一套網(wǎng)絡(luò)安全(等保2.0建設(shè))規(guī)劃設(shè)計(jì)方案

3- 4- 5- 7- 3.1.9.安全建設(shè)管理需求…………4.2.1.安全通信網(wǎng)絡(luò)防護(hù)設(shè)計(jì)…………4.2.2.安全區(qū)域邊界防護(hù)設(shè)計(jì)…………20-4.2.3.安全計(jì)算環(huán)境防護(hù)設(shè)計(jì)…………21-4.2.4.安全管理中心設(shè)計(jì)………………25- 25- 26- 26- 26- 29- 級備案、等級測評、安全建設(shè)、安全檢查等絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)《網(wǎng)絡(luò)安全法》的頒布實(shí)施，標(biāo)志著從1994年的國務(wù)院條例(國務(wù)院令第147號)上升到了國家法律的層面，標(biāo)志著國家實(shí)施十余年的信息安全等級保護(hù)“實(shí)行信息安全等級保護(hù)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命信息安全等級保護(hù)的管理辦法和技術(shù)指南”,標(biāo)志著等級保護(hù)從計(jì)算機(jī)信息系是國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建(2005〕1431號)(發(fā)改高技(2008)2071號)〔2009〕1429號)》〔2010〕70號)知》(公信安〔2010〕303號)技〔2012〕1986號)年12月28日第十一屆全國人民代表大會常務(wù)委員會第三十次會議通>《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》(2018年6月)等級保護(hù)建設(shè)的目標(biāo)是在網(wǎng)絡(luò)定級工作基礎(chǔ)上深入開展網(wǎng)絡(luò)安全等級保護(hù)安全依據(jù)網(wǎng)絡(luò)安全等級保護(hù)三級標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、重點(diǎn)明確、合理建設(shè)”有組織的團(tuán)體(如商業(yè)情報(bào)組織或犯罪組織等)發(fā)起的惡意攻擊，可以應(yīng)對較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障(如宕機(jī)、硬盤損壞等),并在威脅發(fā)生后，能夠很快恢復(fù)絕大部分功能。三級系統(tǒng)等保建設(shè)括系統(tǒng)基本信息、系統(tǒng)所涵蓋的信息資產(chǎn)范圍、使用析等方式，全面分析業(yè)務(wù)系統(tǒng)的資產(chǎn)現(xiàn)狀、主機(jī)、際需求和建設(shè)目標(biāo)，制定完整的《等級保護(hù)安全建設(shè)方案》,組織信息安全技(1)安全域劃分。通過安全域劃分，實(shí)現(xiàn)對不同系統(tǒng)的差異防護(hù)，并防止異，各自可能具有不同的安全防護(hù)需求，因此需(3)網(wǎng)絡(luò)環(huán)境安全防護(hù)。網(wǎng)絡(luò)環(huán)境安全防護(hù)建設(shè)可有效阻止惡意人員通過(4)備份與恢復(fù)。備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器采(5)身份鑒別。業(yè)務(wù)系統(tǒng)應(yīng)按照信息安全等級保護(hù)制度等要求，采用堡壘定，根據(jù)等保測評相關(guān)標(biāo)準(zhǔn)，從安全技術(shù)與安全管理兩大項(xiàng)10個(gè)方面，對信息測評，在正式測評時(shí)選擇具有等級保護(hù)測評資質(zhì)的6、安全運(yùn)維。引綽濟(jì)遼工程應(yīng)該按照PDCA持續(xù)改進(jìn)的工作機(jī)預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響本方案是根據(jù)2019年5月13日最新發(fā)布的GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》的安全通用要求和安全目標(biāo)，參照GB/T>《信息技術(shù)安全技術(shù)信息安全控制實(shí)用規(guī)則》(ISO/IEC27002:>由于機(jī)房容易遭受水患和火災(zāi)等災(zāi)害威脅，需要采取防水、防潮、防>由于機(jī)房容易遭受高溫、低溫、多雨等原因引起溫度、濕度異常，應(yīng)>針對機(jī)房供電系統(tǒng)故障，需要合理設(shè)計(jì)電力供應(yīng)系統(tǒng)，如：購買UPS>針對機(jī)房容易遭受靜電和線纜電磁干擾，需要采取防靜電和電磁防護(hù)措施來解決靜電和線纜電磁干擾帶來的安全>針對利用工具捕捉電磁泄漏的信號，導(dǎo)致信息泄露的安全威脅，需要有系統(tǒng)之間的互聯(lián)需求，接入?yún)^(qū)域有路由器、交換7、信息系統(tǒng)中控室或操作站無終端準(zhǔn)入控制措施；引綽絡(luò)關(guān)鍵節(jié)點(diǎn)可能存在的安全風(fēng)險(xiǎn)。