XX學(xué)院等保(三級)設(shè)計方案

1、XX市XX學(xué)院等級保護（三級）建設(shè)方案2017年1月目錄一、工程概況4二、需求分析41、建設(shè)背景52、建設(shè)目標(biāo)5三、設(shè)計原則及依據(jù)71、設(shè)計原則72、設(shè)計依據(jù)8四、方案整體設(shè)計91、信息系統(tǒng)定級91、等級保護完全實施過程112、能力、措施和要求113、基本安全要求124、系統(tǒng)的控制類和控制項125、物理安全保護要求136、網(wǎng)絡(luò)安全保護要求147、主機安全保護要求148、應(yīng)用安全保護要求159、數(shù)據(jù)安全與備份恢復(fù)1610、安全管理制度1711、安全管理機構(gòu)1712、人員安全管理1813、系統(tǒng)建設(shè)管理1814、系統(tǒng)運維管理192、等級保護建設(shè)流程202、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析211、網(wǎng)絡(luò)架構(gòu)222、可能

2、存在的風(fēng)險233、等保三級對網(wǎng)絡(luò)的要求241、結(jié)構(gòu)安全242、訪問控制253、安全審計254、邊界完整性檢查255、入侵防范266、惡意代碼防范267、網(wǎng)絡(luò)設(shè)備防護264、現(xiàn)狀對比與整改方案261、現(xiàn)狀對比272、控制點整改措施303、詳細整改方案324、設(shè)備部署方案34五、產(chǎn)品選型381、選型建議382、選型要求393、設(shè)備選型清單39六、公司介紹40一、工程概況信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。在中國，信息安全等級保護廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作XX市

3、XX學(xué)院是2008年元月，經(jīng)自治區(qū)人民政府批準(zhǔn)，國家教育部備案的公辦全日制高等職業(yè)技術(shù)院校。學(xué)院以高等職業(yè)教育為主，同時兼有中等職業(yè)教育職能。學(xué)院開拓辦學(xué)思路，加大投入，改善辦學(xué)條件，拓寬就業(yè)渠道，內(nèi)引外聯(lián)，確立了面向社會、服務(wù)市場，重在培養(yǎng)學(xué)生的創(chuàng)新精神和實踐能力的辦學(xué)宗旨。學(xué)院本著讓學(xué)生既成才，又成人的原則，優(yōu)化人才培養(yǎng)模式，狠抓教育教學(xué)質(zhì)量，增強學(xué)生實踐動手能力，注重對學(xué)生加強德育和行為規(guī)范教育，為企業(yè)和社會培養(yǎng)具有全面素質(zhì)和綜合職業(yè)能力的應(yīng)用型專門人才。學(xué)院雄厚的師資力量、先進的教學(xué)設(shè)備、嚴格的日常管理、完善的文體設(shè)施、優(yōu)質(zhì)的后勤服務(wù)以及寬敞潔凈的學(xué)生公寓和食堂，為廣大師生提供了優(yōu)美、

4、舒適、理想的學(xué)習(xí)、生活和工作環(huán)境。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要包括系統(tǒng)整體測評。二、需求分析為了保障國家關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)

5、合我國的基本國情，制定了等級保護制度。并將等級保護制度作為國家信息安全保障工作的基本制度、基本國策，促進信息化、維護國家信息安全的根本保障。1、建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對信息系統(tǒng)依賴的程度越來越高，教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國教育信息安全等級保護工作，國家教委教辦廳函200980文件發(fā)

6、出“關(guān)于開展信息系統(tǒng)安全等級保護工作的通知”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級保護工作方案；教育部辦公廳印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知（教辦廳函2010 80號）。XX市XX學(xué)院的網(wǎng)絡(luò)系統(tǒng)在近幾年逐步完善，作為一個現(xiàn)代化的教學(xué)機構(gòu)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動化辦公需求以外,還應(yīng)對外界的通訊保證暢通。結(jié)合學(xué)校的“校務(wù)管理”、“教學(xué)科研”、“招生就業(yè)”、“綜合服務(wù)”等業(yè)務(wù)信息平臺，要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣的網(wǎng)絡(luò)上應(yīng)運用多種設(shè)備和先進技術(shù)來保證系統(tǒng)的正常運作和穩(wěn)定的效率。同時學(xué)校的網(wǎng)絡(luò)系統(tǒng)中內(nèi)部及外部的訪問量巨大，訪

