【正文】 的整體安全性，形成技術和管理兩個部分的建設方案；分區(qū)分域建設原則對信息系統(tǒng)進行安全保護的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個信息資產(chǎn)的重要性是不同的，并且訪問特點也不盡相同，因此需要把具有相似特點的信息資產(chǎn)集合起來，進行總體防護，從而可更好地保障安全策略的有效性和一致性，比如把業(yè)務服務器集中起來單獨隔離，然后根據(jù)各業(yè)務部門的訪問需求進行隔離和訪問控制；另外分區(qū)分域還有助于對網(wǎng)絡系統(tǒng)進行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過嚴格的邊界安全防護限制事件在整網(wǎng)蔓延；標準性原則XXX信息安全保護體系應當同時考慮與其他標準的符合性，在方案中的技術部分將參考IATF安全體系框架進行設計，在管理方面同時參考27001安全管理指南，使建成后的等級保護體系更具有廣泛的實用性；動態(tài)調(diào)整原則信息安全問題不是靜態(tài)的，它總是隨著XXX管理相關的組織策略、組織架構、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施；標準性原則信息安全建設是非常復雜的過程，在設計信息安全系統(tǒng)，進行安全體系規(guī)劃中單純依賴經(jīng)驗，是無法對抗未知的威脅和攻擊，因此需要遵循相應的安全標準，從更全面的角度進行差異性分析，是本方案重點強調(diào)的設計原則；成熟性原則本方案設計采取的安全措施和產(chǎn)品，在技術上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應用的；科學性原則本方案的設計是建立在對XXX公司進行安全評估基礎上的，在威脅分析、弱點分析和風險分析方面，是建立在客觀評價的基礎上而展開分析的結果，因此方案設計的措施和策略一方面能夠符合國家等級保護的相關要求，另一方面也能夠很好地解決XXX公司信息網(wǎng)絡中存在的安全問題，滿足特性需求。對于XXX公司信息安全建設，應當以適度風險為核心，以重點保護為原則，從業(yè)務的角度出發(fā)，重點保護重要的業(yè)務、研發(fā)類信息系統(tǒng)，在方案設計中應當遵循以下的原則：適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，在進行XXX信息安全等級保護規(guī)劃中，要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。本方案針對XXX網(wǎng)絡環(huán)境、應用系統(tǒng)以及當前的安全措施為基礎，分析XXX公司的安全建設需求，結合國家等級保護的建設規(guī)范和技術要求而編制，一方面對XXX信息安全建設起到指導作用；另一方面可形成中小型企業(yè)（在業(yè)務以及信息化建設方面類似于XXX公司的客戶）安全防護系統(tǒng)建設方案，為企業(yè)進行安全建設起到建議作用；還可通過將等級保護基本要求在XXX公司的實際網(wǎng)絡環(huán)境中落地，形成多系統(tǒng)復雜環(huán)境的等級保護建設方法，指導用戶落實等級保護的制度和要求。從外部環(huán)境來看，信息安全已經(jīng)成為近幾年信息化建設的熱點話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關注的焦點，從27號文件開始，國家陸續(xù)出臺了一系列的安全政策和標準，提出了以“適度安全、分級保護”為核心的等級保護建設思路，公安部、保密局、國密辦以及國信辦陸續(xù)出臺政策，要求國內(nèi)重要的信息系統(tǒng)應按照等級保護的辦法和要求，進行相關安全防護系統(tǒng)的建設，并于2007年啟動了等級保護的定級備案工作。要從網(wǎng)絡、主機、應用系統(tǒng)不同層面建設多層次、立體化安全防護體系；要集中統(tǒng)一建設必備的網(wǎng)絡安全防護手段；在劃分安全區(qū)域，統(tǒng)一邊界的基礎上，實現(xiàn)重點防護和隔離。