【正文】 份鑒別的基礎(chǔ)上，只授權(quán)開(kāi)放必要的訪問(wèn)權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性。 生命周期原則 對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過(guò)程中要考慮工程化的管理。這些 IT 系統(tǒng)要素包括： 網(wǎng)絡(luò)區(qū)域 主機(jī)和系統(tǒng) 人和組織 物理環(huán)境 策略和流程 業(yè)務(wù)和使命 … … 安全域 劃分 的原則 安全域的理論和方法所遵循的根本原則 ： 等級(jí)保護(hù)原則 根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施，以保障業(yè)務(wù)支撐的網(wǎng)絡(luò)和信息安全。 遵照的標(biāo)準(zhǔn)或規(guī)范 GB/T 開(kāi)放系統(tǒng)互連基本參考模型第 2 部分：安全體系結(jié)構(gòu) RFC 1825 TCP/IP 安全體系結(jié)構(gòu) ISO 10181:1996 信息技術(shù) 開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架 GB/T 182372020 信息技術(shù) 開(kāi)放系統(tǒng)互連通用高層安全 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 13 GB 178591999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 183362020 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則 ISO/ISE 17799: 2020 /BS7799 ISO/ISE 15408（ CC） AS/NZS 4360: 1999 《風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》 GAO/AIMD0033《信息安全風(fēng)險(xiǎn)評(píng)估》 IATF《信息保障技術(shù)框架》 安全建設(shè)的思路和方法 我們著眼于整個(gè)安全體系建設(shè)以及安全規(guī)劃建設(shè)的長(zhǎng)期目標(biāo)，逐步完善 深圳市 **公司 風(fēng)險(xiǎn)管理體系，將安全建設(shè)分解成多個(gè)可實(shí)施性較強(qiáng)的工程階段 ，明確標(biāo)識(shí)出各階段安全建設(shè)內(nèi)容和解決的安全問(wèn)題，為 深圳市 **公司 提供一個(gè)可供參考的安全建設(shè)遠(yuǎn)景規(guī)劃以及每期工程需要解決的風(fēng)險(xiǎn)管理規(guī)劃，各期工程建設(shè)內(nèi)容都是依據(jù) 深圳市 **公司 所面臨的安全風(fēng)險(xiǎn)級(jí)別和迫切需要解決的安全問(wèn)題依照從高至低排序 。 4. 整體均衡 原則 要 對(duì)信息 系統(tǒng)進(jìn)行 全面均衡 的 保護(hù) ，要 提高整個(gè) 信息 系統(tǒng)的 安全最低點(diǎn) 的安全性能 ，保證各個(gè)層面防護(hù)的均衡 。 因此，如何有效地解決這些問(wèn)題，以便提高用戶 的工作效率，降低安全風(fēng)險(xiǎn)，減少損失，對(duì) 網(wǎng)絡(luò) 進(jìn)行統(tǒng)一管理 ， 調(diào)整網(wǎng)絡(luò)資源的合理利用 ， 已經(jīng)成為 **公司信息中心 迫在眉睫的緊要任務(wù)。 提升區(qū)公司及地州公司對(duì)網(wǎng)絡(luò)可管理的能力 隨著信息化發(fā)展的加速和深入， 深圳市 **公司的 IT 系 統(tǒng)和網(wǎng)絡(luò)越來(lái)越復(fù)雜，各級(jí) 分公司 對(duì)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的依賴性逐漸增大， IT 和網(wǎng)絡(luò)應(yīng)用逐漸融入到單位的日常工作中。 ? 安全、方便的將非安全計(jì)算機(jī)阻斷出網(wǎng)。 ? 客戶端統(tǒng)一的端口策略控制。 深圳市 **公司 想要實(shí)現(xiàn)完全的入侵防御，就需要 在網(wǎng)絡(luò)上 將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（ IPS）： online 式在線部署，深層分析網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時(shí)的阻斷。 2020 年， CNCERT/CC 監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228 個(gè)，比 2020 年增加了 倍 。 安全建設(shè)第一階完成后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對(duì)安全的狀態(tài)。 第三階段 —— 管理階段 建設(shè)內(nèi)容 待安全建設(shè)一、二階段建設(shè)完成后， 深圳市 **公司 的全網(wǎng)安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分 發(fā)揮作用，安全管理也逐步到位和正規(guī)化。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全等方面。 ? “整體規(guī)劃，分步實(shí)施”原則：需要對(duì) **公司 信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。 7）沒(méi)有一個(gè)統(tǒng)一的員工身份管理系統(tǒng)，無(wú)法做到各類(lèi)內(nèi)部權(quán)限的細(xì)分，以及信息安全的加密以及事前、事中、事后的審計(jì)。 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 2 2 深圳市 **公司 業(yè)務(wù)網(wǎng)絡(luò)現(xiàn)狀及需求分析 深圳市 **公司 業(yè)務(wù)網(wǎng)絡(luò)是全省業(yè)務(wù) 辦公與 通信的基礎(chǔ)和支撐平臺(tái)，整個(gè)信息系統(tǒng) 目前 存在諸多安全隱患： 1）沒(méi)有一個(gè)完整的信息安全體系，不能對(duì) **公司 信息安全程度進(jìn)行有效評(píng)估。防火墻只能基于端口和流量進(jìn)行控制，卻無(wú)法防御復(fù)雜的攻擊和入侵。 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 3 3 信息安全 規(guī)劃 思路 信息安全 目標(biāo)和工作思路 我們應(yīng)該按照信息安全總體規(guī)劃，從信息安全管理、信息安全風(fēng)險(xiǎn)控制、信息安全技術(shù)等方面入手，采用先進(jìn)可行的技術(shù)手段和管理理念，逐步建成全面、完整、有效的一套信息安全體系。 