信息网络安全方案设计方案（52页 WORD）

微信扫码，打开到小程序

信息网络安全建设方案 拟制： 审核： 会签： 目录 1.1 安全整体架构.....................................................................................................................3 1.2 安全建设拓扑.....................................................................................................................3 1.3 安全建设内容与目标..........................................................................................................4 2.1 用户侧安全建设思路..........................................................................................................4 2.2 用户侧安全建设拓扑..........................................................................................................9 2.3 用户侧安全建设内容........................................................................................................10 2.3.1 PKI 升级改造.........................................................................................................10 2.3.2 安全防护................................................................................................................10 2.3.3 安全检测................................................................................................................11 2.3.4 安全管理................................................................................................................12 3.1 跨网安全访问与交换平台安全建设思路..........................................................................13 3.2 跨网安全访问与交换平台安全建设拓扑..........................................................................14 3.3 跨网安全访问与交换平台安全建设内容..........................................................................14 3.3.1 用户访问业务安全防护..........................................................................................14 3.3.2 数据交换业务安全防护..........................................................................................18 3.3.3 安全管理区安全防护.............................................................................................23 4.1 数据中心安全建设思路....................................................................................................25 4.2 数据中心安全建设拓扑....................................................................................................25 4.3 数据中心安全建设内容....................................................................................................25 4.3.1 防火墙....................................................................................................................25 4.3.2 日志审计...............................................................................................................26 4.3.3 运维审计................................................................................................................26 4.3.4 数据库审计............................................................................................................27 4.3.5 蜜罐系统................................................................................................................27 4.3.6 漏洞扫描................................................................................................................27 5.1 应用访问安全...................................................................................................................28 5.3 应用攻击防护...................................................................................................................31 5.3.1 应用入侵防御.........................................................................................................31 5.3.2 应用脆弱性防护.....................................................................................................32 5.4 应用安全审计...................................................................................................................32 6.1 数据安全体系...................................................................................................................33 6.2 数据分级分类...................................................................................................................33 6.3 数据访问控制...................................................................................................................34 6.4 数据采集安全...................................................................................................................35 6.5 数据传输安全...................................................................................................................36 6.6 数据存储安全...................................................................................................................36 6.7 数据销毁安全...................................................................................................................36 6.8 数据安全审计...................................................................................................................37 7.1 平台服务安全....................................................................................................................39 7.2 云平台安全基础设施服务安全..........................................................................................39 7.2.1 安全域划分.............................................................................................................39 7.2.2 安全云设计.............................................................................................................40 8.1 安全架构............................................................................................................................45 8.2 建设目标............................................................................................................................45 8.3 安全态势分析能力.............................................................................................................46 8.3.1 资产态势.................................................................................................................46 8.3.2 运行态势.................................................................................................................47 9 8.3.3 预警态势.................................................................................................................47 8.3.4 脆弱性态势.............................................................................................................48 8.3.5 数据安全态势..........................................................................................................49 8.3.6 安全事件态势..........................................................................................................50 1 网络安全方案设计 1.1 安全整体架构 根据信息网安全建设总体思路和指导原则，以支撑新一代信息网业务应用为目标，以 保护重要数据资产为核心，构建一体化安全保障体系，形成覆盖用户侧、 跨网安全访问与交 换平台、数据侧、安全大数据的安全防护能力， 实现“可知可信、可管可控、智能防护”的安 全目标。 1.2 安全建设拓扑 9 1.3 安全建设内容与目标 以网络安全体系设计为基础， 以支撑应用为目标， 基于“五位一体”的安全理念， 以数 据 为核心， 云网安维协同，结合“纵深防御”、“自适应安全”思想， 深化推进用户侧安全 防护、 跨网安全访问与交换平台边界防护、数据侧安全防护及安全运行与管理建设。 2 用户侧安全方案 2.1 用户侧安全建设思路 9 2.1.1 PKI 升级改造 全国 XX 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访问控制管理系统国产密码算法替换建设任务书》(公科信 〔2017〕51 号) 要求，XX PKI/PMI 系统将于 2019 年进行国产化升级改造，在现有 PKI/PMI 基础设施上进行算法升级，尽量减少对现有终端用户、业务信息系统影响的前提下，平滑实 现国密算法的切换，保证新旧算法体系的无缝兼容，升级之后系统将全面支持国产密码算法， 通过逐步替换的方式由 RSA 算法过度为 SM2 算法。 2.1.2 用户安全准入 用户访问应用、云平台和云桌面必须经过身份管理中心认证，用户必须在身份管理中 心 中注册并形成数字化身份，数字证书是重要的身份属性， 身份管理基础设施要充分利用 现有 的 XX PKI 基础设施和信任根， 为每个用户签发数字证书，该数字证书能够唯一标识一个合 法用户身份。 证书验证根据不同的身份对象有所差异，人员证书的验证发生在用户登录过程， 由身 份 管理中心完成， 证书验证需验证证书的合法性和有效性。 信息网用户准入，用户以持有 USB-KEY 的方式代表其拥有合法身份，用户认证的时 候， 需要将该 USB-KEY 插入 PC 终端的 USB 端口， 并由身份管理中心完成用户的准入认证。 2.1.3 终端安全准入 信息网中存在大量的终端设备(PC 终端、哑终端等) ，这些终端的安全状况，直接 影响 了信息网的整体安全状况。比如哑终端设备， 在大部分情况下无人值守，攻击者很 容易将 这些终端作为入侵的跳板，入侵到信息网络，盗取信息网中的关键敏感信息。 因此， 必须 加强信息网的终端安全管理。 2.1.3.1 入网注册管理 ⚫ 终端选型 9 为了切实加强网络的安全性，落实“自主可控”， 对于信息网内办公终端的选型， 尽量 确保选择国产的终端设备。 ⚫ 注册管理 入网终端主要分两类，通用 PC 类终端和哑终端。 通用 PC 类终端：入网终端在接入网络前， 需要对 PC 类终端进行终端入网注册。 哑终端类型设备：哑终端设备需要通过白名单+流量基线的方式进行入网管理，传统 的 白名单是通过 IP 和 MAC 的方式建立的，由于 IP/MAC 非常容易仿冒， 因此需要能够对终 端行 为进行持续监控，一旦发现终端异常，需要能够及时告警和处置。 终端入网注册一方面是为了便于对终端进行实名化管理， 另一方面， 也为终端资产信息 的收集和管理以及终端安全策略的执行提供了基础，通过加载设备证书的方式，进一步提 升 终端设备的可信能力。 终端入网流程如下： 1.终端向终端管理平台上报终端使用者信息和终端资产信息，由终端管理平台确认终 端 的合法性， 完成终端入网注册； 2.终端管理平台上报终端设备指纹，由身份管理中心确认终端是否合法，验证通过后， 会给终端颁发设备证书， 终端安装设备证书， 由证书驱动完成证书安装，终端驱动会将该 设 备证书写入终端设备的 TPM/TCM 中， 后续该终端 PC 使用该证书证明设备的合法身份； 3.终端设备证书发放需要支持离线方式和