等级保护（三级）技术建议书

等级保护水平方案建议书

（三级）

目录

1等级保护概述.................................................................3

1.1标准概述.................................................................3

1.2基本原则................................................................3

1.3级别划分................................................................4

1.4实施过程.................................................................6

1.5参照标准.................................................................8

2等保三级安全技术需求分析....................................................9

2.1安全物理环境需求分析....................................................9

2.2安全通信网络需求分析....................................................9

2.3安全区域边界需求分析...................................................10

2.4安全计算环境需求分析...................................................11

2.5安全管理中心需求分析...................................................15

3安全现状分析................................................................17

3.1网络现状描述............................................................17

3.2安全风险威胁分析........................................................17

4等级保护技术体系方案........................................................18

4.1方案设计原则............................................................18

4.2方案设计思路...........................................................20

4.3方案整体框架............................................................22

4.4安全物理环境设计.......................................................24

4.5通信网络安全设计.......................................................25

4.5.1网络架构安全...............................................................................................................25

4.5.2通信完整性和保密性...................................................................................................26

4.5.3通信网络可信验证.......................................................................................................27

4.5.4产品清单.......................................................................................................................28

4.6区域边界安全设计.......................................................28

4.6.1边界安全防护,..............................................................................................................29

4.6.2边界访问控制...............................................................................................................30

4.6.3边界入侵防范...............................................................................................................31

4.6.4边界恶意代码和垃圾邮件防范..................................................................................33

4.6.5边界安全审计...............................................................................................................34

4.6.6边界可信验证...............................................................................................................35

4.6.7产品清单.......................................................................................................................35

4.7计算环境安全设计.......................................................36

4.7.1身份鉴别........................................................................................................................37

4.7.2访问控制........................................................................................................................38

4.7.3安全审计........................................................................................................................39

4.7.4入侵防范.......................................................................................................................40

4.7.5主机恶意代码防范......................................................................................................41

4.7.6可信验证........................................................................................................................41

4.7.7数据完整性与保密性..................................................................................................42

4.7.8备份与恢复....................................................................................................................43

4.7.9剩余信息保护...............................................................................................................44

4.7.10个人信息保护...............................................................................................................44

4.7.11产品清单.......................................................................................................................45

4.8安全管理中心设计.......................................................46

4.8.1系统管理.......................................................................................................................47

4.8.2审计管理........................................................................................................................48

4.8.3安全管理.......................................................................................................................49

4.8.4集中管控.......................................................................................................................5/

4.8.5产品清单.......................................................................................................................51

5等级保护管理体系设计.......................................................53

5.1安全管理制度需求分析...................................................53

5.2管理制度设计...........................................................53

1等级保护概述

1.1标准概述

等级保护是我国信息安全保障的基本制度，其全称为“信息系统安全等级保

护”，现改为“网络安全等级保护”，是指对网络和信息系统按照重要性等级分级

别保护的一种制度。安全保护等级越高，要求安全保护能力就越强，既不能保护

不足，也不能过度保护。从1994年国务院在《中华人民共和国计算机信息系统

安全保护条例》（以下简称《计算机信息系统安全保护条例》）首次提出计算机信

息系统实行安全等级保护，《GB"22239-2008信息系统安全等级保护基本要

求》标志着我国信息安全等级保护制度正式走上正轨。

为适应新技术发展，解决云计算、物联网、移动互联、工业控制、大数据等

领域的信息系统等级保护工作需要，从2014年3月开始，由公安部牵头组织开

展了等级保护重点标准申报国家标准的工作，并从2015年开始对《GB/T

22239-2008信息系统安全等级保护基本要求》进行修订，陆续对外发布草稿、

征集意见稿，于2019年5月发布最终稿《GB"22239-2019网络安全等级保

护基本要求》，业界称之为等级保护2.0。

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。

开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网

络安全保障工作中国家意志的体现。

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五

个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国

家要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定

级对象安全等级状况开展等级测评。

1.2基本原则

网络安全等级保护的核心是对系统分等级、按标准进行建设、管理和监督。

网络安全等级保护实施过程中应遵循以下基本原则:

