某单位网络安全等级保护工程建设项目二级等保.docx

1、某单位网络安全等级保护工程建设项目二级等保网络安全等级保护工程建设项目建设方案2021年1背景概述1.1建设背景随着科技的进步和时代的发展，网络已经彻底地融入到我们生活的各行各业，网络安全问题直接关系到国家的金融环境和信息安全。只有保证网络信息的安全性，国家安全和社会信息安全才会有可靠的保障。1.2文件要求根据中华人民共和国网络安全法，水利相关单位是国家关键信息基础设施和网络安全重点保护单位。监控、数据调度系统网络空间大，涉及单位多，安全隐患分布广，一旦被攻破将直接威胁安全生产。为进一步提业务系统、监控系统、数据系统、网络的安全性和稳定性，需满足以下文件要求及原则。满足已投运设备接入的要求；满

2、足生产调度各种业务安全防护的需要；满足责任到人、分组管理、联合防护的原则；提高信息安全管理水平，降低重要网络应用系统所面临的的安全风险威胁，保证信息系统安全、稳定的运行，使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。1.3参考依据本次网络安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家相关法律要求，同时基于系统业务的特点，按照分区分域进行安全控制计算机信息系统安全保护等级划分准则（GB17859-1999）。2安全防护总体要求系统安全防护具有系统性和动态性的特点。2.1系统性其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络

3、采用分层分区的模式实现信息组织和管理。这些因素决定了系统的安全防护是一个系统性的工程。安全防护工作对内应做到细致全面，清晰合理；对外应积极配合上级和调度机构的安全管理要求。2.2安全防护的目标及重点局中心机房安全防护是系统安全生产的重要组成部分，其目标是：1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击，尤其是集团式攻击。2) 防止内部未授权用户访问系统或非法获取信息以及重大违规操作。3) 防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全实施保护，防止阀门监控系统瘫痪和失控，并由此导致系统故障。2.3安全防护总体策略安全分区根据局中心机房业务

4、的重要性和对各个系统的影响程度进行分区，所有系统都必须置于相应的安全区内。 网络专用安全区边界清晰明确，区内根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。特别强调，为保护生产控制业务应建设调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，保障上下级各安全区的互联仅在相同安全区进行，避免安全区纵向交叉。综合防护综合防护是结合国家信息安全等级保护工作的相关要求对各系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。2.4综合安全防护要求2.4.1安全区划分原则各系统划分为不同的安全工作区，反映了各区中业

5、务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。2.5综合安全防护基本要求2.5.1主机与网络设备加固厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通用网关机、Web服务器等，应当使用安全加固的操作系统。加固方式最好采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中加固软件需采用通过国家权威部门检测的自主品牌。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输。应

6、当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。2.5.2入侵检测阀门监控业务区需统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。2.5.3安全审计阀门监控业务区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。同时可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析

7、。2.5.4恶意代码、病毒防范 应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。3需求分析3.1安全风险分析 局中心机房各系统面临的主要风险优先级风险说明/举例0旁路控制（Bypassing Controls）入侵者对发送非法控制命令，导致系统事故，甚至系统瓦解。1完整性破坏（Integrity Violation）非授权修改控制系统配置、程序、控制命令；非授权修改交易中的敏感数据。2违反授权（Authorization Violation）控制系统工作人员利用授权身份或设备，执行非授权的操作。3工作人员的随意行

8、为（Indiscretion）控制系统工作人员无意识地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。4拦截/篡改（Intercept/Alter）拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。5非法使用（Illegitimate Use）非授权使用计算机或网络资源。6信息泄漏（Information Leakage）口令、证书等敏感信息泄密。7欺骗（Spoof）Web服务欺骗攻击；IP 欺骗攻击。8伪装(Masquerade)入侵者伪装合法身份，进入阀门监控系统。9拒绝服务（Availability, . Denial of Service）向调度数据网络或通信网

9、关发送大量雪崩数据，造成网络或监控系统瘫痪。10窃听（Eavesdropping, . Data Confidentiality）黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息，为后续攻击做准备。3.2安全威胁的来源办公区等网络不是一个孤立的系统，是和互联网连接，提供员工上网的需求和对外信息发布的平台，那么来自外部威胁的可能性非常大。例如应用系统遭受拒绝服务攻击，信息泄露等。内部威胁内部人员有意或无意的违规操作给信息系统造成的损害，没有建立健全安全管理机制使得内部人员的违规操作甚至犯罪行为给信息系统造成的损害等。病毒或恶意代码目前病毒的发展与传播途径之多、速度之快、危害面之广、造成的损

