【正文】 心交換機(jī)與服務(wù)器交換機(jī)之間采用千兆光纖鏈路，服務(wù)器交換機(jī)與所有服務(wù)器之間采用千兆雙絞線鏈路；l 核心交換機(jī)與互聯(lián)網(wǎng)邊界路由器之間采用百兆雙絞線鏈路，路由器出口連接千兆光纖鏈路，實(shí)際出口帶寬為20M；l 托管機(jī)房的鏈路均有托管機(jī)房管理單位提供。 網(wǎng)絡(luò)架構(gòu)描述國家某局外網(wǎng)與互聯(lián)網(wǎng)相連，主要承載了外網(wǎng)辦公系統(tǒng)、政府網(wǎng)站、數(shù)據(jù)下載等業(yè)務(wù)。此外，機(jī)柜等設(shè)備都具有安全接地。國家某局機(jī)房配備了UPS系統(tǒng)，采用了市電+UPS兩路供電方式，并具有穩(wěn)壓器、過壓防護(hù)設(shè)備等，能夠保障電力的安全穩(wěn)定不間斷供應(yīng)。國家某局機(jī)房采用了具有耐火等級(jí)的建筑材料，并設(shè)置了滅火設(shè)備，安裝了自動(dòng)消防系統(tǒng)。機(jī)房配備了防盜報(bào)警系統(tǒng)和監(jiān)控報(bào)警系統(tǒng)。國家某局外網(wǎng)信息系統(tǒng)的主要網(wǎng)絡(luò)設(shè)備、服務(wù)器及安全設(shè)備均部署在外網(wǎng)機(jī)房中。 建設(shè)內(nèi)容項(xiàng)目的主要建設(shè)內(nèi)容是建立國家某局外網(wǎng)的總體信息安全等級(jí)保護(hù)體系，根據(jù)等保要求，國家某局外網(wǎng)的信息安全體系建設(shè)將包括以下幾個(gè)方面：l 物理安全設(shè)計(jì)l 網(wǎng)絡(luò)安全設(shè)計(jì)l 主機(jī)安全設(shè)計(jì)l 應(yīng)用安全設(shè)計(jì)l 數(shù)據(jù)安全及備份恢復(fù)l 安全管理機(jī)構(gòu)規(guī)劃l 安全管理制度規(guī)劃l 人員安全規(guī)劃l 系統(tǒng)建設(shè)規(guī)劃l 系統(tǒng)運(yùn)維規(guī)劃3 系統(tǒng)建設(shè)情況描述 物理環(huán)境分析國家某局新辦公樓共9層，機(jī)房位于新辦公樓的6層。本文將主要闡述和針對(duì)國家某局外網(wǎng)的信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的規(guī)劃設(shè)計(jì)，其內(nèi)網(wǎng)的建設(shè)方案另外單獨(dú)設(shè)計(jì)。國家某局外網(wǎng)信息安全體系是某局外網(wǎng)的重要組成部分，是某局信息化業(yè)務(wù)開展的重要安全屏障，它是一個(gè)包含技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)等五個(gè)技術(shù)層面）和管理（制度、機(jī)構(gòu)、人員、建設(shè)和運(yùn)維等五個(gè)管理層面）兩大方面，通過技術(shù)保障和規(guī)章制度建立起來的可靠有效的安全體系。經(jīng)過多年的信息化建設(shè)，已初具規(guī)模。為了盡快落實(shí)國家等級(jí)保護(hù)制度的相關(guān)要求，并進(jìn)一步提升自身的安全防護(hù)能力，國家某局在新辦公樓建設(shè)工程的網(wǎng)絡(luò)集成建設(shè)項(xiàng)目中同步進(jìn)行非涉密網(wǎng)絡(luò)的（分內(nèi)、外兩個(gè)網(wǎng)絡(luò)）等級(jí)保護(hù)建設(shè)方案規(guī)劃工作。從外部環(huán)境來看，信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點(diǎn)話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關(guān)注的焦點(diǎn)，從27號(hào)文件開始，國家陸續(xù)出臺(tái)了一系列的安全政策和標(biāo)準(zhǔn)，提出了以“適度安全、分級(jí)保護(hù)”為核心的等級(jí)保護(hù)建設(shè)思路，公安部、保密局、國密辦以及國信辦陸續(xù)出臺(tái)政策，要求國內(nèi)重要的信息系統(tǒng)應(yīng)按照等級(jí)保護(hù)的辦法和要求，進(jìn)行相關(guān)安全防護(hù)系統(tǒng)的建設(shè)，并于2007年啟動(dòng)了等級(jí)保護(hù)的定級(jí)備案工作，并于2009年底開始啟動(dòng)等級(jí)保護(hù)的安全建設(shè)整改工作。