某单位信息安全等级保护建设方案v1.2.doc
《某单位信息安全等级保护建设方案v1.2.doc》由会员分享,可在线阅读,更多相关《某单位信息安全等级保护建设方案v1.2.doc(119页珍藏版)》请在冰豆网上搜索。
信息安全等保保护建设(三级)设计方案
xxxxxx
信息安全等级保护(三级)建设项目
设计方案
二〇一八年二月
8
文档控制
文档名称:
xxxxxx
信息安全等保保护建设(三级)设计方案
提交方
xxxxx机股份有限公司
提交日期
Xxxxx
版本信息
日期
版本
撰写者
审核者
描述
2月28日
V1.0
初稿
3月1日
V1.1
修订
3月7日
V1.2
修订
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。
未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录
第一章 项目概述 5
1.1 项目概述 5
1.2 项目建设背景 5
1.2.1 法律要求 6
1.2.2 政策要求 7
1.3 项目建设目标及内容 8
1.3.1 项目建设目标 8
1.3.2 建设内容 8
第二章 现状与差距分析 9
2.1 现状概述 9
2.1.1 信息系统现状 9
2.2 现状与差距分析 12
2.2.1 物理安全现状与差距分析 12
2.2.2 网络安全现状与差距分析 16
2.2.3 主机安全现状与差距分析 22
2.2.4 应用安全现状与差距分析 27
2.2.5 数据安全现状与差距分析 32
2.2.6 安全管理现状与差距分析 34
2.3 综合整改建议 37
2.3.1 技术措施综合整改建议 37
2.3.2 安全管理综合整改建议 43
第三章 安全建设目标 44
第四章 安全整体规划 46
4.1 建设指导 46
4.1.1 指导原则 46
4.1.2 安全防护体系设计整体架构 47
4.2 安全技术规划 49
4.2.1 安全建设规划拓朴图 49
4.2.2 安全设备功能 50
4.3 建设目标规划 55
第五章 工程建设 57
5.1 工程一期建设 57
5.1.1 区域划分 57
5.1.2 网络环境改造 57
5.1.3 网络边界安全加固 58
5.1.4 网络及安全设备部署 59
5.1.5 安全管理体系建设服务 86
5.1.6 安全加固服务 102
5.1.7 应急预案和应急演练 109
5.1.8 安全等保认证协助服务 109
5.2 工程二期建设 110
5.2.1 安全运维管理平台(soc) 110
5.2.2 APT高级威胁分析平台 113
5.3 产品清单 115
第六章 方案预算 116
第七章 方案预估效果 120
7.1 工程预期效果 120
图表目录
图表1现状拓扑图 10
图表2物理安全现状 12
图表3网络安全现状 16
图表4主机安全现状 22
图表5应用安全现状 27
图表6数据安全现状 32
图表7安全管理现状 34
图表8综合技术措施整改建议表格 37
图表9综合安全管理体系整改建议表格 43
图表10安全保障体系图 47
图表11安全建设规划拓扑图 49
图表12建设规划 55
图表13信息安全组织架构示意图 92
图表14安全管理制度规划示意图 98
图表15产品清单表 115
图表16方案预算表 116
第一章项目概述
1.1项目概述
xxxxxx是人民政府的职能部门,贯彻执行国家有关机关事务工作的方针政策,拟订省机关事务工作的政策、规划和规章制度并组织实施,负责省机关事务的管理、保障、服务工作。
在面对现在越来越严重的网络安全态势下,xxxxxx积极响应国家相关政策法规,积极开展信息安全等级保护建设。
对自有网络安全态势进行自我核查,补齐等保短板,履行安全保护义务。
项目目标:
打造一个可信、可管、可控、可视的安全网络环境,更好的为机关各部门及领导者和公务人员提供工作和生活条件,更好的保障各项行政活动正常进行。
1.2项目建设背景
机关后勤管理工作因为其政府内部服务的特殊性,一直比较少地为社会公众所关注或重视。
机关后勤管理包括对物资、财务、环境、生活以及各种服务项目在内的事务工作的管理,是行政机关办公室管理的重要一环,为机关各部门以及领导者和公务人员提供工作和生活条件,是保障各项行政活动正常进行的物质基础。
随着这几年地区经济的高速发展和政府行政职能分配管理的需要,使机关事务管理工作的管理范围和管理对象也相应的扩展和增加,管理工作变得十分繁重。
尤其是在新增的一些业务管理工作方面,如对政府机关单位固定资产的管理、房屋出租、分配的管理等,同时,随着这几年国家对资产管理的重视,信息化建设从原来注重财务管理信息化逐渐向国有资产管理信息化发展,作为机关事务管理的机构,正承担着这样一种责任和使命。
同时在面对现在不容乐观的整体安全态势环境下,开展机关事务管理的信息化建设与信息安全建设,是整个社会和国家发展的必然趋势。
1.2.1法律要求
在2017年6月1日颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。
具体如下:
“没有网络安全,就没有国家安全”,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。
各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。
除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:
网络日志留存:
第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。
