网络安全等级保护（第三级）网络安全设计全套

网络安全等级保护（第三级）网络安全设计物理和环境安全建设机房场地的选择机房场地物理位置要远离人造和自然灾害多发的地方，例如：加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等。机房场所应具备防震、防风、防雨等能力；机房不应建在建筑物的高层和地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。机房出入控制设置电子门禁系统，进入机房的人员进行身份鉴别并登记在案；设置视频监控系统，监控并限制进入机房人员的活动；对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域。相应采取的措施有：监控设备；电子门禁系统。防盗窃和防破坏主要设备存放位置物理受控；主要设备和部件固定，并加上不易拆除标记；通信线路隐藏铺设；存储介质分类标记和存储；安装防盗报警设备。相应采取的措施有：防盗报警系统。防雷击购置防雷设备，进行防雷击措施的保护；设置交流电接地线；防雷保安器，防止感应雷。相应采取的措施有：防雷保安器或过压保护装置。防火设置火灾自动消防系统，自动检测火情、自动报警、自动灭火；机房场所建筑材料应当采用耐火材料；机房采取防火隔离设施，将重要设备和其他设备隔离开。相应采取的措施有：自动灭火报警系统；耐火材料、防火隔离设施。防水和防潮在水管安装时，不要使得水管穿过屋顶和活动地板下，以免水管破裂或者爆裂造成水灾；对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；采取必要的措施防止雨水通过屋顶和墙壁渗透，造成水灾；采取措施防止室内水蒸气结露和地下积水的转移与渗透。相应采取的措施有：安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。防静电在机房场所设置必要的接地等防静电措施；可以采用防静电地板或地毯。相应采取的措施有：采用静电消除器、佩戴防静电手环等。温湿度控制购置恒温恒湿设备，保持机房的温湿度，保证设备运行在允许温湿度环境下，防止设备在非正常的情况下运行造成的安全隐患。相应采取的措施有：空调；恒湿空调设备。电力供应计算机系统供电应与其他供电分开；设置稳压和过压防护设备；提供短期电力供应系统，如UPS系统；电力供应系统配置冗余或者并行的电力电缆。相应采取的措施有：稳压装置、过压保护器；UPS；备用发电机。电磁防护交流电一定要接地线，防止外界电磁干扰和寄生设备耦合；电力电缆与通信线缆要实行分离部署，防止电磁干扰；重要设备和磁介质实行电子屏蔽。相应采取措施有：绝缘地板、防电磁干扰设备、关键设备实施电磁屏蔽。安全技术体系设计方案根据等级保护安全技术要求第三级中三重防护的思想和控制要求，安全技术体系建设包括安全计算环境防护建设、安全区域边界防护建设、安全通信网络防护建设，以及安全管理中心建设等几个方面。安全计算环境防护设计依据等级保护要求第三级中设备和计算安全、应用和数据安全等相关安全控制项，结合安全计算环境对于用户身份鉴别、自主与标记访问控制、系统安全审计、恶意代码防护、安全接入连接、安全配置检查等技术设计要求，安全计算环境防护建设主要通过身份鉴别与权限管理、安全通信传输、主机安全加固、终端安全基线、入侵监测/入侵防御、漏洞扫描、恶意代码防护、Web应用攻击防护、网络管理监控、安全配置核查、安全审计，重要节点设备冗余备份，以及系统和应用自身安全控制等多种安全机制实现。具体如下：身份鉴别与访问身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、安全堡垒机、4A平台系统等。安全通信传输通过VPN技术能够在管理终端与主机设备之间创建加密传输通道，实现远程接入数据安全传输服务，保证数据传输的完整性和保密性。通过将VPN安全系统与安全堡垒机系统相互关联和联动，能够实现网络设备、主机系统、数据库等重要设备的远程安全管理，防止鉴别信息在网络传输过程中被恶意窃听。主机安全加固主机操作系统安全加固不仅能够实现基于文件自主访问控制，对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器重要数据完整性不被破坏。终端安全基线通过终端安全基线管理能够对终端计算机的基础安全和使用控制实现自动化安全管理和防护，包括操作系统安全加固、关闭不必要的服务、端口、共享和来宾组等，为不同用户开放相应权限，防止安装不必要的应用软件；对终端外设接口、外联设备及使用的监视、有效控制计算机的资源利用率；实现系统密码口令安全策略管控、系统资源文件使用访问控制、终端计算机基础资源使用监控等安全功能。