【正文】 意代碼是對計算環(huán)境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網迅速蔓延， 發(fā)動網絡攻擊和數(shù)據 竊密。 大量占據正常業(yè)務十分有限的帶寬，造成網絡性能嚴重下降、 服務器崩潰 甚至網絡通信中斷 ，信息損壞或泄漏。 嚴重影響正常業(yè)務開展。因此 必須部署惡意代碼防范軟件進行防御。同時保持惡意代碼庫的及時更新。 ? 軟件容錯 軟件容錯的主要目的是提供足夠的冗余信息和算法程序 ,使系統(tǒng)在實際運行時能夠及時發(fā)現(xiàn)程序設計錯誤 ,采取補救措施 ,以提高軟件可靠性 ,保證整個計算機系統(tǒng)的正常運行。 ? 數(shù)據安全 主要指數(shù)據的完整性與保密性。數(shù)據是信息資產的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務數(shù)據的安全。因此數(shù)據的備份十分重要，是必須考慮的問題。 應采取措施保證數(shù)據在傳輸過程中的完整性以及保密性；保護鑒別信息的保密性 ? 備份與恢復 數(shù)據是信息資產的直接體現(xiàn)。所有的措施最終無不是為了業(yè)務數(shù)據的安全。因此數(shù)據的備份十分重要，是必須考慮的問題。 對于關鍵數(shù)據應 建立數(shù)據的備份機制， 而對于網絡的關鍵設備、線路均需進行冗余配置，備份與恢復是 應對突發(fā)事件的必要措施。 ? 資源合理控制 資源合理控制包括主機和應用兩個方面。 主機系統(tǒng)以及應用系統(tǒng)的資源是有限的，不能無限濫用。系統(tǒng)資源必須能夠為正常用戶提供資源保障。否則會出現(xiàn)資源耗盡、服務質量下降甚至服務中斷等后果。因此對于系 統(tǒng)資源進行控制，制定包括：登陸條件限制、超時鎖定、用戶可等級保護（三級）方案模板 深信服科技 14 用資源閾值設置等資源控制策略。 ? 剩余信息保護 對于正常使用中的主機操作系統(tǒng)和數(shù)據庫系統(tǒng)等，經常需要對用戶的鑒別信息、文件、目錄、數(shù)據庫記錄等進行臨時或長期存儲，在這些存儲資源重新分配前，如果不對其原使用者的信息進行清除，將會引起元用戶信息泄漏的安全風險，因此，需要確保系統(tǒng)內的用戶鑒別信息文件、目錄和數(shù)據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除 對于動態(tài)管理和使用的客體資源，應在這些客體資源重新分配前，對其原使用者的信息進行清 除，以確保信息不被泄漏。 ? 抗抵賴 對于數(shù)據安全，不僅面臨著機密性和完整性的問題，同樣還面臨著抗抵賴性（不可否認性）的問題，應采用技術手段防止用戶否認其數(shù)據發(fā)送和接收行為，為數(shù)據收發(fā)雙方提供證據。 ? 不同等級的業(yè)務系統(tǒng)的互聯(lián) 使用同一終端訪問不同等級的業(yè)務系統(tǒng)時，如何在用戶終端實現(xiàn)不同等級業(yè)務系統(tǒng)的隔離。 區(qū)域邊界安全風險與差距分析 區(qū)域邊界的安全主要包括：邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。 ? 邊界訪問控制 XX 網絡 可劃分為如下邊界： 描述邊界及風險分析 對于各類邊界最基本的安全 需求就是訪問控制，對進出安全區(qū)域邊界的數(shù)據信息進行控制，阻止非授權及越權訪問。 ? 邊界完整性檢測 邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對內部網絡中出現(xiàn)的內部用戶未通過準許私自聯(lián)到外部網絡的行為進行檢查，維護邊界完整性。 等級保護（三級）方案模板 深信服科技 15 ? 邊界入侵防范 各類網絡攻擊行為既可能來自于大家公認的互聯(lián)網等外部網絡，在內部也同樣存在。通過安全措施，要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、 DoS/DDoS 等，實現(xiàn)對網絡層以及業(yè)務系統(tǒng)的安全防護，保護核心信息資產的免受攻擊危害。 ? 邊 界安全審計 在安全區(qū)域邊界需要建立必要的 審計機制，對進出邊界的各類網絡行為進行記錄與審計分析，可以和主機審計、應用審計以及網絡審計形成多層次的審計系統(tǒng)。并可通過安全管理中心集中管理 。 ? 邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢 :病毒與黑客程序相結合、蠕蟲病毒更加泛濫，目前計算機病毒的傳播途徑與過去相比已經發(fā)生了很大的變化，更多的以網絡（包括 Inte rn et、廣域網、局域網）形態(tài)進行傳播，因此為了安全的防護手段也需以變應變。迫切需要網關型產品在網絡層面對病毒予以查殺。 