视频专网安全建设通用三级等保建设方案规划

第1章项目总体方案

1.1建设思路

深入贯彻落实科学发展观，遵照国家有关规定和技术规范，紧密结合行业信息化建设实际，按照“准确定级、科学评估、统筹考虑、突出重点、注重实效、完善机制”的原则，坚持积极防御、综合防范的方针开展信息安全等级保护体系建设，坚持稳定可靠、整合利用的方针全面提高用户信息安全防护水平，为行业信息共享和业务协同提供保障，促进用户信息化科学健康有序发展。

1.2建设目标

依据国家信息系统安全等级保护相关标准和行业信息安全等级保护工作的总体要求，为用户信息系统建立起相应的信息安全保护体系，使系统的网络安全、主机安全、应用安全、数据安全、物理安全的防护水平达到国家信息系统安全等级保护要求，保证系统安全可靠运行，具体目标如下：

（1）网络系统在结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面达到三级等级保护网络安全要求。

（2）应用系统及其主机系统达到相应安全等级保护的应用安全和主机安全要求。

（3）数据的完整性、保密性、备份与恢复等达到三级等级保护数据安全要求。

（4）机房环境在访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的达到三级等级保护物理安全要求。

1.3安全等级保护系统总体架构

1.3.1安全技术体系架构

1.3.1.1安全防护基本思想

根据国家标准《信息系统安全等级保护基本要求》（GB/T 22239-2008），信息系统的安全技术体系架构应包含物理、网络、系统、应用和数据等五个层面的如下安全控制要素。

身份鉴别、访问控制、安全审计等安全控制要素覆盖到网络层、系统层和应用层，安全管理则覆盖到了物理、网络、系统和应用各个层面。

其中重要的要素包括：

（1）身份鉴别

通过强身份鉴别技术加强对网络设备、服务器设备、应用系统的用户身份的鉴别，保证登录用户身份的真实性，如采用双因素认证等。

（2）访问控制

通过设置多层边界防护设备、配置访问控制策略等措施来保证各网络边界的访问得到有效控制。在系统和应用安全方面，通过增加或增强访问控制措施，防止非授权访问或越权访问。

针对于互联网边界通过部署：推荐防火墙实现访问控制

针对于内网终端部署：推荐终端安全接入控制系统，实现身份鉴别和终端行为管控

（3）安全审计

将重要的网络设备、安全设备、服务器的运行状态以及应用系统操作记录及时准确记录并存储下来，同时为了方便管理，将审计记录集中分析和处理，为排查故障、事后取证提供技术依据。

推荐：运维审计系统和日志审计系统

针对于数据库安全推荐部署数据库审计

（4）病毒防护

通过在网络边界、客户端、服务器等部署病毒防护产品，及时发现和清除传播到系统中的病毒，防止系统遭到病毒感染后不能正常运行。

在互联边界：推荐部署AV防病毒网关

针对于内部终端PC和服务器，推荐部署企业版杀毒软件

（5）入侵防范

通过在系统中关键部位部署入侵防范措施，及时发现和阻断网络和系统中出现的入侵和异常行为。

在互联网边界推荐部署IPS入侵防御检测系统

对于web安全推荐WAF和软件防篡改

（6）安全监控

通过部署集中监控类产品，对信息系统中设备和系统运行状况、网络流量、用户行为等进行全面的监测和记录，提供监控记录数据分析、报表生成功能。

推荐部署网管平台，监测网络中的设备运行状态

（7）冗余备份

关键线路和设备采用冗余设计，保证系统的高可用性；配备数据备份系统，实现数据的自动备份和恢复。

对于基础关键设备采用双机热备或者冷备

1.3.1.2系统安全防护模型

根据信息系统安全等级保护的总体思想，结合用户信息系统现状和特点，提出内部业务系统技术保护体系：

用户信息系统的安全技术保护体系从外到内构成“纵深防御”体系，首先通过“通信安全防护”保护暴露于外部的通信线路和通信设备，然后通过“边界安全防护”对内部业务系统实施边界安全防护，通过“主机安全防护”、“应用安全防护”和“数据安全与备份恢复”对用户信息系统内部的服务器、应用系统和数据实施相应的安全防护。

