网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 72 3.5.3 重装版······································································76 2 智安网络等级保护安全防御体系方案 1 概述 1.1 基本背景 根据当前国内信息化建设的发展趋势，政府党政机关、各大央企国企、中小企 业在信息化利用程度上呈现出快速增长的势头，大数据、AI 智能、5G 等新技术的 ，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院 法规和中央

....................................................................................31 5.3.1 应用入侵防御................................................................................................... 全目标。 1.2 安全建设拓扑 9 1.3 安全建设内容与目标 以网络安全体系设计为基础， 以支撑应用为目标， 基于“五位一体”的安全理念， 以数 据 为核心， 云网安维协同，结合“纵深防御”、“自适应安全”思想， 深化推进用户侧安全 防护、 跨网安全访问与交换平台边界防护、数据侧安全防护及安全运行与管理建设。 2 用户侧安全方案 2.1 用户侧安全建设思路 9 2.1.1 测、发现、和抵抗 这 些攻击所需的深入分析和行动情报。 沙箱检测系统集成网络封包、应用内容、文件过滤、 云 计算安全、动态模拟分析等多种检测引擎，可以在威胁生命周期的各个阶段，识别标准 安全 防御所无法检测的恶意内容、可疑通讯与攻击行为， 从而以最低的误判率和最大的覆 盖范围 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警

（八）组织协调消防工作，指导火灾预防、火灾扑救等工作。 （九）组织协调水旱灾害、地震和地质灾害等防治工作。负责应急指挥综合 监测预警工作，指导开展应急指挥综合风险评估工作。 （十）承担气象灾害防御工作。 （十一）组织协调灾害救助工作。组织指导灾情核查、损失评估、救灾捐赠 工作，管理、分配救灾款物并监督使用。 （十二）依法行使安全生产综合监督管理职责，指导协调、监督检查各街道 和部门安 业务信息资产为目的。尤其是 IT 业务向互联网、移动互联网、云架构的演进为攻 击者提供了更多的攻击向量，安全边界变得越发模糊；APT、0day 病毒、0day 漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的最佳手 段；而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。 3.8.3.安全需求分析 54 根据 XX 区应急管理局信息网的业务功能、特点及各业务系统的安全需求， 将网络划分为电子政务外网、应急指挥网。 建立符合应急指挥网与电子政务外网业务的安全基线，通过构建纵深防御体系、 内部行为分析、外部情报接入，构建下一代安全防御体系。 结合纵深防御的思想，从安全计算环境、安全区域边界、安全通信网络、安 全管理中心四个层次，构建统一安全策略和防护机制，实现核心业务系统和关键 业务数据的风险可控。 56 3.8.3.2. 四个安全能力 充分借鉴自适应安全防御体系框架，结合业务和数据安全需求，实现“预测、防

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 云 平 台 安 全 建 设 思 路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 证 的安全性；安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对 操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力；采用“ 分 区分域、重点保护” 的建设原则，和“ 综合防御、积极防范” 的建设思路，结合 信息系统实际的网络环境，遵循方案的整体设计原则，为数据中心建设一个安全、 稳定、可靠、实用高效的网络安全基础平台。 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照“

检 测 清 洗 ， 包 括 NTP REQUEST FLOOD、NTP REPLY FLOOD 等攻击检测，支持基于 NTP 请求限 速、NTP 响应限速、源认证、会话认证的防御策略。 入侵防 御系统 入侵防御系统软件全功能模块使用授权开启，要求提供三年原厂 7x24 小时软硬件售后保修和软件升级服务。 【性能参数】网络层吞吐量 10Gbps，IPS 吞吐量 4Gbps，并发连结数 代防火墙， 此外为保障政务服务效果，防止单点故障，出口设备均为双机部署。其中，链 路负载均衡支持 ipv6 以及多种链路调度功能，安全网关为国际领先的下一代防 火墙，创新融合网络层防火墙与入侵防御能力，通过一次拆包多次分析技术提 升处理效果和网络体验，对网络流量的深度解析，即使准确发现非法入侵攻击 行为，并执行实施精确阻断，主动而高效的保护用户网络安全。  链路负载均衡 本方案建设 安全网关为下一代防火墙，通过下一代防火墙构建融合安全的防护体系。 通过安全能力的融合实现事前风险预知、事中完整防护、事后检测及响应的闭 环，同时依靠安全能力的融合将安全能力及数据进行集中，避免防御短板阻断 高级威胁。 全程保护，闭环防御 在整个网络攻击的过程中，攻击者往往也遵循这一定的流程。在攻击初期 进行网络探测确定攻击目标寻找安全漏洞，然后在进行边界突破获取控制权限 在通过持续渗透或横向移动获取更多的控制权，最终再进行窃取破坏获得最大

