XX學(xué)院等保三級(jí)設(shè)計(jì)方案.docx

精選資料XX市XX學(xué)院等級(jí)保護(hù)（三級(jí)）建設(shè)方案2017年1月目錄一、工程概況4二、需求分析41、建設(shè)背景52、建設(shè)目標(biāo)5三、設(shè)計(jì)原則及依據(jù)71、設(shè)計(jì)原則72、設(shè)計(jì)依據(jù)8四、方案整體設(shè)計(jì)91、信息系統(tǒng)定級(jí)91、等級(jí)保護(hù)完全實(shí)施過程112、能力、措施和要求113、基本安全要求124、系統(tǒng)的控制類和控制項(xiàng)125、物理安全保護(hù)要求136、網(wǎng)絡(luò)安全保護(hù)要求147、主機(jī)安全保護(hù)要求148、應(yīng)用安全保護(hù)要求159、數(shù)據(jù)安全與備份恢復(fù)1610、安全管理制度1711、安全管理機(jī)構(gòu)1712、人員安全管理1813、系統(tǒng)建設(shè)管理1814、系統(tǒng)運(yùn)維管理192、等級(jí)保護(hù)建設(shè)流程202、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析211、網(wǎng)絡(luò)架構(gòu)222、可能存在的風(fēng)險(xiǎn)233、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求241、結(jié)構(gòu)安全242、訪問控制253、安全審計(jì)254、邊界完整性檢查255、入侵防范266、惡意代碼防范267、網(wǎng)絡(luò)設(shè)備防護(hù)264、現(xiàn)狀對(duì)比與整改方案261、現(xiàn)狀對(duì)比272、控制點(diǎn)整改措施303、詳細(xì)整改方案324、設(shè)備部署方案34五、產(chǎn)品選型381、選型建議382、選型要求393、設(shè)備選型清單39六、公司介紹40一、工程概況信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。在中國，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作XX市XX學(xué)院是2008年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國家教育部備案的公辦全日制高等職業(yè)技術(shù)院校。學(xué)院以高等職業(yè)教育為主，同時(shí)兼有中等職業(yè)教育職能。學(xué)院開拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)，確立了面向社會(huì)、服務(wù)市場(chǎng)，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實(shí)踐能力的辦學(xué)宗旨。學(xué)院本著讓學(xué)生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量，增強(qiáng)學(xué)生實(shí)踐動(dòng)手能力，注重對(duì)學(xué)生加強(qiáng)德育和行為規(guī)范教育，為企業(yè)和社會(huì)培養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專門人才。學(xué)院雄厚的師資力量、先進(jìn)的教學(xué)設(shè)備、嚴(yán)格的日常管理、完善的文體設(shè)施、優(yōu)質(zhì)的后勤服務(wù)以及寬敞潔凈的學(xué)生公寓和食堂，為廣大師生提供了優(yōu)美、舒適、理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的基礎(chǔ)上，還要包括系統(tǒng)整體測(cè)評(píng)。二、需求分析為了保障國家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國的基本國情，制定了等級(jí)保護(hù)制度。并將等級(jí)保護(hù)制度作為國家信息安全保障工作的基本制度、基本國策，促進(jìn)信息化、維護(hù)國家信息安全的根本保障。1、建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對(duì)信息系統(tǒng)依賴的程度越來越高，教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺(tái)，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國教育信息安全等級(jí)保護(hù)工作，國家教委教辦廳函200980文件發(fā)出“關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級(jí)保護(hù)工作方案；教育部辦公廳印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級(jí)保護(hù)工作專項(xiàng)檢查的通知（教辦廳函2010 80號(hào)）。XX市XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善，作為一個(gè)現(xiàn)代化的教學(xué)機(jī)構(gòu)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外,還應(yīng)對(duì)外界的通訊保證暢通。結(jié)合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)”等業(yè)務(wù)信息平臺(tái)，要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣的網(wǎng)絡(luò)上應(yīng)運(yùn)用多種設(shè)備和先進(jìn)技術(shù)來保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。同時(shí)學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問量巨大，訪問人員比較復(fù)雜，所以如何保證學(xué)校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社會(huì)進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落，它不停的改變著我們的工作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。2、建設(shè)目標(biāo)本次XX市XX學(xué)院業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)安全建設(shè)的主要目標(biāo)是：按照等級(jí)保護(hù)要求，結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)，對(duì)學(xué)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分調(diào)研及詳細(xì)分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個(gè)及滿足業(yè)務(wù)需要，又符合等級(jí)保護(hù)三級(jí)系統(tǒng)要求的業(yè)務(wù)平臺(tái)。建設(shè)一套符合國家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保障體系，達(dá)到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理與技術(shù)并重”的原則，并結(jié)合等級(jí)保護(hù)基本要求進(jìn)行設(shè)計(jì)。