進行集中控管的能力。
1.1.2. 建設內容
本項目以XXX系統等級保護建設為主線,以讓XX系統達到安全等級保護第三級要求。借助網絡產品、安全產品、安全服務、管理制度等手段,建立全網的安全防控管理服務體系,從而全面提高XXXX系統的安全防護能力。
建設內容包括XXXXXX、XXXXXX等。
2. 安全需求分析
2.1. 安全技術需求
2.1.1. 安全物理環境需求
物理和環境安全主要影響因素包括機房環境、機柜、電源、服務器、網絡設備、電磁防護和其他設備的物理環境。該層面為基礎設施和業務應用系統提供了一個生成、處理、存儲和傳輸數據的物理環境。具體安全需求如下:
? 由于機房容易遭受雷擊、地震和臺風等自然災難威脅,需要通過對物理位置進行選擇,及采取防雷擊措施等來解決雷擊、地震和臺風等威脅帶來的問題;
? 由于機房物理設備要定期進行巡檢,機房出入口應配置電子門禁系統或者專門的人員值守,并對出入機房的人員進行控制、鑒別和記錄。
? 由于機房容易遭受水患和火災等災害威脅,需要采取防水、防潮、防火措施來解決水患和火災等威脅帶來的安全威脅;
? 由于機房容易遭受高溫、低溫、多雨等原因引起溫度、濕度異常,應采取溫濕度控制措施來解決因高溫、低溫和多雨帶來的安全威脅;
? 由于機房電壓波動影響,需要合理設計電力供應系統來解決因電壓波動帶來的安全威脅;
? 針對機房供電系統故障,需要合理設計電力供應系統,如:購買UPS系統、建立發電機機房,鋪設雙電力供電電纜來保障電力的供應,來解決因供電系統故障帶來的安全威脅;
? 針對機房容易遭受靜電、設備寄生耦合干擾和外界電磁干擾,需要采取防靜電和電磁防護措施來解決靜電、設備寄生耦合干擾和外界電磁干擾帶來的安全威脅;
? 針對機房容易遭受強電磁場、強震動源、強噪聲源等污染,需要通過對物理位置的選擇、采取適當的電磁防護措施,來解決強電磁場、強震動源、強噪聲源等污染帶來的安全隱患;
? 針對利用非法手段進入機房內部盜竊、破壞等安全威脅,需要通過進行環境管理、采取物理訪問控制策略、實施防盜竊和防破壞等控制措施,來解決非法手段進入機房內部盜竊、破壞等帶來的安全問題;
? 針對利用工具捕捉電磁泄漏的信號,導致信息泄露的安全威脅,需要通過采取防電磁措施,來解決電磁泄漏帶來的安全問題。
2.1.2. 安全通信網絡需求
通信網絡是對定級系統安全計算環境之間進行信息傳輸及實施安全策略的安全部件。是利用網絡設備、安全設備、服務器、通信線路以及接入鏈路等設備或部件共同建成的、可以用于在本地或遠程傳輸數據的網絡環境。具體安全需求如下:
? 針對網絡架構設計不合理而影響業務通信或傳輸問題,需要通過優化設計、劃分安全域改造完成。
? 針對利用通用安全協議、算法、軟件等缺陷獲取信息或破壞通信完整性和保密性,需要通過數據加密技術、數據校驗技術來保障。
? 針對內部人員未授權違規連接外部網絡,或者外部人員未經許可隨意接入內部網絡而引發的安全風險,以及因使用無線網絡傳輸的移動終端而帶來的安全接入風險等問題,需要通過違規外聯、安全準入控制以及無線安全控制措施來解決。
? 針對通過分布式拒絕服務攻擊惡意地消耗網絡、操作系統和應用系統資源,導致拒絕服務或服務停止的安全風險,需要通過抗DDoS攻擊防護、服務器主機資源優化、入侵檢測與防范、網絡結構調整與優化等手段來解決。
? 針對攻擊者越權訪問文件、數據或其他資源,需要通過訪問控制、身份鑒別等技術來解決。
? 針對利用網絡協議、操作系統或應用系統存在的漏洞進行惡意攻擊(如碎片重組,協議端口重定位等),需通過網絡入侵檢測、惡意代碼防范等技術措施來解決。
? 針對利用網絡結構設計缺陷旁路安全策略,未授權訪問網絡,需通過訪問控制、身份鑒別、網絡結構優化和調整等綜合方法解決。
? 針對眾多網絡設備、安全設備、通信線路等基礎設施環境不能有效、統一監測、分析,以及集中安全策略分發、漏洞補丁升級等安全管理問題,需要通過集中安全管控機制來解決。
? 針對通信線路、關鍵網絡設備和關鍵計算設備單點故障,要增加通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余,并保證系統的可用性。
2.1.3. 安全區域邊界需求
區域邊界包括安全計算環境邊界,以及安全計算環境與安全通信網絡之間實現連接并實施安全策略的相關部件,區域邊界安全即各網絡安全域邊界和網絡關鍵節點可能存在的安全風險。需要把可能的安全風險控制在相對獨立的區域內,避免安全風險的大規模擴散。
各類網絡設備、服務器、管理終端和其他辦公設備系統層的安全風險。主要涵蓋兩個方面,一是來自系統本身的脆弱性風險;另一個是來自用戶登錄帳號、權限等系統使用、配置和管理等風險。具體如下:
? 針對在跨邊界的訪問和數據流防護、網頁瀏覽、文檔傳遞、介質拷貝或文件下載、郵件收發時而遭受惡意代碼攻擊的安全風險,需通過部署邊界設備權限控制和惡意代碼防范技術手段解決。
? 針對用戶帳號權限設置不合理、帳號暴力破解等等安全風險,需要通過帳號管理、身份鑒別、訪問控制等技術手段解決。
? 針對操作用戶對系統錯誤配置或更改而引起的安全風險,需通過安全配置核查、終端安全管控等技術手段解決。
? 針對設備系統自身安全漏洞而引起被攻擊利用的安全風險,需要通過漏洞掃描技術、安全加固服務等手段解決。
? 針對通過惡意代碼或木馬程序對主機、網絡設備或應用系統進行攻擊的安全威脅,需通過惡意代碼防護、入侵檢測、身份鑒別、訪問控制、安全審計等技術手段解決。
? 針對在用戶的所有操作都要進行審計,并對進行保存,審計應包括網絡邊界、重要網絡接點,對用戶行為和重要操作進行審計,需通過部署網絡審計設備、用戶行為審計等其它審計設備來解決。
2.1.4. 安全計算環境需求
計算環境安全涉及業務應用系統及重要數據處理、存儲的安全問題。具體安全需求如下:
? 針對利用各種工具獲取應用系統身份鑒別數據,進行分析獲得鑒別內容,從而未授權訪問、使用應用軟件、文件和數據的安全風險,需要采用兩種或兩種以上鑒別方式來,可通過應用系統開發或第三方輔助系統來保證對應用系統登錄鑒別安全;
? 針對應用系統缺陷、接口設計等導致被惡意攻擊利用、數據丟失或運行中斷而影響服務連續性的安全風險,需要通過對產品采購、自行軟件開發、外包軟件和測試驗收進行流程管理,同時保證應用軟件具備自我容錯能力;
? 針對應用系統過度使用內存、CPU等系統資源,需要對應用軟件進行實時的監控管理,同時對系統資源進行管控來解決;
? 針對由于應用系統存儲數據而引發的數據損毀、丟失等數據安全問題,需通過本地數據備份和異地容災備份等手段來解決;
? 針對通過偽造信息進行應用系統數據的竊取風險,需要加強網絡邊界完整性檢查,加強對網絡設備進行防護、對訪問網絡的用戶身份進行鑒別,加強數據保密性來解決。
2.1.5. 安全管理中心需求
安全管理中心能夠對網絡設備、網絡鏈路、主機系統資源和運行狀態進行監測和管理,實現網絡鏈路、服務器、路由交換設備、業務應用系統的監控與配置。
安全管理平臺對安全設備、網絡設備和服務器等系統的運行狀況、安全事件、安全策略進行集中監測采集、日志范式化和過濾歸并處理,來實現對網絡中各類安全事件的識別、關聯分析和預警通報。
? 針對內部管理員的違規操作行為,需要采取身份鑒別、安全審計等技術手段對其操作行為進行限定,并對其相關操作進行審計記錄。
? 針對眾多網絡設備、安全設備、通信線路等基礎設施環境不能有效、統一監測、分析,以及集中安全策略分發、惡意代碼特征庫、漏洞補丁升級等安全管理問題,需要通過集中安全管控和集中監測審計機制來解決。
? 針對應用系統過度使用服務器內存、CPU等系統資源的行為,需要對應用軟件進行實時的監控管理,同時對系統資源進行管控來解決。
2.2. 安全管理需求
2.2.1. 安全管理制度需求
安全策略和管理制度涉及安全方針、總體安全策略、安全管理制度、審批流程管理和安全檢查管理等方面。其安全需求如下:
