一套网络安全(等保2.0建设)规划设计方案.docx

网络安全等级保护建设方案1. 项目概述-1-1.1. 项目概述-1-1.2. 项目建设背景-1-1.2.1. 法律依据.-1-1.2.2. 政策依据-1-1.3. 项目建设目标及内容-3-1.3.1. 建设目标-3-1.3.2. 建设内容-4-2. 方案设计说明-5-2.1. 设计依据-5-2.2. 设计原则-6-2.2.1. 分区分域防护原则.-6-2,22均衡性保护原则-6-2.2.3. 技管并重原则.-6-2.2.4. 动态调整原则.-7-2.2.5. 三同步原则-7-3. 安全现状及需求分析-7-3.2. 安全需求分析-7-3.1.1. 物理环境安全需求-7-3.1.2. 通信网络安全需求-8-3.1.3. 区域边界安全需求-9-3.1.4. 计算环境安全需求-10-3.1.5. 安全管理中心安全需求-11-3.1.6. 安全管理制度需求-12-3.1.7. 安全管理机构需求-12-3.1.8. 安全管理人员需求-12-3.1.9. 安全建设管理需求-13-3.1.10. 安全运维管理需求.-14-3.2. 设计思路-14-3.3. 设计框架-16-4. 技术体系设计方案-17-4.1. 技术体系设计框架-17-4.2. 安全技术防护体系设计-17-4.2.1. 安全通信网络防护设计.-17-4.2.2. 安全区域边界防护设计.-20-4.2.3. 安全计算环境防护设计.-21-4.2.4. 安全管理中心设计-25-5. 管理体系设计方案-25-5.1. 管理体系设计目标-25-5.2. 管理体系设计框架-26-5.3. 安全管理防护体系设计-26-5.3.1. 安全管理制度设计-26-5.3.2. 安全管理机构设计-27-5.3.3. 安全管理人员设计-27-5.3.4. 安全建设管理设计-28-5.3.5. 安全运维管理设计-29-6. 部署拓扑错误!未定义书签。6.1. 总体规划拓扑错误!未定义书签。7. 方案收益-34-.项目概述1.L项目概述根据实际情况编制。项目建设背景1.2.1.法律依据中华人民共和国计算机信息系统安全保护条例（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。网络安全法第二十一条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。网络安全法的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志着国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。1. 2.2.政策依据国家信息化领导小组关于加强信息安全保障工作的意见明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。关于信息安全等级保护工作的实施意见指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保隙和促进信息化建设健康发展的一项基本制度。自信息安全等级保护管理办法颁布以来，一直是国家层面推动网络安全工作的重要抓手。国务院关于推进信息化发展和切实保障信息安全的若干意见（规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。除此之外，下列政策文件也对等级保护相关工作提出了要求：关于开展信息系统安全等级保护基础调查工作的通知（公信安（2005）1431号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安（2007）861号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技（2008）2071号）国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知（发改高技12008）2544号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安（2009）1429号）关于进一步推动中央企业信息安全等级保护工作的通知（公通字（2010）70号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安（2010）303号）关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技（2012）1986号）全国人民代表大会常务委员会关于加强网络信息保护的决定（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过）网络安全等级保护条例（征求意见稿）（2018年6月）1.3. 