《深信服等級保護三級建設方案[共100頁]》由會員分享，可在線閱讀，更多相關《深信服等級保護三級建設方案[共100頁]（102頁珍藏版）》請在裝配圖網上搜索。

1、等級保護（三級）方案模板 深信服科技 × × 項目 等級保護（三級）建設方案 深信服科技（深圳）有限公司 201年9 12月 1 等級保護（三級）方案模板 深信服科技 目 錄 1 項目概述...........................................................................................................................................5...................................... 2 等級保護建設流....程....

2、.........................................................................................................................5...................................... 3 方案參照標..準................................................................................................................................

3、....7....................................... 4 信息系統(tǒng)定..級....................................................................................................................................8....................................... 4.1.1 定級流.程...........................................................

4、................................................................8....................................... 4.1.2 定級結.果...........................................................................................................................9....................................... 5 系統(tǒng)現狀分..析........

5、...........................................................................................................................1.1....................................... 5.1 機房及配套設備現狀..分....析............................................................................................................1.1.

6、..................................... 5.2 計算環(huán)境現狀分....析.......................................................................................................................1.1....................................... 5.3 區(qū)域邊界現狀分....析..................................................................

7、.....................................................1.1....................................... 5.4 通信網絡現狀分....析.................................................................................................錯...誤....！...未....定....義...書....簽...。.............. 5.5 安全管理中心現狀.分....析..................

8、.............................................................................................1..1...................................... 6 安全風險與差距..分...析........................................................................................................................1.1........................

9、............... 6.1 物理安全風險與差距..分....析............................................................................................................1.1...................................... 6.2 計算環(huán)境安全風險與差距....分...析.......................................................................................

10、..............1.2....................................... 6.3 區(qū)域邊界安全風險與差距....分...析.....................................................................................................1.4....................................... 6.4 通信網絡安全風險與差距....分...析.................................................

11、....................................................1.5....................................... 6.5 安全管理中心差距.分....析...............................................................................................................1..6...................................... 7 技術體系方案設....計................

12、............................................................................................................1.7...................................... 7.1 方案設計目...標.............................................................................................................................1..7.......

13、............................... 7.2 方案設計框...架.............................................................................................................................1..7...................................... 7.3 安全域的劃...分........................................................................

14、.....................................................1..8...................................... 7.3.1 安全域劃分的.. .依...據...........................................................................................................1..8...................................... 7.3.2 安全域劃分與.. .說...明..........

15、.................................................................................................1..9...................................... 2 等級保護（三級）方案模板 深信服科技 7.4 安全技術體系設....計.......................................................................................................................2

16、.0....................................... 7.4.1 機房與配套設備安..全...設....計................................................................................................2.0...................................... 7.4.2 計算環(huán)境安全.. .設...計.......................................................................

17、....................................2..1...................................... 7.4.2.1 身份鑒.別................................................................................................................................2.1.......................................... 7.4.2.2 訪問控.制...................

18、.............................................................................................................2.2.......................................... 7.4.2.3 系統(tǒng)安全審.. .計.........................................................................................................................2.2..

19、........................................ 7.4.2.4 入侵防.范................................................................................................................................2.3.......................................... 7.4.2.5 主機惡意代碼.防....范.................................................

20、.................................................................2.4.......................................... 7.4.2.6 軟件容.錯................................................................................................................................2.4..........................................

21、7.4.2.7 數據完整性與保.密....性..............................................................................................................2.4.......................................... 7.4.2.8 備份與恢..復..........................................................................................................

22、...................2.6......................................... 7.4.2.9 資源控.制................................................................................................................................2.7.......................................... 7.4.2.10 客體安全重...用.............................

23、............................................................................................2.8.......................................... 7.4.2.11 抗抵賴....................................................................................................................................2.8..............

24、............................ 7.4.2.12 不同等級業(yè)務系統(tǒng)的隔離...與....互....通............................................................................................2.8.......................................... 7.4.3 區(qū)域邊界安全.. .設...計............................................................................

25、...............................2..9...................................... 7.4.3.1 邊界訪問控制入侵防范惡意代碼防范與.應....用...層....防....攻...擊............................................................2.9.......................................... 7.4.3.2 流量控.制.......................................................

26、.........................................................................3.0.......................................... 7.4.3.3 邊界完整性檢....查......................................................................................................................3.2........................................

27、. 7.4.3.4 邊界安全審.. .計.........................................................................................................................3.3.......................................... 7.4.4 通信網絡安全.. .設...計..........................................................................................

