XX政府等保建設(shè)規(guī)劃-20150309

XX政府等保建設(shè)規(guī)劃方案啟明星辰目錄啟明星辰公司簡介基于等保的建設(shè)方案綜述XX政府平安建設(shè)子項分述平安設(shè)備配置清單啟明星辰【企業(yè)愿景】啟明星辰公司成立于1996年，是由留美博士嚴望佳女士創(chuàng)立的擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)平安高科技企業(yè)。是國內(nèi)最具實力的網(wǎng)絡(luò)平安產(chǎn)品、可信平安管理平臺、專業(yè)平安效勞與解決方案的綜合提供商?！竞喗椤俊驹妇啊刻峁┚哂袊H競爭力的自主創(chuàng)新的平安產(chǎn)品和最正確實踐效勞，幫助客戶全面提升其IT根底設(shè)施的平安性和生產(chǎn)效能，成為中國最具主導(dǎo)地位的企業(yè)級網(wǎng)絡(luò)平安供給商，穩(wěn)步邁入國際網(wǎng)絡(luò)平安領(lǐng)導(dǎo)企業(yè)行列。接受兩代領(lǐng)導(dǎo)人接見與首肯江澤民、李嵐清、曾慶紅等黨和國家領(lǐng)導(dǎo)人親切視察啟明星辰公司胡錦濤總書記親切接見啟明星辰公司CEO嚴望佳博士國內(nèi)唯一

我們接受過兩任國家最高領(lǐng)導(dǎo)人的親切接見專業(yè)的技術(shù)支撐團隊成立積極防御實驗室ADLAB1999建立博士后工作站20002002成立平安專家團效勞高端客戶2006聯(lián)合網(wǎng)絡(luò)設(shè)備廠商涉足高端硬件2007建立專業(yè)終端平安研究團隊受邀參加微軟MAPP2011整合網(wǎng)域星云資源，進一步擴充專業(yè)隊伍2009成立核心技術(shù)研究院2010建立以客戶需求為導(dǎo)向的產(chǎn)品管理團隊2012擴大平安關(guān)注范圍，涉及應(yīng)用平安技術(shù)研究能力領(lǐng)先啟明星辰公司專利日志管理1模式匹配15漏洞攻擊1ddos3網(wǎng)絡(luò)攻擊2拓撲發(fā)現(xiàn)2惡意代碼11P2P8垃圾郵件1風(fēng)險評估5木馬1聚類1蠕蟲2入侵檢測27SQL注入4病毒檢測3XSS4云計算12協(xié)議解析13垃圾郵件2異常流量3Web安全10關(guān)聯(lián)分析3漏洞掃描3爬蟲2TMADLAB標準制定參與了IDS、IPS、UTM、審計類平安產(chǎn)品的國家標準制定參與了國家信息平安等級保護標準制定受聘國家信息平安等級保護平安建設(shè)指導(dǎo)專家委員會......發(fā)現(xiàn)的CVE漏洞占亞洲2/3國家漏洞庫占60%以上LMDRHZAHIDS、SOC、審計等產(chǎn)品市場占有率第一139項公開專利超過同類廠商專利數(shù)總和國家及行業(yè)標準制定目錄啟明星辰公司簡介基于等保的建設(shè)方案綜述XX政府平安建設(shè)子項分述平安設(shè)備配置清單公安部及省廳等保建設(shè)文件《關(guān)于信息平安等級保護工作的實施意見〔公通字[2004]66號〕》《關(guān)于開展信息平安等級保護平安建設(shè)整改工作的指導(dǎo)意見(公信安[2009]1429號)》《關(guān)于開展全國重要信息系統(tǒng)平安等級保護定級工作的通知〔公信安[2007]861號〕》《信息平安等級保護管理方法〔公通字[2007]43號)》《關(guān)于加強國家電子政務(wù)工程建設(shè)工程信息平安風(fēng)險評估工作的通知〔發(fā)改高技[2008]2071號〕》《信息平安等級保護備案實施細那么〔公信安[2007]1360號〕》

