三级系统等级保护技术项目建议书

1、I华为三级等级保护建设技术建议书目录TOC o 1-5 h z HYPERLINK l bookmark0 概述4等级保护实施概述5 HYPERLINK l bookmark2 参照标准5 HYPERLINK l bookmark4 基本原则5 HYPERLINK l bookmark14 角色和职责7 HYPERLINK l bookmark28 实施的基本流程9信息系统安全定级10 HYPERLINK l bookmark30 参照标准10定级原理10 HYPERLINK l bookmark32 信息系统安全保护级别10 HYPERLINK l bookmark34 信息系统安全保护等级

2、的定级要素10 HYPERLINK l bookmark40 信息系统定级阶段的工作流程12信息系统详细设计方案14安全建设需求分析14 HYPERLINK l bookmark42 网络结构安全14 HYPERLINK l bookmark44 边界安全风险与需求分析14 HYPERLINK l bookmark52 运维风险需求分析15 HYPERLINK l bookmark54 关键服务器管理风险分析15关键服务器用户操作管理风险分析18数据库敏感数据运维风险分析19“人机”运维操作行为风险综合分析20 HYPERLINK l bookmark86 安全管理需求分析21整改建议22 H

3、YPERLINK l bookmark88 安全保障体系总体建设24安全技术体系建设27 HYPERLINK l bookmark92 建设方案设计原则27 HYPERLINK l bookmark112 外网安全设计29内网安全设计31 HYPERLINK l bookmark118 主机安全体系建设35 HYPERLINK l bookmark120 应用通信安全体系35 HYPERLINK l bookmark122 应用数据安全365整改建议（依据项目增加内容）37整改后拓扑37软硬件新增设备清单37软硬件产品介绍37三级等级保护基本要求点对点应答37技术要求37物理安全37网络安全4

4、1主机安全44应用安全47数据安全50信息系统安全等级测评52 HYPERLINK l bookmark140 参照标准52 HYPERLINK l bookmark142 等级测评概述52 HYPERLINK l bookmark144 等级测评执行主体53 HYPERLINK l bookmark146 等级测评内容54 HYPERLINK l bookmark148 等级测评过程56 HYPERLINK l bookmark150 测评准备活动57 HYPERLINK l bookmark152 方案编制活动58 HYPERLINK l bookmark154 现场测评活动59 HYPE

5、RLINK l bookmark156 分析与报告编制活动61 HYPERLINK l bookmark160 信息系统备案履行63 HYPERLINK l bookmark162 信息安全等级保护备案实施细则63概述需要补充等级保护实施概述参照标准等级保护实施过程主要参见信息安全技术信息系统安全等级保护实施指南，其它标准参见国家及行业统一标准。在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T22239-2008、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合

6、信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。计算机信息系统安全保护等级划分准则信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则：自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则根据信息系统的重要程度、业务特

7、点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下：国家管理部门公安机

8、关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门

9、的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续；按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计；使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。信息安全服务机构负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标

10、准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。实施的基本流

11、程信息系统实施等级保护的基本流程参见下图在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。信息系统安全定级参照标准计算机信息系统安全保护等级划分准则（GB17859）定级原理3.2.1信息系统安全保护级别第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息

12、系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利

13、益；国家安全。对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：造成一般损害；造成严重损害；造成特别严重损害。定级要素与等级的关系定披要柬与左全保护等级时黄系时客悴的召誉程度HM严星北窖侍用严1按皆營E；、怯人和其枪亀ifi的*怯段童JS-ffl拯二ft簞二逊吐世枝用、盘菇科苍黑二觀JU三Bl簞凹逊国察安全JS三耀簞四逊簞五怨信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系

14、统运营、使用单位按照国家有关管理规范和GB/T22240-2008，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。信息系统定级要先确定好定级对象，然后再根据其系统对国家安全、社会秩序和公共利益、公民、法人和其他组织的合法权益的危害程度等进行分析，来确定定级对象的安全保护等级，并出具信息系统定级报告。信息系统详细设计方案安全建设需求分析网络结构安全网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。边界安全风险与需求分析边界的安全主要包括：边界访问控制、

