信息系統(tǒng)安全保障體系規(guī)劃方案.doc

XX信息系統(tǒng)安全保障體系規(guī)劃方案XXX信息系統(tǒng)安全保障體系規(guī)劃方案V2.5文檔信息文檔名稱XX管理信息系統(tǒng)安全保障體系規(guī)劃方案保密級(jí)別商業(yè)秘密文檔編號(hào)制作人制作日期復(fù)審人復(fù)審日期復(fù)審日期分發(fā)控制讀者文檔權(quán)限與文檔的主要關(guān)系創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核本技術(shù)方案WWWWWWWW閱讀版本控制時(shí)間版本說(shuō)明修改人V1.0文檔初始化V2.5修改完善106目 錄1.概述51.1.引言51.2.背景51.2.1.XXXX行業(yè)行業(yè)相關(guān)要求51.2.2.國(guó)家等級(jí)保護(hù)要求61.2.3.三個(gè)體系自身業(yè)務(wù)要求71.3.三個(gè)體系規(guī)劃目標(biāo)71.3.1.安全技術(shù)和安全運(yùn)維體系規(guī)劃目標(biāo)71.3.2.安全管理體系規(guī)劃目標(biāo)81.4.技術(shù)及運(yùn)維體系規(guī)劃參考模型及標(biāo)準(zhǔn)101.4.1.參考模型101.4.2.參考標(biāo)準(zhǔn)121.5.管理體系規(guī)劃參考模型及標(biāo)準(zhǔn)121.5.1.國(guó)家信息安全標(biāo)準(zhǔn)、指南121.5.2.國(guó)際信息安全標(biāo)準(zhǔn)131.5.3.行業(yè)規(guī)范132.技術(shù)體系建設(shè)規(guī)劃142.1.技術(shù)保障體系規(guī)劃142.1.1.設(shè)計(jì)原則142.1.2.技術(shù)路線142.2.信息安全保障技術(shù)體系規(guī)劃152.2.1.安全域劃分及網(wǎng)絡(luò)改造152.2.2.現(xiàn)有信息技術(shù)體系描述242.3.技術(shù)體系規(guī)劃主要內(nèi)容292.3.1.網(wǎng)絡(luò)安全域改造建設(shè)規(guī)劃292.3.2.網(wǎng)絡(luò)安全設(shè)備建設(shè)規(guī)劃322.3.3.CA認(rèn)證體系建設(shè)402.3.4.數(shù)據(jù)安全保障422.3.5.終端安全管理452.3.6.備份與恢復(fù)462.3.7.安全運(yùn)營(yíng)中心建設(shè)472.3.8.周期性風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理482.4.技術(shù)體系建設(shè)實(shí)施規(guī)劃492.4.1.安全建設(shè)階段492.4.2.建設(shè)項(xiàng)目規(guī)劃503.運(yùn)維體系建設(shè)規(guī)劃513.1.風(fēng)險(xiǎn)評(píng)估及安全加固513.1.1.風(fēng)險(xiǎn)評(píng)估513.1.2.安全加固513.2.信息安全運(yùn)維體系建設(shè)規(guī)劃513.2.1.機(jī)房安全規(guī)劃513.2.2.資產(chǎn)和設(shè)備安全523.2.3.網(wǎng)絡(luò)和系統(tǒng)安全管理553.2.4.監(jiān)控管理和安全管理中心603.2.5.備份與恢復(fù)613.2.6.惡意代碼防范623.2.7.變更管理633.2.8.信息安全事件管理643.2.9.密碼管理673.3.運(yùn)維體系建設(shè)實(shí)施規(guī)劃683.3.1.安全建設(shè)階段683.3.2.建設(shè)項(xiàng)目規(guī)劃684.管理體系建設(shè)規(guī)劃704.1.體系建設(shè)704.1.1.建設(shè)思路704.1.2.規(guī)劃內(nèi)容714.2.信息安全管理體系現(xiàn)狀724.2.1.現(xiàn)狀724.2.2.問(wèn)題744.3.管理體系建設(shè)規(guī)劃754.3.1.信息安全最高方針754.3.2.風(fēng)險(xiǎn)管理764.3.3.組織與人員安全764.3.4.信息資產(chǎn)管理794.3.5.網(wǎng)絡(luò)安全管理914.3.6.桌面安全管理934.3.7.服務(wù)器管理934.3.8.第三方安全管理954.3.9.系統(tǒng)開發(fā)維護(hù)安全管理974.3.10.業(yè)務(wù)連續(xù)性管理984.3.11.項(xiàng)目安全建設(shè)管理1004.3.12.物理環(huán)境安全1024.4.管理體系建設(shè)規(guī)劃1034.4.1.項(xiàng)目規(guī)劃1034.4.2.總結(jié)1041. 概述1.1. 引言本文檔基于對(duì)XX股份公司（以下簡(jiǎn)稱“XX股份公司工業(yè)”）信息安全風(fēng)險(xiǎn)評(píng)估總體規(guī)劃的分析，提出XX股份公司管理信息安全技術(shù)工作的總體規(guī)劃、目標(biāo)以及基本原則，并在此基礎(chǔ)上從信息安全保障體系的視角描繪了未來(lái)的信息安全總體架構(gòu)。本文檔內(nèi)容為信息安全技術(shù)體系、運(yùn)維體系、管理體系的評(píng)估和規(guī)劃，是信息安全保障體系的主體。1.2. 背景1.2.1. XXXX行業(yè)行業(yè)相關(guān)要求國(guó)家XXXX行業(yè)總局一直以來(lái)十分重視信息安全管理工作，先后下發(fā)了涉及保密計(jì)算機(jī)運(yùn)行、等級(jí)保護(hù)定級(jí)等多個(gè)文件，在2008年下發(fā)了147號(hào)文XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南，指南從技術(shù)、管理、運(yùn)維三個(gè)方面對(duì)安全保障提出了建議，如下圖所示。圖 1_1行業(yè)信息安全保障體系框架1.2.2. 國(guó)家等級(jí)保護(hù)要求等級(jí)保護(hù)工作作為我國(guó)信息安全保障工作中的一項(xiàng)基本制度，對(duì)提高基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全防護(hù)水平有著重要作用，國(guó)家XXXX行業(yè)專賣局在2008年8月下發(fā)了國(guó)煙辦綜2008358號(hào)文國(guó)家XXXX行業(yè)專賣局辦公室關(guān)于做好XXXX行業(yè)行業(yè)信息系統(tǒng)安全等級(jí)定級(jí)工作的通知，而在信息系統(tǒng)安全等級(jí)保護(hù)基本要求中對(duì)信息安全管理和信息安全技術(shù)也提出了要求，如下圖所示。圖 1_2等?；疽罂蚣軋D1.2.3. 三個(gè)體系自身業(yè)務(wù)要求在國(guó)家數(shù)字XXXX行業(yè)政策的引導(dǎo)下，近年來(lái)信息系統(tǒng)建設(shè)日趨完善，尤其是隨著國(guó)家局統(tǒng)一建設(shè)的一號(hào)工程的上線，業(yè)務(wù)系統(tǒng)對(duì)信息系統(tǒng)的依賴程度逐漸增加，信息系統(tǒng)的重要性也逐漸提高，其安全保障就成為了重點(diǎn)。此外，除了一號(hào)工程外，信息系統(tǒng)的重要組成部分還有MES系統(tǒng)、ERP系統(tǒng)、網(wǎng)站系統(tǒng)、工商協(xié)同營(yíng)銷系統(tǒng)、LIMS系統(tǒng)、OA系統(tǒng)及生產(chǎn)系統(tǒng)（卷包中控系統(tǒng)、物流中控系統(tǒng)、制絲中控系統(tǒng)、動(dòng)力中控系統(tǒng)）等。企業(yè)生產(chǎn)已經(jīng)高度依賴于企業(yè)的信息化和各信息系統(tǒng)。信息系統(tǒng)現(xiàn)階段還無(wú)法達(dá)到完全的自動(dòng)化和智能化運(yùn)行。因此需要各級(jí)技術(shù)人員對(duì)信息系統(tǒng)進(jìn)行運(yùn)行和維護(hù)。在整個(gè)信息系統(tǒng)運(yùn)行的過(guò)程中，起主導(dǎo)作用的仍然是人，是各級(jí)管理員。設(shè)備的作用仍然僅僅停留在執(zhí)行層面。