XX市XX學院等級保護（三級）建設方案2017年1月目錄一、工程概況 4二、需求分析 41、建設背景 52、建設目標 5三、設計原則及依據(jù) 71、設計原則 72、設計依據(jù) 8四、方案整體設計 91、信息系統(tǒng)定級 91、等級保護完全實施過程 112、能力、措施和要求 113、基本安全要求 124、系統(tǒng)的控制類和控制項 125、物理安全保護要求 136、網(wǎng)絡安全保護要求 147、主機安全保護要求 148、應用安全保護要求 159、數(shù)據(jù)安全與備份恢復 1610、安全管理制度 1711、安全管理機構 1712、人員安全管理 1813、系統(tǒng)建設管理 1814、系統(tǒng)運維管理 192、等級保護建設流程 202、網(wǎng)絡系統(tǒng)現(xiàn)狀分析 211、網(wǎng)絡架構 222、可能存在的風險 233、等保三級對網(wǎng)絡的要求 241、結構安全 242、訪問控制 253、安全審計 254、邊界完整性檢查 255、入侵防范 266、惡意代碼防范 267、網(wǎng)絡設備防護 264、現(xiàn)狀對比與整改方案 261、 現(xiàn)狀對比 272、控制點整改措施 303、詳細整改方案 324、設備部署方案 34五、產(chǎn)品選型 381、選型建議 382、選型要求 393、設備選型清單 39六、公司介紹 40一、工程概況信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作XX市XX學院是2008年元月，經(jīng)自治區(qū)人民政府批準，國家教育部備案的公辦全日制高等職業(yè)技術院校。學院以高等職業(yè)教育為主，同時兼有中等職業(yè)教育職能。學院開拓辦學思路，加大投入，改善辦學條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)，確立了面向社會、服務市場，重在培養(yǎng)學生的創(chuàng)新精神和實踐能力的辦學宗旨。學院本著讓學生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學質(zhì)量，增強學生實踐動手能力，注重對學生加強德育和行為規(guī)范教育，為企業(yè)和社會培養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應用型專門人才。學院雄厚的師資力量、先進的教學設備、嚴格的日常管理、完善的文體設施、優(yōu)質(zhì)的后勤服務以及寬敞潔凈的學生公寓和食堂，為廣大師生提供了優(yōu)美、舒適、理想的學習、生活和工作環(huán)境。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關聯(lián)關系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結構以及安全控制間、層面間和區(qū)域間的相互關聯(lián)關系密切相關。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎上，還要包括系統(tǒng)整體測評。二、需求分析為了保障國家關鍵基礎設施和信息的安全，結合我國的基本國情，制定了等級保護制度。并將等級保護制度作為國家信息安全保障工作的基本制度、基本國策，促進信息化、維護國家信息安全的根本保障。1、建設背景隨著我國學校信息化建設的逐步深入，學校教務工作對信息系統(tǒng)依賴的程度越來越高，教育信息化建設中大量的信息資源，成為學校成熟的業(yè)務展示和應用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務應用和網(wǎng)絡系統(tǒng)日益復雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務應用發(fā)展需要關注的核心和重點。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國教育信息安全等級保護工作，國家教委教辦廳函[2009]80文件發(fā)出“關于開展信息系統(tǒng)安全等級保護工作的通知”；教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護工作方案》；教育部辦公廳《印發(fā)關于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》（教辦廳函[2010]80號）。XX市XX學院的網(wǎng)絡系統(tǒng)在近幾年逐步完善，作為一個現(xiàn)代化的教學機構網(wǎng)絡,除了要滿足高效的內(nèi)部自動化辦公需求以外,還應對外界的通訊保證暢通。結合學校的“校務管理”、“教學科研”、“招生就業(yè)”、“綜合服務”等業(yè)務信息平臺，要求網(wǎng)絡必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務的傳輸要求，所以在這樣的網(wǎng)絡上應運用多種設備和先進技術來保證系統(tǒng)的正常運作和穩(wěn)定的效率。同時學校的網(wǎng)絡系統(tǒng)中內(nèi)部及外部的訪問量巨大，訪問人員比較復雜，所以如何保證學校網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社會進程中，計算機網(wǎng)絡幾乎延伸到了世界每一個角落，它不停的改變著我們的工作生活方式和思維方式，但是，計算機信息網(wǎng)絡安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡設備、計算機操作系統(tǒng)、網(wǎng)絡協(xié)議等安全技術上的漏洞和管理體制上的不嚴密，都會使計算機網(wǎng)絡受到威脅。2、建設目標本次XX市XX學院業(yè)務系統(tǒng)等級保護安全建設的主要目標是：按照等級保護要求，結合實際業(yè)務系統(tǒng)，對學院核心業(yè)務系統(tǒng)進行充分調(diào)研及詳細分析，將學院核心業(yè)務系統(tǒng)系統(tǒng)建設成為一個及滿足業(yè)務需要，又符合等級保護三級系統(tǒng)要求的業(yè)務平臺。