伴隨著信息系統(tǒng)的快速發(fā)展，信息系統(tǒng)所面臨的安全威脅日益復雜，對信息安全系統(tǒng)的需求與日俱增。 信息安全等級保護解決方案設計目 錄1 前言 6 設計目的 6 設計原則 7 參考標準 9 信息系統(tǒng)安全等級保護標準和規(guī)范 9 其他信息安全標準和規(guī)范 10 參考資料 11 其他說明 112 系統(tǒng)現(xiàn)狀描述 13 網(wǎng)絡架構描述 13 信息資產(chǎn)描述 17 網(wǎng)絡設備情況 17 VLAN 劃分 17 服務器設備情況 19 安全設備情況 25 應用系統(tǒng)描述 333 安全需求分析 46 系統(tǒng)定級建議 46 確定定級對象 46 確定系統(tǒng)定級 47 系統(tǒng)定級匯總 52 安全風險分析 52 根據(jù)風險掃描和調(diào)查問卷的結果進行分析 52 根據(jù)安全管理調(diào)查問卷的反饋進行分析 57 安全需求分析 68 符合等級保護技術要求的需求 68 符合等級保護管理要求的需求 80 符合自身安全防護的需求 914 安全解決方案 96 安全方案設計概述 96 構建分域的控制體系 96 構建縱深的防御體系 96 保證一致的安全強度 97 實現(xiàn)集中的安全管理 97 安全技術方案詳細設計 97 確定保護對象 98 保護計算環(huán)境 105 保護區(qū)域邊界 140 保護通信網(wǎng)絡 156 安全管理平臺 165 安全管理方案詳細設計 171 安全管理機構規(guī)劃 171 安全管理制度規(guī)劃 180 人員安全規(guī)劃 185 系統(tǒng)建設規(guī)劃 188 系統(tǒng)運維規(guī)劃 193 安全解決方案總結 200 安全技術建設效果 200 安全管理建設效果 2205 安全建設方案 224 等級保護總體建設過程 224 等級保護建設過程規(guī)劃 225 安全等級評估 225 安全體系設計 226 安全體系建設 227 安全運維建設 228 等級保護建設內(nèi)容規(guī)劃 228 階段一：實現(xiàn)基本的加固與配置 228 階段二：實現(xiàn)全面的安全配置 230 階段三：系統(tǒng)優(yōu)化配置 2336 安全建設總結 2367 附錄一 XXX安全建設投入概算 2428 附錄二 等級保護基本要求 248 等級保護技術要求 248 第3級信息系統(tǒng)的技術要求（JS_REQ_3） 248 第2級信息系統(tǒng)的技術要求（JS_REQ_2） 261 第1級信息系統(tǒng)的技術要求（JS_REQ_1） 271 等級保護管理要求 275 第3級信息系統(tǒng)的管理要求（GL_REQ_3） 275 第2級信息系統(tǒng)的管理要求（GL_REQ_2） 289 第1級信息系統(tǒng)的管理要求（GL_REQ_1） 2991 前言 設計目的XXX是一家在國內(nèi)從事信息安全業(yè)務的著名廠商，從1995年成立起，XXX以防火墻為基礎，陸續(xù)推出各類安全解決方案及產(chǎn)品，形成了安全產(chǎn)品、安全集成和安全服務三大業(yè)務體系，為政府、軍隊、金融、能源、電信、教育等眾多行業(yè)用戶提供安全技術及產(chǎn)品，協(xié)助用戶搭建起安全保護平臺，使其信息系統(tǒng)更好的服務于業(yè)務的應用。在對外開展業(yè)務的同時，XXX公司自身也非常重視信息化建設，逐步建成了覆蓋全國35個分支機構，覆蓋公司研發(fā)、銷售、商務、財務、生產(chǎn)等各個業(yè)務環(huán)節(jié)的信息處理平臺，信息化的建設為企業(yè)的發(fā)展，提升企業(yè)業(yè)務處理效率，降低企業(yè)管理成本起到了關鍵的作用。XXX公司各層領導對安全工作非常重視，從96年起逐年加大在安全建設方面的投資，進行了一系列的安全組織、制度、管理和技術方面的安全建設工作，在近期要求的安全工作包括加強基礎安全管理，包括落實組織保障和安全責任；加強日常安全生產(chǎn)工作；逐步開展安全建設。