安全加固项目实施文档详解.docx

昆明轨道交通集团安全加固方案实施文档  1. 系统集成方案 1.1 项目概述 1.1.1 项目背景 伴随着昆明轨道交通集团有限公司信息化需求程度的提高，业务逻辑与流程体系对于信息系统的依赖程度不断增加，不断推动信息价值的显露和提升；信息安全的盲点和隐患也日渐凸现。正是由于信息资产威胁无处不在，信息损失的代价愈加昂贵，保障安全已经从一个宏观论调转化为IT建设无法规避的基础策略。 昆明轨道交通集团有限公司企业信息安全保障工作是信息化建设的关键组成部分，其直接制约着企业生产进程、行业的稳键发展，以及IT业务核心的机密性、完整性和可用性。昆明轨道交通集团有限公司产业拥有成熟的规范化产业结构，组织管理机制严谨，业务框架鲜明，安全敏感程度高；因而其信息化建设的方针必然以要求“整体资源可控制、可信任、可生存的安全风险管理与运维能力”为主题。 信息资源的价值流失即是“风险”。等级化的信息安全防护思想应运而生，其原理即是通过中立性的“风险识别/分析、风险控制与安全监管治理策略”的定制，最细粒度的梳理IT资产的脆弱环节和业务保障要求，依据分区分级分域的规划原则，规避已知与未知的安全事件；从而保障信息资源在该体系内拥有明确的受保护等级、风险控制规程、多层次的纵深防御能力、安全监管与治理策略以及业务持续性保障能力等。形成完备的事前监控预警、事中防御控制、事后审查追溯与应急生存的运行机制；构建昆明轨道交通集团有限公司信息系统的安全运行闭环。 1.1.2 建设目标 昆明轨道交通集团有限公司通过此次网络信息安全一期建设项目，实现以下目标： 1) 实现外网病毒过滤、入侵检测防御，保障网络系统的安全稳定运行； 2) 实现内网不同办公区防护，实现业务系统的等级保护，保障内网安全； 3) 实现VPN远程办公接入，安全访问公司内网进行日常办公； 4) 实现全面的邮件系统防护，增强邮件信息安全； 5) 实现邮件系统法规遵从，诉讼保留，内部审计与管理； 6) 实现邮件系统冗余恢复，知识管理，邮件存储管理优化； 1.2 总体设计思路 1.2.1 设计思路 网络信息安全建设的本质就是为了保证昆明轨道交通集团有限公司业务的有效、可靠、持续开展，而成功的关键在于结合风险管理和合规管理两种思路进行信息安全建设。风险管理的思路是分析评估信息系统的风险，通过有效的管控措施消除或者减少安全风险。合规管理的思路是遵循国际、国家或者行业、上级的规范要求进行建设。因此昆明轨道交通集团有限公司的安全建设需要实现风险管理和合规管理的有机结合，实现“两者皆符、融会贯通”，最终通过测评，这也就是本方案的核心设计思路。 1.2.2 参考标准 ? 《计算机信息系统安全保护等级划分准则》（GB17859-1999） ? 《信息系统安全保护等级定级指南》（GB22239-2008） ? 《信息安全等级保护实施指南》（送审稿） ? 《信息系统安全等级保护基本要求》（GB22240-2008） 1.3 设计与建设原则 1.3.1 稳定性设计 提供能够保障硬件设备及相关软件稳定运行的设计方案。 此次部署深信服下一代防火墙、深信服SSL VPN、梭子鱼病毒及垃圾邮件防火墙、梭子鱼邮件归档网关均采用硬件部署，梭子鱼本身提供硬盘RAID冗余，进一步提高了系统的可靠性。并且深信服下一代防火墙、深信服SSL VPN、梭子鱼病毒及垃圾邮件防火墙均支持双机热备，可以配置成集群模式。 1.3.2 高可用性设计 深信服下一代防火墙、深信服SSL VPN、梭子鱼病毒及垃圾邮件防火墙都支持双机热备的高可用性设计，可以有效保证硬件设备服务的连续性。 深信服下一代防火墙、深信服SSL VPN、梭子鱼病毒及垃圾邮件防火墙都支持部署为双机集群模式，实现容灾备份，性能堆叠。 1.3.3 可扩展性设计 提供硬件设备及相关软件未来的可扩展性设计，软硬件的升级设计。 深信服提供系统版本的升级、模块的升级、规则库和病毒库升级。 梭子鱼提供系统版本的升级，规则库和病毒库提供每小时的实时升级。 支持外接第三方存储扩展容量，镜像冗余。 1.3.4 可管理性设计 提供软硬件的可管理性设计方案，包括软硬件的日常管理，报表及日志信息的分析设计方案。 深信服支持日志功能，支持报表生成功能。 梭子鱼支持发送邮件过滤。自动发送系统报告。向收邮件和发邮件发送NDRs消息解释被阻挡原因。在日志内可以查看，并搜索所有的邮件进行重发，自定义黑白名单等管理。 1.3.5 满足诉讼需求 为了满足诉讼需求，可以通过梭子鱼搜索归档文件，创建警告信息当某些邮件违反了标准或者是自定义的策略。通过使用高级的基于角色的用户端口以及防篡改存储，可以强制使用内部访问控制策略来配合公司的规章制度。 1.3.6 满足法规遵从 为了满足国际与国内的相关方案需求，原则上邮件都需要保存一年以上，而对于一些