15、边界入侵防范、边界恶意代码防范方面。边界访问控制对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完整性。入侵攻击风险分析各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。恶意代码攻击风险分析现今，病毒的发展呈

16、现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。运维风险需求分析在各种网络信息应用中，服务器都充当了极其重要的角色，如何管理和维护好服务器，如何保证服务器的安全等就成了首先需要解决的问题。面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意

17、访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。关键服务器管理风险分析关键服务器所面临的安全风险是多方面的，主要有以下几种现象值得关注：对服务器构成的安全风险中，有近80%是发生在系统内部服务器的应用相当复杂，维护起来非常困难，当然服务器操作系统也是一样的复杂，配置和管理都需要充足的专业知识。而企业中众多的服务器管理人员的技术水平参差不齐，在管理和维护的过程中，难免会有不当的操作。或是给服务器的安全留下隐患，或是对服务器运行造成影响。更可怕的还有商业间谍可能伪装成第三方厂商维护人员，从而轻易的从系统内部窃取核心数据，给企业造成巨大的损失。身份认证

18、及授权使用问题不同级别、不同行业的众多管理人员，对于某些核心资源，如重要的应用系统及数据库系统，不同级别不同岗位的领导或管理员具有不同的访问权限，管理人员的身份越权或假冒将会造成非授权使用的问题，同时将给办公系统造成重大混乱和损失。比如：由于生产的特殊性，常常需要用户具有ROOT账户权限。这就造成生产和管理的矛盾，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有疏忽，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。分散的多点登录管理方式，无法准确的身份认证和授权控制多点登录的分散管理方式无法进行强有效的授权控制

19、，致使用户的登录操作难以管理、难以审计。有规范、规章制度，但没有相应的过程监控手段去监督虽然企业内部制定了一系列的操作规范和管理制度，但管理人员有没有严格地按照规范、规章去执行，我们无从知道。当发生安全事件时无法进行责任鉴定和事件追溯。大型、异构的网络环境难于统一、准确的对用户的行为进行审计和控制企业因为业务发展需要，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，在服务器端Unix/Linux和Windows操作系统共存形成异构网络，甚至于许多相异的网络设备都具有不同安全设置，而至今还没有一个即定的方法来解决这个问题。黑客对服务器的攻击黑客攻击对服务器所造成的破坏

20、往往是不可估量的。黑客为了炫耀其高超的技术，或是为了谋取不正当的利益，都会妨害服务器的正常运行，修改服务器配置，破坏服务器的数据，严重影响服务器的正常运行，给企业和部门造成重大影响。木马、间谍窃取机密数据针对中国的网络间谍攻击正变得越来越多，中国的国家安全从来没有像现在这样与网络密切相关。目前境外有数万个木马控制端IP紧盯着中国大陆被控制的电脑，数千个僵尸网络控制服务器也针对着大陆地区，甚至有境外间谍机构设立数十个网络情报据点，疯狂采用“狼群战术”、“蛙跳攻击”等对我进行网络窃密和情报渗透。中国是木马、间谍战的最大受害国。中国的互联网正处在一个普及阶段的大规模扩张时期，网络安全比较脆弱，安全意

21、识淡薄，缺乏真正有效的安全管理手段。而且，网络管理、使用不规范，涉密电脑、非涉密电脑混杂使用，内部工作网和外网没有真正物理隔离，机密资料可以随意接触，随便使用，安全漏洞百出。UNIX/LINUX类字符操作系统，命令的复杂性、脚本的隐蔽性等等因素使的我们很难对用户的行为做有效的深层审计1）用户可能使用长命令、冷僻命令做一些非法操作，甚至将一些高危命令用alias命令以别名的方式去执行，刻意避开一些简单审计工具监控。2）对于菜单式操作管理，由于技术上的难度，很少有审计工具可以做到完整的记录和操作过程日志的回放。比如：AIX中SMITTY命令操作、INFORMIXDBACCESS数据库前端操作。3）