? 需要制定信息安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;
? 需要建立安全管理制度,對管理活動進行制度化管理,制定相應的制定和發布制度;
? 需要對安全管理制度進行評審和修訂,不斷完善、健全安全制度;
? 需要建立相應的審批部門,進行相關工作的審批和授權;
? 需要建立協調機制,就信息安全相關的業務進行協調處理;
? 需要建立審核和檢查部門,安全人員定期的進行全面的安全檢查;
? 需要建立恰當的聯絡渠道,進行溝通和合作,進行事件的有效處理;
? 需要建立審核和檢查的制度,對安全策略的正確性和安全措施的合理性進行審核和檢查;
? 需要建立備案管理制度,對系統的定級進行備案;
? 需要建立產品采購,系統測試和驗收制度,確保安全產品的可信度和產品質量;
2.2.2. 安全管理機構需求
安全管理機構涉及安全部門設置、人員崗位設置、人員安全管理等方面。其安全需求如下:
? 需要建立專門安全職能部門,設置安全管理崗位,配備安全管理人員、網絡管理人員、系統管理人員;
? 需要對人員的錄用進行必要的管理,確保人員錄用的安全;
? 需要對人員離崗進行有效的管理,確保人員離崗不會帶來安全問題;
? 需要對人員考核進行嚴格的管理,提高人員安全技能和安全意識;
? 需要對人員進行安全意識的教育和培訓,提高人員的安全意識;
? 需要對第三方人員進行嚴格控制,確保第三方人員訪問的安全。
2.2.3. 安全人員管理需求
安全人員管理需求,涉及到人員的崗位設置、職責分工、人員管理等方面,其安全需求如下:
? 需要對人員的錄用進行必要的管理,確保人員錄用的安全;
? 需要對人員離崗進行有效的管理,確保人員離崗不會帶來安全問題;
? 需要對人員考核進行嚴格的管理,提高人員安全技能和安全意識;
? 需要對人員進行安全意識的教育和培訓,提高人員的安全意識;
? 需要對外部人員進行嚴格控制,確保外部人員訪問受控區域或接入網絡時可控可管,并簽署保密協議。
2.2.4. 安全建設管理需求
安全建設管理涉及定級備案管理、安全方案設計、產品采購和使用、軟件開發管理、安全集成建設、測試驗收交付、等級測評以及服務商選擇等方面。其安全需求如下:
? 需要建立備案管理制度,對系統的定級進行備案;
? 需要具有總體安全方案設計、方案評審的流程和管理能力;
? 產品采購符合國家有關規定,密碼算法和密鑰的使用需符合國家密碼管理的規定;
? 需要有專人對工程實施過程進行管理,依據工程實施方案確保安全功能的落地,實施過程需要有第三方工程監理來共同控制實施質量;
? 需要制定軟件開發的相關制度和代碼編寫規范,并對源代碼的安全性進行檢測;
? 需要建立產品采購,系統測試和驗收制度,確保安全產品的可信度和產品質量;
? 需要與符合國家的有關規定的服務供應商簽訂協議
? 需要定期組織開展等級測評并及時整改;
? 需要在工程實施過程中做好文檔管理工作,并在系統交付時提供完整的資料交付清單,對運維人員進行技能培訓。
2.2.5. 安全運維管理需求
安全運維管理涉及機房運行管理、資產管理、系統安全運行維護管理等方面。其安全需求如下:
? 需要保證機房具有良好的運行環境;
? 需要對信息資產進行分類標識、分級管理;
? 需要對各種軟硬件設備的選型、采購、使用和保管等過程進行控制;
? 需要各種網絡設備、服務器正確使用和維護;
? 需要對網絡、操作系統、數據庫系統和應用系統進行安全管理;
? 需要定期地對通信線路進行檢查和維護;
? 需要硬件設備、存儲介質存放環境安全,對其使用進行控制和保護;
? 需要對支撐設施、硬件設備、存儲介質進行日常維護和管理;
? 需要對系統使用手冊、維護指南等工具文檔進行管理;
? 需要在事件發生后能采取積極、有效的應急策略和措施。
? 制定系統安全運維管理制度,指導系統日常安全運維管理、應急響應管理和外包運維管理活動
3. 技術體系設計方案
3.1. 安全通用要求安全技術防護體系設計
3.1.1. 安全物理環境
依據《網絡安全等級保護基本要求》中的“安全物理環境”要求,同時參照《信息系統物理安全技術要求》(GB/T 21052-2007),對等級保護對象所涉及到的主機房、輔助機房和異地備份機房等進行物理安全設計,設計內容包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應及電磁防護等方面。
3.1.1.1. 物理位置選擇
機房場地選擇在具有防震、防風和防雨等能力的建筑內,機房和辦公場地所在建筑物具有建筑物抗震設防審批文檔;機房場地避免設在建筑物的頂層或地下室,受條件限制必須將機房場地設置在建筑物的頂層或地下室時,必須加強防水和防潮措施。
3.1.1.2. 物理訪問控制
機房應設置單獨出入口,出入口配置電子門禁系統,并對進入的人員進行控制、鑒別和記錄,而不僅僅是簡單地通過門禁限制人員的出入,必須有身份鑒別系統,通過授權管理,只有通過身份認證的合法人員方可進出門禁控制區域,從物理訪問上加強對機房的管理。
3.1.1.3. 防盜竊和防破壞
將等級保護對象中的信息設備或主要部件安裝在機房機架中,使用導軌、機柜螺絲等方式進行固定,并在設備的明顯位置粘貼固定簽進行標記;將通信線纜鋪設在隱蔽處,不隨意放置,從而降低被盜竊和被破壞的風險,譬如在機房內可鋪設在地下或管道中,在機房外可鋪設在豎井、橋架中;機房配備防盜報警系統或視頻監控系統,并設置有專人值守。
對機房的防盜竊和防破壞也可以采用一些手段或技術輔助措施的智能化落地,如部署信銳紅外人體感應傳感器,通過紅外人體感應和對接視頻監控系統,可實現在人員入侵的時候,聯動攝像頭進行抓拍圖片,實現入侵抓拍防盜。同時,可通過額外軟件定制開發,實現直接在信銳物聯網平臺上直接跳轉到監控頁面。
3.1.1.4. 防雷擊
各類機柜、設施和設備等通過接地系統安全接地,接地設置專用地線或交流地線,對于交流供電的系統設備的電源線,應使用三芯電源線,其中地線應與設備的保護接地端連接牢固;機房內采取防止感應雷措施,例如配電柜中安裝防雷保安器或過壓保護裝置等,同時防止感應雷裝置需要通過驗收或國家有關部門的技術檢測,機房內所有的設備和部件應安裝在設有防雷保護的范圍內。
3.1.1.5. 防火
機房內配備火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火,同時設有備用電源啟動裝置,保障在停電的狀態下依然能夠正常使用滅火系統進行滅火;機房及相關的工作房間和輔助房土建施工和內部裝修采用具有耐火等級的建筑材料,且耐火等級不低于相關規定的耐火等級;同時對機房劃分區域進行管理,可以劃分為脆弱區、危險區和一般要求區三個區域,各區域之間設置隔離防火措施。
通過信銳的煙霧探測器,能與原有消防系統形成互補,出現火災時進行多種方式人性化告警(短信、電話、語音、web大屏提醒等);針對最可能發生的電力火災,對原有空氣開關可能導致火災的漏電、短路、打火等情況進行徹底改進,通過物聯網空氣開關的方式,直接在用電異常問題進行預警并處理。
3.1.1.6. 防水和防潮
機房窗戶、屋頂和墻壁采取防水防潮措施防止雨水滲透;采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透,機房中最可能出現漏水的地方是空調冷凝水滲透,空調冷凝水滲水可采取安裝冷凝水排放箱的方式,通過提升泵提升后,引至大樓同層衛生間排水口,通過溫差結露滲水;機房安裝對水敏感的檢測儀表或元件檢測系統,對機房進行防水檢測和報警。
通過信銳的漏水檢測方案,可以對機房內的空調的冷凝水出水管的位置進行監測,在機房易漏水的下方或周圍鋪設漏水探測器,再將傳感器的輸出信號通過采集器傳輸到物聯網平臺,如果出現漏水的情況,系統在第一時間彈窗報警,同時發出APP、短信、電話告警報警,及時通知有關人員排除漏水故障。
3.1.1.7. 防靜電
