深信服等級保護(三級)建設(shè)方案68頁

1、等級保護（三級）方案模板 深信服科技 1 項目 等級保護（三級）建設(shè)方案 深信服科技（深圳）有限公司 2021 年 4 月 等級保護（三級）方案模板 深信服科技 2 目 錄 1項目概述項目概述.5 2等級保護建設(shè)流程等級保護建設(shè)流程.5 3方案參照標準方案參照標準.7 4信息系統(tǒng)定級信息系統(tǒng)定級.8 4.1.1定級流程.8 4.1.2定級結(jié)果.9 5系統(tǒng)現(xiàn)狀分析系統(tǒng)現(xiàn)狀分析.11 5.1機房及配套設(shè)備現(xiàn)狀分析.11 5.2計算環(huán)境現(xiàn)狀分析.11 5.3區(qū)域邊界現(xiàn)狀分析.11 5.4通信網(wǎng)絡(luò)現(xiàn)狀分析.11 5.5安全管理中心現(xiàn)狀分析.11 6安全風險與差距分析安全風險與差距分析.11 6.1物理

2、安全風險與差距分析.12 6.2計算環(huán)境安全風險與差距分析.12 6.3區(qū)域邊界安全風險與差距分析.15 6.4通信網(wǎng)絡(luò)安全風險與差距分析.16 6.5安全管理中心差距分析.18 7技術(shù)體系方案設(shè)計技術(shù)體系方案設(shè)計.19 7.1方案設(shè)計目標.19 7.2方案設(shè)計框架.19 7.3安全域的劃分.21 7.3.1安全域劃分的依據(jù).21 7.3.2安全域劃分與說明.22 等級保護（三級）方案模板 深信服科技 3 7.4安全技術(shù)體系設(shè)計.23 7.4.1機房與配套設(shè)備安全設(shè)計.23 7.4.2計算環(huán)境安全設(shè)計.24 身份鑒別.24 訪問控制.25 系統(tǒng)安全審計

3、.26 入侵防范.27 主機惡意代碼防范.28 軟件容錯.29 數(shù)據(jù)完整性與保密性 .29 備份與恢復(fù).31 資源控制.32 0客體安全重用.33 1抗抵賴.33 2不同等級業(yè)務(wù)系統(tǒng)的隔離與互通.34 7.4.3區(qū)域邊界安全設(shè)計.35 邊界訪問控制入侵防范惡意代碼防范與應(yīng)用層防攻擊.35 流量控制.36 邊界完整性檢查.38 邊界安全審計.39 7.4.4通信網(wǎng)絡(luò)安全設(shè)計.41 網(wǎng)絡(luò)結(jié)構(gòu)安全.41 7

4、.4.4.2網(wǎng)絡(luò)安全審計.42 網(wǎng)絡(luò)設(shè)備防護.43 通信完整性與保密性 .44 網(wǎng)絡(luò)可信接入.45 7.4.5安全管理中心設(shè)計.46 系統(tǒng)管理.46 等級保護（三級）方案模板 深信服科技 4 審計管理.48 監(jiān)控管理.49 8安全管理體系設(shè)計安全管理體系設(shè)計.50 9系統(tǒng)集成設(shè)計系統(tǒng)集成設(shè)計.52 9.1軟硬件產(chǎn)品部署圖.52 9.2應(yīng)用系統(tǒng)改造.52 9.3采購設(shè)備清單.52 10方案合規(guī)性分析方案合規(guī)性分析.52 10.1技術(shù)部分.52 10.2管理部分.65 11附錄：附錄：.79 11.1等級劃分標準.

5、79 11.2技術(shù)要求組合確定.81 等級保護（三級）方案模板 深信服科技 5 1項目概述 建設(shè)單位情況介紹 項目背景情況介紹 2等級保護建設(shè)流程 整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全等級保護基本要求分為物理 安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級保護基本要 求則分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面。 整個安全保障體系各部分既有機結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機構(gòu)，制定完善的安 全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進行

6、系統(tǒng)建設(shè)和運行維護。 ” 根據(jù)等級化安全保障體系的設(shè)計思路，等級保護的設(shè)計與實施通過以下步驟進行： 1.系統(tǒng)識別與定級：確定保護對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴 程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級， 為下一步安全域設(shè)計、安全保障體系框架設(shè)計、安全要求選擇以及安全措施選擇提供依據(jù)。 2.安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域 架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。 3.確定安全域安全要求：參照國家相

7、關(guān)等級保護安全要求，設(shè)計不同安全域的安全要求。通過安全域適用安全 等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。 4.評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風險評估方法，對系統(tǒng)各層次安全 域進行有針對性的等級風險評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的按需防御的安全 需求。通過等級風險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計和 安全管理建設(shè)提供依據(jù)。 5.安全保障體系方案設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保障體系框架以及具體方案。包括：各 等級保護（三級）方案模板 深信服科技 6 層次的安全

8、保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細安全技術(shù)設(shè)計、安全管理設(shè)計。 6.安全建設(shè)：根據(jù)方案設(shè)計內(nèi)容逐步進行安全建設(shè)，滿足方案設(shè)計做要符合的安全需求，滿足等級保護相應(yīng)等 級的基本要求，實現(xiàn)按需防御。 7.持續(xù)安全運維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計、應(yīng)急響應(yīng)等，從事前、事中、事后三個方 面進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整 體的安全。而應(yīng)該特別注意的是：等級保護不是一個項目，它應(yīng)該是一個不斷循環(huán)的過程，所以通過整個安全項目、安 全服務(wù)的實施，

