数字化项目等保2.0测评及整改技术方案.docx

《数字化项目等保2.0测评及整改技术方案.docx》由会员分享，可在线阅读，更多相关《数字化项目等保2.0测评及整改技术方案.docx（19页珍藏版）》请在课桌文档上搜索。

1、等保测评整改技术方案目录一、方案概述31项目建设背景31. 1法律依据31.2政策依据32项目建设目标及内容42. 1建设目标52.2建设内容53方案设计依据及网络安全等级保护要求5二、安全整改网络拓扑图61现状及整改建议161. 1安全物理环境161.2安全通信网络171.3安全区域边界181.4安全计算环境191.5安全管理中心282设备整改采购清单29三、安全加固参考31一方案概述1项目建设背景1.1 法律依据1994年中华人民共和国计算机信息系统安全保护条例（国务院令第147号）第九条明确规定，”计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有

2、关部门制定”,2017年网络安全法第二十条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级省案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。网络安全法的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志若国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法

3、全面实施。1.2 政策依据2003年，S国家信息化领导小组关于加强信息安全保障工作的意见（中办发（2003）27号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的项制度提升到国家信息安全保障工作的基本制度.2001年7月3日审议通过的关于信息安全等级保护工作的实施意见（公通字（2004）66号）指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会程定和公共利益，

4、保障和促进信息化建设健康发展的一项基本制度。自2007年信息安全等级保护管理办法（公通字（2007）43号）颁布以来，一直是国家层面推动网络安全工作的重要抓手。2012年，国务院关于推进信息化发展和切实保障信息安全的若干意见（国发（2012）23号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。除此之外，下列政策文件也对等级保护相关工作提出了耍求：关于开展信息系统安全等级保护基础调查工作的通知（公信安（2005）1431号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安（2007）861号）关丁加强国家电子政务工程建设项目信

5、息安全风险评估工作的通知（发改商技（2008）2071号）国家发展改革委关于进步加强国家电了政务工程建设项目管理工作的通知（发改高技（2008）2544号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安（2009）1429号）关于进一步推动中央企业信息安全等级保护工作的通知（公通字（2010）70号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安（2010）303号）关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技（2012）1986号）全国人民代表大会常务委员会关于加强网络信息保护的决定（2012年12月28日第十一届全国人民代表大会常务委员会第

6、三十次会议通过）网络安全等级保护条例（征求意见稿（2018年6月）2项目建设目标及内容2.1 建设目标本次项目建设将根据力等级保妒测评整改建议先要求,依据网络安全等级保护相关额准和指球规范，对*单位的收费系统、生产系统迸行网络安全规划。最终使收快系统满足等皴保护三级的要求,生产系统满足等级保护：侬要求.2.2 建设内容本整改方案以*单位收费系统和生产系统笄蝮保护达到安全等级保护笫三级和第二级要求.借助当前主流一般品牌网络产品、安全产品、安全服务、管理制度等手段，建立盛华热力全网的安全防控管理服务体系。3方案设计依据及网络安全等级保护要求方案根据GB/T22239-2019信息安全技术网络安全等

7、级保护基本要求并参照GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求的通用设计技术要求。除上述两个标准外，还参考如下相关标准：信息技术安全技术信息安全管理体系要求B(IS0/IEC27001:2013)信息技术安全技术信息安全控制实用规则(ISO/1EC27002：2013)C计算机信息系统安全保护等级划分准则3(GB17859-1999)信息安全技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护定级指南GBT22240-2008)网络安全等级保护定级指南(GA/T1389-2017)信息安全技术信息系统安全等级保护实施指南GBT2

8、5058-2010)信息安全技术网络安全等级保护测评要求GBT28448-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28149-2018)二安全整改网络拓扑图方案一方案二*宝MUMW禽力m3iA统安夕改工对MBM供方案三康宝口丽建燃力O*公Be:mXMWe安M安2UfUBtfeIHB方案四务求口2r*UWjt1.*公5W1.产叁蜕“侪安全&公务女帖，网三、系统设备及测评费用*单位网络安全整改设备系统预算（收费三级、控制二级）方案一序号产品类别产品名酬9单位单价网络安全等保整改安全设备报价1收费专淡防火增H3CF1.OOO-AK1020硬件：采用非X86多核架构，HJ机架式设备

