XX學(xué)院等保(三級)設(shè)計方案

1、精品文庫XX市XX學(xué)院等級保護(hù)（三級） 建設(shè)方案2017年1月目錄、工程概況.4.二、需求分析4.1建設(shè)背景5.2、建設(shè)目標(biāo)5.三、設(shè)計原則及依據(jù)7.1設(shè)計原則7.2設(shè)計依據(jù)8.四、方案整體設(shè)計 9.1信息系統(tǒng)定級 9.1、等級保護(hù)完全實施過程 112、能力、措施和要求 1.13、基本安全要求124、系統(tǒng)的控制類和控制項 125、物理安全保護(hù)要求136網(wǎng)絡(luò)安全保護(hù)要求147、主機安全保護(hù)要求148、應(yīng)用安全保護(hù)要求 159、數(shù)據(jù)安全與備份恢復(fù)1610、安全管理制度 1711、安全管理機構(gòu) 1712、人員安全管理1813、系統(tǒng)建設(shè)管理1814、系統(tǒng)運維管理192、等級保護(hù)建設(shè)流程202、網(wǎng)絡(luò)系統(tǒng)

2、現(xiàn)狀分析211、網(wǎng)絡(luò)架構(gòu)212、可能存在的風(fēng)險223、等保三級對網(wǎng)絡(luò)的要求 231、結(jié)構(gòu)安全232、訪問控制243、安全審計244、邊界完整性檢查 255、入侵防范256、惡意代碼防范257、網(wǎng)絡(luò)設(shè)備防護(hù)254、現(xiàn)狀對比與整改方案 261、現(xiàn)狀對比262、控制點整改措施293、詳細(xì)整改方案304、設(shè)備部署方案33五、產(chǎn)品選型3.51、選型建議352、選型要求353、設(shè)備選型清單36六、公司介紹.3.6歡迎下載38、工程概況信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。 在中國， 信息安全等級保護(hù)廣義上為涉及到該工

3、作的標(biāo)準(zhǔn)、 產(chǎn)品、系統(tǒng)、信息等均依據(jù)等 級保護(hù)思想的安全工作XX市XX學(xué)院是2008年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國家教育部備案的 公辦全日制高等職業(yè)技術(shù)院校。學(xué)院以高等職業(yè)教育為主，同時兼有中等職業(yè)教 育職能。學(xué)院開拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)， 確立了面向社會、服務(wù)市場，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實踐能力的辦學(xué)宗旨。 學(xué)院本著讓學(xué)生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量， 增強學(xué)生實踐動手能力，注重對學(xué)生加強德育和行為規(guī)范教育， 為企業(yè)和社會培 養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專門人才。學(xué)院雄厚的師資力量、先進(jìn)的教學(xué)設(shè)備、嚴(yán)格的日常管理、完

4、善的文體設(shè)施、 優(yōu)質(zhì)的后勤服務(wù)以及寬敞潔凈的學(xué)生公寓和食堂，為廣大師生提供了優(yōu)美、舒適、 理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能 力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實 現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功 能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控

5、制測評的 基礎(chǔ)上，還要包括系統(tǒng)整體測評。二、需求分析為了保障國家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國的基本國情，制定了等級保護(hù)制度。并將等級保護(hù)制度作為國家信息安全保障工作的基本制度、基本國策，促進(jìn)信息化、維護(hù)國家信息安全的根本保障。1、建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對信息系統(tǒng)依賴的程度 越來越高，教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用 平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全 因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點。為貫徹落實國

6、家信息安全等級保護(hù)制度，規(guī)范和指導(dǎo)全國教育信息安全等級 保護(hù)工作，國家教委教辦廳函200980文件發(fā)出關(guān)于開展信息系統(tǒng)安全等級保 護(hù)工作的通知”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級保護(hù)工 作方案；教育部辦公廳印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護(hù)工作專項檢 查的通知（教辦廳函2010 80號）。XX市XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善， 作為一個現(xiàn)代化的教學(xué)機構(gòu)網(wǎng) 絡(luò),除了要滿足高效的內(nèi)部自動化辦公需求以外，還應(yīng)對外界的通訊保證暢通。結(jié) 合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)”等業(yè)務(wù)信息平臺， 要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣

