XX学院等保(三级)方案设计

XX市XX学院等级保护〔三级〕建设方案

1 / 44

word

目录

一、工程概况5 二、需求分析6

1、建设背景6 2、建设目标7 三、设计原如此与依据9

1、设计原如此9 2、设计依据10 四、方案整体设计11

1、信息系统定级11

1、等级保护完全实施过程13 2、能力、措施和要求14

2 / 44

2017年1月

word 3、根本安全要求14

4、系统的控制类和控制项15 5、物理安全保护要求15 6、网络安全保护要求16 7、主机安全保护要求17 8、应用安全保护要求18 9、数据安全与备份恢复19 10、安全管理制度20 11、安全管理机构21 12、人员安全管理21 13、系统建设管理22 14、系统运维管理23 2、等级保护建设流程24 2、网络系统现状分析25

1、网络架构25 2、可能存在的风险26 3、等保三级对网络的要求28

1、结构安全28 2、访问控制28 3、安全审计29 4、边界完整性检查29

3 / 44

word 5、入侵防X29 6、恶意代码防X30 7、网络设备防护30 4、现状比照与整改方案30

1、现状比照31 2、控制点整改措施34 3、详细整改方案36 4、设备部署方案39

五、产品选型41

1、选型建议41 2、选型要求42 3、设备选型清单42 六、公司介绍43

4 / 44

word

一、工程概况

信息安全等级保护是对信息和信息载体按照重要性等级分级别进展保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉与到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作

XX市XX学院是2008年元月，经自治区批准，国家教育部备案的公办全日制高等职业技术院校。学院以高等职业教育为主，同时兼有中等职业教育职能。

学院开拓办学思路，加大投入，改善办学条件，拓宽就业渠道，内引外联，确立了面向社会、服务市场，重在培养学生的创新精神和实践能力的办学宗旨。学院本着让学生既成才，又成人的原如此，优化人才培养模式，狠抓教育教学质量，增强学生实践动手能力，注重对学生加强德育和行为规X教育，为企业和社会培养具有全面素质和综合职业能力的应用型专门人才。

学院雄厚的师资力量、先进的教学设备、严格的日常管理、完善的文体设施、优质的后勤服务以与宽敞洁净的学生公寓和食堂，为广阔师生提供了优美、舒适、理想的学习、生活和工作环境。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实

5 / 44

word 现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以与安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的根底上，还要包括系统整体测评。

二、需求分析

为了保障国家关键根底设施和信息的安全，结合我国的根本国情，制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的根本制度、根本国策，促进信息化、维护国家信息安全的根本保障。

1、建设背景

随着我国学校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度越来越高，教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息化安全是业务应用开展需要关注的核心和重点。

为贯彻落实国家信息安全等级保护制度，规X和指导全国教育信息安全等级保护工作，国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保护工作的通知〞；教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》；教育部《印发关于开展教育系统信息安全等级保护工作专项检查的通知》〔教办厅函[2010] 80号〕。

XX市XX学院的网络系统在近几年逐步完善，作为一个现代化的教学机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合学校的“校务管理〞、“教学科研〞、“招生就业〞、“综合服务〞等业务信息平台，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。

6 / 44

word 同时学校的网络系统中内部与外部的访问量巨大，访问人员比拟复杂，所以如何保证学校网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容无视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理上的不严密，都会使计算机网络受到威胁。

2、建设目标

本次XX市XX学院业务系统等级保护安全建设的主要目标是：

按照等级保护要求，结合实际业务系统，对学院核心业务系统进展充分调研与详细分析，将学院核心业务系统系统建设成为一个与满足业务需要，又符合等级保护三级系统要求的业务平台。

建设一套符合国家要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特性和开展战略，满足学院信息安全要求。

本方案的安全措施框架是依据“积极防御、综合防X〞的方针，以与“管理与技术并重〞的原如此，并结合等级保护根本要求进展设计。

技术体系：

网络层面：关注安全域划分、访问控制、抗拒绝服务攻击，针对区域边界采取防火墙进展隔离，并在隔离后的各个安全区域边界执行严格的访问控制，防止非法访问；利用漏洞管理系统、网络安全审计等网络安全产品，为客户构建严密、专业的网络安全保障体系。

应用层面：WEB应用防火墙能够对WEB应用漏洞进展预先扫描，同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，并结合网页防篡改子系统，真正达到双重层面的“网页防篡改〞效果。

