网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 ，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央

......................................................................................15 5.1.4. 入侵防御................................................................................................... 部署堡垒机设 备进行限制 3.2. 安全需求总结 类别 安全需求 网络安全 划分安全域、明确安全边界 网络出口边界、新的安全边界部署防火墙设备 网络出口边界部署入侵检测设备 关键业务前段部署入侵防御系统 网页应用系统边界部署 WEB 应用安全网关 重要数据库部署网络安全审计系统 主机安全 部署身份认证系统对访问进行身份认证 部署堡垒机设备对主机访问进行控制与审计 采用网络版杀毒软件 安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的 安全等级、安全环境、安全策略等。安全域所涉及应用和资产的价值越高，面 临的威胁越大，那么它的安全保护等级也就越高。 （3）深度防御原则 根据网络应用访问的顺序，逐层进行防御，保护核心应用的安全。安全域 的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守， 包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体

....................................................................................31 5.3.1 应用入侵防御................................................................................................... 全目标。 1.2 安全建设拓扑 9 1.3 安全建设内容与目标 以网络安全体系设计为基础， 以支撑应用为目标， 基于“五位一体”的安全理念， 以数 据 为核心， 云网安维协同，结合“纵深防御”、“自适应安全”思想， 深化推进用户侧安全 防护、 跨网安全访问与交换平台边界防护、数据侧安全防护及安全运行与管理建设。 2 用户侧安全方案 2.1 用户侧安全建设思路 9 2.1.1 测、发现、和抵抗 这 些攻击所需的深入分析和行动情报。 沙箱检测系统集成网络封包、应用内容、文件过滤、 云 计算安全、动态模拟分析等多种检测引擎，可以在威胁生命周期的各个阶段，识别标准 安全 防御所无法检测的恶意内容、可疑通讯与攻击行为， 从而以最低的误判率和最大的覆 盖范围 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警

（八）组织协调消防工作，指导火灾预防、火灾扑救等工作。 （九）组织协调水旱灾害、地震和地质灾害等防治工作。负责应急指挥综合 监测预警工作，指导开展应急指挥综合风险评估工作。 （十）承担气象灾害防御工作。 （十一）组织协调灾害救助工作。组织指导灾情核查、损失评估、救灾捐赠 工作，管理、分配救灾款物并监督使用。 （十二）依法行使安全生产综合监督管理职责，指导协调、监督检查各街道 和部门安 业务信息资产为目的。尤其是 IT 业务向互联网、移动互联网、云架构的演进为攻 击者提供了更多的攻击向量，安全边界变得越发模糊；APT、0day 病毒、0day 漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的最佳手 段；而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。 3.8.3.安全需求分析 54 根据 XX 区应急管理局信息网的业务功能、特点及各业务系统的安全需求， 将网络划分为电子政务外网、应急指挥网。 建立符合应急指挥网与电子政务外网业务的安全基线，通过构建纵深防御体系、 内部行为分析、外部情报接入，构建下一代安全防御体系。 结合纵深防御的思想，从安全计算环境、安全区域边界、安全通信网络、安 全管理中心四个层次，构建统一安全策略和防护机制，实现核心业务系统和关键 业务数据的风险可控。 56 3.8.3.2. 四个安全能力 充分借鉴自适应安全防御体系框架，结合业务和数据安全需求，实现“预测、防

” “ ” 门联合出动制定了一系列的安全防范措施， 平安校园 、 数字校园 等建设相继展 开。 本次项目设计利用信息技术、网络技术、视频技术、智能识别技术，在人力 防范的基础上，采用现代化技术防御手段建设校园视频监控系统，针对学校安防 建设难点，加大校园公共区域及一般区域视频监控、出入管控等系统建设的覆盖， 加强校园自身安全监管需求；另一方面通过将重要点位视频接入公安天网，实现 温度、空气流动、雾气、雨雪等等环境因素都很容易引发误报，另外校园围墙树 木较多，即使我们在安装时对树木进行修剪，但是枝叶生长速度较快，学校后勤 压力较大、施工难度大、成本高，并存在一定的安全隐患，而且红外对射防范为 线性防御，防御区域不足。 智能视频识别功能是基于嵌入式智能视觉分析技术的监控系统，具有穿越警 戒线、入侵检测等功能模块，可以很好地解决复杂环境下遇到的各种难题。 本次阿坝职业学院周界入侵检测以普通网络视频监控为基础，利用智能视频 IP 视讯技术拓 展， 提供视频会议及远程示教的服务。实施 IP 监控技术拓展，提供园区治安监控 服务。 IP 视频技术和 IP 监控技术的结合，可提供事件应急指挥服务。 安全防御层面规划为层次化的渗透防御部署。面向外网出口层、园区核心层、 园区汇聚层、数据中心、用户行为控制等五个层面安全规划设计。针对业务流的 整个过程实现安全防护。 综合运维针对业务流各个环节的相应环节，包括设备资源、用户资源、业务