需要把可能的安>針對內(nèi)部人員未授權(quán)違規(guī)連接外部網(wǎng)絡(luò)，或者外部人員未經(jīng)許可隨意>針對跨安全域訪問網(wǎng)絡(luò)的行為，需要通過基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的>針對通過分布式拒絕服務(wù)攻擊惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)>針對利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)或應(yīng)用系統(tǒng)存在的漏洞進(jìn)行惡意攻擊(如碎片重組，協(xié)議端口重定位等),尤其是新型攻擊行為，需通過>針對通過惡意代碼傳播對主機(jī)、應(yīng)用系統(tǒng)和個(gè)人隱私帶來的安全威>針對郵件收發(fā)時(shí)遭受惡意代碼攻擊的安全風(fēng)險(xiǎn)，需要通過垃圾郵件防>針對違規(guī)越權(quán)操作、違規(guī)訪問網(wǎng)絡(luò)等用戶行為，需要采取安全審計(jì)手>針對病毒入侵、惡意代碼加載、非授權(quán)身份訪問等安全威脅，邊界設(shè)器，除存儲服務(wù)器外互為主備。其中應(yīng)用服務(wù)器6臺、數(shù)據(jù)庫服務(wù)器2臺、存儲服務(wù)器1臺。器，除存儲服務(wù)器外互為主備。其中應(yīng)用服務(wù)器6臺、數(shù)據(jù)庫服務(wù)器2臺、存儲服務(wù)器1臺。本次信息系統(tǒng)風(fēng)險(xiǎn)評估抽查所用的主機(jī)設(shè)備如下：>針對系統(tǒng)管理員、審計(jì)管理員、安全管理員的違規(guī)操作行為，需要采>針對設(shè)備違規(guī)操作或多通路運(yùn)維帶來的安全風(fēng)險(xiǎn)，需要對指定管理區(qū)>需要制定信息安全工作的總體方針、政策性文件和安全策略等，說明>需要定期對安全管理制度進(jìn)行評審和修訂，不斷完善、健全安全制>需要組建網(wǎng)絡(luò)安全管理領(lǐng)小組，并設(shè)立專門的安全管理工作>需要建立審核和檢查的制度，對安全策略的正確性和安全措施的合理>需要對外部人員進(jìn)行嚴(yán)格控制，確保外部人員訪問受控區(qū)域或接入網(wǎng)>需要具有總體安全方案設(shè)計(jì)、方案評>產(chǎn)品采購符合國家有關(guān)規(guī)定，密碼算法和密鑰的使用需符合國家密碼>需要有專人對工程實(shí)施過程進(jìn)行管理，依據(jù)工程實(shí)施方案確保安全功>需要制定軟件開發(fā)的相關(guān)制度和代碼編寫規(guī)范，并對源代碼的安全性>需要建立產(chǎn)品采購、系統(tǒng)測試和驗(yàn)收制度，確保安全產(chǎn)品的滿足項(xiàng)目>需要在工程實(shí)施過程中做好文檔管理工作，并在系統(tǒng)交付時(shí)提供完整>需要選擇符合國家有關(guān)規(guī)定的服務(wù)供應(yīng)商，并對服務(wù)情況進(jìn)行定其評>需要與符合國家有關(guān)規(guī)定的外包運(yùn)維服務(wù)商簽訂相關(guān)協(xié)議，并明確運(yùn)>根據(jù)系統(tǒng)和子系統(tǒng)劃分結(jié)果、安全定級結(jié)果，將保護(hù)對象歸類，并組>根據(jù)方案的設(shè)計(jì)目標(biāo)來建立整體保障框架，來指導(dǎo)整個(gè)等級保護(hù)方案的設(shè)計(jì)，明確關(guān)鍵的安全要素、流程及相互關(guān)系；在安全措施框架細(xì)>根據(jù)此等級受到的威脅對應(yīng)出該等級的保護(hù)要求(即需求分析),并分布到安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等>根據(jù)由威脅引出的等級保護(hù)基本要求、等級保護(hù)實(shí)施過程、整體保障框架來確定總體安全策略(即總體安全目標(biāo)),再根據(jù)等級保護(hù)的要求將總體安全策略細(xì)分為不同的具體策略(即具體安全目標(biāo)),包括安全>根據(jù)保護(hù)對象框架、等級化安全措施要求、安全措施的成本來選擇和調(diào)整安全措施；根據(jù)安全技術(shù)體系和安全管理體系的劃分，各安全措>根據(jù)保護(hù)對象的系統(tǒng)功能特性、安全價(jià)值以及面臨威脅的相似性來進(jìn)行安全區(qū)域的劃分；各安全區(qū)域?qū)⒈Ｗo(hù)對象框架劃分成不同部分，即>根據(jù)選擇好的保護(hù)對象安全措施、安全措施框架、實(shí)際的具體需求來交換機(jī)交換機(jī)西西類車安全計(jì)算環(huán)安全區(qū)域邊安全通信網(wǎng)安全管理中心在“一個(gè)中心、三重防護(hù)”的理念的基礎(chǔ)上，進(jìn)行安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性/保密4.2.1.1.網(wǎng)絡(luò)架構(gòu)及安全區(qū)域設(shè)計(jì)>主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備(如核心交換機(jī)、核心路由器、關(guān)鍵節(jié)點(diǎn)安全設(shè)備等)的業(yè)務(wù)處理能力應(yīng)能滿足業(yè)務(wù)高峰期需要，保證各項(xiàng)業(yè)務(wù)>網(wǎng)絡(luò)帶寬應(yīng)能滿足業(yè)務(wù)高峰期的需求，保證各業(yè)務(wù)系統(tǒng)正常運(yùn)行的基>劃分不同的子網(wǎng)，按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地>避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護(hù)措施。