搜索
内网安全整体解决方案第i页内网安全整体解决方案二〇二〇年一月内网安全整体解决方案第ii页目录第一章总体方案设计......................................................................................................................................31.1依据政策标准...............................................................................................................................................31.1.1国内政策和标准..................................................................................................................................31.1.2国际标准及规范..................................................................................................................................41.2设计原则.......................................................................................................................................................51.3总体设计思想...............................................................................................................................................6第二章技术体系详细设计..............................................................................................................................82.1技术体系总体防护框架...............................................................................................................................82.2内网安全计算环境详细设计.......................................................................................................................82.2.1传统内网安全计算环境总体防护设计..............................................................................................82.2.2虚拟化内网安全计算环境总体防护设计........................................................................................162.3内网安全数据分析.....................................................................................................................................252.3.1内网安全风险态势感知....................................................................................................................252.3.2内网全景流量分析............................................................................................................................252.3.3内网多源威胁情报分析....................................................................................................................272.4内网安全管控措施.....................................................................................................................................272.4.1内网安全风险主动识别....................................................................................................................272.4.2内网统一身份认证与权限管理........................................................................................................292.4.1内网安全漏洞统一管理平台............................................................................................................32第三章内网安全防护设备清单.....................................................................................................................33内网安全整体解决方案第3页第一章总体方案设计1.1依据政策标准1.1.1国内政策和标准1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)4.《信息安全等级保护管理办法》(公通字〔2007〕43号)5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)10.国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)11.《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)12.国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13.《GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求(征求意见稿)》14.《GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求(征求意见稿)》15.《GB/T25070.2-XXXX信息安全技术网络安全等级保护设计技术要求第2部分:云计算安全要求(征求意见稿)》16.《GA/T20—XXXX信息安全技术网络安全等级保护定级指南(征内网安全整体解决方案第4页求意见稿)》17.《信息安全技术信息系统安全等级保护基本要求》18.《信息安全技术信息系统等级保护安全设计技术要求》19.《信息安全技术信息系统安全等级保护定级指南》20.《信息安全技术信息系统安全等级保护实施指南》21.《计算机信息系统安全等级保护划分准则》22.《信息安全技术信息系统安全等级保护测评要求》23.《信息安全技术信息系统安全等级保护测评过程指南》24.《信息安全技术信息系统等级保护安全设计技术要求》25.《信息安全技术网络基础安全技术要求》26.《信息安全技术信息系统安全通用技术要求(技术类)》27.《信息安全技术信息系统物理安全技术要求(技术类)》28.《信息安全技术公共基础设施PKI系统安全等级保护技术要求》29.《信息安全技术信息系统安全管理要求(管理类)》30.《信息安全技术信息系统安全工程管理要求(管理类)》31.《信息安全技术信息安全风险评估规范》32.《信息技术安全技术信息安全事件管理指南》33.《信息安全技术信息安全事件分类分级指南》34.《信息安全技术信息系统安全等级保护体系框架》35.《信息安全技术信息系统安全等级保护基本模型》36.《信息安全技术信息系统安全等级保护基本配置》37.《信息安全技术应用软件系统安全等级保护通用技术指南》38.《信息安全技术应用软件系统安全等级保护通用测试指南》39.《信息安全技术信息系统安全管理测评》40.《卫生行业信息安全等级保护工作的指导意见》1.1.2国际标准及规范1.国际信息安全ISO27000系列2.国际服务管理标准ISO200003.ITIL最佳实践内网安全整体解决方案第5页4.企业内控COBIT1.2设计原则随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷等安全事件的发生如上图所示,本项目的设计原则具体包括:整体设计,重点突出原则纵深防御原则追求架构先进、技术成熟,扩展性强原则统一规划,分布实施原则持续安全原则可视、可管、可控原则内网安全整体解决方案第6页1.3总体设计思想如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:一个体系以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。三道防线结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。内网安全整体解决方案第7页四个安全能力采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。预测能力:通过运用大数据技术