同樣對(duì)于國家某局，各層領(lǐng)導(dǎo)對(duì)安全工作非常重視，從建設(shè)初始逐年加大在安全建設(shè)方面的投資，進(jìn)行了一系列的安全組織、制度、管理和技術(shù)方面的安全建設(shè)工作。網(wǎng)絡(luò)及信息化的建設(shè)為國家某局的發(fā)展，提升國家某局業(yè)務(wù)處理效率，降低國家某局管理成本起到了關(guān)鍵的作用。外網(wǎng)信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案外網(wǎng)信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案目 錄1 前言 62 設(shè)計(jì)方案概述 7 編制背景 7 編制目的 7 建設(shè)內(nèi)容 83 系統(tǒng)建設(shè)情況描述 8 物理環(huán)境分析 8 網(wǎng)絡(luò)架構(gòu)描述 9 外網(wǎng)應(yīng)用系統(tǒng)分析 10 政府網(wǎng)站系統(tǒng) 11 電子政務(wù)信息交換系統(tǒng) 11 繼續(xù)教育管理系統(tǒng) 12 “十一五”重點(diǎn)某系統(tǒng) 13 網(wǎng)絡(luò)設(shè)備情況 14 服務(wù)器設(shè)備情況 15 安全設(shè)備情況 17 防火墻系統(tǒng) 17 網(wǎng)絡(luò)入侵防御系統(tǒng) 17 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 18 網(wǎng)絡(luò)行為審計(jì)系統(tǒng) 18 終端安全管理系統(tǒng) 18 終端防病毒 18 管理體系描述 194 外網(wǎng)安全需求分析 19 系統(tǒng)定級(jí)建議 19 確定定級(jí)對(duì)象 20 確定系統(tǒng)等級(jí) 21 外網(wǎng)安全風(fēng)險(xiǎn)分析 32 物理安全風(fēng)險(xiǎn) 33 網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 33 主機(jī)安全風(fēng)險(xiǎn) 35 應(yīng)用安全風(fēng)險(xiǎn) 37 數(shù)據(jù)安全風(fēng)險(xiǎn) 39 管理風(fēng)險(xiǎn) 40 安全需求分析 42 符合等級(jí)保護(hù)技術(shù)要求的需求 42 符合等級(jí)保護(hù)管理要求的需求 47 符合自身安全防護(hù)的需求 565 外網(wǎng)總體方案設(shè)計(jì) 59 設(shè)計(jì)目的 59 設(shè)計(jì)原則 59 設(shè)計(jì)參考標(biāo)準(zhǔn) 61 信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)和規(guī)范 61 其他信息安全標(biāo)準(zhǔn)和規(guī)范 62 總體安全方案設(shè)計(jì)概述 63 構(gòu)建分域的控制體系 63 構(gòu)建縱深的防御體系 63 保證一致的安全強(qiáng)度 64 分域保護(hù)框架建立 64 等級(jí)保護(hù)中對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全的要求和實(shí)現(xiàn) 64 安全域的定義 65 安全域劃分的原則 65 外網(wǎng)安全域劃分 66 外網(wǎng)域控制原則 68 外網(wǎng)VLAN劃分建議 69 確定分域框架下的保護(hù)強(qiáng)度 71 外網(wǎng)總體安全策略設(shè)計(jì) 72 物理安全策略 72 網(wǎng)絡(luò)安全策略 73 系統(tǒng)安全策略 74 應(yīng)用安全策略 75 安全管理策略 75 外網(wǎng)基于分域保護(hù)的總體設(shè)計(jì) 756 外網(wǎng)安全技術(shù)方案詳細(xì)設(shè)計(jì) 76 外網(wǎng)的物理安全設(shè)計(jì) 76 等保對(duì)物理安全防護(hù)的技術(shù)要求 76 對(duì)物理安全防護(hù)的技術(shù)實(shí)現(xiàn) 78 外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì) 81 網(wǎng)絡(luò)訪問控制 81 網(wǎng)絡(luò)入侵防護(hù) 87 網(wǎng)絡(luò)安全審計(jì) 92 其他網(wǎng)絡(luò)安全設(shè)計(jì) 94 