XXX信息系统网络安全等级保护建设方案二级.docx

1、XXX信息系统网络安全等级保护建设方案二级XXX信息系统网络安全等级保护建设方案1、技术方案1.1建设背景面对我国信息安全的严峻形势，自2006年以来，以公安部、工信部、国家保密局等单位牵头，在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。2014年2月27日，中央网络安全与信息化领导小组成立，该领导小组着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。2017年中华人民共和国网络安全法颁布实施，该法案明确规定国家实

2、行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者XX的访问，防止网络数据泄露或者被窃取、篡改；对网络运营者不履行规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。2019年5月13日，公安部正式发布了网络安全等级保护制度2.0标准，并于2019年12月1日开始按照2.0标准实施，该标准是在网络安全领域又一规范性条例，在操作性、指导性和强制性力度更强。XXXX目前的主要业务系统是XX系统、XX系统等系统，

3、系统涉及到参保结算人员的各方面信息，按照网络安全法和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设，XXXX需要结合实际情况，对照国家及相关监管单位要求，理清安全现状，并对现有的信息系统按照等保2.0标准二级安全要求建设。1.2建设依据本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求，紧紧围绕国家信息安全发展战略进行规划设计。国家相关文件及法律政策：网络安全等级保护条例中华人民共和国网络安全法国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号）国务院关于印发“十三五”国家信息化规划

4、的通知（国发201673号）“健康中国2030”规划纲要“十三五”深化医药卫生体制改革规划“十三五”全国人口健康信息化发展规划国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见国务院办公厅关于促进”互联网+医疗健康“发展的意见关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）卫生部基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案（征求意见稿）；卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知；2

5、010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案等。安徽省相关文件及法律政策：安徽省医疗卫生服务体系规划（2016-2020年）安徽省人民政府关于印发安徽省“十三五”卫生与健康规划的通知安徽省人民政府办公厅关于全面推进县域医疗共同体建设的意见2018年全省卫生计生规划与信息工作要点安徽省人民政府办公厅关于促进“互联网+医疗健康”发展的实施意见国信安标委组织制定的国家标准：计算机信息系统安全保护等级划分准则（GB 17859-1999）网络安全等级保护实施指南（GB/T25058-2019）网络安全等级保护定级指南（GB/T22240-2019）网络安全等级

6、保护基本要求（GB/T22239-2019）网络安全等级保护设计技术要求（GB/T25070-2019）网络安全等级保护测评要求（GB/T28448-2019）网络安全等级保护测评过程指南（GB/T28449-2018）1.3建设目标依照中华人民共和国网络安全法、网络安全等级保护基本要求等标准，对XXXX信息系统的网络和应用系统进行等级保护定级，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统在统一安全策略管控下，保护敏感资源的能力。通过技术体系和管理体系建设，使得系统的等级保护建设既可以满足等级保护的相关要求，又能够全方面为系统提供持续的安全保护。本项目建设将完成

7、以下目标：1、建立完善的安全技术防护体系。根据信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）的有关规定要求，建立满足等级保护要求的安全技术防护体系，在满足安全合规基础上实现网络安全持续保护。2、建议用户建立符合实际的安全管理组织机构，健全信息系统安全管理制度。根据网络安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。3、制定网络安全应急预案。应急预案是网络安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。4、安全

8、培训：为信息化技术人员提供信息安全相关专业技术知识培训和全员安全意识培训。5、完善用户整体的网络安全规划，建立服务+技术+管理的整体安全体系，让安全规划更全面，安全更持续有效。6、在数据容灾备份方面，搭建一套数据容灾备份体系，为用户的应用系统提供数据备份、数据容灾、数据高可用等功能，保护系统的操作系统、数据库、应用、文件、虚拟机等数据，在遭遇数据灾难时，能完整、准确、快速地还原数据，最大化降低用户的损失。1.4需求分析一、1.2.3.1.1.1.1.2.1.3.1.3.1.网络和系统自身安全需求根据XXXX的组织结构和信息系统的设计目标，目前已经建成依托Internet或者专线建立的VPN网络