7、的 網(wǎng)絡(luò)上應(yīng)運用多種設(shè)備和先進(jìn)技術(shù)來保證系統(tǒng)的正常運作和穩(wěn)定的效率。同時學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問量巨大， 訪問人員比較復(fù)雜，所以如何保證學(xué) 校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。 在日新月異的現(xiàn)代化社會進(jìn)程中，計算 機網(wǎng)絡(luò)幾乎延伸到了世界每一個角落，它不停的改變著我們的工作生活方式和思 維方式，但是，計算機信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計算機操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán) 密，都會使計算機網(wǎng)絡(luò)受到威脅。2、建設(shè)目標(biāo)本次XX市XX學(xué)院業(yè)務(wù)系統(tǒng)等級保護(hù)安全建設(shè)的主要目標(biāo)是：按照等級保護(hù)要求，結(jié)合實際業(yè)務(wù)系統(tǒng)，對學(xué)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分調(diào)研

8、及詳細(xì)分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務(wù)需要，又符合等級保護(hù)三級系統(tǒng)要求的業(yè)務(wù)平臺。建設(shè)一套符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保 障體系，達(dá)到國內(nèi)一流的信息安全保障水平， 支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全 穩(wěn)定運行。該體系覆蓋信息系統(tǒng)安全所要求的各項內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特 性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理 與技術(shù)并重”的原則，并結(jié)合等級保護(hù)基本要求進(jìn)行設(shè)計。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問控制、抗拒絕服務(wù)攻擊，針對區(qū)域邊界采 取防火墻進(jìn)行隔離，并在隔離后的各個安全區(qū)域邊界執(zhí)行嚴(yán)

9、格的訪問控制，防止 非法訪問；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計等網(wǎng)絡(luò)安全產(chǎn)品，為客戶構(gòu)建嚴(yán)密、 專業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面：WEB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進(jìn)行預(yù)先掃描，同時具備 對SQL注入、跨站腳本等通過應(yīng)用層的入侵動作實時阻斷，并結(jié)合網(wǎng)頁防篡改子 系統(tǒng)，真正達(dá)到雙重層面的“網(wǎng)頁防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時通過專業(yè)的安全加固服務(wù)對數(shù) 據(jù)庫進(jìn)行安全評估和配置，對數(shù)據(jù)庫的訪問權(quán)限進(jìn)行嚴(yán)格設(shè)定，最大限度保證數(shù) 據(jù)庫安全。同時，利用SAN遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)有效保護(hù)重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計中，我們借助豐富的安全咨詢經(jīng)驗和對等級保護(hù)管理 要求

10、的清晰理解，為用戶量身定做符合實際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險評估服務(wù)：評估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析， 分析業(yè)務(wù)運作和 管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評價用戶的業(yè)務(wù)安全 風(fēng)險承擔(dān)能力；安全監(jiān)控服務(wù)：通過資深的安全專家對各種安全事件的日志、 記錄實時監(jiān)控 與分析，發(fā)現(xiàn)各種潛在的危險，并提供及時的修補和防御措施建議；滲透測試服務(wù)：利用網(wǎng)絡(luò)安全掃描器、專用安全測試工具和專業(yè)的安全工程 師的人工經(jīng)驗對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬 黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用 戶；應(yīng)急響應(yīng)服務(wù)：針對信息系統(tǒng)

11、危機狀況的緊急響應(yīng)、分析、解決問題的服務(wù)， 當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時，可以提供緊急的救援措施。方案收益實施信息安全等級保護(hù)建設(shè)工作可以為高校信息化建設(shè)實現(xiàn)如下收益：有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平；有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信 息化建設(shè)協(xié)調(diào)發(fā)展；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo) 和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護(hù)，重點保障重要信息系統(tǒng)的安全；有利于明確信息安全責(zé)任，加強信息安全管理；有利于推動信息安全的發(fā)展三、設(shè)計原則及依據(jù)1、設(shè)計原則根據(jù)學(xué)院的要求和國家有關(guān)