外網(wǎng)的主機(jī)安全設(shè)計(jì) 99 系統(tǒng)主機(jī)及終端惡意代碼防范 99 外網(wǎng)終端桌面安全管理系統(tǒng) 102 其他主機(jī)安全設(shè)計(jì) 105 外網(wǎng)的應(yīng)用安全設(shè)計(jì) 114 等保對(duì)應(yīng)用安全防護(hù)的技術(shù)要求 114 對(duì)應(yīng)用安全防護(hù)的技術(shù)實(shí)現(xiàn) 118 網(wǎng)頁防篡改系統(tǒng)部署 120 網(wǎng)頁防篡改系統(tǒng)策略設(shè)計(jì) 122 外網(wǎng)的數(shù)據(jù)安全及備份恢復(fù)設(shè)計(jì) 123 等保對(duì)數(shù)據(jù)安全及備份恢復(fù)的技術(shù)要求 123 對(duì)數(shù)據(jù)安全及備份恢復(fù)的技術(shù)實(shí)現(xiàn) 124 數(shù)據(jù)庫安全加固措施 125 安全管理平臺(tái)設(shè)計(jì) 128 安全管理中心的主要作用 128 安全管理中心的部署方式 130 安全管理中心的功能設(shè)計(jì) 1317 安全管理方案詳細(xì)設(shè)計(jì) 1338 安全建設(shè)方案 133 等級(jí)保護(hù)總體建設(shè)過程 133 等級(jí)保護(hù)工程實(shí)施規(guī)劃 135 階段一：實(shí)現(xiàn)基本的安全部署 135 階段二：實(shí)現(xiàn)全面的安全部署 136 階段三：實(shí)現(xiàn)全面的安全優(yōu)化 1379 國家某局外網(wǎng)安全建設(shè)措施匯總 13810 附錄一：安全產(chǎn)品介紹 1401 前言國家某局是政府職能單位，負(fù)責(zé)制定某某發(fā)展的戰(zhàn)略、方針和政策，組織和管理某某工作的實(shí)施，監(jiān)督管理某某工作的執(zhí)行，參與開展某某教育，組織開展ZZZ資源的保護(hù)、開發(fā)和利用，負(fù)責(zé)某某文化的繼承發(fā)展，負(fù)責(zé)某某技術(shù)成果的推廣應(yīng)用，負(fù)責(zé)某某的國際推廣、應(yīng)用和傳播工作。國家某局自身非常重視信息化建設(shè)，從2001年就開始建設(shè)當(dāng)前運(yùn)行的網(wǎng)絡(luò)系統(tǒng)，分為三個(gè)網(wǎng)絡(luò)，分別是內(nèi)網(wǎng)、外網(wǎng)和國辦專網(wǎng)。伴隨著信息系統(tǒng)的快速發(fā)展，信息系統(tǒng)所面臨的安全威脅日益復(fù)雜，用戶對(duì)信息安全系統(tǒng)的需求與日俱增。目前國家某局部署了防火墻、防病毒、終端安全管理等安全產(chǎn)品，為國家某局信息網(wǎng)絡(luò)的安全防護(hù)起到了積極的作用。等級(jí)保護(hù)針對(duì)信息安全系統(tǒng)建設(shè)的過程，提出了具體的管理辦法和實(shí)施指南，并對(duì)信息安全系統(tǒng)提出了技術(shù)和管理方面的建設(shè)要求。2 設(shè)計(jì)方案概述 編制背景國家某局外網(wǎng)是國家某局電子政務(wù)系統(tǒng)的重要組成部分。隨著國家某局信息化程度的不斷提高，使對(duì)外網(wǎng)信息系統(tǒng)的依賴程度不斷增加，網(wǎng)上信息價(jià)值不斷增大，信息安全問題也日漸凸現(xiàn)。為了貫徹國家對(duì)電子政務(wù)信息系統(tǒng)安全保障工作的要求以及等級(jí)化保護(hù)“堅(jiān)持積極防御、綜合防范”的方針，全面提高信息安全防護(hù)能力，國家某局外網(wǎng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì)，全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù)國家利益，促進(jìn)國家某局外網(wǎng)信息化的深入發(fā)展。 編制目的本方案針對(duì)國家某局新辦公樓的外網(wǎng)網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)為基礎(chǔ)，分析國家某局外網(wǎng)的安全建設(shè)需求，結(jié)合國家等級(jí)保護(hù)的建設(shè)規(guī)范和技術(shù)要求而編制，為國家某局外網(wǎng)信息安全的等保符合性建設(shè)提供指導(dǎo)。