XXXXX網(wǎng)絡(luò)安全

等級(jí)保護(hù)三級(jí)建設(shè)方案

T天融信

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

202X年X月

目錄

1概述.........................................................................5

1.1建設(shè)背景.................................................................5

1.2安全目標(biāo).................................................................5

1.3建設(shè)依據(jù).................................................................6

2需求分析.....................................................................7

2.1安全物理環(huán)境需求.........................................................7

2.2安全通信網(wǎng)絡(luò)需求.........................................................7

2.3安全區(qū)域邊界需求.........................................................8

2.4安全計(jì)算環(huán)境需求.........................................................8

2.5安全管理中心需求.........................................................9

2.6構(gòu)建安全管理保障體系....................................................9

2.7構(gòu)建安全運(yùn)維體系........................................................10

3總體方案介紹：..............................................................10

3.1設(shè)計(jì)原則................................................................10

3.2網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)過程...............................................12

3.3安全保障體系構(gòu)成........................................................12

3.3.1安全技術(shù)體系.........................................................12

3.3.2安全管理體系.........................................................13

3.3.3安全運(yùn)維體系.........................................................13

4安全技術(shù)體系設(shè)計(jì)............................................................13

4.1安全區(qū)劃分..............................................................13

4.2整體方案拓?fù)湓O(shè)計(jì)........................................................14

43安全物理環(huán)境保護(hù)措施....................................................15

4.4安全通信網(wǎng)絡(luò)保護(hù)措施....................................................16

4.4.1通信傳輸安全.........................................................16

4.4.2網(wǎng)絡(luò)架構(gòu)安全.........................................................17

4.4.3網(wǎng)絡(luò)設(shè)備自身防護(hù)......................................................17

4.5安全區(qū)域邊界保護(hù)措施....................................................18

4.5.1負(fù)載均衡技術(shù).........................................................18

4.5.2Ddos防護(hù)技術(shù).........................................................18

4.5.3邊界訪問控制技術(shù).....................................................18

4.5.4入侵防范技術(shù).........................................................19

4.5.5惡意代碼防范技術(shù).....................................................19

4.5.6網(wǎng)絡(luò)審計(jì)技術(shù).........................................................19

4.5.7邊界完整性技術(shù).......................................................20

4.6安全計(jì)算環(huán)境設(shè)計(jì)........................................................20

4.6.1主機(jī)防病毒技術(shù).......................................................20

4.6.2Web防火墻技術(shù)............................................................................................................21

4.6.3漏洞掃描技術(shù).................................................................................................................21

4.6.4數(shù)據(jù)庫審計(jì)技術(shù).............................................................................................................21

4.6.5數(shù)據(jù)備份技術(shù).................................................................................................................21

4.7安全管理中心保護(hù)措施...................................................22

4.7.1安全運(yùn)維管理與審計(jì)技術(shù).............................................................................................22

4.7.2集中日志收集與分析技術(shù).............................................................................................22

4.7.3安全集中管控.................................................................................................................22

5安全管理體系設(shè)計(jì)............................................................23

5.1安全管理機(jī)構(gòu)設(shè)計(jì).......................................................23

5.1.1網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組.........................................................................................................28

5.1.2信息中心.........................................................................................................................29

5.1.3安全維護(hù)組.....................................................................................................................30

5.1.4安全審計(jì)組.....................................................................................................................31

5.1.5安全監(jiān)控中心.................................................................................................................31

5.2安全管理人員設(shè)計(jì).......................................................32

5.2.1人員錄用.........................................................................................................................32

5.2.2人員離崗.........................................................................................................................32

5.2.3安全意識(shí)教ff和培訓(xùn).....................................................................................................33

5.2.4外部人員訪問管理.........................................................................................................33

5.3安全管理制度設(shè)計(jì).......................................................34

5.3.1規(guī)章制度.........................................................................................................................35

5.3.2管理流程.........................................................................................................................37

5.3.3安全技術(shù)規(guī)范.................................................................................................................37

5.3.4保密協(xié)議.........................................................................................................................38

5.4安全建設(shè)管理設(shè)計(jì).......................................................38

5.4.1系統(tǒng)定級(jí)和備案.............................................................................................................38

5.4.2安全方案設(shè)計(jì).................................................................................................................39

5.4.3安全產(chǎn)品采照.................................................................................................................40

5.4.4外包軟件開發(fā).................................................................................................................40

5.4.5工程實(shí)施.........................................................................................................................40

5.4.6測(cè)試驗(yàn)收.........................................................................................................................41

5.4.7系統(tǒng)交付.........................................................................................................................41

5.4.8等級(jí)測(cè)評(píng).........................................................................................................................41

5.4.9安全服務(wù)商選擇.............................................................................................................42

5.5安全運(yùn)維管理設(shè)計(jì).......................................................42

5.5.1環(huán)境管理.........................................................................................................................42

5.5.2資產(chǎn)管理.........................................................................................................................43

5.5.3介質(zhì)管理.........................................................................................................................43

5.5.4設(shè)備維護(hù)管理..................................................................................................................44

5.5.5漏洞和風(fēng)險(xiǎn)管理.............................................................................................................44

5.5.6網(wǎng)絡(luò)和系統(tǒng)安全管理.....................................................................................................44

5.5.7配置安全管理...................................................................................................................45

5.5.8惡意代碼防靶...................................................................................................................46

5.5.9密碼管理...........................................................................................................................46

5.5.10變更管理...........................................................................................................................46

5.5.11備份及恢殳管理...............................................................................................................47

5.5.12安全事件處置..................................................................................................................47

5.5.13應(yīng)急預(yù)案管理..................................................................................................................48

5.5.14外包運(yùn)維管理..................................................................................................................48

6安全運(yùn)維服務(wù)設(shè)計(jì)............................................................50

6.1安全咨詢服務(wù)............................................................50

6.2安全評(píng)估服務(wù)............................................................52

6.3安全加固服務(wù)............................................................53

6.4滲透測(cè)試服務(wù)...........................................................53

6.5安全配置檢查服務(wù)........................................................54

6.6應(yīng)急響應(yīng)服務(wù)...........................................................54

6.7系統(tǒng)上線前檢測(cè)服務(wù)......................................................56

1概述

1.1建設(shè)背景

隨著XXXXX信息化建設(shè)的推進(jìn)，信息化建設(shè)成效顯著，但網(wǎng)絡(luò)環(huán)境各種安

全漏洞層出不窮、安全形式嚴(yán)峻，僅靠現(xiàn)有的安全設(shè)備無法保證信息系統(tǒng)的安

全運(yùn)行。為加強(qiáng)信息系統(tǒng)綜合安全防御體系，本次安全建設(shè)按照國(guó)家等保要求

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以及相關(guān)規(guī)定對(duì)XXXXX信息系統(tǒng)

及網(wǎng)絡(luò)進(jìn)行相關(guān)規(guī)劃和部署。建立信息系統(tǒng)綜合防護(hù)體系，落實(shí)安全保護(hù)技術(shù)

措施，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患

明顯減少，有效保障信息化健康發(fā)展。

1.2安仝目標(biāo)

本次開展網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作的總體目標(biāo)是：

“遵循國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)法規(guī)規(guī)定和標(biāo)準(zhǔn)規(guī)范，通過全面開展網(wǎng)

絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)工作，進(jìn)一步完善信息系統(tǒng)安

全管理體系和技術(shù)防護(hù)體系，增強(qiáng)網(wǎng)絡(luò)安全保護(hù)意識(shí)，明確網(wǎng)絡(luò)安全保障重點(diǎn)，

落實(shí)網(wǎng)絡(luò)安全責(zé)任，切實(shí)提高系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，為業(yè)務(wù)工作順利開展和