7 / 44

word 数据层面，数据库将被隐藏在安全区域，同时通过专业的安全加固服务对数据库进展安全评估和配置，对数据库的访问权限进展严格设定，最大限度保证数据库安全。同时，利用SAN、远程数据备份系统有效保护重要数据信息的健康度。

管理体系：

在安全管理体系的设计中，我们借助丰富的安全咨询经验和对等级保护管理要求的清晰理解，为用户量身定做符合实际的、可操作的安全管理体系。

安全服务体系：

风险评估服务：评估和分析在网络上存在的安全技术分析，分析业务运作和管理方面存在的安全缺陷，调查系统现有的安全控制措施，评价用户的业务安全风险承当能力；

安全监控服务：通过资深的安全专家对各种安全事件的日志、记录实时监控与分析，发现各种潜在的危险，并提供与时的修补和防御措施建议；

渗透测试服务：利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器与重要的网络设备进展非破坏性质的模拟黑客攻击，目的是侵入系统并获取某某信息并将入侵的过程和细节产生报告给用户；

应急响应服务：针对信息系统危机状况的紧急响应、分析、解决问题的服务，当信息系统发生意外的突发安全事件时，可以提供紧急的救援措施。

方案收益

实施信息安全等级保护建设工作可以为高校信息化建设实现如下收益： ✓ 有利于提高信息和信息系统安全建设的整体水平；

✓ 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信

息化建设协调开展；

8 / 44

word ✓ 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导

和服务，有效控制信息安全建设本钱；

✓ 有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障

重要信息系统的安全；

✓ 有利于明确信息安全责任，加强信息安全管理； ✓ 有利于推动信息安全的开展

三、设计原如此与依据

1、设计原如此

根据学院的要求和国家有关法规的要求，本系统方案设计遵循性能先进、质量可靠、经济实用的原如此，为实现学院等级保护管理奠定了根底。

 全面保障：

信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。  整体规划，分步实施：

对信息安全建设进展整体规划，分步实施，逐步建立完善的信息安全体系。  同步规划、同步建设、同步运行：

安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。

 适度安全：

没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。

 内外并重：

9 / 44

word 安全工作需要做到内外并重，在防X外部威胁的同时，加强规X内部人员行为和访问控制、监控和审计能力。

 标准化

管理要规X化、标准化，以保证在能源行业庞大而多层次的组织体系中有效的控制风险。

 技术与管理并重：

网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

2、设计依据

根据学院现有情况，本次方案的设计严格按照现行中华人民某某国以与某某自治区与行业的工程建设标准、规X的要求执行。在后期设计或实施过程中，如国家有新法规、规X颁布，应以新颁布的法规规X为准。本方案执行如下有关技术标准、规X、规程但不限于以下技术标准、规X、规程。

 计算机信息系统安全等级保护划分准如此 〔GB 17859-1999〕  信息系统安全等级保护实施指南 〔GB/T 25058-2010〕  信息系统安全保护等级定级指南 〔GB/T 22240-2008〕  信息系统安全等级保护根本要求 〔GB/T 22239-2008〕  信息系统通用安全技术要求 〔GB/T 20271-2006〕

 信息系统等级保护安全设计技术要求 〔GB/T 25070-2010〕  信息系统安全等级保护测评要求 〔GB/T 28448-2012〕  信息系统安全等级保护测评过程指南 〔GB/T 28449-2012〕

10 / 44

word  信息系统安全管理要求 〔GB/T 20269-2006〕  信息系统安全工程管理要求 〔GB/T 20282-2006〕  信息系统物理安全技术要求 〔GB/T 21052-2007〕  网络根底安全技术要求 〔GB/T 20270-2006〕  信息系统通用安全技术要求 〔GB/T 20271-2006〕  操作系统安全技术要求 〔GB/T 20272-2006〕  数据库管理系统安全技术要求 〔GB/T 20273-2006〕  信息安全风险评估规X 〔GB/T 20984-2007〕  信息安全事件管理指南 〔GB/T 20985-2007〕  信息安全事件分类分级指南 〔GB/Z 20986-2007〕  信息系统灾难恢复规X 〔GB/T 20988-2007〕

四、方案整体设计

1、信息系统定级

确定信息系统安全保护等级的流程如下：  识别单位根本信息

了解单位根本信息有助于判断单位的职能特点，单位所在行业与单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。