7、問人員比較復(fù)雜，所以如何保證學(xué)校網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社會進程中，計算機網(wǎng)絡(luò)幾乎延伸到了世界每一個角落，它不停的改變著我們的工作生活方式和思維方式，但是，計算機信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計算機操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴密，都會使計算機網(wǎng)絡(luò)受到威脅。2、建設(shè)目標(biāo)本次XX市XX學(xué)院業(yè)務(wù)系統(tǒng)等級保護安全建設(shè)的主要目標(biāo)是：按照等級保護要求，結(jié)合實際業(yè)務(wù)系統(tǒng)，對學(xué)院核心業(yè)務(wù)系統(tǒng)進行充分調(diào)研及詳細分析，將學(xué)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務(wù)需要，又符合等級保護三級系統(tǒng)要求的業(yè)務(wù)平臺。 建設(shè)一套符合國

8、家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保障體系，達到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運行。該體系覆蓋信息系統(tǒng)安全所要求的各項內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，滿足學(xué)院信息安全要求。本方案的安全措施框架是依據(jù)“積極防御、綜合防范”的方針，以及“管理與技術(shù)并重”的原則，并結(jié)合等級保護基本要求進行設(shè)計。技術(shù)體系：網(wǎng)絡(luò)層面：關(guān)注安全域劃分、訪問控制、抗拒絕服務(wù)攻擊，針對區(qū)域邊界采取防火墻進行隔離，并在隔離后的各個安全區(qū)域邊界執(zhí)行嚴格的訪問控制，防止非法訪問；利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計等網(wǎng)絡(luò)安全產(chǎn)品，為客戶構(gòu)建嚴密、專業(yè)的網(wǎng)絡(luò)安全保障體系。應(yīng)用層面：W

9、EB應(yīng)用防火墻能夠?qū)EB應(yīng)用漏洞進行預(yù)先掃描，同時具備對SQL注入、跨站腳本等通過應(yīng)用層的入侵動作實時阻斷，并結(jié)合網(wǎng)頁防篡改子系統(tǒng)，真正達到雙重層面的“網(wǎng)頁防篡改”效果。數(shù)據(jù)層面，數(shù)據(jù)庫將被隱藏在安全區(qū)域，同時通過專業(yè)的安全加固服務(wù)對數(shù)據(jù)庫進行安全評估和配置，對數(shù)據(jù)庫的訪問權(quán)限進行嚴格設(shè)定，最大限度保證數(shù)據(jù)庫安全。同時，利用SAN、遠程數(shù)據(jù)備份系統(tǒng)有效保護重要數(shù)據(jù)信息的健康度。管理體系：在安全管理體系的設(shè)計中，我們借助豐富的安全咨詢經(jīng)驗和對等級保護管理要求的清晰理解，為用戶量身定做符合實際的、可操作的安全管理體系。安全服務(wù)體系：風(fēng)險評估服務(wù)：評估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)分析，分析業(yè)務(wù)運作

10、和管理方面存在的安全缺陷，調(diào)查系統(tǒng)現(xiàn)有的安全控制措施，評價用戶的業(yè)務(wù)安全風(fēng)險承擔(dān)能力；安全監(jiān)控服務(wù)：通過資深的安全專家對各種安全事件的日志、記錄實時監(jiān)控與分析，發(fā)現(xiàn)各種潛在的危險，并提供及時的修補和防御措施建議；滲透測試服務(wù)：利用網(wǎng)絡(luò)安全掃描器、專用安全測試工具和專業(yè)的安全工程師的人工經(jīng)驗對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細節(jié)產(chǎn)生報告給用戶；應(yīng)急響應(yīng)服務(wù)：針對信息系統(tǒng)危機狀況的緊急響應(yīng)、分析、解決問題的服務(wù)，當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時，可以提供緊急的救援措施。方案收益實施信息安全等級保護建設(shè)工作可以為高校信息化

