《一套网络安全(等保2.0建设)规划设计方案.docx》由会员分享,可在线阅读,更多相关《一套网络安全(等保2.0建设)规划设计方案.docx(36页珍藏版)》请在第一文库网上搜索。
1、网络安全等级保护建设方案1. 项目概述-1-1.1. 项目概述-1-1.2. 项目建设背景-1-1.2.1. 法律依据.-1-1.2.2. 政策依据-1-1.3. 项目建设目标及内容-3-1.3.1. 建设目标-3-1.3.2. 建设内容-4-2. 方案设计说明-5-2.1. 设计依据-5-2.2. 设计原则-6-2.2.1. 分区分域防护原则.-6-2,22均衡性保护原则-6-2.2.3. 技管并重原则.-6-2.2.4. 动态调整原则.-7-2.2.5. 三同步原则-7-3. 安全现状及需求分析-7-3.2. 安全需求分析-7-3.1.1. 物理环境安全需求-7-3.1.2. 通信网络安全
2、需求-8-3.1.3. 区域边界安全需求-9-3.1.4. 计算环境安全需求-10-3.1.5. 安全管理中心安全需求-11-3.1.6. 安全管理制度需求-12-3.1.7. 安全管理机构需求-12-3.1.8. 安全管理人员需求-12-3.1.9. 安全建设管理需求-13-3.1.10. 安全运维管理需求.-14-3.2. 设计思路-14-3.3. 设计框架-16-4. 技术体系设计方案-17-4.1. 技术体系设计框架-17-4.2. 安全技术防护体系设计-17-4.2.1. 安全通信网络防护设计.-17-4.2.2. 安全区域边界防护设计.-20-4.2.3. 安全计算环境防护设计.-
3、21-4.2.4. 安全管理中心设计-25-5. 管理体系设计方案-25-5.1. 管理体系设计目标-25-5.2. 管理体系设计框架-26-5.3. 安全管理防护体系设计-26-5.3.1. 安全管理制度设计-26-5.3.2. 安全管理机构设计-27-5.3.3. 安全管理人员设计-27-5.3.4. 安全建设管理设计-28-5.3.5. 安全运维管理设计-29-6. 部署拓扑错误!未定义书签。6.1. 总体规划拓扑错误!未定义书签。7. 方案收益-34-1 .项目概述11项目概述根据实际情况编制。1.2. 项目建设背景12.1.法律依据中华人民共和国计算机信息系统安全保护条例(国务院令第
4、147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。网络安全法第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。网络安全法的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的
5、信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。1. 2.2.政策依据国家信息化领导小组关于加强信息安全保障工作的意见明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。关于信息安全等级保护工作的实施意见指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、
6、社会稳定和公共利益,保隙和促进信息化建设健康发展的一项基本制度。自信息安全等级保护管理办法颁布以来,一直是国家层面推动网络安全工作的重要抓手。国务院关于推进信息化发展和切实保障信息安全的若干意见(规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。除此之外,下列政策文件也对等级保护相关工作提出了要求:关于开展信息系统安全等级保护基础调查工作的通知(公信安(2005)1431号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安(2007)861号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技(2008)2071
7、号)国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技12008)2544号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安(2009)1429号)关于进一步推动中央企业信息安全等级保护工作的通知(公通字(2010)70号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安(2010)303号)关于进一步加强国家电子政务网络建设和应用工作的通知(发改高技(2012)1986号)全国人民代表大会常务委员会关于加强网络信息保护的决定(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)网络安全等级保护条例(征求意见稿)(
8、2018年6月)1.3. 项目建设目标及内容1.3.1建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。依据网络安全等级保护相关标准和指导规范,对引绰济辽工程单位信息系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。依据网络安全等级保护三级标准,按照
9、“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。最终使引绰济辽工程互联网系统达到安全等级保护第三级要求。经过建设后,使整个网络形成一套完善的安全防护体系,提升整体网络安全防护能力。对于三级网络,经过安全建设整改,网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正
10、常运行状态的能力;对于服务保障性要求高的网络,应该能够快速恢复正常运行状态;具有对网络资源、用户、安全机制等进行集中控管的能力。1. 3.2.建设内容引绰济辽工程开展等保建设的主要工作任务包括:定级备案、建设与整改、等级测评、安全管理与运维等等。等保测评是按照系统来测评的,因此我们以引绰济辽工程业务系统来做说明。引绰济辽工程业务系统要达到等保三级要求,需要具备对抗来自大型的、有组织的团体(如商业情报组织或犯罪组织等)发起的恶意攻击,可以应对较为严重的自然灾难、内部人员的恶意威胁、设备的较严重故障(如宕机、硬盘损坏等),并在威胁发生后,能够很快恢复绝大部分功能。三级系统等保建设步骤包括:1、系统
11、识别。引绰济辽工程对执法记录仪系统进行深入的识别和描述,包括系统基本信息、系统所涵盖的信息资产范围、使用者和管理者范围、行政和网络区域范围等。2、风险评估。通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,全面分析业务系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成风险评估报告。3、方案设计与评审。根据风险评估及差距分析情况,结合业务系统安全实际需求和建设目标,制定完整的等级保护安全建设方案,组织信息安全技术专家委员会对方案进行论证、评审。4、整改建设,整改建设内容包括:(1)安全域划分。通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及
12、基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。(2)边界安全防护。主要防护手段包括防火墙、入侵防御、WEB应用防火墙等等,等保三级要求终端防恶意代码软件与边界网关设备异构部署。为了达到更高的安全性,防火墙和UTM网关也可以采用异构模式部署。(3)网络环境安全防护。网络环境安全防护建设可有效阻止恶意人员通过网络对应用系统进行攻击,同时阻止对网络设备的攻击。可以通过日志审计系统(SOC)汇集各类安全事件和设备日志,及时发现攻击意图和系统异常,进行事件追踪、事件源定位以定位恶意人员位置,尽早
13、发现网络、主机、操作系统、中间件、数据库、业务应用、机房等IT设施的异常并实时报警以便迅速处置。(4)备份与恢复。备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。对于核心交换设备、外部接入链路以及系统服务器采用双机、双线的冗余结构,保障系统不间断运行的需要。(5)身份鉴别。业务系统应按照信息安全等级保护制度等要求,采用堡垒机满足等保要求。5、等级测评。委托相关权威测评机构,依据国家信息安全等级保护制度规定,根据等保测评相关标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测试与综合评估。三级信息系统每年
14、要至少进行一次信息安全等级测评。为提升通过率,可首先选择专业安全公司进行辅助测评,在正式测评时选择具有等级保护测评资质的合法测评机构进行测评,并出具测评报告。6、安全运维。引绰济辽工程应该按照PDCA持续改进的工作机制,在安全预警、安全监控、安全加固、安全审计、应急响应等方面进行持续化保隙,确保系统稳定、安全的运行,并使整个系统随着环境的变化达到持续的安全。2.方案设计说明2.1.设计依据本方案是根据2019年5月13口最新发布的GB/T22239-2019信息安全技术网络安全等级保护基本要求的安全通用要求和安全目标,参照GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求
15、的通用设计技术要求,针对第三级系统而提出的安全保护等级设计方案。除上述两个标准外,还参考了如下相关标准:信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013)信息技术安全技术信息安全控制实用规则(ISO/IEC27002:2013)计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008)网络安全等级保护定级指南(GA/T1389-2017)信息安全技术信息系统安全等级保护实施指南(GB/T25058-2010)信息安全技术网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)2.2.设计原则2. 2.1分区分域防护原则任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个网络,以达到纵深防御的安全目标,需要合