【正文】 信息安全等級保護解決方案設(shè)計目 錄1 前言 6 設(shè)計目的 6 設(shè)計原則 7 參考標準 9 信息系統(tǒng)安全等級保護標準和規(guī)范 9 其他信息安全標準和規(guī)范 10 參考資料 11 其他說明 112 系統(tǒng)現(xiàn)狀描述 13 網(wǎng)絡(luò)架構(gòu)描述 13 信息資產(chǎn)描述 17 網(wǎng)絡(luò)設(shè)備情況 17 VLAN 劃分 17 服務(wù)器設(shè)備情況 19 安全設(shè)備情況 25 應(yīng)用系統(tǒng)描述 333 安全需求分析 46 系統(tǒng)定級建議 46 確定定級對象 46 確定系統(tǒng)定級 47 系統(tǒng)定級匯總 52 安全風險分析 52 根據(jù)風險掃描和調(diào)查問卷的結(jié)果進行分析 52 根據(jù)安全管理調(diào)查問卷的反饋進行分析 57 安全需求分析 68 符合等級保護技術(shù)要求的需求 68 符合等級保護管理要求的需求 80 符合自身安全防護的需求 914 安全解決方案 96 安全方案設(shè)計概述 96 構(gòu)建分域的控制體系 96 構(gòu)建縱深的防御體系 96 保證一致的安全強度 97 實現(xiàn)集中的安全管理 97 安全技術(shù)方案詳細設(shè)計 97 確定保護對象 98 保護計算環(huán)境 105 保護區(qū)域邊界 140 保護通信網(wǎng)絡(luò) 156 安全管理平臺 165 安全管理方案詳細設(shè)計 171 安全管理機構(gòu)規(guī)劃 171 安全管理制度規(guī)劃 180 人員安全規(guī)劃 185 系統(tǒng)建設(shè)規(guī)劃 188 系統(tǒng)運維規(guī)劃 193 安全解決方案總結(jié) 200 安全技術(shù)建設(shè)效果 200 安全管理建設(shè)效果 2205 安全建設(shè)方案 224 等級保護總體建設(shè)過程 224 等級保護建設(shè)過程規(guī)劃 225 安全等級評估 225 安全體系設(shè)計 226 安全體系建設(shè) 227 安全運維建設(shè) 228 等級保護建設(shè)內(nèi)容規(guī)劃 228 階段一：實現(xiàn)基本的加固與配置 228 階段二：實現(xiàn)全面的安全配置 230 階段三：系統(tǒng)優(yōu)化配置 2336 安全建設(shè)總結(jié) 2367 附錄一 XXX安全建設(shè)投入概算 2428 附錄二 等級保護基本要求 248 等級保護技術(shù)要求 248 第3級信息系統(tǒng)的技術(shù)要求（JS_REQ_3） 248 第2級信息系統(tǒng)的技術(shù)要求（JS_REQ_2） 261 第1級信息系統(tǒng)的技術(shù)要求（JS_REQ_1） 271 等級保護管理要求 275 第3級信息系統(tǒng)的管理要求（GL_REQ_3） 275 第2級信息系統(tǒng)的管理要求（GL_REQ_2） 289 第1級信息系統(tǒng)的管理要求（GL_REQ_1） 2991 前言 設(shè)計目的XXX是一家在國內(nèi)從事信息安全業(yè)務(wù)的著名廠商，從1995年成立起，XXX以防火墻為基礎(chǔ)，陸續(xù)推出各類安全解決方案及產(chǎn)品，形成了安全產(chǎn)品、安全集成和安全服務(wù)三大業(yè)務(wù)體系，為政府、軍隊、金融、能源、電信、教育等眾多行業(yè)用戶提供安全技術(shù)及產(chǎn)品，協(xié)助用戶搭建起安全保護平臺，使其信息系統(tǒng)更好的服務(wù)于業(yè)務(wù)的應(yīng)用。在對外開展業(yè)務(wù)的同時，XXX公司自身也非常重視信息化建設(shè)，逐步建成了覆蓋全國35個分支機構(gòu)，覆蓋公司研發(fā)、銷售、商務(wù)、財務(wù)、生產(chǎn)等各個業(yè)務(wù)環(huán)節(jié)的信息處理平臺，信息化的建設(shè)為企業(yè)的發(fā)展，提升企業(yè)業(yè)務(wù)處理效率，降低企業(yè)管理成本起到了關(guān)鍵的作用。伴隨著信息系統(tǒng)的快速發(fā)展，信息系統(tǒng)所面臨的安全威脅日益復雜，對信息安全系統(tǒng)的需求與日俱增。XXX公司各層領(lǐng)導對安全工作非常重視，從96年起逐年加大在安全建設(shè)方面的投資，進行了一系列的安全組織、制度、管理和技術(shù)方面的安全建設(shè)工作，在近期要求的安全工作包括加強基礎(chǔ)安全管理，包括落實組織保障和安全責任；加強日常安全生產(chǎn)工作；逐步開展安全建設(shè)。