>各業(yè)務(wù)系統(tǒng)/子系統(tǒng)在同一個(gè)管理機(jī)構(gòu)的管理控制之下，保證遵循相同>各業(yè)務(wù)系統(tǒng)/子系統(tǒng)具有相似的業(yè)務(wù)類型或相似的用戶群體，安全需求>各業(yè)務(wù)系統(tǒng)/子系統(tǒng)具有相同的物理位置或相似的運(yùn)行環(huán)境，有利于采>各業(yè)務(wù)系統(tǒng)/子系統(tǒng)面臨相似的安全威脅，需采用相似的安全控制措施采用防火墻和堡壘機(jī)建立安全接入技術(shù)來滿足遠(yuǎn)程訪問或遠(yuǎn)程運(yùn)維的安全通信考慮到日常辦公的業(yè)務(wù)流量保障需求及日常工作員工上網(wǎng)的應(yīng)用管控及敏感信息防外泄需求，應(yīng)部署上網(wǎng)行為管理系統(tǒng)啟用/NTP服務(wù)器),以確保審計(jì)分析的正確性。制。違規(guī)外聯(lián)控制能夠及時(shí)監(jiān)測終端計(jì)算機(jī)違規(guī)連接網(wǎng)絡(luò)區(qū)域邊界的惡意代碼防范工作是在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署下一代防火墻NTP服務(wù)器),以確保審計(jì)分析的正確性。應(yīng)定期采用漏洞掃描系統(tǒng)對網(wǎng)絡(luò)主機(jī)(如服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)打印機(jī))、操作系統(tǒng)(如MicrosoftWindows系列、SunSolaris、HPUnix、IBMAIX、常用軟件(如Office、Symantec、McAfee、Chrome、IE等)、網(wǎng)站開源架構(gòu)(如通過安全堡壘機(jī)(運(yùn)維審計(jì)系統(tǒng))能夠?qū)ο到y(tǒng)管理員、審計(jì)管理員和安全管管理體系設(shè)計(jì)目標(biāo)是根據(jù)等級保護(hù)對象當(dāng)前安全管理需要和安全技術(shù)保障IS027002的14個(gè)控制域規(guī)范，同時(shí)兼顧監(jiān)管部門的相關(guān)安全規(guī)范，整合企業(yè)自>制定一套網(wǎng)絡(luò)安全總體方針和安全策略，明確組織機(jī)構(gòu)的總體目標(biāo)、>制定一套安全管理制度，形成安全策略、管理制度、操作規(guī)程、記錄>指派專人或者成立專門的部門負(fù)責(zé)制度的制定，安全管理制度要正式>應(yīng)定期對制度進(jìn)行評審和修訂，至少每年(建議)進(jìn)行一次評審和修>對于需要送出維修或銷毀的介質(zhì)，應(yīng)采用多次讀寫覆蓋，清除介質(zhì)中>根據(jù)數(shù)據(jù)備份需要對某些介質(zhì)實(shí)行異地存儲，存儲地的環(huán)境要求和管>根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理，并實(shí)>保密性較高的信息存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀，銷毀時(shí)必須做到>對存放的介質(zhì)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有>對信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專人或?qū)ｉT部門定期進(jìn)行維>對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放或領(lǐng)用等過程建立>對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)>按操作規(guī)程實(shí)現(xiàn)服務(wù)器的啟動/停止、加電/斷電等操作，加強(qiáng)對服務(wù)5.3.5.5.漏洞和風(fēng)險(xiǎn)管理5.3.5.6.網(wǎng)絡(luò)和系統(tǒng)安全管理5.3.5.7.惡意代碼防范管理>對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明>定期檢查惡意代碼庫的升級情況并進(jìn)行記錄，對防病毒軟件、防病毒>建立變更管理制度，重要系統(tǒng)變更前需經(jīng)過申請審批，變更和變更方>規(guī)定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質(zhì)、保存期等；>根據(jù)數(shù)據(jù)的重要性和對系統(tǒng)運(yùn)行的影響程度，制定數(shù)據(jù)備份和恢復(fù)策>指定相應(yīng)的負(fù)責(zé)人定期維護(hù)和檢查備份及冗余設(shè)備的運(yùn)行狀況，確保>建立數(shù)據(jù)備份和恢復(fù)過程控制程序，如備份過程應(yīng)記錄，所有文件和>建立備份及冗余設(shè)備的安裝、配置、啟動、操作及維護(hù)過程