二级等保建设方案.docVIP

PAGE PAGE 21 ? 乌鲁瓦提水利枢纽管理局机房系统安全建设 解决方案 ? ? ? ? ? ? 深信服科技有限公司 2019年  目 录 TOC \o 1-3 \h \z \u 1 背景概述 3 1.1 建设背景 3 1.2 文件要求 3 1.3 参考依据 3 2 阀门监控系统安全防护意义 4 3 安全防护总体要求 4 3.1 系统性 4 3.2 动态性 4 3.3 安全防护的目标及重点 5 3.4 安全防护总体策略 5 3.5 综合安全防护要求 6 3.5.1 安全区划分原则 6 3.6 综合安全防护基本要求 7 3.6.1 主机与网络设备加固 7 3.6.2 入侵检测 7 3.6.3 安全审计 7 3.6.4 恶意代码、病毒防范 7 4 需求分析 8 4.1 安全风险分析 8 4.2 安全威胁的来源 9 5 设计方案 10 5.1 拓扑示意 10 5.2 安全部署方案 11 5.2.1 下一代防火墙 11 5.2.2 终端安全检测响应系统（杀毒） 12 5.2.3 日志审计系统 13 5.2.4 运维审计系统 17 5.2.5 安全态势感知系统 19 6 方案优势与总结 20 6.1 安全可视 21 6.2 融合架构 21 6.3 运维简化 22 背景概述 建设背景 随着我国信息化的大力发展，信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络，也正是由于网络的接入共享为不法黑客的入侵系统带来机会，严重影响系统的正常稳定运行和输送。 文件要求 根据《中华人民共和国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。为进一步提高阀门监控系统及调度数据网的安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要求及原则。 满足调度数据网已投运设备接入的要求； 满足生产调度各种业务安全防护的需要； 满足责任到人、分组管理、联合防护的原则； 提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。 参考依据 本次网络安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家相关法律要求，同时基于系统业务的特点，按照分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》（GB17859-1999）。 阀门监控系统安全防护意义 目前，随着国际形势的日趋复杂，网络空间已经成为继陆、海、空和太空之后第五作战空间，国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争，为了加大网络安全的落实，国家出台了《网络安全法》进一步明确了业务主体单位或个人的法律责任，并于2017年6月1日开始正式实施。 为加强阀门监控系统安全防护，抵御黑客及恶意代码等对阀门监控系统的恶意破坏和攻击，以及非法操作间接影响到系统的安全稳定运行。作为系统的重要组成部分，其安全与系统安全运行密切相关，积极做好阀门监控系统系统安全防护既有利于配合阀门监控系统安全防护工作的实施，确保整个系统安全防护体系的完整性，也有利于为公司提供安全生产和管理的保障措施。 安全防护总体要求 系统安全防护具有系统性和动态性的特点。 系统性 其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了系统的安全防护是一个系统性的工程。安全防护工作对内应做到细致全面，清晰合理；对外应积极配合上级和调度机构的安全管理要求。 动态性 阀门监控系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展；二是阀门监控系统系统自身内涵外延的变化。在新的病毒、恶意代码、网络攻击手段层出不穷的情况下，静止不变的安全防护策略不可能满足阀门监控系统网络信息安全的要求，安全防护体系必须采用实时、动态、主动的防护思想。同时阀门监控系统内部也在不断更新、扩充、结合，安全要求也相应改变。所以安全防护是一个长期的、循环的不断完善适应的过程。如图3-1所示P2DR模型是阀门监控系统安全防护动态性的形象表示。 图3-1 安全防护P2DR动态模型 安全防护的目标及重点 阀门监控系统安全防护是系统安全生产的重要组成部分，其目标是： 1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击，尤其是集团式攻击。 2) 防止内部未授权用户访问系统或非法获取信息以及重大违规操