通信網絡安全風險與差距分析 通 信網絡的安全主要包括：網絡結構安全、網絡安全審計、網絡設備防護、通信完整性與保密性等方面。 ? 網絡結構 網絡結構是否合理直接影響著是否能夠有效的承載業(yè)務需要。因此網絡結構需要具備一定的冗余性；帶寬能夠滿足業(yè)務高峰時期數(shù)據交換需求；并合理的劃分網段和 V L A N。 ? 網絡安全審計 由于用戶的計算機相關的知識水平參差不齊，一旦某些安全意識薄弱的管理用戶誤操作，將給信息系統(tǒng)帶來致命的破壞。沒有相應的審計記錄將給事后追查帶來困難。有必要進行基于網絡行為的審計。從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網 絡應用行為。 ? 網絡設備防護 由于 XX 網絡 中將會使用大量的網絡設備，如交換機、防火墻、入侵檢測設備等。這些設備的自身安全性也會直接關系到涉密網和各種網絡應用的正常運行。如果發(fā)生網絡設備被不法分子攻擊，將導致設備不能正常運行。更加嚴重情況是等級保護（三級）方案模板 深信服科技 16 設備設置被篡改，不法分子輕松獲得網絡設備的控制權，通過網絡設備作為跳板攻擊服務器，將會造成無法想象的后果。例如，交換機口令泄漏、防火墻規(guī)則被篡改、入侵檢測設備失靈等都將成為威脅網絡系統(tǒng)正常運行的風險因素。 ? 通信完整性與保密性 由于網絡協(xié)議及文件格式均具有標準、開發(fā)、公開的特征 ，因此數(shù)據在網上存儲和傳輸過程中，不僅僅面臨信息丟失、信息重復或信息傳送的自身錯誤，而且會遭遇信息攻擊或欺詐行為，導致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲過程中，必須要確保信息內容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應提供有效的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。 而數(shù)據在傳輸過程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應采用加密措施保證數(shù)據的機密性。 ? 網絡可信接入 對于一個不斷發(fā)展的網絡而言，為方便辦公，在網絡設計時保留大量的接入端口，這對于隨時隨地快速接入到 XX 用戶 網絡進行辦公是非常便捷的，但同時也引入了安全風險，一旦外來用戶不加阻攔的接入到網絡中來，就有可能破壞網絡的安全邊界，使得外來用戶具備對網絡進行破壞的條件，由此而引入諸如蠕蟲擴散、文件泄密等安全問題。因此需要對非法客戶端實現(xiàn)禁入，能監(jiān)控網絡，對于沒有合法認證的外來機器，能夠阻斷其網絡訪問，保護好已經建立起來的安全環(huán)境。 安全管理中心差距分析 安全管理中心需求包括統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計三個方面的需求分析。兩個方面，技術方面和管理方面。 等級保護（三級）方案模板 深信服科技 17 7 技術體系方案設計 方案設計目標 三級系統(tǒng)安全保護環(huán)境的設計目 標是：落實 G B 1 785 9 1 999 對三級系統(tǒng)的安全保護要求，在二級安全保護環(huán)境的基礎上，通過實現(xiàn)基于安全策略模型和標記的強制訪問控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。 通過為滿足物理安全、網絡安全、主機安全、應用安全、數(shù)據安全五個方面基本技術要求進行技術體系建設；為滿足安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設。使得 XX 系統(tǒng)的 等級保護建設方案最終既可以滿足等級保護的相關要求，又能夠全方面為 XX 系統(tǒng) 提供 立體、 縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。 方案設計框架 根據《信息系統(tǒng)安全等級保護基本要求》，分為技術和管理兩大類要求，具體如下圖所示： 等級保護（三級）方案模板 深信服科技 18 本方案將嚴格根據技術與管理要求進行設計。首先應根據本級具體的基本要求設計本級系統(tǒng)的保護環(huán)境模型， 根 據《 信息 系 統(tǒng) 等 級 保護 安 全 設計 技 術 要求 》（ 注 ： 尚未 正 式 發(fā)布 ） ，保護環(huán)境按照安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心進行設計，內容涵蓋基本要求的 5 個方面。同時結合管理要求，形成如下圖所示的保護環(huán)境模型： 信息系統(tǒng)的安全保護等級由業(yè)務信 息安全性等級和系統(tǒng)服務保證性等級較高者決定，因此，對某一個定級后的信息系統(tǒng)的安全保護的側重點可以有多種組合。