公司信息系统安全保障体系规划方案

1.

信息系统安全保障体系规划方案

VI.5

文档信息

文档名称XXXXXXXXXXXX信息系统安全保障体系规划方案

保密级别商业秘密文档编号

制作人制作日期

复审日期

复审人复审日期

分发控制

读者文档权限与文档的主要关系

创建、修改、读取负责编制、修改、审核本技术方案

XXXXXXXXXXXX阅读

版本控制

时间版本阐明修改人

VI.0文档初始化

VI.5修改完善

目录

1.概述......................................................错误!未定义书签。

1.1.引言...............................................错误!未定义书签。

1.2.背景...............................................错误!未定义书签。

1.2.1.XXXX行业行业有关要求........................错误!未定义书签。

1.2.2.国家等级保护要求..............................错误!未定义书签。

1.2.3.三个体系本身业务要求..........................错误!未定义书签。

1.3.三个体系规划目日勺..................................错误!未定义书签。

1.3.1.安全技术和安全运维体系规划目日勺..............错误！未定义书签。

1.3.2.安全管理体系规划目的.........................错误!未定义书签。

1.4.技术及运维依系规划参照模型及原则....................错误!未定义书签。

1.4.1.参照模型......................................错误!未定义书签。

1.4.2.参照原则......................................错误!未定义书签。

1.5.管理体系规划参照模型及原则...........................错误!未定义书签。

1.5.1.国家信息安全原则、指南.......................错误!未定义书签。

1.5.2.国际信息安全原则.............................错误!未定义书签。

1.5.3.行业规范.....................................错误!未定义书签。

2.技术体系建设规划...........................................错误!未定义书签。

2.1.技术保障体系规划..................................错误!未定义书签。

2.1.1.设计原则......................................错误!未定义书签。

2.1.2.技术路线......................................错误!未定义书签。

2.2.信息安全保障技术体系规划..........................错误!未定义书签。

2.2.1.安全域划分及网络改造..........................错误!未定义书签。

2.2.2.既有信息技术体系描述..........................错误!未定义书签。

2.3.技术体系规划主要内容..............................错误!未定义书签。

2.3.1.网络安全域改造建设规划.......................错误!未定义书签。

2.3.2.网络安全设备建设规划..........................错误!未定义书签。

2.3.3.CA认证体系建设...............................错误!未定义书签。

2.3.4.数据安全保障..................................错误!未定义书签。

2.3.5.终端安全管埋..................................错误！未定义书签。

2.3.6.备份与恢复....................................错误!未定义书签。

2.3.7.安全运营中心建设..............................错误!未定义书签。

2.3.8.周期性风险评估及风险管理.....................错误!未定义书签。

2.4.技术体系建设实施规划..............................错误!未定义书签。

2.4.1.安全建设阶段..................................错误!未定义书签。

2.4.2.建设项目规划..................................错误!未定义书签。

3.运维体系建设规划...........................................错误!未定义书签。