機房內安裝防靜電地板或地面,安裝防靜電地面可用導電橡膠與建筑物地面粘牢,防靜電地面的體積電阻率均勻,并采用必要的接地防靜電措施;機房作業中采取措施防止靜電的產生,例如采用防靜電工作臺面、靜電消除器、佩戴防靜電手環等。
3.1.1.8. 溫濕度控制
機房內配備溫、濕度自動調節設施(空調系統),保證機房各個區域的溫、濕度變化的變化在設備運行、人員活動和其它輔助設備運行所允許的范圍之內。對設備布置密度大、設備發熱量大的主機房宜采用活動地板下送上回方式,空調系統無備份設備時,單臺空調制冷設備的制冷能力應留有15%~20%的余量,機房環境溫度建議保持在20℃~25℃,環境濕度建議保持在40%~55%。
溫濕度控制亦可部署專業的溫濕度傳感器,如信銳自主研發的室內型物聯網溫濕度傳感器或機架式物聯網溫濕度傳感器,對機房內重要區域/機柜內部的溫度、濕度進行實時監測,溫濕度傳感器(根據實際需要可以選擇有線或無線的方案)采集機房內的溫度、濕度信息,實時顯示溫度、濕度變化情況。支持采集當前環境溫度,通過溫度的變化可以聯動空調設備進行環境改善,同時也可以通過上層平臺進行物聯策略設置,智能化調節室內溫度。支持采集環境濕度,通過濕度的變化可以聯動加濕器、除濕器等設備進行環境改善,同時也可以通過上層平臺進行物聯策略設置,智能化調節室內濕度。
3.1.1.9. 電力供應
機房建立獨立配電系統,供電線路上配備穩壓器和過電壓防護設備,保證機房供電電源質量符合相關規定要求;機房內建立UPS不間斷供電系統,為機房內信息設備備用電力供應,保障信息設備在公用電網供電中斷情況下,關鍵業務服務的持續性;機房設置冗余或并行的電力電纜線路為計算機系統供電。
3.1.1.10. 電磁防護
機房內部綜合布線的配置應滿足實際的需求,電源線應盡可能遠離通信線纜,避免并排鋪設,當不能避免時,應采取相應的屏蔽措施,避免互相干擾;建立屏蔽機房或機房采取屏蔽機柜等措施對關鍵設備或者關鍵區域實施電磁屏蔽,防止外部電磁場對計算機及設備的干擾,同時也抑制電磁信息的泄漏;機房內綜合布線電纜與附近可能產生電磁泄漏設備的最小平行距離應大于1.5m以上,機房到桌面的信息傳輸可采用光纖信道或六類屏蔽雙絞線的布線方式。
3.1.2. 安全通信網絡防護設計
依據等級保護要求第三級中網絡和通信安全相關安全控制項,結合安全通信網絡對通信安全審計、通信數據完整性/保密性傳輸、遠程安全接入防護等安全設計要求,安全通信網絡防護建設主要通過通信網絡安全傳輸、通信網絡安全接入,及通信網絡安全審計等機制實現。
3.1.2.1. 網絡架構
網絡層架構設計應重點關注以下方面:
? 主要網絡設備、安全設備(如核心交換機、核心路由器、關鍵節點安全設備等)的業務處理能力應能滿足業務高峰期需要,保證各項業務運行流暢。如主干網絡需要采用包括設備冗余、鏈路冗余的網絡架構,以滿足業務連續性需求。
? 網絡帶寬應能滿足業務高峰期的需求,保證各業務系統正常運行的基本帶寬。
? 劃分不同的子網,按照方便管理和控制的原則為各子網、網段分配地址段。
? 避免將重要網絡區域部署在網絡邊界處且沒有邊界防護措施。
3.1.2.2. 通信網絡安全傳輸
通信安全傳輸要求能夠滿足業務處理安全保密和完整性需求,避免因傳輸通道被竊聽、篡改而引起的數據泄露或傳輸異常等問題。
通過采用VPN技術而形成加密傳輸通道,即能夠實現對敏感信息傳輸過程中的信道加密,確保信息在通信過程中不被監聽、劫持、篡改及破譯;保證通信傳輸中關鍵數據的的完整性、可用性。
3.1.2.3. 可信驗證
可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心。
3.1.2.4. 遠程安全接入防護
針對有遠程安全運維需求,或者遠程安全訪問需求的終端接入用戶而言,應采用VPN安全接入技術來滿足遠程訪問或遠程運維的安全通信要求,保證敏感/關鍵的數據、鑒別信息不被非法竊聽、暴露、篡改或損壞。
3.1.2.5. 通信網絡安全審計
通信網絡安全審計需要啟用/設置安全審計功能,將用戶行為和重要安全事件進行安全審計,并統一上傳到安全審計管理中心。
同時,審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生(如部署NTP服務器),以確保審計分析的正確性。
3.1.3. 安全區域邊界防護設計
依據等級保護要求第三級中網絡和通信安全相關控制項,結合安全區域邊界對于區域邊界訪問控制、區域邊界包過濾、區域邊界安全審計、區域邊界完整性保護等安全設計要求,安全區域邊界防護建設主要通過網絡架構設計、安全區域劃分,基于地址、協議、服務端口的訪問控制策略;通過安全準入控制、終端安全管理、流量均衡控制、抗DDoS攻擊、惡意代碼防護、入侵監測/入侵防御、APT攻擊檢測防護、非法外聯/違規接入網絡、無線安全管理,以及安全審計管理等安全機制來實現區域邊界的綜合安全防護。具體如下:
3.1.3.1. 邊界防護
網絡劃分安全區域后,在不同信任級別的安全區域之間形成了網絡邊界。目前存在著互聯網、跨邊界的攻擊種類繁多、破壞力也比較強。要在劃分的不同域之間部署相應的邊界防護設備進行防護。
通過部署邊界防護設備保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信,對非授權設備私自聯到內部網絡的行為進行檢查或限制,來自內部用戶非授權聯到外部網絡的行為進行檢查或限制,并限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
3.1.3.2. 訪問控制
依據等級保護要求第三級中網絡和通信安全相關安全要求,區域邊界訪問控制防護需要通過在網絡區域邊界部署專業的訪問控制設備(如下一代防火墻、統一威脅網關等),并配置細顆粒度的基于地址、協議和端口級的訪問控制策略,實現對區域邊界信息內容的過濾和訪問控制。
3.1.3.3. 入侵防護
區域邊界網絡入侵防護主要在網絡區域邊界/重要節點檢測和阻止針對內部的惡意攻擊和探測,諸如對網絡蠕蟲、間諜軟件、木馬軟件、溢出攻擊、數據庫攻擊、高級威脅攻擊、暴力破解等多種深層攻擊行為,進行及時檢測、阻止和報警。
3.1.3.4. 邊界惡意代碼防護和垃圾郵件防范
網絡區域邊界的惡意代碼防范工作是在關鍵網絡節點處部署網絡防病毒網關/防垃圾郵件網關對惡意代碼和垃圾郵件進行及時檢測和清除,或在下一代防火墻/統一威脅網關中啟用防病毒模塊/防垃圾郵件模塊,并保持網絡病毒庫和垃圾郵件庫的升級和更新。
3.1.3.5. 安全審計
區域邊界安全審計需要對區域網絡邊界、重要網絡節點進行用戶行為和重要安全事件進行安全審計,并統一上傳到安全審計管理中心。
同時,審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生(如部署NTP服務器),以確保審計分析的正確性。
3.1.3.6. 可信驗證
可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心。
3.1.3.7. 帶寬流量負載管理
考慮到網絡架構中業務應用系統帶寬分配和處理能力需要,以及針對業務應用系統中資源控制要求,通過專業流量負載均衡或應用交付系統能夠有效支撐網絡鏈路負載、服務器負載、應用協議優化與加速,保障流量帶寬資源的合理管控。
3.1.3.8. 無線網絡安全管理
無線網絡安全管理主要用于限制和管理無線網絡的使用,確保無線終端通過無線邊界防護設備認證和授權后方能接入網絡。無線網絡安全管理通常包括無線接入、無線認證、無線防火墻、無線入侵防御、無線加密、無線定位等技術措施。
3.1.3.9. 抗DDoS攻擊防護
作為第一道安全防線,異常流量及抗DDoS攻擊防護能夠通過分析網絡中的網絡流信息(包括NetFlow、sFlow等),及時發現針對網絡中特定目標 IP 的DDoS攻擊等異常流量,通過流量牽引的方式將DDoS攻擊等異常數據流清洗處理,將干凈的流量回注到網絡環境中繼續轉發。