因此信息系統(tǒng)的穩(wěn)定運(yùn)行的決定因素始終都在于人員的操作。信息安全運(yùn)維體系的作用是在安全管理體系和安全技術(shù)體系的運(yùn)行過(guò)程中，發(fā)現(xiàn)和糾正各類安全保障措施存在的問(wèn)題和不足，保證它們穩(wěn)定可靠運(yùn)行，有效執(zhí)行安全策略規(guī)定的目標(biāo)和原則。當(dāng)運(yùn)行維護(hù)過(guò)程中發(fā)現(xiàn)目前的信息安全保障體系不能滿足本單位信息化建設(shè)的需要時(shí)，就可以對(duì)保障體系進(jìn)行新的規(guī)劃和設(shè)計(jì)。從而使新的保障體系能夠適應(yīng)企業(yè)不斷發(fā)展和變化的安全需求。這也仍遵循和完善了PDCA原則。1.3. 三個(gè)體系規(guī)劃目標(biāo)1.3.1. 安全技術(shù)和安全運(yùn)維體系規(guī)劃目標(biāo)建立技術(shù)體系的目的是通過(guò)使用安全產(chǎn)品和技術(shù)，支撐和實(shí)現(xiàn)安全策略，達(dá)到信息系統(tǒng)的保密、完整、可用等安全目標(biāo)。按照P2DR2模型，行業(yè)信息安全技術(shù)體系涉及信息安全防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)四個(gè)方面的內(nèi)容：1) 防護(hù)：通過(guò)訪問(wèn)控制、信息系統(tǒng)完整性保護(hù)、系統(tǒng)與通信保護(hù)、物理與環(huán)境保護(hù)等安全控制措施，使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。2) 檢測(cè)：通過(guò)采取入侵檢測(cè)、漏洞掃描、安全審計(jì)等技術(shù)手段，對(duì)信息系統(tǒng)運(yùn)行狀態(tài)和操作行為進(jìn)行監(jiān)控和記錄，對(duì)信息系統(tǒng)的脆弱性以及面臨的威脅進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。3) 響應(yīng)：通過(guò)事件監(jiān)控和處理工具等技術(shù)措施，提高應(yīng)急處理和事件響應(yīng)能力，保證在安全事件發(fā)生后能夠及時(shí)進(jìn)行分析、定位、跟蹤、排除和取證。4) 恢復(fù)：通過(guò)建立信息系統(tǒng)備份和恢復(fù)機(jī)制，保證在安全事件發(fā)生后及時(shí)有效地進(jìn)行信息系統(tǒng)設(shè)施和重要數(shù)據(jù)的恢復(fù)。1.3.2. 安全管理體系規(guī)劃目標(biāo)本次項(xiàng)目通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)XX股份公司工業(yè)自身安全管理現(xiàn)狀進(jìn)行全面了解后，對(duì)信息安全管理整體提出以下目標(biāo)：. 健全信息安全管理組織建立全面、完整、有效的信息安全保障體系，必須健全、完善信息安全管理組織，這是XX股份公司管理信息安全保障體系建立的首要任務(wù)。信息安全管理組織的健全需要明確角色模型，在此基礎(chǔ)上設(shè)計(jì)信息安全崗位職責(zé)和匯報(bào)關(guān)系，充分考慮XX股份公司工業(yè)與下屬單位的組織模式和特點(diǎn)，做到信息安全職責(zé)分工明確合理、責(zé)任落實(shí)到位。. 建立信息安全專業(yè)服務(wù)團(tuán)隊(duì)隨著XX股份公司管理信息化的推進(jìn)，XX股份公司工業(yè)需要有一支擁有各種專業(yè)技能的團(tuán)隊(duì)提供身份認(rèn)證、安全監(jiān)控、威脅和弱點(diǎn)管理、風(fēng)險(xiǎn)評(píng)估等信息安全服務(wù)。信息安全團(tuán)隊(duì)建設(shè)的關(guān)鍵在于人才培養(yǎng)和服務(wù)團(tuán)隊(duì)的設(shè)立。XX股份公司工業(yè)將在明確信息安全服務(wù)團(tuán)隊(duì)設(shè)立方案的基礎(chǔ)上制定人才培養(yǎng)計(jì)劃，逐步培養(yǎng)在信息安全各個(gè)領(lǐng)域的專業(yè)技術(shù)人才，在3-5年的時(shí)間內(nèi)建立起一支高素質(zhì)的，能夠滿足XX股份公司管理信息安全需求的專業(yè)服務(wù)團(tuán)隊(duì)。. 建立完善的信息安全風(fēng)險(xiǎn)管理流程作為XX股份公司管理信息安全保障體系的基本理念之一，信息安全風(fēng)險(xiǎn)管理的實(shí)現(xiàn)需要建立完善的流程，XX股份公司工業(yè)將建立針對(duì)信息安全風(fēng)險(xiǎn)的全程管理能力和信息安全管理持續(xù)改進(jìn)能力，將信息安全的管理由針對(duì)結(jié)果的管理變成針對(duì)過(guò)程的管理。XX股份公司管理信息安全風(fēng)險(xiǎn)管理流程需要覆蓋需求分析、控制實(shí)施、運(yùn)行監(jiān)控、響應(yīng)恢復(fù)四個(gè)環(huán)節(jié)，識(shí)別相應(yīng)的信息安全風(fēng)險(xiǎn)管理核心流程，并進(jìn)行流程設(shè)計(jì)和實(shí)施。. 完善信息安全制度與標(biāo)準(zhǔn)信息安全制度與標(biāo)準(zhǔn)是信息安全工作在管理、控制、技術(shù)等方面制度化、標(biāo)準(zhǔn)化后形成的一整套文件。XX股份公司工業(yè)已經(jīng)制定并發(fā)布執(zhí)行了一些信息安全相關(guān)的制度和標(biāo)準(zhǔn)，但是在完整性、針對(duì)性、可用性和執(zhí)行效果方面都有較大的改進(jìn)空間。例如在信息安全管理制度的上，沒(méi)有依據(jù)XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南或者是ISMS體系建設(shè)等標(biāo)準(zhǔn)和規(guī)范制定，從而使管理規(guī)定缺乏系統(tǒng)性。在前期調(diào)研中，發(fā)現(xiàn)只有系統(tǒng)支持和維護(hù)管理控制程序、信息設(shè)備及軟件控制程序等少量管理文檔，不足以滿足XX股份公司工業(yè)對(duì)整個(gè)信息系統(tǒng)安全管理的需求。XX股份公司工業(yè)需要有計(jì)劃的逐步建立一套完整的，可操作的信息安全制度與標(biāo)準(zhǔn)，并通過(guò)對(duì)執(zhí)行效果的持續(xù)跟蹤，不斷完善，以形成一套真正符合XX股份公司工業(yè)需求、完整有效的信息安全制度與標(biāo)準(zhǔn)，為信息安全工作的開展提供依據(jù)和指導(dǎo)。. 建立規(guī)范化的流程隨著信息化建設(shè)的推進(jìn)，XX股份公司工業(yè)需要建設(shè)越來(lái)越多的應(yīng)用系統(tǒng)，這些系統(tǒng)目前日常維護(hù)工作基本依靠系統(tǒng)維護(hù)人員的經(jīng)驗(yàn)，因此逐步建立專業(yè)化的信息安全服務(wù)和規(guī)范化的流程成為信息安全保障體系建立的重要目標(biāo)之一。1.4. 技術(shù)及運(yùn)維體系規(guī)劃參考模型及標(biāo)準(zhǔn)1.4.1. 參考模型目前安全模型已經(jīng)從以前的被動(dòng)保護(hù)轉(zhuǎn)到了現(xiàn)在的主動(dòng)防御，強(qiáng)調(diào)整個(gè)生命周期的防御和恢復(fù)。PDR模型就是最早提出的體現(xiàn)這樣一種思想的安全模型。所謂PDR模型指的就是基于防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）的安全模型。上個(gè)世紀(jì)90年代末，ANS聯(lián)盟在PDR模型的基礎(chǔ)上建立了新的P2DR模型。該模型是可量化、可由數(shù)學(xué)證明、基于時(shí)間的、以PDR為核心的安全模型。這里P2DR2是策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）的縮寫。如下圖所示。