网络安全等级保护建设方案

微信扫码，打开到小程序

网络安全等级保护(第三级)(等保 2.0) 建 设 方 案 等保三级(等保 2.0)建设综合解决方案 目 录 第一章 项目概述 ..............................................................................4 1.1 项目概述 ............................................................................. 4 1.2 项目建设背景 .....................................................................4 1.2.1 法律要求 ..................................................................5 1.2.2 政策要求 ..................................................................7 1.3 项目建设目标及内容 ..........................................................7 1.3.1 项目建设目标 ...................................................................7 1.3.2 建设内容 .................................................................8 第二章 现状与差距分析 ............................................................................9 2.1 现状概述 .............................................................................9 2.1.1 信息系统现状 ..........................................................9 2.2 现状与差距分析 .............................................................. 11 2.2.1 物理安全现状与差距分析 .................................... 11 2.2.2 网络安全现状与差距分析 ....................................19 2.2.3 主机安全现状与差距分析 ....................................32 2.2.4 应用安全现状与差距分析 ....................................44 2.2.5 数据安全现状与差距分析 ....................................56 2.2.6 安全管理现状与差距分析 ....................................59 2.3 综合整改建议 .................................................................. 65 2.3.1 技术措施综合整改建议 ........................................65 2.3.2 安全管理综合整改建议 ....................................... 81 1 等保三级(等保 2.0)建设综合解决方案 第三章 安全建设目标 ................................................................... 83 第四章 安全整体规划.................................................................... 85 4.1 建设指导 .......................................................................... 85 4.1.1 指导原则............................................................... 85 4.1.2 安全防护体系设计整体架构.................................86 4.2 安全技术规划................................................................... 88 4.2.1 安全建设规划拓朴图.......................................... 88 4.2.2 安全设备功能 ....................................................... 89 4.3 建设目标规划................................................................... 95 第五章 工 程 建 设 .......................................................................... 98 5.1 工程一期建设 .................................................................. 98 5.1.1 区域划分 ............................................................... 