網(wǎng)絡(luò)安全等級保護（第三級）（等保2.0）建設(shè)方案

網(wǎng)絡(luò)安全等級保護（第三級）（等保2.0）

建

設(shè)

方

案

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

目錄

第一章項目概述........................................4

1.1項目概述........................................4

1.2項目建設(shè)背景....................................4

1.2.1法律要求..................................5

1.2.2政策要求..................................7

1.3項目建設(shè)目標(biāo)及內(nèi)容..............................7

1.3.1項目建設(shè)目標(biāo)..............................7

1.3.2建設(shè)內(nèi)容..................................8

第二章現(xiàn)狀與差距分析..................................9

2.1現(xiàn)狀概述........................................9

2.1.1信息系統(tǒng)現(xiàn)狀..............................9

2.2現(xiàn)狀與差距分析.................................11

2.2.1物理安全現(xiàn)狀與差距分析...................11

2.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析...................19

2.2.3主機安全現(xiàn)狀與差距分析...................32

2.2.4應(yīng)用安全現(xiàn)狀與差距分析...................44

2.2.5數(shù)據(jù)安全現(xiàn)狀與差距分析...................56

2.2.6安全管理現(xiàn)狀與差距分析...................59

2.3綜合整改建議...................................65

2.3.1技術(shù)措施綜合整改建議.....................65

2.3.2安全管理綜合整改建議.....................81

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

第三章安全建設(shè)目標(biāo)...................................83

第四章安全整體規(guī)劃...................................85

4.1建設(shè)指導(dǎo).......................................85

4.1.1指導(dǎo)原則.................................85

4.1.2安全防護體系設(shè)計整體架構(gòu)................86

4.2安全技術(shù)規(guī)劃...................................88

4.2.1安全建設(shè)規(guī)劃拓樸圖......................88

4.2.2安全設(shè)備功能.............................89

4.3建設(shè)目標(biāo)規(guī)劃...................................95

第五章工程建設(shè).......................................98

5.1工程一期建設(shè)...................................98

5.1.1區(qū)域劃分.................................98

5.1.2網(wǎng)絡(luò)環(huán)境改造.............................99

5.1.3網(wǎng)絡(luò)邊界安全加固.......................99

5.1.4網(wǎng)絡(luò)及安全設(shè)備部署......................100

5.1.5安全管理體系建設(shè)服務(wù)....................135

5.1.6安全加固服務(wù)...........................153

5.1.7應(yīng)急預(yù)案和應(yīng)急演練.....................161

5.1.8安全等保認(rèn)證協(xié)助服務(wù)....................161

5.2工程二期建設(shè)..................................162

5.2.1安全運維管理平臺（soc）................162

5.2.2APT高級威脅分析平臺....................166

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

第一章項目概述

1.1項目概述

某單位是人民政府的職能部門，貫徹執(zhí)行國家有關(guān)機關(guān)事務(wù)

工作的方針政策，擬訂省機關(guān)事務(wù)工作的政策、規(guī)劃和規(guī)章制度

并組織實施，負(fù)責(zé)省機關(guān)事務(wù)的管理、保障、服務(wù)工作。

在面對現(xiàn)在越來越嚴(yán)重的網(wǎng)絡(luò)安全態(tài)勢下，某單位積極響應(yīng)

國家相關(guān)政策法規(guī)，積極開展信息安全等級保護建設(shè)。對自有網(wǎng)

絡(luò)安全態(tài)勢進行自我核查，補齊等保短板，履行安全保護義務(wù)。

項目目標(biāo)：打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)

境，更好的為機關(guān)各部門及領(lǐng)導(dǎo)者和公務(wù)人員提供工作和生活條

件，更好的保障各項行政活動正常進行。

1.2項目建設(shè)背景

機關(guān)后勤管理工作因為其政府內(nèi)部服務(wù)的特殊性，一直比較

少地為社會公眾所關(guān)注或重視。機關(guān)后勤管理包括對物資、財

務(wù)、環(huán)境、生活以及各種服務(wù)項目在內(nèi)的事務(wù)工作的管理，是行

政機關(guān)辦公室管理的重要一環(huán)，為機關(guān)各部門以及領(lǐng)導(dǎo)者和公務(wù)

