学院等保三级设计方案

《学院等保三级设计方案》由会员分享，可在线阅读，更多相关《学院等保三级设计方案（39页珍藏版）》请在装配图网上搜索。

1、XX市XX学院级别保护（三级）建设方案1月目录一、工程概况4二、需求分析41、建设背景52、建设目的5三、设计原则及根据71、设计原则72、设计根据8四、方案整体设计91、信息系统定级91、级别保护完全实行过程112、能力、措施和规定113、基本安全规定124、系统的控制类和控制项125、物理安全保护规定136、网络安全保护规定147、主机安全保护规定148、应用安全保护规定159、数据安全与备份恢复1610、安全管理制度1711、安全管理机构1712、人员安全管理1813、系统建设管理1814、系统运维管理192、级别保护建设流程202、网络系统现状分析211、网络架构222、也许存在的风险

2、233、等保三级对网络的规定241、构造安全242、访问控制253、安全审计254、边界完整性检查255、入侵防备266、歹意代码防备267、网络设备防护264、现状对比与整治方案261、现状对比272、控制点整治措施303、具体整治方案324、设备部署方案34五、产品选型381、选型建议382、选型规定393、设备选型清单39六、公司简介40一、工程概况信息安全级别保护是对信息和信息载体按照重要性级别分级别进行保护的一种工作，在中国、美国等诸多国家都存在的一种信息安全领域的工作。在中国，信息安全级别保护广义上为波及到该工作的原则、产品、系统、信息等均根据级别保护思想的安全工作XX市XX学院是

3、元月，经自治区人民政府批准，国家教育部备案的公办全日制高等职业技术院校。学院以高等职业教育为主，同步兼有中档职业教育职能。学院开拓办学思路，加大投入，改善办学条件，拓宽就业渠道，内引外联，确立了面向社会、服务市场，重在培养学生的创新精神和实践能力的办学宗旨。学院本着让学生既成才，又成人的原则，优化人才培养模式，狠抓教育教学质量，增强学生实践动手能力，注重对学生加强德育和行为规范教育，为公司和社会培养具有全面素质和综合职业能力的应用型专门人才。学院雄厚的师资力量、先进的教学设备、严格的平常管理、完善的文体设施、优质的后勤服务以及宽阔干净的学生公寓和食堂，为广大师生提供了优美、舒服、抱负的学习、生

4、活和工作环境。信息系统安全级别测评是验证信息系统与否满足相应安全保护级别的评估过程。信息安全级别保护规定不同安全级别的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全级别相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等互相关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的构造以及安全控制间、层面间和区域间的互相关联关系密切有关。因此，信息系统安全级别测评在安全控制测评的基本上，还要涉及系统整体测评。二、需求分析为了保障国家核心基本设施和信息的安全，结合国内的基本国情，制

5、定了级别保护制度。并将级别保护制度作为国家信息安全保障工作的基本制度、基本国策，增进信息化、维护国家信息安全的主线保障。1、建设背景随着国内学校信息化建设的逐渐进一步，学校教务工作对信息系统依赖的限度越来越高，教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在将来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部袭击、内部资源滥用、木马和病毒等不安全因素越来越明显，信息化安全是业务应用发展需要关注的核心和重点。为贯彻贯彻国家信息安全级别保护制度，规范和指引全国教育信息安全级别保护工作，国家教委教办厅函80文献发出“有关开展信息系统安全级

6、别保护工作的告知”；教育部教育管理信息中心发布教育信息系统安全级别保护工作方案；教育部办公厅印发有关开展教育系统信息安全级别保护工作专项检查的告知（教办厅函 80号）。XX市XX学院的网络系统在近几年逐渐完善，作为一种现代化的教学机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合学校的“校务管理”、“教学科研”、“招生就业”、“综合服务”等业务信息平台，规定网络必须可以满足数据、语音、图像等综合业务的传播规定，因此在这样的网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。同步学校的网络系统中内部及外部的访问量巨大，访问人员比较复杂，因此如何保证学校网

7、络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一种角落，它不断的变化着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受袭击性是不容忽视的。由于网络设备、计算机操作系统、网络合同等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。2、建设目的本次XX市XX学院业务系统级别保护安全建设的重要目的是：按照级别保护规定，结合实际业务系统，对学院核心业务系统进行充足调研及具体分析，将学院核心业务系统系统建设成为一种及满足业务需要，又符合级别保护三级系统规定的业务平台。建设一套符合国家政策规定、覆盖全面、重点突出、持续运营的信息