22、别有用心的用户，可能会将一些非法的命令操作编辑为shell脚本去执行，达到逃避监控的目的。图形化界面中用户操作的不透明性，使得事后审计难以进行RDP、X11、VNC等远程图形化窗口操作的不透明性，使得审计人员无法准确的对管理人员操作的审计，从而，对资源的滥用和泄露机密信息，以及管理维护的误操作等问题的鉴定工作带来了很大的困难。文件传输安全审计，是最让信息主管头疼的问题使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发资料泄密的方式之一。如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。服务器之间跳转嵌套登录操作当用户已经登录到一台服务器上操作之后，可能为了便捷不退出当

23、前的系统而直接以SSH、RDP等方式跳转登录到另外一台服务器去做管理操作。基于网络的IDS/IPS开始成熟，可以对部分明文协议进行审计，但面对加密协议却无能为力为了远程管理和维护的可靠性，SSH、RDP（远程桌面的协议）等都是加密的通信协议，尤其是RDP（RemoteDesktopProtocol远程桌面协议）作为Microsoft公司的自有协议，并未公开其协议内容。要审计这些加密的通信协议，还是要费一番功夫的。数据库敏感数据运维风险分析数据库身份管理、权限管理混乱，数据库业务账号与运维账号混乱，致使数据库敏感数据泄密事件时常发生业务系统用户常常通过数据库运维管理工具，直接登录数据库后台，查询

24、、修改甚至下载数据库内数据，致使企业敏感数据时常外泄，给企业造成重大经济损失。企业业务快速发展，企业数据库规模越发庞大，审计人为非法操作，堪比大海捞针由于业务系统也要对数据库进行大量正常的数据库协议访问，目前流行的数据库协议审计系统无法区分正常数据库业务行为和数据库人为运维行为，造成“噪音”过多，致使要审计的数据库非法操作行为，“淹没”在大量正常的业务数据库访问审计数据中，数据库审计系统形同虚设。数据库后台运维手段多样，数据库人为非法操作既可以在数据库宿主系统上发生，也会通过数据库远程运维工具直接修改数据库数据发生，有时甚至可以通过业务系统后门或者业务系统设计缺陷发生，给数据库操作审计带来巨大

25、难题数据库协议审计系统仅能部分解决数据库远程运维工具造成的运维风险，对数据库宿主机上发生的数据库直接修改行为，无能为力。数据库中间件大量使用，给数据库行为审计“雪上加霜”数据库中间件通常采用固定的账号登录数据库，无法区分数据库操作行为真实操作者身份，操作者主体不明，针对数据操作者的行为审计和责任鉴定，也就失去了意义，没有任何价值。“人机”运维操作行为风险综合分析按照人机操作行为划分，运维管理方式基本包含三大类：控制台类：直接通过物理键盘、鼠标、监视器进行操作，控制台类人机行为控制可以通过KVMOverIP解决远程终端访问类：通过TELNET、SSH、FTP、SFTP、RDP、VNC、X11远程

26、登录目标设备操作系统，在目标设备上，通过远程访问协议，操作目标设备各种应用的B/S、C/S管理配置客户端，如针对ORACLE数据库，有SQLPLUS、TOAD、PL/SQLDevelopmentTools、OracleEnterpriseManagementCenter等，针对INFORMIX，有DBACCESS等管理工具企业应用的这些远程配置管理工具，可以直接远程登录应用，管理和配置应用，实现配置的远程修改及变更。但是运维管理的远程操作是把双刃剑，为我们工作带来便利、节省成本的同时，又隐藏着巨大的人为操作风险，越权操作、误操作、恶意操作时有发生。如何提高系统运维管理水平，满足相关标准要求，跟

27、踪主机设备、服务器、数据库等重要资源上用户操作行为，降低运维成本，提供控制和审计依据，实现运维操作的规范化管理及风险防范与规避，已经成为每一位企业管理者需要认真考虑和面临的管理上的问题。安全管理需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理根

28、据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。4.3整改建议安全风险名称风险描述所需产品网络结构安全网络结构需要具备一定的冗余性，带宽能够满足业务高峰时期数据交换需求。提供产品都应满足网络结构安全需求核心采取双链路冗余配置互联网DDOS专业防护针对规模的DDOS攻击,流量行，应用型攻击，进行专业清洗，形成报表Anti-DDoS设备边界访问控制（医保）对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。防火墙边界访问控制（Internet出口）对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，