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問控制、抗拒絕服務(wù)攻擊，針對(duì)區(qū)域邊界采取防火墻進(jìn)行隔離，并在隔離后的各個(gè)安全區(qū)域邊界執(zhí)行嚴(yán)格的訪問控制，防止非法訪問；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)等網(wǎng)絡(luò)安全產(chǎn)品，為客戶構(gòu)建嚴(yán)密、專業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面：WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時(shí)具備對(duì)SQL注入、跨站腳本等通過應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷，并結(jié)合網(wǎng)頁防篡改子系統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時(shí)通過專業(yè)的安全加固服務(wù)對(duì)數(shù)據(jù)庫進(jìn)行安全評(píng)估和配置，對(duì)數(shù)據(jù)庫的訪問權(quán)限進(jìn)行嚴(yán)格設(shè)定，最大限度保證數(shù)據(jù)庫安全。同時(shí)，利用SAN、遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)有效保護(hù)重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計(jì)中，我們借助豐富的安全咨詢經(jīng)驗(yàn)和對(duì)等級(jí)保護(hù)管理要求的清晰理解，為用戶量身定做符合實(shí)際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險(xiǎn)評(píng)估服務(wù)：評(píng)估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析，分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評(píng)價(jià)用戶的業(yè)務(wù)安全風(fēng)險(xiǎn)承擔(dān)能力；安全監(jiān)控服務(wù)：通過資深的安全專家對(duì)各種安全事件的日志、記錄實(shí)時(shí)監(jiān)控與分析，發(fā)現(xiàn)各種潛在的危險(xiǎn)，并提供及時(shí)的修補(bǔ)和防御措施建議；滲透測(cè)試服務(wù)：利用網(wǎng)絡(luò)安全掃描器、專用安全測(cè)試工具和專業(yè)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶；應(yīng)急響應(yīng)服務(wù)：針對(duì)信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)、分析、解決問題的服務(wù)，當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí)，可以提供緊急的救援措施。方案收益實(shí)施信息安全等級(jí)保護(hù)建設(shè)工作可以為高校信息化建設(shè)實(shí)現(xiàn)如下收益： 有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平； 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展； 有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本； 有利于優(yōu)化信息安全資源的配置，對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障重要信息系統(tǒng)的安全； 有利于明確信息安全責(zé)任，加強(qiáng)信息安全管理； 有利于推動(dòng)信息安全的發(fā)展三、設(shè)計(jì)原則及依據(jù)1、設(shè)計(jì)原則根據(jù)學(xué)院的要求和國家有關(guān)法規(guī)的要求，本系統(tǒng)方案設(shè)計(jì)遵循性能先進(jìn)、質(zhì)量可靠、經(jīng)濟(jì)實(shí)用的原則，為實(shí)現(xiàn)學(xué)院等級(jí)保護(hù)管理奠定了基礎(chǔ)。l 全面保障：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手，全面的保障。l 整體規(guī)劃，分步實(shí)施：對(duì)信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。l 同步規(guī)劃、同步建設(shè)、同步運(yùn)行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個(gè)環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。l 適度安全：沒有絕對(duì)的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。l 內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí)，加強(qiáng)規(guī)范內(nèi)部人員行為和訪問控制、監(jiān)控和審計(jì)能力。l 標(biāo)準(zhǔn)化管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風(fēng)險(xiǎn)。l 技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設(shè)計(jì)依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計(jì)嚴(yán)格按照現(xiàn)行中華人民共和國以及內(nèi)蒙古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計(jì)或?qū)嵤┻^程中，如國家有新法規(guī)、規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān)技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。l 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則 （GB 17859-1999）l 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 （GB/T 25058-2010）l 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 （GB/T 22240-2008）l 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 （GB/T 22239-2008）l 信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006）l 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 （GB/T 25070-2010）l 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 （GB/T 28448-2012）l 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 （GB/T 28449-2012）l 信息系統(tǒng)安全管理要求 （GB/T 20269-2006）l 信息系統(tǒng)安全工程管理要求 （GB/T 20282-2006）l 信息系統(tǒng)物理安全技術(shù)要求 （GB/T 21052-2007）l 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 （GB/T 20270-2006）l 信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006）l 操作系統(tǒng)安全技術(shù)要求 （GB/T 20272-2006）l 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 （GB/T 20273-2006）l 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 （GB/T 20984-2007）l 信息安全事件管理指南 （GB/T 20985-2007）l 信息安全事件分類分級(jí)指南 （GB/Z 20986-2007）l 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 （GB/T 20988-2007）四、方案整體設(shè)計(jì)1、信息系統(tǒng)定級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)的流程如下：l 識(shí)別單位基本信息了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。