3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全保護等級4、業(yè)務(wù)信息安全保護等級8、定級對象的安全保護等級1、確定定級對象第一步進行系統(tǒng)定級業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全被破壞時受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級XX政府等級保護定級建議原那么上，政府行業(yè)信息平安保護等級不超三級，以下重要信息系統(tǒng)保護等級不低于第三級：〔1〕跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)；〔2〕省級應(yīng)用系統(tǒng)和數(shù)據(jù)中心；〔3〕內(nèi)網(wǎng)的核心業(yè)務(wù)信息系統(tǒng)；〔4〕其他經(jīng)過信息平安技術(shù)專家委員會評定為三級的系統(tǒng)。序號信息系統(tǒng)類別說明1網(wǎng)站

2面向內(nèi)部管理的信息系統(tǒng)如：協(xié)同辦公、政府資源管理等3面向公眾服務(wù)的信息系統(tǒng)4基礎(chǔ)支撐系統(tǒng)如：信息平臺、機房、基礎(chǔ)網(wǎng)絡(luò)等序號信息系統(tǒng)類別建議定級1網(wǎng)站三級2面向內(nèi)部管理的信息系統(tǒng)三級3面向公眾服務(wù)的信息系統(tǒng)三級4基礎(chǔ)支撐系統(tǒng)三級系統(tǒng)分類系統(tǒng)分級第二步：評估并確定防護強度等級差距評估/預(yù)測評工具掃描評估物理弱點評估組織體系平安評估業(yè)務(wù)流程平安評估滲透測試主機系統(tǒng)弱點評估管理運維平安評估網(wǎng)絡(luò)配置弱點評估應(yīng)用系統(tǒng)弱點評估代碼分析調(diào)查問卷與人工訪談分等級的技術(shù)措施整合技術(shù)要求分等級的管理措施整合管理要求數(shù)據(jù)弱點評估等級保護管理要求等級保護技術(shù)要求依據(jù)等級保護測評結(jié)果，結(jié)合現(xiàn)狀和需求，提出體系設(shè)計要求根據(jù)體系設(shè)計要求，以ISO27001和平安域理論根底制定平安整改方案，落實建設(shè)方案平安整改實施以平安域為根底進行技術(shù)體系建設(shè)以ISO27001標準進行管理體系設(shè)計第三步：規(guī)劃設(shè)計方案邊界接入域網(wǎng)絡(luò)基礎(chǔ)設(shè)施域支撐性設(shè)施域（網(wǎng)絡(luò)管理和安全管理）計算環(huán)境域第四步進行實施整改安全管理運行中心等級保護技術(shù)體系平安組織設(shè)置和崗位職責(zé)平安教育、培訓(xùn)與資質(zhì)認證平安策略體系設(shè)計平安策略與流程推廣實施策略體系工程建設(shè)的平安管理平安風(fēng)險管理與控制保護對象框架內(nèi)部與第三方人員平安管理日常平安運行與維護平安體系推廣與落實全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一監(jiān)控與審計管理終端管理和防病毒集中管理平臺安全域和網(wǎng)絡(luò)訪問控制終端管理和防病毒集中管理平臺防病毒、補丁和終端管理平臺設(shè)備安全配置與加固網(wǎng)絡(luò)及主機安全第三方統(tǒng)一安全接入平臺應(yīng)用加密第三方統(tǒng)一安全接入平臺統(tǒng)一鑒別認證平臺數(shù)據(jù)備份與冗災(zāi)統(tǒng)一身份認證與授權(quán)管理應(yīng)用系統(tǒng)安全增強應(yīng)用及數(shù)據(jù)安全等級保護管理體系運作體系組織體系建成后的等級保護體系第五步進行等級測評帶病運行某級信息系統(tǒng)根本保護標準《定級指南》GB/T22240-2008標準《根本要求》GB/T22239-2008第二次測評(符合性測評)到達根本的平安保護風(fēng)險分析定級整改存在缺陷項第一次測評(現(xiàn)狀測評)測評合格測評第三次測評(監(jiān)督性測評)目錄啟明星辰公司簡介基于等保的建設(shè)方案綜述XX政府網(wǎng)絡(luò)平安建設(shè)子項分述平安設(shè)備配置清單信息系統(tǒng)平安等級保護物理平安網(wǎng)絡(luò)平安主機平安應(yīng)用平安數(shù)據(jù)平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理技術(shù)要求管理要求根本要求網(wǎng)絡(luò)平安-結(jié)構(gòu)平安根本要求：根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原那么為各子網(wǎng)、網(wǎng)段分配地址段〔G2〕防止將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段〔G3〕平安域劃分步驟XX政府內(nèi)網(wǎng)信息網(wǎng)絡(luò)平安域劃分XX政府外網(wǎng)網(wǎng)絡(luò)平安域規(guī)劃2024/3/29網(wǎng)絡(luò)平安-訪問控制根本要求：應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能〔G2〕應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級〔G2〕應