某中心网络安全三级等保建设方案.docxVIP

PAGE

PAGE48

PAGE

1

某交易中心

网络安全及物理环境加固建设方案

XXXXX有限责任公司

2020年10月

PAGE

PAGE51

目录

TOC\o1-3\h\u1项目背景 3

1.1系统定级 3

2安全建设思路 5

2.1等级保护建设流程 5

2.2建设依据 6

2.2.1国家相关政策要求 6

2.2.2等级保护及信息安全相关国家标准 6

3项目现状及需求分析 8

3.1项目现状 8

3.2安全风险分析 8

3.2.1物理层安全风险 9

3.2.2网络安全风险 9

3.2.3主机安全风险 10

3.2.4应用安全风险 12

3.3安全需求分析 12

4机房物理环境设计 14

4.1精密空调 15

4.2UPS不间断电源 15

4.3气体消防装置 16

4.4门禁系统 16

4.5视频监控系统 16

5网络安全设计 17

5.1设计原则 17

5.2总体拓扑图 19

5.3安全技术防御体系设计 19

5.3.1网络区域划分说明 20

5.4安全运维管理体系设计 27

5.4.1安全培训 27

5.4.2安全巡检服务 28

5.4.3应急响应服务 29

6产品清单 47

项目背景

系统定级

随着互联网的快速发展，企业单位对信息系统的依赖程度日益增高，信息安全的问题也越来越突出。同时，由于利益的驱使，针对企业单位的安全威胁也越来越多，尤其是涉及民生与金融行业的单位，收到攻击的次数也越来越频繁，相关的企业单位必须加强自身的信息安全保障工作，建立完善的安全及机制来抵御外来和内在的信息安全威胁。为提升我国重要信息系统安全管理水平和抗风险能力。体信息安全管理水平和抗风险能力。国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，涉及到政府机关、金融等核心信息系统，构筑至少应达到三级或以上防护要求。

本方案根据《信息安全技术GB/T22239-2019网络安全等级保护基本要求》，结合正群公司等级保护建设经验，针对某交易中心（以下简称交易中心）信息安全现状和业务特点，提出了某交易中心信息系统等级保护建设方案。

根据信息系统安全等级保护指南（GB/T22240-2008）中的等级保护矩阵表可对交易中心的网络信息系统赋值为：

业务信息安全保护等级矩阵表：

业务信息安全

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

系统服务安全保持等级矩阵表

系统服务安全被破坏时所侵害的客体

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

根据以上表格可以得出，交易中心的信息系统安全防护应参照三级安全等级所要求的安全防护措施进行建设。

安全建设思路

等级保护建设流程

本方案从技术部分进行安全建设，技术部分根据《网络安全等级保护基本要求》分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面进行建设。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行信息系统建设和运行维护。”

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：

1. 信息系统识别与定级：确定保护对象，通过分析信息系统所属类型、所属信息类别、服务范围以及业务对信息系统的依赖程度确定信息系统的等级。通过此步骤充分了解信息系统状况，包括信息系统业务流程和功能模块，以及确定信息系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2. 安全域设计：根据第一步的结果，通过分析信息系统业务流程、功能模块，根据安全域划分原则设计信息系统安全域架构。通过安全域设计将信息系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

3. 确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定信息系统各区域等级