今天分享一套詳細等保2.0網(wǎng)絡(luò )安全等級建設方案,供參考。
1.1.1網(wǎng)絡(luò )安全(等保2.0建設)
2019年12月1日,《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》正式實(shí)施,標志著(zhù)網(wǎng)絡(luò )安全等保建設進(jìn)入2.0時(shí)代,對網(wǎng)絡(luò )安全建設提出了更高的要求;
《河南省高校信息化發(fā)展水平評估指標體系》明確對信息化和網(wǎng)絡(luò )安全建設提出了具體的指標和要求;
教育廳、公安廳(局)等主管單位,經(jīng)常進(jìn)行信息化評估、安全掃描、通報處理等工作,需要高度重視。
教辦科技〔2022〕58號河南省教育廳辦公室關(guān)于在全省教育系統開(kāi)展虛擬貨幣“挖礦”專(zhuān)項整治攻堅行動(dòng)的通知。
1.1.1.1背景
長(cháng)期以來(lái),學(xué)校的建設與發(fā)展得到了國家的高度重視,隨著(zhù)我國信息技術(shù)的快速發(fā)展,計算機及信息網(wǎng)絡(luò )對促進(jìn)國民經(jīng)濟和社會(huì )發(fā)展發(fā)揮著(zhù)日益重要的作用。加強對信息系統安全保護工作的監督管理,打擊各類(lèi)計算機違法犯罪活動(dòng),是我國信息化順利發(fā)展的重要保障。因此某工程職業(yè)學(xué)院應依據國家等級保護相關(guān)政策和標準開(kāi)展信息安全建設,從而保障信息系統正常穩定。
1.1.1.2建設目標
此次主要依據《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》(GB/T22239-2019)(以下簡(jiǎn)稱(chēng)《基本要求》)和《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》(GB/T25070-2019)、《教育行業(yè)信息系統安全等級保護定級工作指南(試行)》等相關(guān)政策標準,針對鄭某工程職業(yè)學(xué)院信息系統的安全等級保護提出設計方案。
設計方案從信息安全等級保護技術(shù)體系、安全等級保護管理體系兩個(gè)方面提出安全建設的整體框架,建立“一個(gè)基礎”(安全物理環(huán)境)、“一個(gè)中心”(安全管理中心)保障下的“三重防護體系”(安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境)的架構,使得鄭某工程職業(yè)學(xué)院信息系統具備滿(mǎn)足需求的安全防護能力。
1.1.1.3設計原則
在建設過(guò)程中,要遵循統一規劃、統一標準、統一管理、適度保護、強化管理、注重技術(shù)的原則。
需求導向:方案設計應充分考慮到鄭某工程職業(yè)學(xué)院信息系統的業(yè)務(wù)需求、管理需求、技術(shù)需求,以需求導向為原則,對方案進(jìn)行設計,確保方案符合實(shí)際需求。
注重實(shí)效:方案設計應結合鄭某工程職業(yè)學(xué)院信息系統現有技術(shù)措施和管理措施,講求實(shí)際效果,既要具有前瞻性,又避免過(guò)度防護造成浪費。
標準規范:方案設計既要滿(mǎn)足等級保護系統的相關(guān)要求,又要遵循相關(guān)標準和規范,保持系統的整體性、一致性和開(kāi)放性。
技管并重:方案設計過(guò)程中應充分考慮技術(shù)體系建設和管理體系建設,并通過(guò)技術(shù)體系與管理體系結合的方式,使某工程職業(yè)學(xué)院信息系統處于一個(gè)結構化的安全保護環(huán)境中。
1.1.1.4設計依據
《中華人民共和國網(wǎng)絡(luò )安全法》2017年6月1日起施行
《中華人民共和國計算機信息系統安全保護條例》(國務(wù)院147號令)
《計算機信息系統安全保護等級劃分準則》(GB17859-1999)
《信息系統安全等級保護定級指南GB/T22240-2008》
《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》(GB/T22239-2019)
《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》(GB/T25070-2019)
《教育行業(yè)信息系統安全等級保護定級工作指南(試行)》
1.1.1.5安全現狀及需求分析
1.1.1.5.1安全現狀
某工程職業(yè)學(xué)院信息系統主要業(yè)務(wù)有:圖書(shū)館管理系統等,學(xué)校網(wǎng)絡(luò )目前有多個(gè)互聯(lián)網(wǎng)出口及教育專(zhuān)線(xiàn),通過(guò)負載均衡-防火墻到核心交換機,分別到教學(xué)樓、數據中心區、各終端接入區;網(wǎng)絡(luò )部分內網(wǎng)服務(wù)器和終端存在被攻擊的風(fēng)險,并可發(fā)現服務(wù)器、終端電腦均存在系統高危漏洞,存在較大安全隱患。同時(shí)攻擊方式,不再為單純的網(wǎng)絡(luò )流量型攻擊、傳統的網(wǎng)絡(luò )安全攻擊,更多傾向于新型的僵尸、木馬、蠕蟲(chóng)等攻擊行為,對整個(gè)內網(wǎng)產(chǎn)生巨大的安全隱患。
本次增加設備上網(wǎng)行為管理、日志系統、入侵檢測、計劃分期達到等保2.0的要求
現狀圖
一期網(wǎng)絡(luò )規劃拓撲圖
1.1.1.6安全方案總體設計
1.1.1.6.1安全架構