a）申请批准原则

等保1.0中定级采取“自主定级”模式，但在等保2.0中定级要求更改为“申请

批准”模式。即企业应以书面的形式说明保护对象的安全保护等级及确定等级的

方法和理由，组织相关部门和有关安全技术专家对定级结果的合理性和正确性进

行论证和审定，然后报定级结果经过相关部门的批准，最后将备案材料报主管部

门和相应公安机关备案。

b）重点保护原则

根据系统的重要程度、业务特点，通过划分不同安全保护等级的系统，实现

不同强度的安全保护，集中资源优先保护涉及核心业务或关键资产。

c）同步建设原则

系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的

资金建设信息安全设施，保障信息安全与信息化建设相适应。

d）动态调整原则

要跟踪系统的变化情况，调整安全保护措施。由于系统的应用类型、范围等

条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规

范和技术标准的要求，重新确定系统的安全保护等级，根据系统安全保护等级的

调整情况，重新实施安全保护。

1.3级别划分

•级别定义

依据计算机信息系统安全保护等级划分准则（GB17859）

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成

损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生

严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或

者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，

或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

•定级要素

网络安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的

客体和对客体造成侵害的程度。

在定级原则上，等级保护GB/T22239-2019做了新的调整，放弃了之前等

保要求中的“自主定级、自主保护”原则，采取了以国家行政机关持续监督的“明

确等级、增强保护、常态监督”方式。

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a）公民、法人和其他组织的合法权益；

b）社会秩序、公共利益；

c）国家安全。

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害

是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保

护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象

受到破坏后对客体造成侵害的程度归结为以下三种：

a）造成一般损害；

b）造成严重损害；

c）造成特别严重损害。

对客体的侵害程度

受侵害的客体一股损害严重损害特别严MIS害

公民、法人和其他组织的合法权益第一级第』第三级

社\序、公共利益第二^第三级第四级

国家安全第三级第四级第五级

定级要素与等级的关系

•定级流程

等保2.0明确了定级流程分为：确定定级对象、初步确定等级、专家评审、

主管部门审核、公安机关备案审查:

1.4实施过程

整体的网络安全保障体系包括技术和管理两大部分，其中技术部分根据《网

络安全等级保护基本要求》分为物理环境安全、通信网络安全、计算环境安全、

安全管理中心四个方面进行建设；而管理部分根据《网络安全等级保护基本要求》

则分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维

管理五个方面。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为

“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用

技术工手段及相关工具，进行系统建设和运行维护。”

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤

进行：

1.系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类

另“、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤

充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等

级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及

安全措施选择提供依据。

2.安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，

根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解

为多个层次，为下一步安全保障体系框架设计提供基础框架。

3.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全

域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,

明确各安全域所需采用的安全指标。

4.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相

关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。

并找出系统安全现状与等级要求的差距，形成完整准确的按需防御的安

全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差

距，为下一步安全技术解决方案设计和安全管理建设提供依据。

5.安全保障体系方案设计：根据业务划分为不同安全域，按照层次进行安

全保障体系框架设计。

6.安全建设：根据方案设计内容逐步进行安全建设，满足等级保护相应的

基本要求，实现按需防御。

7.持续安全运维：通过安全预警、安全监控、安全加固、安全审计、应急

响应等，从事前、事中、事后三个方面进行安全运行维护，确保系统的

持续安全，满足持续性按需防御的安全需求。

通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全

术建设和安全管理建设，保障系统整体的安全。而应该特别注意的是：等级保护

不是一个项目，它应该是一个不断循环的过程，所以通过整个安全项目、安全服

务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个系统随着环

境的变化达到持续的安全。

1.5参照标准

等级保护方案设计主要参考如下标准：

——《GBT22239-2008信息安全技术信息系统安全等级保护基本要求》

——《GBT22239-2019信息安全技术网络安全等级保护基本要求》

——《GBT28448-2019信息安全技术网络安全等级保护测评要求》

——《GBT25070网络安全等级保护安全设计技术要求》

——《GB/T36959信息安全技术网络安全等级保护测评机构能力要求和评

估规范》

2等保三级安全技术需求分析

根据xx客户现网进行分析补充,

安全需求分析将依据等级保护'一个中心,三重防护‘进行纵深防御的思想,

在技术领域展开梳理,从安全物理环境、安全通信网络、安全计算环境、安全区

域边界、安全管理中心几个方面阐述。

2.1安全物理环境需求分析

需根据客户机房物理情况分析补充

物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路

的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是

整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网

络的可用性,进而提高整个网络的抗破坏力,例如:

机房缺乏控制，人员随意出入带来的风险;

网络设备被盗、被毁坏;

线路老化或是有意、无意的破坏线路;

设备在非预测情况下发生故障、停电等;

自然灾害如地震、水灾、火灾、雷击等;

电磁干扰等。

因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运

行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出

现风险问题时的应对方案。

2.2安全通信网络需求分析

｛需要补充网络安全情况分析.可以参考以下内容｝

XXX通信网络的安全主要包括:网络架构安全、通信传输安全和可信验证

等方面。

网络架构是否合理直接影响着是否能够有效的承载业务需要,因此网络架构

需要具备一定的冗余性,包括通信链路的冗余,通信设备的冗余;

带宽能否满足业务高峰时期数据交换需求;

网络通信设备的处理能力是否能应对高峰期的业务需求;

合理的划分安全区域,子网网段和VLAN：

网络通信传输是否采用了加密或者校验码技术保证完整性和保密性;

通信网络设备是否支持可信验证能力,基于可信根对通信设备的系统引导程

序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的

关键执行环节进行动态可信验证,在检测到起可信性收到破坏后进行报警,并将

验证结果形成审计记录送至安全管理中心。

2.3安全区域边界需求分析

需要补充主机安全情况分析.可以参考以下内容

区域边界的安全主要包括:边界防护、访问控制、入侵防范、恶意代码防范

和垃圾邮件防范、以及边界安全审计等方面。

•边界防护检查

边界的检查是最基础的防护措施,首先在网络规划部署上要做到流量和数据

必须经过边界设备,并接受规则检查,其中包括无线网络的接入也需要经过边界

设备检查,因此不仅需要对非授权设备私自联到内部网络的行为进行检查,还需

要对内部非授权用户私自联到外部网络的行为进行检查,维护边界完整性。

•边界访问控制

xx网络可划分为如下边界:（描述边界及风险分析）

对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据

信息进行控制,阻止非授权及越权访问。

•边界入侵防范

各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同

样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木

马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务

系统的安全防护,保护核心信息资产的免受攻击危害。

•恶意代码防范和垃圾邮件防范

现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加

泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以

网络（包括Internet,广域网、局域网）形态进行传播,因此为了安全的防护手

段也需以变应变。同时垃圾邮件日渐泛滥,不仅占用带宽、侵犯个人隐私同时也

成为黑客入侵的利用工具,因此在边界上迫切需要网关型产品在网络层面对病毒

及垃圾邮件予以清除。

•边界安全审计

在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行

记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系

统。并可通过安全管理中心集中管理。

•可信验证需求

基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防

护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,

在检测到其可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管

理中心。

2.4安全计算环境需求分析

计算环境的安全主要指主机以及应用层面的安全风险与需求分析,包括:身

份鉴别、访问控制、入侵防范、恶意代码防范、数据完整性与保密性、安全审计、

可信验证、备份与恢复、剩余信息保护、个人信息保护等方面。

•身份鉴别

身份鉴别包括主机和应用两个方面。根据XXX信息系统目前的设备中,缺

少主机身份鉴别机制。对于主机环境的系统登录应按应用类别分配不同权限的用

户,并且口令复杂并需要定期更换,同时在认证过程中,需要两种或两种以上的

鉴别技术对管理用户进行鉴别等管理手段,缺少严格的账号管理手段,将会导致

过期账号、多余账号,共享账号的存在。

主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过

于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃

听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高

用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。

应用系统的用户身份鉴别,应采用专用的登录控制模块对登录用户进行身份

标识,同时采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,如数

字证书、生物特征识别。并通过与相应系统配合，严格控制应用系统用户的访问

权限,并保证用户的唯一性。

•访问控制

（根据客户现场具体情况填写｝

Xxx计算环境中共有xx个系统,包括:XX设备,XX操作系统,XX应用系

统,XX数据库系统。其中XXX系统的登录的用户没有分配账号和权限,不同用

户使用同一个账号登录;