9、來保證用戶等級保護的建設(shè)能夠持續(xù)的運行，能夠使整個系統(tǒng)隨著環(huán)境的變化達到持續(xù)的安全。 等級保護（三級）方案模板 深信服科技 7 3方案參照標準 GB/T 21052-2007 信息安全等級保護 信息系統(tǒng)物理安全技術(shù)要求 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南(報批中) 信息安全技術(shù)信息安全等級保護實施指南(報批中) 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評指南 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20984-2007 信息安全技術(shù) 信息

10、安全風險評估規(guī)范 GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求 GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求與測試評價方法 GB/T 20275-2006 信息安全技術(shù) 入侵檢測系統(tǒng)技術(shù)要求和測試評價方法 GB/T 20278-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求 GB/T 20277-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法 GB/T 20279-2006 信息安全技術(shù) 網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求 GB/T 20280-2006 信息安全技術(shù) 網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法 等。 等級保護（三級）方案模板 深信服科技 8 4信

11、息系統(tǒng)定級 4.1.1定級流程定級流程 確定信息系統(tǒng)安全保護等級的一般流程如下： 識別單位基本信息 了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷 單位主要信息系統(tǒng)的宏觀定位。 識別業(yè)務(wù)種類、流程和服務(wù) 應(yīng)重點了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程度，影響 的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機構(gòu)或個人的影響等方面。這些具體數(shù)據(jù)即 可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。 識別信息 調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的

12、需求，了解不同業(yè)務(wù)數(shù)據(jù)在 其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社 會、本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。 識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界 調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護和外部連接情況，目的是了解信息系統(tǒng)所 處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護 的關(guān)系。識別主要的軟硬件設(shè)備 調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系 統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。 識

13、別用戶類型和分布 調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或 用戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。 根據(jù)信息安全等級矩陣表，形成定級結(jié)果 等級保護（三級）方案模板 深信服科技 9 業(yè)務(wù)信息安全等級矩陣表 對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度 業(yè)務(wù)信息安全被破壞時所侵害的客體業(yè)務(wù)信息安全被破壞時所侵害的客體 一般損害嚴重損害特別嚴重損害 公民、法人和其他組織的合法權(quán)益公民、法人和其他組織的合法權(quán)益 第一級第二級第二級 社會秩序、公共利益社會秩序、公共利益 第二級第三級第四級 國家安全國家安全 第三級第四級第

14、五級 系統(tǒng)服務(wù)安全等級矩陣表 對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度 系統(tǒng)服務(wù)安全被破壞時所侵害的客體系統(tǒng)服務(wù)安全被破壞時所侵害的客體 一般損害嚴重損害特別嚴重損害 公民、法人和其他組織的合法權(quán)益公民、法人和其他組織的合法權(quán)益 第一級第二級第二級 社會秩序、公共利益社會秩序、公共利益 第二級第三級第四級 國家安全國家安全 第三級第四級第五級 4.1.2定級結(jié)果定級結(jié)果 根據(jù)上述定級流程，XX 用戶各主要系統(tǒng)定級結(jié)果為： 序號部署環(huán)境系統(tǒng)名稱保護等級保護等級定級結(jié)果組合定級結(jié)果組合 1.XX 網(wǎng)絡(luò)XX 系統(tǒng)3可能的組合為： S1A3G3，S2A3G3，S3A3G3 ，S3A2G3，S3A1G3

15、，根據(jù)實 際情況進行選擇。 等級保護（三級）方案模板 深信服科技 10 2. 等級保護（三級）方案模板 深信服科技 11 5系統(tǒng)現(xiàn)狀分析 系統(tǒng)現(xiàn)狀分析按照物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)五個層面進行，系統(tǒng)的展現(xiàn)客戶信息系統(tǒng)的現(xiàn)狀。 5.1機房及配套設(shè)備現(xiàn)狀分析機房及配套設(shè)備現(xiàn)狀分析 包括現(xiàn)在的機房建設(shè)情況，以及機房內(nèi)的配套設(shè)備部署情況。 5.2 網(wǎng)絡(luò)現(xiàn)狀分析網(wǎng)絡(luò)現(xiàn)狀分析 該單位目前的網(wǎng)絡(luò)拓撲圖，以及部署了哪些安全軟件，終端部署情況等。 5.3業(yè)務(wù)系統(tǒng)現(xiàn)狀分析業(yè)務(wù)系統(tǒng)現(xiàn)狀分析 現(xiàn)有業(yè)務(wù)系統(tǒng)的現(xiàn)狀。 5.4安全管理中心現(xiàn)狀分析安全管理中心現(xiàn)狀分析 是否已有安全管理中心，以及現(xiàn)在建設(shè)的現(xiàn)狀。 6安全風險

16、與差距分析 風險與需求分析部分按照物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)五個層面進行，可根據(jù)實際情況進行修改；同時根據(jù)安 全域劃分的結(jié)果，在分析過程中將不同的安全域所面臨的風險與需求分析予以對應(yīng)說明。 6.1物理安全風險與差距分析物理安全風險與差距分析 物理安全風險主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用，從而會造成網(wǎng)絡(luò)系統(tǒng)的不 可使用，甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整個 網(wǎng)絡(luò)的可用性，進而提高整個網(wǎng)絡(luò)的抗破壞力。例如： 機房缺乏控制，人員隨意出入帶來的風險； 網(wǎng)絡(luò)設(shè)備被盜、被毀壞； 等級保護（三級）方案模板 深信服科技