人員提供工作和生活條件，是保障各項行政活動正常進行的物質(zhì)

基礎(chǔ)。

隨著這幾年地區(qū)經(jīng)濟的高速發(fā)展和政府行政職能分配管理的

需要，使機關(guān)事務(wù)管理工作的管理范圍和管理對象也相應(yīng)的擴展

和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務(wù)管理

4

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

工作方面，如對政府機關(guān)單位固定資產(chǎn)的管理、房屋出租、分配

的管理等，同時，隨著這幾年國家對資產(chǎn)管理的重視，信息化建

設(shè)從原來注重財務(wù)管理信息化逐漸向國有資產(chǎn)管理信息化發(fā)展，

作為機關(guān)事務(wù)管理的機構(gòu)，正承擔(dān)著這樣一種責(zé)任和使命。同時

在面對現(xiàn)在不容樂觀的整體安全態(tài)勢環(huán)境下，開展機關(guān)事務(wù)管理

的信息化建設(shè)與信息安全建設(shè)，是整個社會和國家發(fā)展的必然趨

勢。

1.2.1法律要求

在2017年6月1日頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中

明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。具體如下：

“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二

十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度”。各網(wǎng)絡(luò)運

營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護的定級備案、等級測

評、安全建設(shè)、安全檢查等工作。除此之外，《網(wǎng)絡(luò)安全法》中

還從網(wǎng)絡(luò)運行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)信息安全

等對以下方面做了詳細(xì)規(guī)定：

網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定內(nèi)

部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安

全保護責(zé)任;采取防計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)

安全行為的技術(shù)措施;采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事

件的技術(shù)措施，留存不少于六個月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分

類、重要數(shù)據(jù)備份和加密等措施。未履行上述網(wǎng)絡(luò)安全保護義務(wù)

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

的，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全

等后果的，處一萬元以上I萬元以下罰款，對直接負(fù)責(zé)的主管人

員處五千元以上五萬元以下罰款。

漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全

事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)

絡(luò)侵入等安全風(fēng)險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急

預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時處置高危漏洞、網(wǎng)絡(luò)攻

擊的;在發(fā)生網(wǎng)絡(luò)安全事件時處置不恰當(dāng)?shù)?，會被依照此條款責(zé)令

整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上

十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以

下罰款。

容災(zāi)備份：第三十四條第三項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位

對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份。沒有對重要系統(tǒng)和數(shù)據(jù)庫進

行容災(zāi)備份的會被依照此條款責(zé)令改正。

應(yīng)急演練：第三十四條第四項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位

應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練Q沒有網(wǎng)絡(luò)安

全事件預(yù)案的，或者沒有定期演練的，會被依照此條進行責(zé)令改

正。

安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營

者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能

存在的風(fēng)險每年至少進行一次檢測評估，并將檢測評估情況和改

6

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

進措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。每

年沒有進行安全檢測評估的單位要被責(zé)令改正。

1.2?2政策要求

為切實加強門戶網(wǎng)站安全管理和防護，保障網(wǎng)站安全穩(wěn)定運

行，國家非常重視，陸續(xù)頒布以下文件：《關(guān)于加強黨政機關(guān)網(wǎng)

站安全管理的通知》（中網(wǎng)辦發(fā)文（2014）1號）、《關(guān)于做好黨

政機關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標(biāo)識管理工作的通知》

（中央編辦發(fā)（2014）69號），公安部、中央網(wǎng)信辦、中編辦、

工信部等四部門《關(guān)于印發(fā)〈黨政機關(guān)、事業(yè)單位和國有企業(yè)互

聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案〉的通知》（公信安（2015）

2562號）

1.3項目建設(shè)目標(biāo)及內(nèi)容

1.3.1項目建設(shè)目標(biāo)

依據(jù)國家信息安全等級保護相關(guān)指導(dǎo)規(guī)范，對某單位信息系

統(tǒng)、基礎(chǔ)設(shè)施和骨干網(wǎng)絡(luò)按照等保三級進行安全建設(shè)規(guī)劃，對安

全建設(shè)進行統(tǒng)一規(guī)劃和設(shè)備選型，實現(xiàn)方案合理、組網(wǎng)簡單、擴

容靈活、標(biāo)準(zhǔn)統(tǒng)一、經(jīng)濟適用的建設(shè)目標(biāo)。

依據(jù)信息安全等級保護三級標(biāo)準(zhǔn)，按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)

