数字化项目等保测评整改方案（技术方案）

等保测评整改技术方案（技术方案）投标方案投标人名称：****有限责任公司地址：****号二楼联系人：****报告说明声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据。目录一、方案概述 31项目建设背景 31.1法律依据 31.2政策依据 32项目建设目标及内容 42.1建设目标 52.2建设内容 53方案设计依据及网络安全等级保护要求 5二、安全整改网络拓扑图 61现状及整改建议 1.1安全物理环境 1.2安全通信网络 1.3安全区域边界 1.4安全计算环境 1.5安全管理中心 282设备整改采购清单 三、安全加固参考 1项目建设背景1.1法律依据1.2政策依据(2005〕1431号)通知》(发改高技〔2008)2544号〕(公信安(2010)303号)2项目建设目标及内容方案根据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》并参照GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》的通用设计技术要求。《信息技术安全技术信息安全控制实用规则》(IS0/IEC27002:《信息安全技术信息安全风险评估规范》(GB/T20984-2007)《信息安全技术信息系统安全等级保护定级指南》(GB/T22240一《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010)《信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)张家口高新盛华热力有限公司收费生产系统网络安全改造安全堆一体机版拓扑图***单位网络安全整改设备系统预算(收费三级、控制二级)产品1收费专线防火墙H3CF1000-式设备，8个千兆电口+2对Combo口性能：七层吞吐量800Mbps,三层吞吐量3.5Gbps;并发连接数80万，每秒级授权，15个SSLVPN用户授权，链1台2机H3CA2000-硬件：1U高机架式硬件架构，8GB内网千兆电口，支持1个接口扩展槽1台性能：最大图形并发连接数50个，最配套授权：默认可管理资产50个，5*10*NBD备件服务。3日志审计H3CCSAP-SA-日志处理速率2000EPS,日志容量6亿条。5*10*NBD备件服务1台4数据库审计H3CD2000-电源，8G内存，2T硬盘，支持2个管理接口，业务接口不少于4个以太网展槽位，具备至少8个及以太网千兆性能：SQL峰值处理能力不低于1.5万条，最大吞吐量不低于1000Mbps,双向审计数据库流量不低于100Mbps。配套授权：默认支持审计1个数据库实例，每业务挂载数据库数量不限5*10*NBD备件服务。1台5漏洞扫描H3CSysScan-务电口，支持1个接口扩展槽位，性能：系统、数据库、基线扫描IP总并发120个，系统、数据库、基线扫描任务总并发6个，Web扫描并发1个，口令猜解并发任务数1个配套授权：3年漏洞库(含操作系统、5*10*NBD备件服务1台防水和防潮b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材采用材料均为不符合等级的建筑材料进行装修，禁止放置杂物(纸箱子等易燃物)是否经访谈，机房未部署漏水检测行。不符合建议机房部署漏水检测上静电的产生，例如采用静电消除器、佩戴防静电手环等。经检查，机房未环或静电消除不符合建议机房配备静电消除器、防静电手环等静电度的变化在设备运行所允许的范围之内。经检查，机房部湿度进行自动不符合建议机房配备精密空调控制在18℃~27℃,湿度应控制在35%～65%。是否a)电源线和通信线缆应隔离铺设，避免互相干经检查，电源线不符合建议机房电源线和通信是否不符合建议为机房关键设备和网络架构e)应提供通网络设备和关键计算设备的硬件冗余，保证系统的可用取冗余部署，安全设备未采用硬件冗余部署，网络设备和服务器采用建议通信线路采取冗余部署，重要网络设备和关键计算设备采□是口否1)经检查，内部网络通讯未部署数据校验或密建议采用IPV6通讯加□是口否传输信过程中数据码技术设备，未采用IPV6通讯加密协议进行数据传输，无法保证数据传输过程中的保密性。