17、 12 線路老化或是有意、無意的破壞線路； 設(shè)備在非預(yù)測情況下發(fā)生故障、停電等； 自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等； 電磁干擾等。 因此，在通盤考慮安全風險時，應(yīng)優(yōu)先考慮物理安全風險。保證網(wǎng)絡(luò)正常運行的前提是將物理層安全風險降到最 低或是盡量考慮在非正常情況下物理層出現(xiàn)風險問題時的應(yīng)對方案。 6.2計算環(huán)境安全風險與差距分析計算環(huán)境安全風險與差距分析 計算環(huán)境的安全主要指主機以及應(yīng)用層面的安全風險與需求分析，包括：身份鑒別、訪問控制、系統(tǒng)審計、入侵 防范、惡意代碼防范、軟件容錯、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護、抗抵賴等方面。 身份鑒別身份鑒別 身份鑒別包括主機和應(yīng)

18、用兩個方面。 主機操作系統(tǒng)登錄、數(shù)據(jù)庫登陸以及應(yīng)用系統(tǒng)登錄均必須進行身份驗證。過于簡單的標識符和口令容易被窮舉攻 擊破解。同時非法用戶可以通過網(wǎng)絡(luò)進行竊聽，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作。因此必須 提高用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽；同時應(yīng)考慮失敗處理機制。 訪問控制訪問控制 訪問控制包括主機和應(yīng)用兩個方面。 訪問控制主要為了保證用戶對主機資源和應(yīng)用系統(tǒng)資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入 系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風險。 用戶必須擁有合法的用戶標識符，在制定好的訪問控制策

19、略下進行操作，杜絕越權(quán)非法操作。 系統(tǒng)審計系統(tǒng)審計 系統(tǒng)審計包括主機審計和應(yīng)用審計兩個方面。 對于登陸主機后的操作行為則需要進行主機審計。對于服務(wù)器和重要主機需要進行嚴格的行為控制，對用戶的行 為、使用的命令等進行必要的記錄審計，便于日后的分析、調(diào)查、取證，規(guī)范主機使用行為。而對于應(yīng)用系統(tǒng)同樣提出 等級保護（三級）方案模板 深信服科技 13 了應(yīng)用審計的要求，即對應(yīng)用系統(tǒng)的使用行為進行審計。重點審計應(yīng)用層信息，和業(yè)務(wù)系統(tǒng)的運轉(zhuǎn)流程息息相關(guān)。能夠 為安全事件提供足夠的信息，與身份認證與訪問控制聯(lián)系緊密，為相關(guān)事件提供審計記錄。 入侵防范入侵防范 主機操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操

20、作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏 洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險，因此對于主機 操作系統(tǒng)的安裝，使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。 惡意代碼防范惡意代碼防范 病毒、蠕蟲等惡意代碼是對計算環(huán)境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發(fā)，會 立刻向其他子網(wǎng)迅速蔓延，發(fā)動網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴重下降、服 務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏。嚴重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進行防御。同 時保持惡意代碼庫的及時更新。 軟件容錯軟

21、件容錯 軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實際運行時能夠及時發(fā)現(xiàn)程序設(shè)計錯誤,采取補 救措施,以提高軟件可靠性,保證整個計算機系統(tǒng)的正常運行。 數(shù)據(jù)安全數(shù)據(jù)安全 主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此 數(shù)據(jù)的備份十分重要，是必須考慮的問題。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性；保護鑒別信息的保 密性 備份與恢復(fù)備份與恢復(fù) 數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考 慮的問題。對于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機制，而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進行冗

22、余配置，備份與恢復(fù)是應(yīng)對 突發(fā)事件的必要措施。 資源合理控制資源合理控制 資源合理控制包括主機和應(yīng)用兩個方面。 主機系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無限濫用。系統(tǒng)資源必須能夠為正常用戶提供資源保障。否則會出 等級保護（三級）方案模板 深信服科技 14 現(xiàn)資源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等后果。因此對于系統(tǒng)資源進行控制，制定包括：登陸條件限制、超時鎖定、 用戶可用資源閾值設(shè)置等資源控制策略。 剩余信息保護剩余信息保護 對于正常使用中的主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等，經(jīng)常需要對用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫記錄等進行 臨時或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進行清除

23、，將會引起元用戶信息泄漏的安全 風險，因此，需要確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其 他用戶前得到完全清除 對于動態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不 被泄漏。 抗抵賴抗抵賴 對于數(shù)據(jù)安全，不僅面臨著機密性和完整性的問題，同樣還面臨著抗抵賴性（不可否認性）的問題，應(yīng)采用技術(shù) 手段防止用戶否認其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。 不同等級的業(yè)務(wù)系統(tǒng)的互聯(lián)不同等級的業(yè)務(wù)系統(tǒng)的互聯(lián) 使用同一終端訪問不同等級的業(yè)務(wù)系統(tǒng)時，如何在用戶終端實現(xiàn)不同等級業(yè)務(wù)系統(tǒng)的隔離。 6.3區(qū)域邊界安全風

24、險與差距分析區(qū)域邊界安全風險與差距分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。 邊界訪問控制邊界訪問控制 XX 網(wǎng)絡(luò)可劃分為如下邊界： 描述邊界及風險分析 對于各類邊界最基本的安全需求就是訪問控制，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)及越權(quán)訪 問。 邊界完整性檢測邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到 等級保護（三級）方案模板 深信服科技 15 外部網(wǎng)絡(luò)的行為進行檢查，維護邊界完整性。 邊界入侵防范邊界入侵防范 各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)

25、等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過安全措施，要實現(xiàn)主動 阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS 等，實現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù) 系統(tǒng)的安全防護，保護核心信息資產(chǎn)的免受攻擊危害。 邊界安全審計邊界安全審計 在安全區(qū)域邊界需要建立必要的審計機制，對進出邊界的各類網(wǎng)絡(luò)行為進行記錄與審計分析，可以和主機審計、 應(yīng)用審計以及網(wǎng)絡(luò)審計形成多層次的審計系統(tǒng)。并可通過安全管理中心集中管理。 邊界惡意代碼防范邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫，目前計算機病毒的傳播途徑與過 去相比已經(jīng)發(fā)生了很大的變化，更多的以網(wǎng)絡(luò)（