9、系统，但信息系统的安全防护技术手段依旧薄弱，随着医保改革的步骤加快，“三保合一”建设提上日程，数据的集中融合，数据的重要性愈来愈凸显其重要性，随之而来的是越来越多的安全威胁与风险，经过分析，目前XXXX信息系统的主要的安全威胁和风险来自于以下几个方面。1.1.1.1.黑客入侵造成的破坏和数据泄露随着信息化的普及，个人信息逐渐电子档案化。XXXX系统汇集了全县人民的个人参保信息信息，而这些数据在传输过程中极易被窃取或监听。一旦系统被黑客控制，可能导致个人隐私外泄，数据恶意删除和恶意修改等严重后果。个人信息外泄将会给公民的生活、工作以及精神方面带来很大的负面影响和损失，同时给辖区域造成不良社会影响

10、，严重损害政府机构的公共形象，甚至可能引发法律纠纷。而数据的恶意删除和篡改会导致参保人员信息的错误，影响参保人员的缴费、就医、医保报销等事项。另一方面，随着便携式数据处理和存储设备的广泛应用，由于设备丢失而导致的数据泄漏威胁也越来越严重。因此参保人员的个人信息数据作为医保局信息系统数据的重要资产，必须采取有效措施以防止物理上的丢失和黑客监听、入侵行为造成的破坏，保证数据的保密性，安全性和可用性。1.1.1.2.卫生信息平台业务系统漏洞问题自计算机技术的出现以来，由于技术发展局限、编码错误等种种原因，漏洞无处不在并且已成为直接或间接威胁系统和应用程序的脆弱点。操作系统和应用程序漏洞能够直接威胁数

11、据的完整性和机密性，流行蠕虫的传播通常也依赖与严重的安全漏洞，黑客的主动攻击也往往离不开对漏洞的利用。事实证明，99%以上攻击都是利用已公布并有修补措施但用户未修补的漏洞。XXXX的信息系统涉及到网络设备，服务器，存储设备，主机等，其中不可避免地存在着可被攻击者利用的安全弱点和漏洞，主要表现在操作系统、网络服务、TCP/IP协议、应用程序（如数据库、浏览器等）、网络设备等几个方面。正是这些弱点给蓄意或无意的攻击者以可乘之机，一旦系统的漏洞利用成功，势必影响到系统的稳定、可靠运行，更严重的导致系统瘫痪和数据丢失，从而影响平台的公众形象。因此有必要借助安全措施制来实现的漏洞扫描和补丁下发。1.1.

12、1.3.业务安全审计问题信息化建设在带来各种便捷的同时也引入了新的隐患。随着人员信息数据化，加之内部安全管理制度不够完善，机构内部运维人员可以借助自身职权，利用数据库操作窃取药品统方信息，修改数据，修改医保报销项目等，来牟取个人私利，影响政府的公众形象，必须坚决制止和查处的行为。因此有必要通过有效手段对各种行为操作进行审计，准确记录各种操作的源、目的、时间、结果等，及时发现各种业务上的违规操作并进行告警和记录，同时提供详细的审计记录以便事后进行追查。1.3.2.等级保护合规安全需求1.1.1.4.安全物理环境需求安全物理环境是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保

13、护基本要求中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层定级的功能室为上层提供一个生成、处理、存储和传输数据的物理媒体。物理环境安全需求主要考虑如下方面的内容：物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护1.1.1.5.安全通信网络需求安全通信网络是在安全计算环境之间进行信息传输及实施安全策略的软硬件设备，是用户信息系统的重要基础设

14、施，也是保证数据安全传输和业务可靠运行的关键，更是实现用户数据内部纵向交互、对外提供服务、与其它单位横向交流的重要保证。通信网络进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为，包括病毒、蠕虫、远程溢出、口令猜测、未知威胁等攻击行为，都可以通过网络实现。安全通信网络需求主要考虑如下方面的内容：网络架构通信传输可信验证1.1.1.6.安全区域边界需求安全区域边界安全对安全计算环境边界、以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关软硬件设备。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段，是实现纵深防御的重要防护措施。通过边界防护、访问控制、入侵

15、防范、恶意代码和垃圾邮件防范、安全审计、可信验证，实现保护环境的区域边界安全。安全区域边界安全需求主要考虑如下方面的内容：边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证1.1.1.7.安全计算环境需求安全计算环境是对系统的信息进行存储、处理及实施安全策略的相关软硬件设备，安全计算环境包括各类计算服务资源和操作系统层面的安全风险。作为XXXX用于信息存储、传输、应用处理的计算服务资源，其自身安全性涉及到承载业务的方方面面，任何一个节点安全隐患都有可能威胁到整个网络的安全。计算环境作为XXXX的业务数据和信息的主要载体，这些业务数据和信息是信息资产的重要组成；另一方面，其是系统各项