信息化健康發(fā)展提供可靠保障?！?/p>

具體目標(biāo)包括：

（1）體系建設(shè)，實(shí)現(xiàn)按需防御。通過體系設(shè)計(jì)制定等級(jí)方案，進(jìn)行安全技

術(shù)體系、安全管理體系和安全運(yùn)維體系建設(shè)，實(shí)現(xiàn)按需防御。

（2）安全運(yùn)維，確保持續(xù)安全。通過安全監(jiān)控、安全加固等運(yùn)維手段，從

事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，實(shí)現(xiàn)持續(xù)性按需防御的安全需

求。

（3）通過合規(guī)性建設(shè)，提升信息系統(tǒng)安全防護(hù)能力，保障系統(tǒng)網(wǎng)絡(luò)安全,

同時(shí)滿足國(guó)家等級(jí)保護(hù)的合規(guī)性要求，為信息化工作的推進(jìn)保駕護(hù)航。

1.3建設(shè)依據(jù)

國(guó)家政策相關(guān)文件

（1）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)

令）；

（2）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障工作的意見》（中辦發(fā)

[2003]27號(hào)）；

（3）《關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）；

（4）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）；

（5）《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）；

（6）《關(guān)于開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信

安[2009]1429號(hào)）。

（7）《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

等級(jí)保護(hù)及網(wǎng)絡(luò)安全相關(guān)國(guó)家標(biāo)準(zhǔn)

（1）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）；

（2）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GBT25058-2C10）；

（3）《信息安仝技術(shù)網(wǎng)絡(luò)安仝等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）；

（4）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）

（5）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）

（6）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019）

（7）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)保護(hù)測(cè)評(píng)過程指南》

（GB/T28449-2018）；

（8）《信息安全技術(shù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）；

（9）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）；

（10）《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理體系要求》（GB/T22080-2008

（idtIS0/IEC27001:2013））；

（11）《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全管理實(shí)用準(zhǔn)則》（GB/T22081-2008

(idtISO/IEC27002:2013))；

(12)《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)

及相關(guān)的一系列具體技術(shù)標(biāo)準(zhǔn)。

2需求分析

2.1安全物理環(huán)境需求

機(jī)房出入口區(qū)域若無任何訪問控制措施,辦公或外來人員可隨意進(jìn)出機(jī)房,

無任何管控、監(jiān)控措施，存在較大安全隱患；機(jī)房?jī)?nèi)若無防火措施，一旦發(fā)生

火情，無任何消防處置措施，存在安全隱患；

因此本次安全建設(shè)需保障XXXXX網(wǎng)絡(luò)環(huán)境周邊物理環(huán)境安全和物理設(shè)備

和線路的持續(xù)使用。

2.2安全通信網(wǎng)絡(luò)需求

通信網(wǎng)絡(luò)重點(diǎn)關(guān)注的安全問題主要是網(wǎng)絡(luò)傳輸?shù)陌踩?、網(wǎng)絡(luò)架構(gòu)的穩(wěn)定

性等。因此在XXXXX網(wǎng)絡(luò)通信安全方面需要采用的安全技術(shù)手段包括：

通信傳輸安全需求：

公司員工進(jìn)行遠(yuǎn)程辦公或運(yùn)維人員遠(yuǎn)程運(yùn)維時(shí)，數(shù)據(jù)需要通過互聯(lián)網(wǎng)進(jìn)行

傳輸，如若不采取安全措施，傳輸數(shù)據(jù)易被竊聽或篡改；

網(wǎng)絡(luò)架構(gòu)安全需求：

為防止網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障，同時(shí)保證網(wǎng)絡(luò)架構(gòu)安全，建議對(duì)網(wǎng)絡(luò)進(jìn)行區(qū)域

的合理劃分、對(duì)重要網(wǎng)絡(luò)區(qū)域的可靠隔離、同時(shí)需進(jìn)行通信鏈路和節(jié)點(diǎn)設(shè)備的

硬件冗余設(shè)計(jì)。

網(wǎng)絡(luò)安全設(shè)備自身存在的安全弱點(diǎn)

網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)設(shè)備，如安全防護(hù)設(shè)備、交換機(jī)等，存在固有的或配置、

使用上的安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身的不安全。例如對(duì)網(wǎng)

絡(luò)設(shè)備登錄用戶的身份鑒別機(jī)制過于簡(jiǎn)單，對(duì)用戶的登錄和訪問行為缺少控制

和審計(jì)，對(duì)特權(quán)用戶沒有進(jìn)行權(quán)限分離等。

2.3安全區(qū)域邊界需求

區(qū)域邊界重點(diǎn)關(guān)注的安全問題主要是對(duì)流入、流出邊界的數(shù)據(jù)流進(jìn)行有效

的控制和監(jiān)督。因此在XXXXX網(wǎng)絡(luò)區(qū)域邊界安全方面需要采用的安全技術(shù)手

段包括：

?異常流量管理與抗拒絕服務(wù)攻擊：在互聯(lián)網(wǎng)出口能夠準(zhǔn)確識(shí)別夾雜在復(fù)

雜網(wǎng)絡(luò)流量中的各種己知和未知的應(yīng)用層拒絕服務(wù)攻擊流量，并提供實(shí)

時(shí)過濾和清洗，確保應(yīng)用服務(wù)持續(xù)可用。

?邊界安全控制：在互聯(lián)網(wǎng)邊界、內(nèi)部各個(gè)網(wǎng)絡(luò)區(qū)域邊界以及虛擬機(jī)邊界

可根據(jù)基于會(huì)話狀態(tài)檢測(cè)的訪問控制，默認(rèn)拒絕所有進(jìn)出通信，對(duì)于合

法通信明確設(shè)苴允許規(guī)則；啟用應(yīng)用識(shí)別和過濾功能，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)

據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和協(xié)議指令的訪問控制。

?病毒過濾網(wǎng)關(guān)：能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流中夾帶的惡意代碼進(jìn)行檢測(cè)和清除,

并提供病毒庫和檢測(cè)引擎的自動(dòng)升級(jí)更新。

?網(wǎng)絡(luò)入侵防御：需要在互聯(lián)網(wǎng)接入邊界，實(shí)時(shí)發(fā)現(xiàn)和阻止從外部網(wǎng)絡(luò)發(fā)

起的網(wǎng)絡(luò)攻擊行為；

?非法外聯(lián)監(jiān)控：防止內(nèi)部終端設(shè)備繞過網(wǎng)絡(luò)邊界安全設(shè)備私自連接外部

網(wǎng)絡(luò)，給信息系統(tǒng)帶來無法預(yù)見和控制的安全風(fēng)險(xiǎn)。

?網(wǎng)絡(luò)審計(jì)：對(duì)各類用戶的網(wǎng)絡(luò)訪問行為和網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行記錄，對(duì)所

發(fā)生安全事故的追蹤與調(diào)查取證提供詳實(shí)縝密的數(shù)據(jù)支持。

2.4安全計(jì)算環(huán)境需求

計(jì)算環(huán)境重點(diǎn)關(guān)注的安全問題主要是相關(guān)業(yè)務(wù)系統(tǒng)的安全和承載業(yè)務(wù)系統(tǒng)

的硬件安全。因此XXXXX網(wǎng)絡(luò)在區(qū)域邊界安全方面需要采用的安全技術(shù)手段

包括：

?統(tǒng)一身份鑒別：需對(duì)登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的用戶進(jìn)行

集中的身份標(biāo)識(shí)和鑒別，確保只有認(rèn)證用戶才能訪問其授權(quán)范圍內(nèi)的系

統(tǒng)和數(shù)據(jù)資源。

?網(wǎng)絡(luò)防病毒：需要在所有服務(wù)器、終端系統(tǒng)中部署防病毒軟件來保護(hù)其

免受惡意代碼侵害。

?網(wǎng)站安全：XXXXX網(wǎng)絡(luò)在對(duì)外提供網(wǎng)站服務(wù)時(shí)，需能有效抵御黑客攻

擊、SQL注入、XSS、網(wǎng)頁篡改等攻擊威脅，防止被非法篡改和破壞,

能有效保護(hù)網(wǎng)站安全運(yùn)行。

?漏洞掃描；需要采用專業(yè)的安全漏洞掃描工具，配合人工服務(wù)，定期對(duì)

