【文章內(nèi)容簡介】 程實(shí)施制度化、第三方委托測試、運(yùn)行起30 天內(nèi)備案、每年進(jìn)行1次等級測評、安全服務(wù)商的選擇1系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理涉及日常管理、變更管理、制度化管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等。系統(tǒng)運(yùn)維管理具體包括以下13個(gè)控制點(diǎn)：l 環(huán)境管理l 資產(chǎn)管理l 介質(zhì)管理l 設(shè)備管理、l 監(jiān)控管理和安全管理中心l 網(wǎng)絡(luò)安全管理l 系統(tǒng)安全管理l 惡意代碼防范管理l 密碼管理l 變更管理l 備份與恢復(fù)管理l 安全事件處置l 應(yīng)急預(yù)案管理整改要點(diǎn)：辦公環(huán)境保密性、資產(chǎn)的標(biāo)識和分類管理、介質(zhì)/設(shè)備/系統(tǒng)/網(wǎng)絡(luò)/密碼/備份與恢復(fù)的制度化管理、建立安全管理中心、安全事件分類分級響應(yīng)、 應(yīng)急預(yù)案的演練和審查。本次等保三級方案主要針對學(xué)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。等級保護(hù)建設(shè)流程整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！睋?jù)等級化安全保障體系的設(shè)計(jì)思路，等級保護(hù)的設(shè)計(jì)與實(shí)施通過以下步驟進(jìn)行：1. 系統(tǒng)識別與定級：確定保護(hù)對象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2. 安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3. 確定安全域安全要求：參照國家相關(guān)等級保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標(biāo)。4. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險(xiǎn)評估方法，對系統(tǒng)各層次安全域進(jìn)行有針對性的等級風(fēng)險(xiǎn)評估。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過等級風(fēng)險(xiǎn)評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。5. 安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6. 安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)做要符合的安全需求，滿足等級保護(hù)相應(yīng)等級的基本要求，實(shí)現(xiàn)按需防御。7. 持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。而應(yīng)該特別注意的是：等級保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過程，所以通過整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來保證用戶等級保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析XX市XX學(xué)院在2013年正式搬遷到職教園區(qū)內(nèi)，同時(shí)新建了整套校園網(wǎng)絡(luò)，后期又經(jīng)過陸陸續(xù)續(xù)的升級和改造，現(xiàn)已建成如下情況。網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D內(nèi)部數(shù)據(jù)交換如上拓?fù)鋱D所示，學(xué)院有無線和有線兩套網(wǎng)絡(luò)提供使用，整網(wǎng)采用縱向三層設(shè)計(jì)，分別是核心層、匯聚層和接入層。教學(xué)和辦公網(wǎng)使用單獨(dú)的核心交換機(jī)S12006上聯(lián)至數(shù)據(jù)中心核心交換機(jī)N18010，避免了在接入?yún)^(qū)域和宿舍樓數(shù)據(jù)的混合。網(wǎng)絡(luò)出口整網(wǎng)有兩條互聯(lián)網(wǎng)出口鏈路，無線用戶和有線用戶各使用一條鏈路，每條鏈路各采用獨(dú)立的一臺出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。網(wǎng)絡(luò)安全安全設(shè)計(jì)分為對外部數(shù)據(jù)的安全保障和對本地內(nèi)部數(shù)據(jù)的安全保障，現(xiàn)有一臺防火墻部署在出口網(wǎng)關(guān)與核心交換機(jī)之間，保障了對外部有害數(shù)據(jù)的防范。內(nèi)部服務(wù)器區(qū)域部署了一臺服務(wù)器防護(hù)WG，下聯(lián)各服務(wù)器，上聯(lián)核心交換機(jī)，保障服務(wù)器的安全性。其它設(shè)備有網(wǎng)絡(luò)管理系統(tǒng)、Portal認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)、日志記錄系統(tǒng)、用戶自助系統(tǒng)等?？赡艽嬖诘娘L(fēng)險(xiǎn)XX學(xué)院內(nèi)部的網(wǎng)絡(luò)比較復(fù)雜，加上無線網(wǎng)絡(luò)的全面覆蓋，使用人群多種多樣，因此網(wǎng)絡(luò)安全是XX學(xué)院校園網(wǎng)運(yùn)行過程中所面臨的實(shí)際問題。來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成網(wǎng)絡(luò)不能正常運(yùn)行。設(shè)置安全是指在設(shè)備上進(jìn)行必要的設(shè)置，如服務(wù)器、交換機(jī)的密碼等，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。來自學(xué)院網(wǎng)絡(luò)內(nèi)部的安全威脅校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校通常不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。來自Internet的威脅Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與Internet相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼這些軟件的使用也可能被攻擊者侵入和利用。管理方面可能存在的漏洞XX學(xué)院的用戶群體比較大，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。等保三級對網(wǎng)絡(luò)的要求結(jié)構(gòu)安全1. 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2. 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；3. 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；4. 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；5. 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6. 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；7. 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。訪問控制1. 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；2. 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；3. 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；4. 應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；5. 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；6. 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；7. 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用8. 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量安全審計(jì)1. 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；2. 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；3. 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4. 應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1. 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；2. 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其