等级保护技术方案

××项目等级保护方案
目录
1工程项目背景 ..........................................错误 !不决义书签。

2系统解析 ..............................................错误 !不决义书签。

网络结构解析 .........................................错误 !不决义书签。

业务系统解析 .........................................错误 !不决义书签。

3等级保护建设流程 ......................................错误 !不决义书签。

4方案参照标准 ..........................................错误 !不决义书签。

5安全地域框架 ..........................................错误 !不决义书签。

6安全等级划分 ..........................................错误 !不决义书签。

定级流程 ........................................错误 !不决义书签。

定级结果 ........................................错误 !不决义书签。

7安全风险与需求解析 ....................................错误 !不决义书签。

安全技术需求解析 .....................................错误 !不决义书签。

物理安全风险与需求解析 ..........................错误 !不决义书签。

计算环境安全风险与需求解析 ......................错误 !不决义书签。

地域界线安全风险与需求解析 ......................错误 !不决义书签。

通信网络安全风险与需求解析 ......................错误 !不决义书签。

安全管理需求解析 .....................................错误 !不决义书签。

8技术系统方案设计 ......................................错误 !不决义书签。

方案设计目标 .........................................错误 !不决义书签。

方案设计框架 .........................................错误 !不决义书签。

安全技术系统设计 .....................................错误 !不决义书签。

物理安全设计 ....................................错误 !不决义书签。

计算环境安全设计 ................................错误 !不决义书签。

身份鉴别 .............................................错误!不决义书签。

接见控制 .............................................错误 ! 不决义书签。

系统安全审计 .........................................错误 ! 不决义书签。

入侵防范 .............................................错误 ! 不决义书签。

主机恶意代码防范 .....................................错误 ! 不决义书签。

软件容错 .............................................错误 ! 不决义书签。

数据完满性与保密性 ...................................错误 ! 不决义书签。

备份与恢复 ...........................................错误 ! 不决义书签。

资源控制 .............................................错误 ! 不决义书签。

客体安全重用 .........................................错误 ! 不决义书签。

抗狡辩 ...............................................错误 ! 不决义书签。

地域界线安全设计 ................................错误 !不决义书签。

界线接见控制 .........................................错误 ! 不决义书签。

界线完满性检查 .......................................错误 ! 不决义书签。

界线入侵防范 .........................................错误 ! 不决义书签。

界线安全审计 .........................................错误 ! 不决义书签。

界线恶意代码防范 .....................................错误 ! 不决义书签。

通信网络安全设计 ................................错误 !不决义书签。

网络结构安全 .........................................错误 ! 不决义书签。

网络安全审计 .........................................错误 ! 不决义书签。

网络设施防范 .........................................错误 ! 不决义书签。

通信完满性 ...........................................错误 ! 不决义书签。

通信保密性 ...........................................错误 ! 不决义书签。

网络可信接入 .........................................错误 ! 不决义书签。

安全管理中心设计 ................................错误 !不决义书签。

系统管理 .............................................错误 ! 不决义书签。

审计管理 .............................................错误 ! 不决义书签。

安全管理 .............................................错误 ! 不决义书签。

不同样样级系统互联互通............................错误!不决义书签。

9安全管理系统设计 ......................................错误 !不决义书签。

10安全运维服务设计 ......................................错误 !不决义书签。

安全扫描 ..........................................错误 !不决义书签。

人工检查 ..........................................错误 !不决义书签。

安全加固 ..........................................错误 !不决义书签。