建設一套符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保障體系，達到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務的安全穩(wěn)定運行。該體系覆蓋信息系統(tǒng)安全所要求的各項內(nèi)容，符合信息系統(tǒng)的業(yè)務特性和發(fā)展戰(zhàn)略，滿足學院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理與技術并重”的原則，并結合等級保護基本要求進行設計。技術體系：網(wǎng)絡層面：關注安全域劃分、訪問控制、抗拒絕服務攻擊，針對區(qū)域邊界采取防火墻進行隔離，并在隔離后的各個安全區(qū)域邊界執(zhí)行嚴格的訪問控制，防止非法訪問；利用漏洞管理系統(tǒng)、網(wǎng)絡安全審計等網(wǎng)絡安全產(chǎn)品，為客戶構建嚴密、專業(yè)的網(wǎng)絡安全保障體系。應用層面：WEB應用防火墻能夠?qū)EB應用漏洞進行預先掃描，同時具備對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷，并結合網(wǎng)頁防篡改子系統(tǒng)，真正達到雙重層面的“網(wǎng)頁防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時通過專業(yè)的安全加固服務對數(shù)據(jù)庫進行安全評估和配置，對數(shù)據(jù)庫的訪問權限進行嚴格設定，最大限度保證數(shù)據(jù)庫安全。同時，利用SAN、遠程數(shù)據(jù)備份系統(tǒng)有效保護重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設計中，我們借助豐富的安全咨詢經(jīng)驗和對等級保護管理要求的清晰理解，為用戶量身定做符合實際的、可操作的安全管理體系。安全服務體系：風險評估服務：評估和分析在網(wǎng)絡上存在的安全技術分析，分析業(yè)務運作和管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評價用戶的業(yè)務安全風險承擔能力；安全監(jiān)控服務：通過資深的安全專家對各種安全事件的日志、記錄實時監(jiān)控與分析，發(fā)現(xiàn)各種潛在的危險，并提供及時的修補和防御措施建議；滲透測試服務：利用網(wǎng)絡安全掃描器、專用安全測試工具和專業(yè)的安全工程師的人工經(jīng)驗對網(wǎng)絡中的核心服務器及重要的網(wǎng)絡設備進行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細節(jié)產(chǎn)生報告給用戶；應急響應服務：針對信息系統(tǒng)危機狀況的緊急響應、分析、解決問題的服務，當信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時，可以提供緊急的救援措施。方案收益實施信息安全等級保護建設工作可以為高校信息化建設實現(xiàn)如下收益：有利于提高信息和信息系統(tǒng)安全建設的整體水平；有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設協(xié)調(diào)發(fā)展；有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控制信息安全建設成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障重要信息系統(tǒng)的安全；有利于明確信息安全責任，加強信息安全管理；有利于推動信息安全的發(fā)展三、設計原則及依據(jù)1、設計原則根據(jù)學院的要求和國家有關法規(guī)的要求，本系統(tǒng)方案設計遵循性能先進、質(zhì)量可靠、經(jīng)濟實用的原則，為實現(xiàn)學院等級保護管理奠定了基礎。全面保障：信息安全風險的控制需要多角度、多層次，從各個環(huán)節(jié)入手，全面的保障。

整體規(guī)劃，分步實施：對信息安全建設進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。同步規(guī)劃、同步建設、同步運行：安全建設應與業(yè)務系統(tǒng)同步規(guī)劃、同步建設、同步運行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務系統(tǒng)帶來危害。

適度安全：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。

內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時，加強規(guī)范內(nèi)部人員行為和訪問控制、監(jiān)控和審計能力。

