网络安全等级保护3级建设内容设计方案

1、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好 的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活 动的发生。物理位置的选择在机房位置选择上，应选择的场地具有防震、防风和防雨等能力建筑内， 同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果，确保机 房的选择合理合规。在UPS电池按放的位置选择要考虑到楼板的承重等因素。物理访问控制对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区 域前设置交付或安装等过渡区域；进入机房的来访人员须经过申请和审批流 程，并限制和监控其活动范围，同时在机房的各出入口出配置配置电子门禁系 统

2、和视频监控系统，通过开关门记录和视频来控制、鉴别和记录机房进入的人 员相关信息。防盗窃和防破坏在防盗窃和防破坏方面，对设备或主要部件进行固定，并设置明显的不易 除去的标记。在强弱电铺设方面尽量进行隐蔽布设。为了防止无关人员和不法 分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏 网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统， 阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监 控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标 识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对 机房设置监控报警系统

3、。防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全 接地。同时在配电方面设置相应的防雷保安器或过压保护装置等。防火合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房 间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自 动消防系统，能够自动检测火情、自动报警，并自动灭火；防水和防潮在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。按 照新风系统防止机房内水蒸气结露。在机房内部按照水浸传感器，实时对机房 进行防水检测和报警。防静电在地板方面，应安装防静电地板并采用必要的接地防静电措施，在上架、 调试触摸设备时应佩戴防静电手环等措施消

4、除静电避免静电引起设备故障和事 故。温湿度控制由于机房运行的设备属于精密电子产品，其本身对周围的环境要求较高， 同时设备在运行是会产生大量热量，如不能及时将调节温湿度，设备会很容易 出现故障进而引发系统瘫痪降低系统的可靠性。因此需要在机房按照专业的精 密空调，能够根据机房环境自我调节设置温、湿，使机房温、湿度的变化在设 备运行所允许的范围之内。电力供应在电力供应方面，在配电进口处配置稳压器和过电压防护设备保证电力供 应的稳定。根据系统的重要程度提供必要的后备电源以备短时情况下为核心系 统继续提供电力保证。设置冗余或并行的电力电缆线路为计算机系统供电，建 立备用供电系统。同时在电力设计时应考虑未

5、来几年的机房发展预留部分电力 容量保证后期的发展需求。电磁防护对保密等特殊的关键系统，机房在建设时应考虑到线缆的相互干扰、自身 的屏蔽以及机房电磁屏蔽等要求，符合特殊系统对电磁屏蔽的要求。二、通信网络安全设计网络架构网络结构的安全是网络安全的前提和基础，单线路、单设备的结构很容易 发生单点故障导致业务中断，因此对于提供关键业务服务的信息系统，应用访 问路径上的任何一条通信链路、任何一台网关设备和交换设备，都应当采用可 靠的冗余备份机制，以最大化保障数据访问的可用性和业务的连续性。对核心 交换机、边界路由器、边界防火墙、IPS、防病毒网关以及内部重要安全域的交 换机等系统，采用主主、主备等多种冗

6、余方式，以提升网络系统的整体容错能 力，防止出现单点故障。同时考虑业务处理能力的高峰数据流量，要考虑冗余 空间满足业务高峰期需要，网络各个部分的带宽要保证接入网络和核心网络满 足业务高峰期需要。其次，需要按照业务系统服务的重要次序定义带宽分配的优先级，在网络 拥堵时优先保障重要主机。根据实际需求，部署流量管理系统，实现按照业务 系统服务的重要次序来分配带宽，优先保障重要主机。最后，合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与 当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉 及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数 据的重要网段

7、不能直接与外部系统连接，需要和其他网段隔离，单独划分区 域。通信传输为实现数据在网络间传输过程中的机密性、完整性保护，核心设计思想是 以密码技术为核心，对于有传输需求的业务应用和管理，通过在网络边界部署 VPN设备，从而在公共网络平台上构建VPN虚拟通道，将传输的数据包进行加 密，保护传输数据的机密性和完整性。通过部署VPN功能，构建VPN加密通道。利用VPN技术组建网络安全平台 的思想是：在中心节点及各个地方节点网络的出口处，部署VPN设备，并将所 有的VPN设备纳入全网统一的安全管理机构的管理范围，使VPN设备按照设定 的安全策略对进出网络的IP数据包进行加/解密，从而在IP层上构建起保障

8、网 络安全传输的VPN平台，为不同节点网络内计算机终端之间的连接安全和传输 安全提供有力的支撑和保障。由于工作在网络层，则上层的应用系统和业务系 统无需做任何更改即可实现安全通信。采用安全保密性很强的VPN技术，利用VPN设备所具有的身份鉴别/认证、 数据加/解密以及访问控制等安全保密功能，可以将广域网络中存在的密级较高 敏感信息与其他信息进行安全有效地隔离。这样可以有针对性地满足网络传输 的安全需求，实现信息的正确流向与安全传输，在提高网络安全风险抵抗能力 的基础上实现对网络的整体逻辑屏蔽与隔离。由于VPN技术通过在网络层对IP数据包进行相应安全处理来组建安全传输 通道，故采用VPN技术组建