ProtectionDetectionResponseRecoveryPolicy圖 1_2 P2DR2模型 策略（Policy）策略是P2DR模型的核心，所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)策略。它描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。 防護(hù)（Protection）防護(hù)是主動(dòng)防御的防御部分，系統(tǒng)的安全最終是依靠防護(hù)來(lái)實(shí)現(xiàn)的。防護(hù)的對(duì)象涵蓋了系統(tǒng)的全部，防護(hù)手段也因此多種多樣。 檢測(cè)（Detection）檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)。通過(guò)不間斷的檢測(cè)網(wǎng)絡(luò)和系統(tǒng)，來(lái)發(fā)現(xiàn)威脅。 響應(yīng)（Response）響應(yīng)是主動(dòng)防御的實(shí)現(xiàn)。根據(jù)策略以及檢測(cè)到的情況動(dòng)態(tài)的調(diào)整防護(hù)，達(dá)到主動(dòng)防御的目的。信息系統(tǒng)的安全是基于時(shí)間特性的，P2DR安全模型的特點(diǎn)就在于動(dòng)態(tài)性和基于時(shí)間的特性。我們可以通過(guò)定義下列時(shí)間量來(lái)描述P2DR模型的時(shí)間特性。 防護(hù)時(shí)間Pt：表示從入侵開始到侵入系統(tǒng)的時(shí)間。防護(hù)時(shí)間由兩方面共同決定：入侵能力，防護(hù)能力。高的入侵能力和相對(duì)弱的防護(hù)能力可以使得防護(hù)時(shí)間Pt縮短。顯然防護(hù)時(shí)間越長(zhǎng)系統(tǒng)越安全。 檢測(cè)時(shí)間Dt：表示檢測(cè)系統(tǒng)發(fā)現(xiàn)系統(tǒng)的安全隱患和潛在攻擊檢測(cè)的時(shí)間。改進(jìn)檢測(cè)算法和設(shè)計(jì)可縮短Dt。 響應(yīng)時(shí)間Rt：表示從檢測(cè)到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動(dòng)處理措施的時(shí)間。一個(gè)監(jiān)控系統(tǒng)的響應(yīng)可能包括見識(shí)、切換、跟蹤、報(bào)警、反擊等內(nèi)容。而安全事件的事后處理（如恢復(fù)、總結(jié)等）不納入事件響應(yīng)的范疇之內(nèi)。 暴露時(shí)間Et：表示系統(tǒng)處于不安全狀態(tài)的時(shí)間。可以定義EtDtRtPt。顯然Et越小表示系統(tǒng)越安全，當(dāng)Et0時(shí)，可以認(rèn)為系統(tǒng)是安全的。隨著技術(shù)的進(jìn)步，人們?cè)赑2DR模型以后又提出了APPDRR模型，即在P2DR模型中加入恢復(fù)（Recovery）手段。這樣一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。1.4.2. 參考標(biāo)準(zhǔn)主要參考標(biāo)準(zhǔn)： 信息保障技術(shù)框架v3.1（IATF）美國(guó)國(guó)家安全局 信息系統(tǒng)安全管理指南（ISO 13335）國(guó)際標(biāo)準(zhǔn)化組織 信息安全風(fēng)險(xiǎn)評(píng)估指南（國(guó)標(biāo)審議稿）中華人民共和國(guó)質(zhì)監(jiān)總局其它參考標(biāo)準(zhǔn)： AS/NZS 4360: 1999 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) ISO/IEC 17799:2005 /BS7799 Part 1 ISO/IEC 27001:2005 /BS7799 Part 2 ISO/IEC 15408（CC） GB17859-1999 等級(jí)保護(hù)實(shí)施意見（公通字200466號(hào)） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859行業(yè)參考標(biāo)準(zhǔn)： XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南1.5. 管理體系規(guī)劃參考模型及標(biāo)準(zhǔn)1.5.1. 國(guó)家信息安全標(biāo)準(zhǔn)、指南1. GB/T 202742006 信息系統(tǒng)安全保障評(píng)估框架2. GB/T 19715.12005 信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型3. GB/T 19715.22005 信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全4. GB/T 197162005 信息技術(shù)信息安全管理實(shí)用規(guī)則1.5.2. 國(guó)際信息安全標(biāo)準(zhǔn)1. ISO/IEC 27001:2005信息安全技術(shù) 信息系統(tǒng)安全管理要求2. ISO/IEC 133351: 2004 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型3. ISO/IEC TR 154431: 2005 信息技術(shù)安全保障框架 第一部分 概述和框架4. ISO/IEC TR 154432: 2005信息技術(shù)安全保障框架 第二部分 保障方法5. ISO/IEC WD 154433 信息技術(shù)安全保障框架 第三部分 保障方法分析6. ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評(píng)估1.5.3. 行業(yè)規(guī)范1. 數(shù)字XXXX行業(yè)發(fā)展綱要2. XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南（國(guó)煙辦綜2008147號(hào)）3. XXXX行業(yè)行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范(國(guó)煙法200317號(hào))4. XXXX行業(yè)行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)技術(shù)與管理規(guī)范(國(guó)煙辦綜2006312號(hào))5. XXXX行業(yè)行業(yè)CA認(rèn)證體系的建設(shè)方案（國(guó)煙辦綜2008116號(hào)）2. 技術(shù)體系建設(shè)規(guī)劃2.1. 技術(shù)保障體系規(guī)劃2.1.1. 設(shè)計(jì)原則技術(shù)保障體系的規(guī)劃遵循一下原則：n 先進(jìn)性原則采用的技術(shù)和形成的規(guī)范，在路線上應(yīng)與當(dāng)前世界的主流發(fā)展趨勢(shì)相一致，保證依據(jù)規(guī)范建成的XX股份公司工業(yè)網(wǎng)絡(luò)安全系統(tǒng)具有先進(jìn)性和可持續(xù)發(fā)展性。n 實(shí)用性原則具備多層次、多角度、全方位、立體化的安全保護(hù)功能。各種安全技術(shù)措施盡顯其長(zhǎng)，相互補(bǔ)充。當(dāng)某一種或某一層保護(hù)失效時(shí)，其它仍可起到保護(hù)作用。n 可靠性原則加強(qiáng)網(wǎng)絡(luò)安全產(chǎn)品的集中管理，保證關(guān)鍵網(wǎng)絡(luò)安全設(shè)備的冷熱備份，避免骨干傳輸線路的單點(diǎn)連接，保證系統(tǒng)7*24小時(shí)不間斷可靠運(yùn)行。n 可操作性原則根據(jù)XX股份公司工業(yè)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定出各具特色、有較強(qiáng)針對(duì)性和可操作性的網(wǎng)絡(luò)安全技術(shù)保障規(guī)劃，適用于XX股份公司管理信息安全的規(guī)劃、建設(shè)、運(yùn)行、維護(hù)和管理。