標準化管理要規(guī)范化、標準化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風險。

技術與管理并重：網(wǎng)絡與信息安全不是單純的技術問題，需要在采用安全技術和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設計依據(jù)根據(jù)學院現(xiàn)有情況，本次方案的設計嚴格按照現(xiàn)行中華人民共和國以及內(nèi)蒙古自治區(qū)與行業(yè)的工程建設標準、規(guī)范的要求執(zhí)行。在后期設計或?qū)嵤┻^程中，如國家有新法規(guī)、規(guī)范頒布，應以新頒布的法規(guī)規(guī)范為準。本方案執(zhí)行下列有關技術標準、規(guī)范、規(guī)程但不限于以下技術標準、規(guī)范、規(guī)程。計算機信息系統(tǒng)安全等級保護劃分準則（GB17859-1999）信息系統(tǒng)安全等級保護實施指南（GB/T25058-2010）信息系統(tǒng)安全保護等級定級指南（GB/T22240-2008）信息系統(tǒng)安全等級保護基本要求（GB/T22239-2008）信息系統(tǒng)通用安全技術要求（GB/T20271-2006）信息系統(tǒng)等級保護安全設計技術要求（GB/T25070-2010）信息系統(tǒng)安全等級保護測評要求（GB/T28448-2012）信息系統(tǒng)安全等級保護測評過程指南（GB/T28449-2012）信息系統(tǒng)安全管理要求（GB/T20269-2006）信息系統(tǒng)安全工程管理要求（GB/T20282-2006）信息系統(tǒng)物理安全技術要求（GB/T21052-2007）網(wǎng)絡基礎安全技術要求（GB/T20270-2006）信息系統(tǒng)通用安全技術要求（GB/T20271-2006）操作系統(tǒng)安全技術要求（GB/T20272-2006）數(shù)據(jù)庫管理系統(tǒng)安全技術要求（GB/T20273-2006）信息安全風險評估規(guī)范（GB/T20984-2007）信息安全事件管理指南（GB/T20985-2007）信息安全事件分類分級指南（GB/Z20986-2007）信息系統(tǒng)災難恢復規(guī)范（GB/T20988-2007）四、方案整體設計1、信息系統(tǒng)定級確定信息系統(tǒng)安全保護等級的流程如下：識別單位基本信息

了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。

識別業(yè)務種類、流程和服務

應重點了解定級對象信息系統(tǒng)中不同業(yè)務系統(tǒng)提供的服務在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務量的具體數(shù)據(jù)以及對本單位以外機構或個人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據(jù)。

識別信息

調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業(yè)務數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。

識別網(wǎng)絡結構和邊界

調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡狀況、安全防護和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網(wǎng)絡安全保護與單位內(nèi)部網(wǎng)絡環(huán)境的安全保護的關系。識別主要的軟硬件設備調(diào)查了解與定級對象信息系統(tǒng)相關的服務器、網(wǎng)絡、終端、存儲設備以及安全設備等，設備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設備使用方面的共用程度。