依据上述“纵深防御”体系，用户信息系统等级保护模型如下图所示：

技术保护模型具体说明：

（1）内部业务系统根据服务对象不同分为终端接入区、外部业务区、内部业务区、数据存储区、安全管理区和通信网络。不同安全区域按照各自相应等级的保护要求采取身份鉴别、访问控制、安全审计、恶意代码防范、备份与恢复等安全措施，确保区域边界、服务器设备、应用系统的安全。

（2）用户区对应用户工作人员办公电脑终端区，总体按照三级等级保护要求进行保护。

（3）业务区分为外部业务区和内部业务区，其中外部业务区部署对外提供服务或需要与外界交互的业务系统；内部业务区部署用户内部工作相关业务系统。

（4）安全管理区对全网通信线路、网络设备、安全设备、服务器设备、终端设备的运行进行集中管理，对整个用户信息系统实施统一的安全技术管理，其安全保护按照三级等级保护要求进行。

（8）通信网络是用户信息系统基础网络平台，按照三级等级保护要求进行保护。通信网络应采取物理保护、身份鉴别、访问控制等安全技术措施，确保通信网络的网络设备、网络通信和网络管理的安全。

1.3.2安全管理体系架构

1.3.2.1安全管理体系框架

根据信息系统安全等级保护的总体思想，结合用户信息系统管理的特点，提出用户信息系统安全管理体系框架。

“总体安全策略”位于信息系统安全管理体系的第一层，是用户信息系统安全管理体系的最高指导策略。它明确了用户信息系统规划设计、开发建设和运行维护应遵循的总体安全策略，对信息安全技术和管理各方面的安全工作具有通用指导意义。

“安全管理组织框架”位于信息系统安全管理体系的第二层，负责建立内部业务系统安全管理组织框架。它是确保用户信息系统安全稳定运行的管理体系，保证信息系统安全管理活动的有效开展。

“安全管理制度框架”位于信息系统安全管理体系的第三层，分别从安全管理机构及岗位职责、人员安全管理、物理环境管理、信息系统的信息/设备/介质安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。

“配置规范、操作规程和记录表单”位于信息系统安全管理体系的第四层，从信息系统日常安全管理活动的执行出发，对主要安全管理活动的配置规范、操作规程、执行各类安全管理活动或操作活动的操作类表单提出具体要求，指导安全管理工作的具体执行。

1.3.2.2安全管理组织框架

根据信息系统安全等级保护的总体思想，结合用户信息系统管理的特点，提出用户信息系统安全管理组织结构，用户主管安全领导是信息安全管理的决策层，负责安全管理方针、的制定，重要事件的决策，安全管理体系的评审等。

信息安全管理职能部门代理决策层行使信息安全日常管理工作。

各信息技术岗位是信息安全管理的执行层，按照信息系统生命周期中的各项信息技术管理活动的特点进行设置，包括系统建设岗、软件开发岗、网络管理员、系统管理员、资产管理员等。

1.3.2.3安全管理制度框架

根据用户信息系统安全管理体系框架、安全管理组织框架，结合等级保护要求，设计用户安全管理制度框架。

第一层，内部业务系统安全管理办法。管理办法是安全管理制度的指引文件，明确安全管理的范围、总体目标和安全管理框架。安全管理框架包括组织机构及岗位职责、人员安全管理、环境和资产安全管理、系统建设安全管理、系统运行安全管理、安全事件处置和应急预案管理等方面内容，明确职责分工、需要关注的管理活动以及管理活动的控制方法。

第二层，各方面的安全管理制度。针对内部业务系统安全管理办法，编写安全管理制度文档。各制度文档应明确该制度的使用范围、目的、需要规范的管理活动、具体的规范方式和要求。为确保制度有效执行所需要的各种记录表单应附在制度后面。安全管理制度涉及内容如下：

（1）人员安全管理方面的安全管理制度

对人员的录用、离岗、考核、安全意识教育和培训、人员保密行为等方面进行规范。

（2）物理环境方面的安全管理制度

对用户机房的物理环境、人员出入、人员行为等的安全管理进行规范。

（3）信息、设备、介质等方面的安全管理制度

对内部业务系统的信息、设备、介质等的安全管理进行规范。

（4）信息系统建设过程的安全管理制度

对内部业务系统应用开发、系统集成、测试验收等建设过程的安全管理进行规范。

（5）系统运行安全管理制度

对内部业务系统网络和主机系统运行维护、变更过程、数据备份和恢复过程、病毒防范等的安全管理进行规范。

（6）安全事件处置和应急管理制度

对内部业务系统的安全事件分类分级、处置和上报程序、各类安全事件的应急管理等进行规范。

第三层，具体的安全配置规范，包括对关键网络设备、安全设备、主机操作系统、数据库管理系统等的安全配置内容和方法进行规范。

1.4安全域划分

1.4.1总体要求

根据安全等级保护系统总体架构，结合用户信息系统业务特点，重新划分用户信息安全域：

各安全域安全管理策略应遵循统一的基本要求，具体如下： 

（1）保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。网络拓扑结构设计应采用冗余技术，避免存在网络单点故障。