3.1.3.10. APT攻擊檢測防護
高級持續性威脅(APT)通常隱蔽性很強,很難捕獲。而一旦APT攻擊滲透進網絡內部,建立起橋頭堡,然后在相當長一段時間內,十分隱蔽地盜取敏感數據信息或實施重大破壞行動,潛在危害極大。高級可持續性威脅APT攻擊檢測能夠對此類安全威脅具有細粒度檢測效果,可實現對未知惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等攻擊利用行為的檢測。
3.1.3.11. 違規外聯/安全接入控制
針對終端計算機非授權連接外部網絡,或者未經安全檢測和授權而隨意接入網絡中的情況,通常是采用安全準入控制和違規外聯控制技術來進行檢查和控制。違規外聯控制能夠及時監測終端計算機違規連接外網/互聯網的終端訪問行為,并及時進行阻斷和報警;安全準入控制能夠對接入到內部網絡中的終端計算機進行安全檢查,使其必須滿足一定安全基線要求、經過認證授權的情況下方能使用網絡系統,保障網絡區域邊界的完整性保護。
3.1.4. 安全計算環境防護設計
依據等級保護要求第三級中設備和計算安全、應用和數據安全等相關安全控制項,結合安全計算環境對于用戶身份鑒別、自主與標記訪問控制、系統安全審計、惡意代碼防護、安全接入連接、安全配置檢查等技術設計要求,安全計算環境防護建設主要通過身份鑒別與權限管理、安全通信傳輸、主機安全加固、終端安全基線、入侵監測/入侵防御、漏洞掃描、惡意代碼防護、Web應用攻擊防護、網絡管理監控、安全配置核查、安全審計,重要節點設備冗余備份,以及系統和應用自身安全控制等多種安全機制實現。具體如下:
3.1.4.1. 身份鑒別
身份鑒別與權限授權是對網絡設備、主機系統、數據庫系統、業務應用系統等實現雙因素身份認證及操作權限分配管理。如采用PKI/CA系統、安全堡壘機、4A平臺系統等。
3.1.4.2. 安全審計
主機系統、數據庫和應用組件啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。如部署日志審計系統,通過日志審計系統收集操作系統、網絡設備、中間件、數據庫和安全設備運行和操作日志,集中管理,關聯分析。
同時,審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生(如部署NTP服務器),以確保審計分析的正確性。
3.1.4.3. 入侵防范
網絡入侵監測/入侵防御主要用于檢測和阻止針對內部計算環境中的惡意攻擊和探測,諸如對網絡蠕蟲、間諜軟件、木馬軟件、數據庫攻擊、高級威脅攻擊、暴力破解、SQL注入、XSS、緩沖區溢出、欺騙劫持等多種深層攻擊行為進行深入檢測和主動阻斷,以及對網絡資源濫用行為(如P2P上傳/下載、網絡游戲、視頻/音頻、網絡炒股)、網絡流量異常等行為進行及時檢測和報警。
3.1.4.4. 惡意代碼防范
惡意代碼是指以危害信息安全等不良意圖為目的的程序或代碼,它通常潛伏在受害計算機系統中伺機實施破壞或竊取信息,是安全計算環境中的重大安全隱患。其主要危害包括攻擊系統,造成系統癱瘓或操作異常;竊取和泄露文件、配置或隱私信息;肆意占用資源,影響系統、應用或系統平臺的性能。惡意代碼防護能夠具備查殺各類病毒、木馬或惡意軟件的服務能力,包括文件病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。
3.1.4.5. 可信驗證
可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心。
3.1.4.6. 數據完整性
數據完整性指傳輸和存儲的數據沒有被非法修改或刪除,也就是表示數據處于未受損未丟失的狀態,它通常表明數據在準確性和可靠性上是可信賴的。其安全需求與數據所處的位置、類型、數量和價值有關,涉及訪問控制、消息認證和數字簽名等安全機制,具體安全措施包括防止對未授權數據進行修改、檢測對未授權數據的修改情況并計入日志、與源認證機制相結合以及與數據所處網絡協議層的相關要求相結合等。
數據完整性保障技術的目的是對數據完整性進行預防和恢復。預防是指對威脅數據完整性的各種不利因素采取預防措施,如常用的數據備份等;恢復是指在數據遭受損失或破壞后,采取有效的恢復技術,使得被破壞的數據盡快得到恢復。確保數據完整、正確性的方法包括數據校驗技術、數字簽名技術等。
1) 數據校驗
數據校驗技術是為了保證數據的完整性,用一種指定的算法對原始數據計算出的一個校驗值。接收方用同樣的算法計算一次校驗值,如果和原始數據提供的校驗值一樣,就說明數據是完整的。
1) 數字簽名
數字簽名是為了保證對信息主體的認證,以實現信息的真實性、完整性和不可抵賴性,它提供了一種保護電子文檔的真實性和完整性的方法。在公鑰機制下,數字簽名通過一個單項函數對要傳送的報文進行處理,得到用以核實報文是否發生變化的一個字母數字串,以此來判斷報文的完整性。在私鑰機制下,通過專屬私鑰加密報文,接收方只能通過對應公鑰進行解密,證明該報文的真實來源,用以核實報文的不可抵賴性。
對等級保護對象的用戶數據完整性防護,重點體現在數據庫中的結構化數據上。對數據完整性的保護體現在兩個方面。一方面,在數據的存儲與操作時,在數據庫管理系統中,利用對數據表的主鍵、外鍵來保障數據完整性;另一方面,在數據的傳輸時,應盡量利用身份認證系統、數字簽名、VPN等加密技術,保障數據傳輸的完整性。
3.1.4.7. 數據保密性
數據保密性是指防止信息被未經授權者訪問和防止信息在傳遞過程中被截獲并解密的功能。
數據保密性可分為動態信息保密性和靜態信息保密性。動態信息保密性表現為數據在傳輸過程中的保密性,而靜態信息保密性表現為數據在存儲過程中的保密性。
1) 動態數據加密
在動態數據保密性方面,通過部署VPN、安全通信協議或其他密碼技術等措施實現數據傳輸過程中的保密性防護,如通過VPN實現同城/異地備份中心的傳輸加密。
對鑒別信息、重要業務數據和重要個人信息進行加密傳輸,即確保傳輸的數據是加密后傳輸。
2) 靜態數據加密
在靜態數據保密性方面,一般通過密碼加密技術實現數據存儲過程中的保密性防護。對于特別重要的數據,使用數據加密系統或其他加密技術實現關鍵管理數據、鑒別信息以及重要業務數據存儲的保密性。
對存放在關系型數據庫中的原始數據,建議使用國產密碼算法技術對數據的存取進行加解密操作。
3.1.4.8. 數據備份恢復
數據備份恢復作為網絡安全的一個重要內容,其重要性卻往往被人們忽視,只要發生數據傳輸、存儲和交換,就有可能產生數據故障,如果沒有采取數據備份和災難恢復的手段與措施,就會導致數據丟失并有可能造成無法彌補的損失。一旦發生數據故障,組織就陷入困境,數據可能被損壞而無法識別,而允許恢復時間可能只有短短幾天或更少。如果系統無法順利恢復,最終可能會導致無法想象的后果。因此組織的信息化程度越高,數據備份和恢復的措施就越重要。
1) 數據備份
數據備份是為了在系統出現故障時,能夠確保恢復整個系統,因此需要制定詳細的備份策略,明確何時進行備份、用什么備份方法、備份哪些數據等。目前采用最多的備份策略主要有以下三種。
a) 完全備份
備份全部選中的文件夾,不依據文件的存檔屬性來確定備份哪些文件。在備份過程中,任何現有的標記都將被清除,每個文件都被標記為已備份。
a) 差異備份
差異備份是相對于完全備份而言,它只備份上一次完全備份后發生變化的所有文件。差異備份過程中,只備份有標記的那些選中的文件和文件夾。它不清除標記,即備份后不標記為已備份文件。
b) 增量備份
增量備份是針對上一次備份的,即備份上一次備份后所有發生變化的文件。增量備份過程中,只備份有標記的選中的文件和文件夾,它清除標記。
3) 數據異地備份