10、失之严重，都已达到了非常惊人的程度。也是计算机信息系统不可忽略的一个重要安全威胁源。病毒和恶意代码主要针对操作系统、数据库管理系统、应用系统等软件。病毒和恶意代码的威胁主要来自内部网络、盘、光盘等介质。自然灾害主要的自然威胁是：地震、水灾、雷击；恶劣环境，如不适宜的温度湿度，以及尘埃、静电；外电不稳定、电源设备故障等。管理层面的缺陷管理的脆弱性在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，对规章、制度落实的检查不够等。安全组织建设风险信息系统安全体系的建设对组织保障提出了更高的要求。安全管理风险安全管理制度的

11、建设还不全面，如：缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大。对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理范围不明确。缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采取措施。缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对安全事件的处理流程和制度。人员管理风险人员对安全的认识相对较高，但在具体执行和落实、安全防范的技能等还有待加强

12、。4设计方案本方案重点描述局中心机房等与业务直接相关部分的安全防护。方案实现的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，以及其它非法操作，防止局中心机房各个系统瘫痪和失控，并由此导致的一次系统事故。4.1拓扑示意 操作系统安全是计算机网络系统安全的基础，而服务器上的业务数据又是被攻击的最终目标，因此，加强对关键服务器的安全控制，是增强系统总体安全性的核心一环。对局中心机房各个系统关键服务器实现安全加固，合理配置检查规则。强制进行权限分配，保证对系统资源（包括数据和进程）的访问符合定义的主机安全策略，防止主机权限被滥用。整个系统方案建成后如图： 4.2安全部署方

13、案4.2.1下一代防火墙（上网行为管理及入侵防御）在部署下一代防火墙。安全建设充分考虑到广域网组网、运行过程中潜在的安全问题及可靠性问题，通过下一代防火墙，综合事前、事中、时候一体化安全运营中心，实现安全组网防护效果，确保局域网高安全和高可用。同时，通过下一代防火墙集成入侵防御、入侵检测、上网行为管理、防病毒网关功能，实现一体化安全的安全策略部署防护效果，简化管理运维成本，实现了最优投资回报。同时，给区域内网络构建立体的防护体系，防止内部终端遭受各个层次的安全威胁。通过下一代防火墙虚拟补丁和病毒防护等功能，有效防御各种攻击和内网蠕虫病毒，防止僵尸网络形成，保证网络的安全稳定运行。下一代防火墙内

14、置僵尸网络识别库，通过分析内网终端的异常行为，等机制准确识别被黑客控制的僵尸终端，铲除各类攻击的土壤。4.2.2日志审计系统综合日志分析系统的主要功能包括如下模块：采集管理：在接入各类日志和事件前，指定需要采集的目标、接入方式以及相关参数（如数据库的各种连接参数）、选择标准化脚本和过滤归并策略；事件分析：事件分析是综合日志分析系统的核心模块之一，它不仅可以综合考量各种日志之间可能存在的关系，而且能够对日志中相关要素进行分析；最终，异常事件的分析结果将以告警的形式呈现在系统中；审计管理：审计管理是综合日志分析系统的核心模块之一，侧重于发现日志中相关要素是否和预定的策略相符，如时间、地点、人员、方

15、式等。审计管理能够方便的自定义审计人员、行为对象、审计类型、审计策略等基本配置；并能够自定义审计策略模板，审计管理内置了大量审计策略模板，涵盖了常见的、对企业非常实用的审计策略模板，如主机、防火墙、数据库、萨班斯审计策略、等级保护策略模板等。对于根据审计策路所产生的审计违规结果，系统以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的处理。安全监控：安全监控包括告警监控和实时监控。所谓告警是指用户特别需要关注的安全问题，这些问题来源于事件分析、审计分析的结果。所谓实时监控是指对当前接入的事件日志的逐条、实时显示，显示的日志内容是可以根据用户的需求进行设置过滤条件来定制的。安全概览：综

16、合呈现当前接入系统的安全态势，如告警概况、系统运行状态、事件分析统计、审计分析统计等，安全概览显示内容可根据需要自定制。报表管理：系统提供丰富的报表，以满足用户不同的要求；资产管理：与普通的综合日志分析系统不同，综合日志分析系统提供资产管理模块，以方便用户对被管对象的管理；知识库管理：系统提供日志发送配置（即如何对各种系统进行配置，使其产生日志）、安全事件知识、安全经验等，对日志审计提供相应的支撑；系统管理：系统的自身管理，包括如用户管理、日志管理、升级管理等功能。以上功能，经过细化以后，可以形成如下结构：1)安全管理对象：综合日志分析系统能够对各种安全风险进行采集和汇总，安全对象涵盖了人员、

