等保三级方案x.docx

1、等级化保护三级方案目录1. 需求分析12. 设计原则13. 参考标准与规范24. 方案详细设计34.1. 功能要求设计34.1.1. 防火墙34.1.2. 入侵检测系统54.1.3. 入侵防御系统74.1.4. 网闸84.1.5. 防病毒网关104.1.6. 数据库审计104.1.7. 网络审计144.1.8. 安全管理平台174.1.9. 堡垒机224.1.10. 终端安全管理系统264.2. 性能设计要求544.2.1. 防火墙544.2.2. 入侵检测系统544.2.3. 入侵防御系统544.2.4. 网闸544.2.5. 防病毒网关554.2.6. 数据库审计554.2.7. 网络审计

2、554.2.8. 安全管理平台564.2.9. 堡垒机564.2.10. 终端安全管理系统564.3. 部署方案设计564.3.1. 防火墙564.3.2. 入侵检测系统574.3.3. 入侵防御系统574.3.4. 网闸584.3.5. 防病毒网关584.3.6. 数据库审计584.3.7. 网络审计594.3.8. 安全管理平台594.3.9. 堡垒机604.3.10. 终端安全管理系统605. 整体部署示意图611. 需求分析(1) 建立完善的访问控制体系，制定完善的访问控制策略，细粒度为端口级、单个用户。(2) 建立完善的审计、监控体系。(3) 建立完善的边界防御体系。(4) 建立完善

3、的计算机病毒、恶意代码防护体系。(5) 建立完善的运维管理体系。2. 设计原则本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实 性、持续性和可扩展性。具体体现为：(1) 等级标准性原则本方案从设计到产品选型都遵循信息系统安全等级保护第三级要求。(2) 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。(3) 综合性

4、、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。(4) 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。(5) 设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技第 61 页北京启明星辰信息安全技术有限公司术、性能方面的优越，而成熟性表示可靠与可用。(6) 无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应

5、是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。(7) 可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。(8) 保护原有投资的原则在进行信息安全体系建设时，应充分考虑原有投资，要充分利用已有的建设基础，规划整体安全体系。3. 参考标准与规范(1) 中共中央办公厅、国务院办公厅200217 号文国家信息化领导小组关于我国电子政务建设指导意见(2) ISO17799/BS7799：信息安全管理惯例(3) 1999 GB17859-1999（中华人民共和国国家标准）计算机信

6、息系统安全保护等级划分准则(4) 公安部信息安全等级保护管理办法(5) 公安部信息系统安全等级保护实施指南(6) 公安部信息系统安全等级保护定级指南(7) 公安部信息系统安全等级保护基本要求(8) 公安部信息系统安全等级保护测评准则(9) ISO/IEC TR 13335 系列标准(10) 信息系统安全保障理论模型和技术框架 IATF 理论模型及方法论(11)4. 方案详细设计4.1. 功能要求设计4.1.1. 防火墙(1) 基于状态检测技术；支持路由、透明及混合模式部署。(2) 可针对源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全策略。(3) 支持静态路由和

7、策略路由，可通过源接口、目标接口、源 IP、目标IP、协议类型、时间等条件设定策略路由；支持 RIP、OSPF、BGP 动态路由协议；支持 ISP 路由，能够提升用户对不同 ISP 网络访问时的路由效率，内置电信和联通地址库，同时用户可定义新的地址库。(4) 支持虚拟防火墙功能，可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT 规则、静态路由等配置。(5) 支持 802.1Q VLAN。(6) 支持链路聚合（Link-Aggregation）功能以增加链路带宽并起到负载均衡和链路备份的作用，支持通过手动方式、IEEE802.3adLACP 方

8、式来创建聚合链路。(7) 能够检测并阻断 DDoS 攻击和协议扫描，如 Jolt2、Land-Base、Smurf、Pingofdeath、winnuke、teardrop、Synflag、TCPFlood、ARP 攻击等攻击行为，以及 TCP、UDP、PING 扫描等扫描行为，可以设定扫描识别阈值，并对检测到的扫描主机进行屏蔽。(8) 支持 QoS 和带宽控制，能够基于策略针对特定对象进行控制，比如可以根据单个主机 IP 或子网段，目标 IP 和子网段，服务类型、时间分配等条件来进行带宽控制；支持策略带宽保证。(9) 具备完善的设备状态监控和会话管理功能：可通过图形的方式动态显示设备的转发流