98 5.1.2 网络环境改造 ....................................................... 99 5.1.3 网络边界安全加固................................................ 99 5.1.4 网络及安全设备部署...........................................100 5.1.5 安全管理体系建设服务 ......................................135 5.1.6 安全加固服务 ......................................................153 5.1.7 应急预案和应急演练...........................................161 5.1.8 安全等保认证协助服务 .......................................161 5.2 工程二期建设 ..................................................................162 5.2.1 安全运维管理平台(soc) ......................................162 5.2.2 APT 高级威胁分析平台......................................166 2 等保三级 ( 等保 2 . 0 ) 建设综合解 决方 案 第一章项目概述 1.1 项目概述 某单位是人民政府的职能部门，贯彻执行国家有关机关事务 工作的方针政策，拟订省机关事务工作的政策、规划和规章制度 并组织实施，负责省机关事务的管理、保障、服务工作。 在面对现在越来越严重的网络安全态势下，某单位积极响应 国家相关政策法规，积极开展信息安全等级保护建设。对自有网 络安全态势进行自我核查，补齐等保短板，履行安全保护义务。 项目目标：打造一个可信、可管、可控、可视的安全网络环 境，更好的为机关各部门及领导者和公务人员提供工作和生活条 件，更好的保障各项行政活动正常进行。 1.2 项目建设背景 机关后勤管理工作因为其政府内部服务的特殊性，一直比较 少地为社会公众所关注或重视。机关后勤管理包括对物资、财 务、环境、生活以及各种服务项目在内的事务工作的管理，是行 政机关办公室管理的重要一环，为机关各部门以及领导者和公务 人员提供工作和生活条件，是保障各项行政活动正常进行的物质 基 础 。 随着这几年地区经济的高速发展和政府行政职能分配管理的 需要，使机关事务管理工作的管理范围和管理对象也相应的扩展 和增加，管理工作变得十分繁重。尤其是在新增的一些业务管理 4 等保三级 ( 等保 2 . 0 ) 建 设 综合解 决方 案 工作方面，如对政府机关单位固定资产的管理、房屋出租、分配 的管理等，同时，随着这几年国家对资产管理的重视，信息化建 设从原来注重财务管理信息化逐渐向国有资产管理信息化发展， 作为机关事务管理的机构，正承担着这样一种责任和使命。同时 在面对现在不容乐观的整体安全态势环境下，开展机关事务管理 的信息化建设与信息安全建设，是整个社会和国家发展的必然趋 势。 1.2.1 法律要求 在 2017 年 6 月 1 日颁发的《中华人民共和国网络安全 法》中 明确规定了法律层面的网络安全。具体如下： “ ” 没有网络安全，就没有国家安全 , 《网络安全法》第二 十 “ ” 一条明确规定 国家实行网络安全等级保护制度 。各网络运 营者 应当按照要求，开展网络安全等级保护的定级备案、等级测 评、安全建设、安全检查等工作。除此之外，《网络安全法》中 还从网络运行安全、关键信息基础设施运行安全、网络信息安全 等对以下方面做了详细规定： 网络日志留存：第二十一条还规定，网络运营者应当制定内 部安全管理制度和操作规程，确定网络安全负责人，落实网络安 全保护责任；采取防计算机病毒、网络攻击、网络侵入等危害网络 安全行为的技术措施；采取监测、记录网络运行状态、网络安全事 件的技术措施，留存不少于六个月的相关网络日志；采取数据分 类、重要数据备份和加密等措施。未履行上述网络安全保护义务 5 等保三级 ( 等保 2 . 0 ) 建设综合解 决方 案 的，会被依照此条款责令整改，拒不改正或者导致危害网络安全 等后果的，处一万元以上十万元以下罚款，对直接负责的主管人 员处五千元以上五万元以下罚款。 漏洞处置：第二十五条规定，网络运营者应当制定网络安全 事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网 络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急 预案，采取相应的补救措施，并按照规定向有关主管部门报告。 没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻 击的；在发生网络安全事件时处置不恰当的，会被依照此条款责令 整改，拒不改正或者导致危害网络安全等后果的，处一万元以上 十万元以下罚款，对直接负责的主管人员处五千元以上五万元以 下罚款 。 容灾备份：第三十四条第三项规定，关键信息基础设施单位 对重要系统和数据库进行容灾备份。没有对重要系统和数据库进 行容灾备份的会被依照此条款责令改正。 应急演练：第三十四条第四项规定，关键信息基础设施单位 应当制定网络安全事件应急预案，并定期进行演练。没有网络安 全事件预案的，或者没有定期演练的，会被依照此条进行责令改 正 。 安全检测评估： 第三十八条规定，关键信息基础设施的运营 者应当自行或者委托网络安全服务机构对其网络的安全性和可能 存在的风险每年至少进行一次检测评估，并将检测评估情况和改 6 等保三级 ( 等保 2 . 