国家局外网信息系统信息安全等级保护设计方案模板.doc
《国家局外网信息系统信息安全等级保护设计方案模板.doc》由会员分享,可在线阅读,更多相关《国家局外网信息系统信息安全等级保护设计方案模板.doc(136页珍藏版)》请在咨信网上搜索。
1、国家XX局外网信息系统信息安全等级保护设计方案国家XX局1月目 录1序言62设计方案概述72.1编制背景72.2编制目标72.3建设内容83系统建设情况描述83.1物理环境分析83.2网络架构描述93.3外网应用系统分析103.3.1政府网站系统113.3.2电子政务信息交换系统113.3.3继续教育管理系统123.3.4“十一五”关键YYY系统133.4网络设备情况143.5服务器设备情况153.6安全设备情况173.6.1防火墙系统173.6.2网络入侵防御系统173.6.3网络入侵检测系统183.6.4网络行为审计系统183.6.5终端安全管理系统183.6.6终端防病毒183.7管理体
2、系描述194外网安全需求分析194.1系统定级提议194.1.1确定定级对象204.1.2确定系统等级214.2外网安全风险分析324.2.1物理安全风险334.2.2网络安全风险334.2.3主机安全风险354.2.4应用安全风险374.2.5数据安全风险394.2.6管理风险404.3安全需求分析424.3.1符合等级保护技术要求需求424.3.2符合等级保护管理要求需求474.3.3符合本身安全防护需求565外网总体方案设计595.1设计目标595.2设计标准595.3设计参考标准615.3.1信息系统安全等级保护标准和规范615.3.2其它信息安全标准和规范625.4总体安全方案设计概
3、述635.4.1构建分域控制体系635.4.2构建纵深防御体系635.4.3确保一致安全强度645.5分域保护框架建立645.5.1等级保护中对网络结构安全要求和实现645.5.2安全域定义655.5.3安全域划分标准655.5.4外网安全域划分665.5.5外网域控制标准685.5.6外网VLAN划分提议695.6确定分域框架下保护强度715.7外网总体安全策略设计725.7.1物理安全策略725.7.2网络安全策略735.7.3系统安全策略745.7.4应用安全策略755.7.5安全管理策略755.8外网基于分域保护总体设计756外网安全技术方案具体设计766.1外网物理安全设计766.1
4、.1等保对物理安全防护技术要求766.1.2对物理安全防护技术实现786.2外网网络安全设计816.2.1网络访问控制816.2.2网络入侵防护876.2.3网络安全审计926.2.4其它网络安全设计946.3外网主机安全设计996.3.1系统主机及终端恶意代码防范996.3.2外网终端桌面安全管理系统1026.3.3其它主机安全设计1056.4外网应用安全设计1146.4.1等保对应用安全防护技术要求1146.4.2对应用安全防护技术实现1186.4.3网页防篡改系统布署1206.4.4网页防篡改系统策略设计1226.5外网数据安全及备份恢复设计1236.5.1等保对数据安全及备份恢复技术要
5、求1236.5.2对数据安全及备份恢复技术实现1246.5.3数据库安全加固方法1256.6安全管理平台设计1286.6.1安全管理中心关键作用1286.6.2安全管理中心布署方法1306.6.3安全管理中心功效设计1317安全管理方案具体设计1338安全建设方案1338.1等级保护总体建设过程1338.2等级保护工程实施计划1358.2.1阶段一:实现基础安全布署1358.2.2阶段二:实现全方面安全布署1368.2.3阶段三:实现全方面安全优化1379国家XX局外网安全建设方法汇总13810附录一:安全产品介绍1401 序言国家XX局是政府职能单位,负责制订XXX发展战略、方针和政策,组织
6、和管理XXX工作实施,监督管理XXX工作实施,参与开展XXX教育,组织开展ZZZ资源保护、开发和利用,负责XXX文化继承发展,负责XXX技术结果推广应用,负责XXX国际推广、应用和传输工作。国家XX局本身很重视信息化建设,从就开始建设目前运行网络系统,分为三个网络,分别是内网、外网和国办专网。网络及信息化建设为国家XX局发展,提升国家XX局业务处理效率,降低国家XX局管理成本起到了关键作用。伴伴随信息系统快速发展,信息系统所面临安全威胁日益复杂,用户对信息安全系统需求和日俱增。一样对于国家XX局,各层领导对安全工作很重视,从建设初始逐年加大在安全建设方面投资,进行了一系列安全组织、制度、管理和