28、.................3..4...................................... 7.4.4.1 網絡結構安.. .全.........................................................................................................................3.4.......................................... 7.4.4.2 網絡安全審.. .計...................................

29、......................................................................................3.5.......................................... 7.4.4.3 網絡設備防.. .護.........................................................................................................................3.6.........................

30、................. 7.4.4.4 通信完整性與保.密....性..............................................................................................................3.6.......................................... 7.4.4.5 網絡可信接.. .入....................................................................................

31、.....................................3.7.......................................... 7.4.5 安全管理中心.. .設...計...........................................................................................................3..8...................................... 7.4.5.1 系統(tǒng)管.理...............................

32、.................................................................................................3.8.......................................... 3 等級保護（三級）方案模板 深信服科技 7.4.5.2 審計管.理........................................................................................................................

33、........3.9.......................................... 7.4.5.3 監(jiān)控管.理................................................................................................................................4.0.......................................... 8 安全管理體系設....計...........................................

34、.................................................................................4.1...................................... 9 系統(tǒng)集成設..計...................................................................................................................................4.2................................

35、....... 9.1 軟硬件產品部署....圖.......................................................................................................................4.2....................................... 9.2 應用系統(tǒng)改...造...................................................................................................

36、..........................4..3...................................... 9.3 采購設備清...單.......................................................................................................錯....誤....！...未....定...義....書....簽...。................ 10 方案合規(guī)性分...析.............................................

37、.......................................................................................................................... 10.1 技術部分................................................................................................................................4.7....................................

38、... 10.2 管理部分................................................................................................................................5.6....................................... 11 附錄：............................................................................................................

39、................................6.6....................................... 11.1 等級劃分標...準.........................................................................................................................6.6...................................... 11.2 技術要求組合確....定.............................

40、.....................................................................................6.7....................................... 4 等級保護（三級）方案模板 深信服科技 1 項目概述 建設單位情況介紹 項目背景情況介紹 2 等級保護建設流程 整體的安全保障體系包括技術和管其理中兩技大術部部分分，《根信據息系統(tǒng)安全等級保護基分本為要物求理》安全、 網絡安全、主機安全、應用安全、數據安全五個方面進行建設；而管理部分根據《信息系統(tǒng)安全等級保護 為安全管理制

41、度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面。 整個安全保障體系各部分既有機結合，又相互支撐。之間的關系可以理解為“構建安全管理機構，制 理制度及安全策略，由相關人員，利用技術工手段及相關工具，”進行系統(tǒng)建設和運行維護。 根據等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行： 1. 系統(tǒng)識別與定級：確定保護對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務范圍以及業(yè)務對 度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務流程和功能模塊，以及確定系 下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。 2. 安全

42、域設計：根據第一步的結果，通過分析系統(tǒng)業(yè)務流程、功能模塊，根據安全域劃分原則設計 構。通過安全域設計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。 3. 確定安全域安全要求：參照國家相關等級保護安全要求，設計不同安全域的安全要求。通過安全 級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。 4. 評估現狀：根據各等級的安全要求確定各等級的評估內容，根據國家相關風險評估方法，對系統(tǒng) 進行有針對性的等級風并險找評出估系。統(tǒng)安全現狀與等級要形求成的完差整距準，確的按需防御的安全需求。 通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術

43、解決方案設 建設提供依據。 5. 安全保障體系方案設計：根據安全域框架，設計系統(tǒng)各個層次的安全保障體系框架以及具體方案 5 等級保護（三級）方案模板 深信服科技 次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細安全技術設計、安全管理設計。 6. 安全建設：根據方案設計內容逐步進行安全建設，滿足方案設計做要符合的安全需求，滿足等級 的基本要求，實現按需防御。 7. 持續(xù)安全運維：通過安全預警、安全監(jiān)控、安全加固、安全審計、應急響應等，從事前、事中、 進行安全運行維護，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。 通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體

44、系，同時根據安全術建設和安全管理建設， 安全。而應該特別注意的是：等級保護不是一個項目，它應該是一個不斷循環(huán)的過程，所以通過整個安全 的實施，來保證用戶等級保護的建設能夠持續(xù)的運行，能夠使整個系統(tǒng)隨著環(huán)境的變化達到持續(xù)的安全。 6 等級保護（三級）方案模板 深信服科技 3 方案參照標準 GB/T 21052-2信0息07安全等級信保息護系統(tǒng)物理安全技術要求 信息安全技信術息系統(tǒng)安全等級保護基本要求 信息安全技信術息系統(tǒng)安全保護等級(定報 級批 指中) 南 信息安全技術信息安全等級保(報護 批實 中)施指南 信息安全技信術息系統(tǒng)安全等級保護測評指南 GB/T 20271-2