26、包括 Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進行傳播，因此為了安全的防護 手段也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺。 6.4通信網(wǎng)絡(luò)安全風險與差距分析通信網(wǎng)絡(luò)安全風險與差距分析 通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)設(shè)備防護、通信完整性與保密性等方面。 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性；帶寬能夠滿 足業(yè)務(wù)高峰時期數(shù)據(jù)交換需求；并合理的劃分網(wǎng)段和 VLAN。 網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計 由于用戶的計算機相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命 的破

27、壞。沒有相應(yīng)的審計記錄將給事后追查帶來困難。有必要進行基于網(wǎng)絡(luò)行為的審計。從而威懾那些心存僥幸、有惡 意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。 網(wǎng)絡(luò)設(shè)備防護網(wǎng)絡(luò)設(shè)備防護 由于 XX 網(wǎng)絡(luò)中將會使用大量的網(wǎng)絡(luò)設(shè)備，如交換機、防火墻、入侵檢測設(shè)備等。這些設(shè)備的自身安全性也會直 等級保護（三級）方案模板 深信服科技 16 接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運行。更加嚴重 情況是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會造成無法想象 的后果。例如，交換機口令泄漏、防火墻規(guī)則被篡改、入侵檢測設(shè)備

28、失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運行的風險因素。 通信完整性與保密性通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標準、開發(fā)、公開的特征，因此數(shù)據(jù)在網(wǎng)上存儲和傳輸過程中，不僅僅面臨信息 丟失、信息重復(fù)或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息 傳輸和存儲過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應(yīng)提供有效 的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機密 性。 網(wǎng)絡(luò)可信接入網(wǎng)絡(luò)可信接入 對于一個不斷發(fā)展的網(wǎng)絡(luò)而言，為方

29、便辦公，在網(wǎng)絡(luò)設(shè)計時保留大量的接入端口，這對于隨時隨地快速接入到 XX 用戶網(wǎng)絡(luò)進行辦公是非常便捷的，但同時也引入了安全風險，一旦外來用戶不加阻攔的接入到網(wǎng)絡(luò)中來，就有可能破壞 網(wǎng)絡(luò)的安全邊界，使得外來用戶具備對網(wǎng)絡(luò)進行破壞的條件，由此而引入諸如蠕蟲擴散、文件泄密等安全問題。因此需 要對非法客戶端實現(xiàn)禁入，能監(jiān)控網(wǎng)絡(luò)，對于沒有合法認證的外來機器，能夠阻斷其網(wǎng)絡(luò)訪問，保護好已經(jīng)建立起來的 安全環(huán)境。 6.5安全管理中心差距分析安全管理中心差距分析 安全管理中心需求包括統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計三個方面的需求分析。兩個方面，技術(shù)方面和管理方面。 等級保護（三級）方案模板 深信服科技 17 7技術(shù)

30、體系方案設(shè)計 7.1方案設(shè)計目標方案設(shè)計目標 三級系統(tǒng)安全保護環(huán)境的設(shè)計目標是：落實 GB 17859-1999 對三級系統(tǒng)的安全保護要求，在二級安全保護環(huán)境的 基礎(chǔ)上，通過實現(xiàn)基于安全策略模型和標記的強制訪問控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管 控下，保護敏感資源的能力。 通過為滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進行技術(shù)體系建設(shè)；為 滿足安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系 建設(shè)。使得 XX 系統(tǒng)的等級保護建設(shè)方案最終既可以滿足等級保護的相關(guān)要求，又能夠全方面為 XX 系

31、統(tǒng)提供立體、縱 深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。 7.2方案設(shè)計框架方案設(shè)計框架 根據(jù)信息系統(tǒng)安全等級保護基本要求 ，分為技術(shù)和管理兩大類要求，具體如下圖所示： 等級保護（三級）方案模板 深信服科技 18 本方案將嚴格根據(jù)技術(shù)與管理要求進行設(shè)計。首先應(yīng)根據(jù)本級具體的基本要求設(shè)計本級系統(tǒng)的保護環(huán)境模型，根根 據(jù)據(jù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 （注：尚未正式發(fā)布）（注：尚未正式發(fā)布） ，保護環(huán)境按照安全計算環(huán)境、安全區(qū)域邊界、安全通 信網(wǎng)絡(luò)和安全管理中心進行設(shè)計，內(nèi)容涵蓋基本要求的 5 個方面。同時結(jié)合管理要求，形成如下圖所示的保護環(huán)境模型

32、： 信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全性等級和系統(tǒng)服務(wù)保證性等級較高者決定，因此，對某一個定級后的信 息系統(tǒng)的安全保護的側(cè)重點可以有多種組合。對于 3 級保護系統(tǒng)，其組合為：（在 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 選擇） 。以下詳細方案設(shè)計時以 S3A3G3 為例，其他組合根據(jù)實際情況 酌情修改。 7.3安全域的劃分安全域的劃分 7.3.1安全域劃分的依據(jù)安全域劃分的依據(jù) 對大型信息系統(tǒng)進行等級保護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不 等級保護（三級）方案模板 深信服科技 19 同等級的保護。因此，安全域劃分是進行信息安

33、全等級保護的首要步驟。 安全域是具有相同或相似安全要求和策略的 IT 要素的集合，是同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目 標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控 制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。當然，安全域的劃分不能 單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的 代價完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。對信息系統(tǒng)安全域（保護對象）的劃分應(yīng)主要考慮如下方面因 素： 1.業(yè)務(wù)和功能特性 業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)