2)数据在系统外部通讯时采用了HTTPS等加密技术，可以保证系统外部用户与系统交互输，或部署加密产品实现内部通信加密传可信验证备的系统引导用程序等进行在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行证结果形成审计记录送至安全管理中心。经检查，网络内未部署于可信根实现系统、应用等程序的可信验证。合证设备，基于可信根实现系统、应用等程□是□否控制点范c)应采取技术进行分析，实现对网络攻击特别APT攻击/网络分析系统/网络回溯系统/威胁情报检测系统，不能实现对网络攻击特别是新型网络攻击行为的不符合系统，实现对网络攻击特别是新型网是否范d)当检测到攻合建议核心业务区和侵防御系统或者防鉴别a)应对登录的标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；1)经检查，用户在登录网络设备时采取用户名+口令的方式；2)口令长机制，设备用户列表内身份标识唯一，无相同用建议配置口令符合密码策略：8位以上由大小写字母、数字和符号组成，并至少每三个月进行更换一是否鉴别失败处理功能，应配置并启用结法登录次数和当登录连接超时自动退出等相关措施；configuration,显示不具合建议网络设备配置登录失败处理功能和超是否鉴别d)应采用口令、密码技术、生物技术等两种的鉴别技术对用户进行身份鉴别，且其中一种实现。经检查，设备未采用两种合建议系统中用户中同时采用用户名+密码+动态口令或其他两种术进行身份鉴别，防是否访问删除默认账户，修改默认账户的默认口令；备已修改默认帐户的默认建议重命名系统默认帐户，修改帐户默认是否访问用户所需的最小用户的权限分离；管理员admin,但未建立安全管理员和审计员用合建议建立三权分离用是否c)应对审计记录进行保护，定到未预期的删合建议部署日志审计系统，对日志信息进行是否除、修改或覆盖防范c)应通过设定终端接入方式或网络地址范围对通过网络进行管行限制；经检查，未配置访问控制合建议网络设备、安全设备配置访问控制策略，限制终端接入方式和地址范围，防止未授权人员访问设是否e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；合建议部署漏洞扫描设备，至少每月进行一次漏洞扫描，及时修补设备高危漏洞。是否a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用信验证，在检测到其可信性受到警，并将验证结果形成审计记录送至安全管理中合建议部署可信验证设是否数据的本地数据备份与恢复功经访谈，网络设备未定期合建议网络设备、安全备份，备份至本地，防止出现数据出错导致无法进行恢复数据的风险。是否c)应提供重要数据处理系统的热冗余，保证系统的高可用性。合建议核心交换机采用热冗余部署，保证系统的高可用性。是否鉴别应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；(高风险)1)经检查，在运行中输入rundl132用户名和密码”;已为不同人员设置了不同的用户，用户名具有唯一性；2)检查密码复杂杂性要求(已启用);2.密码长度(0天);4.密码天);5.密码强制的密码复杂度策略且未定期更换；期(用户1)建议执行“Win+R->运行->secpol.msc”打开本地安全策略，选择“帐户策略->密码策略”,在“帐户策略->密码策略”设置密码必须密码长度最小值为8个字符，密码最短使用期限为2天，密码最长使用期限为90天，强制执行密码历史为5个记住的密码，用可还原的加密来储存密码为已禁用；是否鉴别处理功能，可采取结束会话、限制非法登录次数和自动退出等措(高风险)1)经检查，系统登录失败处理参数：1.账户锁定次无效登录);3.合全策略，选择“帐户策略->账户锁定策略”,在“帐户策略->账户锁定策略”设分钟之后是否用);2)未设置屏幕保护功能并设b)账户锁定时间：30分钟c)账户锁定阈值：5次无效建议设置屏幕保护功能并设置超时锁定时间为10分钟(勾选在恢复时显示登录屏鉴别当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；1)经检查，【计协议为加密传输，可以防止鉴别信息在网络传输过程中被窃听，但未限制默认远程端口号。