博物馆信息安全设计方案培训资料(doc 40页)

博物馆信息安全设计方案培训资料(doc 40页)

博物馆信息安全设计方案

北京易凯信息技术有限公司

2015年5月19日

目录

第1章

第2章概述

2.1 项目背景

2.2 项目目标

2.3 建设的必要性和可行性

3.1 办公内网网络现状3.2 互联外网网络现状

第5章信息安全总体方案设计

5.1 设计原则

本方案设计遵循以下设计原则：

◆体系化的设计原则

系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

◆产品的先进性原则

信息系统的安全保障体系建设意义深远，对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。

◆总体规划、分步建设原则

信息系统安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。

◆标准化和规范化

严格遵循国家有关等级保护的安全法律法规和技术规范要求，对项目的整体建设和实施进行体系化设计，充分体现标准化和规范化。

◆技术的先进性和成熟性

在设计理念、技术体系、产品选型等方面实现安全体系先进性和成熟性的统一。采用国内先进实用的安全技术和安全产品，选择目前和未来一定时期内有代表性和先进性的成熟安全技术，既保证当前系统的高安全可靠，又满足系统在生命周期内有持续的可维护和可扩展性。

◆安全性原则

安全管理体系建设是信息安全建设中重点建设内容之一，严格遵循国家有关信息系统安全保密政策、标准和规范，使信息系统在网络、应用、数据等多层面实现有力的安全保障。

◆一致性原则

在信息系统现状的基础上，通过体系化设计满足项目建设的功能和性能、安全可靠性、灵活性、开放性等系统建设目标，保证系统从需求到设计，设计到建设实施，建设实施到运行管理的可追溯性、可验证性。

◆经济性原则

在本项目方案设计过程中，充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。

5.2 设计依据

本次建设中，各项工作及产出指标以下列政策文件和规范为准。

5.2.1 政策文件

⏹《信息系统等级保护安全设计技术要求》（GB/T2010-25070）

⏹《信息安全等级保护管理办法》公通字[2007]43号

⏹《国家电子政务工程建设项目管理暂行办法》发展改革委令

[2007]55号

⏹《国家信息化领导小组关于加强信息安全保障工作的意见》（中

办发[2003]27号）

⏹《信息安全等级保护工作的实施意见》公通字[2004]66号

⏹《关于推动信息安全等级保护测评体系建设和开展等级测评工

作的通知》公信安[2010]303号

⏹《关于开展信息安全等级保护安全建设整改工作的指导意见》公

信安[2009]1429号

5.2.2 基础类标准

⏹《计算机信息系统安全保护等级划分准则》（GB17859-1999）

⏹《信息系统安全等级保护基本要求》（GB/T22239-2008）

5.3 总体系统结构设计

信息系统总体网络结构设计图如下：

图错误!文档中没有指定样式的文字。-1总体系统架构设计图

-7-

第6章信息安全详细建设方案

安全技术体系设计的主要目的是以等级保护的防护要求为依据，在充分利用现有网络和安全设备的基础上，采购必要的安全产品，实现业务分域保护、优化网络结构和建立健全安全防御机制。

6.1 办公内网信息安全保护设计

6.1.1 安全区域划分与结构优化

不同业务系统之间缺少明确的边界，不利于根据业务重要性采取不同等级的安全防护措施。通过进行安全域划分，实现有效的访问控制机制，对于来自不同“业务区”的安全威胁进行安全隔离。

6.1.1.1.1安全区域划分与结构优化设计

结合系统面临的风险、保护等级并综合业务访问数据流向，将办公内网划分为安全接入区、核心区、数据区、对外服务器区、对内服务器区、藏品区、办公区、无线区、票务区、触摸屏区、触摸屏展示区、微信展示区、北京音乐区和展陈区和安全管理区安全域。各安全域的描述如下：

⏹安全接入区：提供办公内网到互联外网的安全接入。

⏹对内服务器区：承载办公内网各大重要业务系统。

⏹对外服务器区：对外提供数字图书馆、票务、微信等服务。

⏹数据域：承载各大重要业务系统的数据库服务器。

⏹安全管理域：主要承载的是安全管理相关的系统或设备，包括

漏洞扫描、堡垒主机、防病毒和安全运营管理平台服务器等。

⏹核心域：承载核心交换机，实现各区域间的数据快速交换功

能。

⏹品藏区：各种重要品藏服务器及终端。

⏹办公区：内部办公终端及服务器。

⏹无线区：用户无线上网接入。

⏹票务区、触摸屏区、触摸屏展示区、微信展示区、北京音乐区和

展陈区：对外操作终端。

6.1.1.1.2安全区域划分结构图

办公内网系统整体网络结构调整后如下图所示

图错误!文档中没有指定样式的文字。-2整体网络系统结构图

-11-

6.1.2 网络边界防护及访问控制

按照分域分级保护思路，根据信息系统等级保护级别，结合各防护对象的不同安全防护需求划分安全域，各安全域之间通过部署防火墙和网络设备的访问控制列表，实现安全域之间的安全隔离和访问控制。各安全域的访问控制策略，通过在各区域的边界防火墙和交换机上设置访问控制策略，只允许特定授权的终端用户访问该安全域；通过在数据交换系统（网闸）上进行策略设置，控制办公内网和互联外网间的数据单向传输。

6.1.2.1.1办公内网边界防护及访问控制设计

办公内网边界防护如下：

1.在办公内网和互联外网间安全接入区部署2台单向网闸，只允许

数据从特定服务器单向向外联单位访问服务器推送数据，反之则拒绝，

部署2台防病毒网关实现对两网间的病毒防护；2台网闸采用双机热备

的方式部署，提高核心链路的可靠性；

2.在藏品区边界部署2台防火墙，启用单向访问控制策略， 2台防

火墙采用双机热备的方式部署，提高核心链路的可靠性；

3.在数据域边界部署2台防火墙，2台防火墙采用双机热备的方式

部署，提高核心链路的可靠性；

4.在对内和对外服务器区边界各部署2台防火墙， 2台防火墙采用

双机热备的方式部署，提高核心链路的可靠性；

5.在无线区、办公区、票务区、触摸屏区、触摸屏展示区与核心区

间部署2台防火墙，实现对各区域的边界划分与防护；

6.在微信展示区、北京音乐区和展陈区与核心区间部署2台防火墙，

实现对各区域的边界划分与防护。