网络安全建设报告

1、信息安全防护建设报告目录 TOC o 1-5 h z HYPERLINK l bookmark32 o Current Document 项目背景2 HYPERLINK l bookmark35 o Current Document 概述2 HYPERLINK l bookmark38 o Current Document 参考标准和规范2 HYPERLINK l bookmark42 o Current Document 国家标准2 HYPERLINK l bookmark46 o Current Document 行业及其他相关规范2 HYPERLINK l bookmark50 o Cu

2、rrent Document 信息安全建设的目的与意义 2 HYPERLINK l bookmark53 o Current Document 信息安全风险分析2 HYPERLINK l bookmark58 o Current Document 安全建设目的3 HYPERLINK l bookmark74 o Current Document 安全建设的收益4 HYPERLINK l bookmark93 o Current Document 安全防护方案5 HYPERLINK l bookmark96 o Current Document 总体架构5 HYPERLINK l bookmar

3、k99 o Current Document 网络拓扑6 HYPERLINK l bookmark102 o Current Document 安全防护架构7 HYPERLINK l bookmark110 o Current Document 安全域划分与防护8 HYPERLINK l bookmark113 o Current Document 总体方案8 HYPERLINK l bookmark117 o Current Document 核心服务域8 HYPERLINK l bookmark121 o Current Document 重要服务域9 HYPERLINK l bookma

4、rk125 o Current Document 前置业务域9 HYPERLINK l bookmark129 o Current Document 管理支撑域10 HYPERLINK l bookmark133 o Current Document 内联接入域10 HYPERLINK l bookmark137 o Current Document 外联接入域10 HYPERLINK l bookmark141 o Current Document 网络基础设施域11四建设内容清单错误!未定义书签。一期清单错误!未定义书签。二期清单错误!未定义书签。一项目背景1.1概述为了有效防范和化解风险

5、，保证省公司IT支撑系统平稳运行和业务持续开 展，根据总体规划需要逐步建立信息安全保障体系，以增强省公司的信息安全风 险防范能力。参考标准和规范国家标准GB17859-1999计算机信息系统安全保护等级划分准则GBT 22240-2008信息安全技术信息系统安全等级保护定级指南GBT 22239-2008信息安全技术信息系统安全等级保护基本要求GBT 25058-2010信息安全技术信息系统安全等级保护实施指南GBT 25070-2010信息安全等级保护设计要求行业及其他相关规范GD/J 0382011广播相关信息系统安全等级保护基本要求信息系统安全保障理论模型和技术框架IATF理论模型及方法

6、论二信息安全建设的目的与意义2.1信息安全风险分析网络从它诞生之日起就面临着各种各样的安全问题，从最初物理层设备的各 种故障引起的网络中断，发展到目前双向式综合数据承载网络的各种攻击，直接 威胁到网络业务管理、运营支撑系统等核心业务的安全。目前省公司所面临的安全风险主要有以下几个方面：网络的广播式网络特点对外来的网络攻击和恶意代码的抵抗能力脆弱。各业务系统越来越依赖于BOSS系统，而随着业务的发展，BOSS系统必 须与外部网络连接，一旦BOSS系统遭到外部入侵或内部的恶意破坏，攻 击者将能绕过复杂的CA系统直接篡改用户数据或对未授权用户给予授 权。银行、商务的发展导致在有线网络上产生越来越多的

7、网上交易和网上支 付行为，对网上交易和支付的安全保障迫在眉睫。后台业务系统越来越电子化、自动化，需要对业务系统的各种网络安全 隐患事前预防，并能在发生安全问题后有据可查，内网的安全审计重要 性正日益突出。近些年网络黑客对web服务器、邮件服务器、EPG服务器、流媒体服务 器的安全攻击事件层出不穷，面向公众服务的安全需求不断增加。网络维护人员没有一套很好的手段去了解和把握整个网络的运行状况。 因此对异常事件的反应时间太长，缺乏网络安全的预警和响应能力。省公司目前没有明确划分出网络安全区域，边界防护措施无法落实，除 了 BOSS系统有简单的防火墙保护，其他业务系统基本处于裸奔状态，对 于恶意攻击和

