解决方案

网络安全等级(等保)系统设计方案

1、技术概述

从技术体系、管理体系两方面设计规划，满足合规和安全运营的相关要求。本方案的设计技术体系按照《网络安全等级保护安全设计技术要求》的相关条款进行方案设计

根据系统定级的结果，明确该等级对应的总体防护措施；

根据系统和子系统划分结果、安全定级结果，将保护对象归类，并组成保护对象框架；

根据方案的设计目标来建立整体保障框架，来指导整个等级保护方案的设计，明确关键的安全要素、流程及相互关系；在安全措施框架细化后将补充到整体保障框架中；

根据此等级受到的威胁对应出该等级的保护要求（即需求分析），并分布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上；

根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略（即总体安全目标），再根据等级保护的要求将总体安全策略细分为不同的具体策略（即具体安全目标），包括安全域内部、安全域边界和安全域互联策略；

根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施；根据安全技术体系和安全管理体系的划分，各安全措施共同组成了安全措施框架；

根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分；各安全区域将保护对象框架划分成不同部分，即各安全措施发生作用的保护对象集合。

根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设计安全解决方案。

图图图

在基于“一个中心，三重防护”+“主动防御+安全运营”的设计理念的基础上，形成以“安全技术体系”+“安全管理体系”+“安全运维体系”的全面支撑能力，为用户提供全流程、闭环的等保2.0整体解决方案，保障用户的网络安全和业务高效稳定运行的同时，实现等保合规。

2、设计原则

分区分域防护原则

任何安全措施都不是绝对安全可靠的，为保障攻破一层或一类保护的攻击行为而不会破坏整个信息系统，以达到纵深防御的安全目标，需要合理划分安全域，综合采用多种有效安全保护措施，实施多层、多重保护。

均衡性保护原则

对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理安全需求、安全风险与安全保护代价的关系。因此，结合适度防护实现分等级安全保护，做到安全性与可用性平衡，达到技术上可实现、经济上可执行。

技管并重原则

网络安全涉及人、技术、操作等方面要素，单靠技术或单靠管理都不可能实现。因此在考虑网络安全时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合，坚持管理与技术并重，从而保障网络安全。

动态调整与可扩展原则

由于网络安全需求会不断变化，以及环境、条件、时间的限制，安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护，后续再根据应用和网络安全技术的发展，不断调整安全保护措施，加强安全防护力度，以适应新的网络安全环境，满足新的网络安全需求。当安全保护等级需要变更时，应当根据等级保护的管理规范和技术标准的要求，重新确定网络安全保护等级，根据调整情况重新实施安全保护。

三同步原则

网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施，确保其具有支持业务稳定、持续运行性能的同时，保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行信息系统建设和运行维护。”

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：

1.信息系统识别与定级：确定保护对象，通过分析信息系统所属类型、所属信息类别、服务范围以及业务对信息系统的依赖程度确定信息系统的等级。通过此步骤充分了解信息系统状况，包括信息系统业务流程和功能模块，以及确定信息系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2.安全域设计：根据第一步的结果，通过分析信息系统业务流程、功能模块，根据安全域划分原则设计信息系统安全域架构。通过安全域设计将信息系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

3.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定信息系统各区域等级，明确各安全域所需采用的安全指标。

4.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对信息系统各层次安全域进行有针对性的等级风险评估。并找出信息系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

5.安全保障体系方案设计：根据安全域框架，设计信息系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成信息系统整体的安全保障体系框架；详细安全技术设计、安全管理设计。

6.安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。

7.持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急响应等，从事前、事中、事后三个方面进行安全运行维护，确保信息系统的持续安全，满足持续性按需防御的安全需求。

3、设计标准

GB/T 22239-2019 《网络安全等级保护基本要求》

GB/T 25070-2019 《网络安全等级保护安全设计技术要求》

GB/T 28448-2019 《网络安全等级保护测评要求》

GB/T 28449-2018 《网络安全等级保护测评过程指南》

GB/T 36627-2018 《网络安全等级保护测试评估技术指南》

GB/T 36958-2018 《网络安全等级保护安全管理中心技术要求》

GB/T 22240-2008 《信息系统安全等级保护定级指南》

4、等保对象定级情况

解读国家相关文件和《定级指南》等要求，结合各单位的实际情况，信息系统的五个等级可以做如下初步落实、描述：

第一级，各单位及其下属单位的一般信息系统，其应用范围局限于本单位内部。信息系统受到破坏后，会对本单位及其员工的合法权益造成一般性损害，不良影响主要在本单位内部，不损害国家安全、社会秩序和公共利益。

第二级，总部及各单位比较重要的信息系统。信息系统受到破坏后，会对总部、省级单位及其员工、客户造成严重损害，影响企业形象，带来一定的法律问题；或者对社会秩序和公共利益造成一般性损害、带来一定的社会不良影响，但不损害国家安全。

第三级，总部及各单位跨省或全国联网运行的重要信息系统。信息系统受到破坏后，会对总部、省级单位造成特别严重损害，严重影响企业形象，带来严重的法律问题；或者对社会秩序和公共利益造成严重损害，造成较大范围的社会不良影响；或者对国家安全造成了一般性损害。