12、法規(guī)的要求，本系統(tǒng)方案設(shè)計遵循性能先進(jìn)、質(zhì) 量可靠、經(jīng)濟實用的原則，為實現(xiàn)學(xué)院等級保護(hù)管理奠定了基礎(chǔ)。全面保障：信息安全風(fēng)險的控制需要多角度、多層次，從各個環(huán)節(jié)入手，全面的保障。 整體規(guī)劃，分步實施：對信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。同步規(guī)劃、同步建設(shè)、同步運行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行，在任何一個環(huán)節(jié)的 疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。適度安全：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和 易用性的平衡點。內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時，加強規(guī)范內(nèi)部人員行 為和訪問控制、監(jiān)控和審計能力。標(biāo)準(zhǔn)

13、化管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效 的控制風(fēng)險。技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時， 重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設(shè)計依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計嚴(yán)格按照現(xiàn)行中華人民共和國以及內(nèi)蒙 古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計或?qū)嵤┻^程中， 如國家有新法規(guī)、規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān) 技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。計算機信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則(GB 17859-1999信息系統(tǒng)安全等級保

14、護(hù)實施指南(GBfT 25058-2010信息系統(tǒng)安全保護(hù)等級定級指南(GB/T 22240-2008信息系統(tǒng)安全等級保護(hù)基本要求(GBfT 22239-2008信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求(GBfT 25070-2010信息系統(tǒng)安全等級保護(hù)測評要求(GB/T 28448-2012信息系統(tǒng)安全等級保護(hù)測評過程指南(GBfT 28449-2012信息系統(tǒng)安全管理要求(GB/T 20269-2006信息系統(tǒng)安全工程管理要求(GB/T 20282-2006信息系統(tǒng)物理安全技術(shù)要求(GB/T 21052-2007網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T

15、 20270-2006信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006操作系統(tǒng)安全技術(shù)要求(GB/T 20272-2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T 20273-2006信息安全風(fēng)險評估規(guī)范(GB/T 20984-2007信息安全事件管理指南(GB/T 20985-2007信息安全事件分類分級指南(GB/Z 20986-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T 20988-2007四、方案整體設(shè)計1、信息系統(tǒng)定級確定信息系統(tǒng)安全保護(hù)等級的流程如下：識別單位基本信息了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè) 所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀

16、定位。識別業(yè)務(wù)種類、流程和服務(wù)應(yīng)重點了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位 職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及 對本單位以外機構(gòu)或個人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。識別信息調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性 的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、 單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響， 對影響程度的描述應(yīng)盡可能量化。識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界調(diào)查了解定級對象信息系統(tǒng)所在單位

17、的整體網(wǎng)絡(luò)狀況、 安全防護(hù)和外部連接 情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點， 以及該信 息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。識別主要的軟硬件設(shè)備調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、 網(wǎng)絡(luò)、終端、存儲設(shè)備以及安 全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要 就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶， 內(nèi)部用戶和外部用戶，本地用戶和 遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息 被破壞可能影響的范圍和程度。根據(jù)信息安全等級矩陣表，形成定級結(jié)果

18、業(yè)稀息安全被破壞時服訓(xùn)客體igJlf公兔法人績也組躺合法權(quán)益第一級第二畝第二級社會瞬公咖箕三轟國家璉芽三級第2®第五級8S8SHSfiPi公艮法人租其ftfi獅合卻S第坂第二級第二級社會殊綁隘口第HS詡級田家安全第三坂S3雋五級1等級保護(hù)完全實施過程一局部調(diào)整 等級變更2、能力、措施和要求等保弓級的信息系統(tǒng)3、基本安全要求某級系統(tǒng)基本要求技術(shù)妾求系統(tǒng)運維管理系統(tǒng)建設(shè)管理人員安全管理安全管理¢1度安全菅雀機構(gòu)數(shù)據(jù)安全主機安仝網(wǎng)絡(luò)安全物理安全4、系統(tǒng)的控制類和控制項指標(biāo)類技術(shù)/管理Jgltf類數(shù)量項數(shù)量£類(3gA類(3)（3級）小計小計妄全技術(shù)物理安全11S1.03