项目建设目标及内容1.3.L建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作，使网络系统可以按照保护等级的要求进行设计、规划和实施，并且达到相应等级的基本保护水平和保护能力。依据网络安全等级保护相关标准和指导规范，对引绰济辽工程单位信息系统按照“整体保护、综合防控”的原则进行安全建设方案的设计，按照等级保护三级的要求进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。最终使引绰济辽工程互联网系统达到安全等级保护第三级要求。经过建设后,使整个网络形成一套完善的安全防护体系，提升整体网络安全防护能力。对于三级网络，经过安全建设整改，网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，以及防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，应该能够快速恢复正常运行状态；具有对网络资源、用户、安全机制等进行集中控管的能力。1. 3.2.建设内容引绰济辽工程开展等保建设的主要工作任务包括：定级备案、建设与整改、等级测评、安全管理与运维等等。等保测评是按照系统来测评的，因此我们以引绰济辽工程业务系统来做说明。引绰济辽工程业务系统要达到等保三级要求，需要具备对抗来自大型的、有组织的团体（如商业情报组织或犯罪组织等）发起的恶意攻击，可以应对较为严重的自然灾难、内部人员的恶意威胁、设备的较严重故障（如宕机、硬盘损坏等），并在威胁发生后，能够很快恢复绝大部分功能。三级系统等保建设步骤包括：1、系统识别。引绰济辽工程对执法记录仪系统进行深入的识别和描述，包括系统基本信息、系统所涵盖的信息资产范围、使用者和管理者范围、行政和网络区域范围等。2、风险评估。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式，全面分析业务系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险，形成风险评估报告。3、方案设计与评审。根据风险评估及差距分析情况，结合业务系统安全实际需求和建设目标，制定完整的等级保护安全建设方案，组织信息安全技术专家委员会对方案进行论证、评审。4、整改建设，整改建设内容包括：（1）安全域划分。通过安全域划分，实现对不同系统的差异防护，并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异，各自可能具有不同的安全防护需求，因此需要将不同特性的系统进行归类划分安全域，并明确各域边界，分别考虑防护措施。（2）边界安全防护。主要防护手段包括防火墙、入侵防御、WEB应用防火墙等等，等保三级要求终端防恶意代码软件与边界网关设备异构部署。为了达到更高的安全性，防火墙和UTM网关也可以采用异构模式部署。（3）网络环境安全防护。网络环境安全防护建设可有效阻止恶意人员通过网络对应用系统进行攻击，同时阻止对网络设备的攻击。可以通过日志审计系统（SOC）汇集各类安全事件和设备日志，及时发现攻击意图和系统异常，进行事件追踪、事件源定位以定位恶意人员位置，尽早发现网络、主机、操作系统、中间件、数据库、业务应用、机房等IT设施的异常并实时报警以便迅速处置。（4）备份与恢复。备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。对于核心交换设备、外部接入链路以及系统服务器采用双机、双线的冗余结构，保障系统不间断运行的需要。（5）身份鉴别。业务系统应按照信息安全等级保护制度等要求，采用堡垒机满足等保要求。5、等级测评。委托相关权威测评机构，依据国家信息安全等级保护制度规定，根据等保测评相关标准，从安全技术与安全管理两大项10个方面，对信息系统安全等级保护状况进行全面测试与综合评估。三级信息系统每年要至少进行一次信息安全等级测评。为提升通过率，可首先选择专业安全公司进行辅助测评，在正式测评时选择具有等级保护测评资质的合法测评机构进行测评，并出具测评报告。6、安全运维。引绰济辽工程应该按照PDCA持续改进的工作机制，在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保隙，确保系统稳定、安全的运行，并使整个系统随着环境的变化达到持续的安全。2.方案设计说明2.1.设计依据本方案是根据2019年5月13口最新发布的GB/T22239-2019信息安全技术网络安全等级保护基本要求的安全通用要求和安全目标，参照GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求的通用设计技术要求，针对第三级系统而提出的安全保护等级设计方案。