8、病毒蠕虫等事件毫无防护措施，十分危险。2.2安全建设目的1、理顺系统架构进行安全域划分可以帮助理顺网络和应用系统的架构，使得信息系统的逻辑 结构更加清晰，从而更便于进行运行维护和各类安全防护的设计。2、简化复杂度基于安全域的保护实际上是一种工程方法，它极大的简化了系统的防护复杂 度：由于属于同一安全域的信息资产具备相同的IT要素，因此可以针对安全域 而不是信息资产来进行防护，这样会比基于资产的等级保护更易实施。3、降低投资由于安全域将具备同样IT特征的信息资产集合在一起，因此在防护时可以 采用公共的防护措施而不需要针对每个资产进行各自的防护，这样可以有效减少 重复投资；同时在进行安全域划分后，

9、信息系统和信息资产将分出不同的防护等 级，根据等级进行安全防护能够提高组织在安全投资上的ROI（投资回报率）。4、提供依据组织内进行了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不 足，并为今后进行系统改造和新系统的设计提供相关依据，也简化了新系统上线 安全防护的设计过程。特别是针对组织的分支机构，安全域划分的方案也有利于 协助他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工作。2.3安全建设的收益a）构建纵深的防御体系方案从技术、物理和管理三个方面提出基本安全要求，在采取由点到面的各 种安全措施时，系统整体上还保证了各种安全措施的组合，从以下两个方面构建 安全纵深防御体系

10、，保证信息系统整体的安全保护能力：根据各信息系统与播出 业务的相关程度，从BOSS系统、播出系统、OA办公系统、华数平台及OTT等信 息系统安全层面，构建了从外到内的业务安全纵深；同时还从基础网络安全、边 界安全、计算环境（主机、应用）安全等多个层次落实各种安全措施，形成纵深 防御体系。b）采取互补的安全措施方案以安全控制组件的形式提出基本安全防护要求，在将各种安全控制组件 集成到特定信息系统中时，考虑了各个安全控制组件功能的整体性和互补性，关 注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、 协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功 能上

11、，使得信息系统的整体安全保护能力得以保证。c）进行集中的安全管理方案在第三级信息系统的安全功能管理要求上，实现了统一安全策略、统一 安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现， 各个安全控制组件在可控情况下发挥各自的作用，建立了安全管理中心，集中管 理信息系统中的各个安全控制组件，支持统一安全管理。d）符合监管单位的合规要求方案实施后，可以达到GBT 22239-2008信息系统等级保护中的第三级，符 合广播相关信息系统安全等级保护基本要求。三安全防护方案3.1总体架构根据省公司信息系统现状，结合业务发展需求，制订全网安全域划分的总体 架构如下图所示：边界接入域总体

12、可以划分为：边界接入域、计算服务域、管理支撑域、网络设施域，每 个域又可以根据业务系统细分要求再划分不同子域。3.2网络拓扑网络安全域划分及边界整合总体方案建议如下图所示:图表 三-1安全域划分示意图3.3安全防护架构省公司IT支撑系统安全防护架构如下:图6-三-1IT支撑系统安全防护框架图 安全防护的工作思路有以下几点：管理和技术同步建设：技术层面包括物理、网络、主机、应用、数据等 方面，本次规划重点考虑网络、主机和应用平面的需求，管理层面包括 安全管理和安全运维。通过技术手段，实现安全管理的要求，通过安全 管理，使得技术手段更加规范。安全域划分与防护：作为本次规划的一个重点，将从网络设备、