19、2網(wǎng)絡(luò)安全1O6733主機安全313r (32應(yīng)用安全522931數(shù)據(jù)耒全21O38安全管理安全管理制度N/A311安全管理機構(gòu)520人員安全管理516系統(tǒng)建設(shè)管理Ll45系統(tǒng)運蛙管浬1360含計73類290項5、物理安全保護(hù)要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介 質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個控制點：物理位置的選擇（G） 物理訪問控制（G） 防盜竊和防破壞（G） 防雷擊（G）防火（G）防水和防潮（G）防靜電（G）溫濕度控制（G）電力供應(yīng)（A）電磁防護(hù)（S）整改要點：物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防靜電電力供應(yīng)電鑑防護(hù)防水

20、和防潮溫濕度控制基本防護(hù)能力IH高層、地下室 基本岀入控制：L分區(qū)域管理 在機房中的活動II存放位置、標(biāo)記標(biāo)識；F監(jiān)控報警系統(tǒng) 建筑防雷、機房接地i1- 設(shè)備防雷滅火設(shè)備、自動報警： 1自動消防系統(tǒng)I關(guān)鎮(zhèn)設(shè)備:二主要設(shè)備 穩(wěn)定電壓、短期供應(yīng)； 主要設(shè)備線纜隔離1IT-接地防干擾 j- 電磁屏菠電子門禁區(qū)域隔離措施防靜電地板冗余f并行線路I備用供電系統(tǒng)6、網(wǎng)絡(luò)安全保護(hù)要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全 網(wǎng)絡(luò)安全具體包括以下7個控制點：結(jié)構(gòu)安全(G)訪問控制(G)安全審計(G)邊界完整性檢查(A) 入侵防范(G)惡意代碼防范(G) 網(wǎng)絡(luò)設(shè)備防護(hù)(G)整改要點:結(jié)

21、構(gòu)安全關(guān)鋌設(shè)備冗余空間核心網(wǎng)絡(luò)帶寬子網(wǎng)/網(wǎng)段控制主要設(shè)備冗余空間路由控制整體網(wǎng)絡(luò)帶1帶寬分配優(yōu)先級重要網(wǎng)段部署訪問控制設(shè)備用戶、網(wǎng)囲端口控制防止地址欺騙應(yīng)用層協(xié)改過濾會話終止撥號訪問限制II I最大流量數(shù)炎最大連接數(shù)日志記錄IlIl審計報表審計記錄的保護(hù)a內(nèi)部的非法聯(lián)出I I非授權(quán)設(shè)備私自外聯(lián)I I定位及阻斷檢測常見攻擊；記錄、報警I網(wǎng)絡(luò)邊界處防范基本的登錄鑒別 :組合鑒別技術(shù)特權(quán)用戶的權(quán)限分離7、主機安全保護(hù)要求主機系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng) 及數(shù)據(jù)庫系統(tǒng)層面的安全。主機安全具體包括以下7個控制點:身份鑒別(S) 訪問控制(S)安全審計(G) 剩余信息保護(hù)

22、(S)入侵防范(G) 惡意代碼防范(G) 資源控制(A)整改要點：8、應(yīng)用安全保護(hù)要求應(yīng)用系統(tǒng)的安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運行。 包括基本應(yīng)用，如: 消息發(fā)送、Web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9個控制點：身份鑒別(S)訪問控制(S)安全審計（G） 剩余信息保護(hù)（S） 通信完整性（S）通信保密性（S） 抗抵賴（G） 軟件容錯（A） 資源控制（A）整改要點:身份鑒別基本的身份鑒別組合鑒別技術(shù)訪冋控制安全策略最小授權(quán)原!K敏感標(biāo)記的設(shè)冒及操作抗抵賴安全審計運存情況審計（用戶級）；審計報表審計過程的保護(hù)空間釋放及信息清除f5ES 術(shù)I I通石完整性;密碼技