除上述两个标准外，还参考了如下相关标准：信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2013）信息技术安全技术信息安全控制实用规则(ISO/IEC27002：2013)计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008)网络安全等级保护定级指南(GA/T1389-2017)信息安全技术信息系统安全等级保护实施指南(GB/T25058-2010)信息安全技术网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)2.2.设计原则2. 2.L分区分域防护原则任何安全措施都不是绝对安全可靠的，为保障攻破一层或一类保护的攻击行为而不会破坏整个网络，以达到纵深防御的安全目标，需要合理划分安全域，综合采用多种有效安全保护措施，实施多层、多重保护。2. 2.2.均衡性保护原则对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理安全需求、安全风险与安全保护代价的关系。因此，结合适度防护实现分等级安全保护，做到安全性与可用性平衡，达到技术上可实现、经济上可执行。3. 2.3.技管并重原则网络安全涉及人、技术、操作等方面要素，单靠技术或单靠管理都不可能实现。因此在考虑网络安全时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合，坚持管理与技术并重，从而保隙网络安全。2. 2.4.动态调整原则由于网络安全需求会不断变化，以及环境、条件、时间的限制，安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护，后续再根据应用和网络安全技术的发展，不断调整安全保护措施，加强安全防护力度，以适应新的网络安全环境，满足新的网络安全需求。当安全保护等级需要变更时，应当根据等级保护的管理规范和技术标准的要求，重新确定网络安全保护等级，根据调整情况重新实施安全保护。3. 2.5.三同步原则网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施，确保其具有支持业务稳定、持续运行性能的同时，保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。4. 安全现状及需求分析4.1. 安全需求分析3.1. 根据等级保护三级相关要求，引绰济辽工程互联网区建设都应符合等级保护三级的业务系统应满足以下安全需求。3.2. 1.物理环境安全需求物理环境安全主要影响因素包括机房环境、机柜、电源、通信线缆和其他设备的物理环境。该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。具体安全需求如下：由于机房容易遭受雷击、地震和台风和暴雨等自然灾难威胁，需要考虑机房场地位置的选择，以及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题；由于机房容易遭受水患和火灾等灾害威胁，需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁；由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常，应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁；由于机房电压波动影响，需要合理设计电力供应系统来解决因电压波动带来的安全威胁；针对机房供电系统故隙，需要合理设计电力供应系统，如：购买UPS系统、建立发电机机房，铺设双电力供电电缆来保障电力的供应，来解决因供电系统故障带来的安全威胁；针对机房容易遭受静电和线缆电磁干扰，需要采取防静电和电磁防护措施来解决静电和线缆电磁干扰带来的安全威胁；并对关键设备采取电磁屏蔽措施；针对利用非法手段进入机房内部盗窃、破坏等安全威胁，需要通过采取物理区域访问控制及监控报警装置等控制措施，来解决非法手段进入机房内部盗窃、破坏等带来的安全问题；针对利用工具捕捉电磁泄漏的信号，导致信息泄露的安全威胁，需要通过采取防电磁措施，来解决电磁泄漏带来的安全问题。3.3. 2.通信网络安全需求通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的安全部件。是利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。引绰济辽工程信息系统所在的生产网，入口为百兆级带宽充分满足目前所有系统之间的互联需求，接入区域有路由器、交换机、防火墙等设备，办公网到生产网之间防火墙未配置策略。