《深信服等級保護(hù)三級建設(shè)方案[共100頁]》由會員分享，可在線閱讀，更多相關(guān)《深信服等級保護(hù)三級建設(shè)方案[共100頁]（102頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、等級保護(hù)（三級）方案模板 深信服科技 × × 項(xiàng)目 等級保護(hù)（三級）建設(shè)方案 深信服科技（深圳）有限公司 201年9 12月 1 等級保護(hù)（三級）方案模板 深信服科技 目 錄 1 項(xiàng)目概述...........................................................................................................................................5...................................... 2 等級保護(hù)建設(shè)流....程....

2、.........................................................................................................................5...................................... 3 方案參照標(biāo)..準(zhǔn)................................................................................................................................

3、....7....................................... 4 信息系統(tǒng)定..級....................................................................................................................................8....................................... 4.1.1 定級流.程...........................................................

4、................................................................8....................................... 4.1.2 定級結(jié).果...........................................................................................................................9....................................... 5 系統(tǒng)現(xiàn)狀分..析........

5、...........................................................................................................................1.1....................................... 5.1 機(jī)房及配套設(shè)備現(xiàn)狀..分....析............................................................................................................1.1.

6、..................................... 5.2 計(jì)算環(huán)境現(xiàn)狀分....析.......................................................................................................................1.1....................................... 5.3 區(qū)域邊界現(xiàn)狀分....析..................................................................

7、.....................................................1.1....................................... 5.4 通信網(wǎng)絡(luò)現(xiàn)狀分....析.................................................................................................錯...誤....！...未....定....義...書....簽...。.............. 5.5 安全管理中心現(xiàn)狀.分....析..................

8、.............................................................................................1..1...................................... 6 安全風(fēng)險與差距..分...析........................................................................................................................1.1........................

9、............... 6.1 物理安全風(fēng)險與差距..分....析............................................................................................................1.1...................................... 6.2 計(jì)算環(huán)境安全風(fēng)險與差距....分...析.......................................................................................

10、..............1.2....................................... 6.3 區(qū)域邊界安全風(fēng)險與差距....分...析.....................................................................................................1.4....................................... 6.4 通信網(wǎng)絡(luò)安全風(fēng)險與差距....分...析.................................................

11、....................................................1.5....................................... 6.5 安全管理中心差距.分....析...............................................................................................................1..6...................................... 7 技術(shù)體系方案設(shè)....計(jì)................

12、............................................................................................................1.7...................................... 7.1 方案設(shè)計(jì)目...標(biāo).............................................................................................................................1..7.......

13、............................... 7.2 方案設(shè)計(jì)框...架.............................................................................................................................1..7...................................... 7.3 安全域的劃...分........................................................................

14、.....................................................1..8...................................... 7.3.1 安全域劃分的.. .依...據(jù)...........................................................................................................1..8...................................... 7.3.2 安全域劃分與.. .說...明..........

15、.................................................................................................1..9...................................... 2 等級保護(hù)（三級）方案模板 深信服科技 7.4 安全技術(shù)體系設(shè)....計(jì).......................................................................................................................2

16、.0....................................... 7.4.1 機(jī)房與配套設(shè)備安..全...設(shè)....計(jì)................................................................................................2.0...................................... 7.4.2 計(jì)算環(huán)境安全.. .設(shè)...計(jì).......................................................................

17、....................................2..1...................................... 7.4.2.1 身份鑒.別................................................................................................................................2.1.......................................... 7.4.2.2 訪問控.制...................

18、.............................................................................................................2.2.......................................... 7.4.2.3 系統(tǒng)安全審.. .計(jì).........................................................................................................................2.2..

19、........................................ 7.4.2.4 入侵防.范................................................................................................................................2.3.......................................... 7.4.2.5 主機(jī)惡意代碼.防....范.................................................

20、.................................................................2.4.......................................... 7.4.2.6 軟件容.錯................................................................................................................................2.4..........................................

21、7.4.2.7 數(shù)據(jù)完整性與保.密....性..............................................................................................................2.4.......................................... 7.4.2.8 備份與恢..復(fù)..........................................................................................................

22、...................2.6......................................... 7.4.2.9 資源控.制................................................................................................................................2.7.......................................... 7.4.2.10 客體安全重...用.............................

