网络安全等级保护(安全通用要求)建设方案

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业网络安全等级保护建设方案（安全通用要求）北京启明星辰信息安全技术有限公司Beijing Venustech Information Security Technology Co., Ltd.二零一九年五月网络安全等级保护建设方案（安全通用要求）目录1.项目概述 .41.1.项目概述 .41.2.项目建设背景 .41.2.1.法律依据 .41.2.2.政策依据 .41.3.项目建设目标及内容 .61.3.1.建设目标 .61.3.2.建设内容 .71.4.等级保护对象分析

2、与介绍 .72.方案设计说明 .72.1.设计依据 .72.2.设计原则 .82.2.1.分区分域防护原则 .82.2.2.均衡性保护原则 .82.2.3.技管并重原则 .82.2.4.动态调整原则 .82.2.5.三同步原则 .92.3.设计思路 .92.4.设计框架 .103.安全现状及需求分析 .101 页网络安全等级保护建设方案（安全通用要求）3.1.安全现状概述103.2.安全需求分析113.2.1.物理环境安全需求113.2.2.通信网络安全需求123.2.3.区域边界安全需求133.2.4.计算环境安全需求143.2.5.安全管理中心安全需求153.2.6.安全管理制度需求153

3、.2.7.安全管理机构需求153.2.8.安全管理人员需求163.2.9.安全建设管理需求163.2.10.安全运维管理需求173.3.合规差距分析184.技术体系设计方案184.1.技术体系设计目标184.2.技术体系设计框架194.3.安全技术防护体系设计194.3.1.安全计算环境防护设计194.3.2.安全区域边界防护设计234.3.3.安全通信网络防护设计254.3.4.安全管理中心设计282 页网络安全等级保护建设方案（安全通用要求）5.管理体系设计方案 .285.1.管理体系设计目标 .285.2.管理体系设计框架 .295.3.安全管理防护体系设计 .295.3.1.安全管理制

4、度设计 .295.3.2.安全管理机构设计 .305.3.3.安全管理人员设计 .305.3.4.安全建设管理设计 .315.3.5.安全运维管理设计 .326.产品选型与投资概算 .387.部署示意及合规性分析.397.1.部署示意及描述 .397.2.合规性分析 .397.2.1.技术层面 .397.2.2.管理层面 .413 页网络安全等级保护建设方案（安全通用要求）项目概述1.1.项目概述根据实际项目情况编写、完善。1.2.项目建设背景1.2.1.法律依据1994年中华人民共和国计算机信息系统安全保护条例（国务院令第147号）第九条明确规定， “计算机信息系统实行安全等级保护，安全等级

5、的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2017年网络安全法第二十一条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定， 国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。网络安全法的颁布实施，标志着从 1994年的国务院条例（国务院令第 147号）上升到了国家法律的层面， 标志着国家实施十余年的信息安全等级保护制度进入 2.0阶段，同时也标志着

6、以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。1.2.2.政策依据2003年，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、 经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度， 制定信息安全等级保护的管理办法和技术指南”，标志着等4 页网络安全等级保护建设方案（安全通用要求）级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。2004 年 7 月 3 日审议通过的关于信息安全等级保护工作的实施意见( 公通字 200466 号)

7、 指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平， 维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。2007 年信息安全等级保护管理办法 ( 公通字200743 号) 颁布以来，一直是国家层面推动网络安全工作的重要抓手。 2012 年，国务院关于推进信息化发展和切实保障信息安全的若干意见 （国发 201223 号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理， 做好信息系统定级备案、整改和监督检查”。除此之外，下列政策文件也对等级保护相关工作提出了要求:关于开展信息系统安全等级保护基础调查工作的通知（公信

8、安20051431 号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技 2008 2071 号）国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知（发改高技 20082544 号）关于开展信息安全等级保护安全建设整改工作的指导意见( 公信安20091429 号) 关于进一步推动中央企业信息安全等级保护工作的通知（公通字201070 号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安 2010303 号）关于进一步加强国家电子政务网络建设和应用工作的通知（发改

9、高技20121986 号）5 页网络安全等级保护建设方案（安全通用要求）全国人民代表大会常务委员会关于加强网络信息保护的决定（201212 月 28 日第十一届全国人民代表大会常务委员会第三十次会议通过）网络安全等级保护条例 ( 征求意见稿 ) （2018 年 6 月）1.3.项目建设目标及内容1.3.1.建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作， 使网络系统可以按照保护等级的要求进行设计、 规划和实施， 并且达到相应等级的基本保护水平和保护能力。依据网络安全等级保护相关标准和指导

10、规范， 对 XXXX单位 XXXX系统按照“整体保护、综合防控” 的原则进行安全建设方案的设计， 按照等级保护三级的要求进行安全建设规划， 对安全建设进行统一规划和设备选型， 实现方案合理、 组网简单、扩容灵活、标准统一、经济适用的建设目标。依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。最终使 XXXXX系统达到安全等级保护第三级要求。 经过建设后，使整个网络形成一套完善的安全防护体系，提升整体网络安全防护能力。对于三级网络， 经过