7、技术方面安全建设工作。现在国家XX局布署了防火墙、防病毒、终端安全管理等安全产品,为国家XX局信息网络安全防护起到了主动作用。从外部环境来看,信息安全已经成为近几年信息化建设热点话题,怎样保障信息系统安全已经成为国家关注焦点,从27号文件开始,国家陆续出台了一系列安全政策和标准,提出了以“适度安全、分级保护”为关键等级保护建设思绪,公安部、保密局、国密办和国信办陆续出台政策,要求中国关键信息系统应根据等级保护措施和要求,进行相关安全防护系统建设,并于开启了等级保护定级立案工作,并于底开始开启等级保护安全建设整改工作。等级保护针对信息安全系统建设过程,提出了具体管理措施和实施指南,并对信息安全系
8、统提出了技术和管理方面建设要求。为了立即落实国家等级保护制度相关要求,并深入提升本身安全防护能力,国家XX局在新办公楼建设工程网络集成建设项目中同时进行非涉密网络(分内、外两个网络)等级保护建设方案计划工作。2 设计方案概述2.1 编制背景国家XX局外网是国家XX局电子政务系统关键组成部分。经过多年信息化建设,已初具规模。伴随国家XX局信息化程度不停提升,使对外网信息系统依靠程度不停增加,网上信息价值不停增大,信息安全问题也日渐凸现。国家XX局外网信息安全体系是XX局外网关键组成部分,是XX局信息化业务开展关键安全屏障,它是一个包含技术(物理、网络、主机、应用和数据等五个技术层面)和管理(制度
9、、机构、人员、建设和运维等五个管理层面)两大方面,经过技术保障和规章制度建立起来可靠有效安全体系。为了落实国家对电子政务信息系统安全保障工作要求和等级化保护“坚持主动防御、综合防范”方针,全方面提升信息安全防护能力,国家XX局外网建设需要进行整体安全体系计划设计,全方面提升信息安全防护能力,创建安全健康网络环境,保护国家利益,促进国家XX局外网信息化深入发展。本文将关键叙述和针对国家XX局外网信息系统安全等级保护建设计划设计,其内网建设方案另外单独设计。2.2 编制目标本方案针对国家XX局新办公楼外网网络环境和应用系统为基础,分析国家XX局外网安全建设需求,结合国家等级保护建设规范和技术要求而
10、编制,为国家XX局外网信息安全等保符合性建设提供指导。2.3 建设内容项目标关键建设内容是建立国家XX局外网总体信息安全等级保护体系,依据等保要求,国家XX局外网信息安全体系建设将包含以下多个方面:l 物理安全设计l 网络安全设计l 主机安全设计l 应用安全设计l 数据安全及备份恢复l 安全管理机构计划l 安全管理制度计划l 人员安全计划l 系统建设计划l 系统运维计划3 系统建设情况描述3.1 物理环境分析国家XX局新办公楼共9层,机房在新办公楼6层。机房内进行了区域划分管理,内网机房、涉密屏蔽机房及外网机房布署在不一样物理隔离区域内,每个区域均配置了电子门禁系统,能够控制、判别和统计进入人
11、员。国家XX局外网信息系统关键网络设备、服务器及安全设备均布署在外网机房中。机房内全部线缆均采取隐蔽走线方法,并对关键部件进行了固定和标识。机房配置了防盗报警系统和监控报警系统。国家XX局新办公楼和机房均安装了避雷装置,办公楼内提供了交流地线。国家XX局机房采取了含有耐火等级建筑材料,并设置了灭火设备,安装了自动消防系统。国家XX局机房采取了恒温恒湿空调,能够有效控制机房内温湿度。国家XX局机房配置了UPS系统,采取了市电+UPS两路供电方法,并含有稳压器、过压防护设备等,能够保障电力安全稳定不间断供给。国家XX局外网机房到楼层配线间均采取光纤,配线间到办公室信息点采取六类屏蔽线,能够为外网关
12、键信息处理、存放和传输提供电磁泄漏防护方法。另外,机柜等设备全部含有安全接地。机房中电源线和通信线缆采取了隔离布线方法。3.2 网络架构描述国家XX局外网和互联网相连,关键承载了外网办公系统、政府网站、数据下载等业务。国家XX局外网拓扑图见下图所表示:图3-1 国家XX局外网网络拓扑结构示意图参考图3-1,国家XX局外网是一个星型快速以太交换网,关键为一台高性能三层交换机,下联楼层接入交换机,上联服务器区域交换机和安全管理服务器,外联互联网出口路由器;接入交换机向下连接信息点,即终端计算机。国家XX局外网链路情况以下:l 关键交换机和楼层接入交换机之间采取千兆光纤链路;l 楼层交换机采取百兆双
