1、XX市XX学院等级保护(三级)建设方案2017年1月目录、工程概况4二、需求分析4.1建设背景5.2、建设目标5.三、设计原则及依据7.1设计原则7.2设计依据8.四、方案整体设计9.1信息系统定级9.1、等级保护完全实施过程112.能力、措施和要求1.13、恭本安全要求124.系统的控制类和控制项125、物理安全保护要求136网络安全保护要求147.主机安全保护要求148,应用安全保护要求159、数据安全与备份恢复1610、安全管理制度1711、安全管理机构1712 人员安全管理1813 系统建设管理1814系统运维管理192、等级保护建设流程202、网络系统现状分析211、网络架.ta(t
2、tt212.可能存在的风睑223、等保三级对网络的要求231、结构安全232、访问控制243、安全审计244、边界完整性检查255、入侵防范256、恶意代码防范257、网络设备防护254、现状对比与整改方案261、现状对比262、控制点整改措施293、详细整改方案304、设备部署方案33五、 产品选型3.51 选型建议352 选型要求353 设备选型清单36六、 公司介绍.3.6一、工程概况信息安全等级保护是对信息和信息载体按照重要慢等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品系统、信息等均依据等级
3、保护思想的安全工作XX市XX学院是2008年元月,经自治区人民政府批准,国家教育部备窠的公办全日制高等职业技术院校.学院以高等职业教育为主,同时兼有中等职业教育职能.学院开拓办学思路,加大投入,改善办学条件,拓宽就业亲道,内引外联,确立了面向社会服务市场,重在培养学生的创新精神和实践能力的办学宗旨。学院本着让学生既成才,又成人的原则,优化人才培养模式,狠抓教育教学质,增强学生实践动手能力,注筌对学生加强德育和行为规葩教育,为企业和社会培养具有全面素质和烁合职业爱力的应用型专门人才.学院筮厚的师资力量、先进的教学设备、严格的日常管理、完善的文体设施、优质的后勤服务以及宽敞洁净的学生公寓和食堂,为
4、广大师生提供了优美、舒适、理想的学习生活和工作环境.信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程.信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功爱与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关.因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评.二、需求分析为了保障国家关谑基础设
5、施和佶息的安全,结合我国的基本国情,制定了等级保妒制度.并将等级保拧制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、箍护国家信息安全的根本保障。1、建设背景随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高,教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常圭要的地位.从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函
6、200980文件发出关于开展信息系统安全等级保护工作的通知”;教育部救盲管理信息中心发布教育信息系统安全等级保护工作方案3;教育部办公斤G印发关于开展教育系统信息安全等级保护工作专项检查的通知(教办厅函201080号)。XX市XX学院的网络系统在近几年逐步完芒,作为一个现代化的教学机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通.结合学校的“校务管理”、“教学科研”、“招生就业”、“综合服务”等业务信息平台,要求网络必须能够满足数据、语音、图像等媒合业务的传箱要求,所以在这样的网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。同时学校的网络系统中内部及外
7、部的访问量巨大,访问人员比较复杂,所以如何保证学校网络系坡中的数据安全问Sfi尤为生要.在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁.2、建设目标本次XX市XX学院业务系统等级保护安全建设的主要目标是:按照等级保护要求,结合实际业务系统,对学院核心业务系统进行充分调研及详细分析,将学院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台,建设
8、一套符合国家政策要求覆盖全面、圭点突出、持康运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保陞信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足学院信息安全要求,本方案的安全措施框架是依据“积极防御、综合防晒”的方针,以及“管理与技术井王”的原则,并结合等级保护基本要求进行设计.技术体系:网络层面:关注安全域划分、访问控制、抗拒绝服务攻击,针对区域边界采取防火墙进行隔廊,并在隔离后的各个安全区域边界执行严格的访问控制,防止非法访问;利用漏洞管理系统,网络安全审计等网络安全产品,为客户构建严密、专业的网络安全保障体系.应用