11、安全建设整改， 网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力， 抵抗较为严重的自然灾害的能力， 以及防范计算机病毒和恶意代码危害的能力； 具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置， 并能够追踪安全责任的能力； 遭到损害后， 具有能够较快恢复正常运行状态的能力； 对于服务保障性要求高的网络，应该能够快速恢复正常运行状态； 具有对网络资源、用户、安全机制等进行集中控管的能力。6 页网络安全等级保护建设方案（安全通用要求）1.3.2.建设内容本项目以 XXX单位 XXXXX系统等级保护建设为主线， 以让相关信息系统达到安全等级保护第三级要求。借助网络产品

12、、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高XXXX单位的安全防护能力。建设内容包括安全产品采购部署、安全加固整改、安全管理制度编写等。1.4.等级保护对象分析与介绍以基础通信网络及其承载的信息系统、数据为保护对象。根据实际等级保护对象情况编写。方案设计说明2.1.设计依据本方案是根据 2019 年 5 月 13 日最新发布的 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求的安全通用要求和安全目标，参照GB/T25070-2019信息安全技术 网络安全等级保护安全设计技术要求 的通用设计技术要求，针对第三级系统而提出的安全保护等级设计

13、方案。除上述两个标准外，还参考了如下相关标准：信息技术安全技术信息安全管理体系要求 （ISO/IEC 27001:2013 ）信息技术安全技术信息安全控制实用规则（ISO/IEC 27002：2013）计算机信息系统安全保护等级划分准则（GB 17859-1999）信息安全技术信息安全风险评估规范 （GB/T 20984-2007 ）信息安全技术信息系统安全等级保护定级指南 （GB/T 222402008）网络安全等级保护定级指南 （GA/T 1389-2017 ）信息安全技术信息系统安全等级保护实施指南 （GB/T 25058-2010 ）信息安全技术网络安全等级保护测评要求 （GB/T 2

14、8448-2019 ）7 页网络安全等级保护建设方案（安全通用要求）信息安全技术网络安全等级保护测评过程指南（GB/T 28449-2018 ）2.2.设计原则2.2.1.分区分域防护原则任何安全措施都不是绝对安全可靠的，为保障攻破一层或一类保护的攻击行为而不会破坏整个网络， 以达到纵深防御的安全目标，需要合理划分安全域， 综合采用多种有效安全保护措施，实施多层、多重保护。2.2.2.均衡性保护原则对任何类型网络， 绝对安全难以达到， 也不一定是必须的， 需正确处理安全需求、安全风险与安全保护代价的关系。因此，结合适度防护实现分等级安全保护，做到安全性与可用性平衡，达到技术上可实现、经济上可执

15、行。2.2.3.技管并重原则网络安全涉及人、 技术、操作等方面要素， 单靠技术或单靠管理都不可能实现。因此在考虑网络安全时， 必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合，坚持管理与技术并重，从而保障网络安全。2.2.4.动态调整原则由于网络安全需求会不断变化，以及环境、条件、时间的限制，安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护， 后续再根据应用和网络安全技术的发展，不断调整安全保护措施， 加强安全防护力度， 以适应新的网络安全环境， 满足新的网络安全需求。当安全保护等级需要变更时， 应当根据等级

16、保护的管理规范和技术标准的要求，重新确定网络安全保护等级，根据调整情况重新实施安全保护。8 页网络安全等级保护建设方案（安全通用要求）2.2.5.三同步原则网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、 保密和密码保护措施， 确保其具有支持业务稳定、持续运行性能的同时，保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。2.3.设计思路参考网络安全等级保护安全设计技术要求，本方案的设计思路如下：根据系统定级的结果，明确该等级对应的总体防护措施；根据系统和子系统划分结果、安全定级结果，将保护对

17、象归类，并组成保护对象框架；根据方案的设计目标来建立整体保障框架，来指导整个等级保护方案的设计，明确关键的安全要素、流程及相互关系；在安全措施框架细化后将补充到整体保障框架中；根据此等级受到的威胁对应出该等级的保护要求（即需求分析），并分布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上；根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略（即总体安全目标），再根据等级保护的要求将总体安全策略细分为不同的具体策略（即具体安全目标），包括安全域内部、安全域边界和安全域互联策略；根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施；

18、根据安全技术体系和安全管理体系的划分，各安全措施共同组成了安全措施框架；根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分；各安全区域将保护对象框架划分成不同部分，即各安全措施发生作用的保护对象集合。根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设9 页网络安全等级保护建设方案（安全通用要求）计安全解决方案。2.4.设计框架安全现状及需求分析3.1.安全现状概述根据客户现状对等级保护对象进行分析。对现有安全域划分情况及网络拓扑图进行描述。10 页网络安全等级保护建设方案（安全通用要求）3.2.安全需求分析3.2.1.物理环境安全需求物理环境安全主要影响因

