信息化觀察網(wǎng)

一、詳細(xì)方案設(shè)計

結(jié)合網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)，構(gòu)建安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境，并基于等級保護(hù)綜合管理系統(tǒng)等安全管理支撐平臺構(gòu)建統(tǒng)一安全管理中心，構(gòu)建網(wǎng)絡(luò)安全整體、動態(tài)、精準(zhǔn)防御體系。

1、安全通信網(wǎng)絡(luò)

根據(jù)等級保護(hù)要求，并依據(jù)業(yè)主單位網(wǎng)絡(luò)骨干節(jié)點應(yīng)采用雙機(jī)熱備方式實現(xiàn)冗余。并根據(jù)實際情況分析，劃分安全域，包括核心服務(wù)器（主、備）、業(yè)務(wù)終端接入?yún)^(qū)、應(yīng)用研發(fā)中心、安全運維中心、邊界網(wǎng)絡(luò)區(qū)、業(yè)務(wù)交互服務(wù)器區(qū)、專網(wǎng)應(yīng)用區(qū)、大數(shù)據(jù)平臺、互聯(lián)網(wǎng)區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)、內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)、互聯(lián)網(wǎng)運維管理區(qū)、骨干網(wǎng)絡(luò)區(qū)等。

2、安全區(qū)域邊界

安全區(qū)域邊界包括在行業(yè)專網(wǎng)、政務(wù)外網(wǎng)邊界設(shè)置防火墻進(jìn)行訪問控制，部署入侵防御系統(tǒng)提供4～7層的安全檢測，部署防病毒網(wǎng)關(guān)防范惡意代碼；在業(yè)務(wù)交換區(qū)邊界、大數(shù)據(jù)區(qū)域邊界、核心服務(wù)器區(qū)域邊界、安全運維中心、應(yīng)用開發(fā)中心部署防火墻進(jìn)行訪問控制；在互聯(lián)網(wǎng)區(qū)邊界部署安全隔離網(wǎng)閘實現(xiàn)內(nèi)網(wǎng)區(qū)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換，部署下一代防火墻實現(xiàn)訪問控制；在互聯(lián)網(wǎng)視頻終端區(qū)域邊界、互聯(lián)網(wǎng)無線終端接入?yún)^(qū)域邊界部署防火墻實現(xiàn)訪問控制，部署準(zhǔn)入控制系統(tǒng)實現(xiàn)邊界完整性保護(hù)；在內(nèi)網(wǎng)無線終端接入?yún)^(qū)邊界部署專用的高級威脅檢測與防御系統(tǒng)實現(xiàn)入侵檢測與防范。

3、安全計算環(huán)境

在終端安全方面，部署準(zhǔn)入控制系統(tǒng)能夠防止設(shè)備非法接入內(nèi)網(wǎng)及防止內(nèi)網(wǎng)用戶非法外聯(lián)。在服務(wù)器安全方面，針對主機(jī)的入侵防范，在網(wǎng)絡(luò)層面具有基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為；采用安全掃描對信息系統(tǒng)主機(jī)進(jìn)行安全性檢測；通過對操作系統(tǒng)人工加固的方式，提升業(yè)務(wù)務(wù)器的抗攻擊能力；采用運維安全網(wǎng)關(guān)，實現(xiàn)運維權(quán)限的集中管控和運維行為的全程審計。在應(yīng)用系統(tǒng)安全方面，采用基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為；由安全專家依據(jù)前期風(fēng)險分析結(jié)果，針對應(yīng)用系統(tǒng)存在的漏洞提供解決建議及人工加固。在數(shù)據(jù)庫安全方面，應(yīng)在核心服務(wù)器區(qū)部署數(shù)據(jù)庫安全審計系統(tǒng)，實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的安全審計。在網(wǎng)絡(luò)設(shè)備防護(hù)方面，涉及到核心網(wǎng)絡(luò)設(shè)備（如交換機(jī)）、安全設(shè)備（如VPN）等這些設(shè)備或主機(jī)的安全要求均需要進(jìn)行深入的安全加固才能滿足等級保護(hù)三級的基本要求。

4、安全管理中心

在系統(tǒng)管理、審計管理和安全管理方面，需要新增日志審計系統(tǒng)，對設(shè)備、主機(jī)、應(yīng)用產(chǎn)生的日志實現(xiàn)集中統(tǒng)一管理。在審計集中管控方面，需通過在不同區(qū)域，不同層次，不同業(yè)務(wù)部署數(shù)據(jù)采集引擎，再建立安全大數(shù)據(jù)平臺，結(jié)合安全大數(shù)據(jù)提供的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲、外部接口等服務(wù)，在此基礎(chǔ)上建立數(shù)據(jù)審計集中監(jiān)管和安全事件集中管控系統(tǒng)，實現(xiàn)對全網(wǎng)數(shù)據(jù)與網(wǎng)絡(luò)安全態(tài)勢的集中監(jiān)測。在安全策略集中管控方面，采用等保信息綜合監(jiān)控管理系統(tǒng)，全面覆蓋等級保護(hù)工作、運行、維護(hù)、管理的全過程、一體化的安全工作與策略綜合管理平臺。在安全事件集中管控方面，通過分布于業(yè)主單位網(wǎng)絡(luò)中的高級威脅檢測與防御系統(tǒng)、日志審計系統(tǒng)等探針，對全網(wǎng)安全風(fēng)險數(shù)據(jù)進(jìn)行搜集，基于安全大數(shù)據(jù)平臺提供的深度分析與感知能力，實現(xiàn)覆蓋全網(wǎng)安全事件的安全態(tài)勢監(jiān)測能力，包括總體安全態(tài)勢、資產(chǎn)態(tài)勢、在線資產(chǎn)態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、攻擊態(tài)勢和預(yù)警通報等。

二、創(chuàng)新點及與行業(yè)其他方案的比較優(yōu)勢

本方案在進(jìn)行安全體系方案設(shè)計時，根據(jù)國家信息安全等級保護(hù)相關(guān)要求，通過分析系統(tǒng)的實際安全需求，結(jié)合其業(yè)務(wù)信息的實際特性，并依據(jù)及參照相關(guān)政策標(biāo)準(zhǔn)，設(shè)計安全保障體系方案。同時，方案區(qū)別與其他廠商方案所采用的網(wǎng)絡(luò)安全產(chǎn)品堆疊，分散實現(xiàn)網(wǎng)絡(luò)安全保護(hù)的方法，采用構(gòu)建安全基因、“一個中心，三重防護(hù)”的縱深防御、持續(xù)保障與改進(jìn)、監(jiān)測預(yù)警積極防御的設(shè)計思路，結(jié)合一體化等級保護(hù)安全咨詢與加固服務(wù)，為客戶提供一站式等級保護(hù)合規(guī)與持續(xù)運維保障，綜合提升信息系統(tǒng)的安全保障能力和防護(hù)水平，確保信息系統(tǒng)的安全穩(wěn)定運行。

三、實施保障措施

在技術(shù)實施部署保障措施方面，項目方案實施團(tuán)隊會在實施前與業(yè)主詳細(xì)討論實施方案，并采取時間、測試、備份、應(yīng)急、溝通等策略來規(guī)避項目實施帶來的風(fēng)險。