XXXXX網(wǎng)絡(luò)網(wǎng)站的網(wǎng)絡(luò)、服務(wù)器、重要終端中存在的已知安全漏洞進(jìn)

行掃描和評(píng)估，并及時(shí)封堵漏洞，做到防患于未然。

?數(shù)據(jù)庫訪問控制和安全審計(jì)：針對(duì)數(shù)據(jù)庫服務(wù)器，能夠進(jìn)行細(xì)粒度的訪

問控制與審計(jì)。

?日志審計(jì)：對(duì)XXXXX網(wǎng)絡(luò)的所有服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)和新增的

各種安全系統(tǒng)均開啟完整的日志記錄功能，對(duì)重要的用戶行為和重要安

全事件進(jìn)行審計(jì)，并將審計(jì)記錄實(shí)時(shí)發(fā)送給集中的日志服務(wù)器，便于長(zhǎng)

期存儲(chǔ)保護(hù)和分析使用。

?數(shù)據(jù)備份恢復(fù)：通過構(gòu)建數(shù)據(jù)備份系統(tǒng)，當(dāng)發(fā)生安全事件后能迅速恢復(fù),

不影響業(yè)務(wù)正常運(yùn)行。

2.5安全管理中心需求

XXXXX網(wǎng)絡(luò)缺少相應(yīng)的技術(shù)手段來對(duì)網(wǎng)絡(luò)內(nèi)部眾多的網(wǎng)絡(luò)設(shè)備、安全設(shè)

備以及服務(wù)器的集中管理，缺乏對(duì)各種安全事件進(jìn)行統(tǒng)一監(jiān)測(cè)、分析、預(yù)警的

能力，同時(shí)網(wǎng)絡(luò)安全管理和運(yùn)維工作效率低下、工作負(fù)擔(dān)重，需要借助自動(dòng)化、

平臺(tái)化的技術(shù)工具提高管理效率。

2.6構(gòu)建安全管理保障體系

根據(jù)國(guó)家有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，結(jié)合XXXXX網(wǎng)

絡(luò)實(shí)際安全需求，建立一套切實(shí)可行的安全管理體系。

安全管理是安全系統(tǒng)建設(shè)的重要部分，是保障安全技術(shù)手段發(fā)揮正常功效

的保障之一，安全管理的根本目的是規(guī)范和約束相關(guān)的系統(tǒng)運(yùn)行維護(hù)的安全操

作，貫徹執(zhí)行安全策略的各項(xiàng)要求，安全管理的具體表現(xiàn)形式往往為安全管理

規(guī)范的出臺(tái)和實(shí)施。為了保隙XXXXX網(wǎng)絡(luò)的長(zhǎng)期健康運(yùn)營(yíng)，需要建立規(guī)范的網(wǎng)絡(luò)

安全管理體系。

2.7構(gòu)建安全運(yùn)維體系

為確保XXXXX網(wǎng)絡(luò)長(zhǎng)期穩(wěn)定、可靠、安全地運(yùn)行，需要建立專有的對(duì)信息系

統(tǒng)進(jìn)行安全運(yùn)維的組織團(tuán)隊(duì)。必要時(shí)需要借助專業(yè)的第三方安全服務(wù)團(tuán)隊(duì)，幫

助XXXXX網(wǎng)絡(luò)對(duì)整個(gè)網(wǎng)絡(luò)安全狀況實(shí)行動(dòng)態(tài)維護(hù)，使信息系統(tǒng)安全保障能力始終

保持在較高水平。安全運(yùn)維服務(wù)的主要工作包括安全評(píng)估、安全加固、安全監(jiān)

控、安全巡檢、應(yīng)急響應(yīng)等。

3總體方案介紹：

3.1設(shè)計(jì)原則

信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)需要充分考慮長(zhǎng)遠(yuǎn)發(fā)展需求，統(tǒng)一規(guī)劃、

統(tǒng)一布局、統(tǒng)一設(shè)計(jì)、規(guī)范標(biāo)準(zhǔn)，并根據(jù)實(shí)際需要及投資金額，突出重點(diǎn)、分

步實(shí)施，保證系統(tǒng)建設(shè)的完整性和投資的有效性。在方案設(shè)計(jì)和項(xiàng)目建設(shè)中應(yīng)

當(dāng)遵循以下的原則：

統(tǒng)一規(guī)劃、分步實(shí)施原則

在網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)過程中，將首先從一個(gè)完整的網(wǎng)絡(luò)系統(tǒng)體系結(jié)

構(gòu)出發(fā)，全方位、多層次的綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，運(yùn)用信

息系統(tǒng)工程的觀點(diǎn)和方法論進(jìn)行統(tǒng)一的、整體性的設(shè)計(jì)，將有限的資源集中解

決最緊迫問題，為后繼的安全實(shí)施提供基礎(chǔ)保障，通過逐步實(shí)施，來達(dá)到信息

網(wǎng)絡(luò)系統(tǒng)的安全強(qiáng)化。從解決主要的問題入手，伴隨信息系統(tǒng)應(yīng)用的開展，逐

步提高和完善信息系統(tǒng)的建設(shè)，充分利用現(xiàn)有資源進(jìn)行合理整合的原則。

標(biāo)準(zhǔn)性和規(guī)范化原則

網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)應(yīng)當(dāng)嚴(yán)格遵循國(guó)家和行業(yè)有關(guān)法律法規(guī)和技術(shù)規(guī)范

的要求，從業(yè)務(wù)、技術(shù)、運(yùn)行管理等方面對(duì)項(xiàng)目的整體建設(shè)和實(shí)施進(jìn)行設(shè)計(jì)，

充分體現(xiàn)標(biāo)準(zhǔn)化和規(guī)范化。

重點(diǎn)保護(hù)原則

根據(jù)信息系統(tǒng)的重要程度、'業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息

系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息

資產(chǎn)的信息系統(tǒng)。

適度安全原則

任何信息系統(tǒng)都不能做到絕對(duì)的安全，在安全規(guī)劃過程中，要在安全需求、

安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本

的迅速增加和運(yùn)行的復(fù)雜性。

適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過程中，

一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防

護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合考慮業(yè)務(wù)和

成本的因素，針對(duì)信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)

度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。

技術(shù)管理并重原則

網(wǎng)絡(luò)安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理

解為網(wǎng)絡(luò)安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋所有

的網(wǎng)絡(luò)安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障

信息系統(tǒng)的整體安全性。

先進(jìn)形和成熟性原則

所建設(shè)的安全體系應(yīng)當(dāng)在設(shè)il理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)先進(jìn)

性和成熟性的統(tǒng)一。本方案設(shè)計(jì)采用國(guó)際先進(jìn)實(shí)用的安全技術(shù)和國(guó)產(chǎn)優(yōu)秀安全

產(chǎn)品，選擇目前和未來一定時(shí)期內(nèi)有代表性和先進(jìn)性的成熟的安全技術(shù)，既保

證當(dāng)前系統(tǒng)的高安全可靠，又滿足系統(tǒng)在很長(zhǎng)生命周期內(nèi)有持續(xù)的可維護(hù)和可

擴(kuò)展性。

動(dòng)態(tài)調(diào)整原則

網(wǎng)絡(luò)安全問題不是靜態(tài)的。信息系統(tǒng)安全保障體系的設(shè)計(jì)和建設(shè)，必須遵

循動(dòng)態(tài)性原則。必須適應(yīng)不斷發(fā)展的信息技術(shù)和不斷改變的脆弱性，必須能夠

及時(shí)地、不斷地改進(jìn)和完善系統(tǒng)的安全保障措施。

經(jīng)濟(jì)性原則

項(xiàng)目設(shè)計(jì)和建設(shè)過程中，將充分利用現(xiàn)有資源，在可用性的前提條件下充

分保證系統(tǒng)建設(shè)的經(jīng)濟(jì)性，提高投資效率，避免重復(fù)建設(shè)。

3.2網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)過程

網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的生命周期系統(tǒng)構(gòu)成包括：系統(tǒng)定級(jí)備案、差距分