19、素包括机房环境、 机柜、电源、通信线缆和其他设备的物理环境。 该层面为基础设施和业务应用系统提供了一个生成、 处理、存储和传输数据的物理环境。具体安全需求如下：由于机房容易遭受雷击、地震和台风和暴雨等自然灾难威胁，需要考虑机房场地位置的选择，以及采取防雷击措施等来解决雷击、地震和台风等威胁带来的问题；由于机房容易遭受水患和火灾等灾害威胁，需要采取防水、防潮、防火措施来解决水患和火灾等威胁带来的安全威胁；由于机房容易遭受高温、低温、多雨等原因引起温度、湿度异常，应采取温湿度控制措施来解决因高温、低温和多雨带来的安全威胁；由于机房电压波动影响，需要合理设计电力供应系统来解决因电压波动带来的安全威胁

20、；11 页网络安全等级保护建设方案（安全通用要求）针对机房供电系统故障，需要合理设计电力供应系统，如：购买UPS系统、建立发电机机房，铺设双电力供电电缆来保障电力的供应，来解决因供电系统故障带来的安全威胁；针对机房容易遭受静电和线缆电磁干扰，需要采取防静电和电磁防护措施来解决静电和线缆电磁干扰带来的安全威胁；并对关键设备采取电磁屏蔽措施；针对利用非法手段进入机房内部盗窃、破坏等安全威胁，需要通过采取物理区域访问控制及监控报警装置等控制措施，来解决非法手段进入机房内部盗窃、破坏等带来的安全问题；针对利用工具捕捉电磁泄漏的信号，导致信息泄露的安全威胁，需要通过采取防电磁措施，来解决电磁泄漏带来的安

21、全问题。3.2.2.通信网络安全需求通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的安全部件。是利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、 可以用于在本地或远程传输数据的网络环境。具体安全需求如下：针对网络架构设计不合理而影响业务通信或传输问题，需要通过优化网络设计、改造网络安全域来完成。针对线路或设备的单点故障问题，需要采取冗余设计来确保系统的可用性。针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性和保密性，需要通过数据加密技术、数据校验技术来保障。针对通过伪造信息进行应用系统数据的窃取风险，需要加强网络边界完整性检查，加强对网

22、络设备进行防护、对访问网络的用户身份进行鉴别，加强数据保密性来解决。针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁，通信设备需要通过采取动态可信验证机制来确保程序运行安全可信， 从而保障业务系统安全可信。12 页网络安全等级保护建设方案（安全通用要求）3.2.3.区域边界安全需求区域边界包括安全计算环境边界， 以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件， 区域边界安全即各网络安全域边界和网络关键节点可能存在的安全风险。需要把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。各类网络设备、 服务器、管理终端和其他办公设备系统层的安全风险。 主要涵盖两个

23、方面，一是来自系统本身的脆弱性风险；另一个是来自用户登录帐号、权限等系统使用、配置和管理等风险。具体如下：针对内部人员未授权违规连接外部网络，或者外部人员未经许可随意接入内部网络而引发的安全风险，以及因使用无线网络传输的移动终端而带来的安全接入风险等问题，需要通过违规外联、安全准入控制以及无线安全控制措施来解决。针对跨安全域访问网络的行为，需要通过基于应用协议和应用内容的细粒度安全访问控制措施来解决，以实现网络访问行为可控可管。针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资源，导致拒绝服务或服务停止的安全风险，需要通过抗 DDoS攻击防护、服务器主机资源优化、入侵检测与防范、网

24、络结构调整与优化等手段来解决。针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击（如碎片重组，协议端口重定位等） ，尤其是新型攻击行为，需通过网络入侵检测和防范等技术措施来解决。针对通过恶意代码传播对主机、应用系统和个人隐私带来的安全威胁，需要通过恶意代码防护技术手段解决。针对邮件收发时遭受恶意代码攻击的安全风险，需要通过垃圾邮件防护等技术手段解决。针对违规越权操作、违规访问网络等用户行为，需要采取安全审计手段来实现安全事件的有效追溯和用户行为的审计分析。13 页网络安全等级保护建设方案（安全通用要求）针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁，边界设备需要通过采取动态可信验

25、证机制来确保程序运行安全可信，从而保障业务系统安全可信。3.2.4.计算环境安全需求计算环境安全涉及业务应用系统及重要数据处理、 存储的安全问题。 具体安全需求如下：针对用户帐号权限设置不合理、帐号暴力破解等等安全风险，需要通过帐号管理、身份鉴别、密码保护、访问控制等技术手段解决。针对在网页浏览、文档传递、介质拷贝或文件下载、邮件收发时而遭受恶意代码攻击的安全风险，需通过恶意代码防范、入侵防范等技术手段解决。针对操作用户对系统错误配置或更改而引起的安全风险，需通过安全配置核查、终端安全管控等技术手段解决。针对设备系统自身安全漏洞而引起被攻击利用的安全风险，需要通过漏洞扫描技术、安全加固服务等手