0 ) 建 设 综合解 决方 案 进措施报送相关负责关键信息基础设施安全保护工作的部门。每 年没有进行安全检测评估的单位要被责令改正。 1.2.2 政策要求 为切实加强门户网站安全管理和防护，保障网站安全稳定运 行，国家非常重视，陆续颁布以下文件：《关于加强党政机关网 站安全管理的通知》(中网办发文〔2014〕1 号)、《关于做好 党 政机关网站开办审核、资格复核和网站标识管理工作的通知》 (中央编办发〔2014〕69 号),公安部、中央网信办、中编办、 工信部等四部门《关于印发〈党政机关、事业单位和国有企业互 联网网站安全专项整治行动方案〉的通知》(公信安〔2015) 2562 号) 1.3 项目建设目标及内容 1.3.1 项目建设目标 依据国家信息安全等级保护相关指导规范，对某单位信息系 统、基础设施和骨干网络按照等保三级进行安全建设规划，对安 全建设进行统一规划和设备选型，实现方案合理、组网简单、扩 容灵活、标准统一、经济适用的建设目标。 “ 依据信息安全等级保护三级标准，按照 统一规划、统一标 ” 准、重点明确、合理建设 的基本原则，在物理安全、网络安 全、主机安全、应用安全、数据安全等几个方面进行安全规划与 “ ” 建设，确保 网络建设合规、安全防护到位 。 7 等保三级 ( 等保 2 . 0 ) 建设综合解 决方 案 方案目标是让某单位的骨干网络、相关应用系统达到安全等 级保护第三级要求。经过建设后使整体网络形成一套完善的安全 防护体系，提升整体信息安全防护能力。 1.3.2 建设内容 本项目以某单位骨干网络、信息系统等级保护建设为主线， 以让相关信息系统达到安全等级保护第三级要求。借助网络产 品、安全产品、安全服务、管理制度等手段，建立全网的安全防 控管理服务体系，从而全面提高某单位的工作效率，提升信息化 运用水平。 建设内容包括某单位内网骨干网络、基础设施和信息系统 等。 8 等保三级 ( 等保 2 . 0 ) 建 设综合解 决方案 第二章现状与差距分析 2.1 现状概述 2.1.1 信息系统现状 本次项目中某单位外网项目中涉及的设备有： 1)服务器≥4 台 2)网络设备若干路由器、交换机、 ap 3)安全设备有：1 台防火墙(过保)、 WAF (过保)、2 台 ips(dmz 区前 IPS 已过保)、上网行为管理(过保)、 防病毒网关、绿盟安全审计系统、360 天擎终端杀毒 (只具有杀毒模块) 4)存储设备：火星舱容灾备份 2.1.1.1 网络系统现状 某单位的网络系统整体构架采用三层层次化模型网络架 构， 即由核心层、汇聚层和接入层组成。 网络现状： 核心层：核心层是网络的高速交换主干，对整个网络的连通 起到至关重要的作用。某单位内网核心，由 1 台 DPX 安全业务 网 关组成。 汇聚层： “ ” 汇聚层是网络接入层和核心层的 中介 ,是在工 作 站接入核心层前先做汇聚，以减轻核心层设备的负荷。某单位 等保三级 ( 等保 2 . 0 ) 建 设综合解 决方案 内网中，由迪普和 H3C 交换机作为内网的有线汇聚和内网的无 线 汇聚交换机。 接入层：接入层向本地网段提供工作站接入。某单位内网网 络中，由各种品牌的交换机作为终端前端接入交换机，为各区域 提供接入。 在 DPX 核心交换机上划分 VLAN 和网关，整体网络中部署了 防 病毒网关、IPS、UAG 、DDI、数据容灾备份系统。 OA 系统连接 至无 线汇聚交换机。其他各系统旁路至核心交换机上。 安全现状： 在整体网络中部署有相应的安全设备做安全防护，但部分安 全设备过保，整体网络安全防护体系不够完善、区域划分不合 理，现状拓扑图如下： 图 表 1 现 状 拓 扑 图 2.1.1.2 主机系统现状 某单位的业务系统 OA、文件交换箱等，部署于多台服务器 上。服务器为机架式服务器和塔式服务器，固定于标准机柜与固 定位置，并进行标识区分。服务器操作系统全都采用微软的 Windows Server 系列操作系统。 某单位办公终端约为 300 台， win7 为 主 ，XP 系统占少数， 主 机系统没有进行过定期更新补丁，安装有 360 天擎杀毒软件 等保三级 ( 等保 2 . 0 ) 建设 综合解 决方 案 2.1.1.3 应用系统现状 某单位的应用系统主要为以下业务系统： OA、文件交换箱 等。也包含一些其他的办公软件。 2.2 现状与差距分析 2.2.1 物理安全现状与差距分析 某单位机房建设过程中参照 B 级机房标准参考进行统一规 划，存在的物理安全隐患较少。但仍需参照以下标准进行核查、 整改；根据信息安全等级保护(第三级)中对物理安全相关项 (防火、防雷、防水、防磁及电力供应等)存在些许差距。详见 下表差距分析。 图表 2 物理安全现状 号 要求指标项 是否 符合 现状分析 备注 物理位置的选择(G3) 本项要求包括： a)机房和办公 场地应选择在具有 防震、防风和防雨 等能力的建筑内； 符合 要求 满足 b)机房场地应 避免设在建筑物的 符合 要求 满足 等保三级 ( 等保 2 . 0 ) 建 设综合 解决方 案 ： 号 要求指标项 是否 符合 现状分析 备注 高层或地下室，以 及用水设备的下层 或隔壁。 物理访问控制(G3) 本项要求包括： a)机房出入口 应安排专人值守， 控制、鉴别和记录 进入的人员； 不符 合要求 不满足 无相关 记录 b)需进入机房 的来访人员应经过 申请和审批流程， 并限制和监控其活 动范围 ； 不符 合要求 不满足 有监 控，但是没 有申请和审 批流程 c)应对机房划 分区域进行管理， 区域和区域之间设 置物理隔离装置， 在重要区域前设置 交付或安装等过渡 基本 符合要求 依据业务系 统进行了机柜间 的区域区分，但 未在重要区域前 设置物理隔离装 置。 在重要 区域前设置 物理隔离装 置。 等保三级 ( 等保 2 . 0 ) 建设 综合解 决方 案 号 要求指标项 是否 符合 现