XX政府单位安全等保建设方案.pdf

XX市统计局

信息系统安全等级保护建设方案

目录

一、网络建设背景3

二、网络建设需求分析4

2.1现状分析4

2.2问题分析5

2.3建设目标9

三、网络设计原10

四、网络建设规划13

4.1整体网络拓扑设计13

4.2基础网络设计13

4.3网络安全设计16

4.4网络安全设备清单25

五、机房物理安全27

六、方案价值37

七、客户案例39

一、网络建设背景

XX市统计局位于XX号市Z府综合办公大楼，是市Z府主管全市统计和国民

经济核算的职能部门，是《中华人民共和国统计法》及有关统计法律法规的执法

部门，在改革开放的进程中统计工作越来越受到各级Z府和社会各界的重视，统

计局的工作职能也进一步扩大，在机构改革中，市统计局内设机构和人员都明显

增加，职责也进一步扩充。

统计局内设9个职能处室站。从事统计业务工作的专业部门有：局办公室、

国民经济综合统计处、法规处、工业交通统计处、固定资产投资统计处、人口与

社会发展统计处、财贸统计处、农业处及计算站。

市统计局网络由zw外网和统计局专网构成，其中专网用于连接下属各个区

县路由器再到区县交换机，各级信息互联互通；外网通过发改光纤与zw外网互

联对接。内网之间通过专网互联，对外信息通过zw外网发布，通过实施统计信

息工程将迅速扩大联网范围，充分利用现代技术，着力为XX市的社会经济发展

服务。

二、网络建设需求分析

2.1现状分析

XX市统计局网络是我市统计信息工程的重要组成部分，是现代统计业务的重

要支撑和保障。经过多年的建设和发展，逐步形成了以市局网络为核心，连接7

个区县城域网为基础的全市统计局专网。通过发改光纤，建立安全加密的vpn隧

道，连接到zw外网，实现信息资源的共享。

其中市局通过出口设备H3C-SR6608专网连接到各区县路由器，在下联到各

区县交换机，市局出口设备H3C-SR6608下面仅有一台联想网御的防火墙来承担

基本的安全防护。统计局网络另一个出口为zw外网，通过发改光纤连接，链路

中使用了安达通VPN进行数据通信的加密，出口设备为锐捷路由器，下面有一台

联想UTM做基本的安全防护。内网核心交换机为华为S5700，通过五类网线连接

到各楼层的二层接入交换机，机房使用的是HW-S1048百兆接入交换机，办公区

域和服务器区域的接入交换机为HW-S2300和H3C-S3100L，均为不可网管型百兆

低端接入交换机。XX市统计局网络拓扑图如下图1所示：

图1：XX市统计局网络拓扑图

2.2问题分析

2.2.1信息系统安全等级保护要求

根据上述对XX市统计局网络现状的分析，其网络前期的建设不满足信息

系统安全等级保护（以下简称等保或等级保护）的基本要求：

A.物理安全：物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、

防静电、温湿度控制、电力供应和电磁防护。

B.网络安全：结构安全，要求核心网络设备具备冗余空间，满足业务高峰期需

要，按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生

拥堵的时候优先保护重要主机。

访问控制，控制粒度为端口级，在网络边界部署访问控制设备，启用访

问控制功能。

安全审计，对网络设备运行状况、网络流量、用户行为等进行日志记录，

对数据进行分析并能生成审计报表。边界完整性检查，能够对非授权设备私

自联到内网的行为进行检查，对内网用户私自联到外网的行为进行检查，能

够完成准入准出控制。

入侵防范，对于端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、

缓冲区溢