入侵检测与防御网络入侵监测/入侵防御主要用于检测和阻止针对内部计算环境中的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、SQL注入、XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测和主动阻断，以及对网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）、网络流量异常等行为进行及时检测和报警。漏洞检测扫描漏洞扫描技术能够对网络主机（如服务器、客户机、网络打印机）、操作系统（如MicrosoftWindows系列、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等）、网络设备、应用系统（如Web应用、FTP、电子邮件等）、常用软件（如Office、Symantec、McAfee、Chrome、IE等）、网站开源架构（如phpmyadmin、WordPress等）、主流数据库（SQLServer、Oracle、Sybase、DB2、MySQL等）进行系统漏洞、应用漏洞、安全配置扫描和检测，及时发现网络中各类设备和系统的安全脆弱性，提出修复和整改建议，保障设备和系统自身安全性。恶意代码防护恶意代码是指以危害信息安全等不良意图为目的的程序或代码，它通常潜伏在受害计算机系统中伺机实施破坏或窃取信息，是安全计算环境中的重大安全隐患。其主要危害包括攻击系统，造成系统瘫痪或操作异常；窃取和泄露文件、配置或隐私信息；肆意占用资源，影响系统、应用或系统平台的性能。恶意代码防护能够具备查杀各类病毒、木马或恶意软件的服务能力，包括文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。Web应用安全防护Web安全应用保护能够防止包括CGI漏洞扫描攻击、SQL注入攻击、XSS攻击、CSRF攻击防护，以及Cookie篡改防护、网站盗链防护、网页挂马防护、WebShell防护等各种针对Web系统的入侵攻击行为，结合网页防篡改技术实现系统运行过程中重要程序或文件完整性检测和恢复。主机运行监控针对重要节点的远程运行资源监视，包括监视CPU、硬盘、内存等资源使用情况，以及业务应用系统运行环境资源状况可以通过网络监控系统进行远程在线实时监测，实现重要节点服务水平降低到预先规定的阈值时进行报警，保障业务应用运行环境的可靠性和可用性。安全配置核查在IT系统中，由于服务和软件的不正确部署和配置会造成安全配置漏洞，入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。特别是在当前网络环境中，无论是网络运营者，还是网络使用者，均面临着越来越复杂的系统平台、种类繁多的重要应用系统、数据库系统、中间件系统，很容易发生管理人员的配置操作失误造成极大的影响。由此，通过自动化的安全配置核查服务能够及时发现各类关键资产的不合理策略配置、进程服务信息和环境参数等，以便及时修复。安全审计管理在安全计算环境防护中，安全审计管理包括对各类用户的操作行为审计，以及网络中重要安全事件的记录审计等内容，且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。因此，此类安全审计通常包括日常运维安全审计、数据库访问审计、Web业务访问审计，以及对所有设备、系统的综合日志审计。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。安全区域边界防护设计依据等级保护要求第三级中网络和通信安全相关控制项，结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等安全设计要求，安全区域边界防护建设主要通过网络架构设计、安全区域划分，基于地址、协议、服务端口的访问控制策略；通过安全准入控制、终端安全管理、流量均衡控制、抗DDoS攻击、恶意代码防护、入侵监测/入侵防御、APT攻击检测防护、非法外联/违规接入网络、无线安全管理，以及安全审计管理等安全机制来实现区域边界的综合安全防护。具体如下：网络架构及安全区域设计1、

