网络安全等级保护安全通用要求建设方案.docx
《网络安全等级保护安全通用要求建设方案.docx》由会员分享,可在线阅读,更多相关《网络安全等级保护安全通用要求建设方案.docx(131页珍藏版)》请在冰点文库上搜索。
网络安全等级保护安全通用要求建设方案
网络安全等级保护建设方案
(安全通用要求)
北京启明星辰信息安全技术有限公司
BeijingVenustechInformationSecurityTechnologyCo.,Ltd.
二零一九年五月
网络安全等级保护建设方案(安全通用要求)
目
录
1.
项目概述.......................................................................................................................
4
1.1.
项目概述...................................................................................................................
4
1.2.
项目建设背景............................................................................................................
4
1.2.1.
法律依据...............................................................................................................
4
1.2.2.
政策依据...............................................................................................................
4
1.3.
项目建设目标及内容.................................................................................................
6
1.3.1.
建设目标...............................................................................................................
6
1.3.2.
建设内容...............................................................................................................
7
1.4.
等级保护对象分析与介绍..........................................................................................
7
2.
方案设计说明................................................................................................................
7
2.1.
设计依据...................................................................................................................
7
2.2.
设计原则...................................................................................................................
8
2.2.1.
分区分域防护原则................................................................................................
8
2.2.2.
均衡性保护原则....................................................................................................
8
2.2.3.
技管并重原则.......................................................................................................
8
2.2.4.
动态调整原则.......................................................................................................
8
2.2.5.
三同步原则...........................................................................................................
9
2.3.
设计思路...................................................................................................................
9
2.4.
设计框架.................................................................................................................
10
3.
安全现状及需求分析....................................................................................................
10
第1页
网络安全等级保护建设方案(安全通用要求)
3.1.安全现状概述10
3.2.安全需求分析11
3.2.1.物理环境安全需求11
3.2.2.通信网络安全需求12
3.2.3.区域边界安全需求13
3.2.4.计算环境安全需求14
3.2.5.安全管理中心安全需求15
3.2.6.安全管理制度需求15
3.2.7.安全管理机构需求15
3.2.8.安全管理人员需求16
3.2.9.安全建设管理需求16
3.2.10.安全运维管理需求17
3.3.合规差距分析18
4.技术体系设计方案18
4.1.技术体系设计目标18
4.2.技术体系设计框架19
4.3.安全技术防护体系设计19
4.3.1.安全计算环境防护设计19
4.3.2.安全区域边界防护设计23
4.3.3.安全通信网络防护设计25
4.3.4.安全管理中心设计28
第2页
网络安全等级保护建设方案(安全通用要求)
5.
管理体系设计方案.......................................................................................................
28
5.1.
管理体系设计目标...................................................................................................
28
5.2.
管理体系设计框架...................................................................................................
29
5.3.
安全管理防护体系设计...........................................................................................
29
5.3.1.
安全管理制度设计..............................................................................................
29
5.3.2.
安全管理机构设计..............................................................................................
30
5.3.3.
安全管理人员设计..............................................................................................
30
5.3.4.
安全建设管理设计..............................................................................................
31
5.3.5.
安全运维管理设计..............................................................................................
32
6.
产品选型与投资概算....................................................................................................
38
7.
部署示意及合规性分析................................................................................................
39
7.1.
部署示意及描述......................................................................................................
39
7.2.
合规性分析.............................................................................................................
39
7.2.1.
技术层面.............................................................................................................
39
7.2.2.
管理层面.............................................................................................................