建议运维人员经过测试后，对系统的默认远程端口进行修改，防止系统的默认端口被不法分子利用从而入侵信是否访问修改默认账户的默认口令；1)经检查，未重命名administrator用合建议重命名系统默认用，重新建立系统管理员用户，防止默认用户被不法分是否访问用户所需的最小1)经检查，系统管理用户分配所需的最小权限，但未建立审计员和安全员用户，无法实现管理用户的权限分离。建议建立专门审计员用户，对审计日志进行审计，为不同用户建立不同的用户名；建立安全员用户，实现管理是否审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审1)经检查[开始]->[控制面板]具]->[本地安全策略]->[本地策略]->[审核策略],服务器仅开启审核登录和审核账户登录事件策略，未开启全部的合略，对系统的操作事件进行审计，使审计范围覆盖到每是否c)应对审计记录进行保护，定1)经检查，审计建议建立审计员用户，对审是否到未预期的删除、修改或覆盖保护，未建立专门的审计员账户进行管理，审计记录会的日志信息。日志审计系统，对审计日志进行审计，防止审计日志受到未预期的删除、修改或覆防范要的系统服务、默认共享和高危1)经检查，未关闭系统默认共享；[控制面板]->[管务],未关闭打印服务、server等系统不必要的服务；3)经检查，操作系统未关闭不必要的端口：135,139,445端口。合认共享；建议操作系统开启防火墙策略，关闭不必要的高危端口：135,137-139,445等端口。是否防范e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；经检查，系统未定期进行漏洞扫描，未对漏扫报告中的高风险问题进行及时的修复。合建议部署漏扫设备，定期(建议每个月)对操作系统进行漏洞扫描，及时对操作系统的状态进行评估，防止系统漏洞被利用导致出现入是否防范f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵经检查，未安装主机入侵检测系统，件时提供报警功能。高危端口：135,137-139,445等端口进行限制；建议部署主机入侵检测软件并设是否a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到警，并将验证结果形成审计记录1)经检查，未实合计算设备的引导程序、应用程序、重要参数等进行可信是否送至安全管理中据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信1)经检查，未采用密码技术保证鉴合建议windows系统采用密码技术来保证鉴别数据、重要业务数据和重要个人信息在是否据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信用密码技术进行管理，无法保证数据在存储过程中的保密性。合建议windows系统采用密码技术来保证鉴别数据、重要业务数据和重要个人信息在是否数据的本地数据备份与恢复功实现备份数据的恢复。据进行备份，并进行恢复测试，保证备份数据的有效性和可用性，防止备份数据出现问题后无法对重要数据进是否份至备份场地：1)经检查，未提供异地数据备份功能，并进行实时备份。合建议部署异地机房或其他异地备份机制，利用通用网络实时备份重要数据到指定地点，防止本地机房出现问题是否a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全1)经检查，查看管理工具-本地安项，不显示上次的用户名[未启用],系统鉴别信息所在的存储空间被释放得到完全清除。合全策略，选择“本地安全策略->安全设置->本地策略->安全选项”将[交互式登录：已启用。是否感数据的存储空间被释放或重新1)经检查，查看[本地安全策略]->[本地策合是否分配前得到完全略]->[安全选项]->[关机：清除虚拟内存页面文内重要信息资源所全选项”将[关机：清除虚拟内存页面文件]设置为已启身份鉴别d)当对服务器进时，应采取必鉴别信息在网络传输过程中被窃听；1)经检查，查看器>右键属性>服务器属性>连接，已勾选“允许远程连接到此服务器”,可以对数据库进行远程管理；2)经检查，查Manager->SqlServer网络配置->MSSQLSERVER的书”标签页未发现存在志”标签页中强行加密书，对网络传输过程中建议开启远程登录加密功打开开始菜单-Microsoft“是”。