3.1.风险评估及安全加固................................错误!未定义书签。

3.1.1.风险评f古......................................错误!未定义书签。

3.1.2.安全加固......................................错误!未定义书签。

3.2.信息安全运维体系建设规划..........................错误!未定义书签。

3.2.1.机房安全规划..................................错误!未定义书签。

3.2.2.资产和设备安全................................错误!未定义书签。

3.2.3.网络和系统安全管理............................错误!未定义书签。

3.2.4.监控管理和安全管理中心.......................错误!未定义书签。

3.2.5.备份与恢复....................................错误!未定义书签。

3.2.6.恶意代码防范..................................错误!未定义书签。

3.2.7.变更管理......................................错误!未定义书签。

3.2.8.信息安全事件管理..............................错误!未定义书签。

3.2.9.密码管理......................................错误!未定义书签。

3.3.运维体系建设实施规划..............................错误！未定义书签。

3.3.1.安全建设阶段.................................错误!未定义书签。

3.3.2.建设项目规划.................................错误!未定义书签。

4.管理体系建设规划...........................................错误!未定义书签。

4.1.体系建设...........................................错误!未定义书签。

4.1.1.建设思绪......................................错误!未定义书签。

4.1.2.规划内容......................................错误!未定义书签。

4.2.信息安全管理体系现状..............................错误!未定义书签。

4.2.1.现状...........................................错误!未定义书签。

4.2.2.问题..........................................错误!未定义书签。

4.3.管理体系建设规划..................................错误!未定义书签。

4.3.1.信息安全最高方针..............................错误!未定义书签。

4.3.2.风险管理.....................................错误!未定义书签。

4.3.3.组织与人员安全................................错误!未定义书签。

4.3.4.信息资产管理..................................错误!未定义书签。

4.3.5.网络安全管理..................................错误!未定义书签。

4.3.6.桌面安全管理..................................错误!未定义书签。

4.3.7.服务器管理....................................错误!未定义书签。

4.3.8.第三方安全管理................................错误!未定义书签。

4.3.9.系统开发维护安全管理..........................错误!未定义书签。

4.3.10.业务连续性管理................................错误!未定义书签。

4.3.11.项目安全建设管埋..............................错误！未定义书签。

4.3.12.物理环境安全..................................错误!未定义书签。

4.4.管理体系建设规划.................................错误!未定义书签。

4.4.1.项目规划......................................错误!未定义书签。

4.4.2.总结...........................................错误!未定义书签。