26、段解决。针对攻击者越权访问文件、数据或其他资源，需要通过访问控制、身份鉴别、安全审计等技术来解决。针对利用各种工具获取应用系统身份鉴别数据，进行分析获得鉴别内容，从而未授权访问、使用应用软件、文件和数据的安全风险，需要采用两种或两种以上鉴别方式来，可通过应用系统开发或第三方辅助系统来保证对应用系统登录鉴别安全；针对应用系统缺陷、接口设计等导致被恶意攻击利用、数据丢失或运行中断而影响服务连续性的安全风险，需要通过对产品采购、自行软件开发、外包软件和测试验收进行流程管理，同时保证应用软件具备自我容错能力；针对由于应用系统存储数据而引发的数据损毁、丢失等数据安全问题，需通过本地数据备份和异地容灾备份

27、等手段来解决；针对个人信息泄露的安全威胁，采取必要的安全保护手段；14 页网络安全等级保护建设方案（安全通用要求）针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁，计算设备需要通过采取动态可信验证机制来确保程序运行安全可信，从而保障业务系统安全可信。3.2.5.安全管理中心安全需求针对系统管理员、审计管理员、安全管理员的违规操作行为，需要采取角色权限控制、身份鉴别、安全审计等技术手段对其操作行为进行限定，并对其相关操作进行审计记录。针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统一监测、分析，以及集中安全策略分发、恶意代码特征库、漏洞补丁升级等安全管理问题，需要通过集中安全管

28、控和集中监测审计机制来解决。针对应用系统过度使用服务器内存、CPU等系统资源的行为，需要对应用软件进行实时的监控管理，同时对系统资源进行管控来解决。针对设备违规操作或多通路运维带来的安全风险，需要对指定管理区域及安全管控通路。3.2.6.安全管理制度需求安全管理制度涉及安全方针、总体安全策略、安全管理制度体系、评审与修订管理等方面。其安全需求如下：需要制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；需要指定专门的部门对管理活动进行制度化管理，制定相应的制度和操作流程并正式发布；需要定期对安全管理制度进行评审和修订，不断完善、健全安全制度

29、。3.2.7.安全管理机构需求安全管理机构涉及安全部门设置、人员岗位设置、人员安全管理等方面。其15 页网络安全等级保护建设方案（安全通用要求）安全需求如下：需要组建网络安全管理领小组，并设立专门的安全管理工作职能部门，设置相应的管理岗位，配备安全管理人员、审计管理员、系统管理员；需要建立审批制度，根据岗位职责开展审批和授权相关工作；需要建立协调机制，就信息安全相关的业务进行协调处理；需要建立审核和检查部门，安全人员定期的进行全面的安全检查；需要建立恰当的联络渠道，进行沟通和合作，进行事件的有效处理；需要建立审核和检查的制度，对安全策略的正确性和安全措施的合理性进行审核和检查。3.2.8.安全

30、管理人员需求需要对人员的录用进行必要的管理，确保人员录用的安全；需要对人员离岗进行有效的管理，确保人员离岗不会带来安全问题；需要对人员考核进行严格的管理，提高人员安全技能和安全意识；需要对人员进行安全意识的教育和培训，提高人员的安全意识；需要对外部人员进行严格控制，确保外部人员访问受控区域或接入网络时可控可管，并签署保密协议。3.2.9.安全建设管理需求安全建设管理涉及定级备案管理、安全方案设计、产品采购和使用、软件开发管理、安全集成建设、测试验收交付、等级测评以及服务商选择等方面。其安全需求如下：需要建立备案管理制度，对系统的定级进行备案；需要具有总体安全方案设计、方案评审的流程和管理能力；

31、产品采购符合国家有关规定，密码算法和密钥的使用需符合国家密码管理的规定；需要有专人对工程实施过程进行管理，依据工程实施方案确保安全功能的落地，实施过程需要有第三方工程监理来共同控制实施质量；16 页网络安全等级保护建设方案（安全通用要求）需要制定软件开发的相关制度和代码编写规范，并对源代码的安全性进行检测；需要建立产品采购、系统测试和验收制度，确保安全产品的满足项目安全需求和功能需求，尤其是密码应用的安全性；需要与符合国家的有关规定的服务供应商签订协议；需要每年组织开展等级测评并及时整改；需要在工程实施过程中做好文档管理工作，并在系统交付时提供完整的资料交付清单，对运维人员进行技能培训；需要提

32、供建设过程文档和运行维护文档；需要选择符合国家有关规定的服务供应商，并对服务情况进行定其评审和审核。3.2.10.安全运维管理需求安全运维管理涉及环境管理、 资产管理、系统安全运行维护管理、 配置与变更管理、安全事件处置及应急响应管理等方面。其安全需求如下：需要保证机房具有良好的运行环境；需要建立机房安全管理制度来规范物理访问、物品进出和环境安全；需要对信息资产进行分类标识、规范化管理；需要对各种软硬件设备的选型、采购、使用和保管等过程进行控制；需要各种网络设备、服务器正确使用和维护；需要采取措施对安全漏洞和隐患进行识别，并及时修补；需要对网络、操作系统、数据库系统和应用系统进行安全管理；需要