11、建設(shè)實現(xiàn)如下收益：ü 有利于提高信息和信息系統(tǒng)安全建設(shè)的整體水平；ü 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展；ü 有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；ü 有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障重要信息系統(tǒng)的安全；ü 有利于明確信息安全責(zé)任，加強信息安全管理；ü 有利于推動信息安全的發(fā)展三、設(shè)計原則及依據(jù)1、設(shè)計原則根據(jù)學(xué)院的要求和國家有關(guān)法規(guī)的要求，本系統(tǒng)方案設(shè)計遵循性能先進、質(zhì)量可靠、經(jīng)濟實用的原則，為實現(xiàn)學(xué)院

12、等級保護管理奠定了基礎(chǔ)。l 全面保障：信息安全風(fēng)險的控制需要多角度、多層次，從各個環(huán)節(jié)入手，全面的保障。 l 整體規(guī)劃，分步實施：對信息安全建設(shè)進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。l 同步規(guī)劃、同步建設(shè)、同步運行：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。 l 適度安全：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。 l 內(nèi)外并重：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時，加強規(guī)范內(nèi)部人員行為和訪問控制、監(jiān)控和審計能力。 l 標(biāo)準(zhǔn)化管理要規(guī)范化

13、、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次的組織體系中有效的控制風(fēng)險。 l 技術(shù)與管理并重：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。2、設(shè)計依據(jù)根據(jù)學(xué)院現(xiàn)有情況，本次方案的設(shè)計嚴格按照現(xiàn)行中華人民共和國以及內(nèi)蒙古自治區(qū)與行業(yè)的工程建設(shè)標(biāo)準(zhǔn)、規(guī)范的要求執(zhí)行。在后期設(shè)計或?qū)嵤┻^程中，如國家有新法規(guī)、規(guī)范頒布，應(yīng)以新頒布的法規(guī)規(guī)范為準(zhǔn)。本方案執(zhí)行下列有關(guān)技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程但不限于以下技術(shù)標(biāo)準(zhǔn)、規(guī)范、規(guī)程。l 計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則 （GB 17859-1999）l 信息系統(tǒng)安全等

14、級保護實施指南 （GB/T 25058-2010）l 信息系統(tǒng)安全保護等級定級指南 （GB/T 22240-2008）l 信息系統(tǒng)安全等級保護基本要求 （GB/T 22239-2008）l 信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006）l 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 （GB/T 25070-2010）l 信息系統(tǒng)安全等級保護測評要求 （GB/T 28448-2012）l 信息系統(tǒng)安全等級保護測評過程指南 （GB/T 28449-2012）l 信息系統(tǒng)安全管理要求 （GB/T 20269-2006）l 信息系統(tǒng)安全工程管理要求 （GB/T 20282-2006）l 信息系統(tǒng)物

15、理安全技術(shù)要求 （GB/T 21052-2007）l 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 （GB/T 20270-2006）l 信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006）l 操作系統(tǒng)安全技術(shù)要求 （GB/T 20272-2006）l 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 （GB/T 20273-2006）l 信息安全風(fēng)險評估規(guī)范 （GB/T 20984-2007）l 信息安全事件管理指南 （GB/T 20985-2007）l 信息安全事件分類分級指南 （GB/Z 20986-2007）l 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 （GB/T 20988-2007）四、方案整體設(shè)計1、信息系統(tǒng)定級確定信息系統(tǒng)安全保護等級

16、的流程如下：l 識別單位基本信息  了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。 l 識別業(yè)務(wù)種類、流程和服務(wù) 應(yīng)重點了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機構(gòu)或個人的影響等方面。這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。 l 識別信息 調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需

17、求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。 l 識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界 調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護的關(guān)系。l 識別主要的軟硬件設(shè)備調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的

