2018年等级保护建设培训.ppt

分区：保持业务系统的独立性 通过分区，各业务系统具有独立的IT环境 保持边界完整，满足业务之间隔离需求 每套业务系统具有独立资源，更好满足业务连续性要求 分区隔离的方法 网络改造进行物理隔离，例如涉密内网与其他业务系统 结合应用类型采用IPSec或者SSL实现业务系统虚拟划分 局域网 广域网 数据中心 局域网 广域网 数据中心 局域网 广域网 数据中心 业务A 业务B 业务C IPSec SSL * 生产分区 物理资源 办公分区 Internet分区 虚拟化分区 在一套物理资源上，采用VPN技术为多个业务系统虚拟出隔离的IT环境 虚拟化分区具有独立的逻辑资源：带宽、计算、策略数、管理员、QoS 虚拟化分区：节省投资 数据中心 广域网 数据中心 广域网 数据中心 广域网 数据中心 广域网 * 等级保护政策介绍和建设思路 等保建设方案统一规划 区域划分方法 分域设计方案 等保分步实施实践 目录 * 数据中心对内服务域 非涉密内网办公域 Internet 外联域 网络核心交换域 分支 广域网域 数据中心核心交换域 数据中心对外服务域 补丁与特征库升级服务域 网络与安全管理域 涉密内网办公域 异地灾备中心 VPN 路由器 SG Internet AD 等保分域设计方案 SSL / NGAF / AD MPLS 数据中心区域 图例 局域网区域 广域网区域 安全管理中心 GAP WOC NGAF BM NGAF AD Internet NGAF NGAF NGAF NGAF WOC NGAF * 金融行业 * 某政府行业 基础网络：拓扑/路由/资源共享 智能安全 数据灾难回复与备份 IP智能管理中心(IMC) 战略与决策 资源化管理平台 广域网络 局域交换 接入网络 互联网 安全服务 无线服务 存储服务 计算服务 应急指挥服务 语音视讯服务 IP网络存储 IP监控 IP集合通信 应用系统 三大业务平台：情报信息综合应用、警用地理信息应用、警务综合信息系统 8大信息资源库 全国人口基本信息 全国出入境人员信息 全国机动车驾驶人信息 全国警员基本信息 全国在逃人员信息 全国违法犯罪人员信息 全国被盗抢汽车信息 全国安全重点单位信息 一类应用系统 信息中心 应急指挥中心 协作沟通平台 风 险 隐 患 检 测 防 控 指 挥 调 度 应 急 保 障 视频监控系统 摄像系统 显示系统 编码器 视频管理系统 智能分 析 模数互控 解码器 应 急 评 估 预 警 预 测 会 议 电 视 系 统 电 话 通 信 系 统 通信自动化系统 全国边防前台查询系统 全国公民出国境管理信息系统 全国境外人员管理信息系统 全国在逃人员信息系统 全国重大刑事案件信息系统 全国现场指纹远程传输系统 全国法轮功邪教组织重点人员 。。。。 公安外事管理信息系统 公安部国有资产管理信息系统 公安信息网远程教育系统 公安部机关电子政务系统 公安信息化标准动态发布维护系统 公安档案信息管理系统 机要文件交换自动化管理系统 。。。。 二三类应用系统 应急综合应用平台 * 等级保护政策介绍和建设思路 等保建设方案统一规划 区域划分方法 分域设计方案 等保分步实施实践 目录 * 三大区域的核心技术措施要求 编号 10个核心技术要求 数据中心设计目标 广域网设计目标 局域网设计目标 1 身份鉴别和自主访问控制 是 是 是 2 安全审计 是 是 是 3 完整性和保密性保护 是 是 是 4 边界保护 是 是 是 5 资源控制 是 是 否 6 入侵防范和恶意代码防范 是 是 是 7 安全管理平台设置 是 是 是 8 备份与恢复 是 否 否 9 强制访问控制 是 否 否 10 环境与设施安全 是 是 是 * 措施解读1：身份鉴别和自主访问控制 第一级 第二级 第三级 第四级 总体要求 要求身份鉴别，允许设置给其他用户共享资源，限制非授权访问 (同左) (增加)采用两种以上身份识别技术 (同左) 网络要求 防火墙要求有包过滤功能；VPN接入控制粒度为用户组 防火墙要求基于状态过滤；VPN接入控制粒度为单个用户 对便携设备接入进行控制；VPN实现分级分权访问(SSL VPN) 禁止通用协议和移动便携设备；禁止VPN用户接入 主机和应用要求 对操作系统和服务器进行访问控制 (同左) 要求两种接入控制措施，可采取Windows域账户/SSL VPN相结合方式 (同左) 应用访问控制 网站访问 言论发布 文件传输 邮件收发 IM/P2P等应用 控制与提醒 要求1：身份鉴别和自