34、性 業(yè)務(wù)系統(tǒng)對外連接：對外業(yè)務(wù)，支撐，內(nèi)部管理 2.安全特性的要求 安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產(chǎn)單獨劃區(qū)域。 威脅相似性：威脅來源、威脅方式和強度，如第三方接入?yún)^(qū)單獨劃區(qū)域。 資產(chǎn)價值相近性：重要與非重要資產(chǎn)分離，如核心生產(chǎn)區(qū)和管理終端區(qū)分離。 3.參照現(xiàn)有狀況 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況：現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機房等 參照現(xiàn)有的管理部門職權(quán)劃分 7.3.2安全域劃分與說明安全域劃分與說明 根據(jù) xx 單位的實際情況，將安全域劃分為如下幾個： xxx 域，承載什么內(nèi)容，什么作用。 xxx 域，承載什么內(nèi)容，什么作用。 xxx 域，承載什么內(nèi)容，什么作用。 等級保護（

35、三級）方案模板 深信服科技 20 xxx 域，承載什么內(nèi)容，什么作用。 7.4安全技術(shù)體系設(shè)計安全技術(shù)體系設(shè)計 7.4.1機房與配套設(shè)備安全設(shè)計機房與配套設(shè)備安全設(shè)計 機房與配套設(shè)備安全策略的目的是保護網(wǎng)絡(luò)中計算機網(wǎng)絡(luò)通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶 進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 機房選址機房選址 機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內(nèi)。機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以 及用水設(shè)備的下層或隔壁。 機房管理機房管理 機房出入口安排專人值守，控制、鑒別和記錄進入的人員； 需進入機房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。 對

36、機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域； 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。 典型產(chǎn)品推薦：電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng) 機房環(huán)境機房環(huán)境 合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護及操作之用。房間裝修必需使用阻燃材料，耐火等級符 合國家相關(guān)標準規(guī)定。機房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時運輸需要。機房墻壁及天花板應(yīng)進行表面處理，防止塵埃脫落， 機房應(yīng)安裝防靜電活動地板。 機房安裝防雷和接地線，設(shè)置防雷保安器，防止感應(yīng)雷，要求防雷接地和機房接地分別安裝，且相隔一定的距離； 機房設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報

37、警，并自動滅火；機房及相關(guān)的工作房間和輔助房應(yīng)采用具有 耐火等級的建筑材料；機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。配備空調(diào)系統(tǒng)，以保持房間恒濕、 恒溫的工作環(huán)境；在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情 況下的正常運行要求。設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；建立備用供電系統(tǒng)。鋪設(shè)線纜要求電源線和 通信線纜隔離鋪設(shè)，避免互相干擾。對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。 等級保護（三級）方案模板 深信服科技 21 典型產(chǎn)品推薦：消防系統(tǒng)、屏蔽機柜、電力供應(yīng)系統(tǒng)、空調(diào)、環(huán)境監(jiān)控系統(tǒng) 設(shè)備與介質(zhì)管理設(shè)備與介質(zhì)管理 為了防止無關(guān)人員

38、和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機盜取信息、破壞網(wǎng)絡(luò)和主機系統(tǒng)、破壞網(wǎng)絡(luò)中的 數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴 格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運行。對介質(zhì)進行分類標識，存儲在介 質(zhì)庫或檔案室中。利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；對機房設(shè)置監(jiān)控報警系統(tǒng)。 典型產(chǎn)品推薦：保密柜 7.4.2計算環(huán)境安全設(shè)計計算環(huán)境安全設(shè)計 身份鑒別身份鑒別 身份鑒別可分為主機身份鑒別和應(yīng)用身份鑒別兩個方面： 主機身份鑒別：主機身份鑒別： 為提高主機系統(tǒng)安全性，保障各種應(yīng)用的正常運行

39、，對主機系統(tǒng)需要進行一系列的加固措施，包括： 對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別，且保證用戶名的唯一性。 根據(jù)基本要求配置用戶名/口令；口令必須具備采用 3 種以上字符、長度不少于 8 位并定期更換； 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。 遠程管理時應(yīng)啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 對主機管理員登錄進行雙因素認證方式，采用 USBkey+密碼進行身份鑒別 應(yīng)用身份鑒別：應(yīng)用身份鑒別： 為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進行一系列的加固措施，包括： 對登錄用戶進行身份標識和鑒別，且保證用戶名的唯一性。 根據(jù)基

40、本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采用 3 種以上字符、長度不少于 8 位并 定期更換； 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。 等級保護（三級）方案模板 深信服科技 22 應(yīng)用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進行相應(yīng)的功能開發(fā)，且使用效果要達到以上要求。 對于三級系統(tǒng)，要求對用戶進行兩種或兩種以上組合的鑒別技術(shù)，因此可采用雙因素認證（USBkey+密碼）或者 構(gòu)建 PKI 體系，采用 CA 證書的方式進行身份鑒別。 典型產(chǎn)品推薦：xx 公司 CA 系統(tǒng)，遠程用戶登錄使用深信服 SSL VPN 訪問控

41、制訪問控制 三級系統(tǒng)一個重要要求是實現(xiàn)自主訪問控制和強制訪問控制。自主訪問控制實現(xiàn)：在安全策略控制范圍內(nèi)，使用用 戶戶對自己創(chuàng)建的客體具有各種訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶用戶；自主訪問控制主體的粒度應(yīng) 為用戶級用戶級，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級；自主訪問操作應(yīng)包括對客體的創(chuàng)建、讀、寫、修改和刪除等。 強制訪 問控制實現(xiàn)：在對安全管理員進行嚴格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過特定操作界面對主、客體進行 安全標記；應(yīng)按安全標記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制；強制訪問控制主體的粒度應(yīng)為用 戶級，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級。 由此主要控

