网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 ，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央

....................................................................................31 5.3.1 应用入侵防御................................................................................................... 全目标。 1.2 安全建设拓扑 9 1.3 安全建设内容与目标 以网络安全体系设计为基础， 以支撑应用为目标， 基于“五位一体”的安全理念， 以数 据 为核心， 云网安维协同，结合“纵深防御”、“自适应安全”思想， 深化推进用户侧安全 防护、 跨网安全访问与交换平台边界防护、数据侧安全防护及安全运行与管理建设。 2 用户侧安全方案 2.1 用户侧安全建设思路 9 2.1.1 测、发现、和抵抗 这 些攻击所需的深入分析和行动情报。 沙箱检测系统集成网络封包、应用内容、文件过滤、 云 计算安全、动态模拟分析等多种检测引擎，可以在威胁生命周期的各个阶段，识别标准 安全 防御所无法检测的恶意内容、可疑通讯与攻击行为， 从而以最低的误判率和最大的覆 盖范围 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警

合决策能力和协调运营水平将大大提高。进一步加强和完善，实现由定性管理向 定量管理、静态管理向动态管理、事后管理向事前控制的转变，从而增强管理的 科学性。 （3） 增强问题发现能力。拓宽了应急响应问题的发现渠道，将进一步完善 问题主动发现机制，通过应急管理发现问题，通过应急响应查找问题，从而建立 起应急响应“第一时间发现问题、第一时间处置问题、第一时间解决问题”的工作 机制，增加了社会公众参与，体现了应急响应的大格局。 （4） （八）组织协调消防工作，指导火灾预防、火灾扑救等工作。 （九）组织协调水旱灾害、地震和地质灾害等防治工作。负责应急指挥综合 监测预警工作，指导开展应急指挥综合风险评估工作。 （十）承担气象灾害防御工作。 （十一）组织协调灾害救助工作。组织指导灾情核查、损失评估、救灾捐赠 工作，管理、分配救灾款物并监督使用。 （十二）依法行使安全生产综合监督管理职责，指导协调、监督检查各街道 和部门安 区大数据中心的数据中台实现，XX 区应急指挥中心根据实际需 24 求，从 XX 区大数据中心获取相应数据，以实现“城市应急管理一张图”的统一指 挥。 3.2.2.2. 感知网络 XX 区应急管理主动融入全省“应急管理一张图”建设，结合实际确定本地化 总体框架思路，助力 XX 应急管理水平实现跨越式发展。 目前，XX 区全息感知网建设已现初步成效。截至 2020 年 11 月底，全市公 共安全视频监控系统建成约

该项目由胜利油气和石油大学、北京科技大学联合承担。 2009 年 9 月 14 日，通过项目实施方案评审。 主要关键技术包含以下七大部分(编者注：这种技术分类可能缺 乏系统性，有不太科学的地方): 数字化技术 信息主动服务技术 可视化技术 业务流程优化技术 专业软件配置 基于知识的决策技术 基础配置优化技术 ③ 数字油气的基本特征 标准化、数字化、网络化、可视化、自动化和制度化是数字油气 的 6 理、生产管理、油气井管 理、井场、储运、生产保 障 8 个业务领域 工作 种 环境 1) 全面的传感网络 2) 自动采集设备、自动控制设备 3) 先进的 IT 基础设施 1) 自动操控环境 2) 主动优化环境 3) 虚拟专家辅助研究环境 1) 一体化运行中心：面向管理 2) 基于云计算的数据中心：面向 IT 应用 个 领域 基础 类 设施 8 3 2 3 提供 建设 覆盖 智慧油气的内涵与定义： “ ” 所谓 智慧油气 就是在数字油气的基础上，围绕上游的油藏、 井、管网、设备设施等核心资产，借助信息技术全面辅助资产管理和 效益优化，建立实时感知的油气、全面协同的油气、主动管理的油气、 整体优化的油气， 推动增储上产、绿色安全、高效运营、精细管理， 达到资产价值最大化。 ■实时感知的油气指通过上游资源的传感网络部署实时监测各 个资源的状态，如油藏、油气水井、重点设备、集输管网的实时感知；

......................................................................................40 5.3.5 边界入侵防御................................................................................................... 此次数据库审计采用数据库审计系统 RG-DBS 2000，其可实现主机安全包括安全审 计， 47 建设方案建议书 应用安全，包括安全审计、抗抵赖等功能。 5.2.4 入侵防范 此次入侵防御采用入侵防御检测系统 RG-IDP 2000S，可实现主机安全，具体包括入 侵防范、恶意代码防范等。针对入侵防范主要体现在主机及网络两个层面。针对主机的 入侵防范，可以从多个角度进行处理：  入侵 发现的非法外联行为，可以 记录日志并产生报警信息。 终端非法外联行为管理 可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。 63 建设方案建议书 5.3.5 边界入侵防御 在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层 判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不 擅长处理应用层数据。 在 XX 市人