機(jī)房?jī)?nèi)進(jìn)行了區(qū)域劃分管理，內(nèi)網(wǎng)機(jī)房、涉密屏蔽機(jī)房及外網(wǎng)機(jī)房部署在不同物理隔離區(qū)域內(nèi)，每個(gè)區(qū)域均配置了電子門禁系統(tǒng)，能夠控制、鑒別和記錄進(jìn)入的人員。機(jī)房?jī)?nèi)所有線纜均采用隱蔽走線方式，并對(duì)主要部件進(jìn)行了固定和標(biāo)記。國家某局新辦公樓和機(jī)房均安裝了避雷裝置，辦公樓內(nèi)提供了交流地線。國家某局機(jī)房采用了恒溫恒濕空調(diào)，能夠有效控制機(jī)房?jī)?nèi)溫濕度。國家某局外網(wǎng)機(jī)房到樓層配線間均采用光纖，配線間到辦公室信息點(diǎn)采用六類屏蔽線，能夠?yàn)橥饩W(wǎng)重要信息的處理、存儲(chǔ)和傳輸提供電磁泄漏防護(hù)措施。機(jī)房中的電源線和通信線纜采用了隔離布線方式。國家某局外網(wǎng)是一個(gè)星型的快速以太交換網(wǎng)，核心為一臺(tái)高性能三層交換機(jī)，下聯(lián)樓層接入交換機(jī)，上聯(lián)服務(wù)器區(qū)域交換機(jī)和安全管理服務(wù)器，外聯(lián)互聯(lián)網(wǎng)出口路由器；接入交換機(jī)向下連接信息點(diǎn)，即終端計(jì)算機(jī)。國家某局外網(wǎng)設(shè)備部署情況如下：l 核心交換機(jī)、業(yè)務(wù)服務(wù)器、安全管理服務(wù)器及安全設(shè)備部署在六層的外網(wǎng)機(jī)房；l 樓層接入交換機(jī)部署在一層至五層的配線間；l 終端計(jì)算機(jī)部署在一層至五層的各部門辦公室內(nèi)；l 托管服務(wù)器部署托管機(jī)房的服務(wù)器區(qū)域。 外網(wǎng)應(yīng)用系統(tǒng)分析國家某局外網(wǎng)目前主要的系統(tǒng)為政府網(wǎng)站系統(tǒng)、電子政務(wù)信息交換系統(tǒng)、繼續(xù)教育管理系統(tǒng)和“十一五”重點(diǎn)某系統(tǒng)。網(wǎng)站提供權(quán)威、準(zhǔn)確、全面、快速的信息服務(wù)、業(yè)務(wù)申請(qǐng)及公眾互動(dòng)功能，起到政令快速發(fā)布、下情及時(shí)上達(dá)的作用。該系統(tǒng)部署在托管機(jī)房的HP 服務(wù)器上，通過互聯(lián)網(wǎng)供局機(jī)關(guān)內(nèi)部人員、全國某某系統(tǒng)工作人員和社會(huì)公眾瀏覽查詢以及互動(dòng)交流。政府網(wǎng)站系統(tǒng)由兩臺(tái)服務(wù)器組成，一主一備。國家某局信息辦的網(wǎng)站維護(hù)工作人員通過遠(yuǎn)程訪問登陸后臺(tái)、維護(hù)信息及數(shù)據(jù)。 電子政務(wù)信息交換系統(tǒng)電子政務(wù)信息交換系統(tǒng)始建于06年，由飛狐靈通公司開發(fā)，承擔(dān)著國家某局與下屬某某局進(jìn)行電子公文交換的任務(wù)。電子政務(wù)信息交換系統(tǒng)由一臺(tái)服務(wù)器組成，數(shù)據(jù)庫與系統(tǒng)服務(wù)器安裝部署在同一臺(tái)HP服務(wù)器上，網(wǎng)站的后臺(tái)維護(hù)為B/S結(jié)構(gòu)，國家某局辦公室的管理維護(hù)工作人員通過網(wǎng)絡(luò)登陸后臺(tái)、維護(hù)信息及數(shù)據(jù)。經(jīng)過調(diào)查，該系統(tǒng)的具體情況為：n 應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫的訪問采用ODBC方式；n 數(shù)據(jù)庫認(rèn)證采取用戶名/口令的方式；n 數(shù)據(jù)庫能夠?qū)B接數(shù)進(jìn)行控制；n 系統(tǒng)提供了文件加密功能，對(duì)重要文件可以現(xiàn)在本地加密后再進(jìn)行傳輸；n 其他信息數(shù)據(jù)在網(wǎng)絡(luò)中傳輸沒有任何加密措施；n 應(yīng)用系統(tǒng)啟用了日志審計(jì)的功能；n 應(yīng)用系統(tǒng)采取的備份措施為：由人工定期備份到終端的方式；n 由于應(yīng)用系統(tǒng)為定制開發(fā)軟件，沒有定期進(jìn)行維護(hù)的服務(wù)。該系統(tǒng)承擔(dān)著全國某某行業(yè)繼續(xù)教育及培訓(xùn)項(xiàng)目的申報(bào)、審核和備案任務(wù)，同時(shí)提供學(xué)分證書查詢服務(wù)。繼續(xù)教育管理系統(tǒng)由一臺(tái)服務(wù)器組成，數(shù)據(jù)庫與系統(tǒng)服務(wù)器安裝部署在同一臺(tái)HP服務(wù)器上。