网络安全建设报告

信息安全防护建设报告

目录

一项目背景 (2)

1.1 概述 (2)

1.2 参考标准和规范 (2)

1.2.1 国家标准 (2)

1.2.2 行业及其他相关规范 (2)

二信息安全建设的目的与意义 (2)

2.1 信息安全风险分析 (2)

2.2 安全建设目的 (3)

2.3 安全建设的收益 (4)

三安全防护方案 (5)

3.1 总体架构 (5)

3.2 网络拓扑 (6)

3.3 安全防护架构 (7)

3.4 安全域划分与防护 (8)

3.4.1 总体方案 (8)

3.4.2 核心服务域 (8)

3.4.3 重要服务域 (9)

3.4.4 前置业务域 (9)

3.4.5 管理支撑域 (10)

3.4.6 内联接入域 (10)

3.4.7 外联接入域 (10)

3.4.8 网络基础设施域 (11)

四建设内容清单................................. 错误!未定义书签。

4.1 一期清单............................................. 错误!未定义书签。

4.2 二期清单............................................. 错误!未定义书签。

一项目背景

1.1 概述

为了有效防范和化解风险，保证省公司IT支撑系统平稳运行和业务持续开展，根据总体规划需要逐步建立信息安全保障体系，以增强省公司的信息安全风险防范能力。

1.2 参考标准和规范

1.2.1 国家标准

GB17859-1999《计算机信息系统安全保护等级划分准则》

GBT 22240-2008 《信息安全技术信息系统安全等级保护定级指南》

GBT 22239-2008 《信息安全技术信息系统安全等级保护基本要求》

GBT 25058-2010 《信息安全技术信息系统安全等级保护实施指南》

GBT 25070-2010 《信息安全等级保护设计要求》

1.2.2 行业及其他相关规范

GD/J 038—2011《广播相关信息系统安全等级保护基本要求》

《信息系统安全保障理论模型和技术框架IATF理论模型及方法论》

二信息安全建设的目的与意义

2.1 信息安全风险分析

网络从它诞生之日起就面临着各种各样的安全问题，从最初物理层设备的各种故障引起的网络中断，发展到目前双向式综合数据承载网络的各种攻击，直接

威胁到网络业务管理、运营支撑系统等核心业务的安全。

目前省公司所面临的安全风险主要有以下几个方面：

⏹网络的广播式网络特点对外来的网络攻击和恶意代码的抵抗能力脆弱。

⏹各业务系统越来越依赖于BOSS系统，而随着业务的发展， BOSS系统必

须与外部网络连接，一旦BOSS系统遭到外部入侵或内部的恶意破坏，攻

击者将能绕过复杂的CA系统直接篡改用户数据或对未授权用户给予授

权。

⏹银行、商务的发展导致在有线网络上产生越来越多的网上交易和网上支

付行为，对网上交易和支付的安全保障迫在眉睫。

⏹后台业务系统越来越电子化、自动化，需要对业务系统的各种网络安全

隐患事前预防，并能在发生安全问题后有据可查，内网的安全审计重要

性正日益突出。

⏹近些年网络黑客对web服务器、邮件服务器、EPG服务器、流媒体服务

器的安全攻击事件层出不穷，面向公众服务的安全需求不断增加。

⏹网络维护人员没有一套很好的手段去了解和把握整个网络的运行状况。

因此对异常事件的反应时间太长，缺乏网络安全的预警和响应能力。

⏹省公司目前没有明确划分出网络安全区域，边界防护措施无法落实，除

了BOSS系统有简单的防火墙保护，其他业务系统基本处于裸奔状态，对

于恶意攻击和病毒蠕虫等事件毫无防护措施，十分危险。

2.2 安全建设目的

1、理顺系统架构

进行安全域划分可以帮助理顺网络和应用系统的架构，使得信息系统的逻辑结构更加清晰，从而更便于进行运行维护和各类安全防护的设计。

2、简化复杂度

基于安全域的保护实际上是一种工程方法，它极大的简化了系统的防护复杂度：由于属于同一安全域的信息资产具备相同的IT要素，因此可以针对安全域而不是信息资产来进行防护，这样会比基于资产的等级保护更易实施。

3、降低投资

由于安全域将具备同样IT特征的信息资产集合在一起，因此在防护时可以采用公共的防护措施而不需要针对每个资产进行各自的防护，这样可以有效减少重复投资；同时在进行安全域划分后，信息系统和信息资产将分出不同的防护等级，根据等级进行安全防护能够提高组织在安全投资上的ROI（投资回报率）。

4、提供依据

组织内进行了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不足，并为今后进行系统改造和新系统的设计提供相关依据，也简化了新系统上线安全防护的设计过程。特别是针对组织的分支机构，安全域划分的方案也有利于协助他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工作。

2.3 安全建设的收益

a) 构建纵深的防御体系

方案从技术、物理和管理三个方面提出基本安全要求，在采取由点到面的各种安全措施时，系统整体上还保证了各种安全措施的组合，从以下两个方面构建安全纵深防御体系，保证信息系统整体的安全保护能力：根据各信息系统与播出业务的相关程度，从BOSS系统、播出系统、OA办公系统、华数平台及OTT等信息系统安全层面，构建了从外到内的业务安全纵深；同时还从基础网络安全、边界安全、计算环境（主机、应用）安全等多个层次落实各种安全措施，形成纵深防御体系。

b) 采取互补的安全措施

方案以安全控制组件的形式提出基本安全防护要求，在将各种安全控制组件集成到特定信息系统中时，考虑了各个安全控制组件功能的整体性和互补性，关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、