23、............................................................................................2.8.......................................... 7.4.2.11 抗抵賴....................................................................................................................................2.8..............

24、............................ 7.4.2.12 不同等級業(yè)務(wù)系統(tǒng)的隔離...與....互....通............................................................................................2.8.......................................... 7.4.3 區(qū)域邊界安全.. .設(shè)...計(jì)............................................................................

25、...............................2..9...................................... 7.4.3.1 邊界訪問控制入侵防范惡意代碼防范與.應(yīng)....用...層....防....攻...擊............................................................2.9.......................................... 7.4.3.2 流量控.制.......................................................

26、.........................................................................3.0.......................................... 7.4.3.3 邊界完整性檢....查......................................................................................................................3.2........................................

27、. 7.4.3.4 邊界安全審.. .計(jì).........................................................................................................................3.3.......................................... 7.4.4 通信網(wǎng)絡(luò)安全.. .設(shè)...計(jì)..........................................................................................

28、.................3..4...................................... 7.4.4.1 網(wǎng)絡(luò)結(jié)構(gòu)安.. .全.........................................................................................................................3.4.......................................... 7.4.4.2 網(wǎng)絡(luò)安全審.. .計(jì)...................................

29、......................................................................................3.5.......................................... 7.4.4.3 網(wǎng)絡(luò)設(shè)備防.. .護(hù).........................................................................................................................3.6.........................

30、................. 7.4.4.4 通信完整性與保.密....性..............................................................................................................3.6.......................................... 7.4.4.5 網(wǎng)絡(luò)可信接.. .入....................................................................................

31、.....................................3.7.......................................... 7.4.5 安全管理中心.. .設(shè)...計(jì)...........................................................................................................3..8...................................... 7.4.5.1 系統(tǒng)管.理...............................

32、.................................................................................................3.8.......................................... 3 等級保護(hù)（三級）方案模板 深信服科技 7.4.5.2 審計(jì)管.理........................................................................................................................

33、........3.9.......................................... 7.4.5.3 監(jiān)控管.理................................................................................................................................4.0.......................................... 8 安全管理體系設(shè)....計(jì)...........................................

34、.................................................................................4.1...................................... 9 系統(tǒng)集成設(shè)..計(jì)...................................................................................................................................4.2................................

35、....... 9.1 軟硬件產(chǎn)品部署....圖.......................................................................................................................4.2....................................... 9.2 應(yīng)用系統(tǒng)改...造...................................................................................................

36、..........................4..3...................................... 9.3 采購設(shè)備清...單.......................................................................................................錯....誤....！...未....定...義....書....簽...。................ 10 方案合規(guī)性分...析.............................................

37、.......................................................................................................................... 10.1 技術(shù)部分................................................................................................................................4.7....................................

38、... 10.2 管理部分................................................................................................................................5.6....................................... 11 附錄：............................................................................................................

39、................................6.6....................................... 11.1 等級劃分標(biāo)...準(zhǔn).........................................................................................................................6.6...................................... 11.2 技術(shù)要求組合確....定.............................

40、.....................................................................................6.7....................................... 4 等級保護(hù)（三級）方案模板 深信服科技 1 項(xiàng)目概述 建設(shè)單位情況介紹 項(xiàng)目背景情況介紹 2 等級保護(hù)建設(shè)流程 整體的安全保障體系包括技術(shù)和管其理中兩技大術(shù)部部分分，《根信據(jù)息系統(tǒng)安全等級保護(hù)基分本為要物求理》安全、 網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級保護(hù) 為安全管理制

41、度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個方面。 整個安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制 理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，”進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。 根據(jù)等級化安全保障體系的設(shè)計(jì)思路，等級保護(hù)的設(shè)計(jì)與實(shí)施通過以下步驟進(jìn)行： 1. 系統(tǒng)識別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對 度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系 下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。 2. 安全

42、域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì) 構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。 3. 確定安全域安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過安全 級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標(biāo)。 4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險評估方法，對系統(tǒng) 進(jìn)行有針對性的等級風(fēng)并險找評出估系。統(tǒng)安全現(xiàn)狀與等級要形求成的完差整距準(zhǔn)，確的按需防御的安全需求。 通過等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)