需要采用冗余双链路措施。在交换中心网核心交换机和防火墙设备和互联 互通链路上采用冗余双链路措施，提升因单台设备或单条链路故障自动处理能 力，政务云平台可提供 24 小时不间断服务。 2.2.3.1.2 入侵检测与边界防御需求 政务云平台的网络边界，与党政机关政务外网互联互通，因此需要考虑到 应对网络攻击的安全措施。 需要配置入侵检测系统。需要在重要的网络边界处和重要网段配置入侵检 测。 需要配置安全管理平 Web 应用防火墙服务，防护 Web 通用攻击，如 SQL 注入、文件注 入、命令注入、配置注入、LDAP 注入、跨站脚本等，以及协议规范性检查，如 通过 HTTP 协议规范性检查可以实现 Web 主动防御功能。 第 10 页, 共 150 2.2.3.2 云安全服务建设需求 提供下列政务云安全服务，满足平台和应用系统等保 2.0 三级标准要求。 2.2.3.2.1 堡垒机服务 随着政府业 应用防火墙服务，防护 Web 通用攻 击，如 SQL 注入、文件注入、命令注入、配置注入、LDAP 注入、跨站脚本等， 以及协议规范性检查，如通过 HTTP 协议规范性检查可以实现 Web 主动防御功能。 2.2.3.2.6 数据库审计服务 由于多数的 web 业务和数据库都部署在云平台上，作为存储最核心要素的 数据库自然成为了机构信息安全最重要的关注部分。等保要求数据库审计能力 满

以场景化应用为抓手， 重点 在政务服务和公共服务领域， 为民打造具有参与感和获得感的 便捷应用和贴心服务， 切实提升人民群众对新型智慧城市的满 意度。 (六) 系统落实战略机遇不够， 亟需开阔视野主动融入。 推动长江经济带建设， 加快长三角一体化发展是国家重大区域 发展战略， 更是勇做“ 排头兵” 的实践要求。当前在文旅、物联 网、环保水利、交通、养老等城市发展各方面有巨大的衔接互 完善网络安全、应用系统安全、终端安全、以及技术防御 —24— 体系和安全运维等安全体系， 构筑可信、可控的城市全域网络 安全体系， 提升信息安全管理、防御和运维能力， 安全架构 设 计如下图所示： 图 6 智慧安全架构图 1 ．建立网络与信息安全管理体系 建立健全网络与信息安全组织体系， 完善由安全管理中心 总体负责， 安全管理团队、技术防御团队、安全运维团队， 以 及专家顾 息安全提供持续保障。 2 ．建立网络与信息安全技术体系 针对通信网络、区域边界、计算环境， 综合采用防火墙、 入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、 集中数据备份等多种技术和措施， 并充分考虑各种技术的组合 和功能的互补性， 构建从外到内的安全防御体系， 实现智慧 城 市业务应用的可用性、完整性和保密性保护， 并进一步实 现综 合集中的安全管理。重点包括： 完善

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

渐扩大到自然灾害、事故 灾难、公共卫生事件和社会安全事件等各个方面，工作内容也由应对单一灾害 逐步发展到需要综合协调的复杂管理。在这期间，应急管理工作理念也随之发 生重大变革，逐步从被动处置到主动应对，从专项应对到综合应对，从应急救 援到风险管理。 为提高国家应急管理能力和水平，提高防灾、减灾、救灾能力，确保人民群 第 4 页 菏泽市智慧应急（应急指挥中心）项目建设方案 众生命财产安全和社会稳定，2018 要求全省各地认真学习、 准确把握其基本原则、总体目标和分项设计思路，本着“想在前、干在前、走在 前”的原则，针对 2019 年本地区应急管理工作的紧要需求，审时度势、精心谋 划、超前布局、积极主动，优先对标开展市级应急指挥中心建设，确保建成后 与全省应急管理信息化体系深度融合、无缝对接。 2019 年 3 月 22 日，山东省应急厅印发《山东省市级应急指挥中心建设指 南》，要求树立全 的顶层 设计，遵循“零信任”的安全理念，实现应急管理各类网络与信息系统“用户访问 要认证、全程操作有记录、安全风险能预测、非法行为可溯源、安全事件能查 处”。 （1）“三横三纵”网络智能纵深防御体系 首先构建数据中心网络安全、用户域网络安全、跨网接入安全的“三横”网络防 御能力，其次通过在资产安全防护、威胁监测、事件响应的方面为整体安全保 障体系提供网络和通信安全“三纵”保障能力，保障应急管理信息化的安全、稳定

根据政务云中心业务应用特点及平台架构层的特性，在采取传统安全防护基 础上，进一步集成数据加密、VPN、身份认证、安全存储、虚拟化安全、安全防 御设施和资源云化等综合安全技术手段，构建面向应用的纵深安全防御体系。本 项目的安全建设参照等保三级 2.0 要求建设，但主要涉及政务云数据中心基础安 第 34 页 全防护和电子政务云平台自身的安全防护。主要体现如下的几个方面： （1）底层结构安全，主要保障虚拟化平台架构层面安全； （2）基础设施安全，保障数据中心基础设施的稳定性及服务连续性； 基础网络安全：重点是安全域划分：部署防火墙，划分安全域，实施安全边 界防护；异常流量监测与攻击防范：进行流量实施监控，部署 DDoS 攻击防御系 统或使用相关攻击防护服务；采用负载均衡设备，实现承载网络应支持设备级、 链路级的冗余备份； 主机及管理终端安全：主机/终端系统安全加固：补丁管理、安全配置；安全 防护：控制蠕虫/病毒/木马在云计算平台内传播，非法入侵监测； 运营安全：制定安全运营策略及安全维护规章要求；制定数据中心运营维护 SLA 指标要求；制定数据中心安全事件应急响应机制及流程，包括安全事件的等 级划分、处理流程、事件上报等规范要求。 采用“分区分域、重点保护”的建设原则，和“综合防御、积极防范”的建设思路， 结合信息系统实际的网络环境，遵循方案的整体设计原则，为政务云平台建设一 个安全、稳定、可靠、实用高效的网络安全基础平台。 3.1.8.2 安全设计原则 政务云安全体