33、定期地对通信线路进行检查和维护；需要对恶意代码防范有效性进行验证；需要对运维工具的使用和远程运维的权限进行管理控制；需要硬件设备、存储介质存放环境安全，对其使用进行控制和保护；需要对支撑设施、硬件设备、存储介质进行日常维护和管理；需要对系统使用手册、维护指南等工具文档进行管理；需要规范配置管理和变更管理流程；17 页网络安全等级保护建设方案（安全通用要求）需要在事件发生后能采取积极、有效的应急策略和措施；需要建立应急响应机制来应对突发事件，做好应急预案并进行演练；需要与符合国家有关规定的外包运维服务商签订相关协议，并明确运维服务能力要求。3.3.合规差距分析依据基本要求，采取对照检查、风险评估

34、等方法，分析判断目前所采取的安全技术和管理措施与等级保护标准要求之间的差距，分析网络已发生的事件或事故，分析安全技术和安全管理方面存在的问题，形成安全技术建设和安全管理建设整改的需求。将“等级保护基本要求-8.1安全通用要求”，与客户安全现状进行差距分析。技术体系设计方案4.1.技术体系设计目标技术体系设计目标是根据建设目标和建设内容，将等级保护对象安全总体方案中要求实现的安全策略、 安全技术体系结构、 安全措施和要求落实到产品功能或物理形态上， 提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在信息安全产品采购和安全控制开发阶段具有依据。根据客户项目具体目标进行增删或调

35、整。18 页网络安全等级保护建设方案（安全通用要求）4.2.技术体系设计框架在“一个中心、三重防护”的理念的基础上，进行全方位的主动防御、安全可信、动态感知和全面审计。4.3.安全技术防护体系设计4.3.1.安全计算环境防护设计依据等级保护要求第三级中安全计算环境相关控制项，结合安全计算环境对于用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、 用户数据保密性保护、 客体安全重用、 可信验证、配置可信检查、入侵检测和恶意代码防范等技术设计要求，安全计算环境防护建设主要通过身份鉴别、安全访问控制、安全审计、入侵防范、恶意代码防护、主机可信验证、数据完整性保护、 数

36、据保密性保护、 个人信息保护、 数据备份恢复以及系统和应用自身安全控制等多种安全机制实现。具体如下：19 页网络安全等级保护建设方案（安全通用要求）.身份鉴别与访问身份鉴别与访问授权是对网络设备、 主机系统、数据库系统、 业务应用系统等身份认证及操作权限分配管理， 应对登录的用户进行身份标识和鉴别， 身份标识具有唯一性， 身份鉴别信息具有复杂度要求并定期更换。 采用双因素认证手段来加强身份鉴别，如采用动态口令、 USBkey、 PKI/CA 系统、安全堡垒机、 4A 平台系统等。借助 VPN技术能够在管理终端与主机设备之间创建加密传输通道， 实现远程接入数据安全传输服务，保证数据传输的完整性和

37、保密性。在远程管理时，可借助 VPN建立的安全隧道来对网络中传输的鉴别信息进行保护，防止鉴别信息在网络传输过程中被恶意窃听。除此之外还应限制登录尝试次数据，并配置登录连接超时自动退出等功能。.安全访问控制对用户和权限实施安全策略。 对重要服务器部署主机操作系统加固软件。主机操作系统安全加固不仅能够实现基于文件自主访问控制，对服务器上的敏感数据设置访问权限， 禁止非授权访问行为， 保护服务器资源安全； 更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记， 授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确

38、保服务器重要数据完整性不被破坏。.安全审计管理在安全计算环境防护中， 安全审计管理包括对各类用户的操作行为审计， 以及网络中重要安全事件的记录审计等内容，且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。因此，此类安全审计通常包括数据库访问审计、 Web业务访问审计，以及对所有设备、系统的综合日志审计。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生 （如部署NTP服务器），以确保审计分析的正确性。20 页网络安全等级保护建设方案（安全通用要求）除了借助安全审计设备来实现审计功能外，服务器也需要启用自身的操作系统审计功能。.入侵防范通过终端安全基线

39、管理能够对终端计算机的基础安全和使用控制实现自动化安全管理和防护，包括操作系统安全加固、关闭不必要的服务、端口、共享和来宾组等，为不同用户开放相应权限， 防止安装不必要的应用软件； 对终端外设接口、外联设备及使用的监视、 有效控制计算机的资源利用率； 实现系统密码口令安全策略管控、 系统资源文件使用访问控制、 终端计算机基础资源使用监控等安全功能。针对服务器和终端计算环境实施安全策略，通过部署入侵监测系统来检测针对内部计算环境中的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、 SQL 注入、 XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测并