信息安全建設(shè) 主要任務(wù) 基于企業(yè)信息安全逐步建設(shè)和節(jié)省投資的考慮， 深圳市 **公司 信息安全建設(shè) 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 4 采用分階段實(shí)施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu)先地位進(jìn)行安全建設(shè)。主要從安全日志審計(jì)、系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)安全兩個(gè)方面展開(kāi)。通過(guò)該平臺(tái)可以及時(shí)準(zhǔn)確地獲知網(wǎng)絡(luò)安全體系的效果和現(xiàn)狀，幫助安全管理員進(jìn)行正確的決策分析。 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 7 4 第一階段 迫切階段 加強(qiáng)區(qū)公司與地州公司的邊界訪問(wèn)控制 目前， 深圳市 **公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN 系統(tǒng)，但是由于時(shí)間已經(jīng)很長(zhǎng)，設(shè)備在性能與功能上都不能適應(yīng)現(xiàn)在的網(wǎng)絡(luò)與業(yè)務(wù)的發(fā)展。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位 和防護(hù)深度 ， 不能有效 地 提供針對(duì) Web 應(yīng)用 攻擊完善的防御能力。對(duì)補(bǔ)丁進(jìn)行自動(dòng)分發(fā)部署和管理控制。 ? 弱口令監(jiān)控。 ? 有效監(jiān)控客戶端的運(yùn)維信息， 以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運(yùn)轉(zhuǎn)，是否需要升級(jí)。 網(wǎng)絡(luò)管理系統(tǒng) 可廣泛應(yīng)用于對(duì)局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵 IT 業(yè)務(wù)系統(tǒng)中的路由器、交換機(jī)、防火墻、負(fù)載均衡設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)站、域名、 URL、 OA、 CRM、 ERP、 SCM、 HIS 等各種 IT 網(wǎng)絡(luò)組件和業(yè) 務(wù)系統(tǒng)進(jìn)行 7X24 的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對(duì)錯(cuò)誤和故障數(shù)據(jù)進(jìn)行 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 10 顏色、聲音、短信息、郵件等多種方式的報(bào)警，提供多種圖形和報(bào)表幫助用戶進(jìn)行故障分析和性能診斷，保證 IT 業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)持續(xù)、穩(wěn)定運(yùn)行，提高 IT 系統(tǒng)的效率，降低由于 IT 業(yè)務(wù)系統(tǒng)故障而導(dǎo)致的損失。 建設(shè)原則 在設(shè)計(jì)技術(shù)方案時(shí)要遵從以下 原則： 1. 實(shí)用性原則 深圳市 **公司 的 安全體系建設(shè) 將始終遵循“面向應(yīng)用，注重實(shí)效”的指導(dǎo)思想。 7. 產(chǎn)品異構(gòu)性原則 在安全產(chǎn)品選型時(shí)，考慮不同廠商安全產(chǎn)品功能互補(bǔ)的特點(diǎn)，在進(jìn)行 多層防護(hù)時(shí)，將選用不同廠商的安全產(chǎn)品。只有貼近具體業(yè)務(wù)系統(tǒng)，對(duì)業(yè)務(wù)系統(tǒng)的重要性和特點(diǎn)有了清楚的定義和識(shí)別，風(fēng)險(xiǎn)管理才可能取得確實(shí)的成效。在基于等級(jí)保護(hù)原則同時(shí)遵循策略最大化原則。 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 16 分步實(shí)施原則 分布實(shí)施原則：貫徹安全工作“ 統(tǒng)一規(guī)劃，分步實(shí)施”的原則，根據(jù)自身情況分階段落實(shí)安全域劃分和邊界整合的工作。如果子域之間互訪信任度、數(shù)據(jù)流量、訪問(wèn)頻度等比較高，通常情況下業(yè)務(wù)關(guān)系比較緊密，安全防護(hù)策略可以較為寬松，通常允許受限的信任互訪?！?3+1 同構(gòu)性簡(jiǎn)化”的安全域方法是用一種 3+1 的網(wǎng)絡(luò)結(jié)構(gòu)元來(lái)分析 深圳 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 18 市 **公司 網(wǎng)絡(luò) 的系統(tǒng)。 主要需要解決的安全問(wèn)題包括：網(wǎng)絡(luò)設(shè)備的強(qiáng)壯性，防止被非法訪問(wèn)；防止網(wǎng)絡(luò)的擁塞；防止線路的嗅探；防止成為惡意代碼傳播和擴(kuò)散的載體等等。 安全接入域應(yīng)有明確的邊界，以便于進(jìn)行保護(hù)。 安全接入域內(nèi)如果根據(jù)用戶所操作業(yè)務(wù)分類(lèi)進(jìn)行子域劃分，可以針對(duì)不同的子域進(jìn)行應(yīng)用的監(jiān)控和審計(jì)； 自治區(qū)煙草安全規(guī)劃方案 建議書(shū) 20 安全接入域內(nèi)防泄密；監(jiān)控安全接入域客戶的非業(yè)務(wù)流量，特別是進(jìn)行文件和信息交換的協(xié)議，比如：電子郵件、 FTP、 WEB 訪問(wèn)等。 防護(hù)要點(diǎn)：安全服務(wù)域內(nèi)節(jié)點(diǎn)的加固，包括主機(jī)操作系統(tǒng)的補(bǔ)丁、主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置等；安全服務(wù)域內(nèi)節(jié)點(diǎn)的訪問(wèn)控制，主要是主機(jī)和網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)控制等；訪問(wèn)控制機(jī)制要和安全接入域的鑒別機(jī)制之間相互結(jié)合；安全服務(wù)域內(nèi)節(jié)點(diǎn)的防病毒：特別是基于 windows 平臺(tái)