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制〔G3〕網(wǎng)絡(luò)平安-訪問控制〔內(nèi)網(wǎng)〕防火墻防火墻防火墻防火墻網(wǎng)絡(luò)平安-訪問控制〔外網(wǎng)〕防火墻WAF網(wǎng)絡(luò)平安-訪問控制按平安域劃分的區(qū)域邊界、業(yè)務(wù)流關(guān)系落實訪問控制措施在網(wǎng)絡(luò)層進行訪問控制需部署防火墻：端口級的控制粒度建立用戶與系統(tǒng)之間的訪問規(guī)那么網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接數(shù)控制在外網(wǎng)互聯(lián)網(wǎng)接入?yún)^(qū)域部署防火墻，對互聯(lián)網(wǎng)和外網(wǎng)實現(xiàn)有效隔離：外網(wǎng)效勞器區(qū)部署WAF，對網(wǎng)站做應(yīng)用層訪問控制；部署需求同內(nèi)網(wǎng)注：防火墻需過業(yè)務(wù)流分析，使用ANY-ANY，是不符合等保要求的！網(wǎng)絡(luò)平安-平安審計根本要求：應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄〔G2〕；審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息〔G2〕；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表〔G3〕；應(yīng)對審計記錄進行保護，防止受到未預(yù)期的刪除、修改或覆蓋等〔G3〕。網(wǎng)絡(luò)平安-平安審計〔內(nèi)網(wǎng)〕運維審計安管平臺2024/3/29網(wǎng)絡(luò)平安-平安審計〔外網(wǎng)〕上網(wǎng)行為管理網(wǎng)絡(luò)平安-平安審計在內(nèi)網(wǎng)平安管理區(qū)部署運維審計系統(tǒng)：實現(xiàn)信息系統(tǒng)的運維權(quán)限管理實現(xiàn)運維行為細粒度審計日志存儲、報表分析在內(nèi)網(wǎng)平安管理區(qū)部署平安管理平臺：日志統(tǒng)一格式存儲、監(jiān)控對設(shè)備狀態(tài)、平安審計等事項集中管理平安事件及時響應(yīng)在外網(wǎng)互聯(lián)網(wǎng)出口區(qū)部署上網(wǎng)行為管理：標準各種互聯(lián)網(wǎng)行為對雖有上網(wǎng)行為做全面審計躲避法律風(fēng)險網(wǎng)絡(luò)平安-入侵防范根本要求：應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等〔G2〕當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警〔G3〕面對越來越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，需要采用入侵檢測系統(tǒng)和入侵防御系統(tǒng)，及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。2024/3/29網(wǎng)絡(luò)平安-入侵防范〔內(nèi)網(wǎng)〕IPSIPSIDS2024/3/29網(wǎng)絡(luò)平安-入侵防范〔外網(wǎng)〕IPS網(wǎng)絡(luò)平安-入侵防范入侵檢測系統(tǒng)采用旁路的形式部署在網(wǎng)絡(luò)中；能夠監(jiān)視計算機系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，尋找網(wǎng)絡(luò)入侵行為；提供告警、全網(wǎng)檢測；入侵防御系統(tǒng)串接部署、高危區(qū)域優(yōu)先考慮；入侵行為進行檢測，并能夠阻斷來自外部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫；網(wǎng)絡(luò)平安-邊界完整性檢查根本要求：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷〔S3〕——外來終端接入內(nèi)網(wǎng)管理應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷〔S3〕——內(nèi)部終端接入外部網(wǎng)絡(luò)管理2024/3/29網(wǎng)絡(luò)平安-邊界完整性檢查終端準入網(wǎng)絡(luò)平安-邊界完整性檢查合法終端非法終端天珣Server是否更新病毒庫是否安裝客戶端是否通過身份認證是否安裝補丁彈出修復(fù)向?qū)дＴL問狀態(tài)不合規(guī)狀態(tài)合規(guī)監(jiān)視阻斷審計告警2、監(jiān)視非法外聯(lián)行為發(fā)生，并進行控制1、網(wǎng)絡(luò)準入控制，確保合法終端接入網(wǎng)絡(luò)平安-惡意代碼防范根本要求：應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和去除?！睪3〕應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。〔G3〕省政府信息系統(tǒng)連接外部網(wǎng)絡(luò)的邊界部署防病毒網(wǎng)關(guān)，在最接近病毒發(fā)生源平安邊界處進行集中防護。