40、及时报警。采用漏洞扫描技术能够对网络主机（如服务器、客户机、网络打印机） 、操作系统（如 Microsoft Windows 系列、 Sun Solaris 、HP Unix 、 IBM AIX、IRIX 、 Linux 、BSD等）、网络设备、应用系统（如 Web应用、 FTP、电子邮件等）、常用软件（如 Office 、 Symantec、 McAfee、 Chrome、 IE 等）、网站开源架构（如phpmyadmin、WordPress 等）、主流数据库（ SQLServer 、Oracle 、Sybase、DB2、MySQL等）进行系统漏洞、应用漏洞、安全配置扫描和检测，及时发现网络

41、中各类设备和系统的安全脆弱性， 提出修复和整改建议，保障设备和系统自身安全性。对于 Web应用，可采用 Web应用安全网关系统来进行CGI 漏洞扫描攻击、SQL注入攻击、 XSS攻击、 CSRF攻击防护，以及Cookie 篡改防护、网站盗链防护、网页挂马防护、 WebShell 防护等各种针对Web系统的入侵攻击行为，结合网页防篡改技术实现系统运行过程中重要程序或文件完整性检测和恢复。.恶意代码防护恶意代码是指以危害信息安全等不良意图为目的的程序或代码，它通常潜伏21 页网络安全等级保护建设方案（安全通用要求）在受害计算机系统中伺机实施破坏或窃取信息，是安全计算环境中的重大安全隐患。其主要危害

42、包括攻击系统，造成系统瘫痪或操作异常；窃取和泄露文件、配置或隐私信息；肆意占用资源，影响系统、应用或系统平台的性能。在服务器端部署防病毒系统或者恶意代码主动防御系统，恶意代码防护系统具备查杀各类病毒、木马或恶意软件的服务能力，包括文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。通过主动免疫可信验证机制及时识别病毒行为，并将其有效阻断。.主机可信验证基于可信根或可信芯片，对计算节点主机的 BIOS、引导程序、操作系统内核、应用程序加载运行等过程进行可信验证。 尤其是在关键执行环节， 需要进行动态的可信验证。 终端主机可采用基于 TPM可信芯片的安全终端， 服务器端采用服务器加固系统

43、，构建服务器可信运行环境。.数据完整性保护应采用校验技术或密码技术保证重要数据在传输、存储过程中的完整性， 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。应用开发时也应同步考虑数据完整性校验等功能。.数据保密性保护应采用密码技术保证重要数据在传输、存储过程中的保密性， 包括但不限于鉴别数据、重要业务数据和重要个人信息等。应用开发时应同步考虑采用数据保密相关的身份鉴别和数据加密等技术手段来实现。.数据备份恢复应制定数据备份策略并准备数据备份服务器，实现本地备份与恢复。 提供异地实时备份功能，并为重要业务系统实现冗余热备份，提供高可用性。22 页网络

44、安全等级保护建设方案（安全通用要求）0.个人信息保护对应用软件开发提出要求， 采集和保存必需的个人信息。同时，对个人信息的访问进行控制， 禁止非授权使用。 可采用数据防泄漏系统， 或采用数据库脱敏系统对个人敏感信息数据进行脱敏处理。1.安全配置核查IT 系统中，由于服务和软件的不正确部署和配置会造成安全配置漏洞，入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。 特别是在当前网络环境中， 无论是网络运营者， 还是网络使用者， 均面临着越来越复杂的系统平台、种类繁多的重要应用系统、数据库系统、中间件系统，很容易发生管理人员的配置操作失误造成极大的影响。 由此，通过自动化的安全配置

45、核查服务能够及时发现各类关键资产的不合理策略配置、进程服务信息和环境参数等，以便及时修复。将系统安全配置信息形成基准库，并定期进行配置核查。4.3.2.安全区域边界防护设计依据等级保护要求第三级中安全区域边界相关控制项， 结合安全区域边界对于区域边界访问控制、 区域边界包过滤、 区域边界安全审计、 区域边界完整性保护及可信验证等安全设计要求， 安全区域边界防护建设主要通过基于地址、 协议、服务端口的访问控制策略； 非法外联 / 违规接入网络、 抗 DDoS攻击、恶意代码防护、入侵防御、 APT攻击检测防护、无线安全管理以及安全审计管理等安全机制来实现区域边界的综合安全防护。具体如下：.区域边界

46、访问控制依据等级保护要求第三级中网络和通信安全相关安全要求，区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备（如下一代防火墙、 统一威胁网关等），并配置细颗粒度的基于地址、协议和端口级的访问控制策略，实现对区域边界信息内容的过滤和访问控制。23 页网络安全等级保护建设方案（安全通用要求）.违规外联 / 安全接入控制针对终端计算机非授权连接外部网络，或者未经安全检测和授权而随意接入网络中的情况，通常是采用安全准入控制和违规外联控制技术来进行检查和控制。违规外联控制能够及时监测终端计算机违规连接外网/ 互联网的终端访问行为，并及时进行阻断和报警； 安全准入控制能够对接入到内部网络中