某工程職業(yè)學(xué)院信息系統的安全體系設計,從信息安全等級保護技術(shù)體系,信息安全等級保護管理體系,線(xiàn)下安全服務(wù)三個(gè)角度出發(fā),對設備、終端、業(yè)務(wù)系統、網(wǎng)絡(luò )接入、人員管理提供全方位的安全保障,總體安全架構如圖所示:
1.1.1.6.2分區設計
1.1.1.6.3分區分域的目的
通過(guò)劃分區域,對整體網(wǎng)絡(luò )進(jìn)行清楚的規劃,具有以下意義:
?區域的劃分使整體網(wǎng)絡(luò )結構的界限清晰;
?具有相同安全保護要求的網(wǎng)絡(luò )和設備劃分到一個(gè)安全區域中;
?不同的安全區域內,可方便地部署不同類(lèi)型和功能的安全防護設備和產(chǎn)品,同時(shí)形成相輔相成的多層次立體防護體系;
?同一個(gè)安全區域內可方便地部署相同或相似的安全防護策略。
分區分域保護做到重點(diǎn)明確,將有效的安全資源投入到最需要保護的部分,并且由各個(gè)不同的區域組成多層次的立體防護體系。
1.1.1.6.4分區分域的原則
分區分域的過(guò)程遵循以下基本原則:
?業(yè)務(wù)保障原則:分區分域方法的根本目標是能夠更好的保障網(wǎng)絡(luò )上承載的業(yè)務(wù),在保證安全的同時(shí),還要保證業(yè)務(wù)的正常運行和效率。
?結構簡(jiǎn)化原則:分區分域方法的直接目的和效果是將信息(應用)系統整個(gè)網(wǎng)絡(luò )變得更加簡(jiǎn)單,簡(jiǎn)單的邏輯結構便于設計防護體系。比如,分區分域并不是粒度越細越好,區域數量過(guò)多,過(guò)雜可能會(huì )導致安全管理過(guò)于復雜和困難。
?立體協(xié)防原則:分區分域的主要對象是信息(應用)系統對應的網(wǎng)絡(luò ),在分區分域部署安全設備時(shí),需綜合運用身份鑒別、訪(fǎng)問(wèn)控制、安全審計等安全功能實(shí)現立體協(xié)防。
?生命周期原則:對于信息(應用)系統的分區分域建設,不僅要考慮靜態(tài)設計,還要考慮變化因素,另外,在分區分域建設和調整過(guò)程中要考慮工程化的管理。
1.1.1.6.5區域劃分
根據分區分域的原則,鄭某工程職業(yè)學(xué)院信息系統安全區域劃分為出口邊界安全接入區,核心交換區,安全管理中心區,超融合服務(wù)器業(yè)務(wù)應用區,老服務(wù)器DMZ區,有線(xiàn)無(wú)線(xiàn)終端接入區,如下圖:
?核心交換區:負責跨區域網(wǎng)絡(luò )的數據交換和網(wǎng)絡(luò )審計。
?出口邊界接入區:作為鄭某工程職業(yè)學(xué)院信息系統對外互聯(lián)區域,主要針對互聯(lián)網(wǎng)、高?;ヂ?lián)網(wǎng)與鄭某工程職業(yè)學(xué)院信息系統之間的進(jìn)出流量,提供負載均衡、訪(fǎng)問(wèn)控制、流量清洗、病毒過(guò)濾、入侵防御、病毒防護等防護措施,并為移動(dòng)終端提供VPN接入服務(wù)。
?DMZ網(wǎng)絡(luò )服務(wù)區:為鄭某工程職業(yè)學(xué)院信息系統內部提供DNS,DHCP,LDAP,網(wǎng)站,綜合網(wǎng)絡(luò )管理等服務(wù)。
?安全管理中心:對鄭某工程職業(yè)學(xué)院信息系統中的網(wǎng)絡(luò )、主機、終端、安全設備等進(jìn)行統一管理,提供漏洞掃描、身份認證、監控、審計、日志收集與分析、態(tài)勢感知等服務(wù)。
?校園超融合平臺及物理服務(wù)器區:承載校園業(yè)務(wù)系統/網(wǎng)站群、一卡通系統、財務(wù)系統等虛擬化服務(wù)集群為智慧校園業(yè)務(wù)提供服務(wù)。
?有線(xiàn)無(wú)線(xiàn)終端接入區:滿(mǎn)足學(xué)校的互聯(lián)網(wǎng)連接,學(xué)生上網(wǎng),教學(xué)辦公、WIFI業(yè)務(wù)等一系列服務(wù)。
1.1.1.7最終實(shí)現效果
?網(wǎng)絡(luò )架構清晰,區域劃分合理,按照功能將各部分區域進(jìn)行有效隔離,可以有效制定邊界安全策略;
?對網(wǎng)絡(luò )進(jìn)行冗余設計,避免業(yè)務(wù)高峰期,由單點(diǎn)而引起網(wǎng)絡(luò )和業(yè)務(wù)中斷
?便于安全產(chǎn)品部署,提高網(wǎng)絡(luò )與信息系統防護能力;
?超融合業(yè)務(wù)應用區和老服務(wù)器區的安全防護;
?整個(gè)網(wǎng)絡(luò )狀態(tài)的展示與分析;
?終端與服務(wù)器端的威協(xié)防御、終端安全管理;
?各系統及設備的運維審計;
?滿(mǎn)足未來(lái)發(fā)展需要,靈活性和擴展性更好;
?為將來(lái)的集中管理奠定技術(shù)基礎。
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
8302瀏覽量
83229 -
信息安全
+關(guān)注
關(guān)注
5文章
629瀏覽量
38753 -
網(wǎng)絡(luò )安全
+關(guān)注
關(guān)注
10文章
2983瀏覽量
58789
原文標題:一套完整的網(wǎng)絡(luò )安全等級(等保2.0)建設方案
文章出處:【微信號:5G通信,微信公眾號:5G通信】歡迎添加關(guān)注!文章轉載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論