网络的安全系统建设的方案设计.docx

网络安全建设方案 2016 年 7 月 1. 前言 2 1.1. 方案涉与 X 围 2 1.2. 方案参考标准 3 1.3. 方案设计原如此 4 2. 安全需求分析 5 2.1. 符合等级保护的安全需求 5 2.1.1. 等级保护框架设计 5 2.1.2. 相应等级的安全技术要求 6 2.2. 自身安全防护的安全需求 6 2.2.1. 物理层安全需求 6 2.2.2. 网络层安全需求 7 2.2.3. 系统层安全需求 8 2.2.4. 应用层安全需求 9 3. 网络安全建设内容 9 3.1. 边界隔离措施 11 3.1.1. 下一代防火墙 11 3.1.2. 入侵防御系统 13 3.1.3. 流量控制系统 13 3.1.4. 流量清洗系统 15 3.2. 应用安全措施 15 3.2.1. WEB 应用防火墙 15 3.2.2. 上网行为管理系统 16 3.2.3. 内网安全准入控制系统 17 3.3. 安全运维措施 17 3.3.1. 堡垒机 17 3.3.2. 漏洞扫描系统 18 3.3.3. 监控预警平台 19 3.3.4. 网络防病毒系统 20 3.3.5. 网络审计系统 21 1. 前言 1.1. 方案涉与 X 围 方案设计中的防护重点是学校中心机房的服务器区域， 服务器承载了学校内 部的所有业务系统，因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式，将所有的业务数据集中在中心机房，数 据大集中模式将导致数据中心的安全风险也很集中， 因此必须对中心机房服务器 区域进展重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进展规划和设计，纳 入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系，规划的防护对象以学校 数据中心为主， 规划的参考标准是等级保护， 该方案的设计要点就是定级和保障 技术的规划， 针对和省教育厅对等级保护的相关要求， 本方案将主要参考以下的 标准进展规划： 方案的建设思想方面，将严格按照湘教发【 2011】 33 号文件关于《某某省 教育信息系统安全等级保护工作实施方案》 的通知， 该文件对计算机信息系统的 等级化保护提出了建设要求， 是我省今后一段时期内信息安全保障工作的纲领性 文件，文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面： 参考《信息系统安全等级保护定级指南》 ，该指南适用于党 政机关网络于信息系统， 其中涉与国家的网络与信息系统， 按照国家有关某某规 定执行， 其他网络与信息系统定级工作参考本指南进展， 本指南对定级工作的原 如此、职责分工、工作程序、定级要素和方法进展了描述，并对网络与信息系统 提出了最低安全等级要求， 高等职业学校应不低于最低安全等级要求。 在本项目 中我们建议学校数据中心可按照二级的建设目标进展规划 。 本方案参考的指南和标准具体见下表： 安全要素 指导思想 等级保护 技术方面 遵循标准 中办[2003]27 号文件 〔《国家信息化领导小组关于加强信 息安全保障工作的意见》 〕 《信息系统安全等级保护定级指南》 《电子政务信息安全保障技术框架》 GB 18336 信息技术 安全技术 信息技术安全性评估准如 此 信息安全技术 信息系统安全等级保护根本要求 〔试用稿〕 1.3. 方案设计原如此 学校数据中心安全体系的建设应遵循国家相关信息安全保障体系建设的总 体原如此， 按照统一规划、 统一标准、 适度超前； 分级、 分阶段实施； 互联互通、 资源共享、安全某某；以需求为导向、以应用促开展的原如此进展建设，本方案 将严格遵从以下的建设原如此： 重点保护原如此 本次项目建设，属于学校信息安全保障体系的根底防护平台建设阶段，以根 底性保障为准，同时对中心机房进展重点防护， 根据 《信息系统安全等级保护定 级指南》 ，本方案针对重要的核心部位严格按照二级要求进展规划，确保重要的 信息资产能够得到重点的防护，具备相当的抗攻击能力； 分布实