内网安全整体解决方案

内网安全整体解决方案

二〇二二年四月

目录

第一章总体方案设计 (3)

1.1 依据政策标准 (3)

1.1.1国内政策和标准 (3)

1.1.2国际标准及规范 (4)

1.2 设计原则 (5)

1.3 总体设计思想 (6)

第二章技术体系详细设计 (8)

2.1 技术体系总体防护框架 (8)

2.2 内网安全计算环境详细设计 (8)

2.2.1传统内网安全计算环境总体防护设计 (8)

2.2.2虚拟化内网安全计算环境总体防护设计 (16)

2.3 内网安全数据分析 (26)

2.3.1内网安全风险态势感知 (26)

2.3.2内网全景流量分析 (26)

2.3.3内网多源威胁情报分析 (28)

2.4 内网安全管控措施 (28)

2.4.1内网安全风险主动识别 (28)

2.4.2内网统一身份认证与权限管理 (30)

2.4.1内网安全漏洞统一管理平台 (33)

第三章内网安全防护设备清单 (34)

第一章总体方案设计

1.1 依据政策标准

1.1.1 国内政策和标准

1．《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

3．《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

4．《信息安全等级保护管理办法》（公通字〔2007〕43号)

5．《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

6．《信息安全等级保护备案实施细则》（公信安〔2007〕1360号）

7．《公安机关信息安全等级保护检查工作规范》（公信安〔2008〕736号）8．《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）

9．《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）

10．国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号文）

11．《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》（公信安[2010]303号文）

12．国资委《中央企业商业秘密保护暂行规定》（国资发〔2010〕41号）13．《GB/T 22239.1-XXXX 信息安全技术网络安全等级保护基本要求第1部分安全通用要求（征求意见稿）》

14．《GB/T 22239.2-XXXX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求（征求意见稿）》

15．《GB/T 25070.2-XXXX 信息安全技术网络安全等级保护设计技术要求第2部分：云计算安全要求（征求意见稿）》

16．《GA/T 20—XXXX 信息安全技术网络安全等级保护定级指南（征

求意见稿）》

17．《信息安全技术信息系统安全等级保护基本要求》

18．《信息安全技术信息系统等级保护安全设计技术要求》

19．《信息安全技术信息系统安全等级保护定级指南》

20．《信息安全技术信息系统安全等级保护实施指南》

21．《计算机信息系统安全等级保护划分准则》

22．《信息安全技术信息系统安全等级保护测评要求》

23．《信息安全技术信息系统安全等级保护测评过程指南》

24．《信息安全技术信息系统等级保护安全设计技术要求》

25．《信息安全技术网络基础安全技术要求》

26．《信息安全技术信息系统安全通用技术要求（技术类）》

27．《信息安全技术信息系统物理安全技术要求（技术类）》

28．《信息安全技术公共基础设施 PKI系统安全等级保护技术要求》29．《信息安全技术信息系统安全管理要求（管理类）》

30．《信息安全技术信息系统安全工程管理要求（管理类）》

31．《信息安全技术信息安全风险评估规范》

32．《信息技术安全技术信息安全事件管理指南》

33．《信息安全技术信息安全事件分类分级指南》

34．《信息安全技术信息系统安全等级保护体系框架》

35．《信息安全技术信息系统安全等级保护基本模型》

36．《信息安全技术信息系统安全等级保护基本配置》

37．《信息安全技术应用软件系统安全等级保护通用技术指南》

38．《信息安全技术应用软件系统安全等级保护通用测试指南》

39．《信息安全技术信息系统安全管理测评》

40．《卫生行业信息安全等级保护工作的指导意见》

1.1.2 国际标准及规范

1．国际信息安全ISO27000系列

2．国际服务管理标准ISO20000

3．ITIL最佳实践

4．企业内控COBIT

1.2 设计原则

随着单位信息化建设的不断加强，某单位内网的终端计算机数量还在不断增加，网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。

目前为了维护网络内部的整体安全及提高系统的管理控制，需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固，避免由于外部入侵所导致的主机失陷等安全事件的发生

如上图所示，本项目的设计原则具体包括：

➢整体设计，重点突出原则

➢纵深防御原则

➢追求架构先进、技术成熟，扩展性强原则

➢统一规划，分布实施原则

➢持续安全原则

➢可视、可管、可控原则