网络安全保障体系设计方案.docVIP

网络安全保障体系设计方案  目录 TOC \o 1-4 \h \u 15235 1.1 安全保障体系设计方案 4 12661 1.1.1 安全体系总体框架设计 4 3387 1.1.2 物理安全 5 12552 安全防护规范 5 4214 环境安全 5 285 设备安全 5 29701 1.1.3 网络安全 6 14243 信息和应用分类 6 5880 安全域设计 7 15583 边界安全防护设计 8 30758 入侵防御系统 9 5451 DDOS防范方案 10 3871 安全审计设计 11 13131 端点准入与终端安全管理设计 12 16767 1.1.4 主机安全 13 22445 防病毒设计 13 32757 补丁管理系统设计 13 32531 系统安全加固设计 14 12422 1.1.5 应用安全 16 2995 CA与电子签章系统设计 16 30668 WEB网站防护设计 17 5651 1.1.6 数据库安全 18 16702 1.1.7 运维安全 18 25769 渗透测试 19 9937 应急响应 19 18830 安全预警通告 20 6759 风险评估 20 24223 安全培训 21 2020 1.1.8 管理体系 22 7099 安全管理总体规划 22 7409 安全管理分析中心建设 23 24590 信息安全组织 24 2983 安全策略及制度 25 3712 管理制度、规范及流程 26 1975 1.1.9 安全等级保护 27  安全保障体系设计方案 依据系统总体框架目标，针对网络信息安全及网络环境制定安全体系建设方案。 系统安全建设包括物理安全、网络安全、主机安全、应用安全、数据库安全、运维安全、管理体系等几个方面，并在建设中还需要逐步完善，构建更为全面的安全体系。 本安全保障体系设计为针对本项目的整体安全等保方案设计，本项目中仅软件开发过程参考等保三级标准，具体建设内容以报价清单为准，清单以外内容需另行采购。 安全体系总体框架设计 本系统安全支撑依托云平台为工程提供安全互联、准入控制、身份认证、授权管理、访问控制、漏洞管理、防病毒、入侵防御、安全审计、桌面（终端）安全等安全支撑，安全管理与运维体系是系统工程长期有效运行的保证。 安全体系总体框架如下图所示： 安全体系主要利用安全技术手段实现系统工程信息安全的“事前预防”、“事中保护”、“事后审计”的目的。 事前预防：事前预防机制指的是根据系统的现状、网络资产的规模、要达到的安全强度采取必要的安全预防手段，从而将安全时间消灭在未发生之前，设计采用的安全技术包括：物理安全防范、漏洞管理、补丁加固等。 事中保护：事中保护机制指的是采取一定的安全技术、安全设备、安全手段，监控当前的网络、系统运行状态，通过实时的分析信息系统的当前安全状态，或者控制当前的网络活动（如网络间的访问），将网络行为控制在合法的范围内。设计中对应的事中安全技术包括：访问控制、边界防护、网站防护、入侵防御、防病毒、网络准入、终端安全管理、CA等。 事后审计：事后审计机制指的是系统中各种设备运行均会留下丰富的运行日志、记录，通过对这些日志的存储、传输、汇总、分析、判断，从而对已经发生的网络事件判断出系统中是否发生了安全攻击事件，起到事后追查的功能，并为安全事件处理提供证据。 物理安全 安全防护规范 《计算机信息系统安全保护等级划分准则》明确要求物理安全包括：环境安全、设备安全、记录介质安全。因此，物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施，如门控系统、监控报警系统和区域保护措施等。 环境安全 环境的安全主要是指机房环境和人员的安全，包括以下内容： （1）机房的选址，要注意选择安全的地点，避开经常发生雷击、暴雨、盗窃、水灾、火灾、地震、海啸等的地点。 （2）对于机房环境，设计方案按照国家和规划局有关标准建设机房，安装必要的设备以便达到：合适的温度、湿度；能够防尘、防静电；防水、防火、防雷电。 （3）对于供电系统本设计方案要求采取的措施为：一般供电；不间断电源。 （4）在出入控制方面，机房要采取适当的出入控制措施：有专门管理出入的人员；出入登记；采用指纹识别等技术的电子门禁系统。 （5）机房管理人员行为准则：机房应该开辟专门的饮水间和休息娱乐室，工作人员不得在工作间吃喝、吸烟、打闹、玩游戏等。 （6）区域保护和灾难保护。 设备安全 设备安全主要指两类设备：网络设备（如路由器、交换机等）和主机设备（如终端计算机、服务器等）。 （1）提高设备可靠性 尽可