l 識(shí)別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點(diǎn)了解定級(jí)對(duì)象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對(duì)本單位以外機(jī)構(gòu)或個(gè)人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級(jí)指導(dǎo)意見提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。l 識(shí)別信息調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所處理的信息，了解單位對(duì)信息的三個(gè)安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對(duì)國家、社會(huì)、本單位造成的影響，對(duì)影響程度的描述應(yīng)盡可能量化。l 識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級(jí)對(duì)象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。l 識(shí)別主要的軟硬件設(shè)備調(diào)查了解與定級(jí)對(duì)象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲(chǔ)設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。l 識(shí)別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。l 根據(jù)信息安全等級(jí)矩陣表，形成定級(jí)結(jié)果1、等級(jí)保護(hù)完全實(shí)施過程2、能力、措施和要求3、基本安全要求4、系統(tǒng)的控制類和控制項(xiàng)5、物理安全保護(hù)要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個(gè)控制點(diǎn)：l 物理位置的選擇（G）l 物理訪問控制（G）l 防盜竊和防破壞（G）l 防雷擊（G)l 防火（G）l 防水和防潮（G）l 防靜電（G）l 溫濕度控制（G）l 電力供應(yīng)（A）l 電磁防護(hù)（S）整改要點(diǎn)：6、網(wǎng)絡(luò)安全保護(hù)要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括以下7個(gè)控制點(diǎn)：l 結(jié)構(gòu)安全(G)l 訪問控制(G)l 安全審計(jì)(G)l 邊界完整性檢查(A)l 入侵防范(G)l 惡意代碼防范(G)l 網(wǎng)絡(luò)設(shè)備防護(hù)(G)。整改要點(diǎn)：7、主機(jī)安全保護(hù)要求主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機(jī)安全具體包括以下7個(gè)控制點(diǎn)：l 身份鑒別(S)l 訪問控制(S)l 安全審計(jì)(G)l 剩余信息保護(hù)(S)l 入侵防范(G)l 惡意代碼防范(G)l 資源控制(A)整改要點(diǎn)：8、應(yīng)用安全保護(hù)要求應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行。包括基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9個(gè)控制點(diǎn)：l 身份鑒別（S）l 訪問控制（S）l 安全審計(jì)（G）l 剩余信息保護(hù)（S）l 通信完整性（S）l 通信保密性（S）l 抗抵賴（G）l 軟件容錯(cuò)（A）l 資源控制（A）整改要點(diǎn)：9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。將對(duì)數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實(shí)時(shí)備份。數(shù)據(jù)安全和備份恢復(fù)具體包括以下3個(gè)控制點(diǎn)：l 數(shù)據(jù)完整性（S）l 數(shù)據(jù)保密性（S）、l 備份和恢復(fù)（A）整改要點(diǎn)：10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個(gè)控制點(diǎn)：l 管理制度l 制定和發(fā)布l 評(píng)審和修訂整改要點(diǎn)：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行。安全管理機(jī)構(gòu)具體包括以下5個(gè)控制點(diǎn)：l 崗位設(shè)置l 人員配備l 授權(quán)和審批l 溝通和合作l 審核和檢查整改要點(diǎn)：信息安全領(lǐng)導(dǎo)小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調(diào)會(huì)議、外部溝通與合作等12、人員安全管理對(duì)人員安全的管理，主要涉及兩方面： 對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。人員安全管理具體包括以下5個(gè)控制點(diǎn)：l 人員錄用l 人員離崗l 人員考核l 安全意識(shí)教育及培訓(xùn)l 外部人員訪問管理整改要點(diǎn)：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對(duì)不同崗位的培訓(xùn)計(jì)劃、外部人員訪問管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級(jí)、設(shè)計(jì)建設(shè)實(shí)施、驗(yàn)收交付、測(cè)評(píng)等方面考慮，關(guān)注各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理具體包括以下11個(gè)控制點(diǎn)：l 系統(tǒng)定級(jí)l 安全方案設(shè)計(jì)l 產(chǎn)品采購和使用l 自行軟件開發(fā)l 外包軟件開發(fā)l 工程實(shí)施 l 測(cè)試驗(yàn)收l 系統(tǒng)交付l 系統(tǒng)備案l 等級(jí)測(cè)評(píng)l 安全服務(wù)商選擇整改要點(diǎn)：系統(tǒng)定級(jí)的論證、總體規(guī)劃、產(chǎn)品選型測(cè)試、開發(fā)過程的人員控制、工程實(shí)施制度化、第三方委托測(cè)試、運(yùn)行起30 天內(nèi)備案、每年進(jìn)行1次等級(jí)測(cè)評(píng)、安全服務(wù)商的選擇14、系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括以下13個(gè)控制點(diǎn)：l 環(huán)境管理l 資產(chǎn)管理l 介質(zhì)管理l 設(shè)備管理、l 監(jiān)控管理和安全管理中心l 網(wǎng)絡(luò)安全管理l 系統(tǒng)安全管理l 惡意代碼防范管理l 密碼管理l 變更管理l 備份與恢復(fù)管理l 安全事件處置l 應(yīng)急預(yù)案管理整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識(shí)和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備份與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類分級(jí)響應(yīng)、 應(yīng)急預(yù)案的演練和審查。