41
第3页
网络安全等级保护建设方案(安全通用要求)
1.项目概述
1.1.项目概述
根据实际项目情况编写、完善。
1.2.项目建设背景
1.2.1.法律依据
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147
号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标
准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,
网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定
级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络
免受干扰、破坏或者XX的访问,防止网络数据泄露或者被窃取、篡改;第
三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行
重点保护。
《网络安全法》的颁布实施,标志着从1994年的国务院条例(国务院令第147
号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度
进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安
全等级保护制度依法全面实施。
1.2.2.政策依据
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办
发〔2003〕27号)明确指出,“实行信息安全等级保护。
要重点保护基础信息网
络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息
安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等
第4页
网络安全等级保护建设方案(安全通用要求)
级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的
基本制度。
2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公
通字〔2004〕66号)指出,信息安全等级保护制度是国民经济和社会信息化的发
展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。
2012年,《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。
除此之外,下列政策文件也对等级保护相关工作提出了要求:
《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕
1431号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安
〔2007〕861号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》
(发改高技〔2008〕2071号)
《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》(发改高技〔2008〕2544号)
《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安
〔2009〕1429号)》
《关于进一步推动中央企业信息安全等级保护工作的通知》(公通字
〔2010〕70号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号)
《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技
〔2012〕1986号)
第5页
网络安全等级保护建设方案(安全通用要求)
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012
年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)《网络安全等级保护条例(征求意见稿)》(2018年6月)
1.3.项目建设目标及内容
1.3.1.建设目标
网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。
等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全
建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。
依据网络安全等级保护相关标准和指导规范,对XXXX单位XXXX系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和
安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。
最终使XXXXX系统达到安全等级保护第三级要求。
经过建设后,使整个网络形成一套完善的安全防护体系,提升整体网络安全防护能力。
对于三级网络,经过安全建设整改,网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的网络,应该能够快速恢复正常运行状态;具有对网络资源、用户、安全机制等进行集中控管的能力。
第6页
网络安全等级保护建设方案(安全通用要求)
1.3.2.建设内容
本项目以XXX单位XXXXX系统等级保护建设为主线,以让相关信息系统达到
安全等级保护第三级要求。
借助网络产品、安全产品、安全服务、管理制度等手
段,建立全网的安全防控管理服务体系,从而全面提高XXXX单位的安全防护能
力。
建设内容包括安全产品采购部署、安全加固整改、安全管理制度编写等。
1.4.等级保护对象分析与介绍
以基础通信网络及其承载的信息系统、数据为保护对象。
根据实际等级保护对象情况编写。
2.方案设计说明
2.1.设计依据
本方案是根据2019年5月13日最新发布的GB/T22239-2019《信息安全技
术网络安全等级保护基本要求》的安全通用要求和安全目标,参照GB/T
25070-2019《信息安全技术网络安全等级保护安全设计技术要求》的通用设计技术要求,针对第三级系统而提出的安全保护等级设计方案。
除上述两个标准外,还参考了如下相关标准:
《信息技术安全技术信息安全管理体系要求》(ISO/IEC27001:
2013)
《信息技术安全技术信息安全控制实用规则》(ISO/IEC27002:
2013)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)
《网络安全等级保护定级指南》(GA/T1389-2017)
《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010)
《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)
第7页
网络安全等级保护建设方案(安全通用要求)
《信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)
2.2.设计原则
2.2.1.分区分域防护原则
任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行
为而不会破坏整个网络,以达到纵深防御的安全目标,需要合理划分安全域,综
合采用多种有效安全保护措施,实施多层、多重保护。
2.2.2.均衡性保护原则
对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全
需求、安全风险与安全保护代价的关系。
因此,结合适度防护实现分等级安全保
护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。
2.2.3.技管并重原则
网络安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实
现。
因此在考虑网络安全时,必须将各种安全技术与运行管理机制、人员思想教
育、技术培训、安全规章制度建设相结合,坚持管理与技术并重,从而保障网络
安全。
2.2.4.动态调整原则
由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一
步到位、一劳永逸地解决网络安全问题是不现实的。
网络安全保障建设可先保证
基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安
全保护措施,加强安全防护力度,以适应新的网络安全环境,满足新的网络安全
需求。
当安全保护等级需要变更时,应当根据等级保护的管理规范和技术标准的
要求,重新确定网络安全保护等级,根据调整情况重新实施安全保护。
第8页
网络安全等级保护建设方案(安全通用要求)
2.2.5.三同步原则
网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行
网络安全保护、保密和密码保护措施,确保其具有支持业务稳定、持续运行性能
的同时,保证安全技术措施能够保障网络安全与信息化建设相适应。
在全过程中
推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。
2.3.设计思路
参考网络安全等级保护安全设计技术要求,本方案的设计思路如下:
根据系统定级的结果,明确该等级对应的总体防护措施;
根据系统和子系统划分结果、安全定级结果,将保护对象归类,并组成
保护对象框架;
根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架中;
根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上;
根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边界和安全域互联策略;
根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调整安全措施;根据安全技术体系和安全管理体系的划分,各安全措施共同组成了安全措施框架;
根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行安全区域的划分;各安全区域将保护对象框架划分成不同部分,即各安全措施发生作用的保护对象集合。
根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设
第9页
网络安全等级保护建设方案(安全通用要求)
计安全解决方案。
2.4.设计框架
3.安全现状及需求分析
3.1.安全现状概述
根据客户现状对等级保护对象进行分析。
对现有安全域划分情况及网络拓扑
图进行描述。
第10页
网络安全等级保护建设方案(安全通用要求)
3.2.安全需求分析
3.2.1.物理环境安全需求
物理环境安全主要影响因素包括机房环境、机柜、电源、通信线缆和其他设备的物理环境。
该层面为基础设施和业务应用系统提供了一个生成、处理、存储和传输数据的物理环境。
具体安全需求如下:
由于机房容易遭受雷击、地震和台风和暴
升级会员 