從地理位置上來看,異地備份提供了一種新的備份方式,使得備份后的數據不一定要保存在本地,也可保存在網絡上的另一服務器上,這種方式是將數據在另外的地方實時產生一份可用的副本,此副本的使用不需要做數據恢復,可立即投入使用。數據異地備份的數據復制主要有如下幾種實現方式:
a) 基于主機
基于主機的數據復制技術是在異地的不同主機之間,不考慮存儲系統的同構問題,只要保持主機是相同的操作系統即可進行數據的復制。此外,目前也存在支持異構主機之間的數據復制軟件,可以支持跨越廣域網的遠程實時復制。
c) 基于存儲系統
基于存儲系統的數據復制技術是利用存儲系統提供的數據復制軟件進行數據的復制,復制的數據流在存儲系統之間傳遞,和主機無關。
d) 基于光纖交換機
基于光纖交換機的數據復制技術是利用光纖交換機的功能,或者利用管理軟件控制光纖交換機,首先對存儲系統進行虛擬化,然后管理軟件對管理的虛擬存儲池采用卷管理、卷復制和卷鏡像等技術,來實現數據的遠程復制。
e) 基于應用的數據復制
基于應用的數據復制技術有一定局限性,一般只能針對特定的應用使用,主要利用數據庫自身提供的復制模塊來完成異地數據的備份。
4) 數據恢復
恢復是備份的逆操作,但恢復的操作比備份復雜,也容易出問題。數據恢復策略主要有如下幾種:
a) 完全恢復
將備份策略指定備份的所有數據,恢復到原來的存儲池。主要用于災難、系統崩潰和系統升級等情況。
f) 個別文件恢復
對指定的文件進行恢復。在個別文件被破壞,或想要某個文件備份時的版本等情況下,進行個別文件恢復操作。
g) 重定向恢復
將所備份的文件,恢復到指定的存儲位置,而不是備份時的位置。重定向恢復可以是完全恢復,也可以是個別文件恢復。
5) 重要數據處理系統熱冗余
備份與恢復包括兩方面內容,一方面是數據備份與恢復,另一方面是重要數據處理系統(關鍵網絡設備、安全設備、應用服務器和數據庫服務器等)熱冗余,重要數據處理系統的冗余對數據備份起到重大作用,為數據的備份和恢復提供支持,保證系統的高可用性。
3.1.4.9. 剩余信息保護
1) 內存中的剩余信息保護
內存中剩余信息保護的重點是:在釋放內存前,將內存中存儲的信息刪除,也即將內存清空或者寫入隨機的無關信息。通常情況下,應用系統在使用完內存中信息后,是不會對其使用過的內存進行清理的。這些存儲著信息的內存在程序的身份認證函數(或者方法)退出后,仍然存儲在內存中,如果攻擊者對內存進行掃描就會得到存儲在其中的信息。為了達到對剩余信息進行保護的目的,需要身份認證函數在使用完用戶名和密碼信息后,對曾經存儲過這些信息的內存空間進行重新的寫入操作,將無關(或者垃圾)信息寫入該內存空間,也可以對該內存空間進行清零操作。
2) 硬盤中的剩余信息保護
硬盤中剩余信息保護的重點是:在刪除文件前,將對文件中存儲的信息進行刪除,也即將文件的存儲空間清空或者寫入隨機的無關信息。
在應用系統剩余信息保護的檢測方面,主要從訪談、檢查和測試三部分分別描述。
1)訪談
詢問應用系統開發人員,是否對應用系統中的剩余信息進行了保護。如果開發人員連剩余信息保護的概念都不清楚,那么也就不可能對剩余信息進行保護。
2)檢查
查看源代碼,看在內存釋放或者刪除文件前,應用系統是否進行了處理。檢查應用系統操作手冊中是否有相關的描述。
3)測試
為了確認內存中是否有剩余信息,可以在采用內存掃描軟件(或者內存監視軟件)進行掃描。對于存儲在磁盤中的文件,可以嘗試在應用系統刪除文件后,用恢復軟件恢復文件,并對比恢復文件和原文件。
3.1.4.10. 個人信息保護
等級保護對象中業務系統在需要采集個人信息時,應當僅采集和保存必需的用戶個人信息,與業務無關的個人信息應當禁止被業務系統或其組件采集。可以采用上網行為管理等設備的部署或應用安全配置項,通過訪問控制限制對用戶信息的訪問和使用進行限制,實現禁止未授權訪問和非法使用用戶個人信息。同時,組織應當按照等級保護相關要求,制定保障個人信息安全的管理制度和流程,嚴格按照個人信息保護管理制度和流程進行操作,對違反個人信息保護管理制度和流程的人員進行處罰,保障用戶個人隱私數據信息和利益不受到侵害。
采集的個人信息包括但不限于:姓名、性別、年齡、電話、地址等個人隱私數據,應當按照法律法規要求妥善保管,必要時采取加密措施對數據的傳輸和存儲進行加密處理,以保障用戶的個人數據不會被泄露或篡改。按照工作職能和人員的崗位職責分配業務系統賬號和訪問權限,保證業務系統數據庫內存儲的數據信息不被用戶越權訪問。
3.1.4.11. 安全通信傳輸
通過VPN技術能夠在管理終端與主機設備之間創建加密傳輸通道,實現遠程接入數據安全傳輸服務,保證數據傳輸的完整性和保密性。
通過將VPN安全系統與安全堡壘機系統相互關聯和聯動,能夠實現網絡設備、主機系統、數據庫等重要設備的遠程安全管理,防止鑒別信息在網絡傳輸過程中被惡意竊聽。
3.1.4.12. 主機安全加固
主機操作系統安全加固不僅能夠實現基于文件自主訪問控制,對服務器上的敏感數據設置訪問權限,禁止非授權訪問行為,保護服務器資源安全;更是能夠實現文件強制訪問控制,即提供操作系統訪問控制權限以外的高強度的強制訪問控制機制,對主客體設置安全標記,授權主體用戶或進程對客體的操作權限,有效杜絕重要數據被非法篡改、刪除等情況的發生,確保服務器重要數據完整性不被破壞。
3.1.4.13. 終端安全基線
通過終端安全基線管理能夠對終端計算機的基礎安全和使用控制實現自動化安全管理和防護,包括操作系統安全加固、關閉不必要的服務、端口、共享和來賓組等,為不同用戶開放相應權限,防止安裝不必要的應用軟件;對終端外設接口、外聯設備及使用的監視、有效控制計算機的資源利用率;實現系統密碼口令安全策略管控、系統資源文件使用訪問控制、終端計算機基礎資源使用監控等安全功能。
3.1.4.14. 漏洞檢測掃描
漏洞掃描技術能夠對網絡主機(如服務器、客戶機、網絡打印機)、操作系統(如Microsoft Windows 系列、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等)、網絡設備、應用系統(如Web應用、FTP、電子郵件等)、常用軟件(如Office、Symantec、McAfee、Chrome、IE等)、網站開源架構(如phpmyadmin、WordPress 等)、主流數據庫(SQL Server、Oracle、Sybase、DB2、MySQL等)進行系統漏洞、應用漏洞、安全配置掃描和檢測,及時發現網絡中各類設備和系統的安全脆弱性,提出修復和整改建議,保障設備和系統自身安全性。
3.1.4.15. Web應用安全防護
Web安全應用保護能夠防止包括CGI漏洞掃描攻擊、SQL注入攻擊、XSS攻擊、CSRF攻擊防護,以及Cookie篡改防護、網站盜鏈防護、網頁掛馬防護、WebShell防護等各種針對Web系統的入侵攻擊行為,結合網頁防篡改技術實現系統運行過程中重要程序或文件完整性檢測和恢復。
3.1.4.16. 主機運行監控
針對重要節點的遠程運行資源監視,包括監視CPU、硬盤、內存等資源使用情況,以及業務應用系統運行環境資源狀況可以通過網絡監控系統進行遠程在線實時監測,實現重要節點服務水平降低到預先規定的閾值時進行報警,保障業務應用運行環境的可靠性和可用性。
3.1.4.17. 安全配置核查
在IT系統中,由于服務和軟件的不正確部署和配置會造成安全配置漏洞,入侵者會利用這些安裝時默認設置的安全配置漏洞進行操作從而造成威脅。特別是在當前網絡環境中,無論是網絡運營者,還是網絡使用者,均面臨著越來越復雜的系統平臺、種類繁多的重要應用系統、數據庫系統、中間件系統,很容易發生管理人員的配置操作失誤造成極大的影響。由此,通過自動化的安全配置核查服務能夠及時發現各類關鍵資產的不合理策略配置、進程服務信息和環境參數等,以便及時修復。
3.1.5. 安全管理中心設計
依據等級保護要求第三級中網絡和通信安全相關安全控制項,結合安全管理中心對系統管理、審計管理、安全管理和集中管控的設計要求,安全管理中心建設主要通過網絡管理系統、綜合安全管理平臺等機制實現。