n 可擴(kuò)展性原則規(guī)范應(yīng)具有良好的可擴(kuò)展性，能適應(yīng)安全技術(shù)的快速發(fā)展和更新，能隨著網(wǎng)絡(luò)安全需求的變化而變化，網(wǎng)絡(luò)安全保護(hù)周期應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期相同步，充分保證投資的效益。2.1.2. 技術(shù)路線n 分級(jí)保護(hù)的思想遵照XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南（國(guó)煙辦綜2008147號(hào)）、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字【2007】33號(hào)）的要求，結(jié)合XX股份公司工業(yè)網(wǎng)絡(luò)應(yīng)用實(shí)際，XX股份公司工業(yè)網(wǎng)絡(luò)的信息安全防護(hù)措施需要滿足安全等級(jí)保護(hù)要求，必須按照確定的安全策略，整體實(shí)施安全保護(hù)。n 分層保護(hù)的思想按照XX股份公司工業(yè)業(yè)務(wù)承載網(wǎng)絡(luò)的核心層、接入（匯聚）層、接入局域網(wǎng)三個(gè)層次，根據(jù)確定的安全策略，規(guī)范設(shè)置相應(yīng)的安全防護(hù)、檢測(cè)、響應(yīng)功能，利用虛擬專用網(wǎng)絡(luò)（例如MPLS VPN、IPSec VPN、SSL VPN）、公鑰基礎(chǔ)設(shè)施/授權(quán)管理基礎(chǔ)設(shè)施（PKI/PMI）、防火墻、在線入侵抵御、入侵檢測(cè)、防病毒、強(qiáng)審計(jì)、冷熱備份、線路冗余等多種安全技術(shù)和產(chǎn)品，進(jìn)行全方位的安全保護(hù)。n 分域保護(hù)的思想控制大型網(wǎng)絡(luò)安全的另一種思想是把網(wǎng)絡(luò)劃分成不同的邏輯網(wǎng)絡(luò)安全域，每一個(gè)網(wǎng)絡(luò)安全域由所定義的安全邊界來(lái)保護(hù)。綜合考慮信息性質(zhì)、使用主體等要素，XX股份公司工業(yè)網(wǎng)絡(luò)劃分為計(jì)算域、支撐域、接入域、基礎(chǔ)設(shè)施域四種類型安全域。通過(guò)在相連的兩個(gè)網(wǎng)絡(luò)之間采用訪問(wèn)控制措施來(lái)進(jìn)行網(wǎng)絡(luò)的隔離和連接服務(wù)。其中，隔離安全服務(wù)包括身份認(rèn)證、訪問(wèn)控制、抗抵賴和強(qiáng)審計(jì)等；連接安全服務(wù)包括傳輸過(guò)程中的保密、完整和可用等。n 動(dòng)態(tài)安全的思想動(dòng)態(tài)網(wǎng)絡(luò)安全的思想，一方面是要安全體系具備良好的動(dòng)態(tài)適應(yīng)性和可擴(kuò)展性。威脅和風(fēng)險(xiǎn)是在不斷變化的，安全體系也應(yīng)當(dāng)根據(jù)新的風(fēng)險(xiǎn)的引入或風(fēng)險(xiǎn)累積到一定程度后，適時(shí)進(jìn)行策略調(diào)整和體系完善；另一方面是在方案的制定和產(chǎn)品的選取中，注重方案和產(chǎn)品的自愈、自適應(yīng)功能，在遭遇攻擊時(shí)，具有一定的自動(dòng)恢復(fù)和應(yīng)急能力。2.2. 信息安全保障技術(shù)體系規(guī)劃2.2.1. 安全域劃分及網(wǎng)絡(luò)改造安全域劃分及網(wǎng)絡(luò)改造是系統(tǒng)化安全建設(shè)的基礎(chǔ)性工作。也是層次化立體化防御以及落實(shí)安全管理政策，制定合理安全管理制度的基礎(chǔ)。此過(guò)程保證在網(wǎng)絡(luò)基礎(chǔ)層面實(shí)現(xiàn)系統(tǒng)的安全防御。. 目標(biāo)規(guī)劃的理論依據(jù).1. 安全域簡(jiǎn)介安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。相對(duì)以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于： 物理環(huán)境 策略和流程 業(yè)務(wù)和使命 人和組織 網(wǎng)絡(luò)區(qū)域 主機(jī)和系統(tǒng).2. 安全域作用l 理順系統(tǒng)架構(gòu)進(jìn)行安全域劃分可以幫助理順網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清晰，從而更便于進(jìn)行運(yùn)行維護(hù)和各類安全防護(hù)的設(shè)計(jì)。l 簡(jiǎn)化復(fù)雜度基于安全域的保護(hù)實(shí)際上是一種工程方法，它極大的簡(jiǎn)化了系統(tǒng)的防護(hù)復(fù)雜度：由于屬于同一安全域的信息資產(chǎn)具備相同的IT要素，因此可以針對(duì)安全域而不是信息資產(chǎn)來(lái)進(jìn)行防護(hù)，這樣會(huì)比基于資產(chǎn)的等級(jí)保護(hù)更易實(shí)施； l 降低投資由于安全域?qū)⒕邆渫瑯覫T特征的信息資產(chǎn)集合在一起，因此在防護(hù)時(shí)可以采用公共的防護(hù)措施而不需要針對(duì)每個(gè)資產(chǎn)進(jìn)行各自的防護(hù)，這樣可以有效減少重復(fù)投資；同時(shí)在進(jìn)行安全域劃分后，信息系統(tǒng)和信息資產(chǎn)將分出不同的防護(hù)等級(jí)，根據(jù)等級(jí)進(jìn)行安全防護(hù)能夠提高組織在安全投資上的ROI（投資回報(bào)率）。l 提供依據(jù)組織內(nèi)進(jìn)行了安全域的設(shè)計(jì)和劃分，便于組織發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)的缺陷和不足，并為今后進(jìn)行系統(tǒng)改造和新系統(tǒng)的設(shè)計(jì)提供相關(guān)依據(jù)，也簡(jiǎn)化了新系統(tǒng)上線安全防護(hù)的設(shè)計(jì)過(guò)程。特別是針對(duì)組織的分支機(jī)構(gòu)，安全域劃分的方案也有利于協(xié)助他們進(jìn)行系統(tǒng)安全規(guī)劃和防護(hù)，從而進(jìn)行規(guī)范的、有效的安全建設(shè)工作。.3. 總體架構(gòu)如下圖所示：安全域的劃分如下：圖 2_1安全與總體框架本次建議的劃分方法是立體的，即：各個(gè)域之間不是簡(jiǎn)單的相交或隔離關(guān)系，而是在網(wǎng)絡(luò)和管理上有不同的層次。網(wǎng)絡(luò)基礎(chǔ)設(shè)施域是所有域的基礎(chǔ)，包括所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通訊支撐設(shè)施域，網(wǎng)絡(luò)基礎(chǔ)設(shè)施域分為骨干區(qū)、匯集區(qū)和接入?yún)^(qū)。支撐設(shè)施域是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。計(jì)算域主要是各類的服務(wù)器、數(shù)據(jù)庫(kù)等，主要分為一般服務(wù)區(qū)、重要服務(wù)區(qū)和核心區(qū)。邊界接入域是各類接入的設(shè)備和終端以及業(yè)務(wù)系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。圖 2_1安全域立體結(jié)構(gòu)圖.4. 多層次體系根據(jù)XX股份公司工業(yè)公司的情況，安全域的劃分原則和劃分方法，域是本次安全域劃分的第一層結(jié)構(gòu)，劃分的原則是業(yè)務(wù)行為。XX股份公司工業(yè)公司安全域總體設(shè)計(jì)計(jì)劃劃分為4個(gè)域，分別是邊界接入域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域、計(jì)算域、支撐設(shè)施域。. 建設(shè)規(guī)劃內(nèi)容.1. 邊界接入域.1.1. 