13、绞线链路下联终端计算机;l 关键交换机和服务器交换机之间采取千兆光纤链路,服务器交换机和全部服务器之间采取千兆双绞线链路;l 关键交换机和互联网边界路由器之间采取百兆双绞线链路,路由器出口连接千兆光纤链路,实际出口带宽为20M;l 托管机房链路全部有托管机房管理单位提供。国家XX局外网设备布署情况以下:l 关键交换机、业务服务器、安全管理服务器及安全设备布署在六层外网机房;l 楼层接入交换机布署在一层至五层配线间;l 终端计算机布署在一层至五层各部门办公室内;l 托管服务器布署托管机房服务器区域。外网信息点分布情况以下表所表示:序号 楼层 信息点数量 48口交换机数量 1 1层 155 2 2
14、 2层 148 2 3 3层 135 2 4 4层 118 2 5 5层 98 2 6 9层 6 利用5层交换机 国家XX局外网此次实际使用信息点数量为100个。3.3 外网应用系统分析国家XX局外网现在关键系统为政府网站系统、电子政务信息交换系统、继续教育管理系统和“十一五”关键YYY系统。3.3.1 政府网站系统政府网站系统始建于,内容不停丰富和完善,已经成为国家XX局外网信息系统关键组成部分,是国家XX局进行信息公布、和和社会公众互动交流平台。网站提供权威、正确、全方面、快速信息服务、业务申请及公众互动功效,起到政令快速公布、下情立即上达作用。网站关键由机构介绍、政务公开、公众参与、XX
15、X服务、XXX文化、医疗质量监测等模块组成。该系统布署在托管机房HP 服务器上,经过互联网供局机关内部人员、全国XXX系统工作人员和社会公众浏览查询和互动交流。为保障政府网站系统安全性,使用了入侵防御系统和网页防篡改系统形成边界保护和内容防护。政府网站系统由两台服务器组成,一主一备。服务器端软件基于SQL数据库和ASP.net平台开发,数据库和网站服务器安装布署在同一台HP服务器上。国家XX局信息办网站维护工作人员经过远程访问登陆后台、维护信息及数据。政府网站系统其它模块基础情况为:n 该模块建设于,由信息办开发和维护;n 应用系统为主页公布,后台无支持数据库;公布信息大多以静态文本方法发送;
16、n 主页系统对互联网用户最大并发会话数有限制;n 机构介绍、政务公开、公众参与、XXX服务、XXX文化等应用对互联网完全开放,所以不需要进行认证即可进行访问;n 主页服务器系统开启了日志审计功效。3.3.2 电子政务信息交换系统电子政务信息交换系统始建于,由飞狐灵通企业开发,负担着国家XX局和下属XXX局进行电子公文交换任务。电子政务信息交换系统布署在XXX管理外网机房HP 服务器上,经过外网局域网供医药管理局局机关外网用户访问,经过互联网供下属XXX局用户访问。电子政务信息交换系统由一台服务器组成,服务器端软件基于SQL数据库和ASP.net平台开发,数据库和系统服务器安装布署在同一台HP服
17、务器上,网站后台维护为B/S结构,国家XX局办公室管理维护工作人员经过网络登陆后台、维护信息及数据。国家XX局信息办负担着电子政务信息交换系统安全保护责任。经过调查,该系统具体情况为:n 应用系统对数据库访问采取ODBC方法;n 数据库认证采取用户名/口令方法;n 数据库能够对连接数进行控制;n 系统提供了文件加密功效,对关键文件能够现在当地加密后再进行传输;n 其它信息数据在网络中传输没有任何加密方法;n 应用系统启用了日志审计功效;n 应用系统采取备份方法为:由人工定时备份到终端方法;n 因为应用系统为定制开发软件,没有定时进行维护服务。3.3.3 继续教育管理系统继续教育管理系统始建于,
