1、XX市XX學院等級保護（三級）建設方案2017年1月目錄一、工程概況4二、需求分析41、建設背景52、建設目標5三、設計原則及依據71、設計原則72、設計依據8四、方案整體設計91、信息系統定級91、等級保護完全實施過程112、能力、措施和要求113、基本安全要求124、系統的控制類和控制項125、物理安全保護要求136、網絡安全保護要求147、主機安全保護要求148、應用安全保護要求159、數據安全與備份恢復1610、安全管理制度1711、安全管理機構1712、人員安全管理1813、系統建設管理1814、系統運維管理192、等級保護建設流程202、網絡系統現狀分析211、網絡架構222、可能

2、存在的風險233、等保三級對網絡的要求241、結構安全242、訪問控制253、安全審計254、邊界完整性檢查255、入侵防范266、惡意代碼防范267、網絡設備防護264、現狀對比與整改方案261、現狀對比272、控制點整改措施303、詳細整改方案324、設備部署方案34五、產品選型381、選型建議382、選型要求393、設備選型清單39六、公司介紹40一、工程概況信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國，信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作XX市

3、XX學院是2008年元月，經自治區人民政府批準，國家教育部備案的公辦全日制高等職業技術院校。學院以高等職業教育為主，同時兼有中等職業教育職能。學院開拓辦學思路，加大投入，改善辦學條件，拓寬就業渠道，內引外聯，確立了面向社會、服務市場，重在培養學生的創新精神和實踐能力的辦學宗旨。學院本著讓學生既成才，又成人的原則，優化人才培養模式，狠抓教育教學質量，增強學生實踐動手能力，注重對學生加強德育和行為規范教育，為企業和社會培養具有全面素質和綜合職業能力的應用型專門人才。學院雄厚的師資力量、先進的教學設備、嚴格的日常管理、完善的文體設施、優質的后勤服務以及寬敞潔凈的學生公寓和食堂，為廣大師生提供了優美、

4、舒適、理想的學習、生活和工作環境。信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關聯關系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。二、需求分析為了保障國家關鍵基礎設施和信息的安全，結

5、合我國的基本國情，制定了等級保護制度。并將等級保護制度作為國家信息安全保障工作的基本制度、基本國策，促進信息化、維護國家信息安全的根本保障。1、建設背景隨著我國學校信息化建設的逐步深入，學校教務工作對信息系統依賴的程度越來越高，教育信息化建設中大量的信息資源，成為學校成熟的業務展示和應用平臺，在未來的教育信息化規劃中占有非常重要的地位。從安全性上分析，高校業務應用和網絡系統日益復雜，外部攻擊、內部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業務應用發展需要關注的核心和重點。為貫徹落實國家信息安全等級保護制度，規范和指導全國教育信息安全等級保護工作，國家教委教辦廳函200980文件發

6、出“關于開展信息系統安全等級保護工作的通知”；教育部教育管理信息中心發布教育信息系統安全等級保護工作方案；教育部辦公廳印發關于開展教育系統信息安全等級保護工作專項檢查的通知（教辦廳函2010 80號）。XX市XX學院的網絡系統在近幾年逐步完善，作為一個現代化的教學機構網絡,除了要滿足高效的內部自動化辦公需求以外,還應對外界的通訊保證暢通。結合學校的“校務管理”、“教學科研”、“招生就業”、“綜合服務”等業務信息平臺，要求網絡必須能夠滿足數據、語音、圖像等綜合業務的傳輸要求，所以在這樣的網絡上應運用多種設備和先進技術來保證系統的正常運作和穩定的效率。同時學校的網絡系統中內部及外部的訪問量巨大，訪

