网络与信息安全发展规划.docx

《网络与信息安全发展规划.docx》由会员分享，可在线阅读，更多相关《网络与信息安全发展规划.docx（73页珍藏版）》请在第一文库网上搜索。

1、XXX厅网络与信息安全三年发展规划（20232023)2023年5月版本控制版本编号修订人修订日期修订说明V1.5版权声明非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。目录1 概述2 安全规划目标I3 安全整体规划63.1 建设规划指导63.1.1 指导原则.63.1.2 安全防护体系设计整体架构.83.2 规划目标114 安全技术体系建设规划134.1 云平台安全建设规划134.1.1 云主机安全建设.134.1.2 应用安全建设.154.1.3 数据安全.194.1.4 数据分类分级.224.2 自建机房部分安全建设规划拓朴图234.2.

2、1 安全设备功能需求规划.254.3 安全建设规划334.3.1 区域划分.334.3.2 网络环境改造.334.3.3 网络边界安全加固.344.3.4 网络及安全设备部署.345 安全管理体系建设规划545.1 安全管理机构545.1.1 XXX厅信息安全规划组织架构和职责.595.2 安全管理制度规划625.2.1 安全管理制度梳理.635.3 安全运维规划665.3.1 安全加固.665.3.2 应急预案和应急演练.726 规划方案预估效果736.1 预期效果731概述在面对现在越来越严重的网络安全态势下，XXX厅积极响应国家相关政策法规,积极开展信息安全等级保护建设。对自有网络安全态

3、势进行自我核查，补齐等保短板，履行安全保护义务。在2017年6月1日颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下：“没有网络安全，就没有国家安全”，网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络

4、安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发

5、生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每

6、年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。2安全规划目标XXX厅信息系统的安全建设目标，主要是结合对现状的安全需求分析，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等工作，全面提升信息系统的安全性，能面对目前和未来一段时期内的安全威胁，保证信息系统的平稳、高效的运行，本次设计我们将根据以下目标为指导思想：目标一、保证信息的安全完整性：保证数据的权威性，让使用者毫不怀疑；保密性：防止未经授权的数据外泄，阻止他人恶意的窥探攻击；可用性：随时提供全部的数

7、据，以供系统分析、处理；目标二、保证提供服务的安全连续性：保证业务连续性，提供7X24小时保质保量的服务；可靠性：即使遭受不可抗力，也能够在足够短的时间内恢复；满意度：达到内部用户、客户、主管部门对安全性的要求；目标三：提高安全投资的效益合规性：遵循技术标准、国家相关规范(三级等保)；示范性：树立XXX厅信息安全建设标杆典范；经济性：提高安全投资的性价比，考核人员的安全绩效3安全整体规划3.1 建设规划指导3.1.1 指导原则安全保密原则：安全保密性是系统建设的重要前提。先进性原则：采用国际上最先进和成熟的体系结构，比如IS02700体系，使系统能够适应今后的业务发展需要。可扩展性原则：在尽量

8、节省投资的同时实现系统平滑扩展。可靠性原则：采用成熟的主流技术和产品的详尽的故障处理方案。可行性原则：在风险分析的基础上，发掘重要的资源进行保护，做到适量投入,有效防护。标准化原则：遵循技术标准、国家相关规范。3.1.2 安全防护体系设计整体架构信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息安全技术功能合理地作用在网络系统的各个层次上，从安全管理和安全技术两方面，综合人员、技术和运行管理等实际情况，制定统一的认证管理、多级访问控制和加密保护措施，建成统一完整的安全体系结构，在物理安全、运行安全、信息安全、管理安全和标准规范等多个层面保障信息系统的安全。信息系统的安全保障体系如下图

9、所示：图表1安全保障体系图*管理规定*部门设置操作制度*资源分类安全评估安全教育监督审查事故分析安全威胁T:ii-安全管理物理隔离* 机房环境* 电磁屏蔽* 电磁防辐射* 门禁系统*消防系统*kvm系统通信线路网络规划*P地址规划数据加密安全域控制网络管理物理层安全* 数据库安全* 网站安全* 邮件安全* 业务系统安全* 备份恢旦* 权限控制应用层安全J*认证授权*CA系统*访问控制防病毒系统* 操作系统安全* 漏洞扫描* 内网安全审计* 主机防护安全平台Iiiiiiiiiiiiii根据以上的分析,通过采用技术、管理与运行等各方面的措施，建立信息系统的信息安全保障体系,确保系统的信息安全。技术