邊界接入域的劃分ISO 13335信息系統(tǒng)管理指南中將一個(gè)組織中可能的接入類型分為以下幾種： 組織單獨(dú)控制的連接（內(nèi)部接入） 公共網(wǎng)絡(luò)的連接（如互聯(lián)網(wǎng)接入） 不同組織間的連接（可信的） 不同組織間的連接（不可信的） 組織內(nèi)的異地連接（如不同地理位置的分支結(jié)構(gòu)） 組織內(nèi)人員從外部接入（如出差時(shí)接入內(nèi)部網(wǎng)）邊界接入域的劃分，根據(jù)XX股份公司工業(yè)公司的實(shí)際情況，相對(duì)于ISO 13335定義的接入類型，分別有如下對(duì)應(yīng)關(guān)系：ISO 13335實(shí)際情況組織單獨(dú)控制的連接內(nèi)部網(wǎng)接入（終端接入，如辦公網(wǎng)）；業(yè)務(wù)邊界（如核心服務(wù)邊界）公共網(wǎng)絡(luò)的連接互聯(lián)網(wǎng)接入（如Web和郵件服務(wù)器的外部接入，辦公網(wǎng)的Internet接入等）不同組織間的連接外聯(lián)網(wǎng)接入（如各個(gè)部門間的接入等）組織內(nèi)的異地連接內(nèi)聯(lián)網(wǎng)接入（如XXX單位接入、城區(qū)內(nèi)如西倉(cāng)等其他部門等通過(guò)專網(wǎng)接入）組織內(nèi)人員從外部接入遠(yuǎn)程接入（如移動(dòng)辦公和遠(yuǎn)程維護(hù)）.1.2. 邊界接入域威脅分析由于邊界接入域是XX股份公司工業(yè)公司信息系統(tǒng)中與外部相連的邊界，因此主要威脅有： 黑客攻擊（外部入侵） 惡意代碼（病毒蠕蟲） 越權(quán)（非授權(quán)接入） 終端違規(guī)操作.1.3. 邊界接入域的防護(hù)針對(duì)邊界接入域的主要威脅，相應(yīng)的防護(hù)手段有： 訪問(wèn)控制（如防火墻）用于應(yīng)對(duì)外部攻擊 遠(yuǎn)程接入管理（如VPN）用于應(yīng)對(duì)非授權(quán)接入 入侵檢測(cè)與防御（IDS&IPS）用于應(yīng)對(duì)外部入侵和蠕蟲病毒 惡意代碼防護(hù)（防病毒）用于應(yīng)對(duì)蠕蟲病毒 終端管理（注入控制、補(bǔ)丁管理、資產(chǎn)管理等）對(duì)終端進(jìn)行合規(guī)管理.2. 計(jì)算域.2.1. 計(jì)算域的劃分計(jì)算域是各類應(yīng)用服務(wù)、中間件、大機(jī)、數(shù)據(jù)庫(kù)等局域計(jì)算設(shè)備的集合，根據(jù)計(jì)算環(huán)境的行為不同和所受威脅不同，分為以下三個(gè)區(qū)： 一般服務(wù)區(qū)用于存放防護(hù)級(jí)別較低（資產(chǎn)級(jí)別小于等于3），需直接對(duì)外提供服務(wù)的信息資產(chǎn)，如辦公服務(wù)器等，一般服務(wù)區(qū)與外界有直接連接，同時(shí)不能夠訪問(wèn)核心區(qū)（避免被作為攻擊核心區(qū)的跳板）； 重要服務(wù)區(qū)重要服務(wù)區(qū)用于存放級(jí)別較高（資產(chǎn)級(jí)別大于3），不需要直接對(duì)外提供服務(wù)的信息資產(chǎn)，如前置機(jī)等，重要服務(wù)區(qū)一般通過(guò)一般服務(wù)區(qū)與外界連接，并可以直接訪問(wèn)核心區(qū)； 核心區(qū)核心區(qū)用于存放級(jí)別非常高（資產(chǎn)級(jí)別大于等于4）的信息資產(chǎn)，如核心數(shù)據(jù)庫(kù)等，外部對(duì)核心區(qū)的訪問(wèn)需要通過(guò)重要服務(wù)區(qū)跳轉(zhuǎn)。計(jì)算域的劃分參見下圖：圖 2_3計(jì)算域劃分圖.2.2. 計(jì)算域威脅分析由于計(jì)算域處于信息系統(tǒng)的內(nèi)部，因此主要威脅有： 內(nèi)部人員越權(quán)和濫用 內(nèi)部人員操作失誤 軟硬件故障 內(nèi)部人員篡改數(shù)據(jù) 內(nèi)部人員抵賴行為 對(duì)外服務(wù)系統(tǒng)遭受攻擊及非法入侵.2.3. 計(jì)算域的防護(hù)針對(duì)計(jì)算域主要是內(nèi)部威脅的特點(diǎn)，主要采取以下防護(hù)手段： 應(yīng)用和業(yè)務(wù)開發(fā)維護(hù)安全 基于應(yīng)用的審計(jì) 身份認(rèn)證與行為審計(jì)同時(shí)也輔助以其他的防護(hù)手段： 對(duì)網(wǎng)絡(luò)異常行為的檢測(cè) 對(duì)信息資產(chǎn)的訪問(wèn)控制.3. 支撐設(shè)施域.3.1. 支撐設(shè)施域的劃分圖 2_4支撐基礎(chǔ)設(shè)施域劃分圖如上圖所示，將網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運(yùn)維（業(yè)務(wù)操作監(jiān)控）放置在獨(dú)立的安全域中，不僅能夠有效的保護(hù)上述三個(gè)高級(jí)別信息系統(tǒng)，同時(shí)在突發(fā)事件中也有利于保障后備通訊能力。其中，安全設(shè)備、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)操作監(jiān)控的管理端口都應(yīng)該處于獨(dú)立的管理VLAN中，如果條件允許，還應(yīng)該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務(wù)管理VLAN。.3.2. 支撐設(shè)施域的威脅分析支撐設(shè)施域是跨越多個(gè)業(yè)務(wù)系統(tǒng)和地域的，它的保密級(jí)別和完整性要求較高，對(duì)可用性的要求略低，主要的威脅有： 網(wǎng)絡(luò)傳輸泄密（如網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)設(shè)備上竊聽業(yè)務(wù)數(shù)據(jù)） 非授權(quán)訪問(wèn)和濫用（如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng)） 內(nèi)部人員抵賴（如對(duì)誤操作進(jìn)行抵賴等）.3.3. 支撐設(shè)施域的防護(hù)針對(duì)支撐設(shè)施域的威脅特點(diǎn)和級(jí)別，應(yīng)采取以下防護(hù)措施： 帶外管理和網(wǎng)絡(luò)加密 身份認(rèn)證和訪問(wèn)控制 審計(jì)和檢測(cè).4. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域.4.1. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的劃分圖 2_5網(wǎng)絡(luò)基礎(chǔ)設(shè)施域劃分圖.4.2. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的威脅分析主要威脅有： 網(wǎng)絡(luò)設(shè)備故障 網(wǎng)絡(luò)泄密 物理環(huán)境威脅.4.3. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的防護(hù)相應(yīng)的防護(hù)措施為： 通過(guò)備份、冗余確?；A(chǔ)網(wǎng)絡(luò)的可用性 通過(guò)網(wǎng)絡(luò)傳輸加密確?；A(chǔ)網(wǎng)絡(luò)的保密性 通過(guò)基于網(wǎng)絡(luò)的認(rèn)證確?；A(chǔ)網(wǎng)絡(luò)的完整性2.2.2. 現(xiàn)有信息技術(shù)體系描述. XX股份公司工業(yè)現(xiàn)有網(wǎng)絡(luò)拓?fù)? XX股份公司工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)脆弱性評(píng)估.1. 網(wǎng)絡(luò)結(jié)構(gòu)層次不清晰當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，基本形成以兩臺(tái)C6509為核心，多臺(tái)C2970/C2950等為接入的架構(gòu)，網(wǎng)絡(luò)骨干設(shè)備性能優(yōu)異，擴(kuò)展能力較強(qiáng)。