2.概述

2.1.引言

本文档基于对XXXX企业（如下简称“XXXX企业工业”）信息安全风险评估总

体规划日勺分析，提出XXXX企业工业信息安全技术工作的总体规划、目的以及基

本原则，并在此基础上从信息安全保障体系的视角描绘了将来日勺信息安全总体

架构。

2.2.本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划，

是信息安全保障体系的主体。

2.3.背景

2.3.1.XXXX行业行业有关要求

国家XXXX行业总局一直以来十分注重信息安全管理工作，先后下发了涉及

保密计算机运营、等级保护定级等多种文件，在2023年下发了147号文《XXXX

行业行业信息安全保障体系建设指南》，指南从技术、管理、运维三个方面对安

全保障提出了提议，如下图所示。

通狎和■前

图1」行业信息安全保障体系框架

2.3.2.国家等级保护要求

等级保护工作作为我国信息安全保障工作中日勺一项基本制度，对提升基础

网络和主要信息系统安全防护水平有着主要作用，国家XXXX行业专卖局在2023

年8月下发了国烟办综［20231358号文《国家XXXX行业专卖局办公室有关做好

XXXX行业行业信息系统安全等级定级工作的告知》，而在《信息系统安全等级

保护基本要求》中对信息安全管理和信息安全技术也提出了要求，如下图麻示。

图1_2等保基本要求框架图

2.3.3.三个体系本身业务要求

在国家数字XXXX行业政策的引导下，近年来信息系统建设日趋完善，尤其

是伴随国家局统一建设日勺一号工程的上线，业务系统对信息系统的依赖程度逐

渐增长，信息系统的主要性也逐渐提升，其安全保障就成为了要点。另外，染了

一号工程外，信息系统的主要构成部分还有MES系统、ERP系统、网站系统、工

商协同营销系统、LIMS系统、0A系统及生产系统（卷包中控系统、物流中控系

统、制丝中控系统、动力中控系统）等。企业生产已经高度依赖于企业的信息化

和各信息系统。

2.4.信息系统现阶段还无法达成完全的自动化和智能化运营。所以需要各级

技术人员对信息系统进行运营和维护。在整个信息系统运营的过程中，起

主导作用的依然是人，是各级管理员。设备的作用依然仅仅停留在执行层

面。所以信息系统的稳定运营的决定原因一直都在于人员的操作。信息安

全运维体系的作用是在安全管理体系和安全技术体系的运营过程中，发觉

和纠正各类安全保障措施存在的问题和不足，确保它们稳定可靠运营，有

效执行安全策略要求的目的和原则。当运营维护过程中发觉目前的信息安

全保障体系不能满足本单位信息化建设的需要时，就能够对保障体系进行

新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安

全需求。这也仍遵照和完善了PDCA原则。

2.5.三个体系规划目的

2.5.1.安全技术和安全运维体系规划目的

|）建立技术体系的目的是经过使用安全产品和技术，支撑和实现安全策略,

达成信息系统的保密、完整、可用等安全目的。按照P2DR2模型，行业信息

安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容：

2）防护：经过访问控制、信息系统完整性保护、系统与通信保护、物理与

环境保护等安全控制措施，使信息系统具有比较完善的抵抗攻击破坏日勺能

力。

检测：经过采用入侵检测、漏洞扫描、安全审计等技术手段，对信息系统运营状

态和操作行为进行监控和统计，对信息系统日勺脆弱性以及面临的I威胁进行评估，

及时发觉安全隐患和入侵行为并发出告警。

响应：经过事件监控和处理工具等技术措施，提升应急处理和事件响应能力，确

保在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。

恢复：经过建立信息系统备份和恢复机制，确保在安全事件发生后及时有效地进

行信息系统设施和主要数据时恢复。

2.5.2.安全管理体系规划目的

2.5.2.1.此次项目经过风险评估对XXXX企业工业本身安全管理现状进行全

方面了解后，对信息安全管理整体提出如下目的：

2.5.2.2.健全信息安全管理组织

建立全方面、完整、有效日勺信息安全保障体系，必须健全、完善信息安全管

理组织，这是XXXX企业工业信息安全保障体系建立日勺首要任务。

2.5.2.3.信息安全管理组织的健全需要明确角色模型，在此基础上设计信息

安全岗位职责和报告关系，充分考虑XXXX企业工业与下属单位的组织

模式和特点，做到信息安全职责分工明确合理、责任落实到位。

2.5.2.4.建立信息安全专业服务团队

伴随XXXX企业工叱信息化的推动，XXXX企业工业需要有一支拥有多种专业

技能的团队提供身份认证、安全监控、威胁和弱点管理、风险评估等信息安全服

务。

2.5.2.5.信息安全团队建设的关键在于人才培养和服务团队的设置。XXXX企

业工业将在明确信息安全服务团队设置方案的基础上制定人才培养计

划，逐渐培养在信息安全各个领域的专业技术人才，在3-5年的时间内

建立起一支高素质的，能够满足XXXX企业工业信息安全需求的专业服