29、阻止非授权及越权访问。防火墙/上网行为管理入侵攻击风险通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。入侵防御系统恶意代码攻击风险网络边界处病毒、蠕虫、木马等恶意代码泛滥，导致核心资产收到严重威胁。防毒墙/防火墙带UTM功能运维风险面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，

30、降低运维成本，提供控制和审计依据，已经成为越来越困扰这些企业的问题。运维审计系统安全管理风险“二分技术、七分官理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管终端安全管理系统TSM、网管软件、制定管理制度理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全保障体系总体建设根据国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)(以下简称27号文件)的精神，按照信息系统安全保障评估框架(GB/T202742006)、信息安全管理实用规则(GB/T197162

31、005)等有关标准要求，本指南提出了以策略为核心，管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架。安全策略运维体系管理体系组织机构备份与恢复标祺鉴别技术体系流程和规范一安全分级一一风险评估_阶段性工作计划必购与实施过程管理日常维护管理应急计划与事件响应行政执法和城管行业信息安全保障体系框架在安全策略方面，应依据国家信息安全战略的方针政策、法律法规、制度，按照行业标准规范要求，结合自身的安全环境，制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面，对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。在管理体系方面，应按照27号文件的

32、有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度，组建信息安全组织机构，加强对人员安全的管理，提高全行业的信息安全意识和人员的安全防护能力，形成一支过硬的信息安全人才队伍。在技术体系方面，应按照P2DR2模型，通过全面提升信息安全防护、检测、响应和恢复能力，保证信息系统保密性、完整性和可用性等安全目标的实现。在运维体系方面，应制订和完善各种流程规范，制订阶段性工作计划，开展信息安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。国家信息安全系统级保护基本要求框架，参见下图：基本要

33、求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类，管理部分分为：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应有专人负责，进入的人员登记在案。”本方案中也是通过安全技术体系建设、安全管理体系建设两套安全体系统进行规划建设。安全技术体系建设4.5.1建设方案设计原则在规划、建设、使用、

34、维护整个信息系统的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：符合性原则：信息安全保障体系建设要符合国家的有关法律法规和政策精神，以及行业有关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范。需求、风险、代价平衡的原则对任何网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。综合性、整体

35、性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”

36、。可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。保护原有投资的原则在进行信息系统安全体系建设时，除了要按照国家信息安全等级保护相关要求外，还外遵循行政执法行业的相关信息安全保障体系统建设框架的要求，充分考虑原有投资，要充分利用先行系统系统已有的建设基础进行规划.综合治理信息安全体系统建设是一个系统工程，信息网络安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。4.5.2外网安全设计数据中心互联网接入

37、区是数据中心的Internet出口，直接面对外部风险，安全需求比较迫切，互联网接入区一般会部署面向客户的业务前端系统，比如：业务前置机、WEB服务器，DNS服务器，FTP服务器，EMAIL服务器等，互联网接入区需要考虑的安全问题主要有：DDoS防护：DDoS全称分布式拒绝服务，以瘫痪网络服务为直接目的，以耗尽网络设施性能为手段，利用网络中分布的傀儡主机向目标设施发送恶意攻击流量。DDoS攻击流量大且难以溯源，导致无法准确防范。其简单的工作原理和攻击方式导致大量的不法之徒可以轻易的掌握某种DDoS攻击技术。DDoS攻击在当今社会呈现愈演愈烈之势，是数据中心可用性的头号威胁。访问控制：数据中心作为

38、内部网络，对外呈现相关服务，大部分业务处理在内部网络完成，对于外网来说，数据中心内部网络是黑盒，所以需要对外网的访问进行访问控制。安全接入：作为数据中心连接Internet的唯一出口，需要部署VPN接入设备，满足客户和外出员工的远程安全接入等需要。业务系统安全：DMZ区会部署可供外网访问的业务系统，这些业务服务器平台一般基于通用操作系统，比如windows,linux等等，未知的操作系统漏洞会经常会被黑客利用；而且针对Web业务，Email业务等出现了新的基于应用层的攻击方式，这些攻击常常会导致业务故障，数据泄露或篡改等问题。基于以上几点，互联网接入区安全方案的部署架构如下图所示：Inteni

