一、詳細(xì)方案設(shè)計
結(jié)合網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn),構(gòu)建安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境,并基于等級保護(hù)綜合管理系統(tǒng)等安全管理支撐平臺構(gòu)建統(tǒng)一安全管理中心,構(gòu)建網(wǎng)絡(luò)安全整體、動態(tài)、精準(zhǔn)防御體系。
1、安全通信網(wǎng)絡(luò)
根據(jù)等級保護(hù)要求,并依據(jù)業(yè)主單位網(wǎng)絡(luò)骨干節(jié)點應(yīng)采用雙機熱備方式實現(xiàn)冗余。并根據(jù)實際情況分析,劃分安全域,包括核心服務(wù)器(主、備)、業(yè)務(wù)終端接入?yún)^(qū)、應(yīng)用研發(fā)中心、安全運維中心、邊界網(wǎng)絡(luò)區(qū)、業(yè)務(wù)交互服務(wù)器區(qū)、專網(wǎng)應(yīng)用區(qū)、大數(shù)據(jù)平臺、互聯(lián)網(wǎng)區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)、內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)、互聯(lián)網(wǎng)運維管理區(qū)、骨干網(wǎng)絡(luò)區(qū)等。
2、安全區(qū)域邊界
安全區(qū)域邊界包括在行業(yè)專網(wǎng)、政務(wù)外網(wǎng)邊界設(shè)置防火墻進(jìn)行訪問控制,部署入侵防御系統(tǒng)提供4~7層的安全檢測,部署防病毒網(wǎng)關(guān)防范惡意代碼;在業(yè)務(wù)交換區(qū)邊界、大數(shù)據(jù)區(qū)域邊界、核心服務(wù)器區(qū)域邊界、安全運維中心、應(yīng)用開發(fā)中心部署防火墻進(jìn)行訪問控制;在互聯(lián)網(wǎng)區(qū)邊界部署安全隔離網(wǎng)閘實現(xiàn)內(nèi)網(wǎng)區(qū)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換,部署下一代防火墻實現(xiàn)訪問控制;在互聯(lián)網(wǎng)視頻終端區(qū)域邊界、互聯(lián)網(wǎng)無線終端接入?yún)^(qū)域邊界部署防火墻實現(xiàn)訪問控制,部署準(zhǔn)入控制系統(tǒng)實現(xiàn)邊界完整性保護(hù);在內(nèi)網(wǎng)無線終端接入?yún)^(qū)邊界部署專用的高級威脅檢測與防御系統(tǒng)實現(xiàn)入侵檢測與防范。
3、安全計算環(huán)境
在終端安全方面,部署準(zhǔn)入控制系統(tǒng)能夠防止設(shè)備非法接入內(nèi)網(wǎng)及防止內(nèi)網(wǎng)用戶非法外聯(lián)。在服務(wù)器安全方面,針對主機的入侵防范,在網(wǎng)絡(luò)層面具有基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為;采用安全掃描對信息系統(tǒng)主機進(jìn)行安全性檢測;通過對操作系統(tǒng)人工加固的方式,提升業(yè)務(wù)務(wù)器的抗攻擊能力;采用運維安全網(wǎng)關(guān),實現(xiàn)運維權(quán)限的集中管控和運維行為的全程審計。在應(yīng)用系統(tǒng)安全方面,采用基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為;由安全專家依據(jù)前期風(fēng)險分析結(jié)果,針對應(yīng)用系統(tǒng)存在的漏洞提供解決建議及人工加固。在數(shù)據(jù)庫安全方面,應(yīng)在核心服務(wù)器區(qū)部署數(shù)據(jù)庫安全審計系統(tǒng),實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的安全審計。在網(wǎng)絡(luò)設(shè)備防護(hù)方面,涉及到核心網(wǎng)絡(luò)設(shè)備(如交換機)、安全設(shè)備(如VPN)等這些設(shè)備或主機的安全要求均需要進(jìn)行深入的安全加固才能滿足等級保護(hù)三級的基本要求。
4、安全管理中心
在系統(tǒng)管理、審計管理和安全管理方面,需要新增日志審計系統(tǒng),對設(shè)備、主機、應(yīng)用產(chǎn)生的日志實現(xiàn)集中統(tǒng)一管理。在審計集中管控方面,需通過在不同區(qū)域,不同層次,不同業(yè)務(wù)部署數(shù)據(jù)采集引擎,再建立安全大數(shù)據(jù)平臺,結(jié)合安全大數(shù)據(jù)提供的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲、外部接口等服務(wù),在此基礎(chǔ)上建立數(shù)據(jù)審計集中監(jiān)管和安全事件集中管控系統(tǒng),實現(xiàn)對全網(wǎng)數(shù)據(jù)與網(wǎng)絡(luò)安全態(tài)勢的集中監(jiān)測。在安全策略集中管控方面,采用等保信息綜合監(jiān)控管理系統(tǒng),全面覆蓋等級保護(hù)工作、運行、維護(hù)、管理的全過程、一體化的安全工作與策略綜合管理平臺。在安全事件集中管控方面,通過分布于業(yè)主單位網(wǎng)絡(luò)中的高級威脅檢測與防御系統(tǒng)、日志審計系統(tǒng)等探針,對全網(wǎng)安全風(fēng)險數(shù)據(jù)進(jìn)行搜集,基于安全大數(shù)據(jù)平臺提供的深度分析與感知能力,實現(xiàn)覆蓋全網(wǎng)安全事件的安全態(tài)勢監(jiān)測能力,包括總體安全態(tài)勢、資產(chǎn)態(tài)勢、在線資產(chǎn)態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、攻擊態(tài)勢和預(yù)警通報等。
二、創(chuàng)新點及與行業(yè)其他方案的比較優(yōu)勢
本方案在進(jìn)行安全體系方案設(shè)計時,根據(jù)國家信息安全等級保護(hù)相關(guān)要求,通過分析系統(tǒng)的實際安全需求,結(jié)合其業(yè)務(wù)信息的實際特性,并依據(jù)及參照相關(guān)政策標(biāo)準(zhǔn),設(shè)計安全保障體系方案。同時,方案區(qū)別與其他廠商方案所采用的網(wǎng)絡(luò)安全產(chǎn)品堆疊,分散實現(xiàn)網(wǎng)絡(luò)安全保護(hù)的方法,采用構(gòu)建安全基因、“一個中心,三重防護(hù)”的縱深防御、持續(xù)保障與改進(jìn)、監(jiān)測預(yù)警積極防御的設(shè)計思路,結(jié)合一體化等級保護(hù)安全咨詢與加固服務(wù),為客戶提供一站式等級保護(hù)合規(guī)與持續(xù)運維保障,綜合提升信息系統(tǒng)的安全保障能力和防護(hù)水平,確保信息系統(tǒng)的安全穩(wěn)定運行。
三、實施保障措施
在技術(shù)實施部署保障措施方面,項目方案實施團(tuán)隊會在實施前與業(yè)主詳細(xì)討論實施方案,并采取時間、測試、備份、應(yīng)急、溝通等策略來規(guī)避項目實施帶來的風(fēng)險。