但部分區(qū)域仍然存在結(jié)構(gòu)層次不清晰、不合理之處。遠(yuǎn)程接入?yún)^(qū)域，包括XXX單位通過(guò)專線直接接入到核心交換機(jī)C6509上，其它的上聯(lián)國(guó)家局、XX股份公司工業(yè)局、西倉(cāng)等專線鏈路也直接接入到核心交換機(jī)C6509上，除國(guó)家局配置有防火墻外，其它連接均未經(jīng)過(guò)任何匯聚或訪問(wèn)控制設(shè)備。核心交換機(jī)C6509同時(shí)兼具上述多條專線接入設(shè)備的任務(wù)，網(wǎng)絡(luò)邏輯層次結(jié)構(gòu)較為模糊。.2. 網(wǎng)絡(luò)單點(diǎn)故障當(dāng)前網(wǎng)絡(luò)核心層為冗余設(shè)備，下聯(lián)接入層交換為冗余線路，其它對(duì)外連接均為單設(shè)備和單線路連接，存在網(wǎng)絡(luò)單點(diǎn)故障隱患。各遠(yuǎn)程接入鏈路均為一條電信專線，沒(méi)有其它冗余的廣域網(wǎng)鏈路，存在遠(yuǎn)程接入鏈路單點(diǎn)故障。外網(wǎng)服務(wù)器區(qū)的Web和Mail服務(wù)器的互聯(lián)網(wǎng)連接和訪問(wèn)均為單線路，存在單點(diǎn)故障。.3. 網(wǎng)絡(luò)安全域劃分不明公司大多數(shù)內(nèi)網(wǎng)服務(wù)器系統(tǒng)分布在/24網(wǎng)段，沒(méi)有進(jìn)一步的VLAN劃分及其它防護(hù)措施的隔離。ERP、一號(hào)工程、協(xié)同辦公、營(yíng)銷等重要系統(tǒng)混雜在一起，與其它服務(wù)器都部署在同一個(gè)區(qū)域，非常不利于隔離防護(hù)及后期的安全規(guī)劃建設(shè)。下屬卷包、物流、制絲、動(dòng)力車間存在生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)混用的情況。各生產(chǎn)網(wǎng)與辦公網(wǎng)未嚴(yán)格隔離，未整合邊界，未實(shí)施集中安全防護(hù)。業(yè)務(wù)維護(hù)人員、網(wǎng)絡(luò)管理人員、安全管理人員以及第三方運(yùn)維人員，未劃分專門的管理支撐域。當(dāng)前主要根據(jù)辦公物理位置，各自接入到辦公網(wǎng)中，未與普通辦公人員網(wǎng)絡(luò)區(qū)域隔離。遠(yuǎn)程接入?yún)^(qū)域，根據(jù)對(duì)端可信度及管理職責(zé)等，可以劃分為四類，1、國(guó)家XXXX行業(yè)；2、省商業(yè)公司鏈路；3、同城的西倉(cāng)庫(kù)接入；4、XXX單位接入。當(dāng)前未進(jìn)行分類隔離，統(tǒng)一安全策略。.4. 部分節(jié)點(diǎn)區(qū)域缺乏必要安全防護(hù)措施內(nèi)部終端用戶訪問(wèn)內(nèi)部服務(wù)器、互聯(lián)網(wǎng)絡(luò)沒(méi)有有效的控制行為；能夠訪問(wèn)互聯(lián)網(wǎng)的終端不能有效控制訪問(wèn)帶寬并進(jìn)行行為審計(jì)。遠(yuǎn)程接入西倉(cāng)和XXX單位專線直接接入到核心交換機(jī)Cisco3845上，兩端均未部署防火墻實(shí)施訪問(wèn)控制。XXX單位用戶可以任意訪問(wèn)到總部網(wǎng)絡(luò)，任意訪問(wèn)內(nèi)網(wǎng)服務(wù)器。全網(wǎng)缺乏一套集中的安全運(yùn)營(yíng)管理中心，當(dāng)前網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)及業(yè)務(wù)系統(tǒng)的日志及安全運(yùn)行狀況監(jiān)控，僅由各自維護(hù)人員手工操作，直接登錄設(shè)備檢查分析。內(nèi)網(wǎng)服務(wù)器區(qū)、生產(chǎn)服務(wù)器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無(wú)法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。.5. 現(xiàn)有的安全技術(shù)防護(hù)手段1、 在互聯(lián)網(wǎng)出口部署了東軟的NetEyes FW4201防火墻兩臺(tái)，同時(shí)設(shè)置訪問(wèn)規(guī)則對(duì)Web服務(wù)器和內(nèi)網(wǎng)用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)進(jìn)行網(wǎng)絡(luò)層控制；2、 在核心交換機(jī)上部署了東軟的NetEyes IDS2200入侵檢測(cè)系統(tǒng)，對(duì)核心交換上的數(shù)據(jù)信息進(jìn)行入侵行為的檢測(cè)；3、 在郵件系統(tǒng)部署了防垃圾郵件系統(tǒng)，可對(duì)垃圾郵件進(jìn)行過(guò)濾；4、 內(nèi)網(wǎng)部署了趨勢(shì)的網(wǎng)絡(luò)防病毒系統(tǒng)，5、 內(nèi)網(wǎng)部署了圣博潤(rùn)的內(nèi)網(wǎng)管理系統(tǒng)，可對(duì)內(nèi)部網(wǎng)絡(luò)終端進(jìn)行接入管理、主機(jī)維護(hù)管理、補(bǔ)丁管理、主機(jī)行為審計(jì)等。. XXX單位現(xiàn)有網(wǎng)絡(luò)拓?fù)? XXX單位網(wǎng)絡(luò)結(jié)構(gòu)脆弱性評(píng)估.1. 網(wǎng)絡(luò)結(jié)構(gòu)層次不清晰當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，是以S5516為單核心設(shè)備連接上聯(lián)C2601路由器至XX股份公司工業(yè)，下聯(lián)S3026接入交換機(jī)連接終端。網(wǎng)絡(luò)骨干設(shè)備性能較差，擴(kuò)展能力很弱。各區(qū)域存在結(jié)構(gòu)層次不清晰、不合理之處。網(wǎng)絡(luò)核心交換S5516如果癱瘓，整個(gè)網(wǎng)絡(luò)通訊將斷開；服務(wù)器直接連接漏洞交換機(jī)，一旦設(shè)備出現(xiàn)故障則一號(hào)工程、內(nèi)網(wǎng)管理等業(yè)務(wù)系統(tǒng)無(wú)法正常工作，將引起業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通訊的中斷。.2. 網(wǎng)絡(luò)單點(diǎn)故障核心設(shè)備、上聯(lián)線路為單條線路，存在網(wǎng)絡(luò)單點(diǎn)故障隱患。上聯(lián)鏈路僅為一條電信專線，沒(méi)有其它冗余的廣域網(wǎng)鏈路，存在遠(yuǎn)程接入鏈路單點(diǎn)故障。一號(hào)工程、內(nèi)網(wǎng)管理服務(wù)器僅單線連接在樓層交換機(jī)上，樓層交換本身為單線連接核心交換，連接和訪問(wèn)均為單線路，存在單點(diǎn)故障。.3. 網(wǎng)絡(luò)安全域劃分不明XXX單位一號(hào)工程、內(nèi)網(wǎng)管理服務(wù)器系統(tǒng)分布在/24網(wǎng)段，僅簡(jiǎn)單的通過(guò)VLAN與辦公網(wǎng)其他主機(jī)劃分，并未采取其它防護(hù)措施的隔離，非常不利于隔離防護(hù)及后期的安全規(guī)劃建設(shè)。.4. 部分節(jié)點(diǎn)區(qū)域缺乏必要安全防護(hù)措施內(nèi)部終端用戶訪問(wèn)內(nèi)部服務(wù)器、互聯(lián)網(wǎng)絡(luò)沒(méi)有有效的控制行為；能夠訪問(wèn)互聯(lián)網(wǎng)的終端不能有效控制訪問(wèn)帶寬并進(jìn)行行為審計(jì)。此問(wèn)題可與XX股份公司工業(yè)解決建議方案同時(shí)及解決。全網(wǎng)缺乏一套集中的安全運(yùn)營(yíng)管理中心，當(dāng)前網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)及業(yè)務(wù)系統(tǒng)的日志及安全運(yùn)行狀況監(jiān)控，僅由各自維護(hù)人員手工操作，直接登錄設(shè)備檢查分析。