識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。

根據(jù)信息安全等級矩陣表，形成定級結果1、等級保護完全實施過程2、能力、措施和要求3、基本安全要求4、系統(tǒng)的控制類和控制項5、物理安全保護要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個控制點：物理位置的選擇（G）物理訪問控制（G）防盜竊和防破壞（G）防雷擊（G)防火（G）防水和防潮（G）防靜電（G）溫濕度控制（G）電力供應（A）電磁防護（S）整改要點：6、網(wǎng)絡安全保護要求網(wǎng)絡安全主要關注的方面包括：網(wǎng)絡結構、網(wǎng)絡邊界以及網(wǎng)絡設備自身安全等。網(wǎng)絡安全具體包括以下7個控制點：結構安全(G)訪問控制(G)安全審計(G)邊界完整性檢查(A)入侵防范(G)惡意代碼防范(G)網(wǎng)絡設備防護(G)。整改要點：7、主機安全保護要求主機系統(tǒng)安全是包括服務器、終端/工作站等在內(nèi)的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機安全具體包括以下7個控制點：身份鑒別(S)訪問控制(S)安全審計(G)剩余信息保護(S)入侵防范(G)惡意代碼防范(G)資源控制(A)整改要點：8、應用安全保護要求應用系統(tǒng)的安全就是保護系統(tǒng)的各種應用程序安全運行。包括基本應用，如：消息發(fā)送、web瀏覽等；業(yè)務應用，如：電子商務、電子政務等。應用安全具體包括以下9個控制點：身份鑒別（S）訪問控制（S）安全審計（G）剩余信息保護（S）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯（A）資源控制（A）整改要點：9、數(shù)據(jù)安全與備份恢復數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)的保護。將對數(shù)據(jù)造成的損害降至最小。備份恢復也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實時備份。數(shù)據(jù)安全和備份恢復具體包括以下3個控制點：數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）、備份和恢復（A）整改要點：10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個控制點：管理制度制定和發(fā)布評審和修訂整改要點：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機構安全管理機構主要是在單位的內(nèi)部結構上建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務運營層的管理結構來約束和保證各項安全管理措施的執(zhí)行。安全管理機構具體包括以下5個控制點：崗位設置人員配備授權和審批溝通和合作審核和檢查整改要點：信息安全領導小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調(diào)會議、外部溝通與合作等12、人員安全管理對人員安全的管理，主要涉及兩方面：對內(nèi)部人員的安全管理和對外部人員的安全管理。人員安全管理具體包括以下5個控制點：人員錄用人員離崗人員考核安全意識教育及培訓外部人員訪問管理整改要點：全員保密協(xié)議、關鍵崗位人員管理、針對不同崗位的培訓計劃、外部人員訪問管理13、系統(tǒng)建設管理系統(tǒng)建設管理分別從定級、設計建設實施、驗收交付、測評等方面考慮，關注各項安全管理活動。系統(tǒng)建設管理具體包括以下11個控制點：系統(tǒng)定級安全方案設計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測評安全服務商選擇整改要點：系統(tǒng)定級的論證、總體規(guī)劃、產(chǎn)品選型測試、開發(fā)過程的人員控制、工程實施制度化、第三方委托測試、運行起30天內(nèi)備案、每年進行1次等級測評、安全服務商的選擇14、系統(tǒng)運維管理系統(tǒng)運維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應急預案管理和安管中心等。系統(tǒng)運維管理具體包括以下13個控制點：環(huán)境管理資產(chǎn)管理介質(zhì)管理設備管理、監(jiān)控管理和安全管理中心網(wǎng)絡安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復管理安全事件處置應急預案管理整改要點：辦公環(huán)境保密性、資產(chǎn)的標識和分類管理、介質(zhì)/設備/系統(tǒng)/網(wǎng)絡/密碼/備份與恢復的制度化管理、建立安全管理中心、安全事件分類分級響應、應急預案的演練和審查。本次等保三級方案主要針對學院現(xiàn)有的網(wǎng)絡系統(tǒng)進行設計。2、等級保護建設流程整體的安全保障體系包括技術和管理兩大部分，其中技術部分根據(jù)《信息系統(tǒng)安全等級保護基本要求》分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面進行建設；而管理部分根據(jù)《信息系統(tǒng)安全等級保護基本要求》則分為安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面。

整個安全保障體系各部分既有機結合，又相互支撐。之間的關系可以理解為“構建安全管理機構，制定完善的安全管理制度及安全策略，由相關人員，利用技術工手段及相關工具，進行系統(tǒng)建設和運行維護。”據(jù)等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：系統(tǒng)識別與定級：確定保護對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務范圍以及業(yè)務對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據(jù)。

安全域設計：根據(jù)第一步的結果，通過分析系統(tǒng)業(yè)務流程、功能模塊，根據(jù)安全域劃分原則設計系統(tǒng)安全域架構。通過安全域設計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。

確定安全域安全要求：參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。

評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關風險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風險評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的按需防御的安全需求。通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據(jù)。

安全保障體系方案設計：根據(jù)安全域框架，設計系統(tǒng)各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細安全技術設計、安全管理設計。安全建設：根據(jù)方案設計內(nèi)容逐步進行安全建設，滿足方案設計做要符合的安全需求，滿足等級保護相應等級的基本要求，實現(xiàn)按需防御。

