XX政府等保建设规划-20150309

XX政府等保建设规划方案启明星辰目录启明星辰公司简介基于等保的建设方案综述XX政府平安建设子项分述平安设备配置清单启明星辰【企业愿景】启明星辰公司成立于1996年，是由留美博士严望佳女士创立的拥有完全自主知识产权的网络平安高科技企业。是国内最具实力的网络平安产品、可信平安管理平台、专业平安效劳与解决方案的综合提供商。【简介】【愿景】提供具有国际竞争力的自主创新的平安产品和最正确实践效劳，帮助客户全面提升其IT根底设施的平安性和生产效能，成为中国最具主导地位的企业级网络平安供给商，稳步迈入国际网络平安领导企业行列。接受两代领导人接见与首肯江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司胡锦涛总书记亲切接见启明星辰公司CEO严望佳博士国内唯一

我们接受过两任国家最高领导人的亲切接见专业的技术支撑团队成立积极防御实验室ADLAB1999建立博士后工作站20002002成立平安专家团效劳高端客户2006联合网络设备厂商涉足高端硬件2007建立专业终端平安研究团队受邀参加微软MAPP2011整合网域星云资源，进一步扩充专业队伍2009成立核心技术研究院2010建立以客户需求为导向的产品管理团队2012扩大平安关注范围，涉及应用平安技术研究能力领先启明星辰公司专利日志管理1模式匹配15漏洞攻击1ddos3网络攻击2拓扑发现2恶意代码11P2P8垃圾邮件1风险评估5木马1聚类1蠕虫2入侵检测27SQL注入4病毒检测3XSS4云计算12协议解析13垃圾邮件2异常流量3Web安全10关联分析3漏洞扫描3爬虫2TMADLAB标准制定参与了IDS、IPS、UTM、审计类平安产品的国家标准制定参与了国家信息平安等级保护标准制定受聘国家信息平安等级保护平安建设指导专家委员会......发现的CVE漏洞占亚洲2/3国家漏洞库占60%以上LMDRHZAHIDS、SOC、审计等产品市场占有率第一139项公开专利超过同类厂商专利数总和国家及行业标准制定目录启明星辰公司简介基于等保的建设方案综述XX政府平安建设子项分述平安设备配置清单公安部及省厅等保建设文件《关于信息平安等级保护工作的实施意见〔公通字[2004]66号〕》《关于开展信息平安等级保护平安建设整改工作的指导意见(公信安[2009]1429号)》《关于开展全国重要信息系统平安等级保护定级工作的通知〔公信安[2007]861号〕》《信息平安等级保护管理方法〔公通字[2007]43号)》《关于加强国家电子政务工程建设工程信息平安风险评估工作的通知〔发改高技[2008]2071号〕》《信息平安等级保护备案实施细那么〔公信安[2007]1360号〕》

3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象第一步进行系统定级业务信息安全或系统服务安全被破坏时受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级XX政府等级保护定级建议原那么上，政府行业信息平安保护等级不超三级，以下重要信息系统保护等级不低于第三级：〔1〕跨省全国联网运行的信息系统；〔2〕省级应用系统和数据中心；〔3〕内网的核心业务信息系统；〔4〕其他经过信息平安技术专家委员会评定为三级的系统。序号信息系统类别说明1网站