準(zhǔn)、重點明確、合理建設(shè)”的基本原則，在物理安全、網(wǎng)絡(luò)安

全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等幾個方面進行安全規(guī)劃與

建設(shè)，確?！熬W(wǎng)絡(luò)建設(shè)合規(guī)、安全防護到位”。

7

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

方案目標(biāo)是讓某單位的骨干網(wǎng)絡(luò)、相關(guān)應(yīng)用系統(tǒng)達到安全等

級保護第三級要求。經(jīng)過建設(shè)后使整體網(wǎng)絡(luò)形成一套完善的安全

防護體系，提升整體信息安全防護能力。

1.3.2建設(shè)內(nèi)容

本項目以某單位骨干網(wǎng)絡(luò)、信息系統(tǒng)等級保護建設(shè)為主線，

以讓相關(guān)信息系統(tǒng)達到安全等級保護第三級要求。借助網(wǎng)絡(luò)產(chǎn)

品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全網(wǎng)的安全防

控管理服務(wù)體系，從而全面提高某單位的工作效率，提升信息化

運用水平。

建設(shè)內(nèi)容包括某單位內(nèi)網(wǎng)骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和信息系統(tǒng)

等。

8

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

第二章現(xiàn)狀與差距分析

2.1現(xiàn)狀概述

2.L1信息系統(tǒng)現(xiàn)狀

本次項目中某單位外網(wǎng)項目中涉及的設(shè)備有：

1）服務(wù)器24臺

2）網(wǎng)絡(luò)設(shè)備若干路由器、交換機、ap

3）安全設(shè)備有：1臺防火墻（過保）、WAF（過保）、2臺

ips（dmz區(qū)前IPS已過保）、上網(wǎng)行為管理（過保）、

防病毒網(wǎng)關(guān)、綠盟安全審計系統(tǒng)、360天擎終端殺毒

（只具有殺毒模塊）

4）存儲設(shè)備：火星艙容災(zāi)備份

網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

某單位的網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用三層層次化模型網(wǎng)絡(luò)架構(gòu)，

即由核心層、匯聚層和接入層組成。

網(wǎng)絡(luò)現(xiàn)狀：

核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通

起到至關(guān)重要的作用。某單位內(nèi)網(wǎng)核心，由1臺DPX安全業(yè)務(wù)網(wǎng)

關(guān)組成。

匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，是在工

作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。某單位

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

內(nèi)網(wǎng)中，由迪普和H3C交換機作為內(nèi)網(wǎng)的有線匯聚和內(nèi)網(wǎng)的無線

匯聚交換機。

接入層：接入層向本地網(wǎng)段提供工作站接入。某單位內(nèi)網(wǎng)網(wǎng)