的顶层 设计，遵循“零信任”的安全理念，实现应急管理各类网络与信息系统“用户访问 要认证、全程操作有记录、安全风险能预测、非法行为可溯源、安全事件能查 处”。 （1）“三横三纵”网络智能纵深防御体系 首先构建数据中心网络安全、用户域网络安全、跨网接入安全的“三横”网络防 御能力，其次通过在资产安全防护、威胁监测、事件响应的方面为整体安全保 障体系提供网络和通信安全“三纵”保障能力，保障应急管理信息化的安全、稳定 计算机安全保障。菏泽市应急管理局网络安全保障体系作为整个安全保障体 系的重要基础支撑，依照国家《网络安全法》和《网络安全等级保护基本要 求》等法规和标准，构建边界可控、接入可信、全网可管、全量可查的“三横三 纵”网络智能纵深防御体系。 7.计算机网络系统。菏泽市应急管理局电子政务外网是菏泽市电子政务外网重 第 40 页 菏泽市智慧应急（应急指挥中心）项目建设方案 要的节点，主要满足支撑应急部五大业务域的需求，按照山东省电子政务外网 保证整网运行的稳定性；无线网络通过园区网进行承载，采用无线控制器+瘦 AP 的架构，通过无线控制器进行统一管理，所有无线流量通过无线 AP 上联的 交换机进行本地转发。在网络出口处部署了上网行为管理，入侵防御及防火墙 等安全设备，考虑到园区网和设备网之间存在互联互通的需求，在园区网及设 备网之间部署边界防火墙，在实现两张网络互联互通的同时保证安全性。 第 146 页 菏泽市智慧应急（应急指挥中心）项目建设方案

资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更为 严重。 ■ 虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制在 防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信息安 全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。 ■ 数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个方 7.3.2 云平台安全建设思路 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程 传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技 术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全； ■ 分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括操 安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对操作、维护等 “ 各类日志的安全审计，提高对违规溯源的事后审查能力；采用 分区分域、重点保 ” “ ” 护 的建设原则，和 综合防御、积极防范 的建设思路，结合信息系统实际的网 络 环境，遵循方案的整体设计原则，为数据中心建设一个安全、稳定、可靠、实用 高效的网络安全基础平台。 “ 在充分的分析和理解了上述体系设计思路后，安全系统的建设方案中，按照

带有恶意攻击行为的等，对常见已知确认的危险行为予以阻断并且记 录。 4.对(疑似)危险行为进行记录，供回溯审计。 5.对明确无需使用的服务(端口)通信流量禁止放行。 (2)入侵检测与防御 1.对缓冲区溢出、SQL 注入、暴力猜测、DoS 攻击、扫描探测、 蠕 虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报 警。 2.基于特征检测的方式时刻保持更新最新的特征库。 3 加强对办公环境的保密性管理，包括如工作人员调离办公室应 立即交换该办公室钥匙和不在办公区接待来访人员等。 4. 应用系统及数据安全设计 (1)强身份认证 政务网的用户终端要通过安全接入网关完成访问控制、入侵检测 与防御、内网安全管理、网络防病毒系统检测后才能使用网络和设备， 可采用数字证书认证方式对身份进行安全防护，加密授权 USB KEY 保 证应用的安全授权，提高系统整体安全性。 (2)系统管理 断、记录攻击报文，支持针对地址、应用设置入 侵防御白名单，支持攻击规则搜索以及自定义， 可对自定义规则导入导出；支持对 HTTP/SMTP/POP3/FTP/IM 等协议进行病毒防 御；支 持至少 2 种专业反病毒厂商的病毒特征 库，病毒特 征库规模超过 400 万支持行为分析， 及时发现异常 行为并告警，同时能够与 APT 进 行联动，实现协同 防御；支持 NTP 流量检测清 61 洗，能对

......................................................................................40 5.3.5 边界入侵防御................................................................................................... 此次数据库审计采用数据库审计系统 RG-DBS 2000，其可实现主机安全包括安全审 计， 47 建设方案建议书 应用安全，包括安全审计、抗抵赖等功能。 5.2.4 入侵防范 此次入侵防御采用入侵防御检测系统 RG-IDP 2000S，可实现主机安全，具体包括入 侵防范、恶意代码防范等。针对入侵防范主要体现在主机及网络两个层面。针对主机的 入侵防范，可以从多个角度进行处理：  入侵 发现的非法外联行为，可以 记录日志并产生报警信息。 终端非法外联行为管理 可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。 63 建设方案建议书 5.3.5 边界入侵防御 在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层 判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不 擅长处理应用层数据。 在 XX 市人

需要采用冗余双链路措施。在交换中心网核心交换机和防火墙设备和互联 互通链路上采用冗余双链路措施，提升因单台设备或单条链路故障自动处理能 力，政务云平台可提供 24 小时不间断服务。 2.2.3.1.2 入侵检测与边界防御需求 政务云平台的网络边界，与党政机关政务外网互联互通，因此需要考虑到 应对网络攻击的安全措施。 需要配置入侵检测系统。需要在重要的网络边界处和重要网段配置入侵检 测。 需要配置安全管理平 应用防火墙服务，防护 Web 通用攻击，如 SQL 注入、文件注 入、命令注入、配置注入、LDAP 注入、跨站脚本等，以及协议规范性检查，如 通过 HTTP 协议规范性检查可以实现 Web 主动防御功能。 第 10 页, 共 150 2.2.3.2 云安全服务建设需求 提供下列政务云安全服务，满足平台和应用系统等保 2.0 三级标准要求。 2.2.3.2.1 堡垒机服务 随着政府业务 应用防火墙服务，防护 Web 通用攻 击，如 SQL 注入、文件注入、命令注入、配置注入、LDAP 注入、跨站脚本等， 以及协议规范性检查，如通过 HTTP 协议规范性检查可以实现 Web 主动防御功能。 2.2.3.2.6 数据库审计服务 由于多数的 web 业务和数据库都部署在云平台上，作为存储最核心要素的 数据库自然成为了机构信息安全最重要的关注部分。等保要求数据库审计能力 满足