7、問人員比較復雜，所以如何保證學校網絡系統中的數據安全問題尤為重要。在日新月異的現代化社會進程中，計算機網絡幾乎延伸到了世界每一個角落，它不停的改變著我們的工作生活方式和思維方式，但是，計算機信息網絡安全的脆弱性和易受攻擊性是不容忽視的。由于網絡設備、計算機操作系統、網絡協議等安全技術上的漏洞和管理體制上的不嚴密，都會使計算機網絡受到威脅。2、建設目標本次XX市XX學院業務系統等級保護安全建設的主要目標是：按照等級保護要求，結合實際業務系統，對學院核心業務系統進行充分調研及詳細分析，將學院核心業務系統系統建設成為一個及滿足業務需要，又符合等級保護三級系統要求的業務平臺。建設一套符合國家政策要求、

8、覆蓋全面、重點突出、持續運行的信息安全保障體系，達到國內一流的信息安全保障水平，支撐和保障信息系統和業務的安全穩定運行。該體系覆蓋信息系統安全所要求的各項內容，符合信息系統的業務特性和發展戰略，滿足學院信息安全要求。本方案的安全措施框架是依據“積極防御、綜合防范”的方針，以及“管理與技術并重”的原則，并結合等級保護基本要求進行設計。技術體系：網絡層面：關注安全域劃分、訪問控制、抗拒絕服務攻擊，針對區域邊界采取防火墻進行隔離，并在隔離后的各個安全區域邊界執行嚴格的訪問控制，防止非法訪問；利用漏洞管理系統、網絡安全審計等網絡安全產品，為客戶構建嚴密、專業的網絡安全保障體系。應用層面：WEB應用防火

9、墻能夠對WEB應用漏洞進行預先掃描，同時具備對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷，并結合網頁防篡改子系統，真正達到雙重層面的“網頁防篡改”效果。數據層面，數據庫將被隱藏在安全區域，同時通過專業的安全加固服務對數據庫進行安全評估和配置，對數據庫的訪問權限進行嚴格設定，最大限度保證數據庫安全。同時，利用SAN、遠程數據備份系統有效保護重要數據信息的健康度。管理體系：在安全管理體系的設計中，我們借助豐富的安全咨詢經驗和對等級保護管理要求的清晰理解，為用戶量身定做符合實際的、可操作的安全管理體系。安全服務體系：風險評估服務：評估和分析在網絡上存在的安全技術分析，分析業務運作和管理方面存

10、在的安全缺陷，調查系統現有的安全控制措施，評價用戶的業務安全風險承擔能力；安全監控服務：通過資深的安全專家對各種安全事件的日志、記錄實時監控與分析，發現各種潛在的危險，并提供及時的修補和防御措施建議；滲透測試服務：利用網絡安全掃描器、專用安全測試工具和專業的安全工程師的人工經驗對網絡中的核心服務器及重要的網絡設備進行非破壞性質的模擬黑客攻擊，目的是侵入系統并獲取機密信息并將入侵的過程和細節產生報告給用戶；應急響應服務：針對信息系統危機狀況的緊急響應、分析、解決問題的服務，當信息系統發生意外的突發安全事件時，可以提供緊急的救援措施。方案收益實施信息安全等級保護建設工作可以為高校信息化建設實現如下

11、收益： 有利于提高信息和信息系統安全建設的整體水平； 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設協調發展； 有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本； 有利于優化信息安全資源的配置，對信息系統分級實施保護，重點保障重要信息系統的安全； 有利于明確信息安全責任，加強信息安全管理； 有利于推動信息安全的發展三、設計原則及依據1、設計原則根據學院的要求和國家有關法規的要求，本系統方案設計遵循性能先進、質量可靠、經濟實用的原則，為實現學院等級保護管理奠定了基礎。l 全面保障：信息安全風險的控制需要多角度、多層次，從各個環