42、制的是對應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫等資源的訪問，避免越權(quán)非法使用。采用的措施主要包括： 啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據(jù)策略控制用戶對應(yīng)用系統(tǒng)的訪問，特別是文件操作、數(shù) 據(jù)庫訪問等，控制粒度主體為用戶級、客體為文件或數(shù)據(jù)庫表級。 權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作。對于不同的 用戶授權(quán)原則是進行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系。 賬號管理：嚴格限制默認帳戶的訪問權(quán)限，重命名默認帳戶，修改默認口令；及時刪除多余的、過期的帳戶，避 免共享帳戶的存在。 訪問控制的實現(xiàn)主要采取兩種方式：采用安全

43、操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進行安全增強改造，且使用效果要達到以 上要求。 典型產(chǎn)品推薦：xx 公司 CA 系統(tǒng)，操作系統(tǒng)加固，遠程用戶接入使用深信服 SSL VPN 系統(tǒng)安全審計系統(tǒng)安全審計 系統(tǒng)審計包含主機審計和應(yīng)用審計兩個層面： 等級保護（三級）方案模板 深信服科技 23 主機審計：主機審計： 部署終端安全管理系統(tǒng)，啟用主機審計功能，或部署主機審計系統(tǒng)，實現(xiàn)對主機監(jiān)控、審計和系統(tǒng)管理等功能。 監(jiān)控功能包括服務(wù)監(jiān)控、進程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機監(jiān)控、非法外聯(lián)監(jiān)控、計算機用戶賬 號監(jiān)控等。 審計功能包括文件操作審計、外掛設(shè)備操作審計、非法外聯(lián)審計、IP 地址更改審計、

44、服務(wù)與進程審計等。審計范 圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的 使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；保護審計 記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。同時，根據(jù)記錄的數(shù)據(jù)進行統(tǒng)計分析，生成詳細的審計報表， 系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、主機監(jiān)控代理升級管理、計算機注冊 管理、實時報警、歷史信息查詢、統(tǒng)計與報表等。 應(yīng)用審計：應(yīng)用審計： 應(yīng)用層安全審計是對業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開發(fā)

45、。 應(yīng)用系統(tǒng)審計功能記錄系統(tǒng)重要安全事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并保護好審計結(jié)果， 阻止非法刪除、修改或覆蓋審計記錄。同時能夠?qū)τ涗洈?shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表。 部署數(shù)據(jù)庫審計系統(tǒng)對用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，范圍覆蓋到每個用戶，從而把握數(shù)據(jù)庫系統(tǒng)的 整體安全。 應(yīng)用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進行相應(yīng)的功能開發(fā)，且使用效果要達到以上要求。 典型產(chǎn)品推薦：xx 公司終端安全管理系統(tǒng)、xx 公司數(shù)據(jù)庫審計系統(tǒng) 入侵防范入侵防范 針對入侵防范主要體現(xiàn)在主機及網(wǎng)絡(luò)兩個層面。 針對主機的入侵防范，可以從多個角度進行處理： 入侵

46、檢測系統(tǒng)可以起到防范針對主機的入侵行為； 部署漏洞掃描進行系統(tǒng)安全性檢測； 部署終端安全管理系統(tǒng)，開啟補丁分發(fā)功能模塊及時進行系統(tǒng)補丁升級； 等級保護（三級）方案模板 深信服科技 24 操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等； 另外根據(jù)系統(tǒng)類型進行其它安全配置的加固處理。 典型產(chǎn)品推薦：xx 公司終端安全管理系統(tǒng) 主機惡意代碼防范主機惡意代碼防范 各類惡意代碼尤其是病毒、木馬等是對 XX 網(wǎng)絡(luò)的重大危害，病毒在爆發(fā)時將使路由器、3 層交換機、防火墻等 網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個網(wǎng)絡(luò)帶寬。 針對病毒的風險，我們建議重點是將病毒消滅或封堵

47、在終端這個源頭上。時，在所有終端主機和服務(wù)器上部署網(wǎng) 絡(luò)防病毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。 在 XX 網(wǎng)絡(luò)安全管理安全域中，可以部署防病毒服務(wù)器，負責制定和終端主機防病毒策略，在 XX 網(wǎng)絡(luò)內(nèi)網(wǎng)建立 全網(wǎng)統(tǒng)一的一級升級服務(wù)器，在下級節(jié)點建立二級升級服務(wù)器，由管理中心升級服務(wù)器通過互聯(lián)網(wǎng)或手工方式獲得最新 的病毒特征庫，分發(fā)到數(shù)據(jù)中心節(jié)點的各個終端，并下發(fā)到各二級服務(wù)器。在網(wǎng)絡(luò)邊界通過防火墻進行基于通信端口、 帶寬、連接數(shù)量的過濾控制，可以在一定程度上避免蠕蟲病毒爆發(fā)時的大流量沖擊。同時，防毒系統(tǒng)可以為安全管理平 臺提供關(guān)于病毒威脅和事件的監(jiān)控、審計

