IDC等保三级解决方案通用模版.docxVIP

三级等保解决方案（通用版） ■文档编号 ■密级 商业机密 ■版本编号 V2.0 ■日期 2017-03-20 ■版本变更记录 时间 版本 说明 修改人V1 范孟飞V2 范孟飞 ■适用性声明 目录 TOC \h \z \t 附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3 一. 前言 1 二. 项目背景 1 三. 安全风险分析 2 3.1 设备安全风险 2 3.2 网络安全风险 2 3.3 应用层安全风险 3 3.4 数据安全风险 3 四. 需求分析 4 4.1 技术需求分析 4 4.2 管理需求分析 4 五. 等级保护建设 5 5.1 参考标准与依据 6 5.1.1 相关法规和政策 6 5.1.2 国家标准及行业标准 6 5.2 整体部署拓扑图 8 5.3 安全技术防护 - 9 - 5.3.1 边界访问控制 - 9 - 5.3.2 边界入侵防护 - 14 - 5.3.3 网站安全防护 - 28 - 5.3.4 安全审计 - 38 - 5.3.5 安全管理 - 47 - 5.4 等保建设咨询 - 69 - 5.4.1 技术层面差距分析 - 69 - 5.4.2 管理层面差距分析 - 71 - 5.4.3 安全评估及加固 - 72 - 5.4.4 安全管理体系建设 - 73 - 5.4.5 应急响应及演练 - 74 - 5.4.6 安全培训 - 74 - 5.4.7 测评辅助 - 75 - 六. 等保建设清单 - 76 - 七. 为什么选择绿盟科技 - 77 - 7.1 典型优势 - 78 - 7.1.1 拥有最高级别服务资质的专业安全公司 - 78 - 7.1.2 先进且全面的信息安全保障体系模型 - 78 - 7.1.3 可实现且已证明的体系建设内容 - 78 - 7.1.4 资深且经验丰富的项目团队 - 79 - 7.1.5 先进的辅助工具 - 79 - 7.2 资质荣誉 - 79 - 7.3 客户收益 - 82 - 前言 经过多年的信息化推进建设，企事业和政府机构信息化应用水平正不断提高，信息化建设成效显著。作为信息化发展的重要组成部分，信息安全的状态直接制约着信息化发展的程度。 作为企事业和政府机构重要的公众平台APP及web应用系统，由于其公众性质，使其成为攻击和威胁的主要目标， WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代，国家对重要信息系统（包括网站）的安全问题越来越重视，相继发布了一系列的政策要求，例如：公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）要求，加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月，中办国办《关于加强社会治安防控体系建设的意见》要求：“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。 为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护（三级）安全建设工作，绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商，结合自身多年的安全建设经验、业界领先的技术与产品，为政府单位等级保护安全建设提供本方案。 项目背景 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并将于2017年6月1日施行。该法案明确规定:建设、运营网络或通过网络提供服务，须依照法律、法规和国家标准强制性要求，采取各种措施，落实网络安全等级保护制度，保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，并对直接负责的主管人员处五千元以上五万元以下罚款。 上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中，也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。 xxx目前运营的网站类系统主要有官方网站、xx