12、節入手，全面的保障。l 整體規劃，分步實施：對信息安全建設進行整體規劃，分步實施，逐步建立完善的信息安全體系。l 同步規劃、同步建設、同步運行：安全建設應與業務系統同步規劃、同步建設、同步運行，在任何一個環節的疏忽都可能給業務系統帶來危害。l 適度安全：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。l 內外并重：安全工作需要做到內外并重，在防范外部威脅的同時，加強規范內部人員行為和訪問控制、監控和審計能力。l 標準化管理要規范化、標準化，以保證在能源行業龐大而多層次的組織體系中有效的控制風險。l 技術與管理并重：網絡與信息安全不是單純的技術問題，需要在采用安

13、全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。2、設計依據根據學院現有情況，本次方案的設計嚴格按照現行中華人民共和國以及內蒙古自治區與行業的工程建設標準、規范的要求執行。在后期設計或實施過程中，如國家有新法規、規范頒布，應以新頒布的法規規范為準。本方案執行下列有關技術標準、規范、規程但不限于以下技術標準、規范、規程。l 計算機信息系統安全等級保護劃分準則 （GB 17859-1999）l 信息系統安全等級保護實施指南 （GB/T 25058-2010）l 信息系統安全保護等級定級指南 （GB/T 22240-2008）l 信息系統安全等級保護基

14、本要求 （GB/T 22239-2008）l 信息系統通用安全技術要求 （GB/T 20271-2006）l 信息系統等級保護安全設計技術要求 （GB/T 25070-2010）l 信息系統安全等級保護測評要求 （GB/T 28448-2012）l 信息系統安全等級保護測評過程指南 （GB/T 28449-2012）l 信息系統安全管理要求 （GB/T 20269-2006）l 信息系統安全工程管理要求 （GB/T 20282-2006）l 信息系統物理安全技術要求 （GB/T 21052-2007）l 網絡基礎安全技術要求 （GB/T 20270-2006）l 信息系統通用安全技術要求 （G

15、B/T 20271-2006）l 操作系統安全技術要求 （GB/T 20272-2006）l 數據庫管理系統安全技術要求 （GB/T 20273-2006）l 信息安全風險評估規范 （GB/T 20984-2007）l 信息安全事件管理指南 （GB/T 20985-2007）l 信息安全事件分類分級指南 （GB/Z 20986-2007）l 信息系統災難恢復規范 （GB/T 20988-2007）四、方案整體設計1、信息系統定級確定信息系統安全保護等級的流程如下：l 識別單位基本信息了解單位基本信息有助于判斷單位的職能特點，單位所在行業及單位在行業所處的地位和所用，由此判斷單位主要信息系統的宏

16、觀定位。l 識別業務種類、流程和服務應重點了解定級對象信息系統中不同業務系統提供的服務在影響履行單位職能方面具體方式和程度，影響的區域范圍、用戶人數、業務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。l 識別信息調查了解定級對象信息系統所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。l 識別網絡結構和邊界調查了解定級對象信息系統所在

17、單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統所處的單位內部網絡環境和外部環境特點，以及該信息系統的網絡安全保護與單位內部網絡環境的安全保護的關系。l 識別主要的軟硬件設備調查了解與定級對象信息系統相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統中的功能和作用。調查設備的位置和作用主要就是發現不同信息系統在設備使用方面的共用程度。l 識別用戶類型和分布調查了解各系統的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統服務中斷或系統信息被破壞可能影響的范圍和程度。l 根據信息安全等級矩陣表，形成定級結果1、

18、等級保護完全實施過程2、能力、措施和要求3、基本安全要求4、系統的控制類和控制項5、物理安全保護要求物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等方面。物理安全具體包括以下10個控制點：l 物理位置的選擇（G）l 物理訪問控制（G）l 防盜竊和防破壞（G）l 防雷擊（G)l 防火（G）l 防水和防潮（G）l 防靜電（G）l 溫濕度控制（G）l 電力供應（A）l 電磁防護（S）整改要點：6、網絡安全保護要求網絡安全主要關注的方面包括：網絡結構、網絡邊界以及網絡設備自身安全等。網絡安全具體包括以下7個控制點：l 結構安全(G)l 訪問控制(G)l 安全審計(G