9、,8个兆电11+2对Combo1（含1个管理电口）+2个ByDaSS.I个Conso1.eU,2个USB1.1.性能：七层吞吐量800Mbps.三层吞吐*3.5Gbps：并发连接数80万，好秒新也连接数（HTrP）1.5万.配套授权I3年AV、IPS、UR1.、T1.特征库升级授权.15个SS1.YPN用户授权，鞋路依我不限制迸路数盘，硬件质保限务：三年原厂硬件质保及510*NBD法件服芬1台28900.002堡垒机H3C2000-AK601硬件：IU高机架式硬件架构.BGB内存，ITB硬施容量，标准配置6个以太网千兆电口，支持1个接口扩展植1台61730.OO位，支持M个以太网千兆接1或4个

10、万兆接口的扩展能力.性能：戢大图形并发连接数50个，及大字符并发连接数20。个.配套授权r跃认可管理资产50个.RDS授权1个.硬件顺保服务：三年原厂硬件侦保及51（WD符件服务。3日志事计H3CCSAP-SA-K640硬件：IU高机架式硬件架构.单电源,2T硬盘容量，标准配置6个兆电口，支持1个接口扩展1位性能:日志处理逑率2000EPS,日志容量6亿条.配套授权：默认支持60个设备，可扩胧至180个设的硬件质保眼务：三年晓厂慢件质保及5*IOWBD备件服务1台65780.001数据库中计II3CD2000-AK6615硬件：IU码机架式硬件架构，支持双电源，8G内存，2T硬盆，支持2个管理

11、接1.1.业务接口不少于4个以太网千兆电口.同时支持至少I个接口扩腱槽位,具备至少8个及以太网千兆接口成4个万兆接口的扩展能力。性能：SQ1.岬值处理能力不低于1.5万条/秒.日志存储数fit不低于10亿条，最大乔吐量不低于100OMbps,向审计数据库流Iit不抵于100Mbps配套授权r跃认支林审计I个数据库实例.每业务挂我数据年依艮不限硬件出保眼务:：年原厂硬件侦保及5*KM=NBD备件服务。1台85700.005漏洞扫描H3CSysScan-AK810硬件：IU高机架式硬件架构，IT硬盘容S1.1个管理口.5个以太网干亮业务电口，支持1个接口扩展槽位，性能：系统、数据库、茶戏扫描IP总

12、并发120个.系统、数据库、基妓扫描任务总并发6个.Ueb扫描并发1个.门令猜解并发任务数1个配套授权:3邱漏洞库（含操作系统、数据库和I1.EB应用的漏洞规则库）升级段权的，128个IP扫描敷置.硬件质保服务：三年原厂硬件质保及5*KH=NBR缶件服务1台76300.006铲专线防火堵H3C硬件：采用非X86多核架构.IU机架式设备.8个千兆电口+2对OxnboF1.（含1个管理电口）+2个ByPaSSQ.I个COnSoIeU.2个USB1.J.性能：七层存吐fit800Mbps.三层吞吐量3.5Gbps：并发连接数80万，每秒新建连接数（HTTP）1.5万.配套授权；3年AV、IPS,UR

13、1.T1.特征库升级授权，15个SS1.YPN用户授权,路负我不限出跳路数t.硬件侦保我务:三年原厂硬件质保及5*10*NBD%件服务1台28900.007核心交换机H3CS7503E-M整合收费可生产网,利用三层路由及V1.AN划分整合管理忖络资源,以太网交换机电口套包主机*1引整*1电源”2三层交换机，48个千兆电口1台29000.008系统整改集成、配K1.加冏、管理体系手册服务设备安装.设备安全端口管理司试、系统补漏.数据际更新、系统设备配W.1.h管理体系手册及制度上墙展板，1次20000.009上网行为H3CACG1000-AK230Wfti采用非X86多核架构2U机架大设备,具备

14、2.4寸液晶屏.10个干%IUd+4对Combo1,I个Conso1.e口，1个CSB,2个扩展槽位，自带IT硬盘.性能:三层吞吐fit2Gbps七层吞吐员800ps:功能全开适用带宽3O0M,行为审计&应用控制适用终端规桢100O台.配套授权：3年院用识别&UR1.特征阵开被服务，免也K）个SS1.YPN并发故，琏路负我不附制链路数Ik股务牌负我功能免授权，假件质保服务：三年原厂硬件场保及5*10*MJD各件服务1台可选小计叁拾玖万陆什叁佰者拾元整396310.005漏河扫描H3CSysScan-AK810硬件：I1.岛机架式极!件架构IT硬fit容fit,I个管理口,5个以太网千兆业务电口