3.1.5.1. 系統管理
系統管理主要是對等級保護對象系統運行維護工作。為了保障等級保護對象信息系統網絡和數據不被入侵和破壞,對系統進行維護時使用加密傳輸,例如使用SSH登錄,禁止Telnet明文傳輸,為了加強系統管理過程中的安全性,建議部署安全運維審計系統,通過運維審計系統對網絡和服務器資源的直接訪問進行管控和審計。在對等級保護對象日常維護時,切斷運維終端對目標資源的直接訪問,必須經過運維審計系統,對資源的訪問進行記錄和審計。
可通過在運維管理域中部署運維審計系統,將重要信息系統資產的地址均納入到運維管理系統的管理范圍,通過運維審計系統使用系統管理員賬號對系統的資源和運行進行配置、控制和管理,包括用戶身份管理、系統資源配置、系統加載和啟動、系統運行的異常處理以及支持管理本地和異地災難備份與恢復等。
3.1.5.2. 審計管理
審計管理主要負責對系統的審計數據進行記錄、查詢、統計、分析,實現對系統用戶行為的監測和報警功能,能夠對發現的安全事件或違反安全策略的行為及時告警并采取必要的應對措施。
審計管理的范圍包括對人員操作、網絡設備、安全設備、主機、操作系統、中間件、數據庫等網絡和系統資源進行綜合審計管理。
可通過在運維管理域中部署網絡安全審計、日志審計和數據庫審計等相關審計設備開展安全事件分析和安全審計工作,并在審計設備上設置獨立的審計管理員角色,由信息部門相關技術人員擔任,根據審計工作內容為審計管理員分配審計權限。通過審計管理員對分布在系統各個組成部分的安全審計機制進行集中管理,審計管理員主要負責對審計日志進行分類、查詢和分析,并根據審計結果對安全事件進行處理,在事件處理完成后提供安全事件審計報告。信息部門應在安全策略里明確安全審計策略,明確安全審計的目的、審計周期、審計賬號、審計范圍、審計記錄的查詢、審計結果的報告等相關內容,并按照安全審計策略對審計記錄進行存儲、管理和查詢。
3.1.5.3. 安全管理
安全管理主要負責實現系統的統一身份管理、統一授權管理,并配置一致的安全策略,對相關安全事項進行集中管理和分析,實現對安全事件的監測與分析。
可通過在運維管理域中部署運維審計系統,建立統一運維的安全管理入口,同時,運維審計系統應部署在管理平面,實現和業務數據的隔離。運維審計系統主要實現如下功能:
1) 集中賬號管理:建立基于唯一身份標識的全局實名制管理,支持統一賬號管理策略,實現與各服務器、網絡設備等無縫連接;
6) 集中訪問控制:通過集中訪問控制和細粒度的命令級授權策略,基于最小權限原則,實現集中有序的運維操作管理;
7) 集中安全審計:基于唯一身份標識,通過對用戶從登錄到退出的全程操作行為進行審計,監控用戶對目標設備的所有敏感操作,聚焦關鍵事件,實現對安全事件的及時發現預警,并準確可查。
3.1.5.4. 集中管控
根據建立統一的縱深防御體系的要求,應建立安全管理中心,實現對定級系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡的安全機制實施統一管控,確保系統安全可靠運行。安全管理中心是一個集合的概念,由安全管理區域或平臺實現,核心是實現所有安全機制的統一集中管理。
在等級保護對象網絡中按照安全域分域防護原則,單獨劃分特定的運維管理域,該區域部署所有涉及到網絡安全的設備或組件,包括終端安全管理系統、威脅感知系統、日志審計系統、數據庫審計系統、運維審計系統和漏洞掃描系統等,對分布在網絡中的安全設備或安全組件進行集中管控。
在對路由器、交換機、防火墻和其他網絡和安全設備進行遠程運維時應采用加密技術措施對數據包進行加密傳輸,可通過運維審計系統實現安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理。
部署綜合網絡管理平臺或安全管理平臺對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測,監測內容包括設備故障管理、配置參數管理、設備性能管理和設備安全管理等。
部署日志審計系統,對分散在各個設備上的審計數據進行收集匯總和集中分析,并安排專人定期對系統日志進行集中分析,設備日志留存時間至少要6個月以上。
部署網絡防病毒系統及補丁分發系統,對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。
部署檢測探針 安全感知平臺建立網絡安全通報預警體系,對網絡中發生的各類安全事件進行識別、報警和分析,一旦出現安全事件,應立即通過郵件、短信、聲光等方式進行報警,形成快速告警、通報、響應、處置機制。
4. 管理體系設計方案
4.1. 安全通用要求安全管理防護體系設計
4.1.1. 安全管理制度設計
安全策略和審計制度是對信息安全目標和工作原則的規定,其表現形式是一系列安全策略體系文件。安全策略和審計制度是信息安全保障體系的核心,是信息安全管理工作、技術工作和運維工作的目標和依據。具體安全策略和審計制度可參考以下內容建設:
4.1.1.1. 安全策略
制定適合本單位信息系統網絡安全工作的總體方針和安全策略,明確本單位安全工作的總體目標、范圍、原則和安全框架等安全策略。實現信息系統安全可控的原則,并依照“分區、分級、分域”的總體安全防護策略,執行信息系統安全等級保護制度。
4.1.1.2. 管理制度
制定安全管理活動中各類管理內容建立安全管理制度,制定管理人員或操作人員執行的日常管理操作建立操作規程,并形成安全策略、管理制度、操作規程、記錄表單四級制度體系。其中包括各個安全區域網絡設備、安全設備、主機系統、數據庫和應用程序應遵守的安全配置和管理技術標準和規范。標準和規范應作為網絡設備、安全設備、主機系統和應用程序的安裝、配置、維護、評審遵照的標準,不允許違規操作。
4.1.1.3. 制定和發布
指定或授權專門的部門和人員負責安全管理制度的制定和發布,安全管理制度在應通過正式、有效的方式發布,并進行版本控制;安全制度文檔制定和發布后,必須有效執行。發布和執行過程中要得到管理層的大力支持和推動,并要求發布和執行前對每個人員都要做與其相關部分的充分培訓,保證每個人員都熟知與其相關部分的內容。
設立信息安全管理工作的職能部門,設立安全主管人、安全管理各個方面的負責人,定義各負責人的職責;設立系統管理人員、網絡管理人員、安全管理人員崗位,定義各工作崗位的職責;成立指導和管理信息安全工作的委員會或領導小組,其最高領導應由單位主管領導委任或授權;制定文件明確安全管理機構各部門和崗位的職責、分工和技能要求;配備安全管理專職人員,不可兼任;授權審批部門及批準人,對關鍵活動進行審批;建立各審批事項的審批程序,按照審批程序執行審批過程;
4.1.1.4. 評審和修訂
定期對安全管理制度的合理性和適用性進行論證和審定,對存在的不足或需要改進的安全管理制度進行修訂。至少每年(建議)或者業務系統、機構人員發生變化事及時進行評審和修訂,并做好修訂記錄。
4.1.2. 安全管理機構設計
安全管理機構管理建設是整個安全管理體系的重要部分。信息安全領導小組應由單位高層領導和有關部門的管理人員組成,負責協調、指導及管理信息安全各個方面的工作。
4.1.2.1. 崗位設置
設立指導和管理網絡安全工作的委員會或領導小組,最高領導由單位主管領導擔任或授權;設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并明確各負責人的職責;設立系統管理員、審計管理員和安全管理員等崗位,并明確部門及各個工作崗位的職責。
信息安全領導小組應履行如下職責:
? 就整個單位的信息安全策略方針和責任達成一致;
? 就信息安全的重要和原則性的方法、處理過程達成一致,并提供支持,如風險評估、信息分類方法等;
? 確保將安全作為制定業務系統建設和維護計劃的重要部分;