本次等保三級(jí)方案主要針對(duì)學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。2、等級(jí)保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。”據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過以下步驟進(jìn)行：1. 系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3. 確定安全域安全要求：參照國家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。4. 評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7. 持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過程，所以通過整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來保證用戶等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時(shí)新建了整套校園網(wǎng)絡(luò)，后期又經(jīng)過陸陸續(xù)續(xù)的升級(jí)和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D1、內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示，學(xué)院有無線和有線兩套網(wǎng)絡(luò)提供使用，整網(wǎng)采用縱向三層設(shè)計(jì)，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨(dú)的核心交換機(jī)S12006上聯(lián)至數(shù)據(jù)中心核心交換機(jī)N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨(dú)立的一臺(tái)出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。3、網(wǎng)絡(luò)安全安全設(shè)計(jì)分為對(duì)外部數(shù)據(jù)的安全保障和對(duì)本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺(tái)防火墻部署在出口網(wǎng)關(guān)與核心交換機(jī)之間，保障了對(duì)外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺(tái)服務(wù)器防護(hù)WG，下聯(lián)各服務(wù)器，上聯(lián)核心交換機(jī)，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)、日志記錄系統(tǒng)、用戶自助系統(tǒng)等。2、可能存在的風(fēng)險(xiǎn)XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運(yùn)行過程中所面臨的實(shí)際問題。1、來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運(yùn)行。設(shè)置安全是指在設(shè)備上進(jìn)行必要的設(shè)置，如服務(wù)器、交換機(jī)的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。2、來自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會(huì)經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。3、來自Internet的威脅Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會(huì)占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。3、等保三級(jí)對(duì)網(wǎng)絡(luò)的要求1、結(jié)構(gòu)安全1. 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2. 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；4. 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6. 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7. 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。2、訪問控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2. 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；3. 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；4. 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用8. 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量3、安全審計(jì)1. 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；2. 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4. 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。4、邊界完整性檢查1. 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；2. 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。5、入侵防范1. 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2. 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)告；6、惡意代碼防范1. 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2. 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護(hù)1. 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2. 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3. 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；4. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；5. 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；6. 