启明星辰网络安全等级保护第三级建设整改方案v2.0.docx
《启明星辰网络安全等级保护第三级建设整改方案v2.0.docx》由会员分享,可在线阅读,更多相关《启明星辰网络安全等级保护第三级建设整改方案v2.0.docx(101页珍藏版)》请在冰豆网上搜索。
启明星辰网络安全等级保护(第三级)建设/整改方案v2.0
北京启明星辰信息安全技术有限公司
2017.05.
White
启明星辰网络安全等级保护(第三级)建设/整改方案v2.0
Venus
版权声明
北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。
未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
免责条款
本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈
如有任何宝贵意见,请反馈:
信箱:
北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦
邮编:
100193电话:
010-82779088传真:
010-82779000
您可以访问启明星辰网站:
获得最新技术和产品信息。
版本变更
版本
修订时间
修订人
修订类型
修订章节
修订内容
20170517
2017-05-17
尚高峰
创建
―――
文档目录框架构建。
20170524
2017-05-24
尚高峰
―――
———
文档首次完稿。
20170601
2017-06-01
尚高峰
修改
全部
完成首次整体校稿。
*修订类型分为:
创建增加修改删除。
*对该文件内容的增加、删除或修改均需填写此记录,记载变更信息,保证文档可追溯性。
*本文档为OBG解决方案中心输出文档,供公司内部人员阅读、交流、项目运作。
目录
版权声明 1
免责条款 1
信息反馈 1
版本变更 1
1 概述 8
1.1 项目概况 8
1.2 方案设计说明 8
1.3 方案设计参考依据 9
1.3.1 相关政策文件及法律法规 9
1.3.2 相关信息安全标准 9
2 方案总体设计 11
2.1 方案设计原则 11
2.1.1 分区分域防护原则 11
2.1.2 均衡性保护原则 11
2.1.3 技术与管理相结合 11
2.1.4 动态调整与可扩展 11
2.1.5 网络安全三同步原则 11
2.2 方案设计思路 12
3 安全需求分析 13
3.1 安全技术需求 13
3.1.1 物理和环境安全需求 13
3.1.2 网络和通信安全需求 14
3.1.3 设备和计算安全需求 15
3.1.4 应用和数据安全需求 15
3.2 安全管理需求 16
3.2.1 安全策略和管理制度 16
3.2.2 安全管理机构和人员 17
3.2.3 安全建设管理 17
3.2.4 安全运维管理 17
4 安全策略和方针设计 19
4.1 总体安全方针和策略设计 19
4.1.1 总体安全方针设计 19
4.1.2 总体安全策略设计 19
4.2 安全策略具体设计 20
4.2.1 物理和环境安全策略 20
4.2.2 网络和通信安全策略 21
4.2.3 设备和计算安全策略 22
4.2.4 应用和数据安全策略 22
5 整体安全建设方案 24
5.1 物理和环境安全建设 24
5.1.1 机房场地的选择 24
5.1.2 机房出入控制 24
5.1.3 防盗窃和防破坏 24
5.1.4 防雷击 24
5.1.5 防火 24
5.1.6 防水和防潮 25
5.1.7 防静电 25
5.1.8 温湿度控制 25
5.1.9 电力供应 25
5.1.10 电磁防护 25
5.2 安全技术体系设计方案 26
5.2.1 安全计算环境防护设计 26
5.2.2 安全区域边界防护设计 29
5.2.3 安全通信网络防护设计 33
5.2.4 安全管理中心设计 34
5.3 安全管理体系设计方案 34
5.3.1 安全策略和管理制度设计 34
5.3.2 安全管理机构和人员管理设计 36
5.3.3 安全建设管理 36
5.3.4 安全运维管理 36
6 安全防护部署设计方案 44
6.1 异常流量及抗DDoS攻击系统 44
6.1.1 产品特性 44
6.1.2 产品部署 47
6.2 下一代防火墙/UTM系统 48
6.2.1 产品特性 48
6.2.2 产品部署 50
6.3 应用交付控制系统 50
6.3.1 产品特性 50
6.3.2 产品部署 53
6.4 入侵防御系统 53
6.4.1 产品特性 53
6.4.2 产品部署 54
6.5 VPN综合安全网关 54
6.5.1 产品特性 54
6.5.2 产品部署 58
6.6 入侵检测系统 58
6.6.1 产品特性 58
6.6.2 产品部署 58
6.7 APT攻击检测系统 58
6.7.1 产品特性 58
6.7.2 产品部署 62
6.8 无线安全管理系统 62
6.8.1 产品特性 62
6.8.2 产品部署 63
6.9 终端安全管理系统 63
6.9.1 产品特性 64
6.9.2 产品部署 66
6.10 漏洞扫描系统 66
6.10.1 产品特性 66
6.10.2 产品部署 67
6.11 Web应用安全防护系统 67
6.11.1 产品特性 67
6.11.2 产品部署 69
6.12 主机安全加固系统 69
6.13 安全运维网关 69
6.13.1 产品特性 69
6.13.2 产品部署 72
6.14 安全配置核查系统 72
6.14.1 产品特性 72
6.14.2 产品部署 75
6.15 网络管理监控系统 75