9、层面:WEB应用防火墙能够对WEB应用漏洞进行预先扫描,同时具备对SQ1.注入跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,典正达到双重层面的“网页防篱改”效果.数据层面,数据库将被降藏在安全区域,同时通过专业的安全加固服务对数据库进行安全评估和配置,对数据库的访问权限进行严格设定.最大限度保证数据库安全,同时,利用SAN远程数据备份系统有效保护重要数据信息的健康度,管理体系:在安全管理体系的设计中,我们借助丰富的安全咨询经物和对等级保护管理要求的清晰理解,为用户量身定做符合实际的、可操作的安全管理体系.安全服务体系:风险评估服务:评估和分析在网络上存在的安全技术分析,分析业
10、务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价用户的业务安全风险承担能力;安全监控服务:通过费深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议;渗透测试服务:利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟用客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户;应急响应服务:针对信息系统危机状况的紧急响应、分析、解决问题的服务,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施.方案收益实施信息安全等级保护建设工作可以为高校
11、信息化建设实现如下收益:有利于提高信息和信息系统安全建设的整体水平;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设悔调发展;有利于为信息系统安全建设和管理提供系统性针对性,可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配21.对信息系统分级实施保护,重点保障也要信息系统的安全;有利于明能信息安全责任,加强信息安全管理;有利于推动信息安全的发展三、设计原则及依据1、设计原则根据学院的要求和国家有关法规的要求,本系统方案设计遵循性能先进、质量可靠、经济实用的原则,为实现学院等级保护管理更定了基础.全面保障:信息安全风险的控制需要多角度、多层次,从各个
12、环节入手,全面的保障.整体规划,分步实施:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系.同步规划同步建设同步运行:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系烧带来危害.适度安全:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点.内外并组:安全工作需要做到内外并圣,在防葩外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计转力,标准化管理要规楚化,标准化,以保证在豌源行业庞大而多层次的组织体系中有效的控制风哙.技术与管理并支:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安
13、全管理,不断完芒各类安全管理规章制度和操作规程,全面提高安全管理水平.2、设计依据根据学院现有情况,本次方案的设计严格按照现行中华人民共和国以及内蒙古自治区与行业的工程建设标准、规葩的要求执行.在后期设计或实施过程中,如国家有新法规、规楚颁布,应以新颁布的法规规范为准。本方案执行下列有关技术标准、规范规程但不限于以下技术标准、规葩、规程.计算机信息系统安全等级保护划分准则(GB17859-1999信息系统安全等级保护实施指南(GB/T25058-2010信息系统安全保护等级定级指南(GB.T22240-2008信息系统安全等级保护基本要求(GB/T22239-2008信息系统通用安全技术要求(
14、GB/T20271-2006信息系统等级保护安全设计技术要求(GB/T25070-2010信息系统安全等级保护测评要求(GB/T28448-2012信息系统安全等级保护测评过程指南GB28449-2012信息系统安全管理要求(GBa20269-2006信息系统安全工程管理要求(GB/T20282-2006信息系统物理安全技术要求(GB21052-2007网络基础安全技术要求(GBrr20270-2006信息系统通用安全技术要求(GB20271-2006操作系统安全技术要求(GBrr20272-2006数据库管理系统安全技术要求(GB/T20273-2006信息安全风险评估规范(GB20984-
15、2007信息安全事件管理指南(GB/T20985-2007佶息安全事件分类分级指南(G3Z20986-2007信息系统灾难恢复规范(GB/T20988-2007四、方案整体设计1、信息系统定级确定信息系统安全保护等级的流程如下:识别单位基本信息了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。识别业务种类流程和服务应市点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面K体方式和程度,影响的区域范围、用户人数、业务的具体数娓以及对本单位以外机构或个人的影响等方面,这些具体数据即可以为主管部门制定定级指导意见提