對于 3 級保護系統(tǒng)，其組合為：（在 S1 A 3 G 3， S 2 A3 G 3， S3 A 3 G 3， S 3 A 2 G3， S3 A 1 G 3選擇）。以下詳細方案設計時以 S 3 A 3G 3 為例，其他組合根據實際情況酌情修改。 安全域的劃分 .1 安全域劃分的依據 對大型信息系統(tǒng)進行等級保護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內部的不同業(yè)務區(qū)域進行不同等級的保護。因此，安全域劃分是進行信息安全等級保護的首要步驟。 安全域是 具有相同或相似安全要 求和策略的 IT 要素的集合 ，是 同一系統(tǒng)內根據信息的性質、使用主體、安全目標和等級保護（三級）方案模板 深信服科技 19 策略等元素的不同來劃分的不同邏輯子網或網絡，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全策略。當然，安全域的劃分不能單純從安全角度考慮，而是應該以業(yè)務角度為主，輔以安全角度，并充分參照現(xiàn)有網絡結構和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網絡梳理，而又能保障其安全性。對信息系統(tǒng)安全域（保護對象）的劃分應主要考慮如下方面因素： 1. 業(yè)務和功能特性 ? 業(yè)務 系統(tǒng)邏輯和應用關聯(lián)性 ? 業(yè)務系統(tǒng)對外連接：對外業(yè)務，支撐，內部管理 2. 安全特性的要求 ? 安全要求相似性：可用性、保密性和完整性的要求 ， 如有保密性要求的資產單獨劃區(qū)域。 ? 威脅相似性：威脅來源、威脅方式和強度 ， 如第三方接入區(qū)單獨劃區(qū)域。 ? 資產價值相近性：重要與非重要資產分離 ， 如核心生產區(qū)和管理終端區(qū)分離。 3. 參照現(xiàn)有狀況 ? 現(xiàn)有網絡結構的狀況：現(xiàn)有網絡結構、地域和機房等 ? 參照現(xiàn)有的管理部門職權劃分 .2 安全域劃分與說明 根據 xx 單位的實際情況，將安全域劃分為如下幾個： ? xxx 域，承載什么內容，什么作用。 ? xxx 域，承載什么 內容，什么作用。 ? xxx 域，承載什么內容，什么作用。 ? xxx 域，承載什么內容，什么作用。 等級保護（三級）方案模板 深信服科技 20 安全技術體系設計 .1 機房與配套設備安全設計 機房與配套設備 安全策略的目的是保護網絡中計算機網絡通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 ? 機房選址 機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內。機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。 ? 機房管理 機房出入口安排專人值守，控制、鑒別和記錄進入的人員； 需進入機房的來訪人員須經過申請和審批流 程，并限制和監(jiān)控其活動范圍。 對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域； 重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。 ? 典型產品推薦：電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng) ? 機房環(huán)境 合理規(guī)劃設備安裝位置，應預留足夠的空間作安裝、維護及操作之用。房間裝修必需使用阻燃材料，耐火等級符合國家相關標準規(guī)定。機房門大小應滿足系統(tǒng)設備安裝時運輸需要。機房墻壁及天花板應進行表面處理，防止塵埃脫落，機房應安裝防靜電活動地板。 機房安裝防雷和接地線，設置防雷保安器，防止感 應雷，要求防雷接地和機房接地分別安裝，且相隔一定的距離 ；機房設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。 配備空調系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境； 在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；提供短期的備用電力供應，滿足關鍵設備在斷電情況下的正常運行要求。設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；建立備用供電系統(tǒng)。鋪設線纜要求電源線和通信線纜隔離鋪設，避免互相干擾。對關鍵 設備和磁介質實施電磁屏蔽。 ? 典型產品推薦：消防系統(tǒng)、屏蔽機柜、電力供應系統(tǒng)、空調、環(huán)境監(jiān)控系統(tǒng) 等級保護（三級）方案模板 深信服科技 21 ? 設備與介質管理 為了防止無關人員和不法分子非法接近網絡并使用網絡中的主機盜取信息、破壞網絡和主機系統(tǒng)、破壞網絡中的