6.16 安全审计系统 75
6.16.1 Web应用审计 75
6.16.2 数据库审计 78
6.16.3 综合日志审计 82
6.17 综合安全管理平台 83
6.17.1 产品特性 83
6.17.2 产品部署 91
6.18 专业安全服务 91
6.18.1 安全风险评估 92
6.18.2 渗透测试服务 92
6.18.3 安全加固服务 93
6.18.4 代码审计服务 94
6.18.5 应急处理服务 94
7 方案与等保要求对应 96
北京启明星辰信息安全技术有限公司
100
1概述
1.1项目概况
根据实际项目情况编写。
1.2方案设计说明
本方案是根据《信息安全技术网络安全等级保护基本要求第1部分:
安全通用要求》的基本要求和安全目标,参照《信息安全技术网络安全等级保护设计技术要求第1部分:
通用设计要求》具体内容,针对第三级系统而提出的安全保护等级设计方案。
1.3方案设计参考依据
本方案构建设计与编制主要参考下述法律、法规和安全标准,具体如下:
1.3.1相关政策文件及法律法规
Ø《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
Ø《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)
Ø《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
Ø《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)
Ø《信息安全等级保护管理办法》(公通字[2007]43号)
Ø《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
Ø《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)》
Ø《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
Ø《全国人民代表大会常务委员会关于加强网络信息保护的决定》
Ø《中华人民共和国网络安全法》
1.3.2相关信息安全标准
Ø《信息技术安全技术信息安全管理体系要求》(ISO/IEC27001:
2013)
Ø《信息技术安全技术信息安全控制实用规则》(ISO/IEC27002:
2013)
Ø《计算机信息系统安全保护等级划分准则》(GB17859-1999)
Ø《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
Ø《信息安全技术网络安全等级保护基本要求第1部分:
安全通用要求》(GB/T22239.1-20XX)
Ø《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)
Ø《信息安全技术网络安全等级保护设计技术要求第1部分:
通用设计要求》(GB/T25070.1-20XX)
Ø号)《信息安全技术信息系统安全等级保护实施指南》(GB-T25058-20XX)
Ø《信息安全技术网络安全等级保护测评要求第1部分:
安全通用要求》(GB-T28448.1-20XX)
Ø信息安全技术网络安全等级保护测评过程指南(GB-T28449-20XX)
2方案总体设计
2.1方案设计原则
2.1.1分区分域防护原则
任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个信息系统,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。
2.1.2均衡性保护原则
对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求、安全风险与安全保护代价的关系。
因此,结合适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。
2.1.3技术与管理相结合
信息安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。
因此在考虑信息信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
2.1.4动态调整与可扩展
由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。
信息安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。
2.1.5网络安全三同步原则
信息系统在新建、改建、扩建时应当同步建设信息安全设施,确保其具有支持业务稳定、持续运行性能的同时,保证安全技术措施同步规划、同步建设、同步使用,以保障信息安全与信息化建设相适应。
2.2方案设计思路
参考等级保护安全设计要求,本方案的设计思路如下:
Ø根据信息系统的安全定级结果,明确该等级对应的总体防护描述;
Ø根据系统和子系统划分结果、安全定级结果将保护对象归类,并组成保护对象框架;
Ø根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架中;
Ø根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到物理和环境、网络和通信、设备与计算、应用和数据等层面上;
Ø根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边界和安全域互联策略;
Ø根据保护对象框架、
升级会员 