16、供拶照,也可以作为主管部门审批定级结果的更要依据.识别信息调交了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性完整性和可用性被破坏后在单位职能单位资金、单位信誉、人身安全等方面可转对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化.识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系.识别主要的软硬件设备调查了解与定级对象信息系统相关的服务器网络、终端,存储设备以及安全设备等,设备所
17、在网段,在系统中的功能和作用.调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度.识别用户类型和分布调交了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,判断系统服务中断或系统信息被破坏可能影晌的楚国和程度:根据信息安全等级矩阵表,形成定级结果吐善三旦去全奁娄壬三贡业稀息安全被破坏时旅加在体公免法人第也用IW合法杈盛第一级第二歆第二纵社会除公咖箕三轰国家琏芽三级第2第五级果梆解全极破坏时所嫌的M1.对相应现需苫程崖特别哇随公R法人租其fir狮合淤货第二圾第二a社会殊纲隘朝嫌田冢安全第三坂笑五线1等级保护完全实施过程2、能
18、力、措施和要求3、基本安全要求某级系统系统运维管理一系统建设管理天员安全管理一安全管理制度一安全菅主机安仝4、系统的控制类和控制项指标类技术/管理类数很类佝级)A类倡级)(3级)小计小计妄全技术物理安全11S1.032网络安全1O6733主机安全313r(32应用安全522931依据未全21O38安全管理安全管理制度WA3I1.安全管理机构520人员安全管理516系统建设管理1.1.45系统运处管浬1360含计73美290项5、物理安全保护要求物理安全主要涉及的方面包括环境安全(防火、防水防雷击等)防盗窃防破坏等方面。物理安全具体包括以下10个控制点:物理位置的选择(G物理访问控制(G)防盗窃
19、和防破坏设备和介质的(G)防雷击(G)防火(G)防水和防潮(G防静电(G)温湿度控制(G电力供应(八)电据防护(三)整改要点:物理位置的选择物理访问控制防盗窃和防破坏防雷击昉又防静电电力供应电锅防护防水和防潮基本防护能力H高层,地下室基本出入控制,【分区域背理在机历中的活动,I在放位置、标记标识II监控报警系统建筑防雷机疥接地I-设备防雷灭火设备、自动报警:1自动消防系统I关铺设的;:主租定电Jk.迈朗供应I【主要设箸线缆隔离1U-接地防干扰j-电毡屏1.温湿度控制电子门禁区域隔离措施防静电地板冗余并行找路IX1.IHih1.i6、网络安全保护要求网络安全主要关注的方面包括:网络结构网络边界以
20、及网给设备自身安全网络安全具体包括以下7个控制点:结构安全(G)访问控制(G)安全审计(G)边畀完整性检查(八)入侵防葩(G)恶意代码防楚(G)网络设备防护(G)整改要点结构安全关铤设备冗余空间核心笫带宽子网/网段控制主要设得冗余空向路由控制整体网络带帝带宽分配优先级市.要网段部署访问控制j同军做各:用人出按号访何限制端口控制I防止地址欺i应用层协通过谜会话终止以大流靖数炎出大连接数安全审计日志记录,-1口审计报表审计记录的保护边界完整性检杳内部的#法联出非授权设备私自外联定位及阴斯校测常见攻击入侵防他网络设备防护记录、报警网络边界处防范基本的铲呆格用组合鉴别技术特权用户的权限分施7、主机安全
21、保护要求主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全主机安全具体包括以下7个控制点:身份鉴别(三)访问控制S安全审计(G)弼余信息保护(三)整改要点:访同控制I入侵防范(G)恶意代码防楚(G)资源控制(八)I安全策略:管理用市的权限务离J.,.,一,一,,,1监视重要服务器特权用户的权王芬可;砺标记的设置及操作IIaew-1对用户金法钱及终第旦弟的席制最小服务水平的检测及报警资源控制I18、应用安全保护要求应用系烧的安全就是保护系统的各种应用程序安全运行.包括基本应用,如:消息发送Web浏览等;业务应用,如:电子商务电子政务等.应用安全具体包括以下9
22、个控制点:身份差别(三)访问控制(三)安全审计(G)剌余信息保护(三)通信完整性(三)通信保密性(三)抗抵赖(G)软件容错(八)资源控制(八)整改要点:和木的身价筌别身份络别也合赘别技术安全策略访问控制俄监标记的设国及未作最小授权原贝(抗抵赖送存怙况审汁(用户极):9、数据安全与备份恢复数据安全主要是保护用户数据、系统数据、业务数据的保护.将对数抠造成的损害降至最小。备份恢复也是防止数据被破坏后无法恢复的筌要手段,主要包括数据备份硬件冗余和异地实时备份。数据安全和备份恢复具体包括以下3个控制点:数据完整性(三)数据保密性(三)、备份和恢复(八)整改要点:要别数据传输的完/性物JK完整性.各类数
