GETCK高校信息安全等级保护建设方案【安全等级保护】【技腾通讯】.pdf

上海技腾通讯设备有限公司 高校信息安全 等级保护建设方案 上海技腾通讯设备有限公司 2018/5/18 1 上海技腾通讯设备有限公司 目录 一、项目背景及需求分析3 1.1 项目背景3 1.2 安全需求分析3 二、建设方案设计原则5 三、解决方案说明6 3.1 总体部署说明6 3.2 边界访问控制解决方案7 3.3 边界入侵防御解决方案9 3.4 行为管理和审计解决方案 10 3.5 WAF解决方案 13 四、安全产品介绍15 4.1 下一代防火墙--GF6000-E2000 15 4.2 入侵防御系统--GP8000-P2000 16 4.3 WEB防火墙--GWF-M500 17 4.4 网络安全审计网关--GA7000-H2000 19 4.5 上网行为管理网关--GA7000-A2000 20 五、推荐产品清单21 2 上海技腾通讯设备有限公司 一、项目背景及需求分析 1.1 项目背景 2017 年6 月 1 日起，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式 施行，这是我国第一部全面规范网络空间安全管理问题的基础性法律。 当前，关键信息基础设施已成为网络攻击、网络威慑乃至网络战的首要打击目标，我 国对关键信息基础设施安全保护已上升至前所未有的高度。《网络安全法》第三章第二节“关 键信息基础设施的运行安全”中用大量篇幅规定了关键信息基础设施保护的具体要求，解决 了关键信息基础设施范畴、保护职责划分等重大问题，为不同行业、领域关键信息基础设施 应对网络安全风险提供了支撑和指导。此外，《网络安全法》提出建立关键信息基础设施运 营者采购网络产品、服务的安全审查制度，与国家安全审查制度相互呼应，为提高我国关键 信息基础设施安全可控水平提出了法律要求。 网络安全法明确规定信息系统必须要达到等级保护要求。 为了贯彻国家对教育行业信息系统安全保障工作的要求以及等级化保护“坚持积极防 御、综合防范”的方针，全面提高信息安全防护能力；学校网络信息系统建设需要依据国家 等级保护相关标准进行整体安全体系的规划设计及安全整改加固，全面提高信息安全防护能 力，创建安全健康的网络环境，保护国家利益，促进学校信息化安全工作的深入发展。 1.2 安全需求分析 通过对学校网络架构分析，对照信息系统等级和等级保护基本要求，形成综合安全需 求，如下： a) 应保证网络设备的业务处理能力满足业务高峰期需要； b) 应保证网络各个部分的带宽满足业务高峰期需要； c) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配 网络架构 地址； d) 应避免将重要网络区域部署在网络边界处且没有边界防护措施； e) 应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。 3 上海技腾通讯设备有限公司 a) 应采用校验码技术或加解密技术保证通信过程中数据的完整性； 通信传输 b) 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。 a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通 信； b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查； 边界防护 c) 应能够对内部用户非授权联到外部网络的行为进行限制或检查； d) 应限制无线网络的使用，确