48、日志，為全網(wǎng)的病毒防護管理提供必要的信息。 典型產(chǎn)品推薦：xx 公司殺毒軟件系統(tǒng)網(wǎng)絡(luò)版 軟件容錯軟件容錯 軟件容錯的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實際運行時能夠及時發(fā)現(xiàn)程序設(shè)計錯誤,采取補 救措施,以提高軟件可靠性,保證整個計算機系統(tǒng)的正常運行。因此在應(yīng)用系統(tǒng)軟件設(shè)計時要充分考慮軟件容錯設(shè)計，包 括： 提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求； 具備自保護功能，在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠自動保存當前所有狀態(tài)，確保系統(tǒng)能夠進行恢復(fù)。 數(shù)據(jù)完整性與保密性數(shù)據(jù)完整性與保密性 目前，XX 信息系統(tǒng)中傳

49、輸?shù)男畔⒅饕?XX 類型的數(shù)據(jù)，對信息完整性校驗提出了一定的需求。 等級保護（三級）方案模板 深信服科技 25 在 XX 應(yīng)用系統(tǒng)中，將采用消息摘要機制來確保完整性校驗，其方法是：發(fā)送方使用散列函數(shù)（如 SHA、MD5 等） 對要發(fā)送的信息進行摘要計算，得到信息的鑒別碼，連同信息一起發(fā)送給接收方，將信息與信息摘要進行打包后插入身 份鑒別標識，發(fā)送給接收方。接收方對接收到的信息后，首先確認發(fā)送方的身份信息，解包后，重新計算，將得到的鑒 別碼與收到的鑒別碼進行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒有受到破壞。通過上述方法，可 以滿足應(yīng)用系統(tǒng)對于信息完整性校驗的需求。而對于用戶數(shù)據(jù)

50、特別是身份鑒別信息的數(shù)據(jù)保密，應(yīng)用系統(tǒng)采用密碼技術(shù) 進行數(shù)據(jù)加密實現(xiàn)鑒別信息的存儲保密性。 在傳輸過程中主要依靠 VPN 系統(tǒng)可以來保障數(shù)據(jù)包的數(shù)據(jù)完整性、保密性、可用性。目前 VPN 的組建主要采 用兩種方式，基于 IPSEC 協(xié)議的 VPN 以及 基于 SSL 協(xié)議的 VPN。 IPSec VPN 適用于組建 site-to-site 形態(tài)的虛擬專有網(wǎng)絡(luò)，IPSEC 協(xié)議提供的安全服務(wù)包括： 保密性IPSec 在傳輸數(shù)據(jù)包之前將其加密以保證數(shù)據(jù)的保密性。 完整性IPSec 在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換。完整性校驗是 IPSEC VPN 重要的功能之一。

51、真實性IPSec 端要驗證所有受 IPSec 保護的數(shù)據(jù)包。 防重放IPSec 防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的 序列號實現(xiàn)。 SSL VPN 適用于遠程接入環(huán)境，例如：移動辦公接入。它和 IPSEC VPN 適用于不同的應(yīng)用場景，可配合使用。 SSL 的英文全稱是“Secure Sockets Layer” ，中文名為“安全套接層協(xié)議層” ，它是網(wǎng)景（Netscape）公司提出的基 于 WEB 應(yīng)用的安全協(xié)議。SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如 Http、Telenet、NMTP 和 FTP 等）和 TCP/IP 協(xié) 議之間提供數(shù)據(jù)安全

52、性分層的機制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器認證、消息完整性以及可選的客戶機認證。 SSL 與 IPSec 安全協(xié)議一樣，也可提供加密和身份驗證安全方法，因此安全性上二者無明顯差別。 SSL VPN 使用 SSL/HTTPS 技術(shù)作為安全傳輸機制。這種機制在所有的標準 Web 瀏覽器上都有，不用額外的 軟件實現(xiàn)。使用 SSL VPN，在移動用戶和內(nèi)部資源之間的連接通過應(yīng)用層的 Web 連接實現(xiàn)，而不是像 IPSec VPN 在網(wǎng) 絡(luò)層開放的“通道” 。SSL 對移動用戶是理想的技術(shù)，因為： 等級保護（三級）方案模板 深信服科技 26 SSL 無需被加載到終端設(shè)備上 SSL 無需終

53、端用戶配置 SSL 無需被限于固定終端，只要有標準瀏覽器即可使用 產(chǎn)品部署方面，SSL VPN 只需單臂旁路方式接入。單臂旁路接入不改變原有網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)路配置，不增加故障點， 部署簡單靈活，同時提供完整的 SSL VPN 服務(wù)。遠程用戶只需應(yīng)用標準 IE 瀏覽器即可登陸網(wǎng)關(guān)，通過身份鑒別，在基 于角色的策略控制下實現(xiàn)對企業(yè)內(nèi)部資源的存取訪問。遠程移動用戶只需打開標準 IE 瀏覽器，登陸 SSL VPN 網(wǎng)關(guān)，經(jīng) 過用戶認證后即可根據(jù)分配給該用戶的相應(yīng)策略進行相關(guān)業(yè)務(wù)系統(tǒng)的訪問。 典型產(chǎn)品推薦：深信服 IPSEC VPN、SSL VPN 備份與恢復(fù)備份與恢復(fù) 備份與恢復(fù)主要包含兩方

54、面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬 件設(shè)備的冗余。 數(shù)據(jù)是最重要的系統(tǒng)資源。數(shù)據(jù)丟失將會使系統(tǒng)無法連續(xù)正常工作。數(shù)據(jù)錯誤則將意味著不準確的事務(wù)處理?？?靠的系統(tǒng)要求能立即訪問準確信息。將綜合存儲戰(zhàn)略作為計算機信息系統(tǒng)基礎(chǔ)設(shè)施的一部分實施不再是一種選擇，而已 成為必然的趨勢。 數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、全面性、自動化、高性能、操作簡單、實時性等原則。備份系統(tǒng)先進的特性可提 供增強的性能，易于管理，廣泛的設(shè)備兼容性和較高的可靠性，以保證數(shù)據(jù)完整性。廣泛的選件和代理能將數(shù)據(jù)保護擴 展到整個系統(tǒng),并提供增強的功能，其中包括聯(lián)機備份應(yīng)用系統(tǒng)和數(shù)據(jù)文件，先進的設(shè)

