业务全网等级保护三级整改建设案例-1.pdfVIP

业务全网等级保护三级整改建设案例 1 背景 某政府机关单位为保证其核心业务应用的持续、稳定运行，实现各核心业务应用之 间信息的安全共享，该单位按照《信息安全等级保护管理办法》（公通字[2007]43号） 文件精神，结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段，该单位信息中心对自身业务系统的安全状况，邀请了 专业的第三方等级保护咨询服务商进行了深入的调研和评估，梳理和整理了当前运行的 所有业务系统，并依据 《信息系统等级保护定级指南》对自身核心业务系统的保护进行 了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单 位等级保护整改建设方案的评审，该单位等级保护工作正式进入整改建设阶段。 2 安全需求 核心信息系统部署于内网、外网区域部署了若干对外发布应用服务和网站，内外网 需要物理隔离。 办公区域分为内网办公区和外网办公区，外网办公区有无线办公环境、虚拟化办公 环境及传统PC办公环境。 根据等级保护建设前期调研、评估过程，依据《GB 17859-1999 信息安全技术 息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议，最终确定本次等级 保护建设需求如下： 1.明确安全域、线路和节点冗余设计，实现动态流量优先级控制。 2.各个网络区域边界没有访问控制措施。 3.互联网出口需要重点的安全防护和冗余设计。 4.提高安全维护人员对入侵行为的检测能力。 5.对内部人员访问互联网进行控制和审计。 6.加强网站应用的安全防护措施。 7.建立符合等级保护要求的内部审计机制。 8.构建基于用户身份的网络准入控制体系。 9.从业务角度出发，强化应用安全、保护隐私数据。 10.建立并保持一个文件化的信息安全管理体系，明确管理职责、规范操作行为。 3 方案设计 通过对现状资产梳理，差距分析后，先将整体网络架构重新设计，如下图： 安全技术层面： 物理安全：机房要满足等保三级基础要求； 网络安全：网络结构进行优化，所有核心节点全冗余部署，同时还要有网络优先级 控制；互联网出口部署抗拒绝服务攻击设备；同时由于双出口运营商，部署链路负载均 衡实现智能选路；所有安全区域边界位置部署NGAF，开启FW、IDS、WAF、AV模块；互 联网出口区域部署AC，实现应用阻截、流控和网络行为审计功能；内外网之间部署网闸 设备和VDS；无线环境总出口部署WAC实现无线认证和管控。 主机安全：服务器及用户终端统一安装网络杀毒软件；服务器及用户终端统一安装 必要的终端安全管理系统；进行人工干预的安全加固工作；虚拟化办公环境部署ADesk 瘦终端，与VDS实现连接后，通过网闸摆渡图像数据，实现远程虚拟化访问，确保主机 自身安全性。 应用安全：使用统一认证系统进行身份管理和认证管理；重要业务访问建立安全加 密连接，通过部署AD实现ssl卸载；业务服务器前端部署服务器负载均衡实现通信可 用性保障；建立CA系统保证抗抵赖机制；实行代码审计工作防御应用级安全漏洞；远 程办公用户可通过连接sslvpn进行应用的授权登陆和加密访问；部署APM实时监控应 用服务的性能和审计信息；通过虚拟化技术访问远端应用，借助单点登录技术及强认证 访问控制实现虚拟化应用的安全访问和操作。 数据安全：建立备份恢复机制，部署备份服务器和存储系统；建立异地灾备设施； 重要数据的存储进行加密和离线处理；建立备份恢复检验机制；异地存储的线路和总部 到分支机构的线路间可部署WOC进行优化；通过虚拟化安全桌面技术和服务器/存储虚 拟化技术，经过网闸的图像数据摆渡，实现数据的不落地操作，确保敏感数据的不外泄 及链路传输的保密性原则。 安全管理层面：部署安全管理中心SOC进行全网管控；编写对应安全管理制度、安 全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。 4 用户收益 ? 明确了重要系统的业务边界，优化原有的网络结构 依据等级保护分域保护思想，为该单位规划了不同功能的安全区域，为该单位 今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基 础。 ? 充分利用多种安全技术手段，提升了业务系统边界保护能力 依据相关等级别保护设计标准，通过部署下一代防火墙以及安全审计等多种安 全防护产品，增强