10、措施：身份认证、防火墙、入侵检测、入侵防御、安全审计、防病毒、漏洞扫描等；运行措施：备份与恢复、远程容灾、病毒的检测与消除、电磁兼容等。管理措施：建立信息安全职责制度、系统操作流程、系统安全响应流程、系统培训制度、信息系统人员管理等一系列规范。故而我们可构建信息安全保障体系，如下图:信息安全治理与组织信息安全关健次JT信息安全治理结构信息安全治理运作机制一信息安全组织!湮信里安全组织建设的知物素信息安全蜘浏|3.2 规划目标通过对XXX厅信息系统安全现状与差距分析，结合安全防护体系规划、安全技术规划以及信息安全等级保护基本要求，为了完成项目的建设目标，本次项目分为二期建设，一期建设完成目标为刚

11、需、合规；以解决网络中的整体安全隐患和获得等级保护备案证明为主要目的,二期建设以完善整体信息安全防护提系为建设目标。本次项目需完成以下任务，见下表：图表3-3建设规划时期安全建设重点达到目的时间2023年至2023年(第一阶段)主要做边界防御、网络结构整改、终端防护、安全隐患梳理整治、审计体系建立。包括定级备案测评、主机加固防护、安全管理体系等。1 .达到法律要求中的等保合规2 .梳理全网安全隐患进行整治3 .提升机关事务管理局整体信息系统安全防护能力2023年开始,建设周期为6个月2023年至2023年(第二阶段)1 .云端防护2 .通过部署安全管理平台(SOC)和APT高级威胁分析平台将整

12、体网络中的各类事件分通过层层设防的方式完善信息安全总体防护体系，将各个孤立的信息点整合起来，方便用户更直观、快捷的管理网络。做到整体2023年开始建设周期为6个月时期安全建设重点达到目的时间析审计预警、风险与态势的度量与评估安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。将整体网络达到可视、可管、可控、可感知网络的可视、可管、可控、可感知。4安全技术体系建设规划4.1 云平台安全建设规划针对部署在XX省电子政务外网云平台的各主机系统、应用系统及数据资产，结合云计算中心的实际情况及安全职责分工情况，XXX厅应从云主机系统、应用系统和数据应用三个层面开展安全建设。4.1.

13、1 云主机安全建设(1)云主机资产集中管控建立统一集中的管控中心，对云主机及WindoWS/1inux操作系统、数据库、中间件等软件进行集中安全管理。(2)主机安全基线对云主机软硬件资产进行统一管理，自动监测云主机上各种软件硬件资产信息及关联关系，建立安全基线并定期进行自动化的安全基线检查。 最小化部署主机系统中提供的很多服务及功能是为了方便用户和管理员，这些服务和功能可能被设置为默认开启，然而对用户、管理员并非都是必需的。这些服务和功能可能被攻击都利用给系统带来安全风险，因此在系统运行中应考虑最小化部署，关闭不需要的服务和功能。 访问控制除了由云平台提供的边界防火墙、虚拟化防火墙外，应充分利

14、用主机版的访问控制功能(WindOWS操作自带的防火墙、1inUX系统的iptab1es等)，设置防火墙策略，只开放对外提供服务的端口。 账号及口令策略使用系统提供的安全策略保护账号口令安全，设置策略避免弱口令。同时设置账户锁定策略，对于连续登录错误达到一定次数的账户进行锁定，避免攻击者的口令暴力破解攻击。(a)禁止使用空口令和与用户名相同的口令。(b)禁止使用在任何字典或者语言中找得到的口令。(c)禁止使用简单字母组成的口令。(d)禁止选择任何和个人信息有关的口令。(e)禁止选择短于6个字符或仅包含字母或者数字。(f)禁止选择作为口令范例公布的口令。(g)应采取数字、大小写字母、特殊符号混合的口令。(3)补丁更新管理定期自动扫描云主机漏洞，及时、精准发现系统需要升级更新的重要补丁，并结合系统的业务影响、资产及补丁的重要程度、修复影响情况，提供最贴合业务的补丁修复建议。(4)弱口令检测定期自动针对云主机中不同的应用中不同口令，核查帐号口令强度是否符合要求，实现系统、业务口令的常态化检查。(5)主机入侵检测主机入侵检测：暴力破解、异常登录、反弹She11、本地提权、后门诊断等。(6)恶意代码防范部署主机恶意代码防范软件，并定期自动升级恶意代码库、病毒特征库；制定恶意代码查杀策略，并定期查杀。4.1.2 应用安全建设(1)主机DDoS攻击防护部署主机版DDoS攻击软件，有效防护SYN