15、，支持1个接口犷展槽位性使：系诜，数据库、基税打描IP总并发120个,泰统、数擀蚱、基线旧描任务总并发6个.Web扫描并发1个.11令猫解并发任务数1个赳套授权：3年漏洞库（含操作系统、数据库和IEB应用的京洞规则库）升级授权函，128个IP扫描数Ik硬件场保服务：三年版厂硬件质保及5*1.0NBD备件服务1台76300.0076300.006小型VPN防火墙H3CF1.O0-C-G5企业级防火墙.IAN:2*GE+1.AN:8*GE干兆,VPN网络安全上网行为管理带机400/吞吐2G,接入宽带：301-50W1,企业VPN：支持企业VpN、1.AN输出IJ1.千兆网口泞理方式：UEB页面，命

16、令行、运营商：移动，联通，电信支挣IPv6：支持IPv6,WAN1类型I光口.电口：总帝机灵：3（HTOO终球NAN接入门：千兆网”、Wan2个、1.AN口类型：光口，电口，光电熨用UYpN类型IIPSeCVPN.1.2tpVPN,其他、上网行为管理：支持上网行为管理3台6800.0020100.007核心交换机H3CS7503E-N整合收费与生产网，利用三层路由及Y1.AN划分整合管理网络资邢.以太网交排机电口套包主机”1引擎*1电卸*2三层交换机，48个兆电门1台v29000.00V29000.008系统整改集成、配置加固、管理体系手册服务设备安袋.设备安全端口管理调试、系统补漏.数据昨更

17、新、系统设备配置加固、管理体系手册及制度上墙展板、1次20000.0020000.009上网行为H3Ccg100o-AK23O硬件：采用非X86多核架构,2U机架式设缶，具瞽2.4寸液晶屏，1。个千兆电口+4对Coabo口1个Conso1.eU.1个USB口.2个犷展槽位.自带IT蟆盘.性能：三层吞吐2Gbps,七层吞吐最800Mbps；动健全开玷用带宽300M,行为审计&应用控制适用终端规桢1000仇1台32000可选安全管理机构1完善安全管再制度。整改较易,建议及时整改.人员安全管理1完善安全管理制度.整改较易建议及时整改。系统建设管理1完善安全管理制度。整改较易，建议及时整改。系统运维管

18、珅.1完善安全管理制度。整改较易，建设及时整改.备注：在等级保护第:级要求中,网络架构需冗余设计,应提供主要网络设备（路由器、交换机、安全设备等）通信线路和数据处理系统（服务器、存储设备）的硬件冗余，避免单点故障，保证系统的高可用性。可根据自身的实际楮况，对网络架构进行整改，满足本单位主要业务应用的正常运行。三安全加固参考windows服务器身份鉴别配置密码策略参考配置獴作，进入“控制面板-管理工具，本地安全策略”，在“帐户策略-密码策略，策略VtUiUI推荐设震密码必须符合复杂性要求已辖用1.1.启用密码长度最小值0个字符8个字符密码最短使用期限。大2大密码损长使用期限42天90天强制执行密

19、码历史0个记住的梏码5个记住的密码用可还原的加密来储存密码已禁用己禁用配置账户锁定策略系统当前状态：账户锁定时间：不适用账户锁定阀值：0次无效登录重置账户锁定计数罂：不适用分考配Jt操作I进入。控制面板，管理工具-本地安全策略”,在“帐户策略-账户锁定策略”。设置如下策略：策略推荐设量复位账户锁定计数器不适用30分钟账户锁定时间不适用30分钟账户锁定阀值05次无效登录更改远程桌面管理端口号系统当前状态：当前使用远程莫面对服务滞进行远程管理，未更改远程泉面管理端口号。弁考配置獴作：1）打开注册表开始一运行一regedit确定或者win+RCMD确定2）定位的注册表HKEY_1.OCA1._MAC