絡(luò)中，由各種品牌的交換機作為終端前端接入交換機，為各區(qū)域

提供接入。

在DPX核心交換機上劃分VLAN和網(wǎng)關(guān)，整體網(wǎng)絡(luò)中部署了防

病毒網(wǎng)關(guān)、IPS、UAG、DDK數(shù)據(jù)容災(zāi)備份系統(tǒng)。0A系統(tǒng)連接至無

線匯聚交換機。其他各系統(tǒng)旁路至核心交換機上。

安全現(xiàn)狀：

在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護，但部分安

全設(shè)備過保，整體網(wǎng)絡(luò)安全防護體系不夠完善、區(qū)域劃分不合

理，現(xiàn)狀拓?fù)鋱D如下：

圖表1現(xiàn)狀拓?fù)鋱D

2.1.1.2主機系統(tǒng)現(xiàn)狀

某單位的業(yè)務(wù)系統(tǒng)0A、文件交換箱等，部署于多臺服務(wù)器

上。服務(wù)器為機架式服務(wù)器和塔式服務(wù)器，固定于標(biāo)準(zhǔn)機柜與固

定位置，并進行標(biāo)識區(qū)分。服務(wù)器操作系統(tǒng)全都采用微軟的

WindowsServer系列操作系統(tǒng)。

某單位辦公終端約為300臺，win7為主，XP系統(tǒng)占少數(shù)，主

機系統(tǒng)沒有進行過定期更新補丁，安裝有360天擎殺毒軟件

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

應(yīng)用系統(tǒng)現(xiàn)狀

某單位的應(yīng)用系統(tǒng)主要為以下業(yè)務(wù)系統(tǒng)：0A、文件交換箱

等。也包含一些其他的辦公軟件。

2.2現(xiàn)狀與差距分析

2.2?1物理安全現(xiàn)狀與差距分析

某單位機房建設(shè)過程中參照B級機房標(biāo)準(zhǔn)參考進行統(tǒng)一規(guī)

劃，存在的物理安全隱患較少。但仍需參照以下標(biāo)準(zhǔn)進行核查、

整改；根據(jù)信息安全等級保護（第三級）中對物理安全相關(guān)項

（防火、防雷、防水、防磁及電力供應(yīng)等）存在些許差距。詳見

下表差距分析。

圖表2物理安全現(xiàn)狀

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

物理位置的選擇（G3）

本項要求包括：

a）機房和辦公

場地應(yīng)選擇在具有符合

滿足

防震、防風(fēng)和防雨要求

等能力的建筑內(nèi)；

b）機房場地應(yīng)符合

滿足

避免設(shè)在建筑物的要求

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

高層或地下室，以

及用水設(shè)備的下層

或隔壁。

物理訪問控制（G3）

本項要求包括：

a）機房出入口

應(yīng)安排專人值守，不符無相關(guān)

不滿足

控制、鑒別和記錄合要求記錄

進入的人員；

b）需進入機房

有監(jiān)

的來訪人員應(yīng)經(jīng)過

不符控，但是沒

申請和審批流程，不滿足

合要求有申請和審

并限制和監(jiān)控其活

批流程

動范圍；

C）應(yīng)對機房劃依據(jù)業(yè)務(wù)系

分區(qū)域進行管理，統(tǒng)進行了機柜間在重要

區(qū)域和區(qū)域之間設(shè)基本的區(qū)域區(qū)分，但區(qū)域前設(shè)置

置物理隔離裝置，符合要求未在重要區(qū)域前物理隔離裝

在重要區(qū)域前設(shè)置設(shè)置物理隔離裝置。

交付或安裝等過渡置。

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

區(qū)域；

d）重要區(qū)域

應(yīng)配置電子門禁系

符合

統(tǒng)，控制、鑒別和基本滿足

要求

記錄進入的人員。

防盜竊和防破壞（G3）

本項要求包括：

a）應(yīng)將主要設(shè)符合

滿足

備放置在機房內(nèi)；要求

b）應(yīng)將設(shè)備或

主要部件進行固符合

滿足

定，并設(shè)置明顯的要求

不易除去的標(biāo)記；

C）應(yīng)將通信線

有部分

纜鋪設(shè)在隱蔽處，不符

不滿足線纜架設(shè)在

可鋪設(shè)在地下或管合要求

半空中

道中；

d）應(yīng)對介質(zhì)分符合

滿足

類標(biāo)識，存儲在介要求

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

質(zhì)庫或檔案室中；

e）應(yīng)利用光、

符合

電等技術(shù)設(shè)置機房滿足

要求

防盜報警系統(tǒng)；

f）應(yīng)對機房設(shè)符合

滿足

置監(jiān)控報警系統(tǒng)。要求

防雷擊（G3）

本項要求包括：

a）機房建筑應(yīng)符合

滿足

設(shè)置避雷裝置；要求

b）應(yīng)設(shè)置防雷

符合

保安器，防止感應(yīng)滿足

要求

雷；

C）機房應(yīng)設(shè)置符合

滿足

交流電源地線。要求

防火（G3）

本項要求包括：

a）機房應(yīng)設(shè)置

基本安裝有氣體

火災(zāi)自動消防系

符合要求滅火裝置

統(tǒng)，能夠自動檢測

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

火情、自動報警，

并自動滅火；

b）機房及相關(guān)