8、安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运营。该体系覆盖信息系统安全所规定的各项内容，符合信息系统的业务特性和发展战略，满足学院信息安全规定。本方案的安全措施框架是根据“积极防御、综合防备”的方针，以及“管理与技术并重”的原则，并结合级别保护基本规定进行设计。技术体系：网络层面：关注安全域划分、访问控制、抗回绝服务袭击，针对区域边界采用防火墙进行隔离，并在隔离后的各个安全区域边界执行严格的访问控制，避免非法访问；运用漏洞管理系统、网络安全审计等网络安全产品，为客户构建严密、专业的网络安全保障体系。应用层面：WEB应用防火墙可以对WEB应用漏洞进行预先扫描

9、，同步具有对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，并结合网页防篡改子系统，真正达到双重层面的“网页防篡改”效果。数据层面，数据库将被隐藏在安全区域，同步通过专业的安全加固服务对数据库进行安全评估和配备，对数据库的访问权限进行严格设定，最大限度保证数据库安全。同步，运用SAN、远程数据备份系统有效保护重要数据信息的健康度。管理体系：在安全管理体系的设计中，我们借助丰富的安全征询经验和对级别保护管理规定的清晰理解，为顾客量身定做符合实际的、可操作的安全管理体系。安全服务体系：风险评估服务：评估和分析在网络上存在的安全技术分析，分析业务运作和管理方面存在的安全缺陷，调查系统既有的安全控

10、制措施，评价顾客的业务安全风险承当能力；安全监控服务：通过资深的安全专家对多种安全事件的日记、记录实时监控与分析，发现多种潜在的危险，并提供及时的修补和防御措施建议；渗入测试服务：运用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客袭击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给顾客；应急响应服务：针对信息系统危机状况的紧急响应、分析、解决问题的服务，当信息系统发生意外的突发安全事件时，可以提供紧急的救援措施。方案收益实行信息安全级别保护建设工作可觉得高校信息化建设实现如下收益： 有助于提高信息和信息系统安

11、全建设的整体水平； 有助于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展； 有助于为信息系统安全建设和管理提供系统性、针对性、可行性的指引和服务，有效控制信息安全建设成本； 有助于优化信息安全资源的配备，对信息系统分级实行保护，重点保障重要信息系统的安全； 有助于明确信息安全责任，加强信息安全管理； 有助于推动信息安全的发展三、设计原则及根据1、设计原则根据学院的规定和国家有关法规的规定，本系统方案设计遵循性能先进、质量可靠、经济实用的原则，为实现学院级别保护管理奠定了基本。l 全面保障：信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。l 整体规划，

12、分步实行：对信息安全建设进行整体规划，分步实行，逐渐建立完善的信息安全体系。l 同步规划、同步建设、同步运营：安全建设应与业务系统同步规划、同步建设、同步运营，在任何一种环节的疏忽都也许给业务系统带来危害。l 适度安全：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。l 内外并重：安全工作需要做到内外并重，在防备外部威胁的同步，加强规范内部人员行为和访问控制、监控和审计能力。l 原则化管理要规范化、原则化，以保证在能源行业庞大而多层次的组织体系中有效的控制风险。l 技术与管理并重：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同步，注重安全管理，

13、不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。2、设计根据根据学院既有状况，本次方案的设计严格按照现行中华人民共和国以及内蒙古自治区与行业的工程建设原则、规范的规定执行。在后期设计或实行过程中，如国家有新法规、规范颁布，应以新颁布的法规规范为准。本方案执行下列有关技术原则、规范、规程但不限于如下技术原则、规范、规程。l 计算机信息系统安全级别保护划分准则 （GB 17859-1999）l 信息系统安全级别保护实行指南 （GB/T 25058-）l 信息系统安全保护级别定级指南 （GB/T 22240-）l 信息系统安全级别保护基本规定 （GB/T 22239-）l 信息系统通用

14、安全技术规定 （GB/T 20271-）l 信息系统级别保护安全设计技术规定 （GB/T 25070-）l 信息系统安全级别保护测评规定 （GB/T 28448-）l 信息系统安全级别保护测评过程指南 （GB/T 28449-）l 信息系统安全管理规定 （GB/T 20269-）l 信息系统安全工程管理规定 （GB/T 20282-）l 信息系统物理安全技术规定 （GB/T 21052-）l 网络基本安全技术规定 （GB/T 20270-）l 信息系统通用安全技术规定 （GB/T 20271-）l 操作系统安全技术规定 （GB/T 20272-）l 数据库管理系统安全技术规定 （GB/T 20

15、273-）l 信息安全风险评估规范 （GB/T 20984-）l 信息安全事件管理指南 （GB/T 20985-）l 信息安全事件分类分级指南 （GB/Z 20986-）l 信息系统劫难恢复规范 （GB/T 20988-）四、方案整体设计1、信息系统定级拟定信息系统安全保护级别的流程如下：l 辨认单位基本信息理解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位重要信息系统的宏观定位。l 辨认业务种类、流程和服务应重点理解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和限度，影响的区域范畴、顾客人数、业务量的具体数据以及对本单位