目前公司利用防火墻、VPN、防病毒、終端安全管理、安全信息管理等技術，為公司信息網(wǎng)絡的安全防護起到了一定的效果。等級保護針對信息安全系統(tǒng)建設的過程，提出了具體的管理辦法和實施指南，并對信息安全系統(tǒng)提出了技術和管理方面的建設要求。 設計原則等級保護是國家信息安全建設的重要政策，其核心是對信息系統(tǒng)分等級、按標準進行建設、管理和監(jiān)督。適度安全也是等級保護建設的初衷，因此在進行等級保護設計的過程中，一方面要嚴格遵循基本要求，從網(wǎng)絡、主機、應用、數(shù)據(jù)等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，另外也要綜合成本的角度，針對XXX公司信息系統(tǒng)的實際風險，提出對應的保護強度，并按照保護強度進行安全防護系統(tǒng)的設計和建設，從而有效控制成本。 參考標準本方案根據(jù)國家提出的等級保護管理辦法和實施指南，針對XXX信息系統(tǒng)的特點和安全建設需求，進行全面的安全保障規(guī)劃，設計中重點參考的政策和標準包括以下兩個部分： 信息系統(tǒng)安全等級保護標準和規(guī)范本方案重點參考以下的的政策和標準：指導思想中辦[2003]27號文件（關于轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》的通知）公通字[2004]66號文件（關于印發(fā)《信息安全等級保護工作的實施意見》的通知）公通字[2007]43號文件（關于印發(fā)《信息安全等級保護管理辦法》的通知）等級保護GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T aaaaaxxxx 信息安全技術 信息系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T aaaaaxxxx 信息安全技術 信息系統(tǒng)安全保護等級定級指南技術方面GB/T 202702006 信息安全技術 網(wǎng)絡基礎安全技術要求GB/T 202712006 信息安全技術 信息系統(tǒng)通用安全技術要求GB/T 202722006 信息安全技術 操作系統(tǒng)安全技術要求GB/T 202732006 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)通用安全技術要求GA/T6712006 信息安全技術 ISO/IEC 15408（CC）：《信息技術安全評估準則》。216。 ISO/IEC 17799/BS77991：《信息安全管理體系實施指南》。216。216。 公安部第51號令：《計算機病毒防治管理辦法》216。 《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》公安部 參考資料為確保本方案能夠客觀地反應XXX公司信息系統(tǒng)的當前現(xiàn)狀，方案便之前對XXX公司信息系統(tǒng)進行了全面的檢查，得到以下的調(diào)查表作為方案分析的參考資料：n 《XXX信息安全等級保護安全檢查－物理環(huán)境調(diào)查表》；n 《XXX信息安全等級保護安全檢查－網(wǎng)絡結構調(diào)查表》；n 《XXX信息安全等級保護安全檢查－網(wǎng)管系統(tǒng)調(diào)查表》；n 《XXX信息安全等級保護安全檢查－應用設備調(diào)查表》；n 《XXX信息安全等級保護安全檢查－應用系統(tǒng)調(diào)查表》；n 《XXX信息安全等級保護安全檢查－數(shù)據(jù)存儲與備份調(diào)查表》；n 《XXX信息安全等級保護安全檢查－安全管理調(diào)查表》。XXX公司作為專業(yè)的信息安全廠商，經(jīng)過十余年的經(jīng)營發(fā)展，已經(jīng)擁有了覆蓋國內(nèi)政府、軍隊、金融、能源、電信、教育等數(shù)萬家用戶，為用戶提供各類安全產(chǎn)品及服務，因此一旦公司的核心技術資料早到泄露，那么將嚴重影響到用戶的切身利益，將會引起大規(guī)模的恐慌，因此其信息系統(tǒng)可以按照嚴重影響社會和公眾利益的程度進行定級，確定最高為3級?？