的工作房間和輔助符合

滿足

房應(yīng)采用具有耐火要求

等級的建筑材料；

C）機房應(yīng)采取

區(qū)域隔離防火措不符

不滿足

施，將重要設(shè)備與合要求

其他設(shè)備隔離開。

防水和防潮（G3）

本項要求包括：

a）水管安裝，

符合

不得穿過機房屋頂滿足

要求

和活動地板下；

b）應(yīng)采取措施

防止雨水通過機房符合

滿足

窗戶、屋頂和墻壁要求

滲透；

c）應(yīng)采取措施符合滿足

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

防止機房內(nèi)水蒸氣要求

結(jié)露和地下積水的

轉(zhuǎn)移與滲透；

d）應(yīng)安裝對水

敏感的檢測儀表或符合

滿足

組件，對機房進行要求

防水檢測和報警。

防靜電（G3）

本項要求包括：

a）主要設(shè)備應(yīng)

符合

采用必要的接地防滿足

要求

靜電措施；

b）機房應(yīng)采用符合

滿足

防靜電地板。要求

溫濕度控制（G3）

本項要求包括：

機房應(yīng)設(shè)置安裝有動力

溫、濕度自動調(diào)節(jié)符合環(huán)境監(jiān)控系統(tǒng)，

設(shè)施，使機房溫、要求建議機房日常溫

濕度的變化在設(shè)備度控制在10?

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

運行所允許的范圍28℃,濕度30?

之內(nèi)。70%o

電力供應(yīng)（A3）

本項要求包括：

a）應(yīng)在機房供

電線路上配置穩(wěn)壓基本

滿足

器和過電壓防護設(shè)符合要求

備；

設(shè)置UPS電

b）應(yīng)提供短期

池供電，并至少

的備用電力供應(yīng)，

符合保證斷電時主要

至少滿足主要設(shè)備

要求設(shè)備在滿負(fù)荷情

在斷電情況下的

況下4小時的正

正常運行要求；

常運行。

c）應(yīng)設(shè)置冗余

只有一條出增加線

或并行的電力電纜不符

口線，極容易出纜，做到冗

線路為計算機系統(tǒng)合要求

現(xiàn)單點故障余

供電；

d）應(yīng)建立備用符合

滿足

供電系統(tǒng)。要求

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項現(xiàn)狀分析備注

號符合

電磁防護（S3）

本項要求包括：

a）應(yīng)采用接地

方式防止外界電磁符合

滿足

干擾和設(shè)備寄生耦要求

介干擾；

b）電源線和通

0

信線纜應(yīng)隔離鋪符合

滿足

設(shè)，避免互相干要求

擾；

C）應(yīng)對關(guān)鍵設(shè)

符合

備和磁介質(zhì)實施電滿足

要求

磁屏蔽。

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

2.2.2網(wǎng)絡(luò)安全現(xiàn)狀與差距分析

由于某單位前期口經(jīng)行相關(guān)安全建設(shè)，仍有相關(guān)安全防護建

設(shè)不到位，主要表現(xiàn)出以下問題點：

1.網(wǎng)絡(luò)結(jié)構(gòu)基本清晰，但細(xì)節(jié)規(guī)劃不合理；

2.新增移動接入鏈路，

3.面對日益突增的網(wǎng)絡(luò)安全事件缺乏有效防御手段及應(yīng)急機

制；

4.骨干網(wǎng)絡(luò)架構(gòu)規(guī)劃不合理，核心交換區(qū)無冗余，安全防護

區(qū)域劃分不明晰，不能對不同區(qū)域間防護措施、技術(shù)手段

進行統(tǒng)一規(guī)劃，不同區(qū)域?qū)阂夤舻姆婪赌芰Σ灰弧?/p>

詳見下表差距分析：

圖表3網(wǎng)絡(luò)安全現(xiàn)狀

是否

要求指標(biāo)項差距分析備注

號符合

結(jié)構(gòu)安全（G3）

本項要求包括：

a）應(yīng)保證主域網(wǎng)核心

要網(wǎng)絡(luò)設(shè)備的業(yè)交換設(shè)備均采域網(wǎng)核心設(shè)