16、以外机构或个人的影响等方面。这些具体数据即可觉得主管部门制定定级指引意见提供参照，也可以作为主管部门审批定级成果的重要根据。l 辨认信息调查理解定级对象信息系统所解决的信息，理解单位对信息的三个安全属性的需求，理解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面也许对国家、社会、本单位导致的影响，对影响限度的描述应尽量量化。l 辨认网络构造和边界调查理解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接状况，目的是理解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。l 辨认重要的软

17、硬件设备调查理解与定级对象信息系统有关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用重要就是发现不同信息系统在设备使用方面的共用限度。l 辨认顾客类型和分布调查理解各系统的管理顾客和一般顾客，内部顾客和外部顾客，本地顾客和远程顾客等类型，理解顾客或顾客群的数量分布，判断系统服务中断或系统信息被破坏也许影响的范畴和限度。l 根据信息安全级别矩阵表，形成定级成果1、级别保护完全实行过程2、能力、措施和规定3、基本安全规定4、系统的控制类和控制项5、物理安全保护规定物理安全重要波及的方面涉及环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破

18、坏等方面。物理安全具体涉及如下10个控制点：l 物理位置的选择（G）l 物理访问控制（G）l 防盗窃和防破坏（G）l 防雷击（G)l 防火（G）l 防水和防潮（G）l 防静电（G）l 温湿度控制（G）l 电力供应（A）l 电磁防护（S）整治要点：6、网络安全保护规定网络安全重要关注的方面涉及：网络构造、网络边界以及网络设备自身安全等。网络安全具体涉及如下7个控制点：l 构造安全(G)l 访问控制(G)l 安全审计(G)l 边界完整性检查(A)l 入侵防备(G)l 歹意代码防备(G)l 网络设备防护(G)。整治要点：7、主机安全保护规定主机系统安全是涉及服务器、终端/工作站等在内的计算机设备在操

19、作系统及数据库系统层面的安全。主机安全具体涉及如下7个控制点：l 身份鉴别(S)l 访问控制(S)l 安全审计(G)l 剩余信息保护(S)l 入侵防备(G)l 歹意代码防备(G)l 资源控制(A)整治要点：8、应用安全保护规定应用系统的安全就是保护系统的多种应用程序安全运营。涉及基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。应用安全具体涉及如下9个控制点：l 身份鉴别（S）l 访问控制（S）l 安全审计（G）l 剩余信息保护（S）l 通信完整性（S）l 通信保密性（S）l 抗抵赖（G）l 软件容错（A）l 资源控制（A）整治要点：9、数据安全与备份恢复数据安全重要是

20、保护顾客数据、系统数据、业务数据的保护。将对数据导致的损害降至最小。备份恢复也是避免数据被破坏后无法恢复的重要手段，重要涉及数据备份、硬件冗余和异地实时备份。数据安全和备份恢复具体涉及如下3个控制点：l 数据完整性（S）l 数据保密性（S）、l 备份和恢复（A）整治要点：10、安全管理制度安全管理制度涉及信息安全工作的总体方针、方略、规范多种安全管理活动的管理制度以及管理人员或操作人员平常操作的操作规程。安全管理制度具体涉及如下3个控制点：l 管理制度l 制定和发布l 评审和修订整治要点：形成信息安全管理制度体系、统一发布、定期修订等11、安全管理机构安全管理机构重要是在单位的内部构造上建立一

21、整套从单位最高管理层（董事会）到执行管理层以及业务运营层的管理构造来约束和保证各项安全管理措施的执行。安全管理机构具体涉及如下5个控制点：l 岗位设立l 人员配备l 授权和审批l 沟通和合伙l 审核和检查整治要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合伙等12、人员安全管理对人员安全的管理，重要波及两方面： 对内部人员的安全管理和对外部人员的安全管理。人员安全管理具体涉及如下5个控制点：l 人员录取l 人员离岗l 人员考核l 安全意识教育及培训l 外部人员访问管理整治要点：全员保密合同、核心岗位人员管理、针对不同岗位的培训筹划、外部人员访问管理13

22、、系统建设管理系统建设管理分别从定级、设计建设实行、验收交付、测评等方面考虑，关注各项安全管理活动。系统建设管理具体涉及如下11个控制点：l 系统定级l 安全方案设计l 产品采购和使用l 自行软件开发l 外包软件开发l 工程实行 l 测实验收l 系统交付l 系统备案l 级别测评l 安全服务商选择整治要点：系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实行制度化、第三方委托测试、运营起30 天内备案、每年进行1次级别测评、安全服务商的选择14、系统运维管理系统运维管理波及平常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。系统运维管理具体涉及如下13个控制点