流程 ............................................错误 !不决义书签。

内容 ............................................错误 !不决义书签。

风险闪避 ........................................错误 !不决义书签。

日志解析 ..........................................错误 !不决义书签。

流程 ............................................错误 !不决义书签。

内容 ............................................错误 !不决义书签。

补丁管理 ..........................................错误 !不决义书签。

流程 ............................................错误 !不决义书签。

内容 ............................................错误 !不决义书签。

安全监控 ..........................................错误 !不决义书签。

流程 ............................................错误 !不决义书签。

内容 ............................................错误 !不决义书签。

安全通知 ..........................................错误 !不决义书签。

应急响应 ..........................................错误 !不决义书签。

入侵检查 ........................................错误 !不决义书签。

主机、网络异常响应 ..............................错误 !不决义书签。

其他紧急事件 ....................................错误 !不决义书签。

响应流程 ........................................错误 !不决义书签。

安全运维服务的客户价值 . ............................错误 !不决义书签。

11整体配置方案 ..........................................错误 !不决义书签。

12方案合规性解析 ........................................错误 !不决义书签。

技术部分..........................................错误!不决义书签。

管理部分..........................................错误!不决义书签。

1工程项目背景项目背景情况介绍
2系统解析
2.1 网络结构解析
包括网络结构、软硬件设施等。

2.2 业务系统解析
对业务系统进行解析。

3等级保护建设流程
网御提出的“按需防守的等级化安全系统”是依照国家信息安全等级保护
制度，依照系统在不同样阶段的需求、业务特点及应用重点，采用等级化的安全系统设计方法，帮助成立一套覆盖全面、重点突出、节约成本、连续运转的等级化安全防守系统。

“等级化”设计方法，是依照需要保护的信息系统确定不同样的安全等级，依照安全等级确定不同样样级的安全目标，形成不同样样级的安全措施进行保护。

等级保护的精髓思想就是“等级化” 。

等级保护能够把业务系统、信息财富、安全界线等进行“等级化” ，分而治之，进而实现信息安全等级保护的“等级保护、适度安全”思想。

整体的安全保障系统包括技术和管理两大部分，其中技术部分依照《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设；而管理部分依照《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。

整个安全保障系统各部分既有机结合，又相互支撑。

之间的关系能够理解为“成立安全管理机构，拟定完满的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运转保护。

”
依照等级化安全保障系统的设计思路，等级保护的设计与推行经过以下步骤进行：
1.系统鉴别与定级：确定保护对象，经过解析系统所属种类、所属信息种
类、服务范围以及业务对系统的依赖程度确定系统的等级。

经过此步骤
充足认识系统情况，包括系统业务流程和功能模块，以及确定系统的等
级，为下一步安全域设计、安全保障系统框架设计、安全要求选择以及
安全措施选择供应依照。

2.安全域设计：依照第一步的结果，经过解析系统业务流程、功能模块，
依照安全域划分原则设计系统安全域架构。

经过安全域设计将系统分解
为多个层次，为下一步安全保障系统框架设计供应基础框架。

3.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同样安全
域的安全要求。

经过安全域适用安全等级选择方法确定系统各地域等级，明确各安全域所需采用的安全指标。

4.评估现状：依照各等级的安全要求确定各等级的评估内容，依照国家相
关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。

并找出系统安全现状与等级要求的差距，形成完满正确的按需防守的安
全需求。

经过等级风险评估，能够明确各层次安全域相应等级的安全差
距，为下一步安全技术解决方案设计和安全管理建设供应依照。

5.安全保障系统方案设计：依照安全域框架，设计系统各个层次的安全保
障系统框架以及详细方案。

包括：各层次的安全保障系统框架形成系统
整体的安全保障系统框架；详细安全技术设计、安全管理设计。

6.安全建设：依照方案设计内容渐渐进行安全建设，满足方案设计做要吻
合的安全需求，满足等级保护相应等级的基本要求，实现按需防守。

7.连续安全运维：经过安全预警、安全监控、安全加固、安全审计、应急
响应等，从预先、事中、事后三个方面进行安全运转保护，保证系统的
连续安全，满足连续性按需防守的安全需求。

经过如上步骤，系统能够形成整体的等级化的安全保障系统，同时依照安全术建设和安全管理建设，保障系统整体的安全。

而应该特别注意的是：等级保护不是一个项目，它应该是一个不断循环的过程，因此经过整个安全项目、安全服务的推行，来保证用户等级保护的建设能够连续的运转，能够使整个系统随着环境的变化达到连续的安全。

4方案参照标准
GB/T 21052-2007信息安全等级保护信息系统物理安全技术要求
信息安全技术信息系统安全等级保护基本要求
信息安全技术信息系统安全保护等级定级指南( 报批中 )
信息安全技术信息安全等级保护推行指南( 报批中 )
信息安全技术信息系统安全等级保护测评指南
GB/T 20271-2006信息安全技术信息系统通用安全技术要求
GB/T 20270-2006信息安全技术网络基础安全技术要求
GB/T 20984-2007 信息安全技术信息安全风险评估规范
GB/T 20269-2006信息安全技术信息系统安全管理要求
GB/T 20281-2006信息安全技术防火墙技术要求与测试议论方法
GB/T 20275-2006 信息安全技术入侵检测系统技术要求和测试议论方法GB/T 20278-2006信息安全技术网络纤弱性扫描产品技术要求
GB/T 20277-2006信息安全技术网络纤弱性扫描产品测试议论方法
GB/T 20279-2006信息安全技术网络端设施隔断部件技术要求
GB/T 20280-2006信息安全技术网络端设施隔断部件测试议论方法等。