39、etInternet用口DDoS清洗辂备FirewallSSLVPN1PS/IDSDMZfxWAF1JJJTDNSFTP-内网区图4-21互联网接入区安全设计第一道安全防御，Anti-DDoS检测及防护：旁路或直路部署专业的Anti-DDOS设备，提供流量型攻击防护，有效保护服务器免受DDOS攻击。第二道安全防御，域间访问控制：直路部署防火墙，进行域间访问控制，对不同安全域的业务进行有效的隔离和防护，并且也可以提供NAT、AV、IPSec、IPS等功能。第三道安全防御，远程接入安全：旁路部署SSLVPN设备，对远程接入的用户提供认证、授权和数据加密传输功能。第四道安全防御，应用层检测防护：前几

40、道防御系统主要是针对网络层的保护，属于边界安全防护；但针对业务系统的攻击，比如，通过SQL注入、跨站脚本等方式攻击网站;修改网站文件，造成组织的信誉损失；加载网马等恶意软件，转而攻击访问的客户端等，边界防火墙已经无法满足要求了，需要部署基于应用层检测的IPS/IDS或WAF系统。WAF部署在web服务器群的入口，对访问web系统的网络流量进行实时检测。抵御web应用攻击，防网站挂马，防缓冲区攻击，防ddos攻击，防sql注入等。4.5.3内网安全设计1)内网出口防火墙防火墙采用直路部署在核心交换机的外部，也可以做旁路部署，推荐直路推荐采用双机热备的部署方式为保证数据传输的私密性，可以在两端防火

41、墙上启用IPSecVPN为防止病毒等恶意软件和代码的传播可以在防火墙上启用IPS,AV等安全防护功能。2）内网核心防火墙基于安全区域的隔离防火墙的安全隔离是基于安全区域，这样的设计模型为用户在实际使用防火墙的时候提供了十分良好的管理模型。防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这

42、样的保护模型还是不能满足要求。防火墙提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。基于安全区域的策略控制防火墙支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的

43、策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得统一安全网关的网络隔离功能具有很好的管理能力。灵活的规则设定防火墙可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。可以依据报文的协议号设定规则可以依据报文的源地址、目的地址设定规则可以使用通配符设定地址的范围，用来指定某个地址段的主机针对UDP和TCP还可以指定源端口、目的端口针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文可以针对IP

44、报文中的TOS域设定灵活的规则可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便高速策略匹配通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。防火墙采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。MAC地址和IP地址绑定防火墙根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被

45、丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。动态策略管理黑名单技术防火墙可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。统一安全网关提供如下几种黑名单列表维护方式：手工添加黑名单记录，实现主动防御与攻击防范结合自动添加黑名单记录，起到智能保护可以根据具体情况设定白名单，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发

46、现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。4.5.4主机安全体系建设采用NAC安全解决方案，从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，保护企业网络的安全性。应用安全体系建设通过多种身份认证方式确认终端用户的合法性。绑定检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况。通过统一接入策略和安全策略管理，控制终端用户的网络访问权限。通过桌面运维，完成进行桌面资产注册和监控、外设管理和软件分发。根据不同的应用场景，NAC方

47、案分多种部署方式：4.5.5应用通信安全体系按照等级保护要求，通过部署一套电子证书认证系统、身份认证网关、数字签名系统可以有效的保证应用数据传输过程中的完整性、保密性，可以保证整个会话过程加密，并能在双方会话建立前进行会话初始认证。通过PKI体系的电子证书及数字签名系统，可以有效的提供抗抵赖需求，可以有效的提供数据原发者或接收者提供数据原发证明、接收证据等。在本项目中通过电子证书认证系统进行电子数据证书的注册、颁发、撤消等证书管理，通过身份认证网关实现数据传输时隧道建立、数据完整性验证等工作，通过数据签名系统实现数据的完整性和抗抵赖性要求，有效的保证了数据通信安全，达到信息安全等级保护三级建设