办公网区域未部署堡垒机。对网络拓扑进行查看，发现依据网络安全防护要求，目前拓扑图就主要存在以下问题：1、信息网络内设备之间的访问数据、服务、端口和协议等没有监控手段；2、信息网络没有部署网络安全监测设备,对网络内TCP/IP协议和工控协议的异常流量、异常协议和入侵行为等进行检测,发现利用漏洞或关键指令进行攻击的行为；3、无线网络的使用控制没有对所有使用无线通信的终端设备提供唯一性标识和鉴别措施，没有提供无线连接的授权、监控以及权限控制措施，没有无线安全检测、防护措施,识别和阻断未经授权无线设备接入信息网络的行为,没有对无线扫描、无线破解、无线Dos等攻击行为的检测和阻断能力；4、目前存在大量的交换机可以使用telnet进行远程访问，存在较大安全隐患；5、目前办公区域未部署堡垒机；6、与单位外部进行数据交互的线路边界WAF未部署策略；7、信息系统中控室或操作站无终端准入控制措施；引绰济辽工程网络安全；8、信息系统重要系统未将人员的操作行为的日志进行留存；9、信息系统核心交换没有主备，存储没有异地备份。3.1.3.区域边界安全需求区域边界包括安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，区域边界安全即各网络安全域边界和网络关键节点可能存在的安全风险。需要把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。各类网络设备、服务器、管理终端和其他办公设备系统层的安全风险。主要涵盖两个方面，一是来自系统本身的脆弱性风险；另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下：针对内部人员未授权违规连接外部网络，或者外部人员未经许可随意接入内部网络而引发的安全风险，以及因使用无线网络传输的移动终端而带来的安全接入风险等问题，需要通过违规外联、安全准入控制以及无线安全控制措施来解决。针对跨安全域访问网络的行为，需要通过基于应用协议和应用内容的细粒度安全访问控制措施来解决，以实现网络访问行为可控可管。针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资源，导致拒绝服务或服务停止的安全风险，需要通过抗DDe）S攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击（如碎片重组，协议端口重定位等），尤其是新型攻击行为，需通过网络入侵检测和防范等技术措施来解决。针对通过恶意代码传播对主机、应用系统和个人隐私带来的安全威胁，需要通过恶意代码防护技术手段解决。针对邮件收发时遭受恶意代码攻击的安全风险，需要通过垃圾邮件防护等技术手段解决。针对违规越权操作、违规访问网络等用户行为，需要采取安全审计手段来实现安全事件的有效追溯和用户行为的审计分析。3. 针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁，边界设备需要通过采取动态可信验证机制来确保程序运行安全可信，从而保隙业务系统安全可信。4. 1.4.计算环境安全需求计算环境安全涉及业务应用系统及重要数据处理、存储的安全问题。具体安全需求如下：引绰济辽工程信息系统主机主要包括应用服务器、数据库服务器、存储服务器，除存储服务器外互为主备。其中应用服务器6台、数据库服务器2台、存储服务器1台。引绰济辽工程信息系统主机主要包括应用服务器、数据库服务器、存储服务器，除存储服务器外互为主备。其中应用服务器6台、数据库服务器2台、存储服务器1台。本次信息系统风险评估抽查所用的主机设备如下： HIS系统应用服务器 EMR系统应用服务器 Pacs应用服务器 Pacs应用服务器 体检应用服务器 智能患者服务医用服务器 HIS系统数据服务器 EMR系统数据服务器1、目前信息系统服务器无法对操作系统的日志进行留存和审计分析，当事件发生时无法进行追查、定责及审计；2、对日后操作系统服务器本身出现的新漏洞没有相应的措施进行排查，对主机安全漏洞无法进行主动发现和管控；3、对各人员登录服务器的路径、IP、操作过程、使用工具的均未进行限制，需要部署服务器端管理的相应措施；4、所有服务器部署在vmware虚拟平台，缺少对虚拟平台的进行有效防护；引绰济辽工程网络安全风险评估报告5、服务器未进行安全加固3.1. 5.安全管理中心安全需求针对系统管理员、审计管理员、安全管理员的违规操作行为，需要采取角色权限控制、身份鉴别、安全审计等技术手段对其操作行为进行限定，并对其相关操作进行审计记录。针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析，以及集中安全策略分发、恶意代码特征库、漏洞补丁升级等安全管理问题，需要通过集中安全管控和集中监测审计机制来解决。