信息系统安全等级保护建设方案.pdf

信息系统安全等级保护建设方案 目录 一、 网络建设背景3 二、 网络建设需求分析4 2.1 现状分析4 2.2 问题分析 5 2.3 建设目标 9 三、 网络设计原则10 四、 网络建设规划12 4.1 整体网络拓扑设计12 4.2 基础网络设计12 4.3 网络安全设计15 4.4 网络安全设备清单23 五、 机房物理安全25 六、 方案价值35 七、 客户案例36 一、网络建设背景 位于号市政府综合办公大楼，是市政府主管全市统计和国民经济核算的职能 部门，是《中华人民共和国统计法》及有关统计法律法规的执法部门，在改革开 放的进程中统计工作越来越受到各级政府和社会各界的重视，统计局的工作职能 也进一步扩大，在机构改革中，市统计局内设机构和人员都明显增加，职责也进 一步扩充。 统计局内设 9 个职能处室站。从事统计业务工作的专业部门有：局办公室、 国民经济综合统计处、法规处、工业交通统计处、固定资产投资统计处、人口与 社会发展统计处、财贸统计处、农业处及计算站。 市统计局网络由政务外网和统计局专网构成，其中专网用于连接下属各个区 县路由器再到区县交换机，各级信息互联互通；外网通过发改光纤与政务外网互 联对接。内网之间通过专网互联，对外信息通过政务外网发布，通过实施统计信 息工程将迅速扩大联网范围，充分利用现代技术，着力为市的社会经济发展服务。 二、网络建设需求分析 2.1 现状分析 网络是我市统计信息工程的重要组成部分，是现代统计业务的重要支撑和保 障。经过多年的建设和发展，逐步形成了以市局网络为核心，连接7 个区县城域 网为基础的全市统计局专网。通过发改光纤，建立安全加密的vpn 隧道，连接到 政务外网，实现信息资源的共享。 其中市局通过出口设备 H3C-SR6608 专网连接到各区县路由器，在下联到各 区县交换机，市局出口设备H3C-SR6608 下面仅有一台联想网御的防火墙来承担 基本的安全防护。统计局网络另一个出口为政务外网，通过发改光纤连接，链路 中使用了安达通VPN 进行数据通信的加密，出口设备为锐捷路由器，下面有一台 联想UTM 做基本的安全防护。内网核心交换机为华为S5700，通过五类网线连接 到各楼层的二层接入交换机，机房使用的是HW-S1048 百兆接入交换机，办公区 域和服务器区域的接入交换机为HW-S2300 和H3C-S3100L，均为不可网管型百兆 低端接入交换机。网络拓扑图如下图1 所示： 图1：网络拓扑图 2.2 问题分析 2.2.1 信息系统安全等级保护要求 根据上述对网络现状的分析，其网络前期的建设不满足信息系统安全等 级保护 （以下简称等保或等级保护）的基本要求： A. 物理安全：物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、 防静电、温湿度控制、电力供应和电磁防护。 B. 网络安全：结构安全，要求核心网络设备具备冗余空间，满足业务高峰期需 要，按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生 拥堵的时候优先保护重要主机。 访问控制，控制粒度为端口级，在网络边界部署访问控制设备，启用访 问控制功能。 安全审计，对网络设备运行状况、网络流量、用户行为等进行日志记录， 对数据进行分析并能生成审计报表。边界完整性检查，能够对非授权设备私 自联到内网的行为进行检查，对内网用户私自联到外网的行为进行检查，能 够完成准入准出控制。 入侵防范，对于端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击等进行防护，检测到攻击行为时，记录攻击源IP、攻击类型、 攻击目的、攻击时间，并能提供报警。 恶意代码防范，应在网络边界处对恶意代码进行检测和清除；应维护恶 意代码库的升级和检测系统的更新。 网络设备防护，主要网络设备应对同一用户选择两种或两种以上组合的 鉴别技术来进行身份鉴别，应实现设备特权用户的权限分离。 C. 主机安全：身份鉴别，应对登录操作系统和数据库系统的用户进行身份标识 和鉴别。 访问控制，应启用访问控制功能，依据安全