非经营性单位网络安全审计解决方案

1非经营性单位网络安全审计解决方案2011年10月2目录（Contents）一、背景............................................................31．1、网络安全建设目标..........................................31．2、信息安全设计的依据........................................31．3、信息安全的基本要素........................................41．4、安全体系建设原则..........................错误!未定义书签。二、国家政策对非经营单位等互联网上网的非经营单位在信息安全管理方面的要求......................................................................................................................................................6三、解决方案........................................................8四、部署说明........................................................84.1部署示意图...................................................84.2部署情况说明.................................................84.3部署后的效果.................................................8五．产品功能模块列表...............................................11六．产品的创新点和技术特点.........................................116.1智能安全管理...............................................11七、售后服务.......................................................11八、附件...........................................................133一、背景本方案为网络安全审计的设计规划，其设计思想符合公安部82号文件关于非经营上网场所的相关要求。1．1、网络安全建设目标进行网络安全建设，最直接的目标，就是通过技术手段和有效的管理来确保信息系统的安全性。具体到网络安全的建设目标，就是为了网络及主机资源的保密性、完整性及可用性。它包含以下几个方面的含义：1）保护网络的安全可靠运行●保证网络的各类设备正常运行；●保证网络的应用服务器下常运行；●保证给网络户提供的各类服务可用；2）保护重要的数据●保密性：保护重要信息及秘密公文不被窃取或者泄密；●完整性：保护重要数据不被篡改、不被破坏；●可用性：保证系统合法用户在需要时可取到所需要的数据，防止计算机资源和数据被非法独占。3）保护资源不被盗用●网络上的入侵者会利用信息网中的各种资源如：硬盘空间、内存、CPU的运算能力等供自己使用，造成在你想用这些资源时却无法获得，所以必须保护信息资源不被他人盗用。为了达到以上的目标，将通过一下技术手段完成：网络审计：通过对特定网段、服务建立的网络行为监控系统，对人员访问网络的行为进行记录跟踪。1．2、信息安全设计的依据以国家对互联网审计的相关要求和信息安全等级保护的要求为根本。采用国内最先进，符合网络安全要求的安全设备和产品。严格遵守中华人民共和国公安部关法律和法规。严格遵守中华人民共和国国保密局、分安部相关法律和法规。4严格遵守公安部对计算机安全设计需求为安全设计思想。1．3、信息安全的基本要素信息安全有三个要素：策略、管理、技术。安全策略：包括各种法律、规章、制度、策略、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据。安全管理：包括主要人员、组织和流程的管理，是实现信息安全的落实手段。安全技术：包含工具、产品及服务，是实现信息安全的有力保障。根据以上要素的指导，建立非经营单位网络的安全策略体系、安全管理体系、安全技术体系。1．4、设计遵循的部分国家标准GA658.1-658.10-2006互联网公共上网服务场所信息安全管理系统信息代码GA660-2006互联网公共上网服务场所信息安全管理系统上网服务场所端功能要求GA661-2006互联网公共上网服务场所信息安全管理系统远程通信端功能要求GA662-2006互联网公共上网服务场所信息安全管理系统上网服务场所端接口技术要求GA663-2006互联网公共上网服务场所信息安全管理系统远程通信端接口技术要求GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/T14814-1993信息处理文本办公系统标准通用置标语言（SGML）GB/T18237.1-2000信息技术开放系统互连通用高层安全第1部分：概述、模型的记法GB/T18237.2-2000信息技术开放系统互连通用高层安全第2部分：安全交换服务元素（SESE）服务定义GB/T18237.3-2000信息技术开放系统互连通用高层安全第3部分：安全交换服务元素（SESE）协议5规范GB/T18231-2000信息技术低层安全GB15851-1995信息技术安全技术带消息恢复的数字签名方案GB/T17902.1-1999信息技术安全技术带附录的数字签名第1部分：概述GB/T18238.1-2000信息技术安全技术散列函数第1部分：概述GB15852-1995信息技术安全技术用块密码算法作密码校验函数的数据完整性机制GB/T15843.1-1999信息技术安全技术实体鉴别第1部分：概述GB/T15843.2-1997信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制GB/T15843.3-1998信息技术安全技术实体鉴别第3部分：用非对称签名技术的机制GB/T15843.4-1999信息技术安全技术实体鉴别第4部分：采用密码校验数的机制GB/T17903.1-1999信息技术安全技术抗低赖第1部分：概述GB/T17903.2-1999信息技术安全技术抗低赖第2部分：使用对称技术的机制GB/T17903.3-1999信息技术安全技术抗低赖第3部分：使用非对称技术的机制GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T17963-2000信息技术开放系统互连网络层安全协议6二、国家政策对非经营单位等互联网上网的非经营单位在信息安全管理方面的要求82号令《互联网安全保护技术措施规定》的相关要求和解析82号令全称《互联网安全保护技术措施规定》共19条，由周永康部长批准，于2005年11月23日公安部部长办公会议通过，自2006年3月1日起实行。执法单位是公安机关公共信息网络安全监察部门，检查对象是互联网服务提供者（ISP）、联网使用单位、提供互联网上网服务的单位（网吧）、提供互联网数据中心服务的单位（IDC）和提供互联网信息服务的单位（ICP），违反规定的单位将依法受到处罚（断网、关闭网站等）。互联网安全保护技术措施，是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。82号令全文内容如下：第一条为加强和规范互联网安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益，根据《计算机信息网络国际联网安全保护管理办法》，制定本规定。第二条本规定所称互联网安全保护技术措施，是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。第三条互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施，不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。第五条公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。第六条互联网安全保护技术措施应当符合国家标准。没有国家标准的，应当符合公共安全行业技术标准。第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；（二）重要数据库和系统主要设备的冗灾备份措施；（三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；（四）法律、法规和规章规定应当落实的其他安全保护技术措施。第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）记录并留存用户注册信息；（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；7（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。第十条提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）记录并留存用户注册信息；（二）在公共信息服务中发现、停止传输违法信息，并保留相关记录；（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。第十一条提供互联网上网服务的单位，除落实本规定第七条规定的互联网安全保护技术措施外，还应当安装并运行互联网公共上网服务场所安全管理系统。第十二条互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。第十三条互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。第十四条互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为：（一）擅自停止或者部分停止安全保护技术设施、技术手段运行；（二）故意破坏安全保护技术设施；（三）擅自删除、篡改安全保护技术设施、技术手段运行程序和记录；（四）擅自改变安全保护技术措施的用途和范围；（五）其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。第十五条违反本规定第七条至第十四条规定的，由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。第十六条公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。公安机关在依法监督检查时，互联网服务提供者、联网使用