持續(xù)安全運維：通過安全預警、安全監(jiān)控、安全加固、安全審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全技術建設和安全管理建設，保障系統(tǒng)整體的安全。而應該特別注意的是：等級保護不是一個項目，它應該是一個不斷循環(huán)的過程，所以通過整個安全項目、安全服務的實施，來保證用戶等級保護的建設能夠持續(xù)的運行，能夠使整個系統(tǒng)隨著環(huán)境的變化達到持續(xù)的安全。2、網(wǎng)絡系統(tǒng)現(xiàn)狀分析XX市XX學院在2013年正式搬遷到職教園區(qū)內(nèi)，同時新建了整套校園網(wǎng)絡，后期又經(jīng)過陸陸續(xù)續(xù)的升級和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡架構拓撲圖1、內(nèi)部數(shù)據(jù)交換如上拓撲圖所示，學院有無線和有線兩套網(wǎng)絡提供使用，整網(wǎng)采用縱向三層設計，分別是核心層、匯聚層和接入層。教學和辦公網(wǎng)使用單獨的核心交換機S12006上聯(lián)至數(shù)據(jù)中心核心交換機N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。2、網(wǎng)絡出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨立的一臺出口網(wǎng)關進行轉(zhuǎn)發(fā)。3、網(wǎng)絡安全安全設計分為對外部數(shù)據(jù)的安全保障和對本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺防火墻部署在出口網(wǎng)關與核心交換機之間，保障了對外部有害數(shù)據(jù)的防范。內(nèi)部服務器區(qū)域部署了一臺服務器防護WG，下聯(lián)各服務器，上聯(lián)核心交換機，保障服務器的安全性。其它設備有網(wǎng)絡管理系統(tǒng)、Portal認證系統(tǒng)、計費系統(tǒng)、日志記錄系統(tǒng)、用戶自助系統(tǒng)等。2、可能存在的風險XX學院內(nèi)部的網(wǎng)絡比較復雜，加上無線網(wǎng)絡的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡安全是XX學院校園網(wǎng)運行過程中所面臨的實際問題。1、來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設置安全。

物理安全是指由于物理設備的放置不合適或者防范不得力，使得服務器、交換機、路由器等網(wǎng)絡設備，纜和雙絞線等網(wǎng)絡線路以及UPS和電纜線等電源設備遭受意外事故或人為破壞，造成網(wǎng)絡不能正常運行。設置安全是指在設備上進行必要的設置，如服務器、交換機的密碼等，防止黑客取得硬件設備的遠程控制權。2、來自學院網(wǎng)絡內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡的結構和應用模式都比較了解，特別是在校學生，學校通常不能有效的規(guī)范和約束學生的上網(wǎng)行為，學生會經(jīng)常的監(jiān)聽或掃描學校網(wǎng)絡，因此來自內(nèi)部的安全威脅更難應付。3、來自Internet的威脅

Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡資源不但會占用大量流量資源，造成網(wǎng)絡堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風險。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應用軟件都存在安全漏洞，對網(wǎng)絡安全構成了威脅。而且現(xiàn)在許多從網(wǎng)絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學生通過網(wǎng)絡在線看電影、聽音樂，很容易造成網(wǎng)絡堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。3、等保三級對網(wǎng)絡的要求1、結構安全應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段；應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。2、訪問控制應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接；應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；重要網(wǎng)段應采取技術手段防止地址欺騙；應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用應限制具有撥號訪問權限的用戶數(shù)量3、安全審計應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。4、邊界完整性檢查應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。5、入侵防范應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報告；6、惡意代碼防范應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。7、網(wǎng)絡設備防護應對登錄網(wǎng)絡設備的用戶進行身份鑒別；應對網(wǎng)絡設備的管理員登錄地址進行限制；網(wǎng)絡設備用戶的標識應唯一；主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；應實現(xiàn)設備特權用戶的權限分離4、現(xiàn)狀對比與整改方案現(xiàn)有網(wǎng)絡雖然已經(jīng)在各方面比較完善，但是還達不到三級等保的要求，下面從以上7個控制點進行詳細的對比，找出存在的問題并提出解決方案。現(xiàn)狀對比主要是對已有設備的配置和使用情況進行檢查和修改。網(wǎng)絡及安全設備的配置和優(yōu)化服務；監(jiān)控分析及優(yōu)化服務；是否進行了路由控制建立安全的訪問路徑？重要網(wǎng)段的隔離部署；重要網(wǎng)段應采取技術手段防止地址欺騙；如：MAC+IP綁定審計數(shù)據(jù)的梳理及分析；設定用戶的訪問權限并配置策略（內(nèi)部和外部）；對登錄網(wǎng)絡設備的用戶進行身份鑒別和地址限制；對重要業(yè)務的帶寬做最小流量設置。如下表格：打鉤表示已滿足要求。未打鉤表示未滿足要求，需要完善，可通過對現(xiàn)有設備進行深化配置或者增添新設備來實現(xiàn)。結構安全1應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；√2應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要；√3應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；√4應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；√5應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；√6應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段；7應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。訪問控制1應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；√2應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接；5應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；6重要網(wǎng)段應采取技術手段防止地址欺騙；7應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；8應限制具有撥號訪問權限的用戶數(shù)量；安全審計1應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；√2審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；3應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；√4應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。邊界完整性檢查1應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；2應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。入侵防范1應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等；2當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報惡意代碼防范措施。惡意代碼防范1應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；2應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。網(wǎng)絡設備防護1應對登錄網(wǎng)絡設備的用戶進行身份鑒別；√2應對網(wǎng)絡設備的管理員登錄地址進行限制；3網(wǎng)絡設備用戶的標識應唯一；√4主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；5身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；6應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；7當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；8應實現(xiàn)設備特權用戶的權限分離2、控制點整改措施1、結構安全主要網(wǎng)絡設備的處理能力以及各部分帶寬均需滿足業(yè)務高峰需要；