2024/3/29網(wǎng)絡(luò)平安-惡意代碼防范防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)UTMUTM信息系統(tǒng)平安等級保護物理平安網(wǎng)絡(luò)平安主機平安應(yīng)用平安數(shù)據(jù)平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理技術(shù)要求管理要求根本要求主機平安-入侵防范根本要求應(yīng)能夠檢測到對重要效勞器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警〔G3〕操作系統(tǒng)應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級效勞器等方式保持系統(tǒng)補丁及時得到更新〔G2〕主機平安-入侵防范入侵檢測系統(tǒng)可以起到防范針對主機的入侵行為；采用漏洞掃描系統(tǒng)對業(yè)務(wù)系統(tǒng)主機進行平安性檢測；針對業(yè)務(wù)系統(tǒng)主機，可通過對操作系統(tǒng)人工加固的方式，來提升效勞器的抗攻擊能力，保障效勞器的平安性：身份認證加固訪問控制加固資源限制措施效勞器抗攻擊加固數(shù)據(jù)庫平安加固2024/3/29主機平安-入侵防范漏洞掃描效勞器加固主機平安-平安審計根本要求審計范圍應(yīng)覆蓋到效勞器和重要客戶端〔G3〕上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶〔G2〕審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的平安相關(guān)事件〔G2〕應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表〔G3〕主機平安-平安審計運維審計系統(tǒng)可以滿足效勞器平安審計的要求；終端平安管理系統(tǒng)可以對重要客戶端進行審計；進程系統(tǒng)補丁病毒庫注冊表保護軟件Windows本地安全策略密碼強度策略更多……資產(chǎn)審計文件審計移動存儲審計……主機平安-惡意代碼防范根本要求：應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫〔G2〕主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫〔G3〕應(yīng)支持防惡意代碼的統(tǒng)一管理〔G2〕應(yīng)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。信息系統(tǒng)平安等級保護物理平安網(wǎng)絡(luò)平安主機平安應(yīng)用平安數(shù)據(jù)平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理技術(shù)要求管理要求根本要求應(yīng)用平安-平安審計根本要求平安審計功能，對應(yīng)用系統(tǒng)重要平安事件進行審計〔G2〕審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等〔G2〕應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能〔G3〕2024/3/29應(yīng)用平安-平安審計數(shù)據(jù)庫審計應(yīng)用平安-平安審計信息系統(tǒng)的核心——業(yè)務(wù)平安、數(shù)據(jù)平安采用業(yè)務(wù)審計系統(tǒng)三層關(guān)聯(lián)：審計業(yè)務(wù)用戶對業(yè)務(wù)系統(tǒng)的操作數(shù)據(jù)庫審計：高權(quán)限用戶管理策略集統(tǒng)方行為的表現(xiàn)多是對某項值的求和，例如SUM〔ITEM_COUNT〕。這種求和的形式表現(xiàn)多樣：SELECTITEM_NAME，SUM〔ITEM_COUNT〕,SUM(ITEM_MONEY)FROMMEDINE_LISTGROUPBYITEM_NAMESELECTITEM_NAME，SUM〔ITEM_COUNT〕FROMMEDINE_LISTGROUPBYITEM_NAMEWHERE1=1;SelectUpdateSelectUpdate數(shù)據(jù)庫操作被審計業(yè)務(wù)操作被審計報表分析違規(guī)行為告警信息系統(tǒng)平安等級保護物理平安網(wǎng)絡(luò)平安主機平安平安管理機構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理技術(shù)要求管理要求根本要求應(yīng)用平安數(shù)據(jù)平安重要數(shù)據(jù)加密存放，管理人員分權(quán)分級；密碼注意加密強度和存活周期重要業(yè)務(wù)數(shù)據(jù)須做好備份，必要時采用異地備份2024/3/29數(shù)據(jù)平安-數(shù)據(jù)加密、備份技術(shù)方案匯總圖〔內(nèi)網(wǎng)〕2024/3/29技術(shù)方案匯總圖〔外網(wǎng)〕三級系統(tǒng)建設(shè)方案類別安全建設(shè)領(lǐng)域所需解決方案等級保護KPI等級保護KPI等級保護KPI安全域劃分和域間防護安全漏洞檢查三級域數(shù)據(jù)安全三級域應(yīng)用安全安全事件管理安全配置管理權(quán)限控制安全加固強認證防抵賴安全審計信息資產(chǎn)管理安全運維、制度和流程物理安全物理安全機房、電力、防水、防火、防雷、人員進出等

