社会管理服务信息平台项目立项信息系统信安全等级保护设计论文方案.doc

凤翔县社会管理服务信息平台项目信息系统 信息安全等级保护设计方案 西安鼎蓝通讯技术有限公司 2013年6月 目 录 1 前言 6 2 设计方案概述 7 2.1 编制背景 7 2.2 编制目的 7 2.3 建设内容 7 3 系统建设情况描述 8 3.1 物理环境分析 8 3.2 网络架构描述 8 3.3 外网应用系统分析 9 3.3.1 百姓网站系统 9 3.4 网络设备情况 10 3.5 服务器设备情况 10 3.6 安全设备情况 11 3.6.1 防火墙系统 11 3.6.2 网络入侵防御系统 11 3.6.3 网络入侵检测系统 12 3.6.4 网络行为审计系统 12 3.6.5 终端安全管理系统 12 3.6.6 终端防病毒 12 4 外网安全需求分析 13 4.1 系统定级建议 13 4.1.1 确定定级对象 13 4.1.2 确定系统等级 14 4.2 外网安全风险分析 25 4.2.1 物理安全风险 25 4.2.2 网络安全风险 26 4.2.3 主机安全风险 28 4.2.4 应用安全风险 30 4.2.5 数据安全风险 32 4.2.6 管理风险 33 4.3 安全需求分析 35 4.3.1 符合等级保护技术要求的需求 35 4.3.2 符合等级保护管理要求的需求 40 4.3.3 符合自身安全防护的需求 49 5 外网总体方案设计 52 5.1 设计目的 52 5.2 设计原则 52 5.3 设计参考标准 54 5.3.1 信息系统安全等级保护标准和规范 55 5.3.2 其他信息安全标准和规范 55 5.4 总体安全方案设计概述 56 5.4.1 构建分域的控制体系 56 5.4.2 构建纵深的防御体系 57 5.4.3 保证一致的安全强度 57 5.5 分域保护框架建立 57 5.5.1 等级保护中对网络结构安全的要求和实现 57 5.5.2 安全域的定义 58 5.5.3 安全域划分的原则 59 5.5.4 外网安全域划分 59 5.5.5 外网域控制原则 61 5.5.6 外网VLAN划分建议 62 5.6 确定分域框架下的保护强度 64 5.7 外网总体安全策略设计 65 5.7.1 物理安全策略 65 5.7.2 网络安全策略 66 5.7.3 系统安全策略 67 5.7.4 应用安全策略 68 5.7.5 安全管理策略 68 5.8 外网基于分域保护的总体设计 69 6 外网安全技术方案详细设计 69 6.1 外网的物理安全设计 69 6.1.1 等保对物理安全防护的技术要求 69 6.1.2 对物理安全防护的技术实现 71 6.2 外网的网络安全设计 74 6.2.1 网络访问控制 74 6.2.2 网络入侵防护 79 6.2.3 网络安全审计 84 6.2.4 其他网络安全设计 86 6.3 外网的主机安全设计 90 6.3.1 系统主机及终端恶意代码防范 90 6.3.2 外网终端桌面安全管理系统 93 6.3.3 其他主机安全设计 96 6.4 外网的应用安全设计 104 6.4.1 等保对应用安全防护的技术要求 104 6.4.2 对应用安全防护的技术实现 108 6.4.3 网页防篡改系统部署 111 6.4.4 网页防篡改系统策略设计 112 6.5 外网的数据安全及备份恢复设计 113 6.5.1 等保对数据安全及备份恢复的技术要求 113 6.5.2 对数据安全及备份恢复的技术实现 114 6.5.3 数据库安全加固措施 115 6.6 安全管理平台设计 118 6.6.1 安全管理中心的主要作用 118 6.6.2 安全管理中心的部署方式 120 6.6.3 安全管理中心的功能设计 120 7 安全管理方案详细设计 123 8 安全建设方案 123 8.1 等级保护总体建设过程 123 8.2 等级保护工程实施规划 125 8.2.1 阶段一：实现基本的安全部署 125 8.2.2 阶段二：实现全面的安全部署 126 8.2.3 阶段三：实现全面的安全优化 127 9 凤翔县社会管理服务信息平台项目安全建设措施汇总 128  前言 国家XX局是政府职能单位，负责制定XXX发展的战略、方针和政策，组织和管理XXX工作的实施，监督管理XXX工作的执行，参与开展XXX教育，组织开展ZZZ资源的保护、开发和利用，负责XXX文化的继承发展，负责XXX技术成果的推广应用，负责XXX的国际推广、应用和传播工作。 国家XX局自身非常重视信息化建设，从2001年就开始建设当前运行的网络系统，分为三个网络，分别是内网、外网和国办专网。网络及信息化的建设为国家XX局的发展，提升国家XX局业务处理效率，降低国家XX局管理成本起