 识别业务种类、流程和服务

应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域X围、用户人数、业务量的具体数据以与

11 / 44

word 对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。

 识别信息

调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其某某性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。

 识别网络结构和边界

调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以与该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。

 识别主要的软硬件设备

调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以与安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。

 识别用户类型和分布

调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的X围和程度。

 根据信息安全等级矩阵表，形成定级结果

12 / 44

word

1、等级保护完全实施过程

13 / 44

word

2、能力、措施和要求

3、根本安全要求

14 / 44

word

4、系统的控制类和控制项

5、物理安全保护要求

物理安全主要涉与的方面包括环境安全〔防火、防水、防雷击等〕设备和介质的防盗窃防破坏等方面。

物理安全具体包括以下10个控制点：  物理位置的选择〔G〕  物理访问控制〔G〕  防盗窃和防破坏〔G〕  防雷击〔G)  防火〔G〕  防水和防潮〔G〕  防静电〔G〕

15 / 44

word

 温湿度控制〔G〕  电力供给〔A〕  电磁防护〔S〕 整改要点：

6、网络安全保护要求

网络安全主要关注的方面包括：网络结构、网络边界以与网络设备自身安全等。

网络安全具体包括以下7个控制点：  结构安全(G)  访问控制(G)  安全审计(G)

16 / 44

word

 边界完整性检查(A)  入侵防X(G)  恶意代码防X(G)  网络设备防护(G)。 整改要点：

7、主机安全保护要求

主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统与数据库系统层面的安全。

主机安全具体包括以下7个控制点：  身份鉴别(S)  访问控制(S)  安全审计(G)

17 / 44

word

 剩余信息保护(S)  入侵防X(G)  恶意代码防X(G)  资源控制(A) 整改要点：

8、应用安全保护要求

应用系统的安全就是保护系统的各种应用程序安全运行。包括根本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。

应用安全具体包括以下9个控制点：  身份鉴别〔S〕  访问控制〔S〕

18 / 44

word

 安全审计〔G〕  剩余信息保护〔S〕  通信完整性〔S〕  通信某某性〔S〕  抗抵赖〔G〕  软件容错〔A〕  资源控制〔A〕 整改要点：

9、数据安全与备份恢复

数据安全主要是保护用户数据、系统数据、业务数据的保护。将对数据造成的损害降至最小。

19 / 44

word

备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。

数据安全和备份恢复具体包括以下3个控制点：  数据完整性〔S〕  数据某某性〔S〕、  备份和恢复〔A〕 整改要点：

10、安全管理制度

安全管理制度包括信息安全工作的总体方针、策略、规X各种安全管理活动的管理制度以与管理人员或操作人员日常操作的操作规程。

安全管理制度具体包括以下3个控制点：  管理制度  制定和发布  评审和修订 整改要点：

20 / 44

word 形成信息安全管理制度体系、统一发布、定期修订等

11、安全管理机构

安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层〔董事会〕到执行管理层以与业务运营层的管理结构来约束和保证各项安全管理措施的执行。

安全管理机构具体包括以下5个控制点：  岗位设置  人员配备  授权和审批  沟通和合作  审核和检查 整改要点：

信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等

12、人员安全管理

对人员安全的管理，主要涉与两方面： 对内部人员的安全管理和对外部人员的安全管理。

人员安全管理具体包括以下5个控制点：  人员录用  人员离岗  人员考核

21 / 44

word  安全意识教育与培训  外部人员访问管理 整改要点：

全员某某协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理

13、系统建设管理

系统建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项安全管理活动。

系统建设管理具体包括以下11个控制点：  系统定级  安全方案设计  产品采购和使用  自行软件开发  外包软件开发  工程实施  测试验收  系统交付  系统备案  等级测评  安全服务商选择 整改要点：

22 / 44

word 系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实施制度化、第三方委托测试、运行起30 天内备案、每年进展1次等级测评、安全服务商的选择

14、系统运维管理

系统运维管理涉与日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。

系统运维管理具体包括以下13个控制点：  环境管理  资产管理  介质管理  设备管理、

 监控管理和安全管理中心  网络安全管理  系统安全管理  恶意代码防X管理  密码管理  变更管理  备份与恢复管理  安全事件处置  应急预案管理 整改要点：

23 / 44

word 办公环境某某性、资产的标识和分类管理、介质/设备/系统/网络/密码/备

份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、 应急预案的演练和审查。

本次等保三级方案主要针对学院现有的网络系统进展设计。

2、等级保护建设流程

整体的安全保障体系包括技术和管理两大局部，其中技术局部根据《信息系统安全等级保护根本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进展建设；而管理局部根据《信息系统安全等级保护根本要求》如此分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。