析評(píng)估、總體規(guī)劃設(shè)計(jì)、安全整改實(shí)施、等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估、系統(tǒng)安全運(yùn)維

等方面。本方案設(shè)計(jì)重點(diǎn)在于總體規(guī)劃設(shè)計(jì)以及項(xiàng)目整改建設(shè)實(shí)施。

3.3安全保障體系構(gòu)成

構(gòu)建XXXXX網(wǎng)絡(luò)安全等級(jí)保護(hù)方案的設(shè)計(jì)思想是以等級(jí)保護(hù)的“一個(gè)中心、

三重防護(hù)”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的全面的

安全保障體系。具體體現(xiàn)為：以全面貫徹落實(shí)等級(jí)保護(hù)制度為核心，打造科學(xué)

實(shí)用的網(wǎng)絡(luò)安全防護(hù)能力、安全風(fēng)險(xiǎn)監(jiān)測(cè)能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，

從安全技術(shù)、安全管理、安全運(yùn)維三個(gè)角度構(gòu)建安全防護(hù)體系，切實(shí)保障網(wǎng)絡(luò)

安全。

3.3.1安全技術(shù)體系

參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T25070-2019)

(以下簡(jiǎn)稱《設(shè)計(jì)技術(shù)要求》)，安全技術(shù)體系設(shè)計(jì)內(nèi)容主要涵蓋到“一個(gè)中

心、三重防護(hù)”。即安全管理中心、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算

環(huán)境。

3.3.2安全管理體系

僅有安全技術(shù)防護(hù)，無嚴(yán)格的安全管理相配合，是難以保障整個(gè)系統(tǒng)的穩(wěn)

定安全運(yùn)行。應(yīng)該在安全建設(shè)、運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按

制度進(jìn)行辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的

培訓(xùn)，提高安全管理水平，同時(shí)加強(qiáng)對(duì)緊急事件的應(yīng)對(duì)能力，通過預(yù)防措施和

恢復(fù)控制相結(jié)合的方式，使由意外事故所引起的破壞減小至可接受程度。

3.3.3安全運(yùn)維體系

由于安全技術(shù)和管理的復(fù)雜性、專業(yè)性和動(dòng)態(tài)性，業(yè)務(wù)信息系統(tǒng)安全的規(guī)

劃、設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)均需要有較為專業(yè)的安全服務(wù)支持。安全運(yùn)維服務(wù)

包括系統(tǒng)日常維護(hù)、安全加固、應(yīng)急響應(yīng)、業(yè)務(wù)持續(xù)性管理、安全審計(jì)、安全

培訓(xùn)等工作。

4安全技術(shù)體系設(shè)計(jì)

4.1安全區(qū)劃分

參考《設(shè)計(jì)技術(shù)要求》，首先需要對(duì)XXXXX整體網(wǎng)絡(luò)進(jìn)行安全區(qū)劃分，構(gòu)

建分區(qū)、分等級(jí)的安全防護(hù)體系。

基于區(qū)進(jìn)行安全設(shè)計(jì)的總體思想是：將原本復(fù)雜的系統(tǒng)，根據(jù)支撐業(yè)務(wù)、

信息資產(chǎn)、地理位置、使用單位等要素劃分為多個(gè)相對(duì)獨(dú)立的安全區(qū)域，然后

根據(jù)各個(gè)安全區(qū)域的特點(diǎn)來選擇不同的防護(hù)措施。針對(duì)XXXXX網(wǎng)絡(luò)覆蓋范圍廣，

業(yè)務(wù)服務(wù)種類繁、用戶對(duì)象多、等特點(diǎn)，因此采用基于安全區(qū)的安全設(shè)計(jì)辦法

是非常有效的，將XXXXX根據(jù)業(yè)務(wù)訪問關(guān)系劃分為多個(gè)安全區(qū)域，然后根據(jù)各

個(gè)安全區(qū)域的特點(diǎn)分別有針對(duì)性地設(shè)計(jì)保護(hù)措施和安全策略，將大大提升防護(hù)

的有效性，同時(shí)也體現(xiàn)出重點(diǎn)資產(chǎn)、重點(diǎn)防范的建設(shè)原則。

根據(jù)安全區(qū)劃分原則，重點(diǎn)考慮業(yè)務(wù)訪問關(guān)系，可將XXXXX網(wǎng)絡(luò)劃分為：

互聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)器區(qū)、DMZ區(qū)、運(yùn)維管理區(qū)。

■互聯(lián)網(wǎng)接入?yún)^(qū)：包括外聯(lián)路由及出口安全設(shè)備。

■核心交換區(qū)：包括核心交換機(jī)與內(nèi)河防火墻

■業(yè)務(wù)服務(wù)器區(qū)：核心業(yè)務(wù)區(qū)域包含各個(gè)業(yè)務(wù)系統(tǒng)。

■DMZ區(qū)：包括對(duì)外發(fā)布服務(wù)器等。

■運(yùn)維管理區(qū)：包括對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和安全系統(tǒng)提

供集中管理、運(yùn)維的服務(wù)器主機(jī)，該區(qū)域提供服務(wù)器主機(jī)及安全設(shè)

備的網(wǎng)絡(luò)接入。

4.2整體方案拓?fù)湓O(shè)計(jì)

針對(duì)XXXXX信息系統(tǒng)，基于分級(jí)分區(qū)保護(hù)的總體部署設(shè)計(jì)邏輯示意圖如下

所示:

4.3安全物理環(huán)境保護(hù)措施

安全物理環(huán)境主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等〕設(shè)

備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、

防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供

應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。

令供配電系統(tǒng)

XXXXX機(jī)房的供配電系統(tǒng)耍求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)

備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷，做到無單點(diǎn)失效和平穩(wěn)

可靠，這就要求兩路以上的市電供應(yīng)，N+1冗余的自備發(fā)電機(jī)系統(tǒng)，還有能保

證足夠時(shí)間供電的UPS系統(tǒng)。

?防雷接地

為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有四種接地形式，即

計(jì)算機(jī)專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護(hù)地、防雷保護(hù)地。

令溫濕控制

為了保證XXXXX機(jī)房的各種設(shè)備安全，要求機(jī)房配備溫濕控制系統(tǒng)來對(duì)

機(jī)房?jī)?nèi)溫濕度進(jìn)行控制，保障設(shè)備安全。

令消防報(bào)警及自動(dòng)滅火

為實(shí)現(xiàn)火災(zāi)自動(dòng)滅火功能，在XXXXX機(jī)房的各個(gè)地方，還應(yīng)該設(shè)計(jì)火災(zāi)

自動(dòng)監(jiān)測(cè)及報(bào)警系統(tǒng)，以便能自動(dòng)監(jiān)測(cè)火災(zāi)的發(fā)生，并且啟動(dòng)自動(dòng)滅火系統(tǒng)和

報(bào)警系統(tǒng)。

令門禁

XXXXX機(jī)房應(yīng)建立實(shí)用、高效的門禁系統(tǒng)，門禁系統(tǒng)需要注意的原則是

安全可靠、簡(jiǎn)單易用、分級(jí)制度、中央控制和多種識(shí)別方式的結(jié)合。

令保安監(jiān)控

XXXXX機(jī)房的保安監(jiān)控包括幾個(gè)系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報(bào)警