23、：l 环境管理l 资产管理l 介质管理l 设备管理、l 监控管理和安全管理中心l 网络安全管理l 系统安全管理l 歹意代码防备管理l 密码管理l 变更管理l 备份与恢复管理l 安全事件处置l 应急预案管理整治要点：办公环境保密性、资产的标记和分类管理、介质/设备/系统/网络/密码/备份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、 应急预案的演习和审查。本次等保三级方案重要针对学院既有的网络系统进行设计。2、级别保护建设流程整体的安全保障体系涉及技术和管理两大部分，其中技术部分根据信息系统安全级别保护基本规定分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设；而

24、管理部分根据信息系统安全级别保护基本规定则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合，又互相支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全方略，由有关人员，运用技术工手段及有关工具，进行系统建设和运营维护。”据级别化安全保障体系的设计思路，级别保护的设计与实行通过如下环节进行：1. 系统辨认与定级：拟定保护对象，通过度析系统所属类型、所属信息类别、服务范畴以及业务对系统的依赖限度拟定系统的级别。通过此环节充足理解系统状况，涉及系统业务流程和功能模块，以及拟定系统的级别，为下一步安全域设计、安全保

25、障体系框架设计、安全规定选择以及安全措施选择提供根据。2. 安全域设计：根据第一步的成果，通过度析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多种层次，为下一步安全保障体系框架设计提供基本框架。3. 拟定安全域安全规定：参照国家有关级别保护安全规定，设计不同安全域的安全规定。通过安全域合用安全级别选择措施拟定系统各区域级别，明确各安全域所需采用的安全指标。4. 评估现状：根据各级别的安全规定拟定各级别的评估内容，根据国家有关风险评估措施，对系统各层次安全域进行有针对性的级别风险评估。并找出系统安全现状与级别规定的差距，形成完整精确的按需防御的安全需求

26、。通过级别风险评估，可以明确各层次安全域相应级别的安全差距，为下一步安全技术解决方案设计和安全管理建设提供根据。5. 安全保障体系方案设计：根据安全域框架，设计系统各个层次的安全保障体系框架以及具体方案。涉及：各层次的安全保障体系框架形成系统整体的安全保障体系框架；具体安全技术设计、安全管理设计。6. 安全建设：根据方案设计内容逐渐进行安全建设，满足方案设计做要符合的安全需求，满足级别保护相应级别的基本规定，实现按需防御。7. 持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急响应等，从事前、事中、事后三个方面进行安全运营维护，保证系统的持续安全，满足持续性按需防御的安全需求。通过

27、如上环节，系统可以形成整体的级别化的安全保障体系，同步根据安全技术建设和安全管理建设，保障系统整体的安全。而应当特别注意的是：级别保护不是一种项目，它应当是一种不断循环的过程，因此通过整个安全项目、安全服务的实行，来保证顾客级别保护的建设可以持续的运营，可以使整个系统随着环境的变化达到持续的安全。2、网络系统现状分析XX市XX学院在正式搬迁到职教园区内，同步新建了整套校园网络，后期又通过陆陆续续的升级和改造，现已建成如下状况。1、网络架构拓扑图1、内部数据互换如上拓扑图所示，学院有无线和有线两套网络提供使用，整网采用纵向三层设计，分别是核心层、汇聚层和接入层。教学和办公网使用单独的核心互换机S

28、1上联至数据中心核心互换机N18010，避免了在接入区域和宿舍楼数据的混合。2、网络出口整网有两条互联网出口链路，无线顾客和有线顾客各使用一条链路，每条链路各采用独立的一台出口网关进行转发。3、网络安全安全设计分为对外部数据的安全保障和对本地内部数据的安全保障，既有一台防火墙部署在出口网关与核心互换机之间，保障了对外部有害数据的防备。内部服务器区域部署了一台服务器防护WG，下联各服务器，上联核心互换机，保障服务器的安全性。其他设备有网络管理系统、Portal认证系统、计费系统、日记记录系统、顾客自助系统等。2、也许存在的风险XX学院内部的网络比较复杂，加上无线网络的全面覆盖，使用人群多种多样，

29、因此网络安全是XX学院校园网运营过程中所面临的实际问题。1、来自硬件系统的安全威胁硬件的安全问题也可以分为两种，一种是物理安全，一种是设立安全。物理安全是指由于物理设备的放置不合适或者防备不得力，使得服务器、互换机、路由器等网络设备，缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受意外事故或人为破坏，导致网络不能正常运营。设立安全是指在设备上进行必要的设立，如服务器、互换机的密码等，避免黑客获得硬件设备的远程控制权。2、来自学院网络内部的安全威胁校园网内部也存在很大的安全隐患，由于内部顾客对网络的构造和应用模式都比较理解，特别是在校学生，学校一般不能有效的规范和约束学生的上网行为，学生会常