9、量、系统连接数，以及根据不同的协议（如Web、Email、FTP、UDP）区分的流量信息；可根据源地址、目的地址、端口号或协议类型等分类来查看目前设备的当前会话状态。(10) 支持免客户端的用户本地认证功能，用户必须在经过设备认证后才能访问特定网络。(11) 支持 IPv6 协议：支持 IPv6、IPv4 双栈运行、支持 ipv6 路由、支持手工隧道、6to4 隧道和 ISATAP 隧道。(12) 支持主动扫描 IP-MAC 对应关系，支持 IP-MAC 一键绑定功能。(13) 支持 STP 生成树协议。(14) 支持二三层链路状态联动。(15) 支持 IGMP Snooping，能够优化防火

10、墙工作在透明模式下时，对二层组播报文的转发控制。(16) 支持与 IDS 的联动功能。(17) 路由、透明、混合接入模式下均支持完整的 NAT 功能：1) 源地址 NAT（多对一 NAT）2) 目的地址 NAT（多对一 NAT）3) 目的端口转换4) 在 DDNS 应用模式下支持源地址 NAT 和目的地址/端口 NAT5) 静态 NAT（一对一 NAT）6) 地址池 NAT（多对多 NAT）7) 服务器负载分担（一对多 NAT）(18) 支持双机热备功能，包括主备模式(A/S)和主主模式(A/A)。(19) 支持连接状态自动同步。(20) 支持 VRRP 协议，包括 VRRP V2 和 V3

11、版本。(21) 支持三层链路监测。(22) 支持抢占优先级设置。(23) 支持配置自动同步。(24) 提供多种方式的管理界面，包括 HTTPS、CONSOLE、SSH、TELNET等。(25) 支持中英文管理界面。(26) 支持集中管理功能，可同时监控所有防火墙的运行状态，并支持对所有设备进行统一安全策略配置及进行版本升级。(27) 设备具有液晶显示屏，可在不登录设备的情况下实时显示设备运行状态、系统流量、管理地址等信息。(28) 支持管理员权限分级，支持用户自定义管理员权限表。(29) 支持本地日志、SYSLOG 日志及 NetFlow 日志功能，支持在外接移动存储设备上存放本地日志；支持邮

12、件报警功能，所发送邮件支持以加密方式传送。(30) 支持集中日志存储、管理及分析功能，并配置相关软件；支持日志合并处理；支持日志压缩存储和传输。(31) 支持自动报表功能，用户可自行定义生成报表的周期、设备、日志类型、日志等级等；生成的报表可自动发送至用户指定邮箱。(32) 支持 SNTP 协议，可通过 NTP 服务器同步系统时间。(33) 支持双操作系统；支持多配置文件备份，最多可支持 9 个配置文件。(34) 支持配置向导，对于复杂配置可以通过向导的方式简化用户配置。(35) 支持设备运行状态自动记录，利于管理员分析问题。4.1.2. 入侵检测系统(1) 攻击检测能力1) 事件分析功能要求

13、采用高级模式匹配及先进的协议分析技术对网络 数据包进行分析。协议覆盖面广，事件库完备，能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件等各种攻击行为进行检测2) 具备基于原理的 Web 漏洞检测能力，精确识别 SQL 注入攻击，提供对重点服务器的入侵保护3) 支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和发现4) 具备碎片重组、TCP 流重组、统计分析能力；具备分析采用躲避入侵检测系统技术的通信数据的能力；5) 采用基于行为分析的检测技术，对 0day 攻击能够很好防范。具备协议自识别功能6) 具备规则用户自定义功能，可以对应用协议进行用户自定义，并提供详细协议分析变量(2)

14、 响应方式1) 应提供多种事件合并条件，避免事件风暴的产生2) 应支持下列实时响应方式：实时告警、屏幕报警/声音报警、邮件报警、SNMP 报警、自定义程序报警等(3) 日志与报表1) 应支持多种数据库类型，支持独立的日志报表模块部署。同时提供专门的数据库维护功能2) 具备自定义报表功能，支持交叉统计和多元组合查询详细事件，支持导出为 WORDEXCELPDF HTML 等常用公文处理格式(4) 策略功能1) 应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改；提供向导化的策略编制方式2) 提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整其响应方式(5) 管理功能

15、1) 应具备集中管理功能，可实现分布部署、集中式安全监控管理和配置管理，日志报表模块可独立部署 ，适合大规模部署环境2) 各组件间（管理平台与引擎等）使用加密信道通信3) 简便易用的 GUI 管理界面，要求能够对显示窗口进行自定义4) 具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑5) 同时支持多个用户监测台的设置，支持至少 8 个以上的多用户监测台设置(6) 用户管理1) 对授权用户根据角色进行授权管理，提供用户登录身份鉴别和防暴力猜解；可以严格按权限来进行管理2) 要求对用户分级，并能够调整对不同用户的具体权限，提供不同的操作。对各级权限的用户行为进行审计(7) 升级管理1) 具备独立的升级管理中心，可对控制中心和设备进行升级2) 控制中心可以统一对下级控制台和设备进行升级3) 可