视频专网安全建设通用三级等保建设方案规划.docxVIP

PAGE I 密级：内部 目录 TOC \o 1-3 \h \z \u 第1章 项目总体方案 1 1.1 建设思路 1 1.2 建设目标 1 1.3 安全等级保护系统总体架构 2 1.3.1 安全技术体系架构 2 1.3.2 安全管理体系架构 6 1.4 安全域划分 10 1.4.1 总体要求 10 1.4.2 外部接入区 11 1.4.3 核心通信区 12 1.4.4 业务应用区 12 1.4.5 外部业务区 15 1.4.6 基础服务区 15 1.4.7 数据存储区 15 1.4.8 安全管理区 16 1.4.9 用户接入区 16 1.5 建设任务 17 1.6 工程边界 18 第2章 软硬件配置清单 19 第3章 项目实施进度 21 3.1 项目建设工期 21 3.2 项目进度计划 21 第4章 投资估算与资金筹措 22 4.1 投资估算 22 4.2 资金筹措方案 22 附录一、 现状评估及整改效益对照表 23 项目总体方案 建设思路 深入贯彻落实科学发展观，遵照国家有关政策规定和技术规范，紧密结合行业信息化建设实际，按照“准确定级、科学评估、统筹考虑、突出重点、注重实效、完善机制”的原则，坚持积极防御、综合防范的方针开展信息安全等级保护体系建设，坚持稳定可靠、整合利用的方针全面提高用户信息安全防护水平，为行业信息共享和业务协同提供保障，促进用户信息化科学健康有序发展。 建设目标 依据国家信息系统安全等级保护相关标准和行业信息安全等级保护工作的总体要求，为用户信息系统建立起相应的信息安全保护体系，使系统的网络安全、主机安全、应用安全、数据安全、物理安全的防护水平达到国家信息系统安全等级保护要求，保证系统安全可靠运行，具体目标如下： （1）网络系统在结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面达到三级等级保护网络安全要求。 （2）应用系统及其主机系统达到相应安全等级保护的应用安全和主机安全要求。 （3）数据的完整性、保密性、备份与恢复等达到三级等级保护数据安全要求。 （4）机房环境在访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的达到三级等级保护物理安全要求。 安全等级保护系统总体架构 安全技术体系架构 安全防护基本思想 根据国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008），信息系统的安全技术体系架构应包含物理、网络、系统、应用和数据等五个层面的如下安全控制要素。 身份鉴别、访问控制、安全审计等安全控制要素覆盖到网络层、系统层和应用层，安全管理则覆盖到了物理、网络、系统和应用各个层面。 其中重要的要素包括： （1）身份鉴别 通过强身份鉴别技术加强对网络设备、服务器设备、应用系统的用户身份的鉴别，保证登录用户身份的真实性，如采用双因素认证等。 （2）访问控制 通过设置多层边界防护设备、配置访问控制策略等措施来保证各网络边界的访问得到有效控制。在系统和应用安全方面，通过增加或增强访问控制措施，防止非授权访问或越权访问。 针对于互联网边界通过部署：推荐防火墙实现访问控制 针对于内网终端部署：推荐终端安全接入控制系统，实现身份鉴别和终端行为管控 （3）安全审计 将重要的网络设备、安全设备、服务器的运行状态以及应用系统操作记录及时准确记录并存储下来，同时为了方便管理，将审计记录集中分析和处理，为排查故障、事后取证提供技术依据。 推荐：运维审计系统和日志审计系统 针对于数据库安全推荐部署数据库审计 （4）病毒防护 通过在网络边界、客户端、服务器等部署病毒防护产品，及时发现和清除传播到系统中的病毒，防止系统遭到病毒感染后不能正常运行。 在互联边界：推荐部署AV防病毒网关 针对于内部终端PC和服务器，推荐部署企业版杀毒软件 （5）入侵防范 通过在系统中关键部位部署入侵防范措施，及时发现和阻断网络和系统中出现的入侵和异常行为。 在互联网边界推荐部署IPS入侵防御检测系统 对于web安全推荐WAF和软件防篡改 （6）安全监控 通过部署集中监控类产品，对信息系统中设备和系统运行状况、网络流量、用户行为等进行全面的监测和记录，提供监控记录数据分析、报表生成功能。 推荐部署网管平台，监测网络中的设备运行状态 （7）冗余备份 关键线路和设备采用冗余设计，保证系统的高可用性；配备数据备份系统，实现数据的自动备份和恢复。 对于基础关键设备采用双机热备或者冷备 系统安全防护模型 根据信息系统安全等级保护的总体思想，结合用户信息系统现状和特点，提出内部业务系统技术保护体系： 用户