30、常的监听或扫描学校网络，因此来自内部的安全威胁更难应付。3、来自Internet的威胁Internet上有多种不同内容的网站，这些形形色色、良莠不齐的网络资源不仅会占用大量流量资源，导致网络堵塞、上网速度慢等问题，并且由于校园网与Internet相连，校园网也就面临着遭遇袭击的风险。4、系统或软件的漏洞目前使用的操作系统和应用软件都存在安全漏洞，对网络安全构成了威胁。并且目前许多从网络上随意下载的软件中也许隐藏木马、后门等歹意代码这些软件的使用也也许被袭击者侵入和运用。5、管理方面也许存在的漏洞XX学院的顾客群体比较大，数据量大、速度高。随着校园内计算机应用的大范畴普及，接入校园网节点日渐增多

31、，学生通过网络在线看电影、听音乐，很容易导致网络堵塞和病毒传播。而这些节点大部分都没有采用一定的防护措施，随时有也许导致病毒泛滥、信息丢失、数据损坏、网络被袭击、系统瘫痪等严重后果。3、等保三级对网络的规定1、构造安全1. 应保证重要网络设备的业务解决能力具有冗余空间，满足业务高峰期需要；2. 应保证网络各个部分的带宽满足业务高峰期需要；3. 应在业务终端与业务服务器之间进行路由控制建立安全的访问途径；4. 应绘制与目前运营状况相符的网络拓扑构造图；5. 应根据各部门的工作职能、重要性和所波及信息的重要限度等因素，划分不同的子网或网段，并按照以便管理和控制的原则为各子网、网段分派地址段；6.

32、应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其她网段之间采用可靠的技术隔离手段；7. 应按照对业务服务的重要顺序来指定带宽分派优先级别，保证在网络发生拥堵的时候优先保护重要主机。2、访问控制1. 应在网络边界部署访问控制设备，启用访问控制功能；2. 应能根据会话状态信息为数据流提供明确的容许/回绝访问的能力，控制粒度为端口级；3. 应对进出网络的信息内容进行过滤，实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级的控制；4. 应在会话处在非活跃一定期间或会话结束后终结网络连接；5. 应限制网络最大流量数及网络连接数；6. 重要网段应采用技术手段避免

33、地址欺骗；7. 应按顾客和系统之间的容许访问规则，决定容许或回绝顾客对受控系统进行资源访问，控制粒度为单个用8. 应限制具有拨号访问权限的顾客数量3、安全审计1. 应对网络系统中的网络设备运营状况、网络流量、顾客行为等进行日记记录；2. 审计记录应涉及：事件的日期和时间、顾客、事件类型、事件与否成功及其她与审计有关的信息；3. 应可以根据记录数据进行分析，并生成审计报表；4. 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。4、边界完整性检查1. 应可以对非授权设备擅自联到内部网络的行为进行检查，精拟定出位置，并对其进行有效阻断；2. 应可以对内部网络顾客擅自联到外部网络的行为进行检

34、查，精拟定出位置，并对其进行有效阻断。5、入侵防备1. 应在网络边界处监视如下袭击行为：端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等；2. 当检测到袭击行为时，记录袭击源IP、袭击类型、袭击目的、袭击时间，在发生严重入侵事件时应提供报告；6、歹意代码防备1. 应在网络边界处对歹意代码进行检测和清除；2. 应维护歹意代码库的升级和检测系统的更新。7、网络设备防护1. 应对登录网络设备的顾客进行身份鉴别；2. 应对网络设备的管理员登录地址进行限制；3. 网络设备顾客的标记应唯一；4. 重要网络设备应对同一顾客选择两种或两种以上组合的鉴别技术来进行身份

35、鉴别；5. 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度规定并定期更换；6. 应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；7. 当对网络设备进行远程管理时，应采用必要措施避免鉴别信息在网络传播过程中被窃听；8. 应实现设备特权顾客的权限分离4、现状对比与整治方案既有网络虽然已经在各方面比较完善，但是还达不到三级等保的规定，下面从以上7个控制点进行具体的对比，找出存在的问题并提出解决方案。1、 现状对比重要是对已有设备的配备和使用状况进行检查和修改。l 网络及安全设备的配备和优化服务；l 监控分析及优化服务；l 与否进行了路由控制建立安全的访

36、问途径？l 重要网段的隔离部署；l 重要网段应采用技术手段避免地址欺骗；如：MAC+IP绑定l 审计数据的梳理及分析；l 设定顾客的访问权限并配备方略（内部和外部）；l 对登录网络设备的顾客进行身份鉴别和地址限制；l 对重要业务的带宽做最小流量设立。如下表格：l 打钩表达已满足规定。l 未打钩表达未满足规定，需要完善，可通过对既有设备进行深化配备或者增添新设备来实现。构造安全1应保证重要网络设备的业务解决能力具有冗余空间，满足业务高峰期需要；2应保证网络各个部分的带宽满足业务高峰期需要；3应在业务终端与业务服务器之间进行路由控制建立安全的访问途径；4应绘制与目前运营状况相符的网络拓扑构造图；5