45、信0息06安全技信術息系統(tǒng)通用安全技術要求 GB/T 20270-2信0息06安全技網術絡基礎安全技術要求 GB/T 20984信-2息00安7 全技信術息安全風險評估規(guī)范 GB/T 20269-2信0息06安全技信術息系統(tǒng)安全管理要求 GB/T 20281-2信0息06安全技防術火墻技術要求與測試評價方法 GB/T 20275-信20息06安全技入術侵檢測系統(tǒng)技術要求和測試評價方法 GB/T 20278-2信0息06安全技網術絡脆弱性掃描產品技術要求 GB/T 20277-2信0息06安全技網術絡脆弱性掃描產品測試評價方法 GB/T 20279-2信0息06安全技網術絡端設備

46、隔離部件技術要求 GB/T 20280-2信0息06安全技網術絡端設備隔離部件測試評價方法 等。 7 等級保護（三級）方案模板 深信服科技 4 信息系統(tǒng)定級 4.1.1定級流程 確定信息系統(tǒng)安全保護等級的一般流程如下： 識別單位基本信息 了解單位基本信息有助于判斷單位的職能特點，單位所在行業(yè)及單位在行業(yè)所處的地位和所用， 位主要信息系統(tǒng)的宏觀定位。 識別業(yè)務種類、流程和服務 應重點了解定級對象信息系統(tǒng)中不同業(yè)務系統(tǒng)提供的服務在影響履行單位職能方面具體方式和程 區(qū)域范圍、用戶人數、業(yè)務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體 為主管部門制定定級指導

47、意見提供參照，也可以作為主管部門審批定級結果的重要依據。 識別信息 調查了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業(yè) 保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國 本單位造成的影響，對影響程度的描述應盡可能量化。 識別網絡結構和邊界 調查了解定級對象信息系統(tǒng)所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信 的單位內部網絡環(huán)境和外部環(huán)境特點，以及該信息系統(tǒng)的網絡安全保護與單位內部網絡環(huán)境的安 系。識別主要的軟硬件設備 調查了解與定級對象信息系統(tǒng)相關的服務器、網絡、終端、存儲設備以及安全設備等

48、，設備所在 統(tǒng)中的功能和作用。調查設備的位置和作用主要就是發(fā)現不同信息系統(tǒng)在設備使用方面的共用程 識別用戶類型和分布 調查了解各系統(tǒng)的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了 戶群的數量分布，判斷系統(tǒng)服務中斷或系統(tǒng)信息被破壞可能影響的范圍和程度。 根據信息安全等級矩陣表，形成定級結果 8 等級保護（三級）方案模板 深信服科技 業(yè)務信息安全等級矩陣表 對相應客體的侵害程度 業(yè)務信息安全被破壞時所侵害的客體 一般損害 嚴重損害 特別嚴重損害 第一級 第二級 第二級 公民、法人和其他組織的合法權益 第二級 第三級 第四級 社會秩序、公共利益

49、 第三級 第四級 第五級 國家安全 系統(tǒng)服務安全等級矩陣表 對相應客體的侵害程度 系統(tǒng)服務安全被破壞時所侵害的客體 一般損害 嚴重損害 特別嚴重損害 第一級 第二級 第二級 公民、法人和其他組織的合法權益 第二級 第三級 第四級 社會秩序、公共利益 第三級 第四級 第五級 國家安全 4.1.2定級結果 根據上述定級流X程X用，戶各主要系統(tǒng)定級結果為： 序號 部署環(huán)境 系統(tǒng)名稱 保護等級 定級結果組合 1. XX網絡 X X系統(tǒng) 3 可能的組合S為1：A3，G3 S2A3，GS33A3G，S33A2，G3 S3A1，G 3根據實際情況進行選 擇。 9 等級

50、保護（三級）方案模板 深信服科技 2. 10 等級保護（三級）方案模板 深信服科技 5 系統(tǒng)現狀分析 系統(tǒng)現狀分析按照物理、網絡、主機、應用、數據五個層面進行，系統(tǒng)的展現客戶信息系統(tǒng)的現狀。 5.1 機房及配套設備現狀分析 包括現在的機房建設情況，以及機房內的配套設備部署情況。 5.2 網絡現狀分析 該單位目前的網絡拓撲圖，以及部署了哪些安全軟件，終端部署情況等。 5.3 業(yè)務系統(tǒng)現狀分析 現有業(yè)務系統(tǒng)的現狀。 5.4 安全管理中心現狀分析 是否已有安全管理中心，以及現在建設的現狀。 6 安全風險與差距分析 風險與需求分析部分按照物理、網絡、主機、應用、數據五個層

