第三级安全保护环境建设方案模板.docx

第三级安全保护环境建设方案模板树立方案瑞达信息平安产业股份〔2020〕目 录1. 前言 41.1. 项目称号 41.2. 单位称号 41.3. 树立背景 41.4. 条件与假定 61.5. 契合的规范规范 62. 需求剖析 72.1. 信息系统部署结构现状剖析 72.2. 物理平安剖析 72.3. 网络平安剖析 92.4. 主机平安剖析 102.5. 运用平安剖析 122.6. 数据平安剖析 143. 总体树立方案 153.1. 总体树立目的 153.2. 总体树立原那么 153.3. 平安改造后的信息部署结构 163.4. 平安维护体系树立 163.4.1. 树立〝一个中心〞管理下的〝三重保证体系〞 163.4.2. 树立平安维护环境 173.4.3. 树立系统平安互联 184. 第三级平安维护体系树立方案 184.1. 平安计算环境树立 184.1.1. 部署三级操作系统 204.1.2. 部署系统平安审计系统 214.1.3. 部署客体重用系统 214.1.4. 部署文档加密系统 224.2. 平安通讯网络树立 234.2.1. 部署网络平安审计系统 244.2.2. 树立IPSEC VPN 264.2.3. 部署网络通讯平安监控系统 264.2.4. 部署网络通讯管理系统 274.3. 平安区域边界树立 274.3.1. 部署防火墙 284.3.2. 部署可信接入网关 304.3.3. 部署入侵检测系统 334.3.4. 部署运用防护墙 334.4. 平安管理中心树立 334.4.1. 部署网络管理中心 344.4.2. 部署自主访问控制系统管理中心 354.4.3. 部署平安审计管理中心 385. 系统平安互联 415.1.1. 平安互联部件设计技术要求 415.1.2. 树立跨定级系统平安管理中心 416. 第三级平安维护环境产品清单 421. 前言1.1. 项目称号1.2. 单位称号1.3. 树立背景«中华人民共和国计算机信息系统平安维护条例»〔国务院令第147号〕明白规则我国〝计算机信息系统实行平安等级维护〞。

依据国务院147号令要求而制定发布的强迫性国度规范«计算机信息系统平安维护等级划分准那么»〔GB17859-1999〕为计算机信息系统平安维护等级的划分奠定了技术基础«国度信息化指导小组关于增强信息平安保证任务的意见»〔中办发[2003]27号〕明白指出实行信息平安等级维护，〝要重点维护基础信息网络和关系国度平安、经济命脉、社会动摇等方面的重要信息系统，抓紧树立信息平安等级维护制度〞«关于信息平安等级维护任务的实施意见»〔公通字[2004]66号〕和«信息平安等级维护管理方法»〔公通字[2007]43号〕确定了实施信息平安等级维护制度的原那么、任务职责划分、实施要求和实施方案，明白了展开信息平安等级维护任务的基本内容、任务流程、任务方法等信息平安等级维护相关法规、政策文件、国度规范和公共平安行业规范的出台，为信息平安等级维护任务的展开提供了法律、政策、规范保证2007年起公安部组织编制了«信息平安技术 信息系统等级维护平安设计技术要求»，为已定级信息系统的设计、整改提供规范依据，至2020年11月已报批为国标与此同时，2007年7月全国展开重要信息系统等级维护定级任务，标志着信息平安等级维护任务在我国片面展开。

依据«计算机信息系统平安维护等级划分准那么»，将信息系统平安维护才干划分为五个等级区分为：　　第一级：用户自主维护级;由用户来决议如何对资源停止维护，以及采用何种方式停止维护　　第二级：系统审计维护级;本级的平安维护机制支持用户具有更强的自主维护才干特别是具有访问审记才干，即它能创立、维护受维护对象的访问审计跟踪记载，记载与系统平安相关事情发作的日期、时间、用户和事情类型等信息，一切和平安相关的操作都可以被记载上去，以便利系统发作平安效果时，可以依据审记记载，剖析清查事故责任人　　第三级：平安标志维护级;具有第二级系统审计维护级的一切功用，并对访问者及其访问对象实施强迫访问控制经过对访问者和访问对象指定不同平安标志，限制访问者的权限第四级：结构化维护级;将前三级的平安维护才干扩展到一切访问者和访问对象，支持方式化的平安维护战略其自身结构也是结构化的，以使之具有相当的抗浸透才干本级的平安维护机制可以使信息系统实施一种系统化的平安维护第五级：访问验证维护级;具有第四级的一切功用，还具有仲裁访问者能否访问某些对象的才干为此，本级的平安维护机制不能被攻击、被窜改的，具有极强的抗浸透才干　目前，全国范围内的定级任务曾经基本完成，2020年起将依据规范要求对已定级信息系统停止整改，以到达规范平安管理、提高信息平安保证才干到应有水平的目的。