23、据传输及存钻检测和恢灰签别数据存储的保密性:履-保铲;::各类数格的传输及。储M络冗余、硬件冗余事要数抵的名(4IIBSH-4本地完全备份1”、1哽件几余异地备份得份介质场外存放10安全管理制度安全管理制度包括信息安全工作的总体方针策略,规范各种安全管理活动的管理制度以及管理人员或操作人员日岸操作的操作规程.安全管I里制度具体包括以下3个控制点:管理制度制定和发布评审和修订整改要点:形成信息安全管理制度体系,统一发布定期修订等11、安全管理机构安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层(送事会)到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。安全管理
24、机构具体包括以下5个控制点:岗位设置人员配备授权和审批沟通和合作审核和检查整改要点:信息安全领导小组与职能部门,专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等12、人员安全管理对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。人员安全管理具体包括以下5个控制点:人员录用人员离岗人员考核安全意识教白及培训外部人员访问管理整改要点:全员保密讲议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理13、系统建设管理系统建设管理分别从定级设计建设实施验收交付测评等方面考虑,关注各项安全管理活动.系统建设管理具体包括以下11个控制点:系统定级安全方案设计
25、产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付系统备案等级测评安全服务商选择整改要点:系统定级的论证、总体规划、产品选型测试开发过程的人员控制工程实施制度化、第三方委托测试、运行起30天内备案、每年进行1次等级测评,安全服务商的选择14、系统运维管理系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置,应急预案管理和安管中心等。系统运维管理具体包括以下13个控制点:环境管理资产管理介质管理设备管理,监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理整改要点:办公环境保密性、资产的标识和分类管理介质,设备.
26、系统/网络,密码备份与恢复的制度化管理,建立安全管理中心安全事件分类分级响应、应急预案的演练和审查.本次等保三级方案主要针对学院现有的网络系统进行设计2、等级保护建设流程整体的安全保陵体系包括技术和管理两大部分,其中技术部分根据信息系统安全等级保护基本要求2分为物理安全、网络安全,主机安全,应用安全数据安全五个方面进行建设;而管理部分根据信息系统安全等级保伊基本要求则分为安全管理制度安全管理机构人员安全管理、系统建设管理,系统运维管理五个方面。整个安全保障体系各部分既有机结合,又相互支撵.之间的关系可以理解为“构建安全管理机构,制定完苦的安全管理制度及安全策略,由相关人员,利用技术工手段及相
27、关工具,进行系统建设和运行维拧,”据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步艰进行:1 .系统识别与定级:喘定保护对象,通过分析系统所闻类型、所属信息类别、服务楚国以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据,2 .安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构.通过安全域设计将系统分解为多个层次,为下一步安全保障体系棺架设计提供基础棋架.3,确定安全域安全要求:参照国家相关
28、等级保护安全要求,设计不同安全域的安全要求,通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标.4 .评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系块各层次安全域进行有针对性的等级风险评估,并找出系统安全现状与等级要求的差距,形成完整准确的按需防铜的安全需求.通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据,5 .安全保陞体系方案设计:根据安全域框架,设计系统各个层次的安全保陵体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系把架;详细安全技
29、术设计、安全管理设计。6 .安全建设:根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防锢。7 .持续安全运雄:通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中事后三个方面进行安全运行维护,确保系统的持康安全,满足持续性按需防御的安全需求.通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全.而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的
30、变化达到持续的安全。2、网络系统现状分析XX市XX学院在2013年正式盛迁到职教园区内,同时新建了整套校园网络,后期又经过陆陆续续的升级和改造,现已建成如下情况。1网络架构拓扑图1、内部数据交换如上拓扑图所示,学院有无线和有线两套网络提供使用,整网采用纵向三层设计,分别是核心层、汇聚层和接入层。教学和办公网使用单独的核心交换机S12006上联至数据中心核心交换机N18010.避免了在接入区域和宿舍楼敛据的混合。2、网络出口整网有两条互联网出口链路,无线用户和有线用户各使用一条钱路,每条链路各采用独立的一台出口网关进行转发.3、网络安全安全设计分为对外部数据的安全保障和对本地内部数据的安全保限,