不符

務(wù)處理能力具備用單鏈路、單備至少有二臺，

合要求

冗余空間，滿足設(shè)備，無冗余采用多鏈路

業(yè)務(wù)高峰期需空間，一旦出

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

要；現(xiàn)設(shè)備故障則

會出現(xiàn)單點故

障，無法有效

保障對外開放

的業(yè)務(wù)安全穩(wěn)

定的運行。

b）應(yīng)保證網(wǎng)

絡(luò)各個部分的帶符合

滿足

寬滿足業(yè)務(wù)高峰要求

期需要；

C）應(yīng)在業(yè)務(wù)

終端與業(yè)務(wù)服務(wù)

符合

器之間進行路由滿足

要求

控制建立安全的

訪問路徑；

d）應(yīng)繪制與

我們會在工

當(dāng)前運行情況相不符暫無拓?fù)?/p>

程結(jié)束后重新繪

符的網(wǎng)絡(luò)拓?fù)浣Y(jié)合要求圖

制網(wǎng)絡(luò)拓?fù)鋱D。

構(gòu)圖；

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

e）應(yīng)根據(jù)各

部門的工作職

整體網(wǎng)絡(luò)結(jié)

能、重要性和所

構(gòu)中已按照需求

涉及信息的重要

進行子網(wǎng)劃分。

程度等因素，劃

基本但使用中存在混

分不同的子網(wǎng)或

符合要求舌L,沒有按規(guī)定

網(wǎng)段，并按照方

使用。待本次項

便管理和控制的

目建設(shè)進行梳

原則為各子網(wǎng)、

理、嚴(yán)格限制

網(wǎng)段分配地址

段；

f）應(yīng)避免將

重要網(wǎng)段部署在

網(wǎng)絡(luò)邊界處且直

接連接外部信息基本

滿足

系統(tǒng)，重要網(wǎng)段符合要求

與其他網(wǎng)段之間

采取可靠的技術(shù)

隔離手段；

訪問控制（G3）

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

本項要求包括：

僅在dmz

建議在互聯(lián)

a）應(yīng)在網(wǎng)絡(luò)區(qū)部署防火墻

網(wǎng)出口與服務(wù)器

邊界部署訪問控不符且防火墻已過

區(qū)前部署防火墻

制設(shè)備，啟用訪合要求保，其他區(qū)域

進邊界隔離與訪

問控制功能；未部署訪問控

問控制

制設(shè)備

b）應(yīng)能根據(jù)

會話狀態(tài)信息為

數(shù)據(jù)流提供明確符合

滿足

的允許/拒絕訪問要求

的能力，控制粒

度為端口級；

c）應(yīng)對進出

網(wǎng)絡(luò)的信息內(nèi)容

進行過濾，實現(xiàn)

符合

對應(yīng)用層HTTP、滿足

要求

FTP、TELNET、

SMTP、POP3等協(xié)

議命令級的控

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

制；

d）應(yīng)在會話

處于非活躍一定

符合

時間或會話結(jié)束滿足

要求

后終止網(wǎng)絡(luò)連

接；

未部署流

量控制設(shè)備，

無法根據(jù)所承

載的業(yè)務(wù)和帶

e）應(yīng)限制網(wǎng)

不符寬的實際情況部署上網(wǎng)行

絡(luò)最大流量數(shù)及

合要求確定網(wǎng)絡(luò)最大為管理及流控

網(wǎng)絡(luò)連接數(shù)；

流量數(shù)和網(wǎng)絡(luò)

連接數(shù)并進行

管理。

未部署訪實現(xiàn)重要網(wǎng)

f）重要網(wǎng)段

不符問控制設(shè)備的段地址進行有效

應(yīng)采取技術(shù)手段

合要求區(qū)域無法采用保護防止地址欺

防止地址欺騙；

包過濾或傳輸騙。

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

控制協(xié)議，進

行邊界訪問控

制,防止地址

欺騙，應(yīng)對網(wǎng)

絡(luò)中的廣播、

組播進行必要

的控制。

沒有在服

g）應(yīng)按用戶

務(wù)器區(qū)前和網(wǎng)