要從網(wǎng)絡(luò)、主機、應(yīng)用系統(tǒng)不同層面建設(shè)多層次、立體化安全防護體系；要集中統(tǒng)一建設(shè)必備的網(wǎng)絡(luò)安全防護手段；在劃分安全區(qū)域，統(tǒng)一邊界的基礎(chǔ)上，實現(xiàn)重點防護和隔離。目前公司利用防火墻、VPN、防病毒、終端安全管理、安全信息管理等技術(shù)，為公司信息網(wǎng)絡(luò)的安全防護起到了一定的效果。從外部環(huán)境來看，信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關(guān)注的焦點，從27號文件開始，國家陸續(xù)出臺了一系列的安全政策和標準，提出了以“適度安全、分級保護”為核心的等級保護建設(shè)思路，公安部、保密局、國密辦以及國信辦陸續(xù)出臺政策，要求國內(nèi)重要的信息系統(tǒng)應(yīng)按照等級保護的辦法和要求，進行相關(guān)安全防護系統(tǒng)的建設(shè)，并于2007年啟動了等級保護的定級備案工作。等級保護針對信息安全系統(tǒng)建設(shè)的過程，提出了具體的管理辦法和實施指南，并對信息安全系統(tǒng)提出了技術(shù)和管理方面的建設(shè)要求。本方案針對XXX網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)以及當前的安全措施為基礎(chǔ)，分析XXX公司的安全建設(shè)需求，結(jié)合國家等級保護的建設(shè)規(guī)范和技術(shù)要求而編制，一方面對XXX信息安全建設(shè)起到指導作用；另一方面可形成中小型企業(yè)（在業(yè)務(wù)以及信息化建設(shè)方面類似于XXX公司的客戶）安全防護系統(tǒng)建設(shè)方案，為企業(yè)進行安全建設(shè)起到建議作用；還可通過將等級保護基本要求在XXX公司的實際網(wǎng)絡(luò)環(huán)境中落地，形成多系統(tǒng)復雜環(huán)境的等級保護建設(shè)方法，指導用戶落實等級保護的制度和要求。 設(shè)計原則等級保護是國家信息安全建設(shè)的重要政策，其核心是對信息系統(tǒng)分等級、按標準進行建設(shè)、管理和監(jiān)督。對于XXX公司信息安全建設(shè)，應(yīng)當以適度風險為核心，以重點保護為原則，從業(yè)務(wù)的角度出發(fā)，重點保護重要的業(yè)務(wù)、研發(fā)類信息系統(tǒng)，在方案設(shè)計中應(yīng)當遵循以下的原則：適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，在進行XXX信息安全等級保護規(guī)劃中，要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設(shè)的初衷，因此在進行等級保護設(shè)計的過程中，一方面要嚴格遵循基本要求，從網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，另外也要綜合成本的角度，針對XXX公司信息系統(tǒng)的實際風險，提出對應(yīng)的保護強度，并按照保護強度進行安全防護系統(tǒng)的設(shè)計和建設(shè)，從而有效控制成本。重點保護原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)；本方案在設(shè)計中將重點保護XXX公司涉及生產(chǎn)、研發(fā)、銷售等關(guān)鍵業(yè)務(wù)的信息系統(tǒng)，對其他信息系統(tǒng)則降低保護等級進行一般性設(shè)計和防護；技術(shù)管理并重原則信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋XXX所有的信息安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障XXX信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個部分的建設(shè)方案；分區(qū)分域建設(shè)原則對信息系統(tǒng)進行安全保護的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個信息資產(chǎn)的重要性是不同的，并且訪問特點也不盡相同，因此需要把具有相似特點的信息資產(