2面向内部管理的信息系统如：协同办公、政府资源管理等3面向公众服务的信息系统4基础支撑系统如：信息平台、机房、基础网络等序号信息系统类别建议定级1网站三级2面向内部管理的信息系统三级3面向公众服务的信息系统三级4基础支撑系统三级系统分类系统分级第二步：评估并确定防护强度等级差距评估/预测评工具扫描评估物理弱点评估组织体系平安评估业务流程平安评估渗透测试主机系统弱点评估管理运维平安评估网络配置弱点评估应用系统弱点评估代码分析调查问卷与人工访谈分等级的技术措施整合技术要求分等级的管理措施整合管理要求数据弱点评估等级保护管理要求等级保护技术要求依据等级保护测评结果，结合现状和需求，提出体系设计要求根据体系设计要求，以ISO27001和平安域理论根底制定平安整改方案，落实建设方案平安整改实施以平安域为根底进行技术体系建设以ISO27001标准进行管理体系设计第三步：规划设计方案边界接入域网络基础设施域支撑性设施域（网络管理和安全管理）计算环境域第四步进行实施整改安全管理运行中心等级保护技术体系平安组织设置和岗位职责平安教育、培训与资质认证平安策略体系设计平安策略与流程推广实施策略体系工程建设的平安管理平安风险管理与控制保护对象框架内部与第三方人员平安管理日常平安运行与维护平安体系推广与落实全程全网监控和审计平台统一监控与审计管理终端管理和防病毒集中管理平台安全域和网络访问控制终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台设备安全配置与加固网络及主机安全第三方统一安全接入平台应用加密第三方统一安全接入平台统一鉴别认证平台数据备份与冗灾统一身份认证与授权管理应用系统安全增强应用及数据安全等级保护管理体系运作体系组织体系建成后的等级保护体系第五步进行等级测评带病运行某级信息系统根本保护标准《定级指南》GB/T22240-2008标准《根本要求》GB/T22239-2008第二次测评(符合性测评)到达根本的平安保护风险分析定级整改存在缺陷项第一次测评(现状测评)测评合格测评第三次测评(监督性测评)目录启明星辰公司简介基于等保的建设方案综述XX政府网络平安建设子项分述平安设备配置清单信息系统平安等级保护物理平安网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理技术要求管理要求根本要求网络平安-结构平安根本要求：根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原那么为各子网、网段分配地址段〔G2〕防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段〔G3〕平安域划分步骤XX政府内网信息网络平安域划分XX政府外网网络平安域规划2024/3/29网络平安-访问控制根本要求：应在网络边界部署访问控制设备，启用访问控制功能〔G2〕应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级〔G2〕应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制〔G3〕网络平安-访问控制〔内网〕防火墙防火墙防火墙防火墙网络平安-访问控制〔外网〕防火墙WAF网络平安-访问控制按平安域划分的区域边界、业务流关系落实访问控制措施在网络层进行访问控制需部署防火墙：端口级的控制粒度建立用户与系统之间的访问规那么网络流量、网络连接数控制在外网互联网接入区域部署防火墙，对互联网和外网实现有效隔离：外网效劳器区部署WAF，对网站做应用层访问控制；部署需求同内网注：防火墙需过业务流分析，使用ANY-ANY，是不符合等保要求的！网络平安-平安审计根本要求：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录〔G2〕；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息〔G2〕；应能够根据记录数据进行分析，并生成审计报表〔G3〕；应对审计记录进行保护，防止受到未预期的删除、修改或覆盖等〔G3〕。网络平安-平安审计〔内网〕运维审计安管平台2024/3/29网络平安-平安审计〔外网〕上网行为管理网络平安-平安审计在内网平安管理区部署运维审计系统：实现信息系统的运维权限管理实现运维行为细粒度审计日志存储、报表分析在内网平安管理区部署平安管理平台：日志统一格式存储、监控对设备状态、平安审计等事项集中管理平安事件及时响应在外网互联网出口区部署上网行为管理：标准各种互联网行为对虽有上网行为做全面审计躲避法律风险网络平安-入侵防范根本要求：应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等〔G2〕当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警〔G3〕面对越来越广泛的基于应用层内容的攻击行为，需要采用入侵检测系统和入侵防御系统，及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。2024/3/29网络平安-入侵防范〔内网〕IPSIPSIDS2024/3/29网络平安-入侵防范〔外网〕IPS网络平安-入侵防范入侵检测系统采用旁路的形式部署在网络中；能够监视计算机系统或网络中发生的事件，寻找网络入侵行为；提供告警、全网检测；入侵防御系统串接部署、高危区域优先考虑；入侵行为进行检测，并能够阻断来自外部的数据攻击以及垃圾数据流的泛滥；网络平安-边界完整性检查根本要求：应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断〔S3〕——外来终端接入内网管理应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断〔S3〕——内部终端接入外部网络管理2024/3/29网络平安-边界完整性检查终端准入网络平安-边界完整性检查合法终端非法终端天珣Server是否更新病毒库是否安装客户端是否通过身份认证是否安装补丁弹出修复向导正常访问状态不合规状态合规监视阻断审计告警2、监视非法外联行为发生，并进行控制1、网络准入控制，确保合法终端接入网络平安-恶意代码防范根本要求：应在网络边界处对恶意代码进行检测和去除。