整个安全保障体系各局部既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度与安全策略，由相关人员，利用技术工手段与相关工具，进展系统建设和运行维护。〞

据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进展：

1. 系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类

别、服务X围以与业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以与确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以与安全措施选择提供依据。

2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，

根据安全域划分原如此设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供根底框架。 3. 确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全

域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等

24 / 44

word 级，明确各安全域所需采用的安全指标。

4. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相

关风险评估方法，对系统各层次安全域进展有针对性的等级风险评估。并找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。 5. 安全保障体系方案设计：根据安全域框架，设计系统各个层次的安全保

障体系框架以与具体方案。包括：各层次的安全保障体系框架形成系统整体的安全保障体系框架；详细安全技术设计、安全管理设计。 6. 安全建设：根据方案设计内容逐步进展安全建设，满足方案设计做要符

合的安全需求，满足等级保护相应等级的根本要求，实现按需防御。 7. 持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急

响应等，从事前、事中、事后三个方面进展安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。

通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障系统整体的安全。而应该特别注意的是：等级保护不是一个项目，它应该是一个不断循环的过程，所以通过整个安全项目、安全服务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个系统随着环境的变化达到持续的安全。

2、网络系统现状分析

XX市XX学院在2013年正式搬迁到职教园区内，同时新建了整套校园网络，后期又经过陆陆续续的升级和改造，现已建成如下情况。

1、网络架构

拓扑图

25 / 44

word 1、内部数据交换

如上拓扑图所示，学院有无线和有线两套网络提供使用，整网采用纵向三层设计，分别是核心层、会聚层和接入层。教学和办公网使用单独的核心交换机S12006上联至数据中心核心交换机N18010，防止了在接入区域和宿舍楼数据的混合。

2、网络出口

整网有两条互联网出口链路，无线用户和有线用户各使用一条链路，每条链路各采用的一台出口网关进展转发。

3、网络安全

安全设计分为对外部数据的安全保障和对本地内部数据的安全保障，现有一台防火墙部署在出口网关与核心交换机之间，保障了对外部有害数据的防X。

内部服务器区域部署了一台服务器防护WG，下联各服务器，上联核心交换机，保障服务器的安全性。

其它设备有网络管理系统、Portal认证系统、计费系统、日志记录系统、用户自助系统等。

2、可能存在的风险

XX学院内部的网络比拟复杂，加上无线网络的全面覆盖，使用人群多种多样，因此网络安全是XX学院校园网运行过程中所面临的实际问题。

1、来自硬件系统的安全威胁

硬件的安全问题也可以分为两种，一种是物理安全，一种是设置安全。 物理安全是指由于物理设备的放置不适宜或者防X不得力，使得服务器、交

26 / 44

word 换机、路由器等网络设备，缆和双绞线等网络线路以与UPS和电缆线等电源设备遭受意外事故或人为破坏，造成网络不能正常运行。设置安全是指在设备上进展必要的设置，如服务器、交换机的密码等，防止黑客取得硬件设备的远程控制权。

2、来自学院网络内部的安全威胁

校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比拟了解，特别是在校学生，学校通常不能有效的规X和约束学生的上网行为，学生会经常的监听或扫描学校网络，因此来自内部的安全威胁更难应付。

3、来自Internet的威胁

Internet上有各种不同内容的，这些形形色色、良莠不齐的网络资源不但会占用大量流量资源，造成网络堵塞、上网速度慢等问题，而且由于校园网与Internet相连，校园网也就面临着遭遇攻击的风险。

4、系统或软件的漏洞

目前使用的操作系统和应用软件都存在安全漏洞，对网络安全构成了威胁。而且现在许多从网络上随意下载的软件中可能隐藏木马、后门等恶意代码这些软件的使用也可能被攻击者侵入和利用。

5、管理方面可能存在的漏洞

XX学院的用户群体比拟大，数据量大、速度高。随着校园内计算机应用的大X围普与，接入校园网节点日渐增多，学生通过网络在线看电影、听音乐，很容易造成网络堵塞和病毒传播。而这些节点大局部都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