1.4. 条件与假定1) 已完成对已定级系统的风险评价任务2) 此次树立方案仅针关于第三级的以定级系统停止整改1.5. 契合的规范规范1) GB 17859-1999«计算机信息系统平安防护等级划分准那么»2) 国务院令第147号 «中华人民共和国计算机信息系统平安防护条例»3) 中办发[2003]27号 «国度信息化指导小组关于增强信息平安保证任务的意见»4) 公通字【2007】66号 关于印发«关于信息平安等级维护任务的实施意见»的通知5) 公通字【2007】43号 信息平安等级维护管理方法6) «信息平安技术 信息系统等级维护平安设计技术要求»2. 需求剖析2.1. 信息系统部署结构现状剖析2.2. 物理平安剖析目前现有的物理平安机制不够完善，在物理平安的设计和施工中，需求思索的平安要素包括：机房场地选择平安、机房外部平安防护、机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护l 需求优先思索机房和办公场地应选择在具有防震、防风和防雨等才干的修建内l 需求在机房出入口应布置专人值守，控制、鉴别和记载进入的人员l 需求将通讯线缆铺设在隐蔽处，例如：铺设在地下或管道中。

l 需求对介质分类标识，存储在介质库或档案室中l 需求在主机房装置必要的防盗报警设备l 机房修建需求设置避雷装置及设置交流电源地线l 机房需求设置灭火设备和火灾自动报警系统l 在水管装置时，需求思索不得穿过机房屋顶和活动地板下l 需求采取措施防止雨水经过机房窗户、屋顶和墙壁浸透l 需求采取措施防止机房内水蒸气结露和地下积水的转移与浸透l 需求在关键设备上采用必要的接地防静电措施l 思索机房需求设置温、湿度自动调理设备，使机房温、湿度的变化在设备运转所允许的范围之内l 需求提供短期的备用电力供应，至少满足关键设备在断电状况下的正常运转要求l 需求思索电源线和通讯线缆应隔离铺设，防止相互关扰l 机房场地防止设在修建物的高层或地下室，以及用水设备的下层或隔壁l 需求对机房划分区域停止管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或装置等过渡区域；l 重要区域应配置电子门禁系统，控制、鉴别和记载进入的人员l 需求应用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统l 需求设置防雷保安器，防止感应雷l 思索机房设置火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火l 思索机房及相关的任务房间和辅佐房应采用具有耐火等级的修建资料，机房应采取区域隔离防火措施，将重要设备与其他设备隔分开。

l 需求装置对水敏感的检测仪表或元件，对机房停止防水检测和报警l 思索机房采用防静电地板l 思索机房设置温、湿度自动调理设备，使机房温、湿度的变化在设备运转所允许的范围之内l 需求设置冗余或并行的电力电缆线路为计算机系统供电，应树立备用供电系统l 需求采用接中央式防止外界电磁搅扰和设备寄生耦合搅扰，并对关键设备和磁介质实施电磁屏蔽2.3. 网络平安剖析目前现有的通讯网络平安机制不够完善，需依据«信息平安技术 信息系统平安等级维护基本要求»第三级基本要求增强现有网络平安机制l 需求对用户数据在网络传输中的数据提供保密性及完整性维护l 需求对通讯网络停止平安审计，其网络系统中的网络设备运转状况、网络流量、用户行为等停止日志记载，并对确以为违规的用户操作行为需求提供报警，并对审计信息停止存储藏份l 需求思索网络边界访问控制对会话形状信息为数据流提供明白的允许/拒绝访问的才干，控制粒度为端口级l 需求对进出网络的信息内容停止过滤，完成对运用层 、FTP、TELNET、SMTP、POP3等协议命令级的控制l 网络边界对入侵防范措施不够完善，思索检测到攻击行为时，记载攻击源IP、攻击类型、攻击目的、攻击时间，在发作严重入侵事情时应提供报警。

l 思索网络边界对恶意代码防范才干应提供及时检测和肃清，维护病毒库的晋级更新2.4. 主机平安剖析目前现有的主机平安机制不够完善，需依据«信息平安技术 信息系统平安等级维护基本要求»第三级基本要求增强现有主机平安机制1) 用户身份鉴别l 需求对用户登录进程采用两种或两种以上组合的鉴别技术对管理用户停止身份鉴别2) 标志和强迫访问控制l 系统资源访问控制需求对重要信息资源设置敏感标志，需求依据平安战略严厉控制用户对有敏感标志重要信息资源的操作3) 系统平安审计l 系统平安审计需求掩盖到效劳器上的每个操作系统用户和数据库用户，应维护审计进程，防止遭到未预期的中缀l 审计记载包括平安事情的主体、客体、时间、类型和结果等外容；l 思索对各审计记载，应提供审计记载查询、分类和存储维护4) 用户数据完整性维护l 需求采用各种惯例校验机制，对系统平安计算环境中存储和传输的用户数据的完整性停止检验，能发现完整性被破坏的状况5) 用户数据保密性维护l 需求采密码技术支持的保密性维护机制，为平安计算环境中存储和传输的用户数据停止保密性维护6) 剩余信息维护l 剩余信息维护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前失掉完全肃清，无论这些信息是寄存在硬盘上还是在内存中。

7) 入侵防范l 需求可以检测到对重要效劳器停止入侵的行为，可以记载入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发作严重入侵事情时提供报警应可以对重要顺序的完整性停止检测，并在检测到完整性遭到破坏后具有恢复的措施8) 可信执行顺序维护l 需求构建从操作系统到下层运用的信任链，其中可采用可信计算技术，以完成系统运转进程中可执行顺序的完整性检验，防范恶意代码等攻击，并在检测到其完整性遭到破坏时，应采取有效的恢复措施2.5. 运用平安剖析目前现有的运用平安机制不够完善，需依据«信息平安技术 信息系统平安等级维护基本要求»第三级基本要求的增强现有运用平安机制l 需求对用户登录进程提供用户身份标识独一和鉴别信息复杂度反省功用，思索保证运用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用思索对同一用户采用两种或两种以上组合的鉴别技术完成用户身份鉴别l 自主访问控制，需求依据平安战略控制用户对文件、数据库表等客体的访问，访问控制的掩盖范围应包括与资源访问相。