此問(wèn)題可與XX股份公司工業(yè)解決建議方案同時(shí)解決。內(nèi)網(wǎng)服務(wù)器區(qū)、生產(chǎn)服務(wù)器區(qū)缺乏業(yè)務(wù)審計(jì)設(shè)備，無(wú)法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。.5. 現(xiàn)有的安全技術(shù)防護(hù)手段1、 互聯(lián)網(wǎng)訪問(wèn)通過(guò)專線到達(dá)XX股份公司工業(yè)后訪問(wèn)，因此防護(hù)技術(shù)手段與XX股份公司工業(yè)相同；2、 內(nèi)網(wǎng)部署了趨勢(shì)的網(wǎng)絡(luò)防病毒系統(tǒng)，3、 內(nèi)網(wǎng)部署了圣博潤(rùn)的內(nèi)網(wǎng)管理系統(tǒng)，可對(duì)內(nèi)部網(wǎng)絡(luò)終端進(jìn)行接入管理、主機(jī)維護(hù)管理、補(bǔ)丁管理、主機(jī)行為審計(jì)等。2.3. 技術(shù)體系規(guī)劃主要內(nèi)容2.3.1. 網(wǎng)絡(luò)安全域改造建設(shè)規(guī)劃. XX股份公司工業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃建議改造建議說(shuō)明：1、 新增管理支撐域，作為整個(gè)網(wǎng)絡(luò)的設(shè)備和系統(tǒng)管理中心。2、 新增匯聚層網(wǎng)絡(luò)設(shè)施域，部署四臺(tái)三層交換機(jī)，核心部件采用冗余配置，作為整個(gè)網(wǎng)絡(luò)的匯聚層，這樣既便于接入?yún)^(qū)和服務(wù)區(qū)的訪問(wèn)控制，又將生產(chǎn)區(qū)和辦公區(qū)進(jìn)行了區(qū)分，并分擔(dān)了核心交換機(jī)的負(fù)擔(dān)。3、 在核心交換和新增的匯聚交換間部署防火墻進(jìn)行服務(wù)域的訪問(wèn)控制；4、 將原有的服務(wù)器使用VLAN方式劃分為核心服務(wù)域和一般服務(wù)域；5、 更換互聯(lián)網(wǎng)出口防火墻為安全網(wǎng)關(guān)，采用雙機(jī)冗余方式部署，并啟用IPS檢測(cè)、AV檢測(cè)功能，為對(duì)外提供服務(wù)的WEB和MAIL服務(wù)器制定保護(hù)策略；6、 在互聯(lián)網(wǎng)安全網(wǎng)關(guān)后增加上網(wǎng)行為管理系統(tǒng)，采用雙機(jī)冗余方式部署，對(duì)訪問(wèn)互聯(lián)網(wǎng)的流量和訪問(wèn)進(jìn)行控制和審計(jì)；7、 將互聯(lián)網(wǎng)出口替換下的防火墻部署到單獨(dú)劃分的財(cái)務(wù)服務(wù)域前端，進(jìn)行必要的訪問(wèn)控制保護(hù)；8、 將XXX單位和西倉(cāng)連接線路由原來(lái)的連接核心C6509改為連接新增加的匯聚層防火墻上，增加外部訪問(wèn)的訪問(wèn)控制。. XXX單位網(wǎng)絡(luò)系統(tǒng)改造建議1、 建議將核心交換更改為雙機(jī)冗余方式，可采取主備模式或者一臺(tái)設(shè)備冷備的方式；2、 單獨(dú)部署服務(wù)器交換機(jī)，可采取主備模式或者一臺(tái)設(shè)備冷備的方式，其中冷備設(shè)備可與核心備用機(jī)器為同一臺(tái)設(shè)備；3、 可考慮新增一條備用通訊線路，例如選用ADSL線路作為應(yīng)急通訊線路，通過(guò)VPN方式與XX股份公司工業(yè)網(wǎng)絡(luò)進(jìn)行通訊；4、 對(duì)于辦公網(wǎng)內(nèi)接入交換上聯(lián)核心的線路可考慮部署雙線路方式，實(shí)現(xiàn)線路冗余，這樣可避免因?yàn)橐馔鉅顩r造成線路中斷后的網(wǎng)絡(luò)中斷，接入交換設(shè)備可增加1-2臺(tái)冷備設(shè)備；5、 可在網(wǎng)絡(luò)邊界部署防火墻設(shè)備進(jìn)行訪問(wèn)控制。2.3.2. 網(wǎng)絡(luò)安全設(shè)備建設(shè)規(guī)劃網(wǎng)絡(luò)安全設(shè)備分為邊界保護(hù)類，入侵檢測(cè)/防御類，終端保護(hù)等多種。網(wǎng)絡(luò)安全產(chǎn)品的類型是由網(wǎng)絡(luò)安全技術(shù)決定的，為了實(shí)現(xiàn)全面的安全防護(hù)，以不同的實(shí)體出現(xiàn)的安全設(shè)備要在技術(shù)上覆蓋所有的安全領(lǐng)域，也就是所有安全設(shè)備功能的總和在技術(shù)層面應(yīng)該能夠防御目前網(wǎng)絡(luò)環(huán)境下所有安全威脅的總和。安全產(chǎn)品雖然不是安全防護(hù)體系的決定因素，卻是安全防御體系的基石。是實(shí)現(xiàn)系統(tǒng)化全方位網(wǎng)絡(luò)安全防護(hù)的必要條件。在充分分析目前XX股份公司工業(yè)已經(jīng)部署的網(wǎng)絡(luò)安全設(shè)備的前提下，又結(jié)合了風(fēng)險(xiǎn)評(píng)估的結(jié)果，以及安全域劃分和網(wǎng)絡(luò)改造的具體需求，得出了最終需要新增的網(wǎng)絡(luò)安全設(shè)備需求。此過(guò)程保證在設(shè)備層面實(shí)現(xiàn)安全技術(shù)體系。部署完成后，XX股份公司工業(yè)所有安全設(shè)備防護(hù)功能的總和在技術(shù)層面上將能夠滿足防護(hù)和應(yīng)對(duì)目前已知安全威脅。同時(shí)滿足XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南中在技術(shù)體系建設(shè)方面對(duì)網(wǎng)絡(luò)安全部分的要求。結(jié)合規(guī)劃的安全域，在新的安全環(huán)境下，規(guī)劃的安全設(shè)備部署示意圖如下：. 防火墻設(shè)備.1. 部署位置防火墻部署在核心層和匯聚層之間。如下圖所示。.2. 安全功能防火墻系統(tǒng)是進(jìn)行安全域邊界防護(hù)的有效手段。需要部署防火墻將網(wǎng)絡(luò)分割成不同安全區(qū)域，并對(duì)核心業(yè)務(wù)系統(tǒng)形成縱深保護(hù)體系。在新增的匯聚網(wǎng)絡(luò)層和核心網(wǎng)絡(luò)層之間冗余部署四臺(tái)防火墻設(shè)備，實(shí)現(xiàn)生產(chǎn)接入域、辦公接入域和其他區(qū)域訪問(wèn)的控制，生產(chǎn)接入域和辦公接入域之間的訪問(wèn)控制。通過(guò)此次安全域的劃分和網(wǎng)絡(luò)改造，使防火墻主要可以起到如下幾類作用： 限制各個(gè)接入網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)。 限制接入網(wǎng)絡(luò)穿過(guò)的源。 限制接入網(wǎng)絡(luò)能訪問(wèn)的目的。 限制接入網(wǎng)絡(luò)穿過(guò)的應(yīng)用端口。 限制能提供的應(yīng)用端口。. 安全網(wǎng)關(guān)設(shè)備.1. 部署位置一體化安全網(wǎng)關(guān)部署在互聯(lián)網(wǎng)出口處，做互聯(lián)網(wǎng)邊界綜合防護(hù)。如下圖所示。.2. 實(shí)現(xiàn)安全功能n 訪問(wèn)控制IP地址過(guò)濾、MAC地址過(guò)濾、IPMAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等n IPS防御體系通過(guò)繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫；并可有效防止拒絕服務(wù)攻擊。n 網(wǎng)絡(luò)防病毒能夠有效抵御文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。n 抗DoS攻擊采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為。. 上網(wǎng)行為管理設(shè)備.1. 部署位置上網(wǎng)行為管理部署在互聯(lián)網(wǎng)出口處。如下圖所示。.2. 