网络安全防护建设规划.docxVIP

第

第PAGE6页共NUMPAGES94页

信息安全防护建设规划方案

目录

TOC\o1-3\h\u第1章 项目背景 4

1.1 概述 4

1.2 规划目的 4

1.3 总体架构 5

1.4 网络拓扑 6

第2章 参考标准和规范 7

2.1 国家标准 7

2.2 其他安全域相关规范 7

2.3 等级保护三级要求 7

第3章 网络安全威胁及脆弱性分析 9

3.1 威胁分析 9

3.2 脆弱性分析 12

3.2.1 技术脆弱性 12

3.2.2 管理脆弱性 16

第4章 信息安全管理体系设计 19

4.1 安全策略管理 20

4.2 安全组织 22

4.2.1 安全管理体组织机构 22

4.2.2 安全管理制度与管理办法 23

4.2.3 工程信息系统安全规范与标准 23

4.3 安全法律法规与标准 24

4.4 人员安全与培训 24

4.5 安全建设与运维管理 25

第5章 一期安全防护方案设计 26

5.1 设计思路和方法 26

5.2 安全防护架构 27

5.3 安全域划分与防护 28

5.3.1 总体方案 28

5.3.2 核心服务域 29

5.3.3 重要服务域 29

5.3.4 前置业务域 30

5.3.5 管理支撑域 30

5.3.6 内联接入域 31

5.3.7 外联接入域 31

5.3.8 网络基础设施域 31

5.4 安全防护设备技术建议 32

5.4.1 负载均衡/应用交付系统 32

5.4.2 UTM防火墙 33

5.4.3 WEB应用安全网关 34

5.4.4 业务审计系统 36

5.4.5 VPN 38

5.4.6 漏洞扫描系统 40

5.4.7 统一安全管理平台 41

5.5 安全服务 44

第6章 二期安全防护方案设计 45

6.1 安全域防护 45

6.1.1 总体方案 45

6.1.2 管理支撑域 46

6.1.3 内联接入域 46

6.1.4 外联接入域 46

6.1.5 网络基础设施域 46

6.2 安全防护设备技术建议 47

6.2.1 抗拒绝服务攻击系统 47

6.2.2 4A管理平台 51

6.2.3 终端合规管理 54

6.3 专业安全服务 59

6.3.1 安全风险检查 59

6.3.2 代码审计 69

6.3.3 安全加固 72

6.3.4 应急响应 78

6.3.5 网站安全监测 82

6.3.6 渗透测试 84

项目背景

概述

随着省公司信息化的发展，业务开展对IT支撑系统的依赖程度越来越高，信息安全的问题越来越突出。为了有效防范和化解风险，保证省公司IT支撑系统平稳运行和业务持续开展，省公司根据总体规划正逐步建立信息安全保障体系，以增强省公司的信息安全风险防范能力。

规划目的

1、理顺系统架构

进行安全域划分可以帮助理顺网络和应用系统的架构，使得信息系统的逻辑结构更加清晰，从而更便于进行运行维护和各类安全防护的设计。

2、简化复杂度

基于安全域的保护实际上是一种工程方法，它极大的简化了系统的防护复杂度：由于属于同一安全域的信息资产具备相同的IT要素，因此可以针对安全域而不是信息资产来进行防护，这样会比基于资产的等级保护更易实施。

3、降低投资

由于安全域将具备同样IT特征的信息资产集合在一起，因此在防护时可以采用公共的防护措施而不需要针对每个资产进行各自的防护，这样可以有效减少重复投资；同时在进行安全域划分后，信息系统和信息资产将分出不同的防护等级，根据等级进行安全防护能够提高组织在安全投资上的ROI（投资回报率）。

4、提供依据

组织内进行了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不足，并为今后进行系统改造和新系统的设计提供相关依据，也简化了新系统上线安全防护的设计过程。特别是针对组织的分支机构，安全域划分的方案也有利于协助他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工作。

总体架构

根据省公司信息系统现状，结合业务发展需求，制订全网安全域划分的总体架构如下图所示：

总体可以划分为：边界接入域、计算服务域、管理支撑域、网络设施域，每个域又可以根据业务系统细分要求再划分不同子域。

网络拓扑

网络安全域划分及边界整合总体方案建议如下图所示：

图表STYLEREF1\s1SEQ图表\*ARABIC\s11安