政企网络安全建设技术方案.docVIP

PAGE 62 政企网络安全建设 技术方案 目 录 TOC \o 1-4 \h \z \u 15095 1 项目建设背景 4 9525 1.1 安全建设流程 5 7952 1.2 安全建设目标 6 27180 1.3 安全建设依据 6 30590 2 安全风险与需求分析 7 31113 2.1 安全技术需求分析 7 21394 2.1.1 安全物理需求 7 19049 2.1.2 安全计算需求 7 9922 2.1.3 安全边界需求 9 8200 2.1.4 安全通信网络需求 9 22131 2.2 安全管理需求 10 9454 3 安全技术体系方案设计 11 6899 3.1 方案设计框架 11 12402 3.2 安全技术体系设计 11 30079 3.2.1 物理安全设计 11 4398 3.2.2 通信网络安全设计 12 19274 网络结构安全 12 19562 网络安全审计 12 30171 网络设备防护 12 389 通信完整性 12 23359 通信保密性 13 23002 网络可信接入 13 29919 3.2.3 边界安全设计 13 28865 边界访问控制 13 8700 网络边界完整性检测 14 15508 边界入侵防范 14 19235 边界安全审计 15 2273 边界恶意代码防范 15 17937 3.2.4 计算环境安全设计 15 21301 身份鉴别 15 9693 访问控制 16 10013 系统安全审计 16 16745 备份与恢复 17 15183 3.2.5 安全管理中心设计 18 19050 系统管理 18 24870 审计管理 18 24957 4 安全管理体系设计 19 8391 5 详细安全建设方案 20 14378 5.1 SSL VPN 20 28590 5.1.1 完善的VPN网络集中管理功能 20 6087 5.1.2 支持灵活的移动用户接入策略 20 7291 5.1.3 集成强大的网络附加功能 21 7313 5.2 一体化自动备份系统 21 8747 5.2.1 数据缩减技术 21 11898 5.2.2 可管理性 21 26152 5.2.3 资源横向扩展 22 19835 5.3 网闸 22 16344 5.3.1 应用协议内容安全 22 13680 5.3.2 灵活的多网隔离 24 23948 5.3.3 完善的日志和审计 24 15808 5.4 数据库审计系统 25 31229 5.4.1 全面系统管理能力 25 15204 5.4.2 全面有效减少核心信息资产的破坏和泄漏 25 11975 5.5 网页防篡改系统 26 8201 5.5.1 基于内核驱动保护技术 26 21361 5.5.2 连续篡改攻击保护 26 10081 5.5.3 支持日志导出查询 26  项目建设背景 本项目建设内容涉及应用系统建设、数据资源建设、终端系统建设、配套软硬件设备建设等工作。但由于网络方面缺乏必备的安全产品及技术措施，存在部分安全隐患，用户门户网站存在被篡改的风险，通信链路没有才用专用的设备对通信过程进行加密保护，存在信息窃取及泄漏的危险，针对数据库没有采用专用的审计设备对数据库操作行为进行深层次审计，网络之间没有进行有效隔离，因此本次网络建设中需根据具体情况进行安全设备的采购，搭建必备的网络安全体系，针对网络中的安全风险进行防护，保证日常网络及信息系统的正常运转。 安全建设流程 本次提出的“按需防御的安全体系”是依据国家信息安全等级保护建设制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据需要保护的信息系统形成不同的安全措施进行保护。安全建设保护的精髓思想就是可以把业务系统、信息资产、安全边界等进行“等级化”，分而治之，从而实现信息安全保护的“适度安全”思想。 本次安全建设工作参考等级保护三级要求建设，根据用户实际具体情况进行安全项目建设，整体的安全保障体系包括技术和管理两大部分，其中技术部分可根据分为安全边界、安全计算环境、安全通信网络等几个方面进行建设；而管理部分根据则可分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等几个方面。 安全建设目标 本期项目建设将完成以下目标： 1、以业务系统现有基础设施，参照等级保护三级系统基本要求，确保业务系统信息化建设符合