偛啃畔⒕W(wǎng)絡包括辦公和研發(fā)兩大部分，其中辦公部分包含了進行業(yè)務處理的業(yè)務服務網(wǎng)（運行著企業(yè)EBS系統(tǒng)、KCRM以及財務軟件和內(nèi)部辦公系統(tǒng)）；外部服務網(wǎng)（公司主頁發(fā)布、郵件系統(tǒng)、產(chǎn)品升級服務器等面向互聯(lián)網(wǎng)的應用處理）；OA辦公網(wǎng)（內(nèi)部各個部門的辦公終端以及內(nèi)部論壇和文件服務器等）以及生產(chǎn)車間（生產(chǎn)部門的終端及服務器）；研發(fā)部分則包含了與研發(fā)相關的研發(fā)服務網(wǎng)（研發(fā)部門專用的版本服務器和BUG內(nèi)部服務器）；以及研發(fā)辦公網(wǎng)（研發(fā)部門的辦公終端組成）。從組網(wǎng)方式上，XXX公司采取防火墻作為核心交換設備，并且在各個子網(wǎng)的邊界也采用防火墻技術實現(xiàn)隔離，其具體的組網(wǎng)方式可見下圖表示： XXX公司網(wǎng)絡拓撲結構示意圖，XXX公司的網(wǎng)絡結構分為總部和分支兩個部分，其中分支機構的網(wǎng)絡非常簡單，通過二層交換機連接終端，然后通過邊界防火墻接入到互聯(lián)網(wǎng)；同時分支機構邊界上部署的防火墻包含了IPSec VPN模塊，與總部互聯(lián)網(wǎng)邊界部署的防火墻內(nèi)置的VPN模塊形成關到關的加密隧道，保障了分支機構可以安全地訪問總部信息網(wǎng)絡；總部信息網(wǎng)絡的核心為一臺XXX獵豹防火墻，利用防火墻的接口將總部劃分為多個隔離的安全區(qū)域，包括辦公終端區(qū)域（包括分布在公司三樓、四樓和五樓的辦公終端設備）、研發(fā)終端區(qū)域（分布在公司五樓研發(fā)部門的辦公終端）、生產(chǎn)車間終端區(qū)域（生產(chǎn)車間內(nèi)使用的專用于訪問EBS的終端設備）、業(yè)務服務器區(qū)域（部署在公司五樓機房的服務器，運行著公司的EBS、財務等重要業(yè)務系統(tǒng)）、研發(fā)服務器區(qū)域（部署在五樓研發(fā)機房內(nèi)的服務器，運行著研發(fā)的CVS、BUGzilla系統(tǒng)），測試機房公網(wǎng)區(qū)域（部署在五樓研發(fā)的測試專用機房,主要是對公司的安全產(chǎn)品進行功能性測試的區(qū)域），外部服務器區(qū)域（部署在五樓機房內(nèi)，運行著公司的郵件服務器、主頁發(fā)布服務器、DNS服務器、產(chǎn)品升級服務器等面向互聯(lián)網(wǎng)開發(fā)提供訪問的區(qū)域）、網(wǎng)絡運維區(qū)域（部署在公司四樓展示廳，運行著公司的終端安全管理平臺以及安全信息管理平臺的服務器，防火墻管理服務器以及公司內(nèi)部使用的網(wǎng)絡管理服務器和病毒升級服務器）。涉密檔案室：在物理上單獨部署，與其他任何區(qū)域沒有連接，實行嚴格物理隔離的小型局域網(wǎng)，網(wǎng)絡內(nèi)存放并處理公司涉及國家秘密的文件，包括涉密項目的過程文件、方案，以及國家下發(fā)的涉密系統(tǒng)建設的相關政策要求和規(guī)范等。 VLAN 劃分XXX信息網(wǎng)絡內(nèi)沒有引入三層交換機，在網(wǎng)段劃分上則通過防火墻端口自然隔離為不同的VLAN，各個不同的VLAN提供給不同的部門使用，并且按照部門的職能劃分，防火墻執(zhí)行不同的訪問控制策略，具體VLAN劃分的方式如下：VLAN IP地址VLAN內(nèi)用戶網(wǎng)關防火墻VLAN 1業(yè)務服務器區(qū)域核心防火墻ETH1口VLAN 2行政部四樓防火墻ETH1口VLAN 3總裁辦公室四樓防火墻ETH1口VLAN 4銷售管理和售前四樓防火墻ETH1口VLAN 5銷售體系四樓防火墻ETH1口VLAN 6財務部四樓防火墻ETH1口VLAN 7客服部三樓防火墻ETH1口VLAN 8信息管理部四樓防火墻ETH1口VLAN 9人力資源部四樓防火墻ETH1口VLAN 10生產(chǎn)車間三