23、術(shù)IN 審計記錄的保護(hù)剩余信息保護(hù)初 RtiF I通信保密性I7J 嚴(yán)口 IILJ-JiL Idj-IIl-整個報文及會話過程加密敏感信息加密III軟件容錯數(shù)據(jù)有效性檢驗、部分運行保護(hù)丨自動保護(hù)功能I9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)。將對數(shù)據(jù)造成 的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、 硬件冗余和異地實時備份。數(shù)據(jù)安全和備份恢復(fù)具體包括以下 3個控制點：數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）、備份和恢復(fù)（A）整改要點：鑒別數(shù)據(jù)傳輸?shù)耐旯?fàn)性 Il數(shù)據(jù)完整性數(shù)據(jù)保密性；各類數(shù)據(jù)傳輸及存儲檢測和恢戻I 鑒別數(shù)據(jù)存儲的保密

24、性: -!各類數(shù)據(jù)的傳輸及存儲備份和恢復(fù)重要數(shù)振的備飴硬件冗余網(wǎng)絡(luò)冗余、硬件冗余本地完全備份每天1次異地備份備份介質(zhì)場外存放10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動 的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個控制點：管理制度制定和發(fā)布評審和修訂整改要點：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機構(gòu)安全管理機構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施 的執(zhí)行。安全管理機構(gòu)具體包括以下5個控制點：崗位設(shè)置 人員配備

25、 授權(quán)和審批溝通和合作審核和檢查整改要點：信息安全領(lǐng)導(dǎo)小組與職能部門、 專職安全員、定期全面安全檢查、定期協(xié)調(diào) 會議、外部溝通與合作等12、人員安全管理對人員安全的管理，主要涉及兩方面：對內(nèi)部人員的安全管理和對外部人員的安全管理。人員安全管理具體包括以下5個控制點：人員錄用人員離崗人員考核安全意識教育及培訓(xùn)外部人員訪問管理整改要點：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對不同崗位的培訓(xùn)計劃、外部人員訪 問管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級、設(shè)計建設(shè)實施、驗收交付、測評等方面考慮，關(guān) 注各項安全管理活動。系統(tǒng)建設(shè)管理具體包括以下11個控制點：系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)外

26、包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測評安全服務(wù)商選擇整改要點：系統(tǒng)定級的論證、總體規(guī)劃、產(chǎn)品選型測試、開發(fā)過程的人員控制、工程實施制度化、第三方委托測試、運行起 30天內(nèi)備案、每年進(jìn)行1次等級測評、安 全服務(wù)商的選擇14、系統(tǒng)運維管理系統(tǒng)運維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急 預(yù)案管理和安管中心等。系統(tǒng)運維管理具體包括以下13個控制點：環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理、監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理整改要點：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼

27、/備份 與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類分級響應(yīng)、 應(yīng)急預(yù)案的演練和審查。本次等保三級方案主要針對學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計。2、等級保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù) 據(jù)安全五個方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護(hù)基本要求 則分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維 管理五個方面。整個安全保障體系各部分既有機結(jié)合， 又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機構(gòu)，制定完善的安全管理制度及安全策略， 由相關(guān)人員，利用 技術(shù)工

28、手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運行維護(hù)?！睋?jù)等級化安全保障體系的設(shè)計思路，等級保護(hù)的設(shè)計與實施通過以下步驟進(jìn) 行：1. 系統(tǒng)識別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類 別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟 充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等 級，為下一步安全域設(shè)計、安全保障體系框架設(shè)計、安全要求選擇以及 安全措施選擇提供依據(jù)。2. 安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解 為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。3. 確定安全域

29、安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計不同安全 域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等 級，明確各安全域所需采用的安全指標(biāo)。4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相 關(guān)風(fēng)險評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安 全需求。通過等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差 距，為下一步安全技術(shù)解決方案設(shè)計和安全管理建設(shè)提供依據(jù)。5. 安全保障體系方案設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保 障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)

30、 整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計、安全管理設(shè)計。6. 安全建設(shè)：根據(jù)方案設(shè)計內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計做要符 合的安全需求，滿足等級保護(hù)相應(yīng)等級的基本要求，實現(xiàn)按需防御。7. 持續(xù)安全運維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急 響應(yīng)等，從事前、事中、事后三個方面進(jìn)行安全運行維護(hù)，確保系統(tǒng)的 持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全 技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級保 護(hù)不是一個項目，它應(yīng)該是一個不斷循環(huán)的過程， 所以通過整個安全項目、安全 服務(wù)的實施，來保證用戶等