43、解決方案設(shè) 建設(shè)提供依據(jù)。 5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個層次的安全保障體系框架以及具體方案 5 等級保護(hù)（三級）方案模板 深信服科技 次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。 6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級 的基本要求，實(shí)現(xiàn)按需防御。 7. 持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、 進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體

44、系，同時根據(jù)安全術(shù)建設(shè)和安全管理建設(shè)， 安全。而應(yīng)該特別注意的是：等級保護(hù)不是一個項(xiàng)目，它應(yīng)該是一個不斷循環(huán)的過程，所以通過整個安全 的實(shí)施，來保證用戶等級保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。 6 等級保護(hù)（三級）方案模板 深信服科技 3 方案參照標(biāo)準(zhǔn) GB/T 21052-2信0息07安全等級信保息護(hù)系統(tǒng)物理安全技術(shù)要求 信息安全技信術(shù)息系統(tǒng)安全等級保護(hù)基本要求 信息安全技信術(shù)息系統(tǒng)安全保護(hù)等級(定報 級批 指中) 南 信息安全技術(shù)信息安全等級保(報護(hù) 批實(shí) 中)施指南 信息安全技信術(shù)息系統(tǒng)安全等級保護(hù)測評指南 GB/T 20271-2

45、信0息06安全技信術(shù)息系統(tǒng)通用安全技術(shù)要求 GB/T 20270-2信0息06安全技網(wǎng)術(shù)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20984信-2息00安7 全技信術(shù)息安全風(fēng)險評估規(guī)范 GB/T 20269-2信0息06安全技信術(shù)息系統(tǒng)安全管理要求 GB/T 20281-2信0息06安全技防術(shù)火墻技術(shù)要求與測試評價方法 GB/T 20275-信20息06安全技入術(shù)侵檢測系統(tǒng)技術(shù)要求和測試評價方法 GB/T 20278-2信0息06安全技網(wǎng)術(shù)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求 GB/T 20277-2信0息06安全技網(wǎng)術(shù)絡(luò)脆弱性掃描產(chǎn)品測試評價方法 GB/T 20279-2信0息06安全技網(wǎng)術(shù)絡(luò)端設(shè)備

46、隔離部件技術(shù)要求 GB/T 20280-2信0息06安全技網(wǎng)術(shù)絡(luò)端設(shè)備隔離部件測試評價方法 等。 7 等級保護(hù)（三級）方案模板 深信服科技 4 信息系統(tǒng)定級 4.1.1定級流程 確定信息系統(tǒng)安全保護(hù)等級的一般流程如下： 識別單位基本信息 了解單位基本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用， 位主要信息系統(tǒng)的宏觀定位。 識別業(yè)務(wù)種類、流程和服務(wù) 應(yīng)重點(diǎn)了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的服務(wù)在影響履行單位職能方面具體方式和程 區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)以及對本單位以外機(jī)構(gòu)或個人的影響等方面。這些具體 為主管部門制定定級指導(dǎo)

47、意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。 識別信息 調(diào)查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業(yè) 保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽(yù)、人身安全等方面可能對國 本單位造成的影響，對影響程度的描述應(yīng)盡可能量化。 識別網(wǎng)絡(luò)結(jié)構(gòu)和邊界 調(diào)查了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、安全防護(hù)和外部連接情況，目的是了解信 的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安 系。識別主要的軟硬件設(shè)備 調(diào)查了解與定級對象信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及安全設(shè)備等

48、，設(shè)備所在 統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程 識別用戶類型和分布 調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，本地用戶和遠(yuǎn)程用戶等類型，了 戶群的數(shù)量分布，判斷系統(tǒng)服務(wù)中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。 根據(jù)信息安全等級矩陣表，形成定級結(jié)果 8 等級保護(hù)（三級）方案模板 深信服科技 業(yè)務(wù)信息安全等級矩陣表 對相應(yīng)客體的侵害程度 業(yè)務(wù)信息安全被破壞時所侵害的客體 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 第一級 第二級 第二級 公民、法人和其他組織的合法權(quán)益 第二級 第三級 第四級 社會秩序、公共利益