19、)l 邊界完整性檢查(A)l 入侵防范(G)l 惡意代碼防范(G)l 網絡設備防護(G)。整改要點：7、主機安全保護要求主機系統安全是包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。主機安全具體包括以下7個控制點：l 身份鑒別(S)l 訪問控制(S)l 安全審計(G)l 剩余信息保護(S)l 入侵防范(G)l 惡意代碼防范(G)l 資源控制(A)整改要點：8、應用安全保護要求應用系統的安全就是保護系統的各種應用程序安全運行。包括基本應用，如：消息發送、web瀏覽等；業務應用，如：電子商務、電子政務等。應用安全具體包括以下9個控制點：l 身份鑒別（S）l 訪問控制（S

20、）l 安全審計（G）l 剩余信息保護（S）l 通信完整性（S）l 通信保密性（S）l 抗抵賴（G）l 軟件容錯（A）l 資源控制（A）整改要點：9、數據安全與備份恢復數據安全主要是保護用戶數據、系統數據、業務數據的保護。將對數據造成的損害降至最小。備份恢復也是防止數據被破壞后無法恢復的重要手段，主要包括數據備份、硬件冗余和異地實時備份。數據安全和備份恢復具體包括以下3個控制點：l 數據完整性（S）l 數據保密性（S）、l 備份和恢復（A）整改要點：10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。安全管理制度

21、具體包括以下3個控制點：l 管理制度l 制定和發布l 評審和修訂整改要點：形成信息安全管理制度體系、統一發布、定期修訂等11、安全管理機構安全管理機構主要是在單位的內部結構上建立一整套從單位最高管理層（董事會）到執行管理層以及業務運營層的管理結構來約束和保證各項安全管理措施的執行。安全管理機構具體包括以下5個控制點：l 崗位設置l 人員配備l 授權和審批l 溝通和合作l 審核和檢查整改要點：信息安全領導小組與職能部門、專職安全員、定期全面安全檢查、定期協調會議、外部溝通與合作等12、人員安全管理對人員安全的管理，主要涉及兩方面： 對內部人員的安全管理和對外部人員的安全管理。人員安全管理具體包括

22、以下5個控制點：l 人員錄用l 人員離崗l 人員考核l 安全意識教育及培訓l 外部人員訪問管理整改要點：全員保密協議、關鍵崗位人員管理、針對不同崗位的培訓計劃、外部人員訪問管理13、系統建設管理系統建設管理分別從定級、設計建設實施、驗收交付、測評等方面考慮，關注各項安全管理活動。系統建設管理具體包括以下11個控制點：l 系統定級l 安全方案設計l 產品采購和使用l 自行軟件開發l 外包軟件開發l 工程實施 l 測試驗收l 系統交付l 系統備案l 等級測評l 安全服務商選擇整改要點：系統定級的論證、總體規劃、產品選型測試、開發過程的人員控制、工程實施制度化、第三方委托測試、運行起30 天內備案、

23、每年進行1次等級測評、安全服務商的選擇14、系統運維管理系統運維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應急預案管理和安管中心等。系統運維管理具體包括以下13個控制點：l 環境管理l 資產管理l 介質管理l 設備管理、l 監控管理和安全管理中心l 網絡安全管理l 系統安全管理l 惡意代碼防范管理l 密碼管理l 變更管理l 備份與恢復管理l 安全事件處置l 應急預案管理整改要點：辦公環境保密性、資產的標識和分類管理、介質/設備/系統/網絡/密碼/備份與恢復的制度化管理、建立安全管理中心、安全事件分類分級響應、 應急預案的演練和審查。本次等保三級方案主要針對學院現有的網絡系統進行設計