27 / 44

word 3、等保三级对网络的要求

1、结构安全

1. 应保证主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需

要；

2. 应保证网络各个局部的带宽满足业务顶峰期需要；

3. 应在业务终端与业务服务器之间进展路由控制建立安全的访问路径； 4. 应绘制与当前运行情况相符的网络拓扑结构图；

5. 应根据各部门的工作职能、重要性和所涉与信息的重要程度等因素，划

分不同的子网或网段，并按照方便管理和控制的原如此为各子网、网段分配地址段；

6. 应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网

段与其他网段之间采取可靠的技术隔离手段；

7. 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发

生拥堵的时候优先保护重要主机。

2、访问控制

1. 应在网络边界部署访问控制设备，启用访问控制功能；

2. 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制

粒度为端口级；

3. 应对进出网络的信息内容进展过滤，实现对应用层HTTP、FTP、TELNET、

SMTP、POP3等协议命令级的控制；

4. 应在会话处于非活跃一定时间或会话完毕后终止网络连接； 5. 应网络最大流量数与网络连接数；

28 / 44

word 6. 重要网段应采取技术手段防止地址欺骗；

7. 应按用户和系统之间的允许访问规如此，决定允许或拒绝用户对受控系

统进展资源访问，控制粒度为单个用 8. 应具有拨号访问权限的用户数量

3、安全审计

1. 应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志

记录；

2. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功

与其他与审计相关的信息；

3. 应能够根据记录数据进展分析，并生成审计报表；

4. 应对审计记录进展保护，防止受到未预期的删除、修改或覆盖等。

4、边界完整性检查

1. 应能够对非授权设备私自联到内部网络的行为进展检查，准确定出位置，

并对其进展有效阻断；

2. 应能够对内部网络用户私自联到外部网络的行为进展检查，准确定出位

置，并对其进展有效阻断。

5、入侵防X

1. 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻

击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 2. 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，

在发生严重入侵事件时应提供报告；

29 / 44

word 6、恶意代码防X

1. 应在网络边界处对恶意代码进展检测和去除； 2. 应维护恶意代码库的升级和检测系统的更新。

7、网络设备防护

1. 应对登录网络设备的用户进展身份鉴别； 2. 应对网络设备的管理员登录地址进展； 3. 网络设备用户的标识应唯一；

4. 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进展

身份鉴别；

5. 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更

换；

6. 应具有登录失败处理功能，可采取完毕会话、非法登录次数和当网

络登录连接超时自动退出等措施；

7. 当对网络设备进展远程管理时，应采取必要措施防止鉴别信息在网络传

输过程中被窃听；

8. 应实现设备用户的权限别离

4、现状比照与整改方案

现有网络虽然已经在各方面比拟完善，但是还达不到三级等保的要求，下面从以上7个控制点进展详细的比照，找出存在的问题并提出解决方案。

30 / 44

word 1、 现状比照

主要是对已有设备的配置和使用情况进展检查和修改。  网络与安全设备的配置和优化服务；  监控分析与优化服务；

 是否进展了路由控制建立安全的访问路径？  重要网段的隔离部署；

 重要网段应采取技术手段防止地址欺骗；如：MAC+IP绑定  审计数据的梳理与分析；

 设定用户的访问权限并配置策略〔内部和外部〕；  对登录网络设备的用户进展身份鉴别和地址；  对重要业务的带宽做最小流量设置。 如下表格：

 打钩表示已满足要求。

 未打钩表示未满足要求，需要完善，可通过对现有设备进展深化配置或

者增添新设备来实现。

31 / 44

word 1 应保证主要网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要； √ √ √ √ √ √ 2 应保证网络各个局部的带宽满足业务顶峰期需要； 3 应在业务终端与业务服务器之间进展路由控制建立安全的访问路径； 结构安全 4 应绘制与当前运行情况相符的网络拓扑结构图； 5 应根据各部门的工作职能、重要性和所涉与信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原如此为各子网、网段分配地址段； 应防止将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 6 7 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 1 应在网络边界部署访问控制设备，启用访问控制功能； 2 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 访问控制 3 应对进出网络的信息内容进展过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 4 应在会话处于非活跃一定时间或会话完毕后终止网络连接； 5 应网络最大流量数与网络连接数； 32 / 44

