网络安全等级保护(第三级)网络安全设计全套.pdfVIP

网络安全等级保护（第三级）网络

安全设计

物理和环境安全建设

机房场地的选择

机房场地物理位置要远离人造和自然灾害多发的地方，例如：加油站、

储气站、蓄水池、机场、低洼地带、高犯罪率地区等。机房场所应具备

防震、防风、防雨等能力；机房不应建在建筑物的高层和地下室，以及

用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、

强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。

机房出入控制

设置电子门禁系统，进入机房的人员进行身份鉴别并登记在案；设置视

频监控系统，监控并限制进入机房人员的活动；对机房划分区域进行管

理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装

等过度区域。

相应采取的措施有：监控设备；电子门禁系统。

防盗窃和防破坏

主要设备存放位置物理受控；主要设备和部件固定，并加上不易拆除标

记；通信线路隐藏铺设；存储介质分类标记和存储；安装防盗报警设备。

相应采取的措施有：防盗报警系统。

防雷击

购置防雷设备，进行防雷击措施的保护；设置交流电接地线；防雷保安

器，防止感应雷。

相应采取的措施有：防雷保安器或过压保护装置。

防火

设置火灾自动消防系统，自动检测火情、自动报警、自动灭火；机房场

所建筑材料应当采用耐火材料；机房采取防火隔离设施，将重要设备和

其他设备隔离开。

相应采取的措施有：自动灭火报警系统；耐火材料、防火隔离设施。

防水和防潮

在水管安装时，不要使得水管穿过屋顶和活动地板下，以免水管破裂或

者爆裂造成水灾；对穿过墙壁和楼板的水管增加必要的保护措施，如设

置套管；采取必要的措施防止雨水通过屋顶和墙壁渗透，造成水灾；采

取措施防止室内水蒸气结露和地下积水的转移与渗透。

相应采取的措施有：安装对水敏感的检测仪表或元件，对机房进行防水

检测和报警。

防静电

在机房场所设置必要的接地等防静电措施；可以采用防静电地板或地毯。

相应采取的措施有：采用静电消除器、佩戴防静电手环等。

温湿度控制

购置恒温恒湿设备，保持机房的温湿度，保证设备运行在允许温湿度环

境下，防止设备在非正常的情况下运行造成的安全隐患。

相应采取的措施有：空调；恒湿空调设备。

电力供应

计算机系统供电应与其他供电分开；设置稳压和过压防护设备；提供短

期电力供应系统，如UPS系统；电力供应系统配置冗余或者并行的电

力电缆。

相应采取的措施有：稳压装置、过压保护器；UPS；备用发电机。

电磁防护

交流电一定要接地线，防止外界电磁干扰和寄生设备耦合；电力电缆与

通信线缆要实行分离部署，防止电磁干扰；重要设备和磁介质实行电子

屏蔽。

相应采取措施有：绝缘地板、防电磁干扰设备、关键设备实施电磁屏蔽。

安全技术体系设计方案

根据等级保护安全技术要求第三级中三重防护的思想和控制要求，安全

技术体系建设包括安全计算环境防护建设、安全区域边界防护建设、安

全通信网络防护建设，以及安全管理中心建设等几个方面。

安全计算环境防护设计

依据等级保护要求第三级中设备和计算安全、应用和数据安全等相关安

全控制项，结合安全计算环境对于用户身份鉴别、自主与标记访问控制、

系统安全审计、恶意代码防护、安全接入连接、安全配置检查等技术设

计要求，安全计算环境防护建设主要通过身份鉴别与权限管理、安全通

信传输、主机安全加固、终端安全基线、入侵监测/入侵防御、漏洞扫

描、恶意代码防护、Web应用攻击防护、网络管理监控、安全配置核

查、安全审计，重要节点设备冗余备份，以及系统和应用自身安全控制

等多种安全机制实现。具体如下：

身份鉴别与访问

身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用

系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、

安全堡垒机、4A平台系统等。

安全通信传输

通过VPN技术能够在管理终端与主机设备之间创建加密传输通道，实

现远程接入数据安全传输服务，保证数据传输的完整性和必威体育官网网址性。

通过将VPN安全系统与安全堡垒机系统相互关联和联动，能够实现网

络设备、主机系统、数据库等重要设备的远程安全管理，防止鉴别信息

在网络传输过程中被恶意窃听。

主机安全加固

主机操作系统安全加固不仅能够实现基于文件自主访问控制，对服务器

上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安

全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以

外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用

户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情

况的发生，