55、備和介質(zhì)管理，快速、順利的災(zāi) 難恢復(fù)以及對光纖通道存儲區(qū)域網(wǎng)（SAN）的支持等。 本地完全數(shù)據(jù)備份至少每天一次，且備份介質(zhì)需要場外存放。 提供能異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至異地備用場地。 對于核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器進行雙機、雙線的冗余設(shè)計，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿 足不間斷系統(tǒng)運行的需要。 典型產(chǎn)品推薦：深信服應(yīng)用交付系統(tǒng)（AD） 服務(wù)器負載均衡 等級保護（三級）方案模板 深信服科技 27 應(yīng)用高可用：實現(xiàn)多臺服務(wù)器之間冗余3 到 7 層的多種服務(wù)器健康檢查 應(yīng)用高性能：實現(xiàn)多臺服務(wù)器性能疊加4、7 層的多種負載均衡算法 應(yīng)用可擴展：實現(xiàn)應(yīng)用基于

56、實際需求的性能調(diào)整服務(wù)器平滑退出、平滑上線 降低服務(wù)器負載TCP 連接復(fù)用、HTTP 緩存、SSL 卸載。 提升用戶訪問速度TCP 單邊加速、HTTP 緩存、壓縮。 服務(wù)器狀態(tài)、鏈路狀態(tài)和用戶行為可視化各類報表功能、商業(yè)智能分析 鏈路負載均衡 （入站）解決外部用戶跨運營訪問造成的訪問速度慢的問題智能 DNS （出入站）多條鏈路之間形成冗余，保障用戶訪問穩(wěn)定性鏈路健康狀況檢測 （出站）按需為內(nèi)網(wǎng)用戶選擇合適的鏈路訪問互聯(lián)網(wǎng),提升帶寬資源利用率，減少帶寬投資成本多種鏈路負載 算法、智能路由、DNS 透明代理 全局負載均衡： 實現(xiàn)多數(shù)據(jù)中心入站流量選路、精確為用戶選擇最佳（就近）站點。 7.4.2.

57、9資源控制資源控制 為保證 XX 網(wǎng)絡(luò)的應(yīng)用系統(tǒng)正常的為用戶提供服務(wù)，必須進行資源控制，否則會出現(xiàn)資源耗盡、服務(wù)質(zhì)量下降甚 至服務(wù)中斷等后果。通過對應(yīng)用系統(tǒng)進行開發(fā)或配置來達到控制的目標，包括： 會話自動結(jié)束：當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠及時檢測并自動 結(jié)束會話，釋放資源； 會話限制：對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制，對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制， 同時對單個帳戶的多重并發(fā)會話進行限制，設(shè)定相關(guān)閾值，保證系統(tǒng)可用性。 登陸條件限制：通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。 超時鎖定：根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定。

58、 用戶可用資源閾值：限制單個用戶對系統(tǒng)資源的最大或最小使用限度，保障正常合理的資源占用。 等級保護（三級）方案模板 深信服科技 28 對重要服務(wù)器的資源進行監(jiān)視，包括 CPU、硬盤、內(nèi)存等。 對系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。 提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系 統(tǒng)資源。 應(yīng)用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進行相應(yīng)的功能開發(fā)，且使用效果要達到以上要求。 典型產(chǎn)品推薦：深信服應(yīng)用性能監(jiān)控系統(tǒng)（APM） ，深信服流量管理系統(tǒng)（BM） ，其他功能應(yīng)在應(yīng)用系統(tǒng)開 發(fā)時同步實現(xiàn) 0客體安全重用客

59、體安全重用 為實現(xiàn)客體的安全重用，及時清除剩余信息存儲空間，應(yīng)通過對操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進行安全加固配置，使得 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫記錄等敏感信息 所在的存儲空間（內(nèi)存、硬盤）被及時釋放或再分配給其他用戶前得到完全清除。 1抗抵賴抗抵賴 解決系統(tǒng)抗抵賴特性最有效的方法就是采用數(shù)字簽名技術(shù)，通過數(shù)字簽名及簽名驗證技術(shù)，可以判斷數(shù)據(jù)的發(fā)送 方是真實存在的用戶。數(shù)字簽名是不對稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰 對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密處理，完成對數(shù)據(jù)的合法“簽

60、名”，數(shù)據(jù)接收方則利用對方的公 鑰來解讀收到的 “數(shù)字簽名 ”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認簽名的合法性同時，通過對簽名的驗 證，可以判斷數(shù)據(jù)在傳輸過程中是否被更改。從而，可以實現(xiàn)數(shù)據(jù)的發(fā)送方不能對發(fā)送的數(shù)據(jù)進行抵賴，發(fā)送的數(shù)據(jù)是 完整的，實現(xiàn)系統(tǒng)的抗抵賴性和完整性需求。 PKI 體系具備了完善的數(shù)字簽名功能。因此部署 PKI 體系可解決抗抵賴的問題，同時提供身份鑒別和訪問控制。 典型產(chǎn)品推薦：xx 公司 CA 系統(tǒng) 2不同等級業(yè)務(wù)系統(tǒng)的隔離與互通不同等級業(yè)務(wù)系統(tǒng)的隔離與互通 在明確等級劃分之后，不同等級的系統(tǒng)間面臨著互聯(lián)互通的問題，系統(tǒng)間需要進行數(shù)據(jù)交換。 電子政