网络安全建设方案

网络安全建设方案

2016年7月

1. 前言 (3)

1.1. 方案涉及范围 (3)

1.2. 方案参考标准 (3)

1.3. 方案设计原则 (4)

2. 安全需求分析 (5)

2.1. 符合等级保护的安全需求 (6)

2.1.1. 等级保护框架设计 (6)

2.1.2. 相应等级的安全技术要求 (6)

2.2. 自身安全防护的安全需求 (7)

2.2.1. 物理层安全需求 (7)

2.2.2. 网络层安全需求 (7)

2.2.3. 系统层安全需求 (9)

2.2.4. 应用层安全需求 (9)

3. 网络安全建设内容 (10)

3.1. 边界隔离措施 (11)

3.1.1. 下一代防火墙 (11)

3.1.2. 入侵防御系统 (13)

3.1.3. 流量控制系统 (14)

3.1.4. 流量清洗系统 (15)

3.2. 应用安全措施 (16)

3.2.1. WEB应用防火墙 (16)

3.2.2. 上网行为管理系统 (16)

3.2.3. 内网安全准入控制系统 (17)

3.3. 安全运维措施 (18)

3.3.1. 堡垒机 (18)

3.3.2. 漏洞扫描系统 (19)

3.3.3. 网站监控预警平台 (19)

3.3.4. 网络防病毒系统 (21)

3.3.5. 网络审计系统 (22)

1.前言

1.1. 方案涉及范围

方案设计中的防护重点是学校中心机房的服务器区域，这些服务器承载了学校内部的所有业务系统，因此是需要重点防护的信息资产。

学校目前采取了数据大集中的模式，将所有的业务数据集中在中心机房，数据大集中模式将导致数据中心的安全风险也很集中，因此必须对中心机房服务器区域进行重点防护。

方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计，纳入到整体的安全防护体系内。

1.2. 方案参考标准

本方案的主要规划的重点内容是网络安全防护体系，规划的防护对象以学校数据中心为主，规划的参考标准是等级保护，该方案的设计要点就是定级和保障技术的规划，针对教育部和省教育厅对等级保护的相关要求，本方案将主要参考以下的标准进行规划：

方案的建设思想方面，将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知，该文件对计算机信息系统的等级化保护提出了建设要求，是我省今后一段时期内信息安全保障工作的纲领性文件，文件中对我省教育行业信息安全保障工作指出了总体思路。

系统定级方面：参考《信息系统安全等级保护定级指南》，该指南适用于党政机关网络于信息系统，其中涉及国家秘密的网络与信息系统，按照国家有关保密规定执行，其他网络与信息系统定级工作参考本指南进行，本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，并对网络与信息系统提出了最低安全等级要求，高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。

本方案参考的指南和标准具体见下表：

1.3. 方案设计原则

学校数据中心安全体系的建设应遵循国家相关信息安全保障体系建设的总体原则，按照统一规划、统一标准、适度超前；分级、分阶段实施；互联互通、资源共享、安全保密；以需求为导向、以应用促发展的原则进行建设，本方案将严格遵从以下的建设原则：

本次项目建设，属于学校信息安全保障体系的基础防护平台建设阶段，以基础性保障为准，同时对中心机房进行重点防护，根据《信息系统安全等级保护定级指南》，本方案针对重要的核心部位严格按照二级要求进行规划，确保重要的信息资产能够得到重点的防护，具备相当的抗攻击能力；

数据中心建设的效果将直接影响学校的信息化建设，特别是安全保障体系的建设，因此在规划阶段必须通盘考虑，实施的时候可按照阶段进行分布实施，确保学校信息化建设，以及安全保障体系的建设能够有序开展，并且前期的工作能够为后期的建设打好基础，避免重复建设；

学校数据中心是一个高技术的系统工程，要实现各业务系统的功能和性能，又要采取先进的安全技术，还要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。

对学校数据中心安全体系设计时，既要考虑安全风险和需求，又要考虑系统建设的成本，在保证整体安全的前提下，尽可能的减少投资规模，压缩开支。优化系统设计，合理进行系统配置，所采用的产品，要便于操作、实用高效。

技术的标准化是信息系统建设的基本要求，也是电子化和信息化的前提。学校数据中心构成复杂、应用多种多样，为了保证信息的安全互通互连，确保安全保障体系建设的典型意义和全面推广应用价值，必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范，按照统一的标准进行设计。

任何信息系统都不能做到绝对的安全，学校数据中心也不例外。因此，在安全体系设计时，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

信息安全保障体系的建设必须适应其信息化的要求，必须兼顾核心业务和非核心业务的信息化需求，从安全技术保障、安全组织保障和安全运营保障等角度出发，为学校规划全面的信息安全保障体系。

2.安全需求分析

从安全建设的角度，本方案认为学校的安全建设来自两个方面，一是从符合国家政策的角度，需要按照公安部的相关标准，按照分级、分域的建设思路，进行总体的安全规划和设计；另外也需要从自身安全防护的角度，分析对抗外部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面的建设需求。具体内容如下：