和系統(tǒng)之間的允

絡(luò)出口設(shè)置防

許訪問規(guī)則，決新增2臺防

火墻、認(rèn)證網(wǎng)

定允許或拒絕用不符火墻實現(xiàn)不同安

關(guān)或授權(quán)管理

戶對受控系統(tǒng)進合要求全域之間的訪問

系統(tǒng)，可對單

行資源訪問，控控制

個用戶的訪問

制粒度為單個用

進行策略控

戶；

制。

h）應(yīng)限制具

不符

有撥號訪問權(quán)限不涉及

合要求

的用戶數(shù)量。

安全審計（G3）

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

本項要求包括：

有上網(wǎng)行

為管理設(shè)備

（過保），但

是并沒有辦法

對網(wǎng)絡(luò)設(shè)備運部署綜合日

行狀況日志記志審計系統(tǒng)可對

錄，而部署綜來自不同廠商的

a）應(yīng)對網(wǎng)絡(luò)

合安全日志審安全設(shè)備、網(wǎng)絡(luò)

系統(tǒng)中的網(wǎng)絡(luò)設(shè)

計系統(tǒng)可對來設(shè)備、主機、操

備運行狀況、網(wǎng)不符

自不同廠商的作系統(tǒng)、數(shù)據(jù)庫

絡(luò)流量、用戶行合要求

安全設(shè)備、網(wǎng)系統(tǒng)、用戶業(yè)務(wù)

為等進行日志記

絡(luò)設(shè)備、主系統(tǒng)的日志、警

錄；

機、操作系報等信息匯集到

統(tǒng)、數(shù)據(jù)庫系審計中心,實現(xiàn)

統(tǒng)、用戶業(yè)務(wù)綜合安全審計。

系統(tǒng)的日志、

警報等信息匯

集到審計中

心，實現(xiàn)綜合

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

安全審計。

b）審計記錄

應(yīng)包括：事件的

日期和時間、用

符合

戶、事件類型、滿足

要求

事件是否成功及

其他與審計相關(guān)

的信息；

c）應(yīng)能夠根

據(jù)記錄數(shù)據(jù)進行不符部署日志審

不滿足

分析，并生成審合要求計系統(tǒng)

計報表；

d）應(yīng)對審計

記錄進行保護，安全審計口

符合

避免受到未預(yù)期滿足志記錄要求保存

要求

的刪除、修改或至少半年以上。

覆蓋等。

邊界完整性檢查（S3）

本項要求包括:

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

a）應(yīng)能夠?qū)?/p>

非授權(quán)設(shè)備私自

可通終端

聯(lián)到內(nèi)部網(wǎng)絡(luò)的可采用終端

不符管理系統(tǒng)或ARP

行為進行檢查，管理系統(tǒng)等手段

合要求綁定技術(shù)手段

準(zhǔn)確定出位置，進行管理控制

實現(xiàn)

并對其進行有效

阻斷；

b）應(yīng)能夠?qū)?/p>

內(nèi)部網(wǎng)絡(luò)用戶私

自聯(lián)到外部網(wǎng)絡(luò)

可采用終端

的行為進行檢不符

管理系統(tǒng)等手段

查，準(zhǔn)確定出位合要求

進行管理控制

置，并對其進行

有效阻斷。

入侵防范（G3）

本項要求包括：

a）應(yīng)在網(wǎng)絡(luò)出口處部

基本

邊界處監(jiān)視以下署有IPS入侵

符合要求

攻擊行為：端口防御

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

掃描、強力攻

擊、木馬后門攻

擊、拒絕服務(wù)攻

擊、緩沖區(qū)溢出

攻擊、IP碎片攻

擊和網(wǎng)絡(luò)蠕蟲攻

擊等；

b）當(dāng)檢測到

攻擊行為時，記

錄攻擊源IP、攻

落實安全

擊類型、攻擊目基本

審計系統(tǒng)報警

的、攻擊時間，符合要求

功能。

在發(fā)生嚴(yán)重入侵

事件時應(yīng)提供報

警

惡意代碼防范（G3）

本項要求包括：

a）應(yīng)在網(wǎng)絡(luò)