18、由人教司负责开发,现在还在建设完善中。该系统负担着全国XXX行业继续教育及培训项目标申报、审核和立案任务,同时提供学分证书查询服务。继续教育管理系统布署在国家XX局机房HP 服务器上,有互联网出口,供全国XXX继续教育及培训项目标申报单位、管理单位及社会公众经过互联网访问该系统。继续教育管理系统由一台服务器组成,服务器端软件基于MYSQL数据库和ASP.net平台开发,数据库和系统服务器安装布署在同一台HP服务器上。国家XX局维护工作人员经过网络登陆后台、维护信息及数据。国家XX局信息办负担着继续教育管理系统安全保护责任。该系统基础情况为:n 应用系统对数据库访问采取ODBC方法;n 数据库认
19、证采取用户名/口令方法;n 数据库能够对连接数进行控制;n 数据在网络中传输没有任何加密方法;n 现在应用系统还在继续开发过程中,还不含有备份等方法。3.3.4 “十一五”关键YYY系统“十一五”关键YYY系统建设于,由内部医政司开发和维护,负担着为社会公众提供全国范围内关键YYYSSS信息和TTT信息查询服务工作。十一五”关键YYY系统布署在国家XX局机房HP 服务器上,经过外网局域网供医药管理局局机关外网用户访问,经过互联网供社会公众访问。“十一五”关键YYY系统由一台服务器组成,服务器端软件基于SQL数据库和.net平台开发,数据库和系统服务器安装布署在同一台HP服务器上。国家XX局管理
20、维护工作人员经过网络登陆后台、维护信息及数据。国家XX局信息办负担着“十一五”关键YYY系统安全保护责任。该系统基础情况为:n 应用系统对数据库访问采取ODBC方法;n 数据库认证采取用户名/口令方法;n 数据库能够对连接数进行控制;n 数据在网络中传输没有任何加密方法;n 应用系统启用了日志审计功效;n 应用系统采取备份方法为:由人工定时备份到终端方法;n 因为应用系统为定制开发软件,没有定时进行维护服务。3.4 网络设备情况国家XX局外网网络设备相关键交换机、服务器区域交换机、楼层接入交换机和互联网接入路由器,均采取华为设备。关键交换机采取华为S9303,数量为一台,布署在六层外网机房。华
21、为9303交换机配置情况以下:l 配置了两块交流电源,提供电源冗余能力;l 配置了一块主控板;l 9303含有3个业务槽位,此次配置了一块24端口百兆千兆以太网光接口板,为楼层接入交换机、服务器区域交换机提供网络接入。还剩下2个槽位,含有一定扩容升级能力;l 9303最大背板容量为1.5T bps,交换容量最大为700G bps;整机最大千兆接口为144个,含有了较大接入冗余能力。服务器区域交换机采取华为S5328C,数量为一台,布署在六层外网机房,具体情况以下:l 该交换机配置了两块交流电源,提供电源冗余能力;l 含有24个101001000Base-T接口,为全部业务服务器提供网络接入,并
22、连接边界防火墙。办公区域交换机采取华为S5352C和S2352P,数量为各五台,布署在一至五层配线间,具体情况以下:l S5352C配置了两块交流电源,提供电源冗余能力;l S5352C含有48个101001000Base-T接口,连接同楼层S2352P和该楼层各办公室终端计算机;S5352C经过光口上联关键交换机S9303;另外,五层S5352C同时为九层会议室外网接口(6个网络端口)提供楼层接入;l S2352P含有48个10/100Base-TX接口,连接同楼层S5352C及该楼层各办公室终端计算机。互联网接入区域路由器采取华为AR4640,数量为一台,布署在六层外网机房,配置以下:l
23、配置两个10/100M以太网口,分别连接互联网出口和边界防火墙。3.5 服务器设备情况国家XX局外网服务器包含两种类型:应用系统服务器和安全管理服务器。一、业务系统服务器包含:政府网站系统服务器外网政府网站系统服务器托管在外单位机房,外网政府网站系统及其数据库全部安装在一台机架式服务器上,设备型号为HP DL380G5,操作系统为WINDOWS Server,服务器管理认证方法为用户名/口令方法;利用WINDOWS自带口令加密方法进行保护;在管理上服务器采取高强度口令,删除或禁用无关帐号,开启了日志审计功效,审计关键是用户登录日志;管理维护采取由专员定时前往机房现场维护方法。 “十一五”关键Y
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家 局外 信息系统 信息 安全 等级 保护 设计方案 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。