16、支撑业务的起点和终点，病毒、木马等安全威胁也容易通过网络渗透到后台各种业务应用和服务主机中，从而对系统的整体安全带来危害。计算环境面临的安全风险主要来多方面，对系统的不安全使用、配置和管理、未进行有效的入侵防范、没有进行安全审计和资源控制，这导致业务系统存在被黑客入侵或爆发高级安全威胁的可能。安全计算环境需求主要考虑如下方面的内容：身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护1.1.1.8.安全管理需求除了采用网络安全技术措施控制安全威胁外，安全管理措施也是必不可少的手段，所谓“三分技术，七分管理”更加凸显了安全管理的重要性，健全

17、的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保证，安全技术措施和安全管理措施可以相互补充，共同构建完整、有效的网络安全保障体系。管理管理需求主要考虑如下方面的内容：安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理很显然，XXXX的安全建设需要考虑以上各个层次的安全管理要求，同时还需要结合国际国内成熟的安全体系建设经验，并通过借助成熟的安全产品、安全服务和安全管理措施不断进行持续改进，最终建立符合单位业务的安全保障体系。1.5信息化现状目前，XXXX的机房主要为原属于卫健委的新农合机房，主要的业务系统运行在新农合机房，由于政府部门的改革，该机房目前还承载了卫

18、健委的部分业系统。XXXX目前的机房，网络区域分为外网办公网络、内部服务网络，其中外网办公网络可进行互联网访问，进行外部服务的访问，内部服务网络分为内部服务器区，内部办公网络，服务器区服务器承载局医保结算系统运行使用，除内部访问办公以外，还提供给上级机构和内部下属分支机构使用，内部办公网络主要是访问内部服务应用进行医疗保险费用结算、管理和其他日常事务。在网络安全防护区方面，在网络出口处部署了一台防火墙，实现网络出口访问控制。在链路安全方面，在网络内部署了2台VPN设备，实现数据传输链路的安全。但是在审计、终端管理、主机防病毒系统，增加身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、入

19、侵防范、恶意代码防范等方面欠缺相应的防护手段。在数据安全方面，XXXX目前的关键信息系统的数据一部分存放在本地服务器上，一部分存放在磁盘存储上，如果系统或设备本身发生了故障极易造成数据的丢失，造成的后果是非常严重的。因此，需要新增一套数据备份一体机，对所有的核心数据进行容灾备份，保证数据的完整性和可靠性。1.6信息安全技术体系建设1.3.3.设计思路1)按照最新的等级保护2.0标准和网络安全法要求，统筹规划安全建设，合理规划安全域、建立有效的安全技术保障体系、完善安全管理体系的建设。构建一个中心、三重防护保障的主动防御安全体系（一个中心是指安全管理中心，三重防护由安全计算环境、安全区域边界以及

20、安全通信网络组成），从物理和环境、网络和通信、设备和计算及应用和数据方面对用户信息安全进行统筹规划设计。2)秉承“持续保护、不止合规”的理念，本着建立真正有效的技术体系的原则，构建“防御+检测+响应”的安全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护2.0要求，又能充分发挥安全技术体系的有效性，抵御新威胁，切实的解决安全问题，减少事故发生的概率。3)建立统一的信息安全管理体系，落实各项管理制度，让用户的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全运维管理，减轻安全运维管理的负担，提升安全运维管理

21、的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。1.3.4.总体设计拓扑XXXX的安全体系与信息系统整体之间，不是彼此独立、分离，而是紧密镶嵌、有机结合、高度融合的。本次设计依据国家等级保护的相关标准和规范，结合用户信息系统面临的安全挑战，为其建立一个完整的安全保障体系。等级保护整体规划如下图所示：1.3.5.安全分区分域建设安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。在安全防护领域，对网络系统进行分区分域进行防护是常规的做法。本次设计对用户的整个网

22、络采用分区分域的模块化架构设计方法，清晰定义和区分不同的功能区域，将基础网络平台划分为不同的功能区域，部署不同的应用，使网络架构具有可扩展性、灵活性、高可用性和高安全性。每一个功能区域按照网络分层设计方法进行层次化、结构化设计，保障各区域网络在每个层次上的平滑扩展，实现各个区域在服务功能、网络规模上的扩展能力。并且分区分域后，每个功能区域都可以根据自己业务的特点部署针对性的安全措施，可以有效提升区域安全度，从而根本上提升整个网络的网络安全等级，满足等保二级对网络安全方面的要求。在等保2.0标准中按照等级保护要求要求，信息系统一般划分为四个安全域，即：边界接入域、网络基础设施域、计算环境域以及支