（2）部署高效的防火墙设备，防止包括DDOS在内的各类网络攻击；在通信网络中部署IPS、入侵检测系统、监控探针等，监视各种网络攻击行为。

（3）在关键位置部署数据库审计系统，对数据库重要配置、操作、更改进行审计记录。

（4）对访问网络设备的用户进行身份认证，确保只有授权的网络管理员可以进行配置管理。网络设备上应设置访问控制列表，网络设备的可访问人员。

（5）在通信网络中部署流量检测设备，通过Flow采集技术，建立流量图式基线，监视网络中的异常和正常流量，并对流量情况进行分析，可以根据应用情况控制和分配流量。

（6）增加除口令以外的技术措施，通过数字证书技术加强对管理员的身份认证，实现双因素认证。

（7）如需远程管理网络设备和安全设备，应采用VPN、HTTPS或SSH等安全方式，避免身份鉴别信息在网络传输过程中被窃取。

（8）终端安全控制设备能够及时发现接入网络的非授权设备，并对其进行有效阻断。

1.4.2互联网接入区

互联网接入区在用户网络中用作访问互联网资源的入口，外部用户通过互联网接入区访问用户对外服务业务系统。

1.4.3核心通信区

核心通信支撑区按照三级等级保护要求建立，是用户网络的核心交换机所在区域，同时还将部署必要的安全监控、审计设备和漏洞扫描设备。

1.4.4内部业务区

（1）区域边界

① 在区域边界部署防火墙设备，实施区域边界保护，确保只允许指定业务应用和管理数据流通过。

② 在服务器区为各应用系统单独划分VLAN，并实施相应的访问控制策略。

③ 利用入侵防御或入侵检测系统，通过规则库的对比检测、日志存储、告警和报表，在网络边界处监控通讯网络中的各类网络攻击和违规行为，并记录相关信息。

④ 部署数据库审计系统，加强对数据库的操作审计。

（2）主机层面

针对安全保护等级为三级的信息系统，主机层面应实施以下安全保护策略：

① 选择正版软件，遵循最小安装的原则，即仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。

② 严格系统中默认账户的访问权限，及时删除多余的、过期的账户，应避免共享账户的存在。

③ 应启用系统的登录失败处理功能，如：限定连续登录尝试次数、锁定账户、设置连续两次登录尝试时间间隔等。

④ 远程管理服务器时，应采用SSH会话方式，防止鉴别信息在网络传输过程中被窃听。

⑤ 应通过设定终端接入方式、网络地址范围等条件管理终端登录，并启用空闲超时自动锁定功能。

⑥ 操作系统应仅开放业务需要的服务端口、删除默认的共享路径、单个用户对系统资源的最大使用限度等。

⑦ 应开启安全审计功能，安全审计的内容应记录系统内重要的安全相关事件，包括用户的登录、重要用户行为、重要系统命令的使用等。

⑧ 安装正版防病毒软件，并及时更新防病毒软件版本和病毒库，实现防病毒的集中统一管理。

（3）应用层面

针对安全保护等级为三级的信息系统，应用层面应实施以下安全保护策略：

① 用户身份标识具有唯一性，提供鉴别信息复杂度检查功能和鉴别失败处理功能。

② 提供鉴别失败处理功能，包括为尝试次数和时间定义阈值，明确规定达到该值时所采取的动作，如：结束会话、锁定账户一段时间等。

③ 提供访问控制功能，能够依据安全策略控制用户对应用系统各模块及数据的访问。

④ 保证应用系统的管理、审计、授权等权限分配给不同的应用系统账户，实现权限分离。

⑤ 只授予应用系统不同账户为完成各自承担任务所需的最小权限，严格应用系统中的默认账户的访问权限。

⑥ 提供安全审计功能，对用户行为、系统资源的异常使用和重要系统功能的执行等进行审计。

⑦ 保证审计记录的内容至少包括事件的日期、时间、发起者信息、操作类型、描述和结果等。

⑧ 提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。

⑨ 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证，并对通信过程中的敏感信息字段进行加密。

（4）数据层面