37、应根据各部门的工作职能、重要性和所波及信息的重要限度等因素，划分不同的子网或网段，并按照以便管理和控制的原则为各子网、网段分派地址段；6应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其她网段之间采用可靠的技术隔离手段；7应按照对业务服务的重要顺序来指定带宽分派优先级别，保证在网络发生拥堵的时候优先保护重要主机。访问控制1应在网络边界部署访问控制设备，启用访问控制功能；2应能根据会话状态信息为数据流提供明确的容许/回绝访问的能力，控制粒度为端口级；3应对进出网络的信息内容进行过滤，实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级的控制；4应在会话处在

38、非活跃一定期间或会话结束后终结网络连接；5应限制网络最大流量数及网络连接数；6重要网段应采用技术手段避免地址欺骗；7应按顾客和系统之间的容许访问规则，决定容许或回绝顾客对受控系统进行资源访问，控制粒度为单个顾客；8应限制具有拨号访问权限的顾客数量；安全审计1应对网络系统中的网络设备运营状况、网络流量、顾客行为等进行日记记录；2审计记录应涉及：事件的日期和时间、顾客、事件类型、事件与否成功及其她与审计有关的信息；3应可以根据记录数据进行分析，并生成审计报表；4应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。边界完整性检查1应可以对非授权设备擅自联到内部网络的行为进行检查，精拟定出位置，

39、并对其进行有效阻断；2应可以对内部网络顾客擅自联到外部网络的行为进行检查，精拟定出位置，并对其进行有效阻断。入侵防备1应在网络边界处监视如下袭击行为：端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等；2当检测到袭击行为时，记录袭击源IP、袭击类型、袭击目的、袭击时间，在发生严重入侵事件时应提供报歹意代码防备措施。歹意代码防备1应在网络边界处对歹意代码进行检测和清除；2应维护歹意代码库的升级和检测系统的更新。网络设备防护1应对登录网络设备的顾客进行身份鉴别；2应对网络设备的管理员登录地址进行限制；3网络设备顾客的标记应唯一；4重要网络设备应对同一顾客选

40、择两种或两种以上组合的鉴别技术来进行身份鉴别；5身份鉴别信息应具有不易被冒用的特点，口令应有复杂度规定并定期更换；6应具有登录失败解决功能，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；7当对网络设备进行远程管理时，应采用必要措施避免鉴别信息在网络传播过程中被窃听；8应实现设备特权顾客的权限分离2、控制点整治措施1、构造安全重要网络设备的解决能力以及各部分带宽均需满足业务高峰需要；部署优化设备，削减网络流量，更好的满足冗余规定；合理规划路由，在业务终端与业务服务器之间建立安全途径；规划重要网段，在路由互换设备上配备ACL方略进行隔离；网络设备规划带宽优先级，保证在网络发生

41、拥堵时优先保护重要主机。必要时可部署专业流控产品进行管控。2、访问控制网络边界部署如：防火墙等隔离设备；根据基本规定对隔离设备以及网络设备等制定相应的ACL方略。涉及：访问控制粒度、顾客数量等。在配备防火墙等隔离设备的方略时要满足相应规定，涉及：端口级的控制粒度；常用应用层合同命令过滤；会话控制；流量控制；连接数控制；防地址欺骗等。3、安全审计部署网络安全审计系统，记录顾客网络行为、网络设备运营状况、网络流量等，审计记录涉及事件的日期和时间、顾客、事件类型、事件与否成功及其她与审计有关的信息。加强审计功能，具有报表生成功能，同步采用日记服务器进行审计记录的保存，避免非正常删除、修改或覆盖。4、

42、边界完整性检查部署终端安全管理系统，启用非法外联监控以及安全准入功能进行边界完整性检查。在检测的同步要进行有效阻断。5、入侵防备部署入侵检测系统进行入侵行为进行检测。涉及：端口扫描、强力袭击、木马后门袭击等各类袭击行为。配备入侵检测系统的日记模块，记录记录袭击源IP、袭击类型、袭击目的、袭击时间等有关信息，并通过一定的方式进行告警。6、歹意代码防备在网络边界处部署UTM或AV、IPS网关进行歹意代码的检测与清除，并定期升级歹意代码库。升级方式根据与互联网的连接状态采用在线或离线方式。7、网络设备防护根据基本规定配备网络设备自身的身份鉴别与权限控制，涉及：登陆地址、标记符、口令的复杂度（3种以上