符合

邊界處對惡意代滿足

要求

碼進行檢測和清

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

除；

b）應(yīng)維護惡

意代碼庫的升級符合

和檢測系統(tǒng)的更要求

新。

網(wǎng)絡(luò)試洛防護（G3）

本項要求包括：

沒有指定可以指定專

專人進行維人維護網(wǎng)絡(luò)設(shè)

a）應(yīng)對登錄護。通過密碼備，并通過用戶

不符

網(wǎng)絡(luò)設(shè)備的用戶和用戶名進行名和密碼進行

合要求

進行身份鑒別；身份鑒別，同身份鑒別，同時

時也沒有部署也可以部署堡壘

堡壘主機。主機

b）應(yīng)對網(wǎng)絡(luò)增添堡壘機

對管理員

設(shè)備的管理員登不符設(shè)備，這樣可以

登陸地址沒有

錄地址進行限合要求有效對遠程用戶

限制。

制；進行管理。

c）網(wǎng)絡(luò)設(shè)備不符網(wǎng)絡(luò)設(shè)備重新對設(shè)備

用戶的標(biāo)識應(yīng)唯合要求沒有唯一的標(biāo)進行標(biāo)示。

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

—*■

主要網(wǎng)絡(luò)

d）主要網(wǎng)絡(luò)

設(shè)備未對同一

設(shè)備應(yīng)對同一用

用戶選擇兩種

戶選擇兩種或兩不符

或兩種以上組增設(shè)堡壘機

種以上組合的鑒合要求

合的鑒別技術(shù)

別技術(shù)來進行身

來進行身份鑒

份鑒別；

別；

e）身份鑒別

用戶口令應(yīng)

信息應(yīng)具有不易

密碼沒有12位以上，數(shù)字

被冒用的特點，不符

定期更換，復(fù)和字母組成，至

口令應(yīng)有復(fù)雜度合要求

雜度不夠少3個月更換一

要求并定期更

次。

換；

f）應(yīng)具有登

當(dāng)一次登

錄失敗處理功

錄密碼錯誤次

能，可采取結(jié)束符合

數(shù)超過6次，

會話、限制非法要求

應(yīng)能自動關(guān)閉

登錄次數(shù)和當(dāng)網(wǎng)

并告警。

絡(luò)登錄連接超時

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

是否

要求指標(biāo)項差距分析備注

號符合

自動退出等措

施；

g）當(dāng)對網(wǎng)絡(luò)

設(shè)備進行遠程管傳輸中進

理時，應(yīng)采取必不符行加密，可以

要措施防止鑒別合要求使用IPsecVPN

信息在網(wǎng)絡(luò)傳輸技術(shù)

過程中被竊聽；

網(wǎng)絡(luò)管理

員、系統(tǒng)管理

員和安全審計

h）應(yīng)實現(xiàn)設(shè)

不符員分開，并按部署堡壘機

備特權(quán)用戶的權(quán)

合要求職責(zé)分工限制控制用戶權(quán)限

限分離。

各自權(quán)限，但

無技術(shù)手段控

制。

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月

2.2.3主機安全現(xiàn)狀與差距分析

某單位內(nèi)網(wǎng)主機終端已部署終端殺毒軟件。

終端主機安全現(xiàn)狀差距分析，如下：

圖表4主機安全現(xiàn)狀

是否

要求指標(biāo)項差距分析備注

號符合

身份鑒別（S3）

本項要求包括：

沒有嚴(yán)格

通過賬號密

a）應(yīng)對登錄

碼限制操作

操作系統(tǒng)和數(shù)據(jù)

基本符系統(tǒng)和數(shù)據(jù)

庫系統(tǒng)的用戶進

合要求庫系統(tǒng)的用

行身份標(biāo)識和鑒

戶登陸，進

別；

行身份標(biāo)識

和鑒別；

b）操作系統(tǒng)系統(tǒng)管理員

和數(shù)據(jù)庫系統(tǒng)管的登錄身份標(biāo)識

不符合

理用戶身份標(biāo)識不滿足唯一，口令12

要求

應(yīng)具有不易被冒位以上，且數(shù)字

用的特點，口令和字母大小寫組

等保三級（等保2.0）建設(shè)綜合解決方案2020年2月