系統(tǒng)和人工監(jiān)控系統(tǒng)。

4.4安全通信網(wǎng)絡(luò)保護(hù)措施

4.4.1通信傳輸安全

遠(yuǎn)程辦公人員和運(yùn)維人員如果直接通過公網(wǎng)訪問內(nèi)部業(yè)務(wù)系統(tǒng)，部分?jǐn)?shù)據(jù)

在公網(wǎng)可能被人劫持、利用、篡改，同時(shí)如果在公網(wǎng)傳輸?shù)臄?shù)據(jù)是明文傳輸?shù)模?/p>

風(fēng)險(xiǎn)會(huì)更大，所以可以利用VPN功能（SSLVPN與IPSECVPN）,對(duì)公網(wǎng)傳

輸?shù)臄?shù)據(jù)進(jìn)行加密，構(gòu)建VPN隧道，避免在訪問內(nèi)部業(yè)務(wù)系統(tǒng)過程中數(shù)據(jù)被

竊取、篡改。本次直接在互聯(lián)網(wǎng)接入?yún)^(qū)防火墻開啟VPN模塊，通過VPN隧道，

用戶可以安全連入內(nèi)部業(yè)務(wù)系統(tǒng)，為用戶的數(shù)據(jù)提供了最大限度的安全保護(hù)。

4.4.2網(wǎng)絡(luò)架構(gòu)安全

單線路、單設(shè)備的結(jié)構(gòu)很容易發(fā)生單點(diǎn)故障導(dǎo)致業(yè)務(wù)中斷，因此對(duì)于提供

關(guān)鍵業(yè)務(wù)服務(wù)的XXXXX網(wǎng)絡(luò)，應(yīng)用訪問路徑上的任何一條通信鏈路、任何一

臺(tái)網(wǎng)關(guān)設(shè)備和交換設(shè)備，都應(yīng)當(dāng)采用可靠的冗余備份機(jī)制，以最大化保障數(shù)據(jù)

訪問的可用性和業(yè)務(wù)的連續(xù)性C

建議在XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)中，除了互聯(lián)網(wǎng)接入鏈路采用多運(yùn)營(yíng)商鏈路互備、

XXXXX網(wǎng)絡(luò)采用多服務(wù)器互備外，對(duì)于局域網(wǎng)骨干核心鏈路及相關(guān)的網(wǎng)絡(luò)路

由交換設(shè)備、安全網(wǎng)關(guān)設(shè)備等均采用冗余熱備的部署方式，以提升網(wǎng)絡(luò)系統(tǒng)的

整體容錯(cuò)能力，防止出現(xiàn)單點(diǎn)故障。

443網(wǎng)絡(luò)設(shè)備自身防護(hù)

建議對(duì)XXXXX的核心交換設(shè)備和路由設(shè)備的配置信息進(jìn)行人工檢查，對(duì)于

存在安全隱患的配置進(jìn)行修改，主要關(guān)注以下方面：

?登錄口令安全策略：應(yīng)當(dāng)使用安全的口令策略，制定口令長(zhǎng)度、復(fù)朵度

及生存周期等規(guī)則，并對(duì)本地保存的用戶口令進(jìn)行加密存放；

?登錄地址控制策略；對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行配置，指定可管理該網(wǎng)絡(luò)設(shè)備

的主機(jī)地址，只有使用在指定地址范圍內(nèi)的主機(jī)方可連接并管理該網(wǎng)絡(luò)

設(shè)備；

?用戶身份唯一性策略：對(duì)重要網(wǎng)絡(luò)設(shè)備的管理員帳號(hào)進(jìn)行維護(hù)，禁止多

個(gè)管理員共享相同用戶名對(duì)網(wǎng)絡(luò)設(shè)備同時(shí)進(jìn)行登錄和操作；

?登錄及會(huì)話安全策略：應(yīng)當(dāng)制定登錄錯(cuò)誤鎖定、會(huì)話超時(shí)退出等安全策

略；

?特權(quán)用戶權(quán)限分離策略：應(yīng)實(shí)現(xiàn)特權(quán)用戶的權(quán)限分離，如配置管理員不

應(yīng)擁有更改或刪除操作日志的權(quán)限；

?遠(yuǎn)程管理安全策略：應(yīng)當(dāng)采用HTTPS、SSH等安全遠(yuǎn)程管理手段，而不

應(yīng)采用不安全的HTTP、Telnet方式進(jìn)行遠(yuǎn)程管理；

?配置文件保護(hù)策略：應(yīng)當(dāng)每次更新網(wǎng)絡(luò)設(shè)備或安全設(shè)備配置信息后，以

及定期進(jìn)行配置文件備份，防止配置意外更改或丟失。

4.5安全區(qū)域邊界保護(hù)措施

安全區(qū)域邊界是對(duì)內(nèi)部應(yīng)用系統(tǒng)計(jì)算環(huán)境進(jìn)行安全防護(hù)和防止敏感信息泄

露的必經(jīng)渠道；通過區(qū)域邊界的安全控制，可以對(duì)進(jìn)入和流出應(yīng)用環(huán)境的信息

流進(jìn)行安全檢查，既可以保證應(yīng)用系統(tǒng)中的敏感信息不會(huì)泄漏出去，同時(shí)也可

以防止應(yīng)用系統(tǒng)遭受外界的惡意攻擊和破壞。

4.5.1負(fù)載均衡技術(shù)

在互聯(lián)網(wǎng)邊界部署負(fù)載均衡設(shè)備,在實(shí)現(xiàn)不同運(yùn)營(yíng)商鏈路相互備份的同時(shí)，

充分利用互聯(lián)網(wǎng)出口的帶寬資源，自動(dòng)選擇最優(yōu)路徑，將來自內(nèi)外網(wǎng)的流量分

流到最佳的鏈路上，保證帶寬有效利用，并達(dá)到最佳訪問速度。通過全方位的

負(fù)載均衡，增加了數(shù)據(jù)中心的服務(wù)器和網(wǎng)絡(luò)的利用率，保證應(yīng)用的安全性和可

靠性。

4.5.2Ddos防護(hù)技術(shù)

在互聯(lián)網(wǎng)邊界處皆署抗D設(shè)備，基于數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)

過濾及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)，準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)

一步將異常流量過濾，從而實(shí)現(xiàn)對(duì)異常流量的檢測(cè)與清洗。DDOS防范系統(tǒng)提

供檢測(cè)與防御流量型DDOS攻擊（如UDPFlood、TCPSYNFlood等）、應(yīng)用

型DDOS攻擊（如CC、DNSFlood、慢速連接耗盡等）、DOS攻擊（如Land、

Teardrop>Smurf等）、非法協(xié)議攻擊（如IP流、TCP無標(biāo)記、無確認(rèn)FIN、

圣誕樹等）四大類拒絕服務(wù)攻擊。

4.5.3邊界訪問控制技術(shù)

在互聯(lián)網(wǎng)邊界部署防火墻系統(tǒng)，基于網(wǎng)絡(luò)訪問控制技術(shù)、包過濾技術(shù)，通

過制定合理的訪問控制規(guī)則，對(duì)互聯(lián)網(wǎng)用戶訪問應(yīng)用服務(wù)器區(qū)進(jìn)行限制，從而

實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)用戶的訪問控制。防火墻技術(shù)是用來阻擋外部不安全因素影響的

內(nèi)部網(wǎng)絡(luò)屏障，也是用戶構(gòu)建互聯(lián)網(wǎng)邊界安全的第一道網(wǎng)絡(luò)安全屏障。

4.5.4入侵防范技術(shù)