43、字符、长度不少于8位）、失败解决，传播加密等方面。对网络设备进行安全加固。对重要网络设备实行双因素认证手段进身份鉴别；对设备的管理员等特权顾客进行不同权限级别的配备，实现权限分离。3、具体整治方案1. 既有网络配备未将重要网段与其她网段之间进行可靠的技术隔离，应采用相应的VLAN隔离技术并为特定的无线顾客配备顾客隔离。2. 既有网络未配备对业务服务的重要顺序并指定带宽分派优先级别，需增添专业的流量控制设备对有线合无线顾客进行全面管控。3. 在出口区域部署的防火墙虽然配备了相应的安全方略，但是没有将某些应用的控制粒度细化到端口级别，需完善配备。4. 既有网络设备没有对进出网络的信息内容进行过滤，

44、实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级的控制，需增添一台专业的行为管理设备进行完善。5. 大部分设备的会话非活跃时间设立均为默认值，应在会话处在非活跃一定期间或会话结束后终结网络连接，需修改设备的相应数值进行完善。6. 出口网关上没有相应的限制网络最大流量数及网络连接数的配备，需根据顾客群体、数量及数据量的大小计算出合理的数值并完善。7. 互换机上没有对重要网段采用技术手段避免地址欺骗，建议全网采用DHCP Snooping + IP Source guard + ARP Check方案或使用DHCP Snooping + DAI方案对地址欺骗进行有效的防备

45、。由于既有网络中有一台SAM认证计费系统，因此也可采用与SAM联动的方式SAM+Supplicant方案。8. 既有设备未配备按顾客和系统之间的容许访问规则，决定容许或回绝顾客对受控系统进行资源访问。应在互换机上添加相应配备，如采用ACL进行控制，控制粒度应为单个顾客。9. 设备未限制具有拨号访问权限的顾客数量，应根据顾客群体及数量在出口区域进行相应的限制。10. 既有设备无法全面有效的记录事件的日期和时间、顾客、事件类型、事件与否成功及其她与审计有关的信息，上述第4条中增添的行为管理设备可对此完美支持。11. 行为管理设备应采用双电源设计，分开两路电源对其供电，配备高复杂度密码并定期进行修改

46、和检查，与日记系统联动，实时转存日记信息，实现对审计记录进行保护，避免受到未预期的删除、修改或覆盖。12. 既有设备无法有效的对非授权设备擅自联到内部网络的行为进行检查、精拟定出位置并对其进行有效阻断，应增添专业的入侵检测设备对既有网络进行完善。13. 既有设备无法全面有效的对内部网络顾客擅自联到外部网络的行为进行检查、精拟定出位置并对其进行有效阻断。上述第4条中增添的行为管理设备可对此完美支持。14. 既有设备无法全面有效监视网络边界处收到的端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等，上述第12条中增添的入侵检测设备可对此完美支持。15. 既

47、有设备无法全面有效的在检测到袭击行为时，记录袭击源IP、袭击类型、袭击目的、袭击时间，并无法全面有效的在发生严重入侵事件时提供歹意代码和防备措施，上述第12条中增添的入侵检测设备可对此完美支持。16. 既有设备无法全面有效的在在网络边界处对歹意代码进行检测和清除，上述第12条中增添的入侵检测设备可对此完美支持。17. 安全类设备应定期维护歹意代码库的升级和检测系统的更新，以免辨认不到最新的歹意代码和袭击方式。18. 既有设备未对网络设备的管理员地址进行限制，应在所有设备上采用ACL等技应对网络设备的管理员登录地址进行限制，只容许管理员所在地址段的指定地址登录设备并进行管理；19. 重要网络设备

48、应对同一顾客选择两种或两种以上组合的鉴别技术来进行身份鉴别，建议采用顾客名+密码+验证码等方式对设备进行登录和管理。20. 设备的身份鉴别信息应具有不易被冒用的特点，口令应有复杂度规定并定期更换；21. 既有设备未配备对登录失败解决功能，如采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施，应完善相应配备。22. 既有大部分设备的远程管理方式均采用Telnet和HTTP方式进行登录管理，无法避免鉴别信息在网络传播过程中被窃听，因此，所有网络设备都应采用SSH和HTTPS的方式对设备进行登录和管理。23. 目前设备未配备对管理员的权限划分，当存在多种不同级别的管理员时，应实现设备特

49、权顾客的权限分离，需完善设备配备。24. 目前在服务器区域的防护只部署了一台WG，但是服务器区域内的数据库得不到有效的安全保障，应从数据完整性和保密性进行防护，因此需要增添专业的数据库审计设备对数据库和网络中传播的数据进行全面检测和审计。4、设备部署方案上述整治措施中涉及服务类与产品类两种解决方式，其中产品类措施中涉及3台设备，分别是行为管理、入侵检测和漏洞扫描。1、行为管理设备1、部署位置为了保证有效的检测和感知顾客行为并阻断非法数据，行为管理设备应部署在核心互换机与出口网关中间，如下图所示： 拓扑图2、设备选型建议由于设备部署在整网的出口区域，除了满足等保所规定的功能，对性能也有一定的规定