网络架构设计网络层架构设计应重点关注以下方面：·主要网络设备、安全设备（如核心交换机、核心路由器、关键节点安全设备等）的业务处理能力应能满足业务高峰期需要，保证各项业务运行流畅。如主干网络需要采用包括设备冗余、链路冗余的网络架构，以满足业务连续性需求。·网络带宽应能满足业务高峰期的需求，保证各业务系统正常运行的基本带宽。·划分不同的子网，按照方便管理和控制的原则为各子网、网段分配地址段。·避免将重要网络区域部署在网络边界处且没有边界防护措施。2、

安全区域划分安全区域通常也称"安全域"，通常是由安全计算环境和安全区域边界组合形成。具体而言，安全域是指同一系统内有相同的安全保护需求、相互信任，并且具有相同的访问控制和边界控制策略的子网或网络。同时，安全域还可以根据其更细粒度的防护策略，进一步划分安全子域，以便能够落实重点防护思想，形成重要资源重点保护的策略方针。安全域及安全子域划分时应重点考虑以下要素：·各业务系统/子系统在同一个管理机构的管理控制之下，保证遵循相同的安全策略；·各业务系统/子系统具有相似的业务类型或相似的用户群体，安全需求相近，保证遵循相同的安全策略；·各业务系统/子系统具有相同的物理位置或相似的运行环境，有利于采取统一的安全保护机制；·各业务系统/子系统面临相似的安全威胁，需采用相似的安全控制措施来保证安全性。区域边界访问控制依据等级保护要求第三级中网络和通信安全相关安全要求，区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备（如下一代防火墙、统一威胁网关等），并配置细颗粒度的基于地址、协议和端口级的访问控制策略，实现对区域边界信息内容的过滤和访问控制。边界恶意代码防护网络区域边界的恶意代码防范工作是在关键网络节点处部署网络防病毒网关/防垃圾邮件网关对恶意代码和垃圾邮件进行及时检测和清除，或在下一代防火墙/统一威胁网关中启用防病毒模块/防垃圾邮件模块，并保持网络病毒库和垃圾邮件库的升级和更新。带宽流量负载管理考虑到网络架构中业务应用系统带宽分配和处理能力需要，以及针对业务应用系统中资源控制要求，通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速，保障流量带宽资源的合理管控。抗DDoS攻击防护作为第一道安全防线，异常流量及抗DDoS攻击防护能够通过分析网络中的网络流信息（包括NetFlow、sFlow等），及时发现针对网络中特定目标IP的DDoS攻击等异常流量，通过流量牵引的方式将DDoS攻击等异常数据流清洗处理，将干净的流量回注到网络环境中继续转发。区域边界入侵防护区域边界网络入侵防护主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为，进行及时检测、阻止和报警。APT攻击检测防护高级持续性威胁（APT）通常隐蔽性很强，很难捕获。而一旦APT攻击渗透进网络内部，建立起桥头堡，然后在相当长一段时间内，十分隐蔽地盗取敏感数据信息或实施重大破坏行动，潜在危害极大。高级可持续性威胁APT攻击检测能够对此类安全威胁具有细粒度检测效果，可实现对未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等攻击利用行为的检测。违规外联/安全接入控制针对终端计算机非授权连接外部网络，或者未经安全检测和授权而随意接入网络中的情况，通常是采用安全准入控制和违规外联控制技术来进行检查和控制。违规外联控制能够及时监测终端计算机违规连接外网/互联网的终端访问行为，并及时进行阻断和报警；安全准入控制能够对接入到内部网络中的终端计算机进行安全检查，使其必须满足一定安全基线要求、经过认证授权的情况下方能使用网络系统，保障网络区域边界的完整性保护。区域边界安全审计区域边界安全审计需要对区域网络边界、重要网络节点进行用户行为和重要安全事件进行安全审计，并统一上传到安全审计管理中心。同时，审计记录产生时的时间应由系统范围内唯一确定的时钟产生（如部署NTP服务器），以确保审计分析的正确性。安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项，结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求，安全通信网络防护建设主要通过通信网络安全传输、通信网络安全接入，及通信网络安全审计等机制实现。通信网络安全传输通信通信安全传输要求能够满足业务处理安全保密和完整性需求，避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。通过采用VPN技术而形成