24、。2、等級保護建設流程整體的安全保障體系包括技術和管理兩大部分，其中技術部分根據信息系統安全等級保護基本要求分為物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行建設；而管理部分根據信息系統安全等級保護基本要求則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。整個安全保障體系各部分既有機結合，又相互支撐。之間的關系可以理解為“構建安全管理機構，制定完善的安全管理制度及安全策略，由相關人員，利用技術工手段及相關工具，進行系統建設和運行維護。”據等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：1. 系統識別與定級：確定保護對象，通過分

25、析系統所屬類型、所屬信息類別、服務范圍以及業務對系統的依賴程度確定系統的等級。通過此步驟充分了解系統狀況，包括系統業務流程和功能模塊，以及確定系統的等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。2. 安全域設計：根據第一步的結果，通過分析系統業務流程、功能模塊，根據安全域劃分原則設計系統安全域架構。通過安全域設計將系統分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。3. 確定安全域安全要求：參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級，明確各安全域所需采用的安全指標。4. 評估現狀：根

26、據各等級的安全要求確定各等級的評估內容，根據國家相關風險評估方法，對系統各層次安全域進行有針對性的等級風險評估。并找出系統安全現狀與等級要求的差距，形成完整準確的按需防御的安全需求。通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據。5. 安全保障體系方案設計：根據安全域框架，設計系統各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統整體的安全保障體系框架；詳細安全技術設計、安全管理設計。6. 安全建設：根據方案設計內容逐步進行安全建設，滿足方案設計做要符合的安全需求，滿足等級保護相應等級的基本要求，實現按需

27、防御。7. 持續安全運維：通過安全預警、安全監控、安全加固、安全審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統的持續安全，滿足持續性按需防御的安全需求。通過如上步驟，系統可以形成整體的等級化的安全保障體系，同時根據安全技術建設和安全管理建設，保障系統整體的安全。而應該特別注意的是：等級保護不是一個項目，它應該是一個不斷循環的過程，所以通過整個安全項目、安全服務的實施，來保證用戶等級保護的建設能夠持續的運行，能夠使整個系統隨著環境的變化達到持續的安全。2、網絡系統現狀分析XX市XX學院在2013年正式搬遷到職教園區內，同時新建了整套校園網絡，后期又經過陸陸續續的升級和改造

28、，現已建成如下情況。1、網絡架構拓撲圖1、內部數據交換如上拓撲圖所示，學院有無線和有線兩套網絡提供使用，整網采用縱向三層設計，分別是核心層、匯聚層和接入層。教學和辦公網使用單獨的核心交換機S12006上聯至數據中心核心交換機N18010，避免了在接入區域和宿舍樓數據的混合。2、網絡出口整網有兩條互聯網出口鏈路，無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨立的一臺出口網關進行轉發。3、網絡安全安全設計分為對外部數據的安全保障和對本地內部數據的安全保障，現有一臺防火墻部署在出口網關與核心交換機之間，保障了對外部有害數據的防范。內部服務器區域部署了一臺服務器防護WG，下聯各服務器，上聯核心交換

29、機，保障服務器的安全性。其它設備有網絡管理系統、Portal認證系統、計費系統、日志記錄系統、用戶自助系統等。2、可能存在的風險XX學院內部的網絡比較復雜，加上無線網絡的全面覆蓋，使用人群多種多樣，因此網絡安全是XX學院校園網運行過程中所面臨的實際問題。1、來自硬件系統的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設置安全。物理安全是指由于物理設備的放置不合適或者防范不得力，使得服務器、交換機、路由器等網絡設備，纜和雙絞線等網絡線路以及UPS和電纜線等電源設備遭受意外事故或人為破壞，造成網絡不能正常運行。設置安全是指在設備上進行必要的設置，如服務器、交換機的密碼等，防止黑客取得