31、級保護(hù)的建設(shè)能夠持續(xù)的運行， 能夠使整個系統(tǒng)隨著 環(huán)境的變化達(dá)到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時新建了整套校園網(wǎng)絡(luò)， 后期又經(jīng)過陸陸續(xù)續(xù)的升級和改造，現(xiàn)已建成如下情況。1網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D1、內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示，學(xué)院有無線和有線兩套網(wǎng)絡(luò)提供使用， 整網(wǎng)采用縱向三層 設(shè)計，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨的核心交換機 S12006上聯(lián)至數(shù)據(jù)中心核心交換機 N18010,避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無線用戶和有線用戶各使用一條鏈路， 每條鏈 路各采用獨立的一臺出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。3

32、、網(wǎng)絡(luò)安全安全設(shè)計分為對外部數(shù)據(jù)的安全保障和對本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺防火墻部署在出口網(wǎng)關(guān)與核心交換機之間，保障了對外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺服務(wù)器防護(hù) WG,下聯(lián)各服務(wù)器，上聯(lián)核心交換 機，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計費系統(tǒng)、日志記錄系統(tǒng)、用 戶自助系統(tǒng)等。2、可能存在的風(fēng)險XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多 樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運行過程中所面臨的實際問題。1、來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者

33、防范不得力，使得服務(wù)器、交換機、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運行。設(shè)置安全是指在設(shè)備上進(jìn) 行必要的設(shè)置，如服務(wù)器、交換機的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制 權(quán)。2、來自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式 都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為， 學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。3、來自In ter net的威脅Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不 但會占用大

34、量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與 Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。 而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應(yīng)用的 大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很 容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護(hù)措施， 隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊

35、、系統(tǒng)癱瘓等嚴(yán)重 后果。3、等保三級對網(wǎng)絡(luò)的要求1結(jié)構(gòu)安全1. 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需 要；2. 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；4. 應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃 分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分 配地址段；6. 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng) 段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7. 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先

36、級別，保證在網(wǎng)絡(luò)發(fā) 生擁堵的時候優(yōu)先保護(hù)重要主機。2、訪問控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2. 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 /拒絕訪問的能力，控制 粒度為端口級；3. 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTR FTR TELNETSMTP POP3等協(xié)議命令級的控制；4. 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng) 進(jìn)行資源訪問，控制粒度為單個用8. 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量

37、3、安全審計1. 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志 記錄；2. 審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功 及其他與審計相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；4. 應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。4、邊界完整性檢查1. 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷；2. 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位 置，并對其進(jìn)行有效阻斷。5、入侵防范1. 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻 擊、拒絕服務(wù)攻擊、緩

38、沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2. 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間， 在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報告；6、惡意代碼防范1. 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；2. 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護(hù)1. 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2. 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3. 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；4. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行 身份鑒別；5. 身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更 換；6. 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法

39、登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；7. 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳 輸過程中被竊聽；8. 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離4、現(xiàn)狀對比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達(dá)不到三級等保的要求，下面 從以上7個控制點進(jìn)行詳細(xì)的對比，找出存在的問題并提出解決方案。1、現(xiàn)狀對比主要是對已有設(shè)備的配置和使用情況進(jìn)行檢查和修改。網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；監(jiān)控分析及優(yōu)化服務(wù)；是否進(jìn)行了路由控制建立安全的訪問路徑？重要網(wǎng)段的隔離部署；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；如：MAC+IP綁定審計數(shù)據(jù)的梳理及分析；設(shè)定用戶的訪問權(quán)限并配置策略（內(nèi)部和

40、外部）；對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別和地址限制；對重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：打鉤表示已滿足要求。未打鉤表示未滿足要求，需要完善，可通過對現(xiàn)有設(shè)備進(jìn)行深化配置或結(jié)構(gòu)安全1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰 期需要；2應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；者增添新設(shè)備來實現(xiàn)。3應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路 徑；4應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、 網(wǎng)段分配地址段；6應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界