务团队。

2.5.2.6.建立完善的信息安全风险管理流程

作为XXXX企业工业信息安全保障体系的基本理念之一，信息安全风险管理

日勺实现需要建立完善日勺流程，XXXX•企业工业:将建立针对信息安全风险日勺全程管

理能力和信息安全管理连续改善能力，将信息安全日勺管理由针对成果日勺管理变

成针对过程的管理。

2.5.2.7.XXXX企业工业信息安全风险管理流程需要覆盖需求分析、控制实施、

运营监控、响应恢复四个环节，辨认相应的信息安全风险管理关键流程,

并进行流程设计和实施。

2.5.2.8.完善信息安全制度与原则

信息安全制度与原则是信息安全工作在管理、控制、技术等方面制度化、原

则化后形成日勺一整套文件。XXXX企业工业已经制定并公布执行了某些信息安全

有关日勺制度和原则，但是在完整性、针对性、可用性和执行效果方面都有较大日勺

改善空间。例如在信息安全管理制度的上，没有根据《XXXX行业行业信息安全

保障体系建设指南》或者是ISMS体系建设等原则和规范制定，从而使管理要求

缺乏系统性。在前期调研中，发觉只有《系统支持和维护管理控制程序》、《信息

设备及软件控制程序》等少许管理文档，不足以满足XXXX企业工业对整个信息

系统安全管理日勺需求。

2.5.2.9.XXXX企业工业需要有计划时逐渐建立一套完整的，可操作的信息安

全制度与原则，并经过对执行效果的连续跟踪，不断完善，以形成一

套真正符合XXXX企业工业需求、完整有效的信息安全制度与原则，为

信息安全工作的开展提供根据和指导。

2.5.2.10.建立规范化的流程

伴随信息化建设的推动，XXXX企业工业需要建设越来越多的应用系统，这些系

统目前日常维护工作基本依托系统维护人员的经验，所以逐渐建立专业化日勺信

息安全服务和规范化的流程成为信息安全保障体系建立日勺主要目的之一。

2.6.技术及运维体系规划参照模型及原则

2.6.1.参照模型

目前安全模型已经从此前日勺被动保护转到了目前的主动防御，强调整个生

命周期曰勺防御和恢复。PDR模型就是最早提出日勺体现这么一种思想日勺安全模型。

所谓PDR模型指日勺就是基于防护(Protection)、检测(Detection)、响应

(Reaction)日勺安全模型。上个世纪90年代末，ANS联盟在PDR模型的基础上

建立了新日勺P2DR模型。该模型是可量化、可由数学证明、基于时间时、以PDR

为关键的安全模型。这里P2DR2是策略(Policy),防护(Protection).检测

(Detection)、响应(Response)、恢复(Recovery)的缩写。如下图所示。

图1_2P2DR2模型

策略(Policy)

策略是P2DR模型的关键，全部日勺防护、检测、响应都是根据策略。它

描述了系统中哪些资源要得到保护，以及怎样实现对它们日勺保护等。

防护(Protection)

防护是主动防御日勺防御部分，系统的安全最终是依托防护来实现的。防

护的对象涵盖了系统日勺全部，防护手段乜所以多种多样。

检测(Detection)

检测是动态响应和加强防护的根据。经过不间断日勺检测网络和系统，来

发觉威胁。

>响应(Response)

响应是主动防御的实现。根据策略以及检测到的情况动态日勺调整防护，达成

主动防御日勺目日勺。

＞信息系统日勺安全是基于时间特征日勺，P2DR安全模型的特点就在于动态

性和基于时间的特征。我们能够经过定义下列时间量来描述P2DR模型

日勺时间特征。

＞防护时间Pt：表达从入侵开始到侵入系统日勺时间。防护时间由两方面共

同决定：①入侵能力，②防护能力。高的入侵能力和相对弱日勺防护能力

能够使得防护时间Pt缩短。显然防护时间越长系统越安全。

＞检测时间Dt：表达检测系统发觉系统的安全隐患和潜在攻击检测的时

间。改善检测算法和设计可缩短Dt。

响应时间Rt：表达从检测到系统漏洞或监控到非法攻击到系统开启处理措

施的时间。一种监控系统的响应可能涉及见识、切换、跟踪、报警、还击等内容。

而安全事件的事后处理（如恢复、总结等）不纳入事件响应的范围之内。

暴露时间Et：表达系统处于不安全状态日勺时间。

2.6.2.能够定义Et=Dt+Rt-Pt。显然Et越小表达系统越安全，当EtWO

时，能够觉得系统是安全的。

2.6.3.伴随技术的进步，人们在P2DR模型后来又提出了APPDRR模型，即

在P2DR模型中加入恢复(Recovery)手段。这么一旦系统安全事故发生

了，也能恢复系统功能和数据，恢复系统的正常运营。

2.6.4.参照原则

>主要参照原则：

>《信息保障技术框架v3.1》(IATF)美国国家安全局

>《信息系统安全管理指南》(ISO13335)国际原则化组织

>《信息安全风险评估指南》(国标审议稿)中华人民共和国质监总局

>其他参照原则：

>AS/NZS4360：1999风险管理原则

>ISO/IEC17799:2023/BS7799Part1

>ISO/IEC27001:2023/BS7799Part2

>ISO/IEC15408(CO

>GB17859-1999

>等级保护实施意见(公通字[2023]66号)