51、面進行，可根據實際情況進行修改； 劃分的結果，在分析過程中將不同的安全域所面臨的風險與需求分析予以對應說明。 6.1 物理安全風險與差距分析 物理安全風險主要是指網絡周邊的環(huán)境和物理特性引起的網絡從設而備會和造線成路網的絡不系可統(tǒng)使的用不，可使 用，甚至導致整個網絡的癱瘓。它是整個網絡系統(tǒng)安全的前提和基礎，只有保證了物理層的可用性，才能 可用性，進而提高整個網絡的抗破壞力。例如： 機房缺乏控制，人員隨意出入帶來的風險； 網絡設備被盜、被毀壞； 11 等級保護（三級）方案模板 深信服科技 線路老化或是有意、無意的破壞線路； 設備在非預測情況下發(fā)生故障、停電等； 自然災害如

52、地震、水災、火災、雷擊等； 電磁干擾等。 因此，在通盤考慮安全風險時，應優(yōu)先考慮物理安全風險。保證網絡正常運行的前提是將物理層安全 是盡量考慮在非正常情況下物理層出現風險問題時的應對方案。 6.2 計算環(huán)境安全風險與差距分析 計算環(huán)境的安全主要指主機以及應用層面的安全風險與需求分析，包括：身份鑒別、訪問控制、系統(tǒng) 惡意代碼防范、軟件容錯、數據完整性與保密性、備份與恢復、資源合理控制、剩余信息保護、抗抵賴等 身份鑒別 身份鑒別包括主機和應用兩個方面。 主機操作系統(tǒng)登錄、數據庫登陸以及應用系統(tǒng)登錄均必須進行身份驗證。過于簡單的標識符和口令容 解。同時非法用戶可以通過網絡進行竊聽

53、，從而獲得管理員權限，可以對任何資源非法訪問及越權操作。 戶名/口令的復雜度，且防止被網絡竊聽；同時應考慮失敗處理機制。 訪問控制 訪問控制包括主機和應用兩個方面。 訪問控制主要為了保證用戶對主機資源和應用系統(tǒng)資源的合法使用。非法用戶可能企圖假冒合法用戶 統(tǒng)，低權限的合法用戶也可能企圖執(zhí)行高權限用戶的操作，這些行為將給主機系統(tǒng)和應用系統(tǒng)帶來了很大 戶必須擁有合法的用戶標識符，在制定好的訪問控制策略下進行操作，杜絕越權非法操作。 系統(tǒng)審計 系統(tǒng)審計包括主機審計和應用審計兩個方面。 對于登陸主機后的操作行為則需要進行主機審計。對于服務器和重要主機需要進行嚴格的行為控制， 使用的

54、命令等進行必要的記錄審計，便于日后的分析、調查、取證，規(guī)范主機使用行為。而對于應用系統(tǒng) 12 等級保護（三級）方案模板 深信服科技 審計的要求，即對應用系統(tǒng)的使用行為進行審計。重點審計應用層信息，和業(yè)務系統(tǒng)的運轉流程息息相關 件提供足夠的信息，與身份認證與訪問控制聯(lián)系緊密，為相關事件提供審計記錄。 入侵防范 主機操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現在漏洞 利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險，因此 統(tǒng)的安裝，使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。 惡意代碼防范 病毒、蠕蟲等

55、惡意代碼是對計算環(huán)境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒 向其他子網迅速蔓延，發(fā)動網絡攻擊和數據竊密。大量占據正常業(yè)務十分有限的帶寬，造成網絡性能嚴重 潰甚至網絡通信中斷，信息損壞或泄漏。嚴重影響正常業(yè)務開展。因此必須部署惡意代碼防范軟件進行防 意代碼庫的及時更新。 軟件容錯 軟件容錯的主要目的是提供足夠的冗余,信使息系和統(tǒng)算在法實程際序運行時能夠及時發(fā)現,程采序取設補計救錯措誤 施,以提高軟件可,保靠證性整個計算機系統(tǒng)的正常運行。 數據安全 主要指數據的完整性與保密性。數據是信息資產的直接體現。所有的措施最終無不是為了業(yè)務數據的 的備份十分重要，是必須考