18、共用程度。 l 識別用戶類型和分布調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。 l 根據(jù)信息安全等級矩陣表，形成定級結(jié)果1、等級保護完全實施過程2、能力、措施和要求3、基本安全要求4、系統(tǒng)的控制類和控制項5、物理安全保護要求物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。物理安全具體包括以下10個控制點：l 物理位置的選擇（G）l 物理訪問控制（G）l 防盜竊和防破壞（G）l 防雷擊（G)l 防火（G）l 防水和防

19、潮（G）l 防靜電（G）l 溫濕度控制（G）l 電力供應(yīng)（A）l 電磁防護（S）整改要點：6、網(wǎng)絡(luò)安全保護要求網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等。網(wǎng)絡(luò)安全具體包括以下7個控制點：l 結(jié)構(gòu)安全(G)l 訪問控制(G)l 安全審計(G)l 邊界完整性檢查(A)l 入侵防范(G)l 惡意代碼防范(G)l 網(wǎng)絡(luò)設(shè)備防護(G)。整改要點：7、主機安全保護要求主機系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。主機安全具體包括以下7個控制點：l 身份鑒別(S)l 訪問控制(S)l 安全審計(G)l 剩余信息保護(S)l 入侵防范(G)

20、l 惡意代碼防范(G)l 資源控制(A)整改要點：8、應(yīng)用安全保護要求應(yīng)用系統(tǒng)的安全就是保護系統(tǒng)的各種應(yīng)用程序安全運行。包括基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等。應(yīng)用安全具體包括以下9個控制點：l 身份鑒別（S）l 訪問控制（S）l 安全審計（G）l 剩余信息保護（S）l 通信完整性（S）l 通信保密性（S）l 抗抵賴（G）l 軟件容錯（A）l 資源控制（A）整改要點：9、數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護。將對數(shù)據(jù)造成的損害降至最小。備份恢復(fù)也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，主要包括數(shù)據(jù)備份、硬件冗余和異地實時備份

21、。數(shù)據(jù)安全和備份恢復(fù)具體包括以下3個控制點：l 數(shù)據(jù)完整性（S）l 數(shù)據(jù)保密性（S）、l 備份和恢復(fù)（A）整改要點：10、安全管理制度安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度具體包括以下3個控制點：l 管理制度l 制定和發(fā)布l 評審和修訂整改要點：形成信息安全管理制度體系、統(tǒng)一發(fā)布、定期修訂等11、安全管理機構(gòu)安全管理機構(gòu)主要是在單位的內(nèi)部結(jié)構(gòu)上建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行。安全管理機構(gòu)具體包括以下5個控制點：l 崗位設(shè)置l 人

22、員配備l 授權(quán)和審批l 溝通和合作l 審核和檢查整改要點：信息安全領(lǐng)導(dǎo)小組與職能部門、專職安全員、定期全面安全檢查、定期協(xié)調(diào)會議、外部溝通與合作等12、人員安全管理對人員安全的管理，主要涉及兩方面： 對內(nèi)部人員的安全管理和對外部人員的安全管理。人員安全管理具體包括以下5個控制點：l 人員錄用l 人員離崗l 人員考核l 安全意識教育及培訓(xùn)l 外部人員訪問管理整改要點：全員保密協(xié)議、關(guān)鍵崗位人員管理、針對不同崗位的培訓(xùn)計劃、外部人員訪問管理13、系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理分別從定級、設(shè)計建設(shè)實施、驗收交付、測評等方面考慮，關(guān)注各項安全管理活動。系統(tǒng)建設(shè)管理具體包括以下11個控制點：l 系統(tǒng)定級l 安