49、 第三級 第四級 第五級 國家安全 系統(tǒng)服務(wù)安全等級矩陣表 對相應(yīng)客體的侵害程度 系統(tǒng)服務(wù)安全被破壞時所侵害的客體 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 第一級 第二級 第二級 公民、法人和其他組織的合法權(quán)益 第二級 第三級 第四級 社會秩序、公共利益 第三級 第四級 第五級 國家安全 4.1.2定級結(jié)果 根據(jù)上述定級流X程X用，戶各主要系統(tǒng)定級結(jié)果為： 序號 部署環(huán)境 系統(tǒng)名稱 保護(hù)等級 定級結(jié)果組合 1. XX網(wǎng)絡(luò) X X系統(tǒng) 3 可能的組合S為1：A3，G3 S2A3，GS33A3G，S33A2，G3 S3A1，G 3根據(jù)實(shí)際情況進(jìn)行選 擇。 9 等級

50、保護(hù)（三級）方案模板 深信服科技 2. 10 等級保護(hù)（三級）方案模板 深信服科技 5 系統(tǒng)現(xiàn)狀分析 系統(tǒng)現(xiàn)狀分析按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個層面進(jìn)行，系統(tǒng)的展現(xiàn)客戶信息系統(tǒng)的現(xiàn)狀。 5.1 機(jī)房及配套設(shè)備現(xiàn)狀分析 包括現(xiàn)在的機(jī)房建設(shè)情況，以及機(jī)房內(nèi)的配套設(shè)備部署情況。 5.2 網(wǎng)絡(luò)現(xiàn)狀分析 該單位目前的網(wǎng)絡(luò)拓?fù)鋱D，以及部署了哪些安全軟件，終端部署情況等。 5.3 業(yè)務(wù)系統(tǒng)現(xiàn)狀分析 現(xiàn)有業(yè)務(wù)系統(tǒng)的現(xiàn)狀。 5.4 安全管理中心現(xiàn)狀分析 是否已有安全管理中心，以及現(xiàn)在建設(shè)的現(xiàn)狀。 6 安全風(fēng)險與差距分析 風(fēng)險與需求分析部分按照物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個層

51、面進(jìn)行，可根據(jù)實(shí)際情況進(jìn)行修改； 劃分的結(jié)果，在分析過程中將不同的安全域所面臨的風(fēng)險與需求分析予以對應(yīng)說明。 6.1 物理安全風(fēng)險與差距分析 物理安全風(fēng)險主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)從設(shè)而備會和造線成路網(wǎng)的絡(luò)不系可統(tǒng)使的用不，可使 用，甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能 可用性，進(jìn)而提高整個網(wǎng)絡(luò)的抗破壞力。例如： 機(jī)房缺乏控制，人員隨意出入帶來的風(fēng)險； 網(wǎng)絡(luò)設(shè)備被盜、被毀壞； 11 等級保護(hù)（三級）方案模板 深信服科技 線路老化或是有意、無意的破壞線路； 設(shè)備在非預(yù)測情況下發(fā)生故障、停電等； 自然災(zāi)害如

52、地震、水災(zāi)、火災(zāi)、雷擊等； 電磁干擾等。 因此，在通盤考慮安全風(fēng)險時，應(yīng)優(yōu)先考慮物理安全風(fēng)險。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全 是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險問題時的應(yīng)對方案。 6.2 計(jì)算環(huán)境安全風(fēng)險與差距分析 計(jì)算環(huán)境的安全主要指主機(jī)以及應(yīng)用層面的安全風(fēng)險與需求分析，包括：身份鑒別、訪問控制、系統(tǒng) 惡意代碼防范、軟件容錯、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等 身份鑒別 身份鑒別包括主機(jī)和應(yīng)用兩個方面。 主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。過于簡單的標(biāo)識符和口令容 解。同時非法用戶可以通過網(wǎng)絡(luò)進(jìn)行竊聽

53、，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作。 戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽；同時應(yīng)考慮失敗處理機(jī)制。 訪問控制 訪問控制包括主機(jī)和應(yīng)用兩個方面。 訪問控制主要為了保證用戶對主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。非法用戶可能企圖假冒合法用戶 統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大 戶必須擁有合法的用戶標(biāo)識符，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。 系統(tǒng)審計(jì) 系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個方面。 對于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。對于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制， 使用的