word 6 重要网段应采取技术手段防止地址欺骗； √ √ 7 应按用户和系统之间的允许访问规如此，决定允许或拒绝用户对受控系统进展资源访问，控制粒度为单个用户； 8 应具有拨号访问权限的用户数量； 1 应对网络系统中的网络设备运行状况、网络流量、用户行为等进展日志记录； 2 安全审计 3 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功与其他与审计相关的信息； 应能够根据记录数据进展分析，并生成审计报表； 4 应对审计记录进展保护，防止受到未预期的删除、修改或覆盖等。 1 边界完整性检查 2 应能够对非授权设备私自联到内部网络的行为进展检查，准确定出位置，并对其进展有效阻断； 应能够对内部网络用户私自联到外部网络的行为进展检查，准确定出位置，并对其进展有效阻断。 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报恶意代码防X措施。 1 入侵防X 2 恶意代码防X 1 应在网络边界处对恶意代码进展检测和去除； 33 / 44 word 2 应维护恶意代码库的升级和检测系统的更新。 √ √ 1 应对登录网络设备的用户进展身份鉴别； 2 应对网络设备的管理员登录地址进展； 3 网络设备用户的标识应唯一； 4 网络设备防护 5 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进展身份鉴别； 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 6 应具有登录失败处理功能，可采取完毕会话、非法登录次数和当网络登录连接超时自动退出等措施； 7 当对网络设备进展远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 8 应实现设备用户的权限别离 2、控制点整改措施

1、结构安全

主要网络设备的处理能力以与各局部带宽均需满足业务顶峰需要； 部署优化设备，削减网络流量，更好的满足冗余要求；

34 / 44

word 合理规划路由，在业务终端与业务服务器之间建立安全路径； 规划重要网段，在路由交换设备上配置ACL策略进展隔离；

网络设备规划带宽优先级，保证在网络发生拥堵时优先保护重要主机。必要时可部署专业流控产品进展管控。

2、访问控制

网络边界部署如：防火墙等隔离设备； 根据根本要求对隔离设备以与网络设备等制定相应的ACL策略。包括：访问控制粒度、用户数量等。

在配置防火墙等隔离设备的策略时要满足相应要求，包括：端口级的控制粒度；常见应用层协议命令过滤；会话控制；流量控制；连接数控制；防地址欺骗等。

3、安全审计

部署网络安全审计系统，记录用户网络行为、网络设备运行状况、网络流量等，审计记录包括事件的日期和时间、用户、事件类型、事件是否成功与其他与审计相关的信息。

加强审计功能，具备报表生成功能，同时采用日志服务器进展审计记录的保存，防止非正常删除、修改或覆盖。

4、边界完整性检查

部署终端安全管理系统，启用非法外联监控以与安全准入功能进展边界完整性检查。在检测的同时要进展有效阻断。

5、入侵防X

部署入侵检测系统进展入侵行为进展检测。包括：端口扫描、强力攻击、木马后门攻击等各类攻击行为。

35 / 44

word 配置入侵检测系统的日志模块，记录记录攻击源IP、攻击类型、攻击目的、攻击时间等相关信息，并通过一定的方式进展告警。

6、恶意代码防X

在网络边界处部署UTM或AV、IPS网关进展恶意代码的检测与去除，并定期升级恶意代码库。升级方式根据与互联网的连接状态采取在线或离线方式。

7、网络设备防护

根据根本要求配置网络设备自身的身份鉴别与权限控制，包括：登陆地址、标识符、口令的复杂度〔3种以上字符、长度不少于8位〕、失败处理，传输加密等方面。 对网络设备进展安全加固。

对主要网络设备实施双因素认证手段进身份鉴别； 对设备的管理员等用户进展不同权限等级的配置，实现权限别离。

3、详细整改方案

1. 现有网络配置未将重要网段与其他网段之间进展可靠的技术隔离，应采

用相应的VLAN隔离技术并为特定的无线用户配置用户隔离。 2. 现有网络未配置对业务服务的重要次序并指定带宽分配优先级别，需增

添专业的流量控制设备对有线合无线用户进展全面管控。

3. 在出口区域部署的防火墙虽然配置了相应的安全策略，但是没有将某些

应用的控制粒度细化到端口级别，需完善配置。

4. 现有网络设备没有对进出网络的信息内容进展过滤，实现对应用层

HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制，需增添一台专业的行为管理设备进展完善。

5. 大局部设备的会话非活跃时间设置均为默认值，应在会话处于非活跃一

36 / 44

word 定时间或会话完毕后终止网络连接，需修改设备的相应数值进展完善。 6. 出口网关上没有相应的网络最大流量数与网络连接数的配置，需根

据用户群体、数量与数据量的大小计算出合理的数值并完善。 7. 交换机上没有对重要网段采取技术手段防止地址欺骗，建议全网采用

DHCP Snooping + IP Source guard + ARP Check方案或使用DHCP Snooping + DAI方案对地址欺骗进展有效的防X。由于现有网络中有一台SAM认证计费系统，所以也可采用与SAM联动的方式SAM+Supplicant方案。