31、现有一台防火墙部署在出口网关与核心交换机之间,保陞了对外部有古数据的防范。内部服务器区域部署了一台服务器防护WG,下联各股务器,上联核心交换机,保障服务片的安全性。其它设备有网络管理系统,Porta1.认证系统、计费系统、日志记录系统、用户自助系统等。2、可能存在的风险XX学院内部的网络比较复杂,加上无线网络的全面覆盖,使用人群多种多样,因此网络安全是XX学院校园网运行过程中所面格的实际问题,1、来自硬件系统的安全威胁硬件的安全问题也可以分为两种,一种是物理安全,一种是设置安全,物理安全是指由于物理设备的放置不合适或者防楚不得力,使用服务器、交换机、路由爵等网络设备,墟和双姣线等网络线路以及U
32、PS和电缆战等电源设备遭受意外事故或人为破坏,造成网络不能正常运行。设置安全是指在设备上进行必要的设置,如服务器、交换机的密码等,防止黑客取得硬件设备的远程控制权.2、来自学院网络内部的安全威胁校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校通常不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。3、来自Internet的威胁Internet上有各种不同内容的网站,这些形形色色良芳不齐的网络资源不但会占用大量流量资源,造成网络堵塞、上网速度慢等问题,而且由于校园网与Internet相连,校园网也就
33、面够着遭遇攻击的风险。4、系统或软件的漏洞目前使用的操作系统和应用软件都存在安全漏洞,对网络安全构成了威胁,而且理在许多从网络上随意下我的软件中可能隐藏木马,后门等恶意代码这些软件的使用也可能破攻击者侵入和利用.5、管理方面可能存在的漏洞XX学院的用户群体比较大,数据量大、速度高,随着校园内计算机应用的大范画告及,接入校园网节点日渐增多,学生通过网络在线看电影听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥,信息丢失,数据损坏网络被攻击,系统瘫痪等严重后果.3、等保三级对网络的要求1结构安全1 .应保证主要网络设备的业务处理能力具备冗余空间
34、满足业务高蜂期需要;2 .应保证网络各个部分的带宽满足业务高峰期需要;3 .应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;4 .应绘制与当前运行情况相符的网络拓扑结构图;5 .应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;6 .应避免将重要网段部署在网络边界处且直接连接外部信息系统,王要网段与其他网段之间采取可靠的技术陶爵手段;7 .应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护款要主机.2、访问控制1 .应在网络边界部署访问控制设备,启用访问控制功能;2
35、 .应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;3 .应对进出网络的信息内容进行过造,实现对应用层HTTRFTPTE1.NETSMTPPOP3等协议命令级的控制;4 .应在会话处于非活跃一定时间或会话结束后终止网络连接;5 .应限制网给最大流量数及网给连接数;6 .重要网段应采取技术手段防止地址欺漏;7 .应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用8 .应限制具有拨号访问权限的用户散量3、安全审计1 .应对网络系统中的网络设备运行状况、网络流量,用户行为等进行日志记录;2 .审计记录应包括:事件的日期和时间,用
36、户用件类型、事件是否成功及其他与审计相关的信息:3 .应畿够根据记录数据进行分析,并生成审计报表;4 .应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等.4、边界完整性检查1 .应能够对非授权设备私自联到内部网珞的行为进行检查,准确定出位置.并对其进行有效阴断;2 .应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断.5、入侵防范1 .应在网络边界处监视以下攻击行为:端口扫描、强力攻击木马后门攻击、拒绝服务攻击、缓冲区溢出攻击IP碎片攻击和网络蝇虫攻击等;2 .当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生产承入侵事件时应提供
37、报告;6、恶意代码防范1 .应在网络边界处对恶意代码进行检测和清除;2 .应维护恶意代码库的升级和检测系统的更新。7、网络设备防护1 .应对登录网络设备的用户进行身份鉴别;2 .应对网络设备的管理员登录地址进行限制;3 .网络设备用户的标识应唯一;4 .主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;5 .身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;6 .应具有登录失败处理功能,可采取结束会话限制非法受录次数和当网络登录连接超时自动退出等措施;7 .当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中祓窃听;8 .应实现设备特权用