>《计算机信息系统安全保护等级划分准则》GB17859

行业参照原贝人

>«xxxx行业行业信息安全保障体系建设指南》

2.7.管理体系规划参照模型及原则

2.7.1.国家信息安全原则、指南

1.GB/T20274—2023信息系统安全保障评估框架

2.GB/T19715.1—2023信息技术一信息技犬安全管理指南第1部分：信息

技术安全概念和模型

3.GB/T19715.2—2023信息技术一信息技犬安全管理指南第2部分：管理

和规划信息技术安全

4.GB/T19716—2023信息技术一信息安全管理实用规则

2.7.2.国际信息安全原则

1.ISO/IEC2700：：2023信息安全技术信息系统安全管理要求

2.ISO/IEC13335—1：2023信息技术信息技术安全管理指南第1都分:

信息技术安全概念和模型

3.ISO/IECTR15443—1：2023信息技术安全保障框架第一部分概述和

框架

4.ISO/IECTR15443—2：2023信息技术安全保障框架第二部分保獐措

施

5.ISO/IECWD15443—3信息技术安全保障框架第三部分保障措施分析

6.ISO/IECPDTR19791：2023信息技术安全技术运营系统安全评估

2.7.3,行业规范

1.《数字XXXX行业发展纲要》

2.«XXXX行业行业信息安全保障体系建设指南》（国烟办综（2023）147

号）

3.《XXXX行业行业计算机网络和信息安全技术与管理规范》（国烟法

[2023]17号）

4.《XXXX行业行业计算机网络建设技术与管理规范》（国烟办综[2023]312

号）

5.《XXXX行业行业CA认证体系的建设方案》（国烟办综（2023）116号）

3.技术体系建设规划

3.1.技术保障体系规划

3.1.1.设计原则

■技术保障体系的规划遵照一下原则：

■先进性原则

■采用的技术和形成日勺规范，在路线上应与目前世界日勺主流发展趋势相一致,

确保根据规范建成的XXXX企业工业网络安全系统具有先进性和可连续发展

性。

■实用性原则

■具有多层次、多角度、全方位、立体化的安全保护功能。多种安全技术措施

尽显其长，相互补充。当某一种或某一层保护失效时，其他仍可起到保护作

用。

■可靠性原则

■加强网络安全产品的集中管理，确保关键网络安全设备日勺冷热备份，为止

骨干传播线路的单点连接，确保系统7*二十四小时不间断可靠运营。

■可操作性原则

■根据XXXX企业工业风险评估成果，制定出各具特色、有较强针对性和可操

作性日勺网络安全技术保障规划，合用于XXXX企业工业信息安全日勺规划、建

设、运营、维护和管理C

■可扩展性原则

3.1.2.规范应具有良好的可扩展性，能适应安全技术的迅速发展和更新,

能伴随网络安全需求的变化而变化，网络安全保护周期应与整个网络的

工作周期相同步，充分确保投资的效益。

3.1.3.技术路线

■分级保护的思想

■遵照《XXXX行业行业信息安全保障体系建设指南》(国烟办综(2023)147

号）、《有关信息安全等级保护工作的实施意见》（公通字【2023】33号）的

要求，结合XXXX企业工业网络应用实际，XXXX企业工业网络的信息安全防

护措施需要满足安全等级保护要求，必须按照拟定日勺安全策略，整体实施

安全保护。

■分层保护的思想

■按照XXXX企业工业业务承载网络的关键层、接入（汇聚）层、接入局域网

三个层次，根据拟定日勺安全策略，规范设置相应的安全防护、检测、响应功

能，利用虚拟专用网络（例如MPLSVPN、IPSecVPN、SSLVPN）、公钥基础

设施/授权管理基础设施（EK1/EM1）,防火墙、在线入侵抵抗、入侵检测、