17、网络、安全设施、系统、终端、应用等。2)采集层：采集各种设备的事件日志，标准化为统一的格式，然后进行过滤、归并、关联和审计，从海量日志中分析潜在的安全问题，同时进行相关数据的存储和管理。3)分析处理层：系统通过分析引擎，对日志进行关联分析、审计分析和统计分析，并对异常事件告警策略进行管理。4)业务功能层：业务功能层实现对企业信息安全业务的支撑，以及系统自身运行的管理。在此基础上，通过分析事件与资产的相互关系，产生告警及报表等。5)与此同时，业务功能层提供资产管理、报表管理、采集管理、事件分析和审计管理，分别支撑用户的相关业务功能。6)综合展现层：综合展现层是综合日志分析系统的展示层。该层通过个

18、人工作台和安全概览，将整个系统收集、分析、管理的安全事件、告警概况等信息多维度的展现在用户面前。采集是综合日志分析系统的重要功能模块，它承载了日志或事件采集标准化、过滤、归并功能. 采集管理是系统进行分析的第一步，用户通过指定需要采集的目标、相关采集参数（Syslog、SNMP Trap等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志.具体如下：标准化不同的系统或设备所产生的日志格式是不尽相同的，这就给分析和统计带了巨大的麻烦，所以在综合日志分析系统中内置了众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，您没有发现相关的解析脚本，综合日志分析系

19、统也提供了相应的定制方法以解决这些问题。过滤和归并为了对接收的日志数量进行压缩，综合日志分析系统还提供了过滤和归并功能；其中，过滤功能不仅仅是丢弃无用的日志，而且也可以将它们转发到外部系统或对部分事件字段进行重新填充。事件分析综合日志分析系统的事件分析功能是系统中的核心功能之一；其中关联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系. 综合日志分析系统不仅支持以预定义规则的方式进行事件关联，还支持基于模式发现方式的关联；系统不仅支持短时间内的序列关联，还支持长时间的关联（最长可达30天）。对于事件关联分析所产生的结果将在关联事件中呈现，如果符合关联策略,将以告警的形式在实时监控模块呈现给

20、用户，用户可以对告警进行相关的处理。4.2.3运维审计系统（堡垒机）借助切实有效的技术手段，通过对运维环境中人员、设备、操作行为等诸多要素的统筹管理和策略定义，建立一个具有完备控制和审计功能的运维管理系统，为业务生产系统进一步的发展建立坚实基础。该方案需要在技术层面完成如下建设目标：实现单点登录：全部运维人员集中通过运维管理系统，来管理后台的服务器、网络设备等资源，同时对运维人员进行统一的身份认证；实现统一授权：统一部署访问控制和权限控制等策略，保证操作者对后台资源的合法使用，同时实现对高危操作过程的事中监控和实时告警；快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提供灵活的查询

21、搜索机制，从而在操作故障发生时，快速的定位故障的原因，还原操作的现场；简化密码管理：实现账号密码的集中管理，在简化密码管理的同时提高账号密码的安全性；兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有的操作习惯不造成任何影响；集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所

22、以身份管理是基础。访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提

23、高运维效率的目的。4.2.4数据库审计系统在运维管理区部署数据库审计，采用旁路模式部署。采用安全审计系统数据库审计功能则主要针对网络内数据库服务器，实时采集网络中对数据库访问的信息进行审计。数据库审计系统通过对网络数据的实时采集分析、监控来自网络内部和外部的用户对数据库的访问活动，及时识别和发现其中是否存在安全威胁和违规行为。系统的审计分析结果能帮助管理员对数据库安全策略进行分析，提升数据库安全性，并为管理员调整数据库安全策略、收集证据及事后追踪起诉提供用力的帮助。该产品通过旁路监听，实时采集网络中的数据库访问信息，进行审计分析，恢复和还原用户的数据库访问过程，自动记录访问过程，协助网管人员掌

24、握数据库的访问情况，及时发现和制止非法访问行为。多层业务关联审计：通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控,违规操作可追溯。细粒度数据库审计：通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包） 实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程

25、登录服务器后的操作请求等 通过远程命令行执行的SQL命令也能够被审计与分析，并对违规的操作进行阻断 系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的还原和审计，同时可以根据返回结果设置审计规则。精准化行为回溯：一旦发生安全事件，提供基于数据库对象的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态。全方位风险控制：灵活的策略定制：根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件 多形式的实时告警