在互聯(lián)網(wǎng)邊界部署入侵防御系統(tǒng)，基于強(qiáng)大入侵防范規(guī)則庫對(duì)互聯(lián)網(wǎng)流入

的流量數(shù)據(jù)包進(jìn)行行為實(shí)時(shí)檢測(cè)與分析，一旦發(fā)現(xiàn)攻擊行為立即阻斷，有效防

止溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒絕服務(wù)類、木馬類、蠕蟲類、

掃描類、網(wǎng)絡(luò)訪問類、HTTP攻擊類、系統(tǒng)漏洞類等類別攻擊，增強(qiáng)互聯(lián)網(wǎng)邊

界的網(wǎng)絡(luò)入侵防范能力。

在核心交換機(jī)旁路部署沙箱設(shè)備，提供各種虛擬模擬運(yùn)行環(huán)境，為不可信

代碼程序提供虛擬化的內(nèi)存、文件系統(tǒng)、網(wǎng)絡(luò)等資源，隔離運(yùn)行未知或可疑代

碼并對(duì)其進(jìn)行分析，從而有效發(fā)現(xiàn)利用新爆發(fā)漏洞(ODay/NDay)的惡意代碼

或未知的新型惡意代碼，并與網(wǎng)絡(luò)邊界部署的下一代防火墻進(jìn)行聯(lián)動(dòng)阻斷，從

而實(shí)現(xiàn)對(duì)未知新型威脅的有效防御。

455惡意代碼防范技術(shù)

在互聯(lián)網(wǎng)邊界防火墻開啟防毒模塊，基于病毒深度檢測(cè)與防范技術(shù)，通過

強(qiáng)大的病毒檢測(cè)引擎對(duì)互聯(lián)網(wǎng)流入內(nèi)網(wǎng)的流量數(shù)據(jù)包進(jìn)行實(shí)時(shí)檢測(cè)，一旦發(fā)現(xiàn)

病毒、木馬、間諜軟件等惡意軟件或代碼進(jìn)行阻斷攔截，為用戶網(wǎng)絡(luò)系統(tǒng)的整

體防毒建立第一道安全防線。

4.5.6網(wǎng)絡(luò)審計(jì)技術(shù)

在互聯(lián)網(wǎng)邊界防火墻開啟應(yīng)用識(shí)別模塊，對(duì)內(nèi)網(wǎng)交互數(shù)據(jù)進(jìn)行采集，能夠

分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量信息，通過對(duì)相關(guān)協(xié)議進(jìn)行分析，對(duì)網(wǎng)絡(luò)通信行為

和內(nèi)容進(jìn)行記錄和統(tǒng)計(jì)，幫助發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和違規(guī)行為。網(wǎng)絡(luò)審計(jì)的

重點(diǎn)對(duì)象是內(nèi)網(wǎng)用戶終端的網(wǎng)絡(luò)訪問行為，支持多種網(wǎng)絡(luò)應(yīng)用協(xié)議的監(jiān)控、還

原和審計(jì)，例如對(duì)通過HTTP、FTP、SMTP等方式訪問業(yè)務(wù)系統(tǒng)的用戶登錄、

用戶登錄IP地址、訪問時(shí)間、訪問內(nèi)容等進(jìn)行監(jiān)控和審計(jì)，滿足等保網(wǎng)絡(luò)行為

審計(jì)要求。

4.5.7邊界完整性技術(shù)

?服務(wù)器區(qū)域邊界完整性

建議在XXXXX各服務(wù)器安全區(qū)的接入交換機(jī)端口上綁定所連接服務(wù)器的

MAC地址，并關(guān)閉不用的交換機(jī)端口。對(duì)于接入到該類區(qū)域的非許可設(shè)備，由

于其MAC不會(huì)被交換機(jī)識(shí)別，而有效防止接入。

?終端區(qū)域邊界完整性

建議在核心交換機(jī)旁路部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，實(shí)現(xiàn)非法外聯(lián)監(jiān)控和非法

接入監(jiān)控功能。對(duì)接入XXXXX的終端設(shè)備進(jìn)行統(tǒng)一準(zhǔn)入認(rèn)證和安全策略管理，

有效保證XXXXX網(wǎng)絡(luò)邊界安全。

4.6安全計(jì)算環(huán)境設(shè)計(jì)

計(jì)算環(huán)境是XXXXX各類應(yīng)用的運(yùn)行環(huán)境，計(jì)算環(huán)境安全防護(hù)建設(shè)采用主

機(jī)惡意代碼防范技術(shù)、Web防火墻技術(shù)、網(wǎng)頁防篡改技術(shù)、漏洞掃描技術(shù)、數(shù)

據(jù)審計(jì)、數(shù)據(jù)防泄漏、關(guān)鍵數(shù)據(jù)脫敏及備份等技術(shù)進(jìn)行安全建設(shè)，增強(qiáng)XXXXX

網(wǎng)絡(luò)計(jì)算環(huán)境的安全防護(hù)能力。

4.6.1主機(jī)防病毒技術(shù)

在XXXXX網(wǎng)絡(luò)中所有適用的服務(wù)器（WINDOWS、LINUX）和客戶端（WINDOWS）

計(jì)算機(jī)上部署相應(yīng)平臺(tái)的網(wǎng)絡(luò)版防病毒軟件，有效查殺、威脅服務(wù)器和客戶端

正常運(yùn)行的病毒、惡意腳木、木馬、蠕蟲等惡意代碼。

在運(yùn)維管理區(qū)部署統(tǒng)一的防病毒系統(tǒng)管理服務(wù)器和升級(jí)服務(wù)器，確保全網(wǎng)

具有一致的防病毒策略和最新的病毒查殺能力。

4.6.2Web防火墻技術(shù)

在DMZ區(qū)WEB服務(wù)器前端部署Web應(yīng)用防火墻系統(tǒng)，通過Web檢測(cè)引

擎和安全策略對(duì)互聯(lián)網(wǎng)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)、對(duì)異常攻擊行為進(jìn)行阻斷，實(shí)

現(xiàn)對(duì)WEB應(yīng)用服務(wù)和網(wǎng)頁內(nèi)容的防護(hù)，屏蔽對(duì)網(wǎng)站的攻擊和篡改行為，實(shí)現(xiàn)

防跨站攻擊、防SQL注入、防止黑客入侵、網(wǎng)頁防篡改等功能，從而更有效地

對(duì)網(wǎng)站服務(wù)器系統(tǒng)及網(wǎng)頁內(nèi)容進(jìn)行安全保護(hù)，從應(yīng)用和業(yè)務(wù)邏輯層面真正解決

WEB應(yīng)用安全問題。

463漏洞掃描技術(shù)

建議在運(yùn)維管理區(qū)部署漏洞掃描系統(tǒng)，以本地掃描或遠(yuǎn)程掃描的方式，對(duì)

各臺(tái)重要的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)及相應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng)等進(jìn)行全面的漏

洞掃描和安全評(píng)估。系統(tǒng)提供詳盡的掃描分析報(bào)告和漏洞修補(bǔ)建議，幫助管理

員實(shí)現(xiàn)對(duì)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)，尤其是其中的重要服務(wù)器主機(jī)系統(tǒng)的安全加固，

提升安全等級(jí)。

464數(shù)據(jù)庫審計(jì)技術(shù)

在業(yè)務(wù)服務(wù)器區(qū)接入交換機(jī)上旁路部署數(shù)據(jù)庫審計(jì)系統(tǒng)，通過數(shù)據(jù)庫審計(jì)

技術(shù)能夠?qū)崟r(shí)記錄和分析網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)，對(duì)數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)

的合規(guī)性管理，對(duì)數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。通過對(duì)用戶訪問數(shù)據(jù)庫

行為的記錄、分析和匯報(bào)，幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源，同時(shí)

加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄，提高數(shù)據(jù)資產(chǎn)安全。

465數(shù)據(jù)備份技術(shù)

通過部署備份一體機(jī)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的備份和恢復(fù)。

4.7安全管理中心保護(hù)措施

4.7.1安全運(yùn)維管理與審計(jì)技術(shù)

建議在運(yùn)維管理區(qū)部署堡壘機(jī)，實(shí)現(xiàn)對(duì)企業(yè)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及

