信息安全等级保护建设方案.doc

信息安全等级保护建设方案 北京安氏领信科技发展有限公司 二〇一一年十二月  目 录 1. 1 1.1. 项目背景 1 1.2. 参考文献 1 2. 需求分析 2 2.1. 系统现状 2 2.2. 安全域划分 3 3. 总体设计方案 4 3.1. 设计目标 4 3.2. 设计原则 5 3.3. 解决方案框架 6 4. 安全解决方案 6 4.1. 边界安全防护 7 4.2. 网络环境安全防护 9 4.3. 主机系统防护 11 4.4. 应用系统防护 14 4.5. 身份认证机制、用户权限及访问控制 14 4.6. 设备详细部署 15 4.6.1. 防火墙部署 15 4.6.2. 入侵防御系统部署（IPS） 15 4.6.3. Web盾部署 17 4.6.4. 访问控制网关 19 4.6.5. 安全管理平台（SOC） 21 5. 方案与等级保护基本要求对应表 24 6. 设备部署详细对照表 26 7. 安氏领信等级保护的实施过程 27 7.1定级阶段 29 7.2等级评估阶段 35 7.3安全总体规划 42 7.4安全实施阶段 43 7.5系统测评阶段 44 7.6安全运维阶段 46 附1：Windows系统加固手册样例 48 附2：成功案例 59 前言根据147号）和辽宁省对等级保护相关工作提出的要求，落实等级保护各项任务，提高辽宁省信息系统安全防护能力，特制定本方案 辽宁省为了落实和贯彻公安部、国家必威体育官网网址局、国家密码管理局、等国家有关部门信息安全等级保护工作要求，全面完善信息安全防护体系，落实“等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。 本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）、ISO/IEC 27001信息安全管理体系标准和ISO/IEC 13335信息安全管理标准等。 本方案实施的范围为：辽宁省 通过本建设方案的实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。 《信息安全技术信息安全等级保护基本要求》GB/T22239-2008 《信息安全等级保护管理办法》（公通字[2007]43号） 《信息安全技术信息安全风险评估规范》（GB/T 20984-2007） ISO/IEC 27001信息安全管理体系标准 ISO/IEC 13335信息安全管理标准 需求分析 系统现状 辽宁省XXXX内外网拓扑结构：辽宁省网络 主要问题：缺乏有效的控制措施。 根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求。 安全域划分 所谓安全域(Security omain)，是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域划分安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分，就是从安全角度将系统划分成不同的区域，以便实行分门别类的。应用系统主要部署于信息内网，与互联网有交互的子系统或功能单元部署于信息外网，信息内网与信息外网进行了安全的物理隔离，对于信息内外网将分别进行安全域划分。按照，方法进行安全域划分，辽宁省信息内网将有以下安全域：域（基于的安全建设现状，按等级保护三级要求进行安全防护建设)； 内网桌面终端域：由于桌面终端的安全防护与应用系统不同，将其划分为独立区域进行安全防护，信息内网桌面终端用于内网业务操作及内网业务办公处理，根据实际情况对桌面办公终端按业务部门或访问类型进一步进行区域细分，以便于针对不同的业务访问需求制定访问控制措施。 由于地市主要应用系统位于信息内网，信息外网主要是一些需要与互联网交互的子系统或应用模块，且系统数量较少，因此将应用系统统一部署于同一安全域内进行安全防护，该安全域中的应用系统在主机及应用层面按各系统所属的安全级别进行防护，网络及与信息外网边界防护按满足域中各系统所属最高等级就高进行安全建设 外网应用系统域：需与互联网进行数据交换的系统部署于外网应用系统域进行安全防护；（目前辽宁省外网应用系统域中应用服务器） 外网桌面终端域：外网桌面终端用于外网业务办公及互联网访问。 总体设计方案 设计目标 安全防护体系建设的总体目标是防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击，以确保信息系统安全稳定运行，确保业务数据安全。 信息安全等级保护，是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信