30、硬件設備的遠程控制權。2、來自學院網絡內部的安全威脅校園網內部也存在很大的安全隱患，由于內部用戶對網絡的結構和應用模式都比較了解，特別是在校學生，學校通常不能有效的規范和約束學生的上網行為，學生會經常的監聽或掃描學校網絡，因此來自內部的安全威脅更難應付。3、來自Internet的威脅Internet上有各種不同內容的網站，這些形形色色、良莠不齊的網絡資源不但會占用大量流量資源，造成網絡堵塞、上網速度慢等問題，而且由于校園網與Internet相連，校園網也就面臨著遭遇攻擊的風險。4、系統或軟件的漏洞目前使用的操作系統和應用軟件都存在安全漏洞，對網絡安全構成了威脅。而且現在許多從網絡上隨意下載的軟

31、件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學院的用戶群體比較大，數據量大、速度高。隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，學生通過網絡在線看電影、聽音樂，很容易造成網絡堵塞和病毒傳播。而這些節點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。3、等保三級對網絡的要求1、結構安全1. 應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；2. 應保證網絡各個部分的帶寬滿足業務高峰期需要；3. 應在業務終端與業務服務器之間進行路由控制建立安全的訪問路

32、徑；4. 應繪制與當前運行情況相符的網絡拓撲結構圖；5. 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；6. 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；7. 應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。2、訪問控制1. 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；2. 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3. 應對進出網絡的信息內容進行過濾，實現對應用層H

33、TTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；4. 應在會話處于非活躍一定時間或會話結束后終止網絡連接；5. 應限制網絡最大流量數及網絡連接數；6. 重要網段應采取技術手段防止地址欺騙；7. 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用8. 應限制具有撥號訪問權限的用戶數量3、安全審計1. 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；2. 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；3. 應能夠根據記錄數據進行分析，并生成審計報表；4. 應對審計記錄進行保護，

34、避免受到未預期的刪除、修改或覆蓋等。4、邊界完整性檢查1. 應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；2. 應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。5、入侵防范1. 應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；2. 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報告；6、惡意代碼防范1. 應在網絡邊界處對惡意代碼進行檢測和清除；2. 應維護惡意代碼庫的升級和檢測系統的更新。7、網絡

35、設備防護1. 應對登錄網絡設備的用戶進行身份鑒別；2. 應對網絡設備的管理員登錄地址進行限制；3. 網絡設備用戶的標識應唯一；4. 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；5. 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；6. 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；7. 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；8. 應實現設備特權用戶的權限分離4、現狀對比與整改方案現有網絡雖然已經在各方面比較完善，但是還達不到三級等保的要求，下面從以上7個控制點進行

36、詳細的對比，找出存在的問題并提出解決方案。1、 現狀對比主要是對已有設備的配置和使用情況進行檢查和修改。l 網絡及安全設備的配置和優化服務；l 監控分析及優化服務；l 是否進行了路由控制建立安全的訪問路徑？l 重要網段的隔離部署；l 重要網段應采取技術手段防止地址欺騙；如：MAC+IP綁定l 審計數據的梳理及分析；l 設定用戶的訪問權限并配置策略（內部和外部）；l 對登錄網絡設備的用戶進行身份鑒別和地址限制；l 對重要業務的帶寬做最小流量設置。如下表格：l 打鉤表示已滿足要求。l 未打鉤表示未滿足要求，需要完善，可通過對現有設備進行深化配置或者增添新設備來實現。結構安全1應保證主要網絡設備的業

37、務處理能力具備冗余空間，滿足業務高峰期需要；2應保證網絡各個部分的帶寬滿足業務高峰期需要；3應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；4應繪制與當前運行情況相符的網絡拓撲結構圖；5應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；6應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；7應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。訪問控制1應在網絡邊界部署訪問控制設備，啟用訪問控制功能；2應能根據會

38、話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；4應在會話處于非活躍一定時間或會話結束后終止網絡連接；5應限制網絡最大流量數及網絡連接數；6重要網段應采取技術手段防止地址欺騙；7應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；8應限制具有撥號訪問權限的用戶數量；安全審計1應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；2審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計