防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品，进行全方位

日勺安全保护。

■分域保护的思想

■控制大型网络安伞日勺另一种思想是把网络划提成不同日勺逻辑网络安全域,

每一种网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主

体等要素，XXXX企业工业网络划分为计算域、支撑域、接入域、基础设施域

四种类型安全域。经过在相连的两个网络之间采用访问控制措施来进行网络

日勺隔离和连接服务。其中，隔离安全服务涉及身份认证、访问控制、抗抵赖

和强审计等；连接安全服务涉及传播过程中的保密、完整和可用等。

■动态安全的思想

3.2.动态网络安全的思想，一方面是要安全体系具有良好的动态适应性和

可扩展性。威胁和风险是在不断变化的，安全体系也应该根据新的风险的

引入或风险累积到一定程度后，适时进行策略调整和体系完善；另一方面

是在方案的制定和产品的选用中，注重方案和产品的自愈、自适应功能,

在遭遇攻击时，具有一定的自动恢复和应急能力。

3.3.信息安全保障技术体系规划

3.3.1.安全域划分及网络改造

安全域划分及网络改造是系统化安全建设日勺基础性工作。也是层次化立体化防御

以及落实安全管理政策，制定合理安全管理制度的基础。此过程确保在网络基础

层面实现系统的安全防御。

3.3.1.1.目的规划的理论根据

3.3.1.1.1.安全域简介

安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的

安全访问控制和边界控制策略的子网或网络，相同日勺网络安全域共享一样日勺安

全策略。

＞相对以上安全域的定义，广义的安全域概念是指：具有相同和相同的安

全要求和策略的IT要素的集合。这些IT要素涉及但不但限于：

＞物理环境

＞策略和流程

＞业务和使命

＞人和组织

＞网络区域

＞主机和系统

3.3.1.1.2.安全域作用

•理顺系统架构

•进行安全域划分能够帮助理顺网络和应用系统的架构，使得信息系统的

逻辑构造愈加清楚，从而更便于进行运营维护和各类安全防护的设计。

•简化复杂度

•基于安全域的紧护实际上是一种工程措施，它极大的简化了系统的防护

复杂度：因为属于同一安全域的信息资产具有相同日勺IT要素，所以能

够针对安全域而不是信息资产来进行防护，这么会比基于资产的等级保

护更易实施；

・降低投资

因为安全域将具有一样IT特征日勺信息资产集合在一起，所以在防护时能够

采用公共的防护措施而不需要针对每个资产进行各自的防护，这么能够有效降

低反复投资；

•同步在进行安全域划分后，信息系统和信息资产将分出不同的防护等级,

根据等级进行安全防护能够提升组织在安全投资上日勺ROI（投资回报

率）。

•提供根据

组织内进行了安全域的设计和划分，便于组织发觉既有信息系统的缺陷和

不足，并为今后进行系统改造和新系统日勺设计提供有关根据，也简化了新系统

上线安全防护日勺设计过程。

3.3.1.1.3.尤其是针对组织的分支机构，安全域划分的方案也有利于帮助

他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工

作。

3.3.1.1.4.总体架构

如下图所示：安全域的划分如下：

।--------------------------------------------------------------------------------------------------------------------------------------------------------1