5安全地域框架
XX网络的安全建设中心内容是将网络进行全方向的安全防范，不是对整个系统进行同一等级的保护，而是针对系统内部的不同样业务地域进行不同样样级的保护。

因此，安全域划分是进行信息安全等级保护的首要步骤。

需要经过合理的划
分网络安全域，针对各自的特点而采用不同样的技术及管理手段。

进而成立一整套有针对性的安防系统。

而选择这些措施的主要依照是依照等级保护相关的要求。

安全域是拥有同样或相似安全要求和策略的 IT 要素的会集，是同一系统内依照信息的性质、使用主体、安全目标和策略等元素的不同样来划分的不同样逻辑子网或网络，每一个逻辑地域有同样的安全保护需求，拥有同样的安全接见控制和界线控制策略，地域间拥有相互相信关系，而且同样的网络安全域共享同样的安全策略。

经过梳理后的 XX网络信息系统安全地域划分以以下图（样图）所示：
6安全等级划分
定级流程
确定信息系统安全保护等级的一般流程以下：
确定作为定级对象的信息系统；
确定业务信息安全碰到损坏时所损害的客体；
依照不同样的受损害客体，从多个方面综合评定业务信息安全被损坏
对客体的损害程度；
依照业务信息安全等级矩阵表获取业务信息安全等级；
确定系统服务安全碰到损坏时所损害的客体；
依照不同样的受损害客体，从多个方面综合评定系统服务安全被损坏
对客体的损害程度；
依照系统服务安全等级矩阵表获取系统服务安全等级；
由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安
全保护等级。

上述步骤以以下图流程所示。

1、确定定级对象
2、确定业务信息安全碰到破5、确定系统服务安全碰到破
坏时所损害的客体坏时所损害的客体
3、综合评定对客体的损害6、综合评定对客体的损害
矩阵表矩阵表
4、业务信息安全等级7、系统服务安全等级
8、定级对象的安全保护等级
业务信息安全等级矩阵表
对相应客体的损害程度
业务信息安全被损坏时所损害的客体
一般损害严重损害特别严重损害
第一级第二级第二级公民、法人和其他组织的合法权益
第二级第三级第四级社会次序、公共利益
第三级第四级第五级
国家安全
系统服务安全等级矩阵表
对相应客体的损害程度
系统服务安全被损坏时所损害的客体
一般损害严重损害特别严重损害
第一级第二级第二级
公民、法人和其他组织的合法权益
第二级第三级第四级社会次序、公共利益
第三级第四级第五级
国家安全
定级结果
依照上述定级流程， XX用户各主要系统定级结果为：
序号部署环境系统名称保护等级定级结果组合1.XX网络XX系统3可能的组合为：
S1A3G3，S2A3G3，
S3A3G3，S3A2G3，
S3A1G3，依照本质情
况进行选择。

2.
7安全风险与需求解析
风险与需求解析部分依照物理、网络、主机、应用、数据五个层面进行，可
依照本质情况进行更正；同时依照安全域划分的结果，在解析过程中将不同样的安全域所面对的风险与需求解析予以对应说明。

7.1 安全技术需求解析
物理安全风险与需求解析
物理安全风险主若是指网络周边的环境和物理特点引起的网络设施和线路
的不履行用，进而会造成网络系统的不履行用，甚至以致整个网络的瘫痪。

它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提升整个网络的抗损坏力。

比方：
机房缺乏控制，人员随意出入带来的风险；
网络设施被盗、被损坏；
线路老化或是有意、没心的损坏线路；
设施在非展望情况下发生故障、停电等；
自然灾害如地震、水灾、火灾、雷击等；
电磁搅乱等。