服務(wù)器進(jìn)行集中統(tǒng)一安全運(yùn)維管理，實(shí)現(xiàn)運(yùn)維單點(diǎn)登錄，統(tǒng)一管理運(yùn)維賬號(hào)，

管理運(yùn)維授權(quán)，并對(duì)運(yùn)維操作進(jìn)行審計(jì)記錄，并通過堡壘機(jī)實(shí)現(xiàn)對(duì)運(yùn)維角色與

權(quán)限的劃分，分為系統(tǒng)管理員、審計(jì)管理員、安全管理員等。

4.7.2集中日志收集與分析技術(shù)

建議在運(yùn)維管理區(qū)部署一套集中的口志收集和分析系統(tǒng)，通過被動(dòng)采集

(SYSLOG、SNMPTRAP)或主動(dòng)采集(ODBC/JDBC、文件讀取、安裝AGENT)

的方式對(duì)XXXXX網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)、安全設(shè)

備、安全軟件管理平臺(tái)等所產(chǎn)生的日志數(shù)據(jù)進(jìn)行統(tǒng)一采集、存儲(chǔ)、分析和統(tǒng)計(jì)，

為管理人員提供直觀的日志查詢、分析、展示界面，并長(zhǎng)期妥善保存日志數(shù)據(jù)

以便需要時(shí)查看。保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

4.7.3安全集中管控

在運(yùn)維管理區(qū)部署態(tài)勢(shì)感知平臺(tái)，提供對(duì)全網(wǎng)安全事件的集中監(jiān)控、分析

和處置，以及對(duì)安全風(fēng)險(xiǎn)、安全發(fā)展態(tài)勢(shì)的集中監(jiān)測(cè)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中的

安全管理，對(duì)安全事件進(jìn)行深度分析，并快速做出智能響應(yīng)，最終實(shí)現(xiàn)對(duì)信息

系統(tǒng)安全風(fēng)險(xiǎn)的集中監(jiān)管，提升XXXXX網(wǎng)絡(luò)的安全運(yùn)維能力，更好地支撐業(yè)

務(wù)持續(xù)性發(fā)展。

態(tài)勢(shì)感知平臺(tái)依據(jù)ISO27001安全管理標(biāo)準(zhǔn)，結(jié)合安全服務(wù)的最佳實(shí)踐，

以風(fēng)險(xiǎn)管理為核心，通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，實(shí)現(xiàn)了網(wǎng)絡(luò)內(nèi)部各

類安全事件的集中管理和智能分析，提供多視角、實(shí)時(shí)動(dòng)態(tài)的企業(yè)風(fēng)險(xiǎn)現(xiàn)狀展

示。同時(shí)，系統(tǒng)內(nèi)置了多種報(bào)警響應(yīng)、工單機(jī)制以及專家建議系統(tǒng)，可以幫助

用戶采取及時(shí)、有效的安全措施以實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理，保

證用戶的業(yè)務(wù)不受影響。

5安全管理體系設(shè)計(jì)

“三分技術(shù)，七分管理”這句話是對(duì)網(wǎng)絡(luò)安全建設(shè)工作非常客觀的描述。

任何安全建設(shè)僅在技術(shù)上是做不到完整的安全，還需要建立一套科學(xué)、嚴(yán)密的

網(wǎng)絡(luò)安全管理體系，為計(jì)算機(jī)信息化網(wǎng)絡(luò)系統(tǒng)提供制度上的保證，將由于內(nèi)、

外部的非法訪問或惡意攻擊造成的損失減少到最小。因此不能忽視安全建設(shè)管

理，必須提供具體的安全管理措施。

根據(jù)安全防范體系中的各種安全技術(shù)所需的技術(shù)管理工作，設(shè)定安全管理

的角色：業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)系統(tǒng)管理員、安全保密管理員、密鑰管理員、

系統(tǒng)審計(jì)員等職位。根據(jù)不同的職能，定義不同角色的責(zé)任和權(quán)利，制定相應(yīng)

的操作規(guī)范。

5.1安全管理機(jī)構(gòu)設(shè)計(jì)

安全管理機(jī)構(gòu)的規(guī)劃，應(yīng)以安全組織架構(gòu)設(shè)計(jì)為基礎(chǔ)，定義架構(gòu)中涉及到

的處室和崗位的職責(zé)以及管理方法，其內(nèi)容包含但不少于等級(jí)保護(hù)基本要求中

的第三級(jí)信息系統(tǒng)的管理要求中對(duì)管理機(jī)構(gòu)的要求。

根據(jù)其在網(wǎng)絡(luò)安全工作中扮演的不同角色進(jìn)行優(yōu)化組合的結(jié)果，反映了各

處室在網(wǎng)絡(luò)安全工作中的不同定位和相互協(xié)作關(guān)系。網(wǎng)絡(luò)安全組織架構(gòu)主要包

括參與網(wǎng)絡(luò)安全決策、管理、執(zhí)行和監(jiān)督工作的處室。

網(wǎng)絡(luò)安全組織架構(gòu)包含以下三個(gè)關(guān)鍵要素：

■決定了網(wǎng)絡(luò)安全工作中正式的報(bào)告關(guān)系，包括層級(jí)數(shù)和管理者的管理跨

度；

■決定了如何由個(gè)體組合成處室，再由處室到組織；

■組織架構(gòu)中包含了一套系統(tǒng)，以保證跨處室的有效溝通、合作與整合。

網(wǎng)絡(luò)安全組織架構(gòu)是開展網(wǎng)絡(luò)安全工作的基礎(chǔ)。在日常管理過程中，存在

著多項(xiàng)網(wǎng)絡(luò)安全管理事宜，需要對(duì)其中的重要事件進(jìn)行決策，從而為網(wǎng)絡(luò)安全

管理提供導(dǎo)向與支持；對(duì)于所制定的網(wǎng)絡(luò)安全管理方針需要進(jìn)行有效的貫徹和

落實(shí)；另外，對(duì)網(wǎng)絡(luò)安全管理方針貫徹落實(shí)的情況還需要進(jìn)行監(jiān)督，以上各種

情況都需要一個(gè)完善有效的網(wǎng)絡(luò)安全組織架構(gòu)來支撐。另外在未來網(wǎng)絡(luò)安全保

障體系建立的過程中，各種網(wǎng)絡(luò)安全項(xiàng)目的開展將成為網(wǎng)絡(luò)安全工作的一項(xiàng)重

要內(nèi)容，這也需要有相應(yīng)的組織予以支持。

本方案提出的網(wǎng)絡(luò)安全組織架構(gòu)是以等級(jí)保護(hù)基本要求為指導(dǎo)，在借鑒國(guó)

際最佳實(shí)踐的基礎(chǔ)上根據(jù)網(wǎng)絡(luò)安全工作開展的需求進(jìn)行完善的結(jié)果。

在完整的網(wǎng)絡(luò)安全組織中一般包含以下幾個(gè)重要組成部分:

■網(wǎng)絡(luò)安全決策機(jī)構(gòu)

■網(wǎng)絡(luò)安全管理機(jī)構(gòu)

■網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)

■網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)

以上組織機(jī)構(gòu)的具體存在形式可以是多樣的，如兼職的、虛擬的或者遠(yuǎn)程

的。目前國(guó)際上普遍采用的網(wǎng)絡(luò)安全組織架構(gòu)如下圖所示:

管理機(jī)構(gòu)

監(jiān)

管

執(zhí)行機(jī)構(gòu)

機(jī)

開發(fā)運(yùn)行使用

構(gòu)

圖5-1網(wǎng)絡(luò)安全組織架構(gòu)

＞網(wǎng)絡(luò)安全決策機(jī)構(gòu)

網(wǎng)絡(luò)安全決策機(jī)構(gòu)處于整個(gè)網(wǎng)絡(luò)安全組織架構(gòu)的頂端，主要從高層領(lǐng)導(dǎo)的