47、的终端计算机进行安全检查， 使其必须满足一定安全基线要求、经过认证授权的情况下方能使用网络系统，保障网络区域边界的完整性保护。.抗 DDoS攻击防护作为第一道安全防线，异常流量及抗DDoS攻击防护能够通过分析网络中的网络流信息（包括NetFlow 、sFlow 等），及时发现针对网络中特定目标IP的DDoS攻击等异常流量，通过流量牵引的方式将DDoS攻击等异常数据流清洗处理，将干净的流量回注到网络环境中继续转发。.边界恶意代码防护网络区域边界的恶意代码防范工作是在关键网络节点处部署网络防病毒网/ 防垃圾邮件网关对恶意代码和垃圾邮件进行及时检测和清除，或在下一代防火墙 / 统一威胁网关中启用防病

48、毒模块 / 防垃圾邮件模块，并保持网络病毒库和垃圾邮件库的升级和更新。.区域边界入侵防护区域边界网络入侵防护主要在网络区域边界/ 重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为，进行及时检测、阻止和报警。24 页网络安全等级保护建设方案（安全通用要求）.APT攻击检测防护高级持续性威胁（ APT）通常隐蔽性很强，很难捕获。而一旦APT攻击渗透进网络内部， 建立起桥头堡， 然后在相当长一段时间内，十分隐蔽地盗取敏感数据信息或实施重大破坏行动， 潜在危害极大。 高级可持续性威胁APT攻击检测能够对此类安

49、全威胁具有细粒度检测效果，可实现对未知恶意代码检查、 嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等攻击利用行为的检测。.无线网络安全管理无线网络安全管理主要用于限制和管理无线网络的使用， 确保无线终端通过无线边界防护设备认证和授权后方能接入网络。 无线网络安全管理通常包括无线接入、无线认证、无线防火墙、 无线入侵防御、 无线加密、无线定位等技术措施。.区域边界安全审计区域边界安全审计需要对区域网络边界、重要网络节点进行用户行为和重要安全事件进行安全审计，并统一上传到安全审计管理中心。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。.

50、区域边界可信验证区域边界设备需要在运行过程中基于可信根定期对程序内存空间、操作系统内核关键内存区域执行资源进行可信验证。可采购基于可信芯片的安全网络设备，如：可信边界网关设备。4.3.3.安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项，结合通信网络安全审计、通信网络数据传输完整性/ 保密性保护、可信连接验证等安全设计要25 页网络安全等级保护建设方案（安全通用要求）求，安全通信网络防护建设主要通过网络架构设计、安全区域划分、 流量均衡控制、通信网络安全传输、通信网络安全接入，及通信网络安全审计等机制实现。.网络架构及安全区域设计.1.网络架构设计网络层架构设计应重点关

51、注以下方面：主要网络设备、安全设备（如核心交换机、核心路由器、关键节点安全设备等）的业务处理能力应能满足业务高峰期需要，保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构，以满足业务连续性需求。网络带宽应能满足业务高峰期的需求，保证各业务系统正常运行的基本带宽。划分不同的子网，按照方便管理和控制的原则为各子网、网段分配地址段。避免将重要网络区域部署在网络边界处且没有边界防护措施。.2.安全区域划分安全区域通常也称“安全域” ，通常是由安全计算环境和安全区域边界组合形成。具体而言，安全域是指同一系统内有相同的安全保护需求、相互信任，并且具有相同的访问控制和边界控制策略的子网

52、或网络。同时，安全域还可以根据其更细粒度的防护策略，进一步划分安全子域， 以便能够落实重点防护思想，形成重要资源重点保护的策略方针。安全域及安全子域划分时应重点考虑以下要素：各业务系统 / 子系统在同一个管理机构的管理控制之下，保证遵循相同的安全策略；各业务系统 / 子系统具有相似的业务类型或相似的用户群体，安全需求相近，保证遵循相同的安全策略；26 页网络安全等级保护建设方案（安全通用要求）各业务系统 / 子系统具有相同的物理位置或相似的运行环境，有利于采取统一的安全保护机制；各业务系统 / 子系统面临相似的安全威胁，需采用相似的安全控制措施来保证安全性。.3.分区分域结构图实行分区、分级区

53、域划分，配备分区分域结构图，并简要描述。.带宽流量负载管理考虑到网络架构中业务应用系统带宽分配和处理能力需要， 以及针对业务应用系统中资源控制要求， 通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速， 保障流量带宽资源的合理管控。.通信网络安全传输通信安全传输要求能够满足业务处理安全保密和完整性需求，避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。通过采用 VPN技术而形成加密传输通道， 即能够实现对敏感信息传输过程中的信道加密，确保信息在通信过程中不被监听、劫持、篡改及破译；保证通信传输中关键数据的的完整性、可用性。.远程安全接入防护针对