20、HINESYSTEMCurrentContro1.SetControMermina1.ServerWdsrdpwdTdstcp3）修改右边PortNamber的俏，其默认值是3389,修改成所希望的端口即可。PS：基数为十进制4）定位的注册表HKEY_1.OCA1._MACHINESYSTEMCurrentContro1SetContro1.Tenina1.ServerWinStationsRDP-Tcp5）修改右边PortNamber的值，其默认值是3389.修改为上一步所设置的端口号。6）设置完毕，重新启动后生效，使用远程桌面连接时，需要在计算机名或者IP地址后加“：”和已修改的端口号。实

21、现双因子身份认证系统当前状态：当前管理历仅使用用户名+密码方式对服务器进行管理，未使用两种及两种以上组合鉴别方式对管理员身份进行鉴别。弁考配置操作：建议为在系统中配置堡垒机、USBKey,动态口令等，使用两种鉴别技术对系统管理员进行身份鉴别。访问控制修改系统默认账号弁考配*操作：进入控制面板-管理工具，计算机管理在1系统工具-本地用户和组工AdminiStrator-属性一更改名称（如有业务影响，谙慎行）GUeSt帐号。属性一已停用审计账号配置弁考配置操作t1、新建audit用户名和audits用户组，并将audit用户划归到audits：2、用进入“控制面板-管理工具，本地安4、策略-安全设

22、置-本地策略-用户权限分配，右键点击策略-管理审核和安全H志点屈性，修改为只有audits审计用户组或用户：点击“添加用户和组,然后点击“对象类型,在时象类型框中选中【组】.然后点击1高级，出现搜索结果下拉框后，点击“立即查找，在“搜索结果”下拉框中选中audits组,最后确定.安全审计审核策略设置弁考配置操作：开始-运行-执行控制面板-管理工具，本地安全策略-审核策略策略推荐设J1.审核策略更改无审核成功、失败审核登录事件无审核成功、失败审核对象访问无审核成功、失败审核过程跟踪无审核失败审核目录服务访问无审核无审核审核特权使用无审核成功、失败审核系统事件无审核成功、失败审核帐户登录事件无审核

23、成功、失败审核账户管理无审核成功、失败配置日志审计系统建议在网络上部署日志审计系统，采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行桀中化存储、备份、查询、审计、告警、响应，并出具丰富的审计报表。通过类似SNAREforWindows常见Windows日志转SYS1.OG工具，将日志转化为SyS1.og格式后，统一发送到日志审计系统。部署网络/数据库安全审计系统在网络中部署网络/数据库安全审计系统，通过对人员访问系统的行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报

24、告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据阵、服务器、网络设备等）的正常运营。剩余信息保护开机清除虚拟页面叁考Byt操作：在本地安全策略-安全设置-本地策略-安全选项:策略默认设置推舂设置关机：清除虚拟内存页面文件已禁用已启用交互式登录不显示上次用户名参考配置操作：在本地安全策略安全设置-本地策略-安全选项:策略默认”推募设双击交互式登录：不显示上次的用户名已禁用已启用入侵防范开启系统防火墙弁考配置操作：系统管理员出示业务所需端口列表，根据列表只开放系统与业务所需端门，具体步骤为：进入“控制面板一网络连接一本地连接，在高级选项的设置中：启用WindOWS防火墙，在“例外”中配

25、置允许业务所需的程序接入网络,在例外。编辑-更改范围”编辑允许接入的网络地址范用。部署入侵检测系统(IDS)分考配置操作：准确分析、报告网络中正在发生的各种异常事件和攻击行为，实现对网络的“全面检测”，并通过实时的报警信息和多种格式报表，为用户提供翔实、可操作的安全建议，帮助用户完善安全保障措施。部署漏洞扫描系统分考配置操作：实现对网络设备、悚作系统、应用系统进行全面安全漏洞检测，清晰定性安全风险，给出修12建议和预防措施，及时的发现和修补漏涧隐患.系统补丁更新系统当前状态：系统未开启Windowsupdate自动更新，无法及时更新最新补丁和漏洞，弁考配置操作：1)在【自动更新】处开启其“自动

26、“更新的功能。2)若系统运行在内网，需建立内网补丁眼务器或由管理员手工将补丁安装到操作系统中.注：补安装应当先在测试机上完成。补安装可能导致系统或某些服务无法工作正常。在下载补丁包时，一定要对签名进行核实，防止执行特洛伊木马。关闭默认共享系统当前状态：当前系统开启了默认的共享策略.对整个系统存储的数据带来了安全隐患,例如：C:WINDOWSsystem32netshare共享名资源注解CSC默认共享ESE:钛认扶亨IPCS远程IPCADMINSC:Windows远程管理命令成功完成，参考配置操作：“开始”f“运行”输入“regedit”确定后，打开注册表编辑器，找到*HKEY_1.OCA1._