50、，设备的互换能力和转发能力必须满足上联两条出口链路总带宽的两倍以上。可对数据进行2-7层的全面检查和分析，深度辨认、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常用应用，并运用智能流控、智能阻断、智能路由、智能DNS方略等技术提供强大的带宽管理特性，配合创新的社交网络行为精细化管理功能、清晰易管理日记等功能。建议采用：RG-UAC2、入侵检测设备1、部署位置为了有效检测整网中传播的数据，入侵检测设备应部署在网络核心层，如下图所示，设备直接旁挂在核心互换机上，核心互换机通过端口镜像将所有数据发送给入侵检测进行检测。拓扑图2、设备选型建议设备应满足上述

51、提到的所有功能，并且定期进行数据库的更新，通过对网络中深层袭击行为进行精确的分析判断，积极有效的保护网络安全。配合实时更新的入侵袭击特性库，检测防护的网络袭击行为应达到3500种以上，涉及DoS/DDoS、病毒、蠕虫、僵尸网络、木马、可疑代码、探测与扫描等多种网络威胁。建议采用国产自主研发品牌。建议采用：RG-IDP3、数据库审计1、部署位置为了有效扫描整并审计网络中所有数据库、服务器等设备，数据库审计应部署在网络核心层，如下图所示，设备直接旁挂在核心互换机上，数据库审计系统可通过核心互换机达到任意网络区域。拓扑图2、设备选型建议设备应满足上述规定的所有功能， 还应以精确完整审计、定位到人为核

52、心技术，并可以对数据库进行优化的数据库安全审计系统。通过对网络中的数据库操作的精确判断，结合政策规定的自定义过滤，输出精确、具体的审计日记，达到who、when、where、what的4W精确审计。全面精确的审计，定位到人保证数据可读、有效，数据库优化协助解决数据库主线问题，可为顾客构建网络数据全透明的安全网络。建议采用：RG-DBS4、流量控制1、部署位置原有的EG1000M部署在了互联网有线出口的链路上，如果与无线出口合并很有也许会由于设备性能有限而导致在网络中浮现瓶颈，新增流控设备应将无线和有线合并起来同步管控，因此应当部署在核心互换机与两台出口网关之间，如下图所示：拓扑图2、设备选型建

53、议设备应满足上述规定的所有功能，可辨认超过1000种的网络应用合同，能对单IP进行应用和流量控制。合用于不同的网络规模，可灵活部署适合的网络设备。建议采用：RG-ACE五、产品选型1、选型建议根据国家有关法律法规，并结合XX市XX学院通信网络的实际规定。我们建议使用品有国内自主知识产权的产品，并且要完全符合XX学院提出的产品资质规定：所有产品是经公安部、国家信息安全测评认证中心等国家权威测试通过，并获得安全产品销售许可证，是在国内政府机关、银行、部队、医疗卫生等系统采用较多，运营稳定的国产防火墙、入侵防御系统、漏洞扫描和流量控制等安全产品，在功能、性能与管理性等方面可以满足XX市XX学院计算机

54、网络的需求。2、选型规定1. 在产品选型时，需要厂家可以提供个性化的安全产品。这样才干保证系统的安全充足满足客户的现状，才干有针对的为顾客的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据顾客的规定对产品进行相应的改善，使产品更加适合顾客的实际需要，而不是一般的通用性产品。2. 采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对顾客的安全至关重要，可以及时提供应急安全响应服务，如在病毒或黑客入侵事件发生的时候，可以在第一时间进行响应，最大限度的保护顾客利益。3. 在选择产品时需要保证符合相应的国际、国内原则，特别是国内有关的安全原则。如国内的安全级别原则、漏洞原则，安

55、全原则以及国际的CVE、ISO13335、ISO15408、ISO17799等原则。4. 产品在使用上应具有和谐的顾客界面，并且可以进行相应的客户化工作，使顾客在管理、使用、维护上尽量简朴、直观。5. 所选择的安全产品尽量与既有设备为同一厂家产品，以便于平常维护、升级、设备联动等。3、设备选型清单序号产品名称产品型号重要参数数量单位备注1入侵检测RG-IDP1台2行为管理RG-UAC1台3数据库审计RG-DBS1台4流量控制RG-ACE1台4、其他阐明一套完整的三级等保建设一般应涉及如下几项：l 物理安全l 网络安全l 主机安全l 应用安全l 数据安全l 安全管理制度l 安全管理机构l 人员安全管理l 系统建设管理l 系统运维管理安全保障不是单个环节、单一层面上问题的解决，必须是全方位、多层次的从技术、管理等方面进行全面的安全设计和建设，本方案中仅设计了网络安所有分的内容，并不涉及其他部分。六、公司简介