安全功能P2P流量控制目前幾乎在所有組織中都存在著帶寬濫用和浪費(fèi)的現(xiàn)象。尤其是在P2P技術(shù)出現(xiàn)之后，此問(wèn)題更加嚴(yán)重和突出。XX股份公司工業(yè)也不例外，存在著P2P泛濫，帶寬濫用等現(xiàn)象。各種P2P應(yīng)用占用了大量網(wǎng)絡(luò)帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡(luò)中的大量帶寬，隨之而來(lái)的是，由網(wǎng)絡(luò)鏈路擁塞引發(fā)的應(yīng)用性能下降問(wèn)題也日益嚴(yán)重，極大地影響了組織正常業(yè)務(wù)的開展及用戶正常網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。 因此必須對(duì)P2P的應(yīng)用加以控制，例如提供最大帶寬限制、保證帶寬、帶寬租借、應(yīng)用優(yōu)先級(jí)等一系列帶寬管理功能，最終可實(shí)現(xiàn)禁止使用P2P軟件或限制P2P軟件的可用帶寬，從而達(dá)到控制P2P流量的目標(biāo)，將寶貴的、有限的帶寬資源保留給組織中關(guān)鍵的應(yīng)用和業(yè)務(wù)。服務(wù)分級(jí)服務(wù)分級(jí)是一種帶寬管理的理解方式。也可以理解為某種程度上QoS。服務(wù)分級(jí)處理可以比喻為一個(gè)多車道并行的高速公路，其中各種不同的車輛都按照一定的規(guī)則行駛在不同的車道上，帶寬管理設(shè)備在這里就相當(dāng)于分流的路口。比如，視頻點(diǎn)播業(yè)務(wù)需要很高的帶寬，并且要保證數(shù)據(jù)流的連續(xù)性，要達(dá)到這樣的要求，必須為其預(yù)留出單獨(dú)的高帶寬通道；而一般的郵件服務(wù)和聊天等占據(jù)很少帶寬的業(yè)務(wù)，可能會(huì)被分配為較低的優(yōu)先級(jí)，使用一個(gè)窄帶傳輸。同樣的，針對(duì)不同訪問(wèn)需求的用戶也可以進(jìn)行服務(wù)的分級(jí)處理，對(duì)帶寬要求高的人員可以獲得較多的帶寬，從而保證其訪問(wèn)的需求。關(guān)鍵應(yīng)用保障目前XX股份公司工業(yè)在應(yīng)用方面已經(jīng)建立基于互聯(lián)網(wǎng)的Web和Mail系統(tǒng)，需要在應(yīng)用層加以優(yōu)先保證。上網(wǎng)行為管理設(shè)備可以基于應(yīng)用的重要程度進(jìn)行帶寬資源的合理分配，從而保證重要的、時(shí)效性高的應(yīng)用能夠獲得較多的帶寬，最終能夠保障關(guān)鍵應(yīng)用的正常運(yùn)行。. 業(yè)務(wù)安全審計(jì)設(shè)備.1. 部署位置網(wǎng)絡(luò)安全審計(jì)設(shè)備主要部署在核心業(yè)務(wù)區(qū)域，按照XX股份公司工業(yè)安全域的規(guī)劃，需要部署業(yè)務(wù)審計(jì)系統(tǒng)的位置為服務(wù)域（核心服務(wù)域+一般服務(wù)域），生產(chǎn)服務(wù)域（卷包中控、物流中控、制絲中控、動(dòng)力中控），重點(diǎn)審計(jì)內(nèi)容是人為通過(guò)網(wǎng)絡(luò)對(duì)各服務(wù)器系統(tǒng)、數(shù)據(jù)的訪問(wèn)行為審計(jì)和控制，部署示意圖如下：服務(wù)域?qū)徲?jì)系統(tǒng)部署示意圖生產(chǎn)服務(wù)域?qū)徲?jì)系統(tǒng)部署示意圖.2. 安全功能n 滿足合規(guī)要求目前，越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而銀行業(yè)則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。XX股份公司工業(yè)面也面臨著合規(guī)性的要求。一是等級(jí)保護(hù)的要求；二是行業(yè)規(guī)范的要求。在國(guó)煙辦的147號(hào)文件中，明確要求部署網(wǎng)絡(luò)審計(jì)設(shè)備。n 有效減少核心信息資產(chǎn)的破壞和泄漏對(duì)企業(yè)的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等），通過(guò)使用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì)，從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。n 追蹤溯源，便于事后追查原因與界定責(zé)任一個(gè)單位里負(fù)責(zé)運(yùn)維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限（例如掌握DBA帳號(hào)的口令），因而也承擔(dān)著很高的風(fēng)險(xiǎn)（誤操作或者是個(gè)別人員的惡意破壞）。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個(gè)帳號(hào)進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份。試用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供基于角色的審計(jì)，能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。n 直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。對(duì)管理部門來(lái)說(shuō)，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供業(yè)務(wù)流量監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。n 實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制從內(nèi)控的角度來(lái)看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基于網(wǎng)絡(luò)旁路監(jiān)聽的方式實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立，完善了IT內(nèi)控機(jī)制。. 漏洞掃描設(shè)備.1. 部署位置漏洞掃描系統(tǒng)部署在管理支撐域，通過(guò)一個(gè)二層接入交換機(jī)接入到核心交換機(jī)，示意圖如下圖所示：.2. 安全功能 通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備，操作系統(tǒng)，應(yīng)用系統(tǒng)的掃描，有效了解系統(tǒng)弱點(diǎn)，為實(shí)施安全防護(hù)方案和制定安全管理策略提供依據(jù)和參考。 制定周期性掃描計(jì)劃，實(shí)現(xiàn)周期性的安全自評(píng)，為有效的風(fēng)險(xiǎn)管理提供參考和支持。.3. 補(bǔ)充設(shè)備部署由于系統(tǒng)已經(jīng)規(guī)劃部署了業(yè)務(wù)審計(jì)系統(tǒng)，為了防止各系統(tǒng)時(shí)間不同步，從而導(dǎo)致審計(jì)數(shù)據(jù)記錄時(shí)間不同，進(jìn)而影響審計(jì)系統(tǒng)數(shù)據(jù)的參考價(jià)值，因此需要在內(nèi)網(wǎng)部署時(shí)間同步服務(wù)器。由于該服務(wù)器架設(shè)比較簡(jiǎn)單，在windows操作系統(tǒng)下即可輕松搭建NTP服務(wù)器，此處不再給出具體方案。2.3.3. CA認(rèn)證體系建設(shè). 現(xiàn)狀XX股份公司工業(yè)目前暫無(wú)CA認(rèn)證系統(tǒng)，但按照國(guó)家總局的統(tǒng)一建設(shè)要求，已經(jīng)將CA認(rèn)證系統(tǒng)作為即將開始的項(xiàng)目。. 建設(shè)規(guī)劃目標(biāo)通過(guò)建設(shè)CA認(rèn)證體系，為業(yè)務(wù)應(yīng)用系統(tǒng)提供穩(wěn)定可靠的信息安