因此，在通盘问虑安全风险时，应优先考虑物理安全风险。

保证网络正常运转的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出
现风险问题时的对付方案。

计算环境安全风险与需求解析
计算环境的安全主要指主机以及应用层面的安全风险与需求解析，包括：身份
鉴别、接见控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完满性与保
密性、备份与恢复、资源合理控制、节余信息保护、抗狡辩等方面。

身份鉴别
身份鉴别包括主机和应用两个方面。

主机操作系统登录、数据库登陆以及应用系统登录均必定进行身份考据。

过
于简单的表记符和口令简单被穷举攻击破解。

同时非法用户能够经过网络进行窃听，进而获取管理员权限，能够对任何资源非法接见及越权操作。

因此必定提升用户名/ 口令的复杂度，且防范被网络窃听；同时应试虑失败办理体系。

接见控制
接见控制包括主机和应用两个方面。

接见控制主要为了保证用户对主机资源和应用系统资源的合法使用。

非法用户
可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限
用户的操作，这些行为将给主机系统和应用系统带来了很大的安全风险。

用户必定拥有合法的用户表记符，在拟定好的接见控制策略下进行操作，杜绝越权非法操作。

系统审计
系统审计包括主机审计和应用审计两个方面。

关于登陆主机后的操作行为则需要进行主机审计。

关于服务器和重要主机需要
进行严格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，便于
今后的解析、检查、取证，规范主机使用行为。

而关于应用系统同样提出了应
用审计的要求，即对应用系统的使用行为进行审计。

重点审计应用层信息，和业务系统的运转流程息息相关。

能够为安全事件供应足够的信息，与身份认证与接见控制联系亲近，为相关事件供应审计记录。

入侵防范
主机操作系统面对着各种拥有针对性的入侵威胁，常有操作系统存在着各种安全漏洞，而且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统自己的安全性给整个系统带来巨大的安全风险，因此关于主机操作系统的安装，使用、保护等提出了需求，防范针对系统的入侵行为。

恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁特别严重，特别是蠕虫病毒的爆发，会立刻向其他子网迅速延长，发动网络攻击和数据窃密。

大量据有正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中止，信息损坏或泄漏。

严重影响正常业务睁开。

因此必定部署恶意代码防范软件进行防守。

同时保持恶意代码库的实时更新。

软件容错
软件容错的主要目的是供应足够的冗余信息和算法程序, 使系统在本质运转时能够实时发现程序设计错误 , 采用拯救措施 , 以提升软件可靠性 , 保证整个计算机系统的正常运转。

数据安全
主要指数据的完满性与保密性。

数据是信息财富的直接表现。

全部的措施最后无不是为了业务数据的安全。

因此数据的备份十分重要，是必定考虑的问题。

应采用措施保证数据在传输过程中的完满性以及保密性；保护鉴别信息的保密性
备份与恢复
数据是信息财富的直接表现。

全部的措施最后无不是为了业务数据的安全。

因此数据的备份十分重要，是必定考虑的问题。

关于重点数据应成立数据的备份体系，而关于网络的重点设施、线路均需进行冗余配置，备份与恢复是对付突发事件的必要措施。

资源合理控制
资源合理控制包括主机和应用两个方面。

主机系统以及应用系统的资源是有限的，不能够无量滥用。

系统资源必定能
够为正常用户供应资源保障。

否则会出现资源耗尽、服务质量下降甚至服务中止
等结果。

因此关于系统资源进行控制，拟定包括：登陆条件限制、超时锁定、用户
可用资源阈值设置等资源控制策略。

节余信息保护
关于正常使用中的主机操作系统和数据库系统等，经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长远储藏，在这些储藏资源重新分配前，若是不对其原使用者的信息进行除掉，将会引起原用户信息泄漏的安全风险，因此，需要保证系统内的用户鉴别信息文件、目录和数据库记录等资源所在的储藏
空间，被释放或重新分配给其他用户前获取完满除掉
关于动向管理和使用的客体资源，应在这些客体资源重新分配前，对其原使
用者的信息进行除掉，以保证信息不被泄漏。

抗狡辩
关于数据安全，不但面对着机密性和完满性的问题，同样还面对着抗狡辩性（不能够否认性）的问题，应采用技术手段防范用户否认其数据发送和接收行为，
为数据收发两方供应凭据。

