企业网络安全等级保护设计案例.docxVIP

网络安全设计要求-案例解读 2017年11月   目 录 TOC \o 1-3 \h \z \u 一、 案例分析概述 1 1.1、 思路讲解 1 1.2、 等级保护二级以及三级差异 1 二、 等级保护实例介绍 2 2.1、 二级与三级拓扑对比 2 2.2、 设备概述及查看方式 3 2.3、 知识点介绍 9 案例分析概述 思路讲解 从《1、等级保护概述及应用》中，我们了解到了等级保护测评完整的过程；在《2、等级保护安全设计要求-网络安全》中，我们从《基本要求》中提炼出了网络安全相关的要求，并进行了分析了解读。在本文中，将从案例分析的角度，分析等级保护二级以及三级的系统在网络安全层面上的要求进行对比分析。 等级保护二级以及三级差异 从安全设计层面的角度分析，等级保三级比等级保护二级多了恶意代码防护的要求，即是对于病毒、木马及蠕虫的防护要求。 从深度上来说，毫无疑问，等级保护三级的控制点对等级保护二级多了不少，并且部分点的控制粒度更细，要求上趋于严格。 下文，将以实例的形式，从网络拓扑层面，展示等级保护二级以及等级保护三级之间的差距，以及里面的要点。  等级保护实例介绍 二级与三级拓扑对比 如前文描述，等级保护二级是基本的安全定级，从实现角度上，网络拓扑结构也比较简单，拓扑图如下： 等级保护二级拓扑图（实例） 等级保护三级的要求对比二级而言高出不少，实例拓扑图如下： 等级保护三级拓扑图（实例） 对比等级保护二级与等级保护三级，差异点主要在以下三点上： 从整体上来分析，对比等级保护二级，发现网络中基本所有的网络设备均实现了“双机”，这样保留了硬件的冗余，可以避免出点单点故障，提高了网络的健壮性。 新增设备上，多了数据库审计设备，以满足审计方面的要求。 等级保护三级中防病毒模块，是通过统一威胁管理系统实现。 设备概述及查看方式 在上述的网络拓扑中，主要包含了几个类型的设备：防火墙、统一威胁管理、入侵检测系统、上网行为管理、全局安全管理系统、日志审计设备等。主要设备及功能如下： 防火墙：实现了网域的隔离和访问控制，按照等级保护二级要求，控制粒度在网段级（6.1.2.2、访问控制）； 如图我们可以看出，我们把eth6和eth7做了内外网允许和禁止的访问控制，从而达到网域的隔离和访问控制要求。 补充说明，如果控制策略中的访问粒度控制在端口级别，能精确控制到某个端口的开放，即满足等级保护三级关于访问控制的要求。 统一威胁管理（UTM）：集成形式的安全设备，可对网络中多种威胁进行检测和阻断，可支持的安全功能包括：反垃圾邮件、针对Web与电子邮件的反恶意软件、应用程序控制、防火墙、入侵防御、虚拟私有网络(VPN)、Web内容过滤等（6.1.2.5、入侵防范）； 由上图我们可以清楚的看到，UTM集成的安全设备，可以提供很多种功能。 补充说明：此模块中开启了防病毒模块，即可视为满足等级保护三级关于恶意代码的防护要求。 内网分区域：已按照用途划分了几个区域，包括：Web网站服务器区、内网办公服务器、IT管理服务器区域等（6.1.2.2、访问控制）； 入侵检测系统：用于对流量中的入侵风险进行检测（6.1.2.5、入侵防范） 如图可以看到，入侵检测系统有针对木马、DDOS、一些常见的攻击方式进行防御。 如满足了日志保存6个月的要求，即可视为满足等级保护三级入侵记录保存分析的要求。 上网行为管理：用户对用户上网行为的管控（6.1.2.3、安全审计、6.1.2.4、边界完整性）； 上网行为管理可以对网络应用控制、带宽流量管理、用户行为分析 补充说明：如上网行为管理（终端接入管理）中开启了对于外部接入网络用户的管理功能，即可视为满足了等级保护三级关于边界完整性的要求。 全局安全管理系统：实现网络全局设备的管理（6.1.2.3、安全审计）。 安全审计可以对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。 补充说明：在该设备基础上，新增日志审计设备，统一收集、存储及分析日志，即可满足等级保护三级中关于日志审计的要求。 知识点介绍 等级保护二级要求项中，经常遇到的，可能导致无法通过测评的项包括： 未根据部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段； 网络设备审计无法对用户的行为进行日志记录； 未对核心交换机的管理员登录地址进行限制； 核心交换机设置了当网络连接超时 15分钟自动退出，但是未设置结束会话或限制非法登录次数等登录失败处理功能； 等级保护三级要求中的网络安全部分，站在通过等级保护测评的角度上，存在一定的调整空间，在满足基本要求的基础上，其他的安全设备能起到加分作用，例如堡垒机、WAF、抗DDOS、网闸等，虽然在上面实例中没有提到，但是对于提高网络安全性也有很大