56、慮的問題。應采取措施保證數據在傳輸過程中的完整性以及保密性；保護鑒別 備份與恢復 數據是信息資產的直接體現。所有的措施最終無不是為了業(yè)務數據的安全。因此數據的備份十分重要 問題。對于關鍵數據應建立數據的備份機制，而對于網絡的關鍵設備、線路均需進行冗余配置，備份與恢 件的必要措施。 資源合理控制 資源合理控制包括主機和應用兩個方面。 主機系統(tǒng)以及應用系統(tǒng)的資源是有限的，不能無限濫用。系統(tǒng)資源必須能夠為正常用戶提供資源保障 源耗盡、服務質量下降甚至服務中斷等后果。因此對于系統(tǒng)資源進行控制，制定包括：登陸條件限制、超 13 等級保護（三級）方案模板 深信服科技 用資源閾值設置等

57、資源控制策略。 剩余信息保護 對于正常使用中的主機操作系統(tǒng)和數據庫系統(tǒng)等，經常需要對用戶的鑒別信息、文件、目錄、數據庫 或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進行清除，將會引起元用戶信息泄 因此，需要確保系統(tǒng)內的用戶鑒別信息文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分 得到完全清除 對于動態(tài)管理和使用的客體資源，應在這些客體資源重新分配前，對其原使用者的信息進行清除，以 漏。 抗抵賴 對于數據安全，不僅面臨著機密性和完整性的問題，同樣還面臨著抗抵賴性（不可否認性）的問題， 防止用戶否認其數據發(fā)送和接收行為，為數據收發(fā)雙方提供證據。 不

58、同等級的業(yè)務系統(tǒng)的互聯(lián) 使用同一終端訪問不同等級的業(yè)務系統(tǒng)時，如何在用戶終端實現不同等級業(yè)務系統(tǒng)的隔離。 6.3 區(qū)域邊界安全風險與差距分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面 邊界訪問控制 XX網絡可劃分為如下邊界： 描述邊界及風險分析 對于各類邊界最基本的安全需求就是訪問控制，對進出安全區(qū)域邊界的數據信息進行控制，阻止非授 邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則因將此失需去要效對力內，部網絡中出現的內部用戶未通過準許私自聯(lián)到外部 網絡的行為進行檢查，維護邊界完整性。 14 等級保護（三級）方案模板 深

59、信服科技 邊界入侵防范 各類網絡攻擊行為既可能來自于大家公認的互聯(lián)網等外部網絡，在內部也同樣存在。通過安全措施， 針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可D o疑S代/D碼D等o、 ，S端實口現掃對描網、絡層以及業(yè)務系統(tǒng) 的安全防護，保護核心信息資產的免受攻擊危害。 邊界安全審計 在安全區(qū)域邊界需要建立必要的審計機制，對進出邊界的各類網絡行為進行記錄與審計分析，可以和 審計以及網絡審計形成多層次的審計系統(tǒng)。并可通過安全管理中心集中管理。 邊界惡意代碼防范 現今，病毒的發(fā)展呈現出:病以毒下與趨黑勢客程序相結合、蠕蟲病毒更加泛濫，目前計算機病毒的傳播途徑與 相比已經發(fā)

60、生了很大的變化，更多的I以nt網ern絡、e（t廣包域括網、局域網）形態(tài)進行傳播，因此為了安全的防護手段 也需以變應變。迫切需要網關型產品在網絡層面對病毒予以查殺。 6.4 通信網絡安全風險與差距分析 通信網絡的安全主要包括：網絡結構安全、網絡安全審計、網絡設備防護、通信完整性與保密性等方 網絡結構 網絡結構是否合理直接影響著是否能夠有效的承載業(yè)務需要。因此網絡結構需要具備一定的冗余性； 務高峰時期數據交換需求；并合理V的L劃AN。分網段和 網絡安全審計 由于用戶的計算機相關的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系 壞。沒有相應的審計記錄將給事后追