chǎn)集合起來，進行總體防護，從而可更好地保障安全策略的有效性和一致性，比如把業(yè)務(wù)服務(wù)器集中起來單獨隔離，然后根據(jù)各業(yè)務(wù)部門的訪問需求進行隔離和訪問控制；另外分區(qū)分域還有助于對網(wǎng)絡(luò)系統(tǒng)進行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過嚴格的邊界安全防護限制事件在整網(wǎng)蔓延；標準性原則XXX信息安全保護體系應(yīng)當同時考慮與其他標準的符合性，在方案中的技術(shù)部分將參考IATF安全體系框架進行設(shè)計，在管理方面同時參考27001安全管理指南，使建成后的等級保護體系更具有廣泛的實用性；動態(tài)調(diào)整原則信息安全問題不是靜態(tài)的，它總是隨著XXX管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施；標準性原則信息安全建設(shè)是非常復雜的過程，在設(shè)計信息安全系統(tǒng)，進行安全體系規(guī)劃中單純依賴經(jīng)驗，是無法對抗未知的威脅和攻擊，因此需要遵循相應(yīng)的安全標準，從更全面的角度進行差異性分析，是本方案重點強調(diào)的設(shè)計原則；成熟性原則本方案設(shè)計采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應(yīng)用的；科學性原則本方案的設(shè)計是建立在對XXX公司進行安全評估基礎(chǔ)上的，在威脅分析、弱點分析和風險分析方面，是建立在客觀評價的基礎(chǔ)上而展開分析的結(jié)果，因此方案設(shè)計的措施和策略一方面能夠符合國家等級保護的相關(guān)要求，另一方面也能夠很好地解決XXX公司信息網(wǎng)絡(luò)中存在的安全問題，滿足特性需求。 參考標準本方案根據(jù)國家提出的等級保護管理辦法和實施指南，針對XXX信息系統(tǒng)的特點和安全建設(shè)需求，進行全面的安全保障規(guī)劃，設(shè)計中重點參考的政策和標準包括以下兩個部分： 信息系統(tǒng)安全等級保護標準和規(guī)范本方案重點參考以下的的政策和標準：指導思想中辦[2003]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》的通知）公通字[2004]66號文件（關(guān)于印發(fā)《信息安全等級保護工作的實施意見》的通知）公通字[2007]43號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知）等級保護GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南技術(shù)方面GB/T 202702006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 202722006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 202732006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求GA/T6712006 信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求GA/T 7092007 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本模型GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求管理方面GB/T aaaaaxxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求ISO/IEC 27001 信息系統(tǒng)安全管理體系標準方案設(shè)計信息安全技術(shù) 信息系統(tǒng)等級保護安全建設(shè)技術(shù)方案設(shè)計規(guī)范方案架構(gòu)IATF 信息保障技術(shù)框架 其他信息安全標準和規(guī)范216。 ISO/IEC 15408（CC）：《信息技術(shù)安全評估準則》。該標準歷經(jīng)數(shù)年完成，提出了新的安全模型，是很多信息安全理論的基礎(chǔ)。216。 GB/T 18336：等同采用ISO 15408216。 ISO/IEC 17799/BS77991：《信息安全管理體系實施指南》。這是目前世界上最權(quán)威的信息安全管理操作指南，對信息安全工作具有重要指導意義。