针对应用系统过度使用服务器内存、CPU等系统资源的行为，需要对应用软件进行实时的监控管理，同时对系统资源进行管控来解决。针对设备违规操作或多通路运维带来的安全风险，需要对指定管理区域及安全管控通路。3.L6.安全管理制度需求安全管理制度涉及安全方针、总体安全策略、安全管理制度体系、评审与修订管理等方面。其安全需求如下：需要制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；需要指定专门的部门对管理活动进行制度化管理，制定相应的制度和操作流程并正式发布；需要定期对安全管理制度进行评审和修订，不断完善、健全安全制度。3.1. 7.安全管理机构需求安全管理机构涉及安全部门设置、人员岗位设置、人员安全管理等方面。其安全需求如下：需要组建网络安全管理领小组，并设立专门的安全管理工作职能部门，设置相应的管理岗位，配备安全管理人员、审计管理员、系统管理员；需要建立审批制度，根据岗位职责开展审批和授权相关工作；需要建立协调机制，就信息安全相关的业务进行协调处理；需要建立审核和检查部门，安全人员定期的进行全面的安全检查；需要建立恰当的联络渠道，进行沟通和合作，进行事件的有效处理；需要建立审核和检查的制度，对安全策略的正确性和安全措施的合理性进行审核和检查。3.L8.安全管理人员需求1. 要对人员的录用进行必要的管理，确保人员录用的安全；需要对人员离岗进行有效的管理，确保人员离岗不会带来安全问题；需要对人员考核进行严格的管理，提高人员安全技能和安全意识；需要对人员进行安全意识的教育和培训，提高人员的安全意识；3. 需要对外部人员进行严格控制，确保外部人员访问受控区域或接入网络时可控可管，并签署保密协议。4. 1.9.安全建设管理需求安全建设管理涉及定级备案管理、安全方案设计、产品采购和使用、软件开发管理、安全集成建设、测试验收交付、等级测评以及服务商选择等方面。其安全需求如下：需要建立备案管理制度，对系统的定级进行备案；需要具有总体安全方案设计、方案评审的流程和管理能力；产品采购符合国家有关规定，密码算法和密钥的使用需符合国家密码管理的规定；需要有专人对工程实施过程进行管理，依据工程实施方案确保安全功能的落地，实施过程需要有第三方工程监理来共同控制实施质量；需要制定软件开发的相关制度和代码编写规范，并对源代码的安全性进行检测；需要建立产品采购、系统测试和验收制度，确保安全产品的满足项目安全需求和功能需求，尤其是密码应用的安全性；需要与符合国家的有关规定的服务供应商签订协议；需要每年组织开展等级测评并及时整改；需要在工程实施过程中做好文档管理工作，并在系统交付时提供完整的资料交付清单，对运维人员进行技能培训；需要提供建设过程文档和运行维护文档；需要选择符合国家有关规定的服务供应商，并对服务情况进行定其评审和审核。4.1. 10.安全运维管理需求安全运维管理涉及环境管理、资产管理、系统安全运行维护管理、配置与变更管理、安全事件处置及应急响应管理等方面。其安全需求如下：5. 要保证机房具有良好的运行环境；需要建立机房安全管理制度来规范物理访问、物品进出和环境安全；需要对信息资产进行分类标识、规范化管理；需要对各种软硬件设备的选型、采购、使用和保管等过程进行控制；需要各种网络设备、服务器正确使用和维护；需要采取措施对安全漏洞和隐患进行识别，并及时修补；需要对网络、操作系统、数据库系统和应用系统进行安全管理；需要定期地对通信线路进行检查和维护；需要对恶意代码防范有效性进行验证；需要对运维工具的使用和远程运维的权限进行管理控制；需要硬件设备、存储介质存放环境安全，对其使用进行控制和保护；需要对支撑设施、硬件设备、存储介质进行日常维护和管理；需要对系统使用手册、维护指南等工具文档进行管理；需要规范配置管理和变更管理流程；需要在事件发生后能采取积极、有效的应急策略和措施；需要建立应急响应机制来应对突发事件，做好应急预案并进行演练；需要与符合国家有关规定的外包运维服务商签订相关协议，并明确运维服务能力要求。6. 2.设计思路参考网络安全等级保护安全设计技术要求，本方案的设计思路如下：根据系统定级的结果，明确该等级对应的总体防护措施；根据系统和子系统划分结果、安全定级结果，将保护对象归类，并组成保护对象框架；根据方案的设计目标来建立整体保障框架，来指导整个等级保护方案的设计，明确关键的安全要素、流程及相互关系；在安全措施框架细化后将补充到整体保隙框架中；根据此等级受到的威胁对应出该等级的保护要求（即需求分析），并分布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上；根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略（即总体安全目标），再根据等级保护的要求将总体安全策略细分为不同的具体策略（即具体安全目标），包括安全域内部、安全域边界和安全域互联策略；根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施；根据安全技术体系和安全管理体系的划分，各安全措施共同组成了安全措施框架；根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分；各安全区域将保护对象框架划分成不同部分，即各安全措施发生作用的保护对象集合。