23、全方案設(shè)計l 產(chǎn)品采購和使用l 自行軟件開發(fā)l 外包軟件開發(fā)l 工程實施 l 測試驗收l 系統(tǒng)交付l 系統(tǒng)備案l 等級測評l 安全服務(wù)商選擇整改要點：系統(tǒng)定級的論證、總體規(guī)劃、產(chǎn)品選型測試、開發(fā)過程的人員控制、工程實施制度化、第三方委托測試、運行起30 天內(nèi)備案、每年進行1次等級測評、安全服務(wù)商的選擇14、系統(tǒng)運維管理系統(tǒng)運維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運維管理具體包括以下13個控制點：l 環(huán)境管理l 資產(chǎn)管理l 介質(zhì)管理l 設(shè)備管理、l 監(jiān)控管理和安全管理中心l 網(wǎng)絡(luò)安全管理l 系統(tǒng)安全管理l 惡意代碼防范管理l 密碼管理l 變更管理l

24、 備份與恢復(fù)管理l 安全事件處置l 應(yīng)急預(yù)案管理整改要點：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備份與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類分級響應(yīng)、 應(yīng)急預(yù)案的演練和審查。本次等保三級方案主要針對學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進行設(shè)計。2、等級保護建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級保護基本要求分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護基本要求則分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面。 整個安全保障體系各部

25、分既有機結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進行系統(tǒng)建設(shè)和運行維護。”據(jù)等級化安全保障體系的設(shè)計思路，等級保護的設(shè)計與實施通過以下步驟進行：1. 系統(tǒng)識別與定級：確定保護對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計、安全保障體系框架設(shè)計、安全要求選擇以及安全措施選擇提供依據(jù)。 2. 安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域

26、劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。 3. 確定安全域安全要求：參照國家相關(guān)等級保護安全要求，設(shè)計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標(biāo)。 4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風(fēng)險評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計和安全管理建設(shè)提供依

27、據(jù)。 5. 安全保障體系方案設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細安全技術(shù)設(shè)計、安全管理設(shè)計。6. 安全建設(shè)：根據(jù)方案設(shè)計內(nèi)容逐步進行安全建設(shè)，滿足方案設(shè)計做要符合的安全需求，滿足等級保護相應(yīng)等級的基本要求，實現(xiàn)按需防御。 7. 持續(xù)安全運維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急響應(yīng)等，從事前、事中、事后三個方面進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)

28、，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級保護不是一個項目，它應(yīng)該是一個不斷循環(huán)的過程，所以通過整個安全項目、安全服務(wù)的實施，來保證用戶等級保護的建設(shè)能夠持續(xù)的運行，能夠使整個系統(tǒng)隨著環(huán)境的變化達到持續(xù)的安全。2、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時新建了整套校園網(wǎng)絡(luò)，后期又經(jīng)過陸陸續(xù)續(xù)的升級和改造，現(xiàn)已建成如下情況。1、網(wǎng)絡(luò)架構(gòu)拓撲圖1、內(nèi)部數(shù)據(jù)交換如上拓撲圖所示，學(xué)院有無線和有線兩套網(wǎng)絡(luò)提供使用，整網(wǎng)采用縱向三層設(shè)計，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨的核心交換機S12006上聯(lián)至數(shù)據(jù)中心核心交換機N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)

29、據(jù)的混合。2、網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨立的一臺出口網(wǎng)關(guān)進行轉(zhuǎn)發(fā)。3、網(wǎng)絡(luò)安全安全設(shè)計分為對外部數(shù)據(jù)的安全保障和對本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺防火墻部署在出口網(wǎng)關(guān)與核心交換機之間，保障了對外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺服務(wù)器防護WG，下聯(lián)各服務(wù)器，上聯(lián)核心交換機，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認證系統(tǒng)、計費系統(tǒng)、日志記錄系統(tǒng)、用戶自助系統(tǒng)等。2、可能存在的風(fēng)險XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運行過程中所面臨的實際問題。1、來自硬

30、件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。 物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運行。設(shè)置安全是指在設(shè)備上進行必要的設(shè)置，如服務(wù)器、交換機的密碼等，防止黑客取得硬件設(shè)備的遠程控制權(quán)。2、來自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付

31、。3、來自Internet的威脅 Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險。4、系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。5、管理方面可能存在的漏洞XX學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造