48、要求。按照等级保护要求，通过在核心应用服务器前端部署WEB应用网关设备，实现基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击行为、CGI扫描、漏洞扫描等扫描攻击行为、SQL注入攻击、XSS攻击等Web攻击的应用防护。从而保证了XXX信息系统各自区域内网站的用户数据交互的安全性，保障XXX信息系统对外发布网站的可用性和完整性。4.5.6应用数据安全数据作为单位的核心资产，直接关乎一个单位的核心利益，按照等级保护要求，在三级以上系统应建立数据备用场地，应提供本地数据备份及恢复功能，数据备份至少一天一次，备份介质要场外保存，并需要利用网络将备份数据传送

49、到备用场地，同时关键链路也要采用冗余设计。5整改建议（依据项目增加内容）5.1.1整改后拓扑增加拓扑图5.1.2软硬件新增设备清单表格形式补充清单，介绍清楚每个产品部署位置及作用5.1.3软硬件产品介绍增加华为产品介绍三级等级保护基本要求点对点应答技术要求物理安全物理位置的选择（G3）本项要求包括：a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；整改建议：机房建筑或机房所在的建筑物应具有防震、防风、防雨能力，以及承重能力。应有相应的设计/验收文档予以证明，比如建筑物抗震设防审批文档。防风、防雨能力应能经得起测评人员的现场检查。需要找物业索要建筑物抗震证明文档b）机房场地应避免设在

50、建筑物的高层或地下室，以及用水设备的下层或隔壁。整改建议：避免在高层以及地下室。物理访问控制（G3）本项要求包括：a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员；整改建议：应有进入机房的登记制度，可在机房设登记表，要求进入机房自行登记。同时，门禁系统应有访问记录。门禁卡进行严格管理。需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；整改建议：应制定相关申请和审批流程。应规定，来访人员进机房，应由内部相关人员全程陪同。相关要求应体现在机房安全管理制度中。应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；整改建议：合理划分机柜

51、使用，同类的系统放到同一个或相邻机柜中。机柜和设备上有明显的标识，以区分不同的区域。重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。整改建议：应有门禁系统，并在正常使用。门禁系统应有验收文档。防盗窃和防破坏(G3)本项要求包括：应将主要设备放置在机房内；整改建议：设备放在机房内应将设备或主要部件进行固定，并设置明显的不易除去的标记；整改建议：需要进行检查，确认设备已进行固定，具有不易除去的标记。应将通信线缆铺设在隐蔽处，可铺设在地下或管道中整改建议：机房没有明线。应对介质分类标识，存储在介质库或档案室中；整改建议：对介质(磁介质、纸介质)进行分类管理，并避免被偷窃。应在机房设置介质存放

52、柜，并有锁。应利用光、电等技术设置机房防盗报警系统；整改建议：应用防盗报警设施，并在正常工作。能提供相关验收文档或资质证明，以及检修、维护记录。应对机房设置监控报警系统。整改建议：应安装摄像头、传感器等监控报警系统，并且有相关验收文档或资质证明材料，以及运行的记录，维护和检修记录。防雷击(G3)本项要求包括：机房建筑应设置避雷装置；整改建议：有避雷装置，有相关证明。需要找物业要相关验收材料应设置防雷保安器，防止感应雷；整改建议：有防雷保安器，并具有相关资质或检测报告。机房应设置交流电源地线。整改建议：有交流电源地线，并有说明文档(或在验收文档中有说明)611.5防火(G3)本项要求包括：机房应

53、设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；整改建议：要有所要求的消防系统，且有消防系统和消防设备的相关资质。消防系统在正常运行。消防产品应在有效期内。要具有相关的检查、维护记录。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；整改建议：要有相关的说明文档或验收文档，比如机房设计/验证文档中说明了此点。机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。整改建议：物理隔离，重要设备与普通设备使用耐火材料隔离。防水和防潮(G3)本项要求包括：水管安装，不得穿过机房屋顶和活动地板下；整改建议：水管不得穿过机房屋顶和地板下，使用机房结构图做为说明应采取措施防止雨水通过