8. 现有设备未配置按用户和系统之间的允许访问规如此，决定允许或拒绝

用户对受控系统进展资源访问。应在交换机上添加相应配置，如采用ACL进展控制，控制粒度应为单个用户。

9. 设备未具有拨号访问权限的用户数量，应根据用户群体与数量在出

口区域进展相应的。

10. 现有设备无法全面有效的记录事件的日期和时间、用户、事件类型、事

件是否成功与其他与审计相关的信息，上述第4条中增添的行为管理设备可对此完美支持。

11. 行为管理设备应采用双电源设计，分开两路电源对其供电，配置高复杂

度密码并定期进展修改和检查，与日志系统联动，实时转存日志信息，实现对审计记录进展保护，防止受到未预期的删除、修改或覆盖。 12. 现有设备无法有效的对非授权设备私自联到内部网络的行为进展检查、

准确定出位置并对其进展有效阻断，应增添专业的入侵检测设备对现有网络进展完善。

13. 现有设备无法全面有效的对内部网络用户私自联到外部网络的行为进

展检查、准确定出位置并对其进展有效阻断。上述第4条中增添的行为管理设备可对此完美支持。

37 / 44

word 14. 现有设备无法全面有效监视网络边界处收到的端口扫描、强力攻击、木

马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等，上述第12条中增添的入侵检测设备可对此完美支持。 15. 现有设备无法全面有效的在检测到攻击行为时，记录攻击源IP、攻击类

型、攻击目的、攻击时间，并无法全面有效的在发生严重入侵事件时提供恶意代码和防X措施，上述第12条中增添的入侵检测设备可对此完美支持。

16. 现有设备无法全面有效的在在网络边界处对恶意代码进展检测和去除，

上述第12条中增添的入侵检测设备可对此完美支持。

17. 安全类设备应定期维护恶意代码库的升级和检测系统的更新，以免识别

不到最新的恶意代码和攻击方式。

18. 现有设备未对网络设备的管理员地址进展，应在所有设备上采用

ACL等技应对网络设备的管理员登录地址进展，只允许管理员所在地址段的指定地址登录设备并进展管理；

19. 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进

展身份鉴别，建议采用用户名+密码+验证码等方式对设备进展登录和管理。

20. 设备的身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并

定期更换；

21. 现有设备未配置对登录失败处理功能，如采取完毕会话、非法登录

次数和当网络登录连接超时自动退出等措施，应完善相应配置。 22. 现有大局部设备的远程管理方式均采用Telnet和HTTP方式进展登录管

理，无法防止鉴别信息在网络传输过程中被窃听，因此，所有网络设备都应采用SSH和HTTPS的方式对设备进展登录和管理。

23. 当前设备未配置对管理员的权限划分，当存在多个不同等级的管理员

38 / 44

word 时，应实现设备用户的权限别离，需完善设备配置。

24. 当前在服务器区域的防护只部署了一台WG，但是服务器区域内的数据库

得不到有效的安全保障，应从数据完整性和某某性进展防护，所以需要增添专业的数据库审计设备对数据库和网络中传输的数据进展全面检测和审计。

4、设备部署方案

上述整改措施中包含服务类与产品类两种解决方式，其中产品类措施中包含3台设备，分别是行为管理、入侵检测和漏洞扫描。

1、行为管理设备

1、部署位置

为了保证有效的检测和感知用户行为并阻断非法数据，行为管理设备应部署在核心交换机与出口网关中间，如如下图所示：

拓扑图

2、设备选型建议

由于设备部署在整网的出口区域，除了满足等保所要求的功能，对性能也有一定的要求，设备的交换能力和转发能力必须满足上联两条出口链路总带宽的两倍以上。可对数据进展2-7层的全面检查和分析，深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用，并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性，配合创新的社交网络行为精细化管理功能、清晰易管理日志等功能。