部署優(yōu)化設備，削減網(wǎng)絡流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務終端與業(yè)務服務器之間建立安全路徑；

規(guī)劃重要網(wǎng)段，在路由交換設備上配置ACL策略進行隔離；

網(wǎng)絡設備規(guī)劃帶寬優(yōu)先級，保證在網(wǎng)絡發(fā)生擁堵時優(yōu)先保護重要主機。必要時可部署專業(yè)流控產(chǎn)品進行管控。2、訪問控制網(wǎng)絡邊界部署如：防火墻等隔離設備；

根據(jù)基本要求對隔離設備以及網(wǎng)絡設備等制定相應的ACL策略。包括：訪問控制粒度、用戶數(shù)量等。在配置防火墻等隔離設備的策略時要滿足相應要求，包括：端口級的控制粒度；常見應用層協(xié)議命令過濾；會話控制；流量控制；連接數(shù)控制；防地址欺騙等。3、安全審計部署網(wǎng)絡安全審計系統(tǒng)，記錄用戶網(wǎng)絡行為、網(wǎng)絡設備運行狀況、網(wǎng)絡流量等，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。加強審計功能，具備報表生成功能，同時采用日志服務器進行審計記錄的保存，避免非正常刪除、修改或覆蓋。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準入功能進行邊界完整性檢查。在檢測的同時要進行有效阻斷。5、入侵防范部署入侵檢測系統(tǒng)進行入侵行為進行檢測。包括：端口掃描、強力攻擊、木馬后門攻擊等各類攻擊行為。配置入侵檢測系統(tǒng)的日志模塊，記錄記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關信息，并通過一定的方式進行告警。6、惡意代碼防范在網(wǎng)絡邊界處部署UTM或AV、IPS網(wǎng)關進行惡意代碼的檢測與清除，并定期升級惡意代碼庫。升級方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡設備防護根據(jù)基本要求配置網(wǎng)絡設備自身的身份鑒別與權限控制，包括：登陸地址、標識符、口令的復雜度（3種以上字符、長度不少于8位）、失敗處理，傳輸加密等方面。