Xxx系统的账号仍然采用默认口令,应重命名或删除默认账户,修改默认账

户的默认口令;应及时删除或停用多余的、过期的账号，避免共享账号的存在;

应授予管理用户所需的最小权限，实现管理用户的权限分离;

Xxx系统在对设备（系统、应用、文件、数据库）访问时,没有配置用户级

的访问控制策略。重要文件和敏感数据没有设置安全标记，需要控制对有安全标

记信息资源的访问。

•安全审计

计算环境的安全审计包括多层次的审计要求。对于登陆主机后的操作行为则

需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的

行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范

主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使

用行为进行审计。重点审计应用层信息，和业务系统的运转流程息息相关。能够

为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供

审计记录。

安全审计需要借助统一的管理平台,对于计算机环境,很多问题都会在系统

的安全管理过程中显示出来,包括用户行为、资源异常、系统中安全事件等,虽

然都能显示出来,但由于计算机环境复杂,没有统一的管理平台展示、分析、存

储,会使很多安全事件漏掉,给系统安全运维带来了不必要的风险。

•入侵防范

在XXX系统的计算环境中,缺少入侵防御能力,无法主动发现现存系统的漏

洞。系统是否遵循最小安装原则,是否开启了不需要的系统服务、默认共享和高

危端口,应用系统是否有对数据做有效性校验?面对XX网络的复杂性和不断变

化的情况,依靠人工的经验寻找安全漏洞、做出风险评估并制定安全策略是不现

实的,应对此类安全风险进行预防,预先找出存在的漏洞并进行修复。

•恶意代码防范

病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非

常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和

数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器

崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部

署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。

•可信验证

基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和计算应

用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检

测到其可信性收到破坏后进行报警，并将验证结果形成审计记录送至安全管理中

心。

•数据完整性和保密性

数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。

因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程

中的完整性以及保密性;保护鉴别信息的保密性。

应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不

限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和

重要个人信息。

•数据备份恢复

应具有异地备份场地及备份环境,并能提供本地、异地数据备份与恢复功能,

备份介质场外存放,在异地备份数据应能利用通信网络进行定时批量传送备用场

地。

•剩余信息保护

对于正常使用中的主机操作系统和数据库系统等,经常需要对用户的鉴别信

息、文件、目录、数据库记录等进行临时或长期存储，在这些存储资源重新分配

前,如果不对其原使用者的信息进行清除,将会引起原用户信息泄漏的安全风险,

因此,需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存

储空间,被释放或重新分配给其他用户前得到完全清除

对于动态管理和使用的客体资源,应在这些客体资源重新分配前,对其原使

用者的信息进行清除,以确保信息不被泄漏。

•个人信息保护

XXX系统中的XXXAPP应用,在用户注册时采集了与本业务无关的用户个

人信息,等级保护要求规定,应仅采集和保存业务必需的用户个人信息,禁止未

授权访问和使用用户个人信息。

2.5安全管理中心需求分析

安全管理中心是等保2.0新增的,需求包括系统管理、审计管理、安全管理、

集中管控四个方面的需求分析。

•系统管理

应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系

统管理操作,并对这些操作进行审计;

应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身

份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份

与恢复。

•审计管理

应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安

全审计操作,并对这些操作进行审计:

应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根

据安全审计策略对审计记录进行存储、管理和查询等

•安全管理

应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安

全管理操作,并对这些操作进行审计;

应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主

体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等

•集中管控

应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管

控;

应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组进行管

理;

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测:

应能对服务器进行监控,包括监视服务器的CPU、硬盘、内存、网络等资

源情况,能够对系统服务水平降低到预先规定的最小值进行检测和报警。以提高

运维能力。

应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记

录的留存时间符合法律法规要求;

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

应能对网络中发生的各类安全事件进行识别、报警和分析。

3安全现状分析

3.1网络现状描述

｛根据xx客户网络具体情况进行分析补充｝

XXXX网络结构分区合理,结构清晰,分为核心交换区、服务器区和终端接

入区。其中核心交换区设备采取了双机备份措施。

XXXX网络环境中最重要的应用系统有:GPS系统、ERP系统、虚拟

化系统,系统服务器群直连在核心交换机上,处于不同一VLAN中。VLAN的隔

离原由XXX交换机中的ACL完成。

系统中的存储设备备份功能，数据出现故障时可快速恢复。

XXX网络拓扑如下:

（补充具体项H拓扑图）

已经采取的安全措施如下:

冗余的网络架构保障网络的高可用性;

出口部署防火墙,可控制网络访问行为。

根据业务不同已经做VLAN划分隔离。

3.2安全风险威胁分析

｛根据xx客户整体业务及网络的安全风险进行分析补充｝

通过对XXXX网络安全的差距分析并结合系统的现状,汇总当前业务系统

的安全风险如下:

互联网边界作为网络重点防护区域,没有进行入侵防御与反病毒防护、

DDOS防护和APT防护,网络入侵风险较大。

数据中心（服务器区域）没有独立划分安全域,服务器区与办公区混在一起,

没有做到有效的控制。

部分服务器提供外网访问服务,Web服务器部署在内部服务器硬件设备上,

采用虚拟化方式实现Web服务器的部署;但没有对WEB服务器提供网页防篡

改等安全防护。

网络、主机设备存在配置使用上的不规范、不合理,管理员没有独立配置管

理账户;对运维人员没有审计手段。

网络、主机设备及应用系统都有各自的访问控制及认证方式,缺乏统一认证

机制,有些网络、主机设备未正确配置身份鉴别及访问控制;

网络中的信息系统缺乏有效的内控和安全审计;

信息化系统缺乏保密性、完整性和真实性的支撑服务;

在信息安全传输、安全存储和抗抵赖缺乏有效的防护手段;

信息系统没有按照等保要求的等级进行必要的安全测评、整改加固。

人员进出机房等管控手段有待加强。

4等级保护技术体系方案

4.1方案设计原则

在规划、建设、使用、维护整个信息系统的过程中，本方案将主要遵循统一

规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体

系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体

体现为：

1）符合性原则：

网络安全保障体系建设要符合国家的有关法律法规和政策精神，以及行业有

关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范。

2）需求、风险、代价平衡的原则

对任何网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实

际分析（包括任务、性能、结构、可靠性、可用性、可维护性等），并对网络面临

的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，

确定安全策略。

3）综合性、整体性原则

安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统

的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全

性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各

个部分协调一致地运行。

4）易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降

低了安全性。

5）设备的先进性与成熟性

安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、

性能方面的优越，而成熟性表示可靠与可用。

6）无缝接入

安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应

是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶

颈”。

7）可管理性与扩展性

安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的

统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。

8）保护原有投资的原则

在进行信息系统安全体系建设时，除了要按照国家信息安全等级保护相关要

求外，还外遵循行政执法行业的相关信息安全保障体系统建设框架的要求，充分

考虑原有投资，要充分利用先行系统系统已有的建设基础进行规划.