32、成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果。3、等保三級對網(wǎng)絡(luò)的要求1、結(jié)構(gòu)安全1. 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2. 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；4. 應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6. 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接

33、外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7. 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。2、訪問控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2. 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3. 應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4. 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪

34、問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用8. 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量3、安全審計1. 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；2. 審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；4. 應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。4、邊界完整性檢查1. 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷；2. 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。5、

35、入侵防范1. 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2. 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報告；6、惡意代碼防范1. 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；2. 應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。7、網(wǎng)絡(luò)設(shè)備防護1. 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；2. 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；3. 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；4. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；5. 身份鑒別信息應(yīng)具有不易被冒用的

36、特點，口令應(yīng)有復(fù)雜度要求并定期更換；6. 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；7. 當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；8. 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離4、現(xiàn)狀對比與整改方案現(xiàn)有網(wǎng)絡(luò)雖然已經(jīng)在各方面比較完善，但是還達不到三級等保的要求，下面從以上7個控制點進行詳細的對比，找出存在的問題并提出解決方案。1、 現(xiàn)狀對比主要是對已有設(shè)備的配置和使用情況進行檢查和修改。l 網(wǎng)絡(luò)及安全設(shè)備的配置和優(yōu)化服務(wù)；l 監(jiān)控分析及優(yōu)化服務(wù)；l 是否進行了路由控制建立安全的訪問路徑？l 重要網(wǎng)段的隔離部署；l 重要網(wǎng)

37、段應(yīng)采取技術(shù)手段防止地址欺騙；如：MAC+IP綁定l 審計數(shù)據(jù)的梳理及分析；l 設(shè)定用戶的訪問權(quán)限并配置策略（內(nèi)部和外部）；l 對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別和地址限制；l 對重要業(yè)務(wù)的帶寬做最小流量設(shè)置。如下表格：l 打鉤表示已滿足要求。l 未打鉤表示未滿足要求，需要完善，可通過對現(xiàn)有設(shè)備進行深化配置或者增添新設(shè)備來實現(xiàn)。結(jié)構(gòu)安全1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；3應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；4應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；5應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息

38、的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。訪問控制1應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5

39、應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；8應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；安全審計1應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；2審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；3應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；4應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷；2應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶

40、私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。入侵防范1應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；2當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報惡意代碼防范措施。惡意代碼防范1應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；2應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備防護1應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；2應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；3網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；4主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒

41、別；5身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；6應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；7當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；8應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離2、控制點整改措施1、結(jié)構(gòu)安全主要網(wǎng)絡(luò)設(shè)備的處理能力以及各部分帶寬均需滿足業(yè)務(wù)高峰需要； 部署優(yōu)化設(shè)備，削減網(wǎng)絡(luò)流量，更好的滿足冗余要求；合理規(guī)劃路由，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑； 規(guī)劃重要網(wǎng)段，在路由交換設(shè)備上配置ACL策略進行隔離； 網(wǎng)絡(luò)設(shè)備規(guī)劃帶寬優(yōu)先級，保證在網(wǎng)絡(luò)發(fā)生擁堵時

42、優(yōu)先保護重要主機。必要時可部署專業(yè)流控產(chǎn)品進行管控。2、訪問控制網(wǎng)絡(luò)邊界部署如：防火墻等隔離設(shè)備； 根據(jù)基本要求對隔離設(shè)備以及網(wǎng)絡(luò)設(shè)備等制定相應(yīng)的ACL策略。包括：訪問控制粒度、用戶數(shù)量等。在配置防火墻等隔離設(shè)備的策略時要滿足相應(yīng)要求，包括：端口級的控制粒度；常見應(yīng)用層協(xié)議命令過濾；會話控制；流量控制；連接數(shù)控制；防地址欺騙等。3、安全審計部署網(wǎng)絡(luò)安全審計系統(tǒng)，記錄用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量等，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。加強審計功能，具備報表生成功能，同時采用日志服務(wù)器進行審計記錄的保存，避免非正常刪除、修改或覆蓋