54、有远程安全运维需求， 或者远程安全访问需求的终端接入用户而言，应采用 VPN安全接入技术来满足远程访问或远程运维的安全通信要求，保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。.通信网络安全审计通信网络安全审计需要启用/ 设置安全审计功能，将用户行为和重要安全事27 页网络安全等级保护建设方案（安全通用要求）件进行安全审计，并统一上传到安全审计管理中心。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。.可信连接验证通信网络设备需要具备可信连接保护功能，在设备连接网络时， 对源和目标平台身份、执行程序及其关键执行环节的执行资

55、源进行可信验证。4.3.4.安全管理中心设计依据等级保护要求第三级中网络和通信安全相关安全控制项， 结合安全管理中心对系统管理、 安全管理和审计管理的设计要求， 安全管理中心建设主要通过运维审计、网络管理系统、综合安全管理平台等机制实现。通过安全堡垒机 （运维审计系统） 能够对系统管理员、 审计管理员和安全管理员进行身份鉴别、并对操作权限进行控制，记录相关操作审计日志。通过网络管理系统能够对网络设备、 网络链路、主机系统资源和运行状态进行监测和管理，实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。通过综合安全管理平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略

56、进行集中监测采集、日志范式化和过滤归并处理，来实现对网络中各类安全事件的识别、关联分析和预警通报。管理体系设计方案5.1.管理体系设计目标管理体系设计目标是根据等级保护对象当前安全管理需要和安全技术保障需要，提出与等级保护对象安全总体方案中管理部分相适应的本期安全实施内容，以保证在安全技术建设的同时，安全管理得以同步建设。根据客户项目具体目标进行增删或调整。28 页网络安全等级保护建设方案（安全通用要求）5.2.管理体系设计框架总体方针安全策略信息安全管理制度技术标准、操作规程记录、表单5.3.安全管理防护体系设计安全管理防护体系的设计， 可结合定级系统自身的特点， 并结合行业安全监管要求及相

57、关标准，综合考虑各类措施来达到基本要求提出的安全保护能力。信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。以等保安全管理基本要求为基础，结合ISO 的体系的PDCA过程和ISO27002的 14 个控制域规范，同时兼顾监管部门的相关安全规范，整合企业自身的 IT 服务管理体系和安全技术防护体系，通过体系规范化、管理流程化、测量指标化、操作工具化的手段来确保体系设计的落地。根据项目规模和实际情况，决定是否结合ISO27000 信息安全管理体系的相关内容展开来进行详细的安全管理体系设计。本方案模板仅从等保合规的基本管理要求来描述。5.3.1.安全

58、管理制度设计安全管理制度是对信息安全目标和工作原则的规定， 其表现形式是一系列安全策略体系文件。 安全管理制度是信息安全保障体系的核心， 是信息安全管理工29 页网络安全等级保护建设方案（安全通用要求）作、技术工作和运维工作的目标和依据。 具体安全管理制度可参考以下内容建设：制定一套网络安全总体方针和安全策略，明确组织机构的总体目标、范围、原则和安全框架；制定一套安全管理制度，形成安全策略、管理制度、操作规程、记录表单四级管理制度体系。指派专人或者成立专门的部门负责制度的制定，安全管理制度要正式发布，并进行有效的版本控制；应定期对制度进行评审和修订，至少每年（建议）进行一次评审和修订。5.3.

59、2.安全管理机构设计安全管理机构建设将决定整个安全管理体系的成败。成立网络安全领导小组及其办公室机构， 网络安全领导小组应由单位高层领导和有关部门的管理人员组成，负责协调、指导及管理信息安全各个方面的工作。设置网络安全管理工作的部门，并明确其职责。 根据三权分立的原则设置工作岗位，设置三员角色，必须配备专职的安全管理员。建立授权审批制度， 明确职责和要求， 重要活动逐级审批。 并对审批事项进行定期审查。建立定期协调会议制度， 协调处理网络安全问题， 加强与外部资源的沟通与合作，建立外部单位联系表，以便及时获取外部资源支持。建立定期安全检测制度，检查内容覆盖技术、管理、策略等，并对检查结果进行分

60、析，形成报告，并对结果进行通报。5.3.3.安全管理人员设计需要有专人或部门负责人员录用，需要对专业技能、身份、背景、专业资格资质进行审核， 并确定保密协议和岗位责任协议，并对被录用人员所具有的技术技能进行考核。人员离岗及时终止各种权限，回收各类访问权限、 软硬件设备， 履行离职手续，并签订离职保密协定。针对不同岗位制定不同培训计划，对安全意识、 安全基础知识、 岗位操作规30 页网络安全等级保护建设方案（安全通用要求）程等进行培训，并定期对不同岗位的人员进行技能考核，要有惩戒措施。制定外部人员访问审批流程， 访问网络申请流程， 访问结束立刻终止权限。 高危系统访问需签订保密协议。5.3.4.