27、MACHINESYSTEMCurrentContro1.SetServices1.anmanserver,parameters,项,双击右侧窗口中的AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AUtOShareSerVer项，可自己新建REG_DWORD类型的AUtoShareSerVer键.值为0.然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0,关闭admin$共享。最后到“HKEY_1.OCA1._MACHINESYSTEMCurrentContro1.SetContro1.1.saM项处找到CStrictanon

28、ymous，将键值设为1,关闭IPC$共享。注意:本法必须重启机器，但一经改动就会永远停止共享。关闭多余服务（可选）弁考配置操作：进入控制面板-管理工具，计算机管理进入服务和应用程序：查看所有服务.不必要的服务需关闭。V恶意代码防范安装杀毒软件系统当前状态，当前系统未安装杀毒软件，无法防止病毒对内部网络进行感染。弁考配置操作：在服务器和终端设备上安装网络版杀毒软件，配W.防病毒服务器，实现下发病毒扫描策略、更新病毒库,统计报警信息等，便于管理人员对整个网络中的病毒防护状况进行管理。资源控制监控服务器资源状态参考配置操作：在网络中配置资源监控系统，对服务港的cpu、内存等资源进行实时监控，I1.

29、应具有报警功能。管理员可以及时了解网络上各种设备的运行状况，可以及时发现并处理设备资源使用率过高、服务器宕机等异常状况。配置屏幕保护程序叁考配置操作，进入“控制面板一显示一屏幕保护程序”：启用屏帮保护程序，设置等待时间为“5分钟”，启用“在恢豆时使用密码保护”。SQ1.Server数据库身份鉴别更改登录方式叁考配置操作：开始菜堆点击SQ1.ServerManagememStudio,进入数据库管理界面曾录数据库后，右键点击服务器，选择属性，在服务器底性选择页中选择安全性服务器身份验证选选择SQ1.Serverf1.1.Windows身份5之证模式，然后把主机名/admin这个系统用户删掉，从而

30、实现了只能以SQ1.Server用户登陆。开启口令复杂度策略登陆SQ1.ServerManagementS1.udio右击【数据库名称】-【安全性】-【登录名】-某一个用户右击【属性】-【常规】-【强制实施密码策略】开启远程登录加密功能打开开始菜堆-MiCrOSOftSQ1.SerVe配置工具-SQ1.SerVer管理配置管理器-双击SQ1.Server网络配印右击MSSQ1.SERVER的协议底性强行加密选择“是”、访问控制创建新用户SQ1.ServerManagementStudio安全性-登录名-右键新建皆录名。设置用户访问权限在（SQ1.ServerManagementStudio右击

31、【屈性】“1.权限】中，选中每个登录用户,在右犍菜单中选择【属性】，设置合理的用户权限.修改数据库认证方式进入SQ1.ServerManagementSiudio,右击【数据库名称】-【属性】-【安全性】-【SQ1.Server和Windows身份物证模式】安全审计审计安全依次打开【SQ1.ServerManagementStUdi。】-【安全性】【审核查看审核策略】，根据业务情况选择审计目标为Security1.og、Fi1.es或者App1.ication1.og开启C2策略追踪打开【SQ1.ServerManagementStudio-右击【服务涔名称】-服务器【属性】【启用C2审核跟踪

32、】.选择此选项将配置服务器，以记录对语句和对象的失败和成功的访问尝试.这些信息可以帮助您/解系统活动并跟踪可能的安全策略冲突。注：C2审核模式将大量事件信息保存在日志文件中，可能会导致日志文件迅速增大.如果俣存H忐的数据目录空间不足，SQ1.SerVb将自行关闭.而臬将审核设理为自动启动，则必须使用-f标志（跳过审核）重新启动该实例或为审核日志释放更多蹂盘空间。入侵防范数据库补丁更新建立内网补丁服务器或由管理员手工椅补丁安装到数据库。注：补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务无法工作正常。在下载补丁包时，定要对签名进行核实，防止执行特洛伊木马。资源控制开启登录超时退出功能在对象资源管理器中右击数据库名称，【屈性】【高级】【网络】远程登录超时（默认20s）。