43、。4、邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能進行邊界完整性檢查。在檢測的同時要進行有效阻斷。5、入侵防范部署入侵檢測系統(tǒng)進行入侵行為進行檢測。包括：端口掃描、強力攻擊、木馬后門攻擊等各類攻擊行為。配置入侵檢測系統(tǒng)的日志模塊，記錄記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關(guān)信息，并通過一定的方式進行告警。6、惡意代碼防范在網(wǎng)絡(luò)邊界處部署UTM或AV、IPS網(wǎng)關(guān)進行惡意代碼的檢測與清除，并定期升級惡意代碼庫。升級方式根據(jù)與互聯(lián)網(wǎng)的連接狀態(tài)采取在線或離線方式。7、網(wǎng)絡(luò)設(shè)備防護根據(jù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登陸地址、標(biāo)識符、口令的復(fù)雜度（3

44、種以上字符、長度不少于8位）、失敗處理，傳輸加密等方面。 對網(wǎng)絡(luò)設(shè)備進行安全加固。對主要網(wǎng)絡(luò)設(shè)備實施雙因素認證手段進身份鑒別； 對設(shè)備的管理員等特權(quán)用戶進行不同權(quán)限等級的配置，實現(xiàn)權(quán)限分離。3、詳細整改方案1. 現(xiàn)有網(wǎng)絡(luò)配置未將重要網(wǎng)段與其他網(wǎng)段之間進行可靠的技術(shù)隔離，應(yīng)采用相應(yīng)的VLAN隔離技術(shù)并為特定的無線用戶配置用戶隔離。2. 現(xiàn)有網(wǎng)絡(luò)未配置對業(yè)務(wù)服務(wù)的重要次序并指定帶寬分配優(yōu)先級別，需增添專業(yè)的流量控制設(shè)備對有線合無線用戶進行全面管控。3. 在出口區(qū)域部署的防火墻雖然配置了相應(yīng)的安全策略，但是沒有將某些應(yīng)用的控制粒度細化到端口級別，需完善配置。4. 現(xiàn)有網(wǎng)絡(luò)設(shè)備沒有

45、對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制，需增添一臺專業(yè)的行為管理設(shè)備進行完善。5. 大部分設(shè)備的會話非活躍時間設(shè)置均為默認值，應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，需修改設(shè)備的相應(yīng)數(shù)值進行完善。6. 出口網(wǎng)關(guān)上沒有相應(yīng)的限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的配置，需根據(jù)用戶群體、數(shù)量及數(shù)據(jù)量的大小計算出合理的數(shù)值并完善。7. 交換機上沒有對重要網(wǎng)段采取技術(shù)手段防止地址欺騙，建議全網(wǎng)采用DHCP Snooping + IP Source guard + ARP Check方案或使用DHCP Snooping + DA

46、I方案對地址欺騙進行有效的防范。由于現(xiàn)有網(wǎng)絡(luò)中有一臺SAM認證計費系統(tǒng)，所以也可采用與SAM聯(lián)動的方式SAM+Supplicant方案。8. 現(xiàn)有設(shè)備未配置按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。應(yīng)在交換機上添加相應(yīng)配置，如采用ACL進行控制，控制粒度應(yīng)為單個用戶。9. 設(shè)備未限制具有撥號訪問權(quán)限的用戶數(shù)量，應(yīng)根據(jù)用戶群體及數(shù)量在出口區(qū)域進行相應(yīng)的限制。10. 現(xiàn)有設(shè)備無法全面有效的記錄事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息，上述第4條中增添的行為管理設(shè)備可對此完美支持。11. 行為管理設(shè)備應(yīng)采用雙電源設(shè)計，分開兩路電源對其供電，

