【正文】 措施。等級(jí)保護(hù)（三級(jí)）方案 深信服科技22 計(jì)算環(huán)境安全設(shè)計(jì) 身份鑒別身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：主機(jī)身份鑒別：為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括：? 對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。? 設(shè)備與介質(zhì)管理為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。房間裝修必需使用阻燃材料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定。機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。3. 參照現(xiàn)有狀況? 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況：現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機(jī)房等? 參照現(xiàn)有的管理部門職權(quán)劃分 安全域劃分與說(shuō)明根據(jù)朔州市交警隊(duì)公共服務(wù)平臺(tái)業(yè)務(wù)系統(tǒng)的實(shí)際情況，將安全域劃分為如下幾個(gè)：? 互聯(lián)網(wǎng)接入域：互聯(lián)網(wǎng)接入域主要為內(nèi)網(wǎng)用戶部分和業(yè)務(wù)應(yīng)用部分提供互聯(lián)網(wǎng)接入訪問(wèn)支撐。當(dāng)然，安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度，并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。首先應(yīng)根據(jù)本級(jí)具體的基本要求設(shè)計(jì)本級(jí)系統(tǒng)的保護(hù)環(huán)境模型，根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 ，保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計(jì)，內(nèi)容涵蓋基本要求的 5 個(gè)方面。等級(jí)保護(hù)（三級(jí)）方案 深信服科技187 技術(shù)體系方案設(shè)計(jì)三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：落實(shí) GB 178591999 對(duì)三級(jí)系統(tǒng)的安全保護(hù)要求，在三級(jí)安全保護(hù)環(huán)境的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力。因此，在信息傳輸和存儲(chǔ)過(guò)程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應(yīng)提供有效的察覺(jué)與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能正常運(yùn)行。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。? 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。通過(guò)安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS 等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。區(qū)域邊界的安全主要包括：邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。主機(jī)系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無(wú)限濫用。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。能夠?yàn)榘踩录峁┳銐虻男畔?，與身份認(rèn)證與訪問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。對(duì)于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。過(guò)于簡(jiǎn)單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。等級(jí)保護(hù)（三級(jí)）方案 深信服科技126 安全風(fēng)險(xiǎn)與差距分析物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。目前的 時(shí)代使得互聯(lián)網(wǎng)的傳輸平臺(tái)傳輸著各種各樣的數(shù)據(jù)，互聯(lián)網(wǎng)環(huán)境是一個(gè)沒(méi)有太多規(guī)章制度來(lái)管理的大平臺(tái)，如此一來(lái)，如果把單位內(nèi)部十分重要的信息數(shù)據(jù)傳輸在這個(gè)互聯(lián)網(wǎng)環(huán)境，很有可能會(huì)被黑客攻擊竊取、篡改，也有可能遭到互聯(lián)網(wǎng)中的威脅因素的侵害，影響網(wǎng)絡(luò)辦公。? 法律風(fēng)險(xiǎn)目前，網(wǎng)絡(luò)的違規(guī)違法事件越來(lái)越多，國(guó)家對(duì)于違規(guī)違法事件打擊的力度越來(lái)越大，公安部 82 號(hào)令明文規(guī)定，凡是接入互聯(lián)網(wǎng)的單位都必須具備審計(jì)的功能，記錄用戶的上網(wǎng)行為。? 帶寬效率風(fēng)險(xiǎn)隨著互聯(lián)網(wǎng)的普及，朔州市交警隊(duì)的業(yè)務(wù)大多依托于互聯(lián)網(wǎng)開(kāi)展。互聯(lián)網(wǎng)出口往往是 APT 攻擊切入的第一扇門，他們往往容易被黑客滲透之后對(duì)內(nèi)網(wǎng)發(fā)起橫向轉(zhuǎn)移的攻擊導(dǎo)致敏感信息被竊取、系統(tǒng)被控制所有行為都暴露在黑客的視野里。而終端系統(tǒng)層面的漏洞被利用，會(huì)導(dǎo)致終端更嚴(yán)重的風(fēng)險(xiǎn)，比如終端被控制成為黑客攻擊的跳板，或者終端成為僵尸網(wǎng)絡(luò)的一部分，隨時(shí)有可能發(fā)起針對(duì)內(nèi)網(wǎng)的攻擊。在確保單位信息暢通的基礎(chǔ)上，有效阻止非法訪問(wèn)和攻擊對(duì)系統(tǒng)的破壞。對(duì)符合等級(jí)保護(hù)要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明。運(yùn)營(yíng)使用單位或主管部門在備案時(shí)應(yīng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 （以下簡(jiǎn)稱《備案表》 ）提交有關(guān)備案材料及電子數(shù)據(jù)文件。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。這些具體數(shù)據(jù)即可以為主管部門制定定級(jí)指導(dǎo)意見(jiàn)提供參照，也可以作為主管部門審批定級(jí)結(jié)果的重要依據(jù)。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程，所以通過(guò)整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來(lái)保證用戶等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。