? 授權對安全控制措施是否完善進行評估,并協調新系統或新服務的特定信息安全控制措施的實施情況;
? 審查重大的信息安全事故,制定改進措施;
? 審核信息安全建設和管理的重要活動,如重要安全項目建設、重要安全管理措施出臺等。
4.1.2.2. 人員配備
設置網絡安全工作的部門,必須配備相應數量的系統管理員、審計管理員和安全管理員,依據三權分立的原則設置工作崗位;必須配備專職的安全管理員,不可兼任。
4.1.2.3. 授權和審批
制定授權和審批制度,根據各個部門和崗位的職責明確授權審批事項、審批部門和審批人;針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,重要活動建立逐級審批制度;定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息。并對審計記錄進行登記,定期進行檢查和審核。
4.1.2.4. 溝通和合作
加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題;加強與外部資源的溝通與合作,建立外部單位聯系表,以便及時獲取外部資源支持。
4.1.2.5. 審核和檢查
建立定期安全檢測制度,定期進行常規安全檢查,檢查內容包括系統日常運行、系統漏洞、設備性能、網絡狀況和數據備份等情況,檢查內容覆蓋技術、管理、策略等,并對檢查結果進行分析,形成報告,并對結果進行通報。
4.1.3. 安全人員管理設計
安全人員管理是加強對安全人員的管理,人員錄用、人員離崗、安全人員的安全意識教育和培訓,以及外部人員訪問管理。
4.1.3.1. 人員錄用
需要有專人或部門負責人員錄用,需要對專業技能、身份、背景、專業資格資質進行審核,并確定保密協議和崗位責任協議,并對被錄用人員所具有的技術技能進行考核。
4.1.3.2. 人員離崗
人員離崗及時終止各種權限,回收各類訪問權限、軟硬件設備,履行離職手續,并簽訂離職保密協定。
4.1.3.3. 安全意識教育和培訓
針對不同崗位人員制定不同培訓計劃,對安全意識、安全基礎知識、崗位操作規程等安全相關技能進行培訓,并定期對不同崗位的人員進行技能考核,制定懲戒措施。
4.1.3.4. 外部人員訪問管理
制定外部人員訪問制度,制定訪問審批流程,訪問網絡申請流程,并登記白案,訪問結束立刻終止權限。高危系統訪問需簽訂保密協議。
4.1.4. 安全建設管理設計
安全建設管理應貫穿到信息系統整個生命周期,在系統審批、建設、安全定級與備案、安全方案設計、軟件開發與實施、驗收與測試、系統交付與等級測評,以及服務商選擇等過程均需要進行安全管理。
4.1.4.1. 定級備案
明確保護對象的安全保護等級及確定等級的方法和理由,并對保護對象組織相關部門和專家進行論證和審定,專家評審通過后,上報主管和相關部門批準,將備案材料上報公安機關備案。
4.1.4.2. 安全方案設計
根據保護對象的安全保護等級進行安全整體規劃和安全方案的設計,方案設計按照等級保護基本要求設計,滿足“一個中心、三重防護”的防護體系,并組織相關部門和安全專家對安全整體規劃進行論證和審定,經過批準后正式實施。
4.1.4.3. 產品采購和使用
根據網絡的安全保護等級和安全需求,采購使用符合國家法律法規和有關標準要求的網絡產品,并定期審定和更新候選產品名單。
4.1.4.4. 自行軟件開發
對于軟件開發,要確保將開發環境與實際運行環境物理分開,測試數據和測試結果收到控制;制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則;制定代碼編寫安全規范并要求開發人員參照規范編寫代碼;應具備軟件設計的相關文檔和使用指南,并對文檔使用進行控制;應保證在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測;應對程序資源庫的修改、更新、發布進行授權和批準,并嚴格進行版本控制;應保證開發人為專職人員,開發人員的開發活動受到控制、監視和審查。當軟件開發采取外包模式時,還需要開發單位提供軟件設計文檔、使用指南及軟件源代碼,并對軟件中可能存在的后門和隱蔽信道進行技術審查。
4.1.4.5. 外包軟件開發
要制定相應的外包軟件開發相關制度,按照制度執行,軟件在交付前要進行安全性檢測,測試其中可能存在的惡意代碼、后門和隱蔽通道;要保證開發單位提供軟件設計文檔和使用指南;需要開發開發提供軟件源代碼,并需跟軟件外包開發商簽訂保密協議。
4.1.4.6. 工程實施
在項目實施過程中,要指定或授權專門的部門或人員負責工程實施過程的管理,制定安全工程實施方案,并通過第三方工程監理控制項目的實施過程。
4.1.4.7. 測試驗收
在項目測試驗收階段,應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告;系統上線前還需要進行安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關內容。
4.1.4.8. 系統交付
系統交付使用時,應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點,并對負責運行維護的技術人員進行相應的技能培訓,還要提供建設過程文檔和運行維護文檔。
4.1.4.9. 等級測評
保護對象整改建設完成,需要測評機構對保護對象進行測評,測評機構應選擇具有測評資質的測評機構,測評機構必須符合國家的有關規定;在測評過程中,發現不符合等保保護標準要求的要及時進行整改,在保護對象發生重大變更或級別發生變化時要進行等級測評,對于三級及以上系統,測評通過后,每年都要進行一次等級保護測評。
4.1.4.10. 服務供應商選擇
服務供應商要選擇符合國家的有關規定的服務商,并與服務供應商簽到相關的協議,明確各方需要履行的網絡安全相關義務,成立項目小組對服務供應商提供的服務進行監督、評審和審核,并對變更內容進行控制。
4.1.5. 安全運維管理設計
安全運維管理是整個系統安全運營的重要環節,其內容涵蓋機房環境管理、資產管理、介質管理、設備管理、漏洞和風險管理、網絡及系統安全管理、惡意代碼防范、配置管理、密碼管理、變更管理、備份與恢復管理、安全應急處置,以及安全服務管理工作等內容。具體如下:
4.1.5.1. 環境管理
在機房環境管理中需要對機房供配電、空調、溫濕度控制等設施指定專人或專門部門定期進行維護管理;
同時還應建立機房安全管理制度,對機房人員出入、物品帶進帶出和機房環境安全等方面作出規定;配置電子門禁系統和監控錄像系統,對機房出入人員實行電子記錄和監控錄像。
4.1.5.2. 資產管理
針對資產管理,應建立資產安全管理制度,規定信息系統資產管理的責任人員或責任部門,規范資產管理和使用的行為;編制并保存與信息系統相關的資產、資產隸屬關系、安全級別和所處位置等資產清單。
同時應根據資產的重要程度對資產進行定性賦值和標識管理,根據資產的價值選擇相應的管理措施,確定信息分類與標識的原則和方法,對信息的使用、傳輸和存儲作出規定。
4.1.5.3. 介質管理
應建立介質安全管理制度,對介質存放環境、使用、維護和銷毀等方面作出規定;如介質的歸檔和查詢須有記錄,并對存檔介質的目錄清單定期盤點。除此之外,還應對存儲介質的數據安全進行管理和防范,具體如下:
? 對于需要送出維修或銷毀的介質,應采用多次讀寫覆蓋,清除介質中的敏感或重要數據,防止數據泄露;
? 根據數據備份需要對某些介質實行異地存儲,存儲地的環境要求和管理方法應與本地相同;
? 根據所承載數據和軟件的重要程度對介質進行分類和標識管理,并實行專人管理;
? 對介質物理運輸過程中人員選擇、打包、交付等情況進行控制;
? 保密性較高的信息存儲介質未經批準不得自行銷毀,銷毀時必須做到雙人監銷,銷毀記錄應妥善保存;
? 重要數據存儲介質帶出工作環境應采取加密方式,并進行監控管理;