26、：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员。职权分离：计算机信息系统安全等级保护数据库管理技术要求、企业内部控制规范、SOX法案或PCI中明确提出对工作人员进行职责分离，系统设置了权限角色分离。友好真实的操作过程回放：对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容。 对于远程操作实现对精细内容的检索，如执行删除表、文件命令、数据搜索等。4.2.5网络防病毒系统在各服务器、终端PC上安装防病毒软件系统，在运维管理区部署防病毒管理系统，在全网部署防病毒系统后，通过代码特征匹配和动态行为

27、分析识别恶意软件变种与族群，有效解决病毒、木马、漏洞、免杀逃逸等终端威胁，实现了反病毒、主动防御和主机防火墙等三大功能。部署设计：全面集中管理防病毒系统企业版具有全面集中管理和全网设置的功能，网络管理员可以十分轻松地实现全网的统一设置，以及对服务器端/客户端进行分组管理。支持的服务器端/客户端类型有Windows server200320082012，Windows PC XP78、Linuxserver等。在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置策略、策略下发、客户端分组、杀毒、补丁升级、启动/关闭实时监控、统一报表等。全网查杀毒防病毒系统企业版能够随时启

28、动对全网的统一查杀毒，这样就能全网统一行动，最大程度的减小了病毒传播的可能。当然，管理员也可以对很方便的使用企业管理中心对单个或多个客户端进行查杀毒。直接监视服务器端/客户端防病毒系统企业版能够直接显示每一个服务器端/客户端的实时监控状态、安装的版本、查杀毒状态，这样管理员对于任何安装了防病毒系统企业版的计算机的状态都一目了然，随时监测有无异常情况出现。远程报警防病毒系统企业版管理中心记录了整个网络中任意服务器端/客户端计算机上查杀毒时发现的病毒信息，并且能够在控制台病毒列表栏上显示。管理员由此能及时发现染毒的计算机，做出及时的反应。整个网络的病毒报警信息是由运维管理中心来统一维护的，因此管理

29、员通过管理中心能够查询和管理之前的病毒历史记录。对病毒的传播途径进行有效的跟踪，做到了层层防护。4.2.6灾备系统备份存储系统（备份一体机）是一种集备份、虚拟带库等功能为一体的软、硬件一体化备份平台。备份存储系统包含一整套阶梯式产品，完全可以服务于各种不同级别的数据备份存储需求。备份存储系统可采用SATA、SAS、SSD等多种磁盘,提供FC光纤、万兆以太网以及千兆以太网的扩展卡以满足用户不同的应用需求。备份存储系统具有最广泛的备份功能，支持多种数据类型的备份，如数据库备份、文件备份、应用备份、操作系统备份等，涵盖从 Windows、Linux到Unix操作系统平台，备份的数据可以通过IP-SA

30、N、FC-SAN或DAS方式进行存储，它利用成熟结构来完成对数据的存储备份。部署设计：备份存储系统可以进行一对一或多对一的备份。不仅他提供本地集中备份，也可以用备份存储系统搭建统一集中的异地备份环境从而为客户提供远程异地数据灾备功能，还可以通过外接磁带库满足用户需求，具有多主控优势，进一步降低客户成本。备份存储系统提供数据备份和数据存储功能。在用户现有网络环境中只需部署一台备份存储系统，即可实现数据备份及存储功能，无需再购买数据存储等额外设备。4.2.7统一身份管理系统准入控制系统的设计有两个基本的理论前提：第一，网络安全状态的非稳定性。安全状态属于非稳定状态，意味着系统会随着时间迁移、变迁到

31、非安全状态。 因而，及时做好系统更新，将系统状态重新调整回安全状态，能够有效减少受攻击的可能；第二，网络安全状态的可控性。在局域网环境中收集的网络及用户主机的状态信息越多，越能够准确地判断出网络所面临的风险，并及时给出应对措施，控制网络安全状态设计原则：1.接入限制。要求用户主机在享受网络服务前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个网络构成威胁。2.主动控制。主动侦测用户和系统的网络安全状态，发现非安全状态时，触发控制反馈来调整用户和系统状态，从而保障整个网络的安全运行。3.动态调整。通过对整个局域网网络设备的安全状态分析，应用一定的策略，动态智能地为其他安全设备调整规则提供依据。主要功能接入设备的身份认证支持包括MAC地址、IP地址、基于用户名和密码的身份、接入设备端口、所在VLAN等信息，还支持U-KEY、支持智能卡、数字证书认证，LDAP、无缝结合域管理。接入设备的安全性检查包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等。完善的安全策略管理包括资产安全策略、补丁安装策略、访问策略、应用程序策略、桌面防火墙策略、外设策略和远程维护的策略管理