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

检 测 清 洗 ， 包 括 NTP REQUEST FLOOD、NTP REPLY FLOOD 等攻击检测，支持基于 NTP 请求限 速、NTP 响应限速、源认证、会话认证的防御策略。 入侵防 御系统 入侵防御系统软件全功能模块使用授权开启，要求提供三年原厂 7x24 小时软硬件售后保修和软件升级服务。 【性能参数】网络层吞吐量 10Gbps，IPS 吞吐量 4Gbps，并发连结数 代防火墙， 此外为保障政务服务效果，防止单点故障，出口设备均为双机部署。其中，链 路负载均衡支持 ipv6 以及多种链路调度功能，安全网关为国际领先的下一代防 火墙，创新融合网络层防火墙与入侵防御能力，通过一次拆包多次分析技术提 升处理效果和网络体验，对网络流量的深度解析，即使准确发现非法入侵攻击 行为，并执行实施精确阻断，主动而高效的保护用户网络安全。  链路负载均衡 本方案建设 安全网关为下一代防火墙，通过下一代防火墙构建融合安全的防护体系。 通过安全能力的融合实现事前风险预知、事中完整防护、事后检测及响应的闭 环，同时依靠安全能力的融合将安全能力及数据进行集中，避免防御短板阻断 高级威胁。 全程保护，闭环防御 在整个网络攻击的过程中，攻击者往往也遵循这一定的流程。在攻击初期 进行网络探测确定攻击目标寻找安全漏洞，然后在进行边界突破获取控制权限 在通过持续渗透或横向移动获取更多的控制权，最终再进行窃取破坏获得最大

的顶层 设计，遵循“零信任”的安全理念，实现应急管理各类网络与信息系统“用户访问 要认证、全程操作有记录、安全风险能预测、非法行为可溯源、安全事件能查 处”。 （1）“三横三纵”网络智能纵深防御体系 首先构建数据中心网络安全、用户域网络安全、跨网接入安全的“三横”网络防 御能力，其次通过在资产安全防护、威胁监测、事件响应的方面为整体安全保 障体系提供网络和通信安全“三纵”保障能力，保障应急管理信息化的安全、稳定 计算机安全保障。菏泽市应急管理局网络安全保障体系作为整个安全保障体 系的重要基础支撑，依照国家《网络安全法》和《网络安全等级保护基本要 求》等法规和标准，构建边界可控、接入可信、全网可管、全量可查的“三横三 纵”网络智能纵深防御体系。 7.计算机网络系统。菏泽市应急管理局电子政务外网是菏泽市电子政务外网重 第 40 页 菏泽市智慧应急（应急指挥中心）项目建设方案 要的节点，主要满足支撑应急部五大业务域的需求，按照山东省电子政务外网 保证整网运行的稳定性；无线网络通过园区网进行承载，采用无线控制器+瘦 AP 的架构，通过无线控制器进行统一管理，所有无线流量通过无线 AP 上联的 交换机进行本地转发。在网络出口处部署了上网行为管理，入侵防御及防火墙 等安全设备，考虑到园区网和设备网之间存在互联互通的需求，在园区网及设 备网之间部署边界防火墙，在实现两张网络互联互通的同时保证安全性。 第 146 页 菏泽市智慧应急（应急指挥中心）项目建设方案

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更为 严重。 ■ 虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制在 防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信息安 全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。 ■ 数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个方 7.3.2 云平台安全建设思路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程 传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技 术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全； ■ 分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括操 安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对操作、维护等 “ 各类日志的安全审计，提高对违规溯源的事后审查能力；采用 分区分域、重点保 ” “ ” 护 的建设原则，和 综合防御、积极防范 的建设思路，结合信息系统实际的网 络 环境，遵循方案的整体设计原则，为数据中心建设一个安全、稳定、可靠、实用 高效的网络安全基础平台。 “ 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照

带有恶意攻击行为的等，对常见已知确认的危险行为予以阻断并且记 录。 4.对(疑似)危险行为进行记录，供回溯审计。 5.对明确无需使用的服务(端口)通信流量禁止放行。 (2)入侵检测与防御 1.对缓冲区溢出、SQL 注入、暴力猜测、DoS 攻击、扫描探测、 蠕 虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报 警。 2.基于特征检测的方式时刻保持更新最新的特征库。 3 加强对办公环境的保密性管理，包括如工作人员调离办公室应 立即交换该办公室钥匙和不在办公区接待来访人员等。 4. 应用系统及数据安全设计 (1)强身份认证 政务网的用户终端要通过安全接入网关完成访问控制、入侵检测 与防御、内网安全管理、网络防病毒系统检测后才能使用网络和设备， 可采用数字证书认证方式对身份进行安全防护，加密授权 USB KEY 保 证应用的安全授权，提高系统整体安全性。 (2)系统管理 断、记录攻击报文，支持针对地址、应用设置入 侵防御白名单，支持攻击规则搜索以及自定义， 可对自定义规则导入导出；支持对 HTTP/SMTP/POP3/FTP/IM 等协议进行病毒防 御；支 持至少 2 种专业反病毒厂商的病毒特征 库，病毒特 征库规模超过 400 万支持行为分析， 及时发现异常 行为并告警，同时能够与 APT 进 行联动，实现协同 防御；支持 NTP 流量检测清 61 洗，能对