网络安全建设方案
- 格式:doc
- 大小:883.50 KB
- 文档页数:22
网络安全建设方案
2016年7月
1. 前言 .............................................................................................................................................. 3
1.1. 方案涉及范围 .................................................................................................................. 3
1.2. 方案参考标准 .................................................................................................................. 3
1.3. 方案设计原则 .................................................................................................................. 4
2. 安全需求分析 .............................................................................................................................. 5
2.1. 符合等级保护的安全需求 .............................................................................................. 6
2.1.1. 等级保护框架设计 ................................................................................................ 6
2.1.2. 相应等级的安全技术要求 .................................................................................... 6
2.2. 自身安全防护的安全需求 .............................................................................................. 7
2.2.1. 物理层安全需求 .................................................................................................... 7
2.2.2. 网络层安全需求 .................................................................................................... 7
2.2.3. 系统层安全需求 .................................................................................................... 9
2.2.4. 应用层安全需求 .................................................................................................... 9
3. 网络安全建设内容 .................................................................................................................... 10
3.1. 边界隔离措施 ................................................................................................................ 11
3.1.1. 下一代防火墙 ...................................................................................................... 11
3.1.2. 入侵防御系统 ...................................................................................................... 13
3.1.3. 流量控制系统 ...................................................................................................... 14
3.1.4. 流量清洗系统 ...................................................................................................... 15
3.2. 应用安全措施 ................................................................................................................ 16
3.2.1. WEB应用防火墙 ................................................................................................. 16
3.2.2. 上网行为管理系统 .............................................................................................. 16
3.2.3. 内网安全准入控制系统 ...................................................................................... 17
3.3. 安全运维措施 ................................................................................................................ 18
3.3.1. 堡垒机 .................................................................................................................. 18
3.3.2. 漏洞扫描系统 ...................................................................................................... 19
3.3.3. 网站监控预警平台 .............................................................................................. 19
3.3.4. 网络防病毒系统 .................................................................................................. 21
3.3.5. 网络审计系统 ...................................................................................................... 22
1. 前言
1.1. 方案涉及范围
方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。
学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。
方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。
1.2. 方案参考标准
本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划:
方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。
系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。
本方案参考的指南和标准具体见下表:
安全要素 遵循标准
指导思想 中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)
等级保护 《信息系统安全等级保护定级指南》
《电子政务信息安全保障技术框架》
技术方面 GB 18336信息技术 安全技术 信息技术安全性评估准则
信息安全技术 信息系统安全等级保护基本要求(试用稿)
1.3. 方案设计原则
学校数据中心安全体系的建设应遵循国家相关信息安全保障体系建设的总体原则,按照统一规划、统一标准、适度超前;分级、分阶段实施;互联互通、资源共享、安全保密;以需求为导向、以应用促发展的原则进行建设,本方案将严格遵从以下的建设原则:
重点保护原则
本次项目建设,属于学校信息安全保障体系的基础防护平台建设阶段,以基础性保障为准,同时对中心机房进行重点防护,根据《信息系统安全等级保护定级指南》,本方案针对重要的核心部位严格按照二级要求进行规划,确保重要的信息资产能够得到重点的防护,具备相当的抗攻击能力;