角度對(duì)于網(wǎng)絡(luò)安全方面的工作進(jìn)行指導(dǎo)和控制，網(wǎng)絡(luò)安全決策機(jī)構(gòu)應(yīng)當(dāng)是安全

工作的最高決定者，主要職能包括：

1）確定網(wǎng)絡(luò)安全工作的戰(zhàn)略和方向

2）決定本項(xiàng)目網(wǎng)絡(luò)安全組織

3）總體調(diào)配網(wǎng)絡(luò)安全工作的資源

4）負(fù)責(zé)通過和決定網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)

5）對(duì)于網(wǎng)絡(luò)安全方面的重大項(xiàng)目進(jìn)行審批

6）在協(xié)調(diào)安全工作中協(xié)調(diào)各處室關(guān)系

一般網(wǎng)絡(luò)安全決策機(jī)構(gòu)在組織中的主要表現(xiàn)形式是由相關(guān)各處室主管負(fù)責(zé)

人或代表組成的的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)委員會(huì)，參與人員主要取決于需要決策的內(nèi)容。

網(wǎng)絡(luò)安全決策機(jī)構(gòu)需要對(duì)網(wǎng)絡(luò)安全工作開展中的重大事項(xiàng)進(jìn)行決策，因此必須

要有網(wǎng)絡(luò)安全專職管理機(jī)構(gòu)的代表；網(wǎng)絡(luò)安全工作的需求來自于業(yè)務(wù)的開展，

因此很多情況下也考慮各處室的代表的參與；網(wǎng)絡(luò)安全決策工作中的一項(xiàng)重要

課題是資源保障，因此往往需要分別擁有資金調(diào)配、人員調(diào)配和設(shè)備調(diào)配權(quán)力

的處室的代表。至于對(duì)各處室選派代表的要求取決于決策機(jī)構(gòu)的工作形式，一

般來說需要有相關(guān)決定權(quán)力的人員作為代表。

＞網(wǎng)絡(luò)安全管理機(jī)構(gòu)

網(wǎng)絡(luò)安全管理機(jī)構(gòu)是整個(gè)網(wǎng)絡(luò)安全管理體系建立和維護(hù)的組織者和管理者,

它同時(shí)具有兩種角色：

1）網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的決策支持者，由管理機(jī)構(gòu)為

決策機(jī)構(gòu)提供必要的決策所需信息：

2）網(wǎng)絡(luò)安全管理機(jī)構(gòu)是網(wǎng)絡(luò)安全工作的規(guī)則制定者和決策推行的管理者。

可以說是網(wǎng)絡(luò)安全決策機(jī)構(gòu)的執(zhí)行組織，也可以說是網(wǎng)絡(luò)安全執(zhí)行機(jī)

構(gòu)的管理組織。

網(wǎng)絡(luò)安全管理機(jī)構(gòu)的職能主要包括：

1）整個(gè)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)的制定、更新

2）網(wǎng)絡(luò)安全項(xiàng)目的規(guī)劃、評(píng)審和質(zhì)量控制

3）對(duì)網(wǎng)絡(luò)安全工作的開展進(jìn)行日常管理和監(jiān)督

＞網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)

網(wǎng)絡(luò)安全執(zhí)行機(jī)構(gòu)主要負(fù)責(zé)具體網(wǎng)絡(luò)安全工作的執(zhí)行和開展。一般網(wǎng)絡(luò)安

全執(zhí)行機(jī)構(gòu)主要包括網(wǎng)絡(luò)安全工程組織和網(wǎng)絡(luò)安全運(yùn)行組織兩大類的組織。網(wǎng)

絡(luò)安全工程組織一般以獨(dú)立項(xiàng)目小組的形式存在，由專門的網(wǎng)絡(luò)安全開發(fā)和工

程處室和相關(guān)工程人員組成。

網(wǎng)絡(luò)安全工程組織主要負(fù)責(zé)的工作包括：

1.網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)

包括各項(xiàng)網(wǎng)絡(luò)安全技術(shù)的實(shí)施，如認(rèn)證授權(quán)與訪問控制系統(tǒng)的建設(shè)，網(wǎng)絡(luò)

安全運(yùn)營(yíng)中心的建設(shè)等

2.網(wǎng)絡(luò)安全管理項(xiàng)目實(shí)施

網(wǎng)絡(luò)安全管理項(xiàng)目的實(shí)施也是網(wǎng)絡(luò)安全工程組織的重要工作之一，例如網(wǎng)

絡(luò)安全規(guī)劃，信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與規(guī)范的制定等。

對(duì)于網(wǎng)絡(luò)安全運(yùn)行組織在XXXXX網(wǎng)絡(luò)中主要負(fù)責(zé)日常信息系統(tǒng)監(jiān)控維護(hù)

方面的工作，并及時(shí)匯報(bào)日常運(yùn)作中信息系統(tǒng)的安全情況。網(wǎng)絡(luò)安全運(yùn)行組織

一般是一個(gè)虛擬的機(jī)構(gòu)，包括運(yùn)行維護(hù)、監(jiān)控和技術(shù)支持在內(nèi)的專職或兼職的

網(wǎng)絡(luò)安全人員，通常會(huì)分散安排在各個(gè)相關(guān)處室中，并統(tǒng)一向?qū)ｉT的網(wǎng)絡(luò)安全

運(yùn)行管理人員匯報(bào)和負(fù)責(zé)。除此之外，專門的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心或是由外包商

提供的監(jiān)控服務(wù)也屬于這一機(jī)構(gòu)的范疇內(nèi)。網(wǎng)絡(luò)安全運(yùn)行組織的主要職責(zé)可以

概括如下：

1）依照各項(xiàng)管理政策、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則開展工作

2）提供各種安全服務(wù)以直接支持業(yè)務(wù)，包括監(jiān)控、事件響應(yīng)、故障處理

等

3）將工作中的各種需求和重要事項(xiàng)匯報(bào)給網(wǎng)絡(luò)安全管理機(jī)構(gòu)

4）接受管理機(jī)構(gòu)和監(jiān)督機(jī)構(gòu)的監(jiān)管、控制，并配合其開展工作

＞網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)

網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)的主要職能是對(duì)XXXXX網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)安全工作的開展情

況進(jìn)行獨(dú)立的審查和監(jiān)督。它可以是XXXXX網(wǎng)絡(luò)的內(nèi)部審計(jì)處室，也可以是

獨(dú)立的外部第三方審計(jì)機(jī)構(gòu)，其主要職責(zé)如下：

1）監(jiān)督各項(xiàng)網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)與規(guī)范、指南與細(xì)則的執(zhí)行情況，檢驗(yàn)

網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)是否按照其開展工作。

2）檢驗(yàn)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工作效果，包括網(wǎng)絡(luò)安全項(xiàng)目審

查、網(wǎng)絡(luò)安全服務(wù)效果審查，總體網(wǎng)絡(luò)安全情況評(píng)估和信息系統(tǒng)安全

性評(píng)價(jià)等工作。

網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)是針對(duì)XXXXX網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)的工

作進(jìn)行監(jiān)管，其審查監(jiān)督的結(jié)果直接向網(wǎng)絡(luò)安全決策機(jī)構(gòu)或者XXXXX網(wǎng)絡(luò)的

決策層進(jìn)行匯報(bào)，為網(wǎng)絡(luò)安全組織改進(jìn)工作提供支持。

＞網(wǎng)絡(luò)安全角色和職責(zé)

從根本上來說，網(wǎng)絡(luò)安全是XXXXX網(wǎng)絡(luò)中每一個(gè)和信息系統(tǒng)相關(guān)或是能

影響信息系統(tǒng)的安全情況的人員的職責(zé)。每個(gè)人在信息系統(tǒng)的運(yùn)行中，在不同

崗位上都扮演著相應(yīng)的角色。本部分將定義出XXXXX網(wǎng)