9、的虚拟专用网络无须考虑底层链路传输协议，具有 极强的适应性和广泛性。三、区域边界安全设计边界防护边界防护主要内容是防止主机防非法外联以及外部主机防非法接入两个方 面考虑。防止由于以上两种行动造成网络边界非法外延，边界不完整。当前，对于防网络非法接入以及非法外联，主要通过部署终端安全管理系 统实现相应功能。终端安全管理系统为了达到安全管理的目标，主要包括如下 功能类：1）桌面安全防护2）内网资产管理3）行为管理监控具体功能包括：限制非法外联行为，防止商业机密泄漏；实时监控各种网络连接行 为，发现并且阻断可疑上网行为，保护内网资产。网络接入控制，防止外部非授权许可的和主机接入。阻止各种内网攻击防止

10、黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻 击企图与攻击行为；对终端设备实施强制网络接入控制。提高内网资源使用效率远程策略管理、资产管理与控制、防止内网资源的滥用行为，限制应 用软件的滥用（BT、P2P、即时通讯软件）。一、防非法外联设计非法外联作为终端防护的重要技术功能，可以有效的对内部网络环境实施 管理，可以对内网外联及非内网主机的接入作监控；对主机开机上线、关机下 线信息以及主机名、主机物理地址（MAC地址）改变等信息进行报警。所有事 件的详细信息都自动录入数据库，可以提供包括对指定时间段范围、IP地址段 范围、事件类型等条件的组合查询，方便网络管理员对安全事件的事后分析。

11、二、网络可信接入功能设计能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才 能够接入网络，防止存在安全隐患或未经授权的机器接入内网，在网络接入层 控制非法终端连接，支持IEEE802.1x端口认证的工业标准。对于不支持 IEEE802.1X交换环境，采用软件控制的方式实现对终端设备的安全接入控制。 根据网络环境，用户可以选择在不同网段分别启用802.1X认证、非802.1X认 证、不启用网络准入认证组合。a）应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行 通信；b）应能够对非授权设备私自联到内部网络的行为进行限制或检查；c）应能够对内部用户非授权联到外部网络的行为

12、进行限制或检查；d）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内 部网络。访问控制网络区域边界通常是整个网络系统中较为容易受到攻击的位置，很多来自 外部的攻击都是通过边界的薄弱环节攻击到网络内部的。而安全域的边界也需 要做安全防御，以保证安全域内的信息安全以及安全域内与其他安全域间的数 据的受控的访问。因此网络及安全域边界需要进行着重的安全防御设计。边界主要通过部署防火墙、网络入侵防御系统、病毒防护网关等设备，配 以合理的安全防护策略以及考虑到各个安全产品间的联动互补。不同的业务应 用系统采用划分不同的VLAN实现业务边界的隔离。本方案通过在边界出口处以双机模式串联部署两台防

13、火墙，隔离内外网 络，在防火墙上启用访问控制策略设，默认情况下除允许通信外受控接口拒绝 所有通信。删除多余或无效的访问控制规则，优化访问控制列表，并保证访问 控制规则数量最小化。对源地址、目的地址、源端口、目的端口和协议等进行 检查，拒绝不符合的数据包进出。细化控制粒度，根据会话状态信息为数据流 提供明确的访问的能力。在关键网络节点利用下一代防火墙的优势，在L2-L7 层处对进出网络的信息内容进行过滤，实现对内容的访问控制。入侵防范通过对网络的边界风险与需求分析，在防火墙下联区以双机串联模式部署 两台入侵防御系统，在网络关键节点处旁路部署入侵检测系统，通过两者的联 动，针对日趋复杂的应用安全威

14、胁和混合型网络攻击，准确监测网络异常流 量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在单位网络外部，弥 补了防火墙等产品的不足，提供动态的、深度的、主动的安全防御，从智能识 别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检 测和防护，提供了一个看得见、检得出、防得住的全新入侵防护解决方案。恶意代码防范随着计算机网络技术的迅速发展与广泛应用，新型病毒层出不穷，且由于 其传播速度更快、影响范围更广、针对性更强的特点，传统的防火墙主要是通 过协议、地址和端口是判断网络数据是否符合策略要求，而入侵防御系统的侧 重点是针对应用层数据匹配现有的特征库进行数据的过滤。防火墙和入侵防