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；7. 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；8. 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離4、現(xiàn)狀對(duì)比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達(dá)不到三級(jí)等保的要求，下面從以上7個(gè)控制點(diǎn)進(jìn)行詳細(xì)的對(duì)比，找出存在的問題并提出解決方案。1、 現(xiàn)狀對(duì)比主要是對(duì)已有設(shè)備的配置和使用情況進(jìn)行檢查和修改。l 網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；l 監(jiān)控分析及優(yōu)化服務(wù)；l 是否進(jìn)行了路由控制建立安全的訪問路徑？l 重要網(wǎng)段的隔離部署；l 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；如：MAC+IP綁定l 審計(jì)數(shù)據(jù)的梳理及分析；l 設(shè)定用戶的訪問權(quán)限并配置策略（內(nèi)部和外部）；l 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別和地址限制；l 對(duì)重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：l 打鉤表示已滿足要求。l 未打鉤表示未滿足要求，需要完善，可通過對(duì)現(xiàn)有設(shè)備進(jìn)行深化配置或者增添新設(shè)備來實(shí)現(xiàn)。結(jié)構(gòu)安全1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；3應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；4應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。訪問控制1應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；3應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；4應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；8應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量；安全審計(jì)1應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；2審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。入侵防范1應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)惡意代碼防范措施。惡意代碼防范1應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備防護(hù)1應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；4主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；5身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；6應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；7當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；8應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離2、控制點(diǎn)整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；部署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置ACL策略進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級(jí)，保證在網(wǎng)絡(luò)發(fā)生擁堵時(shí)優(yōu)先保護(hù)重要主機(jī)。必要時(shí)可部署專業(yè)流控產(chǎn)品進(jìn)行管控。2、訪問控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備；根據(jù)基本要求對(duì)隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制定相應(yīng)的ACL策略。包括：訪問控制粒度、用戶數(shù)量等。在配置防火墻等隔離設(shè)備的策略時(shí)要滿足相應(yīng)要求，包括：端口級(jí)的控制粒度；常見應(yīng)用層協(xié)議命令過濾；會(huì)話控制；流量控制；連接數(shù)控制；防地址欺騙等。3、安全審計(jì)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。加強(qiáng)審計(jì)功能，具備報(bào)表生成功能，同時(shí)采用日志服務(wù)器進(jìn)行審計(jì)記錄的保存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整性檢查。在檢測(cè)的同時(shí)要進(jìn)行有效阻斷。5、入侵防范部署入侵檢測(cè)系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測(cè)。包括：端口掃描、強(qiáng)力攻擊、木馬后門攻擊等各類攻擊行為。配置入侵檢測(cè)系統(tǒng)的日志模塊，記錄記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過一定的方式進(jìn)行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或AV、IPS網(wǎng)關(guān)進(jìn)行惡意代碼的檢測(cè)與清除，并定期升級(jí)惡意代碼庫。升級(jí)方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護(hù)根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、標(biāo)識(shí)符、口令的復(fù)雜度（3種以上字符、長(zhǎng)度不少于8位）、失敗處理，傳輸加密等方面。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)身份鑒別；對(duì)設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級(jí)的配置，實(shí)現(xiàn)權(quán)限分離。3、詳細(xì)整改方案1. 現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進(jìn)行可靠的技術(shù)隔離，應(yīng)采用相應(yīng)的VLAN隔離技術(shù)并為特定的無線用戶配置用戶隔離。2. 現(xiàn)有網(wǎng)絡(luò)未配置對(duì)業(yè)務(wù)服務(wù)的重要次序并指定帶寬分配優(yōu)先級(jí)別，需增添專業(yè)的流量控制設(shè)備對(duì)有線合無線用戶進(jìn)行全面管控。3. 在出口區(qū)域部署的防火墻雖然配置了相應(yīng)的安全策略，但是沒有將某些應(yīng)用的控制粒度細(xì)化到端口級(jí)別，需完善配置。4. 現(xiàn)有網(wǎng)絡(luò)設(shè)備沒有對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制，需增添一臺(tái)專業(yè)的行為管理設(shè)備進(jìn)行完善。