國家某局信息辦承擔(dān)著繼續(xù)教育管理系統(tǒng)的安全保護(hù)責(zé)任。 “十一五”重點(diǎn)系統(tǒng)“十一五”重點(diǎn)某系統(tǒng)建設(shè)于07年，由內(nèi)部醫(yī)政司開發(fā)和維護(hù)，承擔(dān)著為社會(huì)公眾提供全國范圍內(nèi)重點(diǎn)某SSS信息和TTT信息的查詢服務(wù)工作?！笆晃濉敝攸c(diǎn)某系統(tǒng)由一臺(tái)服務(wù)器組成，數(shù)據(jù)庫與系統(tǒng)服務(wù)器安裝部署在同一臺(tái)HP服務(wù)器上。國家某局信息辦承擔(dān)著“十一五”重點(diǎn)某系統(tǒng)的安全保護(hù)責(zé)任。 網(wǎng)絡(luò)設(shè)備情況國家某局外網(wǎng)的網(wǎng)絡(luò)設(shè)備有核心交換機(jī)、服務(wù)器區(qū)域交換機(jī)、樓層接入交換機(jī)和互聯(lián)網(wǎng)接入路由器，均采用華為的設(shè)備。華為9303交換機(jī)的配置情況如下：l 配置了兩塊交流電源，提供電源冗余能力；l 配置了一塊主控板；l 9303具備3個(gè)業(yè)務(wù)槽位，本次配置了一塊24端口百兆／千兆以太網(wǎng)光接口板，為樓層接入交換機(jī)、服務(wù)器區(qū)域交換機(jī)提供網(wǎng)絡(luò)接入。服務(wù)器區(qū)域交換機(jī)采用華為S5328C，數(shù)量為一臺(tái)，部署在六層外網(wǎng)機(jī)房，具體情況如下：l 該交換機(jī)配置了兩塊交流電源，提供電源冗余能力；l 具有24個(gè)10／100／1000BaseT接口，為所有業(yè)務(wù)服務(wù)器提供網(wǎng)絡(luò)接入，并連接邊界防火墻。互聯(lián)網(wǎng)接入?yún)^(qū)域路由器采用華為AR4640，數(shù)量為一臺(tái)，部署在六層外網(wǎng)機(jī)房，配置如下：l 配備兩個(gè)10/100M以太網(wǎng)口，分別連接互聯(lián)網(wǎng)出口和邊界防火墻。一、業(yè)務(wù)系統(tǒng)服務(wù)器包括：政府網(wǎng)站系統(tǒng)服務(wù)器外網(wǎng)政府網(wǎng)站系統(tǒng)服務(wù)器托管在外單位機(jī)房，外網(wǎng)政府網(wǎng)站系統(tǒng)及其數(shù)據(jù)庫都安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為HP DL380G5，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無關(guān)帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)采用由專人定期前往機(jī)房現(xiàn)場(chǎng)維護(hù)的方式。電子政務(wù)信息交換系統(tǒng)服務(wù)器電子政務(wù)信息交換系統(tǒng)部署在外網(wǎng)機(jī)房，應(yīng)用系統(tǒng)及其數(shù)據(jù)庫都安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為HP DL360，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無關(guān)帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)方式采用遠(yuǎn)程桌面和現(xiàn)場(chǎng)相結(jié)合的方式，有專人負(fù)責(zé)相關(guān)工作。外網(wǎng)政府網(wǎng)站系統(tǒng)備份服務(wù)器外網(wǎng)政府網(wǎng)站系統(tǒng)備份服務(wù)器托管在外單位機(jī)房，設(shè)備型號(hào)為HP DL380G5，操作系統(tǒng)為WINDOWS 2003 Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無關(guān)帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)采用由專人定期前往機(jī)房現(xiàn)場(chǎng)維護(hù)的方式。瑞星網(wǎng)絡(luò)版防病毒系統(tǒng)服務(wù)器瑞星網(wǎng)絡(luò)版防病毒系統(tǒng)安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為HP DL165，操作系統(tǒng)為WINDOWS 2003 Server，