第四级，重要领域、重要部门三级信息系统中的部分重要信息系统。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，重要领域、重要部门中的极端重要信息系统。信息系统受到破坏后，会对国家安全造成特别严重损害。

本方案中信息系统定级为二级。

本次针对数据中心机房、灾备机房进行等保设备配置。

5、系统设计

安全区域边界

区域边界重点关注的安全问题主要是对流入、流出边界的数据流进行有效的控制和监督。这里所说的边界包括信息系统内部网络与外部网络之间的边界、内部网络不同安全域之间的边界等。具体需求包括边界防护、访问控制、入侵防范、恶意代码和安全审计。

安全区域边界主要考虑如下内容：

边界安全控制：在互联网边界及内部各个网络区域边界部署具有基于会话状态检测的访问控制功能的防火墙，默认拒绝所有进出通信，对于合法通信明确设置允许规则；启用应用识别和过滤功能，对进出网络的数据流实现基于应用协议和协议指令的访问控制。

上网行为管理：在互联网出口或用户终端区域边界部署上网行为管理系统，对内网用户访问互联网的行为进行分析和审计，防止内部员工上班时间违规上网或在网上发表违规言论，同时保存至少6个月的访问日志，以便协助公安调查取证。

病毒过滤：在互联网出口串联部署病毒过滤网关或在边界防火墙上启用相应功能，对网络数据流中夹带的恶意代码进行检测和清除，并提供病毒库和检测引擎的自动升级更新。

WEB应用安全防护系统：需要在网站服务器前端串联部署Web应用防火墙系统，有效的抵御黑客攻击、SQL注入、XSS、网页篡改等攻击威胁。

网络入侵检测系统：在网络内部核心交换机及其他重要网络区域接入交换机上旁路部署入侵检测设备，通过流量镜像方式实时捕获和检测网络通信行为，一旦发现攻击可通过与防火墙联动或发阻断包等方式进行限制。

网络审计系统：在网络内部核心交换机及其他重要网络区域接入交换机上部署网络审计系统，对各类用户的网络访问行为和网络传输内容进行记录，对所发生安全事故的追踪与调查取证提供详实缜密的数据支持。

安全计算环境

系统的弱点是安全的威胁的主要因素之一，通用的设备和系统总是存在一定的安全弱点，一旦被利用，很容易成为内部用户或外部非法入侵者进行网络攻击和数据窃取的渠道，因此有必要对信息系统进行全面安全扫描和评估，发现可能安全隐患，并及时进行漏洞修复。同时，信息系统中运行的应用，应进行严格的身份鉴别和访问授权管理，每一位用户应根据其业务、职务来分配其授权范围，从而保护应用数据的最小授权。具体需求包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据备份恢复、个人信息保护。

安全计算环境主要考虑如下内容：

恶意代码防护：对于信息系统内部的用户终端设备（办公业务终端、管理运维终端等），部署终端威胁防御系统，对于终端操作系统的运行情况、终端本地用户及应用程序操作行为进行实时监控和审计，对终端系统病毒、补丁更新情况进行监控、管理。

脆弱性扫描与管理系统：需要采用专业的安全漏洞扫描工具，配合人工服务，定期对信息系统的网络、服务器、重要终端中存在的已知安全漏洞进行扫描和评估，并及时封堵漏洞，做到防患于未然。

日志收集和分析系统：对信息系统的所有服务器操作系统、应用系统和新增的各种安全系统均开启完整的日志记录功能，对重要的用户行为和重要安全事件进行审计，并将审计记录实时发送给集中的日志服务器，便于长期存储保护和分析使用。

主机监控和审计系统：对于信息系统内部用户终端设备（办公业务终端、管理运维终端等），部署主机监控与审计系统，对于终端操作系统的运行情况、终端本地用户及应用程序操作行为进行实时监控和审计，对终端系统病毒、补丁更新情况进行监控、管理。

数据库审计系统：在数据库服务器所连接的交换机上旁路部署数据库审计系统，对来自网络的数据库访问行为进行记录，及时判断出违规操作行为并进行记录、报警，为数据库系统的安全运行及事后审计提供有力保障。

安全管理中心

信息系统缺少相应的技术手段来对网络内部众多的网络设备、安全设备以及服务器的集中管理，缺乏对于各种安全事件统一进行分析和管理的工具，网络安全管理和运维工作效率低下、工作负担重，需要借助自动化、平台化的技术工具提高管理效率。具体需求包括系统管理、审计管理。

三员管理：安全管理中心应做到系统管理员、审计管理员和安全管理员的三权分立，并对各类管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行权限范围内的管理操作，并对这些操作进行审计。

运维访问控制和安全审计：针对运维用户，需要部署堡垒主机，实现针对设备和服务器的统一用户帐户管理、登录认证、资源授权、访问控制和操作审计，简化用户身份管理工作、加强对运维管理用户登录及操作行为的控制和审计。正常情况下，不再允许任何用户直接登录设备和服务器系统进行本地运维管理操作。