是否访问控制a)应对登录的用户分配账户和权限1)经检查，数据库系统除sa账户外，其余用户因业务需要具有sysadmin角色，但未建立安全管理员建议在数据库系统中设置审是否访问控制账户的默认口1)经检查，系统存在默认sa账户拥有最高权限，未建议重命名sa账户，防止是否安全审计审计功能，审用户，对重要的用户行为和进行审计；1)经检查，数据库仅开启“仅限失败的登功能但审计范围覆盖到建议数据库开启全部的审核策略，对系统的成功和失败的事件进行审计，保证审计范围覆盖到每个操作系统用是否安全审计c)应对审计记定期备份，避免受到未预期的删除、修改或覆盖等；未部署数据库审计系统，无法保证审计日志合对数据库日志进行收集并保是否防范e)应能发现可能存在的已知补漏洞；经检查，数据库系统未部署数据库漏洞扫描设合建议对数据库补丁进行及时的更新，防止数据库的漏洞过多导致数据库受到外来者的入侵；建议部署数据库防火墙，对数据库的虚拟补丁进行更新，在出现违规操作是否可信a)可基于可信的系统引导程序等进行可信证，在检测到其可信性受到警，并将验证结果形成审计1)经检查，未部署可信合建议部署可信验证产品对系统的引导程序、应用程序等数据完整性术保证重要数包括但不限于鉴别数据、重要业务数据、个人信息等；1)经检查，windows系行远程管理，可以保证鉴别数据在传输过程中未采用校验码技术或密未采取措施对数据完整中的数据完整性进行校验。是否数据备份与恢复份，不具有数据恢复功能，但未进行数据的恢复测试，防止备份数据出现是否实时备份功能，利用通信网络将重要数备份场地；1)经检查，未提供异地数据备份功能，并进行合建议部署异地机房或其他异实时备份重要数据到指定地点，防止本地机房出现问题是否控制点的身份鉴别功能；2)已经对系统管理员的操作权限进行限制，仅允许其拥有业务所需的最小无法对系统中所有设备系统管理员的审计管理管理员对审计记并根据分析结果略对审计记录进行存储、管理和查询等。1)经检查，网络、安全设备和服务器员账户；2)通过审理，包括根据安全审计策略对审计记和查询等。建议主机、安全设备、网络设备配置审计管理员用户；建议部署日志审计系统，对日志进行收集并保晷安全管理a)应对安全管理员进行身份鉴经检查，网络、安建立安全管理员账管理员的操作记不符合建议网络、安全设备、服务器建立安全管理员账户；部署堡是否控c)应对网络链路、安全设备、网行集中监测；系统，无法实现对系统中网络链路、安全设备、服务器的运行状态进行集中管理。不符合是否e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中1)未部署统一策略管理平台；2)服务器安装360网神网对防恶意代码和补建议部署统一策略管理平台，实现系统中网络、安全设备和服务器等策略的统一管是否f)应能对网络中的各类安全事件进行进行识别、事件的识别、报警和分析不符合APT攻击系统，实现对全网安全事件的识是类别1网络设备1行热备或堆叠部署，提高业务高峰期的网络可用率和容错2安全设备回溯系统/威胁情报检测系统1析系统/网络回溯系统/威胁情报检测系统，实现对网络攻击特别是新型网络攻击行为的分防病毒网关或防火墙开启防病毒模块1意代码进行防范。1建议网络内部署可信验证设备，基于可信根实现系统、应用防火墙开启IPS模块N墙开启IPS模块，对安全事件的入侵行为进行防御和报警。日志审计系统1建议部署日志审计系统，对设备日志进行收集和存储至少61数据库日志进行收集和存储至少6个月时间。11建议部署双因素认证设备3安全设备IT运维管理系统1网络设备、安全设备和服务器4安全运维1建议部署漏扫装置，定期对内网应用和服务器进行漏洞扫描并修复漏洞。5安全防护件1实现敏感标记、剩余信息保护、6配置加固网络/安全设备117管理体系安全管理制度1安全管理机构1111设备(路由器、交换机、安全设备等)通信线路和数据处理系统(服务<身份鉴别>进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。已禁用已启用密码最短使用期限密码最长使用期限强制执行密码历史用可还原的加密来储存密码已禁用已禁用如下策略：复位账户锁定计数器不适用30分钟账户锁定时间不适用30分钟账户锁定阈值05次无效登录1)打开注册表2)定位的注册表HKEY_LOCAL_MACHINE\SYSTEM\Current3)修改右边Po