47、配置高復(fù)雜度密碼并定期進行修改和檢查，與日志系統(tǒng)聯(lián)動，實時轉(zhuǎn)存日志信息，實現(xiàn)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋。12. 現(xiàn)有設(shè)備無法有效的對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查、準(zhǔn)確定出位置并對其進行有效阻斷，應(yīng)增添專業(yè)的入侵檢測設(shè)備對現(xiàn)有網(wǎng)絡(luò)進行完善。13. 現(xiàn)有設(shè)備無法全面有效的對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查、準(zhǔn)確定出位置并對其進行有效阻斷。上述第4條中增添的行為管理設(shè)備可對此完美支持。14. 現(xiàn)有設(shè)備無法全面有效監(jiān)視網(wǎng)絡(luò)邊界處收到的端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，上述第12條中增添的入侵檢測

48、設(shè)備可對此完美支持。15. 現(xiàn)有設(shè)備無法全面有效的在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并無法全面有效的在發(fā)生嚴重入侵事件時提供惡意代碼和防范措施，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。16. 現(xiàn)有設(shè)備無法全面有效的在在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除，上述第12條中增添的入侵檢測設(shè)備可對此完美支持。17. 安全類設(shè)備應(yīng)定期維護惡意代碼庫的升級和檢測系統(tǒng)的更新，以免識別不到最新的惡意代碼和攻擊方式。18. 現(xiàn)有設(shè)備未對網(wǎng)絡(luò)設(shè)備的管理員地址進行限制，應(yīng)在所有設(shè)備上采用ACL等技應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制，只允許管理員所在地址段的指定地址登錄設(shè)備并

49、進行管理；19. 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別，建議采用用戶名+密碼+驗證碼等方式對設(shè)備進行登錄和管理。20. 設(shè)備的身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；21. 現(xiàn)有設(shè)備未配置對登錄失敗處理功能，如采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施，應(yīng)完善相應(yīng)配置。22. 現(xiàn)有大部分設(shè)備的遠程管理方式均采用Telnet和HTTP方式進行登錄管理，無法防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽，因此，所有網(wǎng)絡(luò)設(shè)備都應(yīng)采用SSH和HTTPS的方式對設(shè)備進行登錄和管理。23. 當(dāng)前設(shè)備未配置對管理員的權(quán)限劃分，當(dāng)存在多個不

50、同等級的管理員時，應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，需完善設(shè)備配置。24. 當(dāng)前在服務(wù)器區(qū)域的防護只部署了一臺WG，但是服務(wù)器區(qū)域內(nèi)的數(shù)據(jù)庫得不到有效的安全保障，應(yīng)從數(shù)據(jù)完整性和保密性進行防護，所以需要增添專業(yè)的數(shù)據(jù)庫審計設(shè)備對數(shù)據(jù)庫和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行全面檢測和審計。4、設(shè)備部署方案上述整改措施中包含服務(wù)類與產(chǎn)品類兩種解決方式，其中產(chǎn)品類措施中包含3臺設(shè)備，分別是行為管理、入侵檢測和漏洞掃描。1、行為管理設(shè)備1、部署位置為了保證有效的檢測和感知用戶行為并阻斷非法數(shù)據(jù)，行為管理設(shè)備應(yīng)部署在核心交換機與出口網(wǎng)關(guān)中間，如下圖所示： 拓撲圖2、設(shè)備選型建議由于設(shè)備部署在整網(wǎng)的出口區(qū)域，除了滿足等保所要求的功能，對性能也有一定的要求，設(shè)備的交換能力和轉(zhuǎn)發(fā)能力必須滿足上聯(lián)兩條出口鏈路總帶寬的兩倍以上?？蓪?shù)據(jù)進行2-7層的全面檢查和分析，深度識別、管控和審計數(shù)百種IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等常見應(yīng)用，并利用智能流控、智能阻斷、智能路由、智能DNS策略等技術(shù)提供強大的帶寬管理特性，配合創(chuàng)新的社交網(wǎng)絡(luò)行為精細化管理功能、清晰易管理日志等功能。建議采用：RG-UAC2、入侵檢測設(shè)備1、部署位置為了有效檢測整網(wǎng)中傳輸?shù)臄?shù)據(jù)，入侵檢測設(shè)備應(yīng)部署在網(wǎng)絡(luò)核心層，如下圖所