54、命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。而對于應(yīng)用系統(tǒng) 12 等級保護(hù)（三級）方案模板 深信服科技 審計(jì)的要求，即對應(yīng)用系統(tǒng)的使用行為進(jìn)行審計(jì)。重點(diǎn)審計(jì)應(yīng)用層信息，和業(yè)務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān) 件提供足夠的信息，與身份認(rèn)證與訪問控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。 入侵防范 主機(jī)操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞 利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風(fēng)險，因此 統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對系統(tǒng)的入侵行為。 惡意代碼防范 病毒、蠕蟲等

55、惡意代碼是對計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒 向其他子網(wǎng)迅速蔓延，發(fā)動網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重 潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏。嚴(yán)重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進(jìn)行防 意代碼庫的及時更新。 軟件容錯 軟件容錯的主要目的是提供足夠的冗余,信使息系和統(tǒng)算在法實(shí)程際序運(yùn)行時能夠及時發(fā)現(xiàn),程采序取設(shè)補(bǔ)計(jì)救錯措誤 施,以提高軟件可,?？孔C性整個計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。 數(shù)據(jù)安全 主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的 的備份十分重要，是必須考

56、慮的問題。應(yīng)采取措施保證數(shù)據(jù)在傳輸過程中的完整性以及保密性；保護(hù)鑒別 備份與恢復(fù) 數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要 問題。對于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機(jī)制，而對于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢 件的必要措施。 資源合理控制 資源合理控制包括主機(jī)和應(yīng)用兩個方面。 主機(jī)系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無限濫用。系統(tǒng)資源必須能夠?yàn)檎Ｓ脩籼峁┵Y源保障 源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等后果。因此對于系統(tǒng)資源進(jìn)行控制，制定包括：登陸條件限制、超 13 等級保護(hù)（三級）方案模板 深信服科技 用資源閾值設(shè)置等

57、資源控制策略。 剩余信息保護(hù) 對于正常使用中的主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等，經(jīng)常需要對用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫 或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進(jìn)行清除，將會引起元用戶信息泄 因此，需要確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分 得到完全清除 對于動態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以 漏。 抗抵賴 對于數(shù)據(jù)安全，不僅面臨著機(jī)密性和完整性的問題，同樣還面臨著抗抵賴性（不可否認(rèn)性）的問題， 防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。 不

58、同等級的業(yè)務(wù)系統(tǒng)的互聯(lián) 使用同一終端訪問不同等級的業(yè)務(wù)系統(tǒng)時，如何在用戶終端實(shí)現(xiàn)不同等級業(yè)務(wù)系統(tǒng)的隔離。 6.3 區(qū)域邊界安全風(fēng)險與差距分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計(jì)等方面 邊界訪問控制 XX網(wǎng)絡(luò)可劃分為如下邊界： 描述邊界及風(fēng)險分析 對于各類邊界最基本的安全需求就是訪問控制，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授 邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則因?qū)⒋耸枞ヒα?nèi)，部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部 網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完整性。 14 等級保護(hù)（三級）方案模板 深

59、信服科技 邊界入侵防范 各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同樣存在。通過安全措施， 針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可D o疑S代/D碼D等o、 ，S端實(shí)口現(xiàn)掃對描網(wǎng)、絡(luò)層以及業(yè)務(wù)系統(tǒng) 的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。 邊界安全審計(jì) 在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和 審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可通過安全管理中心集中管理。 邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出:病以毒下與趨黑勢客程序相結(jié)合、蠕蟲病毒更加泛濫，目前計(jì)算機(jī)病毒的傳播途徑與 相比已經(jīng)發(fā)

60、生了很大的變化，更多的I以nt網(wǎng)ern絡(luò)、e（t廣包域括網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手段 也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對病毒予以查殺。 6.4 通信網(wǎng)絡(luò)安全風(fēng)險與差距分析 通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性； 務(wù)高峰時期數(shù)據(jù)交換需求；并合理V的L劃AN。分網(wǎng)段和 網(wǎng)絡(luò)安全審計(jì) 由于用戶的計(jì)算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系 壞。沒有相應(yīng)的審計(jì)記錄將給事后追

61、查帶來困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。從而威懾那些心存僥 的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。 網(wǎng)絡(luò)設(shè)備防護(hù) 由于XX網(wǎng)絡(luò)中將會使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、防火墻、入侵檢測設(shè)備等。這些設(shè)備的自身安全性 系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。 15 等級保護(hù)（三級）方案模板 深信服科技 設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會造成無 例如，交換機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的風(fēng)險 通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件