23、撑性设施域。在每个安全域分别划分对应分区：边界接入域包括互联网接入区、DMZ接入区、外联网接入区、内联网接入区、内部网接入区；网络基础设施域包括接入层、分布层、核心区；计算环境域设有一般服务区、重要服务区、核心服务区以及云平台应用区；支撑性设施域包括安全系统、网关系统、其他支撑系统。本次设计考虑到用户系统的实际情况，总共划分为网络出口区、安全运维区、核心交换区和服务器区域。网络出口区域主要涉及到系统的出口安全防护，本次方案设计计划在网络出口串联部署一台入侵防御系统用来弥补单一防火墙在安全防护方面的不足。本次设计的日志审计系统、网络审计系统、堡垒机、终端安全管理、主机防病毒系统和安全管理中心则部

24、署在安全运维区域。核心交换区域主要是负责数据中心内部的数据交换。1.3.6.下一代防火墙防火墙是网络安全防护最基础的设备，既可以做边界防护安全设备，也可以做出口网关。通过部署下一代防火墙，可实现边界安全隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威胁在各区域内扩散，从攻击源头防护各类网络、系统、应用、数据层面的安全威胁，防止各种安全威胁在系统内部扩散，对事前、事中、事后的各类安全问题提供一站式解决。同时下一代防火墙提供完整的应用层安全防护的设备，打造L2-L7层的智能防御体系，可以全面替代FW、IPS等安全设备，只需要一套设备就能提供过去多套设备的边界安全能力，并提供更加完整全

25、面的保护效果，大大节省了硬件投资成本。借助防火墙提供的统一可视化的日志分析，实现统一管理、统一分析日志，提升日志的可视性与可读性，下一代防火墙还创新设计了待处理问题功能，帮助用户对所有需要处理的问题进行了归类汇总，可以看到每一类安全问题的详情及针对性的修复策略，帮助用户更明确、高效的解决安全问题，大大降低了系统维护成本。1.3.7.入侵防御系统在出口防火墙和核心交换机之间部署一台入侵防御系统。在网络出口边界，防火墙主要起到协议过滤的作用，根据安全策略在偏重网络层判断数据包的合法流动。虽然下一代防火墙已经提供应用层的安全防护，但是面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层

26、数据。在网络边界已经部署了防火墙，对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防御系统（IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。本次设计在防火墙下联区部署一台入侵防御系统。入侵防御是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图

27、绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。将IPS串联在出口链路上，在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。1.3.8.日志审计系统随着各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依然还面临着诸多

28、的困难及风险，如：系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及各类日志中有反映，如果缺乏有效的日志审计手段，就无法及时发现这些安全隐患。应用及数据风险：包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。安全事件定位风险：由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行关联分析才能确定真正的故障原因，缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位，此外恶意破坏者获得系统权限后可以清理安全日志，从而导致无法正确定位安全日志。

29、此外，根据网络安全法、等保2.0标准等法律法规标准，明确要求需要在信息系统内部通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。通过日志审计系统，系统管理员随时了解整个IT系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助管理员进行故障快速定位，并提供客观依据进行追查和恢复。本次

30、项目，计划在系统安全运维区部署一套日志审计系统，实现对机房内部的网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全；通过基于国际标准化的关联分析引擎，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况。1.3.9.网络审计系统根据等保安全设计要求，本次设计一套网络审计系

31、统部署在安全运维区，帮助用户提供包括网络应用流量分析及控制、职员上网行为记录、访问控制、数据库安全审计，以及链路负载均衡、用户认证、病毒防范等综合功能，帮助用户构建“可视、可控、可优化的互联网”部署上网审计设备，实现上网行为和内容的审计。a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；实现设备特权用户的权限分离。b) 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；c) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。d) 安全审计应根据记录数据进行分析，并生成审计报表；通过部署上网安全审计系统，实现对于所有访问互联网的行为的审计，并能够记录该行为的源IP、目的IP、访问是否成功、端口协议等，并且要求能够将日志保存至少6个月，可以方便的生成报表等。1.3.10.堡垒机随着网络信息技术的迅速发展，用户单位网络规模和设备数量迅速扩大，建设重点逐步从网络信息化到网络信息安全、提升效益为特征的运行维护阶段； IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益，如何构建一个强健的运维安全管理体系对企业信息化的发展至关重要，同时对运维的安全性提出更高要求。目前， 面