13、主机设 备及应用系统层面逐步建设由各种基础设施构成的多层次立体防护体系。 通过安全域划分和边界整合明确所部署的设备及访问控制策略，保证业 务网络的安全运行。安全防护设备部署：根据防护架构，业务网络需具备访问控制、入侵检 测和防护、行为分析、vpn接入、抗拒绝服务攻击、网络审计、基线核 查、日志审计、漏洞扫描、终端管理、web防护、数据库审计等安全防 护和检测能力，建议部署多种成熟的安全防护设备，包括防火墙、入侵 检测、业务审计、VPN、抗拒绝服务攻击设备、漏洞扫描等系统，具体详 见防护方案和设备列表。系统组件安全配置检查：对IT支撑系统中的网络设备、主机设备、安全 设备、数据库、Web服务器及

14、中间件等组成部件要进行安全配置检查和 加固。安全值守和应急响应：提供定期巡检、安全策略优化、安全割接配合、 应急响应和取证、安全趋势报告分析，并定期对重要系统进行评估和加 固。3.4安全域划分与防护总体方案安全改造示意图将网络IT系统划分为计算环境域、网络基础设施域、接入域和管理支撑域 四个大安全域。根据各区域业务系统属性细化后得到以下子域：计算环境域包括：核心服务域，重要服务域以及前置业务域。网络基础设施域包括：骨干区、汇聚区和接入区。接入域包括：城域网内联接入区和互联网的外联接入区。管理支撑域包括：网络管理、安全管理、运维等运维支撑系统区域。通过在各区域边界部署防火墙、Web安全防护、VP

15、N、入侵检测及安全审计 等设备实现对业务系统的安全防护。边界隔离及防护策略有如下建议：核心服务域核心服务域仅包括BOSS系统，是对省公司正常运行至关重要的核心服务器，该区域因为具有极高的价值资产，因此极易成为攻击者的目标，防护体系应更加 完善，防护策略应更加细化。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服 务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据 库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；由于该区域存在数据库高价值资产，因此恶意访问和篡改行为风险相对 更高，在业务系统旁路新增业务审计系统，对业务数据库的所有行为进 行审计

16、，以提供分析、取证和溯源的能力。重要服务域重要服务域包括呼叫中心、EPG系统、3A统一计费等系统，是对省公司宽带 及认证、电子菜单推送等功能至关重要的服务器，该区域资产也具有很高的价值， 因此防护体系应更加完善，防护策略应更加细化。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服 务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据 库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；由于该区域存在数据库高价值资产，因此恶意访问和篡改行为风险相对 更高，在业务系统旁路新增业务审计系统，对业务数据库的所有行为进 行审计，以提供分析、取证和溯源的能力。

17、前置业务域前置业务域包括新银行、代缴费等第三方系统，是对省公司对外增值应用的 重要的服务器，该区域资产也具有较高的价值，虽然该区域的资产是通过专线接 入服务，但处于非信任体系的网络架构，因此在防护体系上也应更加完善。细化业务系统的访问控制策略，只开放必需的对外服务端口，如业务服 务、数据访问等，对于Web服务器只开放HTTP和HTTPS服务端口，数据 库服务器根据被访问的Web服务器地址和数据库类型开放相应的端口；在业务系统入口新增WEB防火墙对应用层攻击进行深度检测和防护。管理支撑域管理支撑域作为省公司安全运维管理的重要区域，包括了网络管理、系统运 维和安全运维管理相关的设备和工具。安全管理

18、区的安全设备及策略建议：在该区域新增一台专用VPN设备，实现对外出用户和第三方运维厂商工 程师的远程接入，保障链路通道的安全性和保密性。在数据中心、新增一台漏洞扫描工具，统一管理。定期对重要资产进行安 全评估，并配合安全值守服务完成加固；在该区域新增一台集中日志审计系统，对全网服务器、数据库、网络设 备及安全设备的日志集中收集分析，集中审计。在该区域新增统一安全管理平台，以业务信息系统为核心、，从监控、审 计、风险、运维四个维度建立可度量的统一业务支撑平台，对业务信息 系统进行可用性、性能与服务水平监控，配置及事件分析、审计、预警 与响应，风险及态势的度量与评估，标准化、例行化、常态化的安全流 程管控；将其他网管、系统运维及安全设备的管控终端移至该区域，实现统一管 理；内联接入域城域网接入域主要是省