39、相關的信息；3應能夠根據記錄數據進行分析，并生成審計報表；4應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。邊界完整性檢查1應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；2應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。入侵防范1應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；2當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報惡意代碼防范措施。惡意代碼防范1應在網絡邊界處對惡意代碼進行檢

40、測和清除；2應維護惡意代碼庫的升級和檢測系統的更新。網絡設備防護1應對登錄網絡設備的用戶進行身份鑒別；2應對網絡設備的管理員登錄地址進行限制；3網絡設備用戶的標識應唯一；4主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；5身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；6應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；7當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；8應實現設備特權用戶的權限分離2、控制點整改措施1、結構安全主要網絡設備的處理能力以及各部分帶寬均需滿足業務高峰需

41、要；部署優化設備，削減網絡流量，更好的滿足冗余要求；合理規劃路由，在業務終端與業務服務器之間建立安全路徑；規劃重要網段，在路由交換設備上配置ACL策略進行隔離；網絡設備規劃帶寬優先級，保證在網絡發生擁堵時優先保護重要主機。必要時可部署專業流控產品進行管控。2、訪問控制網絡邊界部署如：防火墻等隔離設備；根據基本要求對隔離設備以及網絡設備等制定相應的ACL策略。包括：訪問控制粒度、用戶數量等。在配置防火墻等隔離設備的策略時要滿足相應要求，包括：端口級的控制粒度；常見應用層協議命令過濾；會話控制；流量控制；連接數控制；防地址欺騙等。3、安全審計部署網絡安全審計系統，記錄用戶網絡行為、網絡設備運行狀況

42、、網絡流量等，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。加強審計功能，具備報表生成功能，同時采用日志服務器進行審計記錄的保存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統，啟用非法外聯監控以及安全準入功能進行邊界完整性檢查。在檢測的同時要進行有效阻斷。5、入侵防范部署入侵檢測系統進行入侵行為進行檢測。包括：端口掃描、強力攻擊、木馬后門攻擊等各類攻擊行為。配置入侵檢測系統的日志模塊，記錄記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關信息，并通過一定的方式進行告警。6、惡意代碼防范在網絡邊界處部署UTM或AV、IPS網關進行惡意代碼

43、的檢測與清除，并定期升級惡意代碼庫。升級方式根據與互聯網的連接狀態采取在線或離線方式。7、網絡設備防護根據基本要求配置網絡設備自身的身份鑒別與權限控制，包括：登陸地址、標識符、口令的復雜度（3種以上字符、長度不少于8位）、失敗處理，傳輸加密等方面。對網絡設備進行安全加固。對主要網絡設備實施雙因素認證手段進身份鑒別；對設備的管理員等特權用戶進行不同權限等級的配置，實現權限分離。3、詳細整改方案1. 現有網絡配置未將重要網段與其他網段之間進行可靠的技術隔離，應采用相應的VLAN隔離技術并為特定的無線用戶配置用戶隔離。2. 現有網絡未配置對業務服務的重要次序并指定帶寬分配優先級別，需增添專業的流量控

44、制設備對有線合無線用戶進行全面管控。3. 在出口區域部署的防火墻雖然配置了相應的安全策略，但是沒有將某些應用的控制粒度細化到端口級別，需完善配置。4. 現有網絡設備沒有對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制，需增添一臺專業的行為管理設備進行完善。5. 大部分設備的會話非活躍時間設置均為默認值，應在會話處于非活躍一定時間或會話結束后終止網絡連接，需修改設備的相應數值進行完善。6. 出口網關上沒有相應的限制網絡最大流量數及網絡連接數的配置，需根據用戶群體、數量及數據量的大小計算出合理的數值并完善。7. 交換機上沒有對重要網段采