9）综合治理

信息安全体系统建设是一个系统工程，信息网络安全同样也绝不仅仅是一个

技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安

全法律法规建设相结合，从社会系统工程的角度综合考虑。

4.2方案设计思路

等保方案保障建设的基本思路是：严格参考等级保护的思路和标准，针对安

全现状分析发现的问题进行加固改造，在进行安全设计时，参考《信息系统等级

保护安全设计技术要求》，从安全计算环境、安全区域边界、安全通信网络和安

全管理中心等方面落实安全保护技术要求，将不同区域、不同层面的安全保护措

施形成有机的安全保护体系，建成后的安全保障体系将充分符合国家等级保护标

准，能够为XXX系统稳定运行提供有力保障。

总之等级保护建设的思路为网络安全设计应基于业务流程自身特点，建立

“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受网络

攻击和破坏。

“可信”即以可信根为基础，构建一个可信的系统执行环境，即设备、引导

程序、操作系统、应用程序都是可信的，确保数据不可篡改。可信的环境保证业

务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业

务系统安全可信。

“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有

的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发

起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操

作，永远都按系统设计的策略进行资源访问，保证了系统的网络安全可控。

“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管

理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保

证信息系统安全可管。

“一个中心管理下的三重保护体系”是指以安全管理中心为核心，构建安全

计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的

统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权

访问，确保应用系统的安全。

安全保障体系建设的主要要点包括以下四个方面：

•构建分域的控制体系

网络安全等级保护解决方案，在总体架构上将按照分域保护思路进行，将网

络从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终

端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各

个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护

计算环境、保护边界、保护通信网络基础设施三个层面进行设计。

•构建纵深的防御体系

网络安全建设方案包括技术和管理两个部分，本方案针对XXX系统的通信网

络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码法防范、安

全审计、防病毒、传输加密、数据备份等多种技术和措施，实现业务应用的可用

性、完整性和保密性保护，并在此基础上实现综合的安全管理，并充分考虑各种

技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御

体系，保障系统整体的安全保护能力。

•保证一致的安全强度

网络应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略,

使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设手段

上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的

基本保护，比如统一的防病毒系统、统一的日志系统、统一的审计系统，然后在

基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。

•实现集中的安全管理

为了能准确了解网络的运行状态、设备的运行情况，统一部署安全策略，应

进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个

大方面进行建设。在安全管理安全域中建立安全管理中心，是帮助管理人员实施

好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理

中心的建设，实现安全技术层面和管理层面的结合，全面提升用户网络的信息安

全保障能力。

4.3方案整体框架

等级保护2.0将网络安全纵深按照一个中心三重防御的方式进行部署，即：

安全管理中心、通信网络、区域边界、计算环境几个维度。对每个维度的安全能

力要求如下：

安全管理中心

系统管理亩计管理］［安全管理］集中管控

边界隔离访问控制

外

部行为识别入侵防范

联

接防APT防病毒

垃圾邮件威胁分析

安全亩计］设备可信

区域边界

依据以上能力集要求，对方案整体设计框架如下:

＞体现保护对象清晰:

在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信息

系统各个内容属性中与安全相关的属性抽取出来，通过建立“信息安全保护对象

框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护

对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划

分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为

保护对象

＞体现防御的纵深感

现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打

击能力和可控性。信息安全问题包含管理方面问题、技术方面问题以及两者的交

叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的

改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是

一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护

措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息

系统，后果是灾难性的。

＞体现防御的主动性

本方案中，将从多重深度保障，增强抗打击能力方面进行设计。国家相关指

导文件提出“坚持积极防御、综合防范的方针”，这就要求采用多层保护的深度

防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安

全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而

形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打

击能力和能把损坏降到最小的安全体系。

＞体现集中管理能力

信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完

整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发

生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现

对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分

析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发

生。

4.4安全物理环境设计

物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁

兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

•机房选址

机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应

避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁。

•机房管理

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；

•机房环境

合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间

装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系

统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机

房应安装防静电活动地板。

机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机

房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检

测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐

火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离

开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置

稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况

下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备

用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键

设备和磁介质实施电磁屏蔽。

•设备与介质管理

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、

破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区

域监控、防盗报警系统，阻止非法用户的各种临近攻击。

4.5通信网络安全设计

通信网络利用通信线路和通信设备，把分布在不同地理位置的具有独立功能

的多台计算机、终端及其附属设备互相连接，在网络建设的初期，作为工作的重

要组成部分，应为网络通信负载制定详细的技术指标，从以往的经验来看，当网

络的利用率平均值达到40%或瞬间有70%的持续峰值，网络性能将急速下降因

此一个正常的网络利用率的平均值不应超过40%,不得有超过70%的持续峰值。

通信网络是整个网络系统的基础设施，通信网自身的健壮性稳定性以及网络

结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备

一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和

VLAN。

4.5.1网络架构安全

网络架构的安全是网络安全的前提和基础，对于XXXX,选用主要网络设备

时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需

要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；预测

业务流量数据看峰值将达到XXX,建议部署XXX性能的设备。按照业务系统服

务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机。

分区分域合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与

当前运行情况相符的网络拓扑结构图：

根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同

的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连

接,需耍和其他网段隔离,单独划分区域。

重要区域与其他区域之间部署网闸或者防火墙等隔离设备,并启用ACL进

行访问控制。

从目前XXX的全局网络结构上看,可以分为以下几个部分:

＞业务内网区:是业务开展的重要平台,承载着核心业务,同时具有相应

链路与XX、AAfPBB等其他机构交换数据;