5. 大部分設(shè)備的會(huì)話非活躍時(shí)間設(shè)置均為默認(rèn)值，應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，需修改設(shè)備的相應(yīng)數(shù)值進(jìn)行完善。6. 出口網(wǎng)關(guān)上沒有相應(yīng)的限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的配置，需根據(jù)用戶群體、數(shù)量及數(shù)據(jù)量的大小計(jì)算出合理的數(shù)值并完善。7. 交換機(jī)上沒有對(duì)重要網(wǎng)段采取技術(shù)手段防止地址欺騙，建議全網(wǎng)采用DHCP Snooping + IP Source guard + ARP Check方案或使用DHCP Snooping + DAI方案對(duì)地址欺騙進(jìn)行有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺(tái)SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，所以也可采用與SAM聯(lián)動(dòng)的方式SAM+Supplicant方案。8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問。應(yīng)在交換機(jī)上添加相應(yīng)配置，如采用ACL進(jìn)行控制，控制粒度應(yīng)為單個(gè)用戶。9. 設(shè)備未限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進(jìn)行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無法全面有效的記錄事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息，上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計(jì)，分開兩路電源對(duì)其供電，配置高復(fù)雜度密碼并定期進(jìn)行修改和檢查，與日志系統(tǒng)聯(lián)動(dòng)，實(shí)時(shí)轉(zhuǎn)存日志信息，實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋。12. 現(xiàn)有設(shè)備無法有效的對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷，應(yīng)增添專業(yè)的入侵檢測(cè)設(shè)備對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行完善。13. 現(xiàn)有設(shè)備無法全面有效的對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對(duì)其進(jìn)行有效阻斷。上述第4條中增添的行為管理設(shè)備可對(duì)此完美支持。14. 現(xiàn)有設(shè)備無法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。15. 現(xiàn)有設(shè)備無法全面有效的在檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，并無法全面有效的在發(fā)生嚴(yán)重入侵事件時(shí)提供惡意代碼和防范措施，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。16. 現(xiàn)有設(shè)備無法全面有效的在在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，上述第12條中增添的入侵檢測(cè)設(shè)備可對(duì)此完美支持。17. 安全類設(shè)備應(yīng)定期維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新，以免識(shí)別不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對(duì)網(wǎng)絡(luò)設(shè)備的管理員地址進(jìn)行限制，應(yīng)在所有設(shè)備上采用ACL等技應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，只允許管理員所在地址段的指定地址登錄設(shè)備并進(jìn)行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別，建議采用用戶名+密碼+驗(yàn)證碼等方式對(duì)設(shè)備進(jìn)行登錄和管理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；21. 現(xiàn)有設(shè)備未配置對(duì)登錄失敗處理功能，如采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的遠(yuǎn)程管理方式均采用Telnet和HTTP方式進(jìn)行登錄管理，無法防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS的方式對(duì)設(shè)備進(jìn)行登錄和管理。23. 當(dāng)前設(shè)備未配置對(duì)管理員的權(quán)限劃分，當(dāng)存在多個(gè)不同等級(jí)的管理員時(shí)，應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域的防護(hù)只部署了一臺(tái)WG，但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進(jìn)行防護(hù)，所以需要增添專業(yè)的數(shù)據(jù)庫審計(jì)設(shè)備對(duì)數(shù)據(jù)庫和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行全面檢測(cè)和審計(jì)。4、設(shè)備部署方案上述整改措施中包含服務(wù)類與產(chǎn)品類兩種解決方式，其中產(chǎn)品類措施中包含3臺(tái)設(shè)備，分別是行為管理、入侵檢測(cè)和漏洞掃描。1、行為管理設(shè)備1、部署位置為了保證有效的檢測(cè)和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署在核心交換機(jī)與出口網(wǎng)關(guān)中間，如下圖所示： 拓?fù)鋱D2、設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對(duì)性能也有一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩倍以上?？蓪?duì)數(shù)據(jù)進(jìn)行2-7層的全面檢查和分析，深度識(shí)別、管控和審計(jì)數(shù)百種IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等常見應(yīng)用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術(shù)提供強(qiáng)大的帶寬管理特性，配合創(chuàng)新的社交網(wǎng)絡(luò)行為精細(xì)化管理功能、清晰易管理日志等功能。建議采用：RG-UAC2、入侵檢測(cè)設(shè)備1、部署位置為了有效檢測(cè)整網(wǎng)中傳輸?shù)臄?shù)據(jù)，入侵檢測(cè)設(shè)備應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所示，設(shè)備直接旁掛在核心交換機(jī)上，核心交換機(jī)通過端口鏡像將所有數(shù)據(jù)發(fā)送給入侵檢測(cè)進(jìn)行檢測(cè)。拓?fù)鋱D2、設(shè)備選型建議設(shè)