45、取技術手段防止地址欺騙，建議全網采用DHCP Snooping + IP Source guard + ARP Check方案或使用DHCP Snooping + DAI方案對地址欺騙進行有效的防范。由于現有網絡中有一臺SAM認證計費系統，所以也可采用與SAM聯動的方式SAM+Supplicant方案。8. 現有設備未配置按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問。應在交換機上添加相應配置，如采用ACL進行控制，控制粒度應為單個用戶。9. 設備未限制具有撥號訪問權限的用戶數量，應根據用戶群體及數量在出口區域進行相應的限制。10. 現有設備無法全面有效的記錄事件的日

46、期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息，上述第4條中增添的行為管理設備可對此完美支持。11. 行為管理設備應采用雙電源設計，分開兩路電源對其供電，配置高復雜度密碼并定期進行修改和檢查，與日志系統聯動，實時轉存日志信息，實現對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋。12. 現有設備無法有效的對非授權設備私自聯到內部網絡的行為進行檢查、準確定出位置并對其進行有效阻斷，應增添專業的入侵檢測設備對現有網絡進行完善。13. 現有設備無法全面有效的對內部網絡用戶私自聯到外部網絡的行為進行檢查、準確定出位置并對其進行有效阻斷。上述第4條中增添的行為管理設備可對此完美支持。1

47、4. 現有設備無法全面有效監視網絡邊界處收到的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等，上述第12條中增添的入侵檢測設備可對此完美支持。15. 現有設備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并無法全面有效的在發生嚴重入侵事件時提供惡意代碼和防范措施，上述第12條中增添的入侵檢測設備可對此完美支持。16. 現有設備無法全面有效的在在網絡邊界處對惡意代碼進行檢測和清除，上述第12條中增添的入侵檢測設備可對此完美支持。17. 安全類設備應定期維護惡意代碼庫的升級和檢測系統的更新，以免識別不到最新的惡意代碼和

48、攻擊方式。18. 現有設備未對網絡設備的管理員地址進行限制，應在所有設備上采用ACL等技應對網絡設備的管理員登錄地址進行限制，只允許管理員所在地址段的指定地址登錄設備并進行管理；19. 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別，建議采用用戶名+密碼+驗證碼等方式對設備進行登錄和管理。20. 設備的身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；21. 現有設備未配置對登錄失敗處理功能，如采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施，應完善相應配置。22. 現有大部分設備的遠程管理方式均采用Telnet和HTTP方式進行登錄管理

49、，無法防止鑒別信息在網絡傳輸過程中被竊聽，因此，所有網絡設備都應采用SSH和HTTPS的方式對設備進行登錄和管理。23. 當前設備未配置對管理員的權限劃分，當存在多個不同等級的管理員時，應實現設備特權用戶的權限分離，需完善設備配置。24. 當前在服務器區域的防護只部署了一臺WG，但是服務器區域內的數據庫得不到有效的安全保障，應從數據完整性和保密性進行防護，所以需要增添專業的數據庫審計設備對數據庫和網絡中傳輸的數據進行全面檢測和審計。4、設備部署方案上述整改措施中包含服務類與產品類兩種解決方式，其中產品類措施中包含3臺設備，分別是行為管理、入侵檢測和漏洞掃描。1、行為管理設備1、部署位置為了保證

50、有效的檢測和感知用戶行為并阻斷非法數據，行為管理設備應部署在核心交換機與出口網關中間，如下圖所示： 拓撲圖2、設備選型建議由于設備部署在整網的出口區域，除了滿足等保所要求的功能，對性能也有一定的要求，設備的交換能力和轉發能力必須滿足上聯兩條出口鏈路總帶寬的兩倍以上。可對數據進行2-7層的全面檢查和分析，深度識別、管控和審計數百種IM聊天軟件、P2P下載軟件、炒股軟件、網絡游戲應用、流媒體在線視頻應用等常見應用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術提供強大的帶寬管理特性，配合創新的社交網絡行為精細化管理功能、清晰易管理日志等功能。建議采用：RG-UAC2、入侵檢測設備1、部署位置為了有效檢測整網中傳輸的數據，入侵檢測設備應部署在網絡核心層，如下圖所