根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设计安全解决方案。3.3.设计框架业务内网业务外网私有云数据中心态势感外网出口网关接入网页防篡改单向网闸控制专网业务终端工业安全主机卫士秋件办公终端接入交换机日志审计堡垒机工业安全审计监测系统工业安全管理平白业务终端工业安全主机卫士软件I业务终端工业工业安全审计安全主航卫士软件监测系统漏洞扫交换机工业安全审计监财统接入交换机工业运维审计系统交换机防病毒网关防火墙工业网闸核心交换机防火墙F负载均衡系统入侵检测系统网页防墓改业务终端工业安全主机旧士软件士水分中心核心交换机业务终端工业安全主机卫士软件I7. 4.技术体系设计方案8. 1.技术体系设计框架在“一个中心、三重防护”的理念的基础上，进行全方位的主动防御、安全可信、动态感知和全面审计。4.2.安全技术防护体系设计4.2.1.安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项，结合通信网络安全审计、通信网络数据传输完整性/保密性保护、可信连接验证等安全设计要求，安全通信网络防护建设主要通过网络架构设计、安全区域划分、流量均衡控制、通信网络安全传输、通信网络安全接入，及通信网络安全审计等机制实现。4.2.1.L网络架构及安全区域设计4.2.1.1.1.网络架构设计网络层架构设计应重点关注以下方面：主要网络设备、安全设备（如核心交换机、核心路由器、关键节点安全设备等）的业务处理能力应能满足业务高峰期需要，保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构，以满足业务连续性需求。网络带宽应能满足业务高峰期的需求，保证各业务系统正常运行的基本带宽。划分不同的子网，按照方便管理和控制的原则为各子网、网段分配地址段。避免将重要网络区域部署在网络边界处且没有边界防护措施。4.2.1.1.2,安全区域划分安全区域通常也称“安全域”，通常是由安全计算环境和安全区域边界组合形成。具体而言，安全域是指同一系统内有相同的安全保护需求、相互信任，并且具有相同的访问控制和边界控制策略的子网或网络。同时，安全域还可以根据其更细粒度的防护策略，进一步划分安全子域，以便能够落实重点防护思想，形成重要资源重点保护的策略方针。安全域及安全子域划分时应重点考虑以下要素：各业务系统/子系统在同一个管理机构的管理控制之下，保证遵循相同的安全策略；各业务系统/子系统具有相似的业务类型或相似的用户群体，安全需求相近，保证遵循相同的安全策略；各业务系统/子系统具有相同的物理位置或相似的运行环境，有利于采取统一的安全保护机制；各业务系统/子系统面临相似的安全威胁，需采用相似的安全控制措施来保证安全性;4.2.1.2.带宽流量负载管理考虑到网络架构中业务应用系统带宽分配和处理能力需要，以及针对业务应用系统中资源控制要求,通过防火墙的负载均衡功能能够有效支撑网络链路负载,保障流量带宽资源的合理管控。4.2.1.3.通信网络安全传输考虑到未来分支机构及远程移动办公相关需求，通信安全传输方面应能够满足业务处理安全保密和完整性需求，避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。通过防火墙采用VPN技术而形成加密传输通道，即能够实现对敏感信息传输过程中的信道加密，确保信息在通信过程中不被监听、劫持、篡改及破译；保证通信传输中关键数据的的完整性、可用性。421.4.远程安全接入防护针对有远程安全运维需求，或者远程安全访问需求的终端接入用户而言，应采用防火墙和堡垒机建立安全接入技术来满足远程访问或远程运维的安全通信要求，保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。4.2.1.5.通信网络安全审计考虑到日常办公的业务流量保障需求及日常工作员工上网的应用管控及敏感信息防外泄需求，应部署上网行为管理系统启用/设置安全审计功能，将用户行为和重要安全事件进行安全审计，并统一上传到安全审计管理中心。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。