15、御 系统并不能满足上述需求，因此需要专业的防病毒网关设备来实现。在入侵防御系统下联出以双机串联模式部署两台网络防病毒网关，通过对 应用数据进行病毒扫描检测，滤拦截病毒、木马、间谍软件、恶意邮寄等恶意 代码，在病毒未进入内部网络造成损失之前进行阻断拦截，有效避免了病毒所 给用户带来的损失和影响。安全审计各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。但 是对于流经各主要边界（重要服务器区域、外部连接边界）的数据流量没有审 计机制。本方案中通过在核心交换机上旁路部署网络审计系统和入侵检测系 统，对区域边界进行安全审计。网络边界审计通过对网络进行监测、报警、记 录和审计；统计网络各种应

16、用流量和用户IP流量，了解网络带宽和应用的使 用，发现存在的问题，提高网络使用效率。通过丰富的审计数据和统计数据， 及时发现异常应用，帮助管理者快速分析定位问题对象。同时开启边界安全设 备的审计功能模块，根据审计策略进行数据的日志记录与审计，并将审计信息 通过安全管理中心进行统一集中管理，为安全管理中心提供必要的审计数据， 利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计 等一起构成完整的、多层次的审计系统。四、计算环境安全设计身份鉴别为了保证网络信息的保密性，完整性，可控性，可用性和抗抵赖性，信息 系统需要采用多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵 赖等

17、。对于不同用户的访问行为，将通过不同的机制实现其身份鉴别。针对管理用户访问的身份鉴别主要由堡垒机实现，通过将各设备、应用系 统的管理接口，通过强制策略路由的方式，转发至堡垒主机，从而完成反向代 理的部署模式，实现对管理用户的身份鉴别。目前阶段，可将各类设备（网络设备、安全设备、非虚拟化主机服务器） 以及虚拟化平台的管理接口，对接至堡垒机，由堡垒机完成单点登录、身份鉴 别。主机身份鉴别：为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行 一系列的加固措施，包括：对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用 户名的唯一性。根据基本要求配置用户名/口令；口令必须具备采用

18、3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次 数和自动退出等措施。远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃 听。 对主机管理员登录进行双因素认证方式，采用USB key+密码进行身份 鉴别应用身份鉴别：为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具 备采用3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次 数和自动退出等措施。应用系统如具备

19、上述功能则需要开启使用，若不具备则需进行相应的 功能开发，且使用效果要达到以上要求。安全审计在安全管理运维区部署运维审计系统（通称堡垒主机），对核心IT设备的 管理员用户提供集中登录认证、权限控制和操作监控。被管理资源包括服务 器、数据库、交换机、路由器、防火墙及其他安全设备等。通过部署运维审计系统（堡垒主机），可以实现以下功能：单点登录堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就 可以无需认证的访问包括被授权的多种基于B/S的应用系统。账户管理集中帐号管理包含对所有服务器、网络设备帐号的集中管理，是集中授 权、认证和审计的基础。集中帐号管理可以实现将帐号与具体的自然人相

20、关 联，从而实现针对自然人的行为审计。身份认证堡垒主机为用户提供统一的认证界面。采用统一的认证接口不但便于对用 户认证的管理，而且能够采用更加安全的认证模式，包括静态密码、双因素、 一次性口令和生物特征等多种认证方式，而且可以方便地与第三方认证服务对 接，提高认证的安全性和可靠性，同时又避免了直接在业务服务器上安装认证 代理软件所带来的额外开销。集中身份认证建议采用基于静态密码+数字证书的 双因素认证方式。资源授权堡垒主机提供统一的界面，对用户、角色及行为和资源进行授权，以达到 对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访 问控制可以对用户通过B/S对服务器主机、网络设

21、备的访问进行审计。授权的 对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过 什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用 户的操作，以及在什么时间进行操作等的细粒度授权。访问控制堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安 全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组 非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管 理员会根据其自身的角色为其指定相应的控制策略来限定用户。操作审计操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资 源使用情况等。在各服务器主机、网络设备的访问

22、日志记录都采用统一的帐 号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。为 了对字符终端、图形终端操作行为进行审计和监控，内控堡垒主机对各种字符 终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如 Telnet、SSH、FTP、Windows 平台的 RDP 远程桌面协议，Linux/Unix 平台的 X Window图形终端访问协议等。堡垒机的审计数据提供专有的存储系统，进行集中存储保留，保留期在6 个月以上。入侵防范针对入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范，可以从多个角度进行处理：入侵检测系统可以起到防范针对主机的入侵行为；部署漏洞扫描