對網(wǎng)絡設備進行安全加固。對主要網(wǎng)絡設備實施雙因素認證手段進身份鑒別；

對設備的管理員等特權用戶進行不同權限等級的配置，實現(xiàn)權限分離。3、詳細整改方案現(xiàn)有網(wǎng)絡配置未將重要網(wǎng)段與其他網(wǎng)段之間進行可靠的技術隔離，應采用相應的VLAN隔離技術并為特定的無線用戶配置用戶隔離。現(xiàn)有網(wǎng)絡未配置對業(yè)務服務的重要次序并指定帶寬分配優(yōu)先級別，需增添專業(yè)的流量控制設備對有線合無線用戶進行全面管控。在出口區(qū)域部署的防火墻雖然配置了相應的安全策略，但是沒有將某些應用的控制粒度細化到端口級別，需完善配置。現(xiàn)有網(wǎng)絡設備沒有對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制，需增添一臺專業(yè)的行為管理設備進行完善。大部分設備的會話非活躍時間設置均為默認值，應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接，需修改設備的相應數(shù)值進行完善。出口網(wǎng)關上沒有相應的限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)的配置，需根據(jù)用戶群體、數(shù)量及數(shù)據(jù)量的大小計算出合理的數(shù)值并完善。交換機上沒有對重要網(wǎng)段采取技術手段防止地址欺騙，建議全網(wǎng)采用DHCPSnooping+IPSourceguard+ARPCheck方案或使用DHCPSnooping+DAI方案對地址欺騙進行有效的防范。由于現(xiàn)有網(wǎng)絡中有一臺SAM認證計費系統(tǒng)，所以也可采用與SAM聯(lián)動的方式SAM+Supplicant方案。現(xiàn)有設備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。應在交換機上添加相應配置，如采用ACL進行控制，控制粒度應為單個用戶。設備未限制具有撥號訪問權限的用戶數(shù)量，應根據(jù)用戶群體及數(shù)量在出口區(qū)域進行相應的限制。現(xiàn)有設備無法全面有效的記錄事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息，上述第4條中增添的行為管理設備可對此完美支持。行為管理設備應采用雙電源設計，分開兩路電源對其供電，配置高復雜度密碼并定期進行修改和檢查，與日志系統(tǒng)聯(lián)動，實時轉(zhuǎn)存日志信息，實現(xiàn)對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋。現(xiàn)有設備無法有效的對非授權設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查、準確定出位置并對其進行有效阻斷，應增添專業(yè)的入侵檢測設備對現(xiàn)有網(wǎng)絡進行完善。現(xiàn)有設備無法全面有效的對內(nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查、準確定出位置并對其進行有效阻斷。上述第4條中增添的行為管理設備可對此完美支持。現(xiàn)有設備無法全面有效監(jiān)視網(wǎng)絡邊界處收到的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等，上述第12條中增添的入侵檢測設備可對此完美支持。現(xiàn)有設備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并無法全面有效的在發(fā)生嚴重入侵事件時提供惡意代碼和防范措施，上述第12條中增添的入侵檢測設備可對此完美支持。現(xiàn)有設備無法全面有效的在在網(wǎng)絡邊界處對惡意代碼進行檢測和清除，上述第12條中增添的入侵檢測設備可對此完美支持。安全類設備應定期維護惡意代碼庫的升級和檢測系統(tǒng)的更新，以免識別不到最新的惡意代碼和攻擊方式。現(xiàn)有設備未對網(wǎng)絡設備的管理員地址進行限制，應在所有設備上采用ACL等技應對網(wǎng)絡設備的管理員登錄地址進行限制，只允許管理員所在地址段的指定地址登錄設備并進行管理；主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別，建議采用用戶名+密碼+驗證碼等方式對設備進行登錄和管理。設備的身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；現(xiàn)有設備未配置對登錄失敗處理功能，如采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施，應完善相應配置。現(xiàn)有大部分設備的遠程管理方式均采用Telnet和HTTP方式進行登錄管理，無法防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽，因此，所有網(wǎng)絡設備都應采用SSH和HTTPS的方式對設備進行登錄和管理。當前設備未配置對管理員的權限劃分，當存在多個不同等級的管理員時，應實現(xiàn)設備特權用戶的權限分離，需完善設備配置。當前在服務器區(qū)域的防護只部署了一臺WG，但是服務器區(qū)域內(nèi)的數(shù)據(jù)庫得不到有效的安全保障，應從數(shù)據(jù)完整性和保密性進行防護，所以需要增添專業(yè)的數(shù)據(jù)庫審計設備對數(shù)據(jù)庫和網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行全面檢測和審計。4、設備部署方案上述整改措施中包含服務類與產(chǎn)品類兩種解決方式，其中產(chǎn)品類措施中包含3臺設備，分別是行為管理、入侵檢測和漏洞掃描。1、行為管理設備1、部署位置為了保證有效的檢測和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設備應部署在核心交換機與出口網(wǎng)關中間，如下圖所示：拓撲圖2、設備選型建議由于設備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能