? 對存放的介質定期進行完整性和可用性檢查,確認其數據或軟件沒有受到損壞或丟失。
4.1.5.4. 設備維護管理
? 對信息系統相關的各種設備、線路等指定專人或專門部門定期進行維護管理;
? 對信息系統的各種軟硬件設備的選型、采購、發放或領用等過程建立申報、審批管理規定;
? 對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理;
? 按操作規程實現服務器的啟動/停止、加電/斷電等操作,加強對服務器、網絡設備等重要設備或系統的日志文件檢查和監控;
? 建立軟硬件設備維護管理制度,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等;
4.1.5.5. 漏洞和風險管理
針對漏洞和風險管理,需要通過漏洞掃描系統對發現的系統安全漏洞進行及時修補;需要定期安裝最新補丁程序,對重要漏洞進行及時修補;定期開展安全測評,形成安全測評報告,采取措施應對發現的安全問題。
4.1.5.6. 網絡和系統安全管理
? 指定專人對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析處理工作;
? 對網絡設備和系統的安全策略維護、配置文件更改進行流程審批;
? 通過身份鑒別、訪問控制等措施限制遠程管理賬戶的操作行為;
? 指定專人對系統進行管理,刪除或者禁用不使用的系統缺省賬戶;
? 對能夠使用系統工具的人員及數量進行限制和控制;
? 根據業務需求和系統安全確定系統的訪問控制策略、文件及服務的訪問權限;
? 對系統賬戶進行分類管理,權限設定應當遵循最小授權要求;
? 對于賬戶安全管理的執行情況進行檢查和監督,定期審計和分析用戶賬戶的使用情況;
? 定期檢查違反規定無線上網及其他違反網絡安全策略的行為。
4.1.5.7. 惡意代碼防范管理
? 提高全體員工的網絡病毒、惡意代碼安全防范意識,及時升級防病毒軟件;
? 在讀取移動存儲設備上的數據以及接收文件或郵件之前,先進行病毒檢查;
? 對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確管理規定;
? 定期檢查惡意代碼庫的升級情況并進行記錄,對防病毒軟件、防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,形成書面報表和總結匯報。
4.1.5.8. 配置管理
應建立對包括網絡拓撲結構、設備和系統安裝的服務組件、組件版本和補丁信息、設備或系統的配置參數等進行記錄和保存的管理模式;建立配置信息變更流程,及時更新配置信息庫。
4.1.5.9. 密碼管理
密碼管理環節需要建立密碼使用管理制度,保證密碼算法使用符合國家密碼管理規定。
4.1.5.10. 變更管理
? 建立變更管理制度,重要系統變更前需經過申請審批,變更和變更方案經過評審、審批后方可實施變更;
? 應建立變更控制的申報和審批程序,如變更影響分析應文檔化,變更實施過程應記錄,所有文檔記錄應妥善保存;
? 應明確變更過程控制方法和人員職責,必要時恢復過程應經過演練;
4.1.5.11. 備份與恢復管理
? 識別需要定期備份的重要業務信息、系統數據及軟件系統等;
? 規定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質、保存期等;
? 根據數據的重要性和對系統運行的影響程度,制定數據備份和恢復策略;備份策略應指明備份數據的放置場所、文件命名規則、介質替換頻率和離站運輸的方法;
? 指定相應的負責人定期維護和檢查備份及冗余設備的運行狀況,確保需要接入系統時能夠正常運行;
? 建立數據備份和恢復過程控制程序,如備份過程應記錄,所有文件和記錄應妥善保存;
? 建立備份及冗余設備的安裝、配置、啟動、操作及維護過程控制的程序,如記錄設備運行過程狀況,所有文件和記錄應妥善保存;
? 定期執行恢復程序,檢查和測試備份介質的有效性,確保可在規定的時間內完成備份恢復。
4.1.5.12. 安全事件處置
? 制定安全事件報告和處置管理制度,如規定安全事件的現場處理、事件報告和恢復的管理職責;
? 了解本系統和同類系統已發生的安全事件,識別本系統需要防止發生的安全事件,如可能來自攻擊、錯誤、故障、事故或災難;
? 根據安全事件在本系統產生的影響,將安全事件進行等級劃分;
? 制定的安全事件報告和響應處理程序,如確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;
? 在安全事件響應處理過程中,應分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓。
4.1.5.13. 應急預案管理
? 應在統一應急預案框架下制定不同事件的應急預案。應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程,以及教育和培訓等內容;
? 應從人員、技術和財務等方面確保應急預案執行有足夠的資源保障;
? 進行人員進行培訓,以了解如何及何時使用應急預案中的控制手段及恢復策略,對應急預案的培訓至少每年舉辦一次;
? 應急預案須定期演練,應根據不同的應急恢復內容,確定演練周期。
4.1.5.14. 外包運維管理
? 應與外包運維服務商簽訂服務協議,約定外包運維的范圍和內容;
? 建立外包運維服務商審核評定機制,保證其在技術和管理方面具有等級保護要求的安全運維能力;
? 與外包運維服務商簽訂的協議中應明確所有安全要求,如可能涉及對敏感信息的訪問、處理、存儲要求,對基礎設施中斷服務的應急保障要求等。
4.1.5.15. 安全評估服務
安全風險評估服務將提供如下安全服務:
? 評估和分析網絡上存在的技術和管理風險;
? 梳理業務訪問關聯關系,分析業務運作和管理方面存在的安全缺陷;
? 調查信息系統的現有安全控制措施,評價業務安全風險承擔能力;
? 評價風險的優先等級,據此提出風險控制措施建議。
4.1.5.16. 滲透測試服務
現有業務系統的安全性與否可以通過滲透測試服務來進行測試和驗證;針對現有安全防御措施是否發生最大效用也可以通過滲透測試服務來檢測;
因此,通過滲透測試服務可以盡早發現現有安全技術和管理措施是否存在隱蔽性的安全弱點。
4.1.5.17. 源代碼審計服務
通過源代碼審計服務可以發現軟件代碼的隱形缺陷和編碼設計錯誤;
通過源代碼審計服務可以提供代碼安全性驗證,防止由于人為失誤或有意嵌入惡意代碼情況;還可以為軟件安全編碼提供技術指導和支持。
4.1.5.18. 安全加固服務
安全加固服務可以針對系統和網絡中存在的安全漏洞、配置錯誤、設計錯誤等安全問題進行安全性加固和修復。
4.1.5.19. 安全值守服務
安全值守服務是針對網絡中大量安全設備、安全措施、安全策略的日常維護和檢查,而自身安全運維力量比較薄弱的情況下量身定做的現場安全運維服務。采用安全值守服務可以有效保障系統及網絡安全運維的安全性和可靠性。
4.1.5.20. 安全培訓服務
安全培訓主要是從人員的角度出發來強化安全知識以增強抵御攻擊的能力,主要培訓建議如下:
? 安全基礎知識培訓:主要對普通人員提供個人計算機使用的基本安全知識,提高個人計算機系統的安全防范能力。
? 安全管理培訓:主要對安全管理員進行系統安全管理培訓,強化信息人員的安全技術水平。
? 安全技術培訓:主要針對安全運維人員、系統維護人員提供安全技能及相關安全技術知識培訓。
? 安全認證培訓:主要針對安全運維人員、網絡管理人員、系統管理人員提供系統化、體系化的安全知識技能培訓,并通過國家專業安全機構的資格認證考試,提供人員自身安全技術能力。
5. 所需設備
根據客戶實際情況進行編制。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。