61、查帶來困難。有必要進行基于網絡行為的審計。從而威懾那些心存僥 的少部分用戶，以利于規(guī)范正常的網絡應用行為。 網絡設備防護 由于XX網絡中將會使用大量的網絡設備，如交換機、防火墻、入侵檢測設備等。這些設備的自身安全性 系到涉密網和各種網絡應用的正常運行。如果發(fā)生網絡設備被不法分子攻擊，將導致設備不能正常運行。 15 等級保護（三級）方案模板 深信服科技 設備設置被篡改，不法分子輕松獲得網絡設備的控制權，通過網絡設備作為跳板攻擊服務器，將會造成無 例如，交換機口令泄漏、防火墻規(guī)則被篡改、入侵檢測設備失靈等都將成為威脅網絡系統(tǒng)正常運行的風險 通信完整性與保密性 由于網絡協(xié)議及文件

62、格式均開具發(fā)有公、標開準的、特征因，此數據在網上存儲和傳輸不過僅程僅中面，臨信息丟失、 信息重復或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導致最終信息收發(fā)的差異性。因此， 儲過程中，必須要確保信息內容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應提供 現機制，實現通信的完整性。 而數據在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證 網絡可信接入 對于一個不斷發(fā)展的網絡而言，為方便辦公，在網絡設計時保留大量的接入端口XX，用這對于隨時隨地快 戶網絡進行辦公是非常便捷的，但同時也引入了安全風險，一旦外來用戶不加阻攔的接入到網

63、絡中來，就 的安全邊界，使得外來用戶具備對網絡進行破壞的條件，由此而引入諸如蠕蟲擴散、文件泄密等安全問題 法客戶端實現禁能入監(jiān)，控網絡對，于沒有合法認證的外能來夠機阻器斷，其網絡保訪護問好，已經建立起來的安全環(huán)境。 6.5 安全管理中心差距分析 安全管理中心需求包括統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計三個方面的需求分析。兩個方面，技術方面和 16 等級保護（三級）方案模板 深信服科技 7 技術體系方案設計 7.1 方案設計目標 三級系統(tǒng)安全保護環(huán)境的設計目G標B是17：85落9-實對1 9三99級系統(tǒng)的安全保護要求，在二級安全保護環(huán)境的基礎 上，通過實現基于安全策略模型和標記的強制

64、訪問控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安 保護敏感資源的能力。 通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面基本技術要求進行技術體 安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面基本管理要求進行 使得XX系統(tǒng)的等級保護建設方案最終既可以滿足等級保護的相關要X求X系，統(tǒng)又提能供夠立全體方、面縱為深 的 安 全 保障防御體系，保證信息系統(tǒng)整體的安全保護能力。 7.2 方案設計框架 根據《信息系統(tǒng)安全等級保護，基分本為要技求術》和管理兩大類要求，具體如下圖所示： 17 等級保護（三級）方案模板 深信服科技 本方案將嚴

65、格根據技術與管理要首求先進應行根設據計本。級具體的基本要求設計本級系統(tǒng)根的據《保信護環(huán)境模型， 息系統(tǒng)等級保護安全設計技（術注要：求尚》未正式，發(fā)保布護）環(huán)境按照安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡 和安全管理中心進行設計，內容涵5蓋個基方本面要。求同的時結合管理要求，形成如下圖所示的保護環(huán)境模型： 信息系統(tǒng)的安全保護等級由業(yè)務信息安全性等級和系統(tǒng)服務保證性等級較高者決定，因此，對某一個 統(tǒng)的安全保護的側重點可以有對多于3種級組保合護。系 其統(tǒng) 組， 合 （為在：S1A3G，S32A3G，S33A3，GS33A2，GS33A1G3 選擇。）以下詳細方案設S計3時A3以G為3例，其

66、他組合根據實際情況酌情修改。 7.3 安全域的劃分 7.3.1安全域劃分的依據 對大型信息系統(tǒng)進行等級保護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內部的不同業(yè)務 級的保護。因此，安全域劃分是進行信息安全等級保護的首要步驟。 安全域是具有相同或相似安全要I T求要和素策的略集的，合是同一系統(tǒng)內根據信息的性質、使用主體、安全目標和 18 等級保護（三級）方案模板 深信服科技 策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安 界控制策略，區(qū)域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略。當然，安全域的劃 全角度考慮，而是應該以業(yè)務角度為主，輔以安全角度，并充分參照現有網絡結構和管理現狀，才能以較 全域劃分和網絡梳理，而又能保障其安全性。對信息系統(tǒng)安全域（保護對象）的劃分應主要考慮如下方面 1. 業(yè)務和功能特性 業(yè)務系統(tǒng)邏輯和應用關聯(lián)性 業(yè)務系統(tǒng)對外連接：對外業(yè)務，支撐，內部管理 2. 安全特性的要求 安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的資產單獨劃區(qū)域。 威脅相似性：威