二级等保建设专项方案.docVIP

? 乌鲁瓦提水利枢纽管理局机房系统安全建设 处理方案 ? ? ? ? ? ? 深信服科技 20XX年  目 录 TOC \o 1-3 \h \z \u 1 背景概述 3 1.1 建设背景 3 1.2 文件要求 3 1.3 参考依据 3 2 阀门监控系统安全防护意义 4 3 安全防护总体要求 4 3.1 系统性 4 3.2 动态性 4 3.3 安全防护目标及关键 5 3.4 安全防护总体策略 5 3.5 综合安全防护要求 6 3.5.1 安全区划分标准 6 3.6 综合安全防护基础要求 7 3.6.1 主机和网络设备加固 7 3.6.2 入侵检测 7 3.6.3 安全审计 7 3.6.4 恶意代码、病毒防范 7 4 需求分析 8 4.1 安全风险分析 8 4.2 安全威胁起源 9 5 设计方案 10 5.1 拓扑示意 10 5.2 安全布署方案 11 5.2.1 下一代防火墙 11 5.2.2 终端安全检测响应系统（杀毒） 12 5.2.3 日志审计系统 13 5.2.4 运维审计系统 17 5.2.5 安全态势感知系统 19 6 方案优势和总结 20 6.1 安全可视 21 6.2 融合架构 21 6.3 运维简化 22 背景概述 建设背景 伴随中国信息化大力发展，信息网络已经由多个孤立网络发展成一个多连接信息共享复杂网络，也正是因为网络接入共享为不法黑客入侵系统带来机会，严重影响系统正常稳定运行和输送。 文件要求 依据《中国网络安全法》，水利相关单位是国家关键信息基础设施和网络安全关键保护单位。监控、数据调度系统网络空间大，包含单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。为深入提升阀门监控系统及调度数据网安全性，保障阀门监控系统安全，确保安全稳定运行，需满足以下文件要求及标准。 满足调度数据网已投运设备接入要求； 满足生产调度多种业务安全防护需要； 满足责任到人、分组管理、联合防护标准； 提升信息安全管理水平，降低关键网络应用系统所面临安全风险威胁，确保信息系统安全、稳定运行，使信息系统在等级保护测评步骤基础符合国家信息安全等级保护对应等级系统安全要求。 参考依据 此次网络安全保障体系建设，除了要满足系统安全可靠运行需求，还必需符合国家相关法律要求，同时基于系统业务特点，根据分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》（GB17859-1999）。 阀门监控系统安全防护意义 现在，伴随国际形势日趋复杂，网络空间已经成为继陆、海、空和太空以后第五作战空间，国际上已经围绕“制网权”展开了国家等级博弈甚至局部网络战争，为了加大网络安全落实，国家出台了《网络安全法》深入明确了业务主体单位或个人法律责任，并于20XX年6月1日开始正式实施。 为加强阀门监控系统安全防护，抵御黑客及恶意代码等对阀门监控系统恶意破坏和攻击，和非法操作间接影响到系统安全稳定运行。作为系统关键组成部分，其安全和系统安全运行亲密相关，主动做好阀门监控系统系统安全防护现有利于配合阀门监控系统安全防护工作实施，确保整个系统安全防护体系完整性，也有利于为企业提供安全生产和管理保障方法。 安全防护总体要求 系统安全防护含有系统性和动态性特点。 系统性 其中以不一样通信方法和通信协议承载着安全性要求各异多个应用。网络采取分层分区模式实现信息组织和管理。这些原因决定了系统安全防护是一个系统性工程。安全防护工作对内应做到细致全方面，清楚合理；对外应主动配合上级和调度机构安全管理要求。 动态性 阀门监控系统安全防护动态性由两方面决定。一是通信技术、计算机网络技术不停发展；二是阀门监控系统系统本身内涵外延改变。在新病毒、恶意代码、网络攻击手段层出不穷情况下，静止不变安全防护策略不可能满足阀门监控系统网络信息安全要求，安全防护体系必需采取实时、动态、主动防护思想。同时阀门监控系统内部也在不停更新、扩充、结合，安全要求也对应改变。所以安全防护是一个长久、循环不停完善适应过程。图3-1所表示P2DR模型是阀门监控系统安全防护动态性形象表示。 图3-1 安全防护P2DR动态模型 安全防护目标及关键 阀门监控系统安全防护是系统安全生产关键组成部分，其目标是： 1) 抵御黑客、病毒、恶意代码等经过多种形式对阀门监控系统提议恶意破坏和攻击，尤其是集团式攻击。 2) 预防内部未授权用户访问系统或非法获取信息和重大违规操作。 3) 防护关键是经过多种技术和管理方法，对实时闭环监控系统及调度数据网安全实施保护，预防阀门监控系统瘫痪和失控，并由此造成系统故障。 安全防护总体策略