未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
漏洞处置:
第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
容灾备份:
第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。
没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。
应急演练:
第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。
没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。
安全检测评估:
第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
每年没有进行安全检测评估的单位要被责令改正。
1.2.2政策要求
为切实加强门户网站安全管理和防护,保障网站安全稳定运行,国家非常重视,陆续颁布以下文件:
《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号)、《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》(中央编办发〔2014〕69号),公安部、中央网信办、中编办、工信部等四部门《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》(公信安〔2015〕2562号)
1.3项目建设目标及内容
1.3.1项目建设目标
依据国家信息安全等级保护相关指导规范,对xxxxxx信息系统、基础设施和骨干网络按照等保三级进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
依据信息安全等级保护三级标准,按照“统一规划、统一标准、重点明确、合理建设”的基本原则,在物理安全、网络安全、主机安全、应用安全、数据安全等几个方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。
方案目标是让xxxxxx的骨干网络、相关应用系统达到安全等级保护第三级要求。
经过建设后使整体网络形成一套完善的安全防护体系,提升整体信息安全防护能力。
1.3.2建设内容
本项目以xxxxxx骨干网络、信息系统等级保护建设为主线,以让相关信息系统达到安全等级保护第三级要求。
借助网络产品、安全产品、安全服务、管理制度等手段,建立全网的安全防控管理服务体系,从而全面提高xxxxxx的工作效率,提升信息化运用水平。
建设内容包括xxxxxx内网骨干网络、基础设施和信息系统等。
第二章现状与差距分析
2.1现状概述
2.1.1信息系统现状
本次项目中xxxxxx外网项目中涉及的设备有:
1)服务器≥4台
2)网络设备若干路由器、交换机、ap
3)安全设备有:
1台防火墙(过保)、WAF(过保)、2台ips(dmz区前IPS已过保)、上网行为管理(过保)、防病毒网关、绿盟安全审计系统、360天擎终端杀毒(只具有杀毒模块)
4)存储设备:
火星舱容灾备份
2.1.1.1网络系统现状
xxxxxx的网络系统整体构架采用三层层次化模型网络架构,即由核心层、汇聚层和接入层组成。
网络现状:
核心层:
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
xxxxxx内网核心,由1台DPX安全业务网关组成。
汇聚层:
汇聚层是网络接入层和核心层的“中介”,是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
xxxxxx内网中,由迪普和H3C交换机作为内网的有线汇聚和内网的无线汇聚交换机。
接入层:
接入层向本地网段提供工作站接入。
xxxxxx内网网络中,由各种品牌的交换机作为终端前端接入交换机,为各区域提供接入。
在DPX核心交换机上划分VLAN和网关,整体网络中部署了防病毒网关、IPS、UAG、DDI、数据容灾备份系统。
OA系统连接至无线汇聚交换机。
其他各系统旁路至核心交换机上。
安全现状:
在整体网络中部署有相应的安全设备做安全防护,但部分安全设备过保,整体网络安全防护体系不够完善、区域划分不合理,现状拓扑图如下:
图表1现状拓扑图
2.1.1.2主机系统现状
xxxxxx的业务系统OA、文件交换箱等,部署于多台服务器上。
服务器为机架式服务器和塔式服务器,固定于标准机柜与固定位置,并进行标识区分。
服务器操作系统全都采用微软的WindowsServer系列操作系统。
xxxxxx办公终端约为300台,win7为主,XP系统占少数,主机系统没有进行过定期更新补丁,安装有360天擎杀毒软件
2.1.1.3应用系统现状
xxxxxx的应用系统主要为以下业务系统:
OA、文件交换箱等。
也包含一些其他的办公软件。
2.2现状与差距分析
2.2.1物理安全现状与差距分析
xxxxxx机房建设过程中参照B级机房标准参考进行统一规划,存在的物理安全隐患较少。
但仍需参照以下标准进行核查、整改;根据信息安全等级保护(第三级)中对物理安全相关项(防火、防雷、防水、防磁及电力供应等)存在些许差距。
详见下表差距分析。
图表2物理安全现状
序号
要求指标项
是否
符合
现状分析
备注
1
物理位置的选择(G3)
本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
符合要求
满足