54、机房窗户、屋顶和墙壁渗透；整改建议：使用物业材料证明防水。应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；整改建议：应有机房除湿装置，应有相关的挡水或排水设施。要有机房湿度记录，相关的维护记录。应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。整改建议：应安装相关检测仪表或元件，在正常运行，并有相关的维护记录。防静电(G3)本项要求包括：主要设备应采用必要的接地防静电措施；整改建议：有接地防静电措施，并在机房设计/验收文档中有相关的描述说明机房应采用防静电地板。整改建议：机房铺设了防静电地板，并且经查没有发现明显的静电现象。温湿度控制(G3)机房应设置温、湿度自动调节设施，使机房

55、温、湿度的变化在设备运行所允许的范围之内。整改建议：有相关设施，且在正常运行，有相关的检查、维护记录。电力供应(A3)本项要求包括：应在机房供电线路上配置稳压器和过电压防护设备；整改建议：要有相关设备，并且在正常工作应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；整改建议：是否配置TUPS,且在正常工作；要有相关的检查、维护记录。应设置冗余或并行的电力电缆线路为计算机系统供电；整改建议：采用两路供电应建立备用供电系统。整改建议：是否有发电机，并有相关的维护记录。0电磁防护(S3)本项要求包括：应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；整改建议：机柜机架要安全接地，

56、机房设备在机柜/机架内。电源线和通信线缆应隔离铺设，避免互相干扰；整改建议：隔离铺设电源线和通信线缆应对关键设备和磁介质实施电磁屏蔽。整改建议：关键设备和磁介质应放置在具有电磁屏蔽能力的环境中。网络安全612.1结构安全（G3）本项要求包括：a）应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；整改建议：设备的业务处理能力应高于业务高峰期流量。高峰时CPU和内存占用率不高于70%。b）应保证网络各个部分的带宽满足业务高峰期需要；整改建议：高峰时带宽占用率不超过70%。c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；整改建议：在路由器/交换机上作了相关的配置，启用

57、了控制策略。测评人员会现场查看。d）应绘制与当前运行情况相符的网络拓扑结构图；整改建议：应有准确的网络拓扑图文档。华为eSight网管产品具备全网拓扑管理功能。e）应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；整改建议：进行了VLAN划分，并体现在拓扑图和交换机的配置上。f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；（二级没有此项）整改建议：技术隔离手段包括路由器ACL、MPLSVPN、防火墙、网闸等。建议使用使用华为防火墙进行隔离g）应按照对业务

58、服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。（二级没有此项）整改建议：在网络设备或安全设备上进行了QoS配置。华为UTM设备支持Q0S配置。访问控制（G3）本项要求包括：a）应在网络边界部署访问控制设备，启用访问控制功能；整改建议：部署防火墙产品，使用华为防火墙，启用访问控制功能b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；（二级要求为网段级）整改建议：部署防火墙产品，使用华为防火墙，启用会话级端口控制。c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；（

59、二级没有此项）整改建议：部署防火墙产品，使用华为防火墙，启用应用级控制。d）应在会话处于非活跃一定时间或会话结束后终止网络连接；（二级没有此项）整改建议：部署防火墙产品，使用华为防火墙，启用会话超时功能。e）应限制网络最大流量数及网络连接数；（二级没有此项）整改建议：部署防火墙产品，使用华为防火墙，启用流量和连接数控制。f）重要网段应采取技术手段防止地址欺骗；（二级没有此项）整改建议：交换机配置IP与MAC进行绑定。g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；整改建议：安全设备具备基于用于进行安全策略配置，使用华为防火墙启用此功能，使用基

60、于用户/用户组的安全策略。h）应限制具有拨号访问权限的用户数量。整改建议：在网络出口的华为UTM防火墙上配置相关安全策略进行阻断PPPOE。安全审计（G3）本项要求包括：a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；整改建议：部署安全运维审计系统或安全管理平台。部署华为eSight日志管理系统。b）审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；整改建议:部署华为eSight日志管理系统，与华为安全设备配合，支持记录以上信息。c）应能够根据记录数据进行分析，并生成审计报表；（二级没有此项）整改建议：部署华为eSight日志管理系统