★網(wǎng)絡(luò)安全網(wǎng)絡(luò)出口邊界防護交換機、路由器、防火墻、IDS/IPS★★

★★

域間防護交換機、路由器、防火墻、IDS/IPS★

★

★★

網(wǎng)絡(luò)狀態(tài)嗅探網(wǎng)絡(luò)嗅探設(shè)備、網(wǎng)絡(luò)測試儀等

★

網(wǎng)絡(luò)漏洞掃描網(wǎng)絡(luò)漏洞掃描工具

★

網(wǎng)絡(luò)防惡意代碼殺毒、內(nèi)容過濾等網(wǎng)關(guān)類安全設(shè)備★

★

★

網(wǎng)絡(luò)通訊安全網(wǎng)絡(luò)通訊加密、外聯(lián)權(quán)限控制★

★

★

配置和行為審計網(wǎng)絡(luò)審計工具、基線檢查工具

★

★

主機安全（含終端）漏洞掃描主機漏洞掃描工具，配置掃描類工具

★

★

防惡意代碼主機查殺工具

★

★

安全加固主機IPS/IDS，補丁、軟件、安全策略統(tǒng)一分發(fā)

★

資源使用、性能監(jiān)控主機資源和性能監(jiān)控平臺

★

主機集群冗余軟、硬件設(shè)備、雙機集群軟件

★

網(wǎng)絡(luò)準入網(wǎng)絡(luò)準入解決方案

★

★

身份認證統(tǒng)一身份認證、雙因子強認證等

★

★★★

配置和行為審計主機審計工具

★

數(shù)據(jù)安全數(shù)據(jù)備份數(shù)據(jù)、操作系統(tǒng)、配置、軟件代碼的歸檔和備份平臺

★