4.2.2.安全区域边界防护设计依据等级保护要求第三级中安全区域边界相关控制项，结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护及可信验证等安全设计要求，安全区域边界防护建设主要通过基于地址、协议、服务端口的访问控制策略；非法外联/违规接入网络、恶意代码防护、入侵防御以及网络审计管理等安全机制来实现区域边界的综合安全防护。具体如下：4.2.2.1.区域边界访问控制依据等级保护要求第三级中网络和通信安全相关安全要求，区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备下一代防火墙，并配置细颗粒度的基于地址、协议和端口级的访问控制策略，实现对区域边界信息内容的过滤和访问控制。4.2.2.2.违规外联/安全接入控制针对终端计算机非授权连接外部网络，或者未经安全检测和授权而随意接入网络中的情况,通常是采用准入控制系统违规内联外联控制技术来进行检查和控制。违规外联控制能够及时监测终端计算机违规连接外网/互联网的终端访问行为，并及时进行阻断和报警；安全准入控制能够对接入到内部网络中的终端计算机进行安全检查，使其必须满足一定安全基线要求、经过认证授权的情况下方能使用网络系统，保障网络区域边界的完整性保护。4.2.2.3.边界恶意代码防护网络区域边界的恶意代码防范工作是在关键网络节点处部署下一代防火墙对恶意代码和垃圾邮件进行及时检测和清除，并保持网络病毒库和垃圾邮件库的升级和更新。4.2.2.4.区域边界入侵防护区域边界网络入侵防护主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为，进行及时检测、阻止和报警，建议部署入侵防御系统满足等保相关要求。4.2.2.5.区域边界安全审计区域边界安全审计需要对区域网络边界、重要网络节点通过部署网络审计系统进行用户行为和重要安全事件进行安全审计，并统一上传到安全审计管理中心。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。4.2.3.安全计算环境防护设计依据等级保护要求第三级中安全计算环境相关控制项，结合安全计算环境对于用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、可信验证、配置可信检查、入侵检测和恶意代码防范等技术设计要求，安全计算环境防护建设主要通过身份鉴别、安全访问控制、安全审计、入侵防范、恶意代码防护、数据完整性保护、数据保密性保护、个人信息保护、数据备份恢复以及系统和应用自身安全控制等多种安全机制实现。具体如下：4.2.3.1.身份鉴别与访问通过部署堡垒机系统对网络设备、主机系统、数据库系统、业务应用系统等身份认证及操作权限分配管理，应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。并采用双因素认证手段来加强身份鉴别。除此之外还可限制登录尝试次数据，并配置登录连接超时自动退出等功能。423.2.安全访问控制通过部署堡垒机系统对用户和权限实施安全策略。对重要服务器部署主机操作系统进行防护加固。主机操作系统安全防护加固不仅能够实现基于文件自主访问控制，对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器重要数据完整性不被破坏。4.2.3.3.安全审计管理在安全计算环境防护中，通过部署日志审计系统进行安全审计管理，其中包括对各类用户的操作行为审计，以及网络中重要安全事件的记录审计等内容，且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。因此，此类安全审计通常包括终端、网络设备、数据库等综合日志审计。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。除了借助安全审计设备来实现审计功能外，服务器也需要启用自身的操作系统审计功能。4.2.3.4.入侵防范通过漏洞扫描系统能够对终端计算机的基础安全和使用控制实现自动化安全管理和防护，包括操作系统安全加固、关闭不必要的服务、端口、共享和来宾组等，检测是否安装不必要的应用软件；实现系统密码口令安全策略管控、系统资源文件使用访问控制、终端计算机基础资源使用监控等安全功能。针对服务器和终端计算环境实施安全策略，通过部署态势感知来检测针对内部计算环境中业务系统的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、SQL注入、XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测并及时报警。应定期采用漏洞扫描系统对网络主机（如服