＞办公外网区:主要对外提供信息发布门户,对内提供Internet网络接入

等服务。

＞无线接入区:根据项目实际情况,介绍无线网络部署

为保证网络业务的连续性，应考虑提供关键节点的硬件冗余设计，包括通信

线路（含业务数据链路和带外管理链路）、网络设备、安全设备、计算设备，并

部署链路负载均衡设备。

4.5.2通信完整性和保密性

由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上

存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而

且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输

和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭

受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。

而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃

取，应采用加密措施保证数据的机密性。

对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴

别码、密码校验函数、散列函数、数字签名等技术手段。

对于信息传输的完整性校验应由传输加密系统完成，通过识别传输协议类型

对网络数据进行隧道封装，为用户认证提供安全加密传输，并实现全业务数据在

复杂网络环境下的传输。对于信息存储的完整性校验应由应用系统和数据库系统

完成。建议部署SSL/IPSec安全接入网关或下一代防火墙来实现。

对于信息传输的通信保密性应由传输加密系统完成。部署SSLVPN系统或

下一代防火墙保证远程数据传输的数据保密性。

4.5.3通信网络可信验证

随着信息技术的不断发展，信息系统安全问题愈演愈烈，之后网络安全行业

兴起，攻防技术层出不穷、不断升级。传统的计算机体系结构过多地强调了计算

功能，忽略了安全防护，这相当于一个人没有免疫系统，只能生活在无菌状态下。

可信计算的目标就是要为信息系统构建安全可信的计算环境，提升信息系统的免

疫力，可信计算是基于密码的计算机体系架构安全技术，理论上可很大程度解决

恶意软件非授权安装/运行、设备网络假冒等问题。

应选择具备可信芯片的网络通信设备（路由器、交换机），保证网络身份可

信，防止网络通信设备假冒。可信芯片有唯一芯片号、公私钥对，可参与通信过

程身份认证及加密。可信网络通信设备以密码芯片为可信根，通过散列算法实现

完整性度量，通过非对称算法提供身份认证，通过对称算法提供数据加密，为密

码算法、密钥、度量值、密码运算等提供更单纯、安全的安全芯片环境。

4.5.4产品清单

部署产品部署位置部署作用

对外网用户的可信接入进行身份认证、数据

防火墙办公网互联网边界最加密、角色授权和访问审计等，保护办公网

VPN特性外侧。内部服务器资源的可用性，保障正常业务可

控的访问。

对业务网进行独立防护，进行访问控制、攻

业务网数据中心区域击防御；

边界；

防火墙对办公网上网应用行为进行管理，合理规划

办公网互联网边界；

网络流量应用。

4.6区域边界安全设计

网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。

等级保护安全区域边界是对定级系统的安全计算环境边界，以及安全计算环境与

安全通信网络之间实现连接并实施安全策略。本方案中，在区域边界的安全防御

能力包括如下几个方面：

＞边界防护

＞访问控制

＞入侵防范

＞恶意代码和垃圾邮件防范

＞安全审计

＞可信验证

从方案设计上看，建议参照如下方式:

安全管理中心

计

通

算

信

环

网

境

络

4.6.1边界安全防护

边界安全防护的检查重点是保证所有跨越边界的访问和数据流均通过边界

控制设备进行检查，其中包括限制非授权设备的接入，非授权用户外联，以及无

线用户的接入限制。

通过部署网络准入控制系统可以实现对内部网络中出现的内部用户未通过

准许私自联到外部网络的行为进行检查，维护网络边界完整性。网络准入控制系

统，其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计

算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络

的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止

由于访问非信任网络资源而引入安全风险或者导致信息泄密。

•网络准入控制

提供多维度的网络（包括无线网络终端）接入控制能力，根据用户的身份、

使用终端类型、当前所处的接入位置、接入时间，以及终端合规性检查的结果,

对非授权接入网络的设备进行检查和限制。

•非授权用户外联行为监控

可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权

许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外

联行为，可以记录日志并产生报警信息。

•无线网络访问管理

当有访客需要接入企业内网时，能够对接入的用户身份进行区分，验证来访

客户身份是否合法，并分配相应的接入权限，同事在访客接入网络后进行准入控

制与行为审计。

4.6.2边界访问控制

通过对XXXX的边界风险与需求分析，在网络层进行访问控制需部署下一

代防火墙产品，以及w