4. 評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。等級(jí)保護(hù)（三級(jí)）方案 深信服科技朔州市交警隊(duì)等級(jí)保護(hù)（三級(jí)）建設(shè)方案深信服科技（深圳）有限公司2022 年 6 月等級(jí)保護(hù)（三級(jí)）方案 深信服科技目錄1 項(xiàng)目概述 ........................................................................................12 等級(jí)保護(hù)建設(shè)流程 .........................................................................23 方案參照標(biāo)準(zhǔn) .................................................................................44 信息系統(tǒng)定級(jí)備案 .........................................................................5 信息系統(tǒng)定級(jí) ..................................................................................5 信息系統(tǒng)備案 ..................................................................................65 系統(tǒng)安全需求分析 .........................................................................86 安全風(fēng)險(xiǎn)與差距分析 ....................................................................12 物理安全風(fēng)險(xiǎn)與差距分析 ............................................................12 計(jì)算環(huán)境安全風(fēng)險(xiǎn)與差距分析 ....................................................12 區(qū)域邊界安全風(fēng)險(xiǎn)與差距分析 ....................................................14 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與差距分析 ....................................................157 技術(shù)體系方案設(shè)計(jì) .......................................................................17 方案設(shè)計(jì)目標(biāo) ................................................................................17 方案設(shè)計(jì)框架 ................................................................................17 安全域的劃分 ................................................................................18 安全域劃分的依據(jù) .................................................................18 安全域劃分與說(shuō)明 .................................................................19等級(jí)保護(hù)（三級(jí)）方案 深信服科技 安全技術(shù)體系設(shè)計(jì) ........................................................................19 機(jī)房與配套設(shè)備安全設(shè)計(jì) .....................................................19 計(jì)算環(huán)境安全設(shè)計(jì) .................................................................21 區(qū)域邊界安全設(shè)計(jì) .................................................................28 通信網(wǎng)絡(luò)安全設(shè)計(jì) .................................................................30 安全管理中心設(shè)計(jì) .................................................................338 安全管理體系設(shè)計(jì) .......................................................................379 系統(tǒng)集成設(shè)計(jì) ...............................................................................39 軟硬件產(chǎn)品部 署圖 ........................................................................39 安全產(chǎn)品部署說(shuō)明 ........................................................................41 產(chǎn)品選型 ........................................................................................43 選型建議 ................................................................................43 選型要求 ................................................................................43等級(jí)保護(hù)（三級(jí)）方案 深信服科技11 項(xiàng)目概述隨著信息化的發(fā)展，朔州市交警隊(duì)的業(yè)務(wù)開(kāi)展也越來(lái)越依托于網(wǎng)絡(luò)平臺(tái)，但縱觀當(dāng)前的安全形勢(shì)，各種安全事件層出不窮，而朔州市交警隊(duì)目前的網(wǎng)絡(luò)中，安全設(shè)備較少，以前買的安全設(shè)備由于網(wǎng)絡(luò)帶寬升級(jí)，使用耗損等，其性能也漸漸不能滿足朔州市交警隊(duì)目前的網(wǎng)絡(luò)安全需求，嚴(yán)重制約了朔州市交警隊(duì)的信息化腳步。等級(jí)保護(hù)（三級(jí)）方案 深信服科技22 等級(jí)保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則分為安全管理制度、安全管理機(jī)構(gòu)、人員