23、进行系统安全性检测；部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升 级；操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；另外根据系统类型进行其它安全配置的加固处理。恶意代码防范针对应用系统的恶意代码检测防护，主要是针对进行服务器终端的病毒防 护以及WEB应用木马程序的检测。防护各类常见的WEB应用攻击，如蠕虫、跨 站脚本、网页盗链、以及WEB应用挂马等。通过定期的安全防护可以检测WEB 应用挂马。具体防护操作包括：及时下载并安装补丁程序 使用 Firefox 或 Opera健壮的系统口令关闭不必要的系统服务关闭自动运行功能服务器防病毒系统必须重视集中

24、的管理、监控和升级，提高管理效率。同 时，因为服务器往往运行重要的应用服务，因此，必须注意防病毒软件对服务 器性能、功能以及稳定性的影响。同样，它必须能够提供对集中管理平台的接 口，实现整体监控。建立防病毒系统的集中管理平台。通过管理控制台，实现 对全网络防病毒系统的安装、配置、管理和监控。加强防病毒系统的管理效 果，节约人力资源，提高管理效率。数据完整性和保密性在传输过程中主要依靠VPN系统可以来保障数据包的数据完整性、保密 性、可用性。目前VPN的组建主要采用两种方式，基于IPSEC协议的VPN以 及 基于SSL协议的VPN。IPSec VPN适用于组建site-to-site形态的虚拟专

25、有网络，IPSEC协议提供的 安全服务包括：保密性一一IPSec在传输数据包之前将其加密.以保证数据的保密性。完整性一一IPSec在目的地要验证数据包，以保证该数据包任传输过程中没 有被修改或替换。完整性校验是IPSEC VPN重要的功能之一。真实性一IPSec端要验证所有受IPSec保护的数据包。防重放IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝 老的或重复的数据包，它通过报文的序列号实现。SSL VPN适用于远程接入环境，例如：移动办公接入。它和IPSEC VPN适 用于不同的应用场景，可配合使用。SSL的英文全称是“Secure Sockets Layer”，中文名为安全

26、套接层协议层”， 它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了 一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间 提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消 息完整性以及可选的客户机认证。SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法，因此安全 性上二者无明显差别。SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标 准Web浏览器上都有，不用额外的软件实现。使用SSL VPN，在移动用户和内 部资源之间的连接通过应用层的Web连接实现，而不是像

27、IPSec VPN在网络层 开放的通道。SSL对移动用户是理想的技术，因为：SSL无需被加载到终端设备上SSL无需终端用户配置SSL无需被限于固定终端，只要有标准浏览器即可使用产品部署方面，SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原 有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在 基于角色的策略控制下实现对企业内部资源的存取访问。远程移动用户只需打 开标准IE浏览器，登陆SSL VPN网关，经过用户认证后即可根据分配给该用 户的相应策略进行相关业务系统的访问数据备份和恢复备份与恢复主

28、要包含两方面内容，首先是指数据备份与恢复，另外一方面 是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据 错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将 综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而 已成为必然的趋势。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实 时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备 兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护 扩展到整个系统，并提供增强的功能，其中包括联机备份应用系统和数据文件

29、， 先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。本地完全数据备份至少每天一次，且备份介质需要场外存放。提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地 备用场地。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余 设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。服务器负载均衡应用高可用：实现多台服务器之间冗余3到7层的多种服务器健康检 查应用高性能：实现多台服务器性能叠加一一4、7层的多种负载均衡算法应用可扩展：实现应用基于实际需求的性能调整一服务器平滑退出、平 滑上线降低服务器负载一TCP连接复用、HTTP缓存

30、、SSL卸载。提升用户访问速度一TCP单边加速、HTTP缓存、压缩。服务器状态、链路状态和用户行为可视化一一各类报表功能、商业智能分 析链路负载均衡（入站）解决外部用户跨运营访问造成的访问速度慢的问题一智能DNS（出入站）多条链路之间形成冗余，保障用户访问稳定性一一链路健康状 况检测（出站）按需为内网用户选择合适的链路访问互联网，提升带宽资源利用 率，减少带宽投资成本一一多种链路负载算法、智能路由、DNS透明代理全局负载均衡：实现多数据中心入站流量选路、精确为用户选择最佳（就近）站点。五、安全管理中心设计系统管理通过系统管理员对系统的服务器、网络设备、安全设备、应用系统进行统 一的管理包括：用

31、户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理 地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问 权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全 管理员、审计管理员等。系统资源配置：进行系统资源配置管理与监控，包括CPU负载、磁盘使 用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情 况等，通过配置采样时间，定时检测。系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启 动。数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重 要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频 度、存储介质、保存期等；根

32、据数据的重要性及其对系统运行的影响， 制定数据的备份策略和恢复策略，定期执行备份与恢复策略。恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统 一管理。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制 进行恶意代码库升级；定制统一客户端策略并强制执行；进行集中病毒 报警等。系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意 应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系 统补丁程序的安装。系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许 其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。审计管理通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管 理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭 相应类型的安全审计机制；对各类审计记录进行存储