41、處且直接連接外部信息系統(tǒng)，重 要網(wǎng)段與其他網(wǎng)段之間米取可靠的技術(shù)隔離手段；7應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng) 絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主機。訪問控制1應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTR FTP、TELNET SMTP POP3等協(xié)議命令級的控制；4應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒

42、絕用戶對受控 系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶；8應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；安全審計1應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行 日志記錄；2審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否 成功及其他與審計相關(guān)的信息；3應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；4應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確疋出 位置，并對其進(jìn)行有效阻斷；2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定 出位置，并對其進(jìn)行有效阻斷。入侵防范1應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端

43、口掃描、強力攻擊、木馬后 門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2當(dāng)檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊 時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報惡意代碼防范措施。惡意代碼防范1應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；2應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備防護(hù)1應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；4主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來 進(jìn)行身份鑒別；5身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定 期更換；6應(yīng)具有登錄失敗處理功能，可

44、采取結(jié)束會話、限制非法登錄次數(shù)和 當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；7當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng) 絡(luò)傳輸過程中被竊聽；8應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離2、控制點整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要；部署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑；規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置 ACL策略進(jìn)行隔離；網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級，保證在網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保護(hù)重要主機。必要 時可部署專業(yè)流控產(chǎn)品進(jìn)行管控。2、訪問控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備；根據(jù)基本要求對隔離設(shè)備以及網(wǎng)絡(luò)

45、設(shè)備等制定相應(yīng)的ACL策略。包括：訪問控制粒度、用戶數(shù)量等。在配置防火墻等隔離設(shè)備的策略時要滿足相應(yīng)要求， 包括：端口級的控制粒 度；常見應(yīng)用層協(xié)議命令過濾；會話控制；流量控制；連接數(shù)控制；防地址欺騙3、安全審計部署網(wǎng)絡(luò)安全審計系統(tǒng)，記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量 等，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與 審計相關(guān)的信息。加強審計功能，具備報表生成功能，同時采用日志服務(wù)器進(jìn)行審計記錄的保 存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進(jìn)行邊界完整 性檢查。在檢測的同時要進(jìn)行有效阻斷。5、入侵防

46、范部署入侵檢測系統(tǒng)進(jìn)行入侵行為進(jìn)行檢測。包括：端口掃描、強力攻擊、木 馬后門攻擊等各類攻擊行為。配置入侵檢測系統(tǒng)的日志模塊，記錄記錄攻擊源 IP、攻擊類型、攻擊目的、 攻擊時間等相關(guān)信息，并通過一定的方式進(jìn)行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或AV、IPS網(wǎng)關(guān)進(jìn)行惡意代碼的檢測與清除，并定 期升級惡意代碼庫。升級方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護(hù)根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、 標(biāo)識符、口令的復(fù)雜度（3種以上字符、長度不少于8位）、失敗處理，傳輸加 密等方面。對網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。對主要網(wǎng)絡(luò)設(shè)備實施雙因素認(rèn)證手段進(jìn)身份鑒

47、別；對設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級的配置，實現(xiàn)權(quán)限分離。3、詳細(xì)整改方案1. 現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進(jìn)行可靠的技術(shù)隔離，應(yīng)采 用相應(yīng)的VLAN隔離技術(shù)并為特定的無線用戶配置用戶隔離。2. 現(xiàn)有網(wǎng)絡(luò)未配置對業(yè)務(wù)服務(wù)的重要次序并指定帶寬分配優(yōu)先級別，需增添專業(yè)的流量控制設(shè)備對有線合無線用戶進(jìn)行全面管控。3. 在出口區(qū)域部署的防火墻雖然配置了相應(yīng)的安全策略，但是沒有將某些 應(yīng)用的控制粒度細(xì)化到端口級別，需完善配置。4. 現(xiàn)有網(wǎng)絡(luò)設(shè)備沒有對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP FTR TELNET SMTP POP3等協(xié)議命令級的控制，需增添一臺 專業(yè)的行為管理設(shè)