38、户的权限分离4、现状对比与整改方案现有网络虽然已经在各方面比较完苦,但是还达不到三级等保的要求,下面从以上7个控制点进行详细的对比,找出存在的问翻并提出解决方案.1、现状对比主要是对已育设备的配置和使用情况进行检查和修改。网络及安全设备的配置和优化服务;监控分析及优化服务;是否进行了路由控制建立安全的访问路径?也要网段的隔离部署;重要网段应采取技术手段防止地址欺骗;如:MAC+IP绑定审计数据的梳理及分析;设定用户的访问权限并配置策略(内部和外部);对登录网络设备的用户进行身份鉴别和地址限制;对圭要业务的带宽做最小流量设置.如下表格:打钩表示已满足要求,未打钩表示未满足要求,需要完芒,可通过对
39、现有设备进行深化配置或姑构安全1应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;V2应保证网挑各个部分的带宽满足业务高峰期需要;V者增添新设备来实现。3应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;4应悠制与当前运行情况相符的网络拓扑结构图;V5应根据各部门的工作职能、也要性和所涉及信息的更要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;V6应避免将看要网段器詈在网络边界处且直接连接外部信息系统,要网段与其他网段之间米取可靠的技术隔离手段;7应按照对业务服务的重要次序来指定带宽分优先级别,保证在网络发生拥堵的时候优先保护重
40、要主机.访问控制1应在网络边患部舌访问控制设备,启用访问控制功能;V2应能根据会话状态信息为数据流提供明确的允许除绝访问的能力,控制粒度为弼口级;3应对进出网络的信息内容进行过滤.实现对应用层HTTRFTP、TE1.NETSMTPPOP3等仍设命令级的控制;4应在会话处于非活跃一定时间或会话结束后终止网络连接;5应限制网塔最大流数及网堵连接数;6重要网段应采取技术手段防止地址欺购;7应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;8应限制具有拨号访问权限的用户数量;安全审计1应对网络系统中的网络设备运行状况网络流量用户行为等进行日志记录;V2审计
41、记录应包括:事件的日期和时间用户事件类型事件是否成功及其他与审计相关的信息;3应能够根据记录数据进行分析,并生成市计报表;4应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。边5?完整性检查1应能够对非授权设备私自联到内部网络的行为进行检查,准确正出位置,并对其进行有效阻断;2应能够对内部网珞用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断.入侵防范1应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击,拒绝服务攻击、雄冲区溢出攻击、IP碎片攻击和网络蛾虫攻击等;2当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时旬,在发生严空入侵事件时应提
42、供报恶意代码防范措施.恶意代码防范1应在网据边界处对总意代码进行检测和清除;2应维护照意代码库的升级和检测系统的更新“网络设备防护1应对登录网络设备的用户进行身份鉴别;V2应对网塔设备的管理员登录地址进行限制;3网络设备用户的标识应唯一;V4主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;5身份鉴别信息应具有不易被冒用的特点,口令应有好杂度要求并定期更换;6应具有登录失败处理功能,可采取结束会话限制非法登录次数和当网络登录连接超时自动退出等措施;7当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传龄过程中被窃听;8应实现设备特权用户的权限分离2、控制点整改措
43、施1、结构安全主要网络设备的处理能力以及各部分带宽均需满足业务高峰需要;部署优化设备,削减网络流量,更好的满足冗余要求;合理规划路由,在业务终端与业务服务器之间建立安全路径;规划第要网段,在路由交换设备上配置AC1.策珞进行隔禽;网络设备规划带宽优先级,保证在网络发生拥堵时优先保护重要主机。必要时可部署专业流控产品进行管控,2、访问控制网络边界部署如:防火墙等隔离设备;根据基本要求对隔离设备以及网络设备等制定相应的AC1.策略。包括:访问控制粒度、用户数量等。在配置防火墙等隔离设备的策略时要满足相应要求,包括:端口级的控制粒度;常见应用层协议命令过关;会话控制;流星控制;连接数控制;防地址欺骗3、安全审计部署网络安全审计系统,记录用户网络行为网络设备运行状况网络流帚等,审计记录包括事件的日期和时间、用户,事件类型事件是否成功及其他与审计相关的信息.加强审计功能,具备报表生成功能,同时采用日志服务器进行审计记录的保存,避免非正常删除,修改或覆盖.4、边界完整性检查部署终端安全管理系统,启用非法外联监控以及安全准入功能进行边界完整性检查。在检测的同时要进行有效阻断,5、入侵防范部署入侵检测系统进行入侵行为进行检测.包括:端口扫描、强力攻击、木马后门攻击等各类攻击行为
免费区 
