等保三级方案.docx

等级化保护三级方案目录1.需求分析12.设计原则13.参考标准与规范24.方案详细设计34.1.功能要求设计34.1.1.防火墙34.1.2.入侵检测系统54.1.3.入侵防御系统74.1.4.网闸84.1.5.防病毒网关104.1.6.数据库审计104.1.7.网络审计144.1.8.安全管理平台174.1.9.堡垒机224.1.10.终端安全管理系统264.2.性能设计要求544.2.1.防火墙544.2.2.入侵检测系统544.2.3.入侵防御系统544.2.4.网闸544.2.5.防病毒网关554.2.6.数据库审计554.2.7.网络审计554.2.8.安全管理平台564.2.9.堡垒机564.2.10.终端安全管理系统564.3.部署方案设计564.3.1.防火墙564.3.2.入侵检测系统574.3.3.入侵防御系统574.3.4.网闸584.3.5.防病毒网关584.3.6.数据库审计584.3.7.网络审计594.3.8.安全管理平台594.3.9.堡垒机604.3.10.终端安全管理系统605.整体部署示意图61需求分析建立完善的访问控制体系，制定完善的访问控制策略，细粒度为端口级、单个用户。建立完善的审计、监控体系。建立完善的边界防御体系。建立完善的计算机病毒、恶意代码防护体系。建立完善的运维管理体系。设计原则本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：等级标准性原则本方案从设计到产品选型都遵循信息系统安全等级保护——第三级要求。需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。保护原有投资的原则在进行信息安全体系建设时，应充分考虑原有投资，要充分利用已有的建设基础，规划整体安全体系。参考标准与规范中共中央办公厅、国务院办公厅 [2002]17号文《国家信息化领导小组关于我国电子政务建设指导意见》ISO17799/BS7799：《信息安全管理惯例》1999 GB17859-1999 （中华人民共和国国家标准）计算机信息系统安全保护等级划分准则公安部《信息安全等级保护管理办法》公安部《信息系统安全等级保护实施指南》公安部《信息系统安全等级保护定级指南》公安部《信息系统安全等级保护基本要求》公安部《信息系统安全等级保护测评准则》ISO/IEC TR 13335系列标准信息系统安全保障理论模型和技术框架IATF理论模型及方法论……方案详细设计功能要求设计防火墙基于状态检测技术；支持路由、透明及混合模式部署。可针对源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全策略。支持静态路由和策略路由，可通过源接口、目标接口、源IP、目标IP、协议类型、时间等条件设定策略路由；支持RIP、OSPF、BGP动态路由协议；支持ISP路由，能够提升用户对不同ISP网络访问时的路由效率，内置电信和联通地址库，同时用户可定义新的地址库。支持虚拟防火墙功能，可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置。支持802.1Q VLAN。支持链路聚合（Link-Aggregation）功能以增加链路带宽并起到负载均衡和链路备份的作用，支持通过手动方式、IEEE802.3ad LACP方式来创建聚合链路。能够检测并阻断DDoS攻击和协议扫描，如Jolt2、Land-Base、Smurf、Ping of death、winnuke 、teardrop、Syn flag、TCP F