建议采用：RG-UAC

39 / 44

word 2、入侵检测设备

1、部署位置

为了有效检测整网中传输的数据，入侵检测设备应部署在网络核心层，如如下图所示，设备直接旁挂在核心交换机上，核心交换机通过端口镜像将所有数据发送给入侵检测进展检测。

拓扑图

2、设备选型建议

设备应满足上述提到的所有功能，并且定期进展数据库的更新，通过对网络中深层攻击行为进展准确的分析判断，主动有效的保护网络安全。配合实时更新的入侵攻击特征库，检测防护的网络攻击行为应达到3500种以上，包含DoS/DDoS、病毒、蠕虫、僵尸网络、木马、可疑代码、探测与扫描等各种网络威胁。建议采用国产自主研发品牌。

建议采用：RG-IDP

3、数据库审计

1、部署位置

为了有效扫描整并审计网络中所有数据库、服务器等设备，数据库审计应部署在网络核心层，如如下图所示，设备直接旁挂在核心交换机上，数据库审计系统可通过核心交换机到达任意网络区域。

拓扑图

2、设备选型建议

设备应满足上述要求的所有功能， 还应以准确完整审计、定位到人为核心

40 / 44

word 技术，并能够对数据库进展优化的数据库安全审计系统。通过对网络中的数据库操作的精准判断，结合规定的自定义过滤，输出准确、详细的审计日志，达到who、when、where、what的4W精准审计。全面精准的审计，定位到人保证数据可读、有效，数据库优化帮助解决数据库根本问题，可为用户构建网络数据全透明的安全网络。

建议采用：RG-DBS

4、流量控制

1、部署位置

原有的EG1000M部署在了互联网有线出口的链路上，如果与无线出口合并很有可能会因为设备性能有限而导致在网络中出现瓶颈，新增流控设备应将无线和有线合并起来同时管控，所以应该部署在核心交换机与两台出口网关之间，如如下图所示：

拓扑图

2、设备选型建议

设备应满足上述要求的所有功能，可识别超过1000种的网络应用协议，能对单IP进展应用和流量控制。适用于不同的网络规模，可灵活部署适合的网络设备。

建议采用：RG-ACE

五、产品选型

1、选型建议

根据国家有关法律法规，并结合XX市XX学院通信网络的实际要求。我们建

41 / 44

word 议使用具有国内自主知识产权的产品，并且要完全符合XX学院提出的产品资质要求：所有产品是经、国家信息安全测评认证中心等国家权威测试通过，并获得安全产品销售许可证，是在国内机关、银行、、医疗卫生等系统采用较多，运行稳定的国产防火墙、入侵防御系统、漏洞扫描和流量控制等安全产品，在功能、性能与管理性等方面能够满足XX市XX学院计算机网络的需求。

2、选型要求

1. 在产品选型时，需要厂家可以提供个性化的安全产品。这样才能保证系

统的安全充分满足客户的现状，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进展相应的改良，使产品更加适合用户的实际需要，而不是一般的通用性产品。

2. 采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户

的安全至关重要，可以与时提供给急安全响应服务，如在病毒或黑客入侵事件发生的时候，可以在第一时间进展响应，最大程度的保护用户利益。

3. 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的

安全标准。如国内的安全等级标准、漏洞标准，安全标准以与国际的CVE、ISO13335、ISO15408、ISO17799等标准。

4. 产品在使用上应具有友好的用户界面，并且可以进展相应的客户化工作，

使用户在管理、使用、维护上尽量简单、直观。

5. 所选择的安全产品尽可能与现有设备为同一厂家产品，以便于日常维护、

升级、设备联动等。

3、设备选型清单

序号 产品名称 产品型号 主要参数 42 / 44

数量 单位 备注 word 1 2 3 4 入侵检测 行为管理 数据库审计 流量控制 RG-IDP RG-UAC RG-DBS RG-ACE 1 1 1 1 台 台 台 台 4、其它说明

一套完整的三级等保建设通常应包含以下几项：  物理安全  网络安全  主机安全  应用安全  数据安全  安全管理制度  安全管理机构  人员安全管理  系统建设管理  系统运维管理

安全保障不是单个环节、单一层面上问题的解决，必须是全方位、多层次的从技术、管理等方面进展全面的安全设计和建设，本方案中仅设计了网络安全局部的内容，并不包含其它局部。

43 / 44

word 六、公司介绍

44 / 44