48、備進(jìn)行完善。5. 大部分設(shè)備的會話非活躍時間設(shè)置均為默認(rèn)值，應(yīng)在會話處于非活躍一 定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，需修改設(shè)備的相應(yīng)數(shù)值進(jìn)行完善。6. 出口網(wǎng)關(guān)上沒有相應(yīng)的限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的配置，需根 據(jù)用戶群體、數(shù)量及數(shù)據(jù)量的大小計算出合理的數(shù)值并完善。7. 交換機上沒有對重要網(wǎng)段采取技術(shù)手段防止地址欺騙，建議全網(wǎng)采用DHCR SnOOPing + IR SOUrCe guard + ARR Che方案或使用 DHCR SnOOPing + DAl方案對地址欺騙進(jìn)行有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺SAM認(rèn)證計費系統(tǒng)，所以也可采用與 SAM聯(lián)動的方式SAM+Supplicant方案

49、。8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。應(yīng)在交換機上添加相應(yīng)配置，如采用ACL進(jìn)行控制，控制粒度應(yīng)為單個用戶。9. 設(shè)備未限制具有撥號訪問權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進(jìn)行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無法全面有效的記錄事件的日期和時間、用戶、事件類型、事 件是否成功及其他與審計相關(guān)的信息，上述第4條中增添的行為管理設(shè) 備可對此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計，分開兩路電源對其供電，配置高復(fù)雜 度密碼并定期進(jìn)行修改和檢查，與日志系統(tǒng)聯(lián)動，實時轉(zhuǎn)存日志信息， 實現(xiàn)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆

50、蓋。12. 現(xiàn)有設(shè)備無法有效的對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查、準(zhǔn)確定出位置并對其進(jìn)行有效阻斷，應(yīng)增添專業(yè)的入侵檢測設(shè)備對現(xiàn)有 網(wǎng)絡(luò)進(jìn)行完善。13. 現(xiàn)有設(shè)備無法全面有效的對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行 檢查、準(zhǔn)確定出位置并對其進(jìn)行有效阻斷。上述第 4條中增添的行為管理設(shè)備可對此完美支持。14. 現(xiàn)有設(shè)備無法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強力攻擊、木 馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲 攻擊等，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。15. 現(xiàn)有設(shè)備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，

51、并無法全面有效的在發(fā)生嚴(yán)重入侵事件時提 供惡意代碼和防范措施，上述第 12條中增添的入侵檢測設(shè)備可對此完 美支持。16. 現(xiàn)有設(shè)備無法全面有效的在在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除， 上述第12條中增添的入侵檢測設(shè)備可對此完美支持。17. 安全類設(shè)備應(yīng)定期維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新，以免識別 不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對網(wǎng)絡(luò)設(shè)備的管理員地址進(jìn)行限制，應(yīng)在所有設(shè)備上采用 ACL等技應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，只允許管理員所在 地址段的指定地址登錄設(shè)備并進(jìn)行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行 身份鑒別，建議采用用

52、戶名+密碼+驗證碼等方式對設(shè)備進(jìn)行登錄和管 理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并 定期更換；21. 現(xiàn)有設(shè)備未配置對登錄失敗處理功能，如采取結(jié)束會話、限制非法登錄 次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的遠(yuǎn)程管理方式均采用 Telnet和HTTP方式進(jìn)行登錄管 理，無法防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS勺方式對設(shè)備進(jìn)行登錄和管理。23. 當(dāng)前設(shè)備未配置對管理員的權(quán)限劃分，當(dāng)存在多個不同等級的管理員時， 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域

53、的防護(hù)只部署了一臺WG,但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進(jìn)行防護(hù)，所以需要增添專業(yè)的數(shù)據(jù)庫審計設(shè)備對數(shù)據(jù)庫和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行全面 檢測和審計。4、設(shè)備部署方案上述整改措施中包含服務(wù)類與產(chǎn)品類兩種解決方式， 其中產(chǎn)品類措施中包含3臺設(shè)備，分別是行為管理、入侵檢測和漏洞掃描。1、行為管理設(shè)備1、部署位置為了保證有效的檢測和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署 在核心交換機與出口網(wǎng)關(guān)中間，如下圖所示：拓?fù)鋱D2、設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對性能也有 一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩 倍以上?？蓪?shù)據(jù)進(jìn)行2-7層的全面檢查和分析，深度識別、管控和審計數(shù)百種 IM聊天軟件