〔G3〕应维护恶意代码库的升级和检测系统的更新。〔G3〕省政府信息系统连接外部网络的边界部署防病毒网关，在最接近病毒发生源平安边界处进行集中防护。2024/3/29网络平安-恶意代码防范防病毒网关防病毒网关UTMUTM信息系统平安等级保护物理平安网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理技术要求管理要求根本要求主机平安-入侵防范根本要求应能够检测到对重要效劳器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警〔G3〕操作系统应遵循最小安装的原那么，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁及时得到更新〔G2〕主机平安-入侵防范入侵检测系统可以起到防范针对主机的入侵行为；采用漏洞扫描系统对业务系统主机进行平安性检测；针对业务系统主机，可通过对操作系统人工加固的方式，来提升效劳器的抗攻击能力，保障效劳器的平安性：身份认证加固访问控制加固资源限制措施效劳器抗攻击加固数据库平安加固2024/3/29主机平安-入侵防范漏洞扫描效劳器加固主机平安-平安审计根本要求审计范围应覆盖到效劳器和重要客户端〔G3〕上的每个操作系统用户和数据库用户〔G2〕审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件〔G2〕应能够根据记录数据进行分析，并生成审计报表〔G3〕主机平安-平安审计运维审计系统可以满足效劳器平安审计的要求；终端平安管理系统可以对重要客户端进行审计；进程系统补丁病毒库注册表保护软件Windows本地安全策略密码强度策略更多……资产审计文件审计移动存储审计……主机平安-恶意代码防范根本要求：应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库〔G2〕主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库〔G3〕应支持防恶意代码的统一管理〔G2〕应部署网络版防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。信息系统平安等级保护物理平安网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理技术要求管理要求根本要求应用平安-平安审计根本要求平安审计功能，对应用系统重要平安事件进行审计〔G2〕审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等〔G2〕应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能〔G3〕2024/3/29应用平安-平安审计数据库审计应用平安-平安审计信息系统的核心——业务平安、数据平安采用业务审计系统三层关联：审计业务用户对业务系统的操作数据库审计：高权限用户管理策略集统方行为的表现多是对某项值的求和，例如SUM〔ITEM_COUNT〕。这种求和的形式表现多样：SELECTITEM_NAME，SUM〔ITEM_COUNT〕,SUM(ITEM_MONEY)FROMMEDINE_LISTGROUPBYITEM_NAMESELECTITEM_NAME，SUM〔ITEM_COUNT〕FROMMEDINE_LISTGROUPBYITEM_NAMEWHERE1=1;SelectUpdateSelectUpdate数据库操作被审计业务操作被审计报表分析违规行为告警信息系统平安等级保护物理平安网络平安主机平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理技术要求管理要求根本要求应用平安数据平安重要数据加密存放，管理人员分权分级；密码注意加密强度和存活周期重要业务数据须做好备份，必要时采用异地备份2024/3/29数据平安-数据加密、备份技术方案汇总图〔内网〕2024/3/29技术方案汇总图〔外网〕三级系统建设方案类别安全建设领域所需解决方案等级保护KPI等级保护KPI等级保护KPI安全域划分和域间防护安全漏洞检查三级域数据安全三级域应用安全安全事件管理安全配置管理权限控制安全加固强认证防抵赖安全审计信息资产管理安全运维、制度和流程物理安全物理安全机房、电力、防水、防火、防雷、人员进出等

★网络安全网络出口边界防护交换机、路由器、防火墙、IDS/IPS★★

★★

域间防护交换机、路由器、防火墙、IDS/IPS★

★

★★

网络状态嗅探网络嗅探设备、网络测试仪等

★

网络漏洞扫描网络漏洞扫描工具

★

网络防恶意代码杀毒、内容过滤等网关类安全设备★

★

★

网络通讯安全网络通讯加密、外联权限控制★

★

★

配置和行为审计网络审计工具、基线检查工具

★

★

主机安全（含终端）漏洞扫描主机漏洞扫描工具，配置扫描类工具

★

★

防恶意代码主机查杀工具

★

★

安全加固主机IPS/IDS，补丁、软件、安全策略统一分发

★

资源使用、性能监控主机资源和性能监控平台

★

主机集群冗余软、硬件设备、双机集群软件

★

网络准入网络准入解决方案

★

★

身份认证统一身份认证、双因子强认证等

★

★★★

配置和行为审计主机审计工具

★

数据安全数据备份数据、操作系统、配置、软件代码的归档和备份平台

★