62、格式均開具發(fā)有公、標(biāo)開準(zhǔn)的、特征因，此數(shù)據(jù)在網(wǎng)上存儲和傳輸不過僅程僅中面，臨信息丟失、 信息重復(fù)或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此， 儲過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應(yīng)提供 現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。 而數(shù)據(jù)在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證 網(wǎng)絡(luò)可信接入 對于一個不斷發(fā)展的網(wǎng)絡(luò)而言，為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時保留大量的接入端口XX，用這對于隨時隨地快 戶網(wǎng)絡(luò)進(jìn)行辦公是非常便捷的，但同時也引入了安全風(fēng)險，一旦外來用戶不加阻攔的接入到網(wǎng)

63、絡(luò)中來，就 的安全邊界，使得外來用戶具備對網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸如蠕蟲擴(kuò)散、文件泄密等安全問題 法客戶端實(shí)現(xiàn)禁能入監(jiān)，控網(wǎng)絡(luò)對，于沒有合法認(rèn)證的外能來夠機(jī)阻器斷，其網(wǎng)絡(luò)保訪護(hù)問好，已經(jīng)建立起來的安全環(huán)境。 6.5 安全管理中心差距分析 安全管理中心需求包括統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)三個方面的需求分析。兩個方面，技術(shù)方面和 16 等級保護(hù)（三級）方案模板 深信服科技 7 技術(shù)體系方案設(shè)計(jì) 7.1 方案設(shè)計(jì)目標(biāo) 三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目G標(biāo)B是17：85落9-實(shí)對1 9三99級系統(tǒng)的安全保護(hù)要求，在二級安全保護(hù)環(huán)境的基礎(chǔ) 上，通過實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制

64、訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安 保護(hù)敏感資源的能力。 通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進(jìn)行技術(shù)體 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個方面基本管理要求進(jìn)行 使得XX系統(tǒng)的等級保護(hù)建設(shè)方案最終既可以滿足等級保護(hù)的相關(guān)要X求X系，統(tǒng)又提能供夠立全體方、面縱為深 的 安 全 保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。 7.2 方案設(shè)計(jì)框架 根據(jù)《信息系統(tǒng)安全等級保護(hù)，基分本為要技求術(shù)》和管理兩大類要求，具體如下圖所示： 17 等級保護(hù)（三級）方案模板 深信服科技 本方案將嚴(yán)

65、格根據(jù)技術(shù)與管理要首求先進(jìn)應(yīng)行根設(shè)據(jù)計(jì)本。級具體的基本要求設(shè)計(jì)本級系統(tǒng)根的據(jù)《保信護(hù)環(huán)境模型， 息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技（術(shù)注要：求尚》未正式，發(fā)保布護(hù)）環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò) 和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵5蓋個基方本面要。求同的時結(jié)合管理要求，形成如下圖所示的保護(hù)環(huán)境模型： 信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全性等級和系統(tǒng)服務(wù)保證性等級較高者決定，因此，對某一個 統(tǒng)的安全保護(hù)的側(cè)重點(diǎn)可以有對多于3種級組保合護(hù)。系 其統(tǒng) 組， 合 （為在：S1A3G，S32A3G，S33A3，GS33A2，GS33A1G3 選擇。）以下詳細(xì)方案設(shè)S計(jì)3時A3以G為3例，其

66、他組合根據(jù)實(shí)際情況酌情修改。 7.3 安全域的劃分 7.3.1安全域劃分的依據(jù) 對大型信息系統(tǒng)進(jìn)行等級保護(hù)，不是對整個系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù) 級的保護(hù)。因此，安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟。 安全域是具有相同或相似安全要I T求要和素策的略集的，合是同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和 18 等級保護(hù)（三級）方案模板 深信服科技 策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安 界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。當(dāng)然，安全域的劃 全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較 全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。對信息系統(tǒng)安全域（保護(hù)對象）的劃分應(yīng)主要考慮如下方面 1. 業(yè)務(wù)和功能特性 業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性 業(yè)務(wù)系統(tǒng)對外連接：對外業(yè)務(wù)，支撐，內(nèi)部管理 2. 安全特性的要求 安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產(chǎn)單獨(dú)劃區(qū)域。 威脅相似性：威