地域界线安全风险与需求解析
地域界线的安全主要包括：界线接见控制、界线完满性检测、界线入侵防范、界线恶意代码防范以及界线安全审计等方面。

界线接见控制
XX网络可划分为以下界线：
描述界线及风险解析
关于各种界线最基本的安全需求就是接见控制，对出入安全地域界线的数据
信息进行控制，阻拦非授权及越权接见。

界线完满性检测
界线的完满性如被损坏则全部控制规则将失去效力，因此需要对内部网络中出现的内部用户未经过赞同私自联到外面网络的行为进行检查，保护界线完满性。

界线入侵防范
各种网络攻击行为既可能来自于大家公认的互联网等外面网络，在内部也同样存在。

经过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、 DoS/DDoS等，实现对网络层以及业务系统的安全防范，保护中心信息财富的免受攻击危害。

界线安全审计
在安全地域界线需要成立必要的审计体系，对出入界线的各种网络行为进行记录与审计解析，能够和主机审计、应用审计以及网络审计形成多层次的审计系统。

并可经过安全管理中心集中管理。

界线恶意代码防范
现在，病毒的发展表现出以下趋势 : 病毒与黑客程序相结合、蠕虫病毒更加泛滥，当前计算机病毒的流传路子与过去对照已经发生了很大的变化，更多的以网络（包括 Internet 、广域网、局域网）形态进行流传，因此为了安全的防范手段也需以变应变。

迫切需要网关型产品在网络层面对病毒予以查杀。

通信网络安全风险与需求解析
通信网络的安全主要包括：网络结构安全、网络安全审计、网络设施防范、
通信完满性与保密性等方面。

网络结构
网络结构可否合理直接影响着可否能够有效的承载业务需要。

因此网络结构需要具备必然的冗余性；带宽能够满足业务巅峰时期数据交换需求；并合理的划
分网段和 VLAN。

网络安全审计
由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识单薄的管理用户误操作，将给信息系统带来致命的损坏。

没有相应的审计记录将给事后追查带来困难。

有必要进行基于网络行为的审计。

进而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。

网络设施防范
由于 XX网络中将会使用大量的网络设施，如交换机、防火墙、入侵检测设
施等。

这些设施的自己安全性也会直接关系到涉密网和各种网络应用的正常运
行。

若是发生网络设施被非法分子攻击，将以致设施不能够正常运转。

更加严重情况是设施设置被篡改，非法分子轻松获取网络设施的控制权，经过网络设施作为跳板攻击服务器，将会造成无法想象的结果。

比方，交换机口令泄漏、防火墙规则被篡改、入侵检测设施失灵等都将成为威胁网络系统正常运转的风险要素。

通信完满性与保密性
由于网络协议及文件格式均拥有标准、开发、公开的特点，因此数据在网上储藏和传输过程中，不能是面对信息扔掉、信息重复或信息传达的自己错误，而且会遭到信息攻击或欺诈行为，以致最后信息收发的差别性。

因此，在信息传输和储藏过程中，必定要保证信息内容在发送、接收及保留的一致性；并在信息受到篡改攻击的情况下，应供应有效的察觉与发现体系，实现通信的完满性。

而数据在传输过程中，为能够抵挡不良企图者采用的各种攻击，防范碰到偷取，应采用加密措施保证数据的机密性。

网络可信接入
关于一个不断发展的网络而言，为方便办公，在网络设计时保留大量的接入端口，这关于随时随地迅速接入到 XX用户网络进行办公是特别便利的，但同时也
引入了安全风险，一旦外来用户不加阻截的接入到网络中来，就有可能损坏网络的安全界线，使得外来用户具备对网络进行损坏的条件，由此而引入诸如蠕虫
扩散、文件泄密等安全问题。

因此需要对非法客户端实现禁入，能监控网络，关于没有合法认证的外来机器，能够阻断其网络接见，保护好已经成立起来的安全环境。

7.2 安全管理需求解析
“三分技术、七分管理” 更加突出的是管理层面在安全系统中的重要性。

除了技术管理措施外，安全管理是保障安全技术手段发挥详细作用的最有效手段，
成立健全安全管理系统不能是国家等级保护中的要求，也是作为一个安全系统来讲，不能或缺的重要组成部分。

安全管理系统依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的系统。

主要包括：
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
依照等级保护的要求在上述方面成立一系列的管理制度与操作规范，并明确执行。