① 提供对系统管理数据、鉴别信息和重要业务数据等在传输和存储过程中完整性检测的能力，发现完整性错误时采取必要的恢复措施。

② 确保系统管理数据、鉴别信息和重要业务数据在传输和存储过程中的数据保密性。

③ 关键服务器、网络设备、通信线路等均应采用硬件冗余、软件配置等技术手段保证系统的高可用性。

④ 系统配置参数发生变更时应进行备份；配备数据备份系统，根据需要定期进行本地或异地业务数据备份。

1.4.5外部业务区

外部业务区按照三级等级保护要求建立，用于部署对外服务和交互的相关业务系统。

1.4.6数据存储区

本地数据存储区部署内部服务区和外部服务区数据集中存储和备份恢复系统。

1.4.7安全管理区

安全管理区按照三级等级保护要求建立，用于部署安全管理中心，对整个用户内网的信息安全进行统一管理。

安全管理中心主要建设目的如下：

（1）实现业务系统用户、主机管理用户的统一管理，确保主要业务系统、主机的安全；

（2）实现对用户网络中的主机操作系统、数据库、网络设备、安全设备、网络行为的集中安全审计；

（3）实现对网络各类数据的集中收集、分析、预警、防范等，及时发现病毒、恶意代码、漏洞等安全攻击和隐患，并进行有效防范； 

（4）实现网络设备、安全设备、机房配套、主机操作系统、数据库系统、中间件系统等资源的全面管理、监测和记录，对信息进行集中安全分析和关联性分析，及时统一的运维管理。发现安全事件和隐患 进而对安全事件进行收集、管理和处理。

1.4.8用户接入区

用户区按照三级等级保护要求建立。用户区用于部署用户工作人员连接互联网办公用户系统的电脑及各楼层交换机和汇聚交换机。

该区域安全管理策略如下：

（1） 建立完善的操作系统账户的口令策略和用户登录策略，采取必要措施，防止鉴别信息在网络传输过程中被窃听。

（2） 严格默认账户的访问权限，禁用或重命名系统默认账户，并修改这些账户的默认口令。

（3） 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并依据相应的补丁更新策略进行补丁更新。

（4） 应开启安全审计功能，安全审计的内容应记录系统内重要的安全相关事件，包括用户的登录、重要用户行为、重要系统命令的使用等。

（5） 实现全网统一的病毒防护措施，包括统一策略、统一版本、统一升级机制、集中管理。

（6） 实现对终端设备的集中管理和监控，实时了解设备的运行状况；能够对非授权设备私自联到用户区以及用户区用户私自联到外部网络的行为进行发现，并对其进行有效阻断。

1.5建设任务

依据国家信息系统等级保护相关标准，结合用户网络的实际情况，通过需求分析，设计可行的安全技术和升级改造方案，购置必要的成熟产品和采用可靠的技术手段，建立起用户信息安全的技术保护体系，提高用户信息安全管理和防护水平，确保用户信息安全防护水平达到国家信息系统安全等级保护的要求。主要建设任务如下：

（1）建立统一安全管理平台，通过身份鉴别、安全审计、安全防范、安全监控、安全运维等级技术，实现安全事件的统一监控、统一收集、统一分析、智能告警与运维管理等功能，提升用户信息安全防范能力。

（2）合理划分网络安全区域和安全等级，包括外部接入区、安全管理区、核心通信支撑区、用户接入区、内部业务区、外部业务区、数据存储区,并配合安全设备和策略制定，建立起符合信息安全等级保护要求的用户基础支撑网络。

（3）根据国家信息安全等级保护有关标准，提出主机和应用的三级安全方案和策略，主机和应用由系统使用部门限期整改。

（4）按照三级系统安全等级保护要求，对用户重要业务数据实现本地集中存储和备份。

（5）按照三级等级物理安全要求，对用户机房服务器、设备的部署区域进行重新调整和布线，并更新用户UPS电源，提高电力供应安全。

（6）按照三级等级保护要求，对部网站进行应用安全整改、主机安全整改、管理客户端安全整改，提高信息系统安全防护和管理水平，确保信息系统服务性能。

（7）按照三级安全管理要求，对用户信息安全管理制度与规范提出完善要求，促进用户安全管理体系形成。