216。 ISO/IEC 13335，第一部分：《IT安全的概念和模型》；第二部分：《IT安全的管理和計劃制定》；第三部分：《IT安全管理技術(shù)》；第四部分：《安全措施的選擇》；第五部分：《網(wǎng)絡(luò)安全管理指南》。216。 GB 9361：《計算站場地安全要求》216。 公安部第51號令：《計算機病毒防治管理辦法》216。 《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》公安部令32號216。 《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》公安部 參考資料為確保本方案能夠客觀地反應(yīng)XXX公司信息系統(tǒng)的當前現(xiàn)狀，方案便之前對XXX公司信息系統(tǒng)進行了全面的檢查，得到以下的調(diào)查表作為方案分析的參考資料：n 《XXX信息安全等級保護安全檢查－物理環(huán)境調(diào)查表》；n 《XXX信息安全等級保護安全檢查－網(wǎng)絡(luò)結(jié)構(gòu)調(diào)查表》；n 《XXX信息安全等級保護安全檢查－網(wǎng)管系統(tǒng)調(diào)查表》；n 《XXX信息安全等級保護安全檢查－應(yīng)用設(shè)備調(diào)查表》；n 《XXX信息安全等級保護安全檢查－應(yīng)用系統(tǒng)調(diào)查表》；n 《XXX信息安全等級保護安全檢查－數(shù)據(jù)存儲與備份調(diào)查表》；n 《XXX信息安全等級保護安全檢查－安全管理調(diào)查表》。 其他說明作為國家信息安全保障體系建設(shè)的政策標準，等級保護提出信息系統(tǒng)的運營、使用單位應(yīng)當依照等級保護的辦法及其相關(guān)標準規(guī)范，履行信息安全等級保護的義務(wù)和責任，同時還提出了五個級別的信息系統(tǒng)建設(shè)要求，從信息系統(tǒng)保護等級的劃分定義可以看到，等級保護高度關(guān)注國家利益和社會秩序，信息系統(tǒng)一旦早到破壞后如果對社會秩序和公眾利益造成嚴重損害，那么其信息系統(tǒng)至少應(yīng)在3級以上。XXX公司作為專業(yè)的信息安全廠商，經(jīng)過十余年的經(jīng)營發(fā)展，已經(jīng)擁有了覆蓋國內(nèi)政府、軍隊、金融、能源、電信、教育等數(shù)萬家用戶，為用戶提供各類安全產(chǎn)品及服務(wù)，因此一旦公司的核心技術(shù)資料早到泄露，那么將嚴重影響到用戶的切身利益，將會引起大規(guī)模的恐慌，因此其信息系統(tǒng)可以按照嚴重影響社會和公眾利益的程度進行定級，確定最高為3級。2 系統(tǒng)現(xiàn)狀描述 網(wǎng)絡(luò)架構(gòu)描述XXX公司信息系統(tǒng)的建設(shè)是伴隨著企業(yè)的發(fā)展而演進的，2005年底隨著公司遷入華控大廈，公司對原有的網(wǎng)絡(luò)進行了改造，形成了現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，從整體上看主要包括以下幾個部分： XXX公司網(wǎng)絡(luò)架構(gòu)示意圖，XXX公司信息網(wǎng)絡(luò)包括總部和分支機構(gòu)兩大部分，其中重要的服務(wù)器均集中在總部，分級機構(gòu)只包含了辦公終端部分，XXX在全國共有35家分支機構(gòu)，各分支機構(gòu)均通過互聯(lián)網(wǎng)遠程訪問總部?？偛啃畔⒕W(wǎng)絡(luò)包括辦公和研發(fā)兩大部分，其中辦公部分包含了進行業(yè)務(wù)處理的業(yè)務(wù)服務(wù)網(wǎng)（運行著企業(yè)EBS系統(tǒng)、KCRM以及財務(wù)軟件和內(nèi)部辦公系統(tǒng)）；外部服務(wù)網(wǎng)（公司主頁發(fā)布、郵件系統(tǒng)、產(chǎn)品升級服務(wù)器等面向互聯(lián)網(wǎng)的應(yīng)用處理）；OA辦公網(wǎng)（內(nèi)部各個部門的辦公終端以及內(nèi)部論壇和文件服務(wù)器等）以及生產(chǎn)車間（生產(chǎn)部門的終端及服務(wù)器）；研發(fā)部分則包含了與研發(fā)相關(guān)的研發(fā)服務(wù)網(wǎng)（研發(fā)部門專用的版本服務(wù)器和BUG內(nèi)部服務(wù)器）；以及研發(fā)辦公網(wǎng)（研發(fā)部門的辦公終端組成）。此外，對于公司里一些涉及國家秘密的文件，單獨建設(shè)了涉密網(wǎng)（涉密檔案室