边界接入绒

互联网接入区外联网接入区内联网接入区

内部网接入区

计

计算环境一般服务区■计算环境重要服务区算

环

境

计算环境核心区域

图2」安全与总体柩架

此次提议的划分措施是立体的，即：各个域之间不是简朴的相交或隔离关

系，而是在网络和管理上有不同的层次。

网络基础设施域是全部域的基础，涉及全部日勺网络设备和网络通讯支椁设

施域，网络基础设施域分为骨干区、汇集区和接入区。

支撑设施域是其他上层域需要公共使用的部分，主要涉及：安全系统、网管

系统和其他支撑系统等。

计算域主要是各类的服务器、数据库等，主要分为一般服务区、主要服务区

和关键区。

边界接入域是各类接入的设备和终端以及业务系统边界，按照接入类型分

为：互联网接入、外联网接入、内联网接入和内网接入。

边界接入域

计算环境域

支撑性世施域

网络基福设施域

图2」安全域立体构造图

3.3.1.1.5.多层次体系

3.3.L2.根据XXXX企业工业企业的情况，安全域的划分原则和划分措施,

域是此次安全域划分的第一层构造，划分的原则是业务行为。XXXX企业

工业企业安全域总体设计计划划分为4个域，分别是边界接入域、网络

基础设施域、计算域、支撑设施域。

3.3.1.3.建设规划内容

3.3.1.3.1.边界接入域

3.3.1.3.1.1.边界接入域的划分

＞«ISO13335信息系统管理指南》中将一种组织中可能的接入类型分为

如下几种：

＞组织单独控制的连接（内部接入）

＞公共网络的连接（如互联网接入）

＞不同组织间的连接（可信日勺）

＞不同组织间的连接（不可信的）

＞组织内的异地连接（如不同地理位置的分支构造）

＞组织内人员从外部接入（如出差时接入内部网）

边界接入域日勺划分，根

据XXXX企业工业企业的

实际情况

实际情况，相对于ISO

13335定义日勺接入类型，

分别有如下相应关系：

ISO13335

内部网接入（终端接入，如办公网）；业务边界（如关键服务

组织单独控制日勺连接边界）

互联网接入（如Wob和邮件服务器的外部接入，办公网的

公共网络的连接Internet接入等）

不同组织间日勺连接外联网接入（如各个部门司的接入等）

内联网接入（如XXX单位接入、城区内如西仓等其他部门等经

组织内日勺异地连接

过专网接入）

组织内人员从外部接入远程接入（如移动办公和远程维护）

3.3.1.3.1.2.边界接入域威胁分析

＞因为边界接入域是XXXX企业工业企业信息系统中与外部相连的边界,

所以主要威胁有：

＞黑客攻击（外部入侵）

＞恶意代码（病毒蠕虫）

＞越权（非授权接入）

＞终端违规操作

3.3.1.3.1.3.边界接入域的防护

＞针对边界接入域的主要威胁，相应的防护手段有:

＞访问控制（如防火墙）用于应对外部攻台

A远程接入管理（如VPN）用于应对非授权接入

＞入侵检测与防御（IDS&IPS）用于应对外部入侵和蠕虫病毒

＞恶意代码防护（防病毒）用于应对蠕虫病毒

＞终端管理（注入控制、补丁管理、资产管理等）对终端进行合规管理

3.3.1.3.2.计算域

3.3.1.3.2.1.计算域的划分

＞计算域是各类应用服务、中间件、大机、数据库等局域计算设备日勺集合,

根据计算环境的行为不同和所受威胁不同，分为如下三个区：

＞一般服务区

＞用于寄存防护级别较低（资产级别不不小于等于3）,需直接对外提供

服务的信息资产，如办公服务器等，一般服务区与外界有直接连接，

同步不能够访问关键区（防止被作为攻占关键区的跳板）；

＞主要服务区

＞主要服务区用于寄存级别较高（资产级别不小于3）,不需要直接对外

提供服务日勺信息资产，如前置机等，主要服务区一般经过一般服务区

与外界连接，并能够直接访问关键区；

＞关键区

关键区用于寄存级别非常高（资产级别不小于等于4）的信息资产，如关键

数据库等，外部对关键区的访问需要经过主要服务区跳转。

计算域日勺划分参见下却

一般服务区一般服务区

如：生产应用机如：办公服务器

计

算

环

境

域

核心服务器

如：前置机

核心数据库

重要服务区+核心区

图2_3计算域划分图

3.3.1.3.2.2.计算域威胁分析

＞因为计算域处于信息系统的内部，所以三要威胁有：

＞内部人员越权和滥用

＞内部人员操作失误

＞软硬件故障

＞内部人员篡改数据

＞内部人员抵赖行为

＞对外服务系统遭受攻击及非法入侵

3.3.1.3.2.3.计算域的防护

＞针对计算域主要是内部威胁日勺特点，主要采用如下防护手段:

＞应用和业务开发维护安全

A基于应用的审计

＞身份认证与行为审计

＞同步也辅助以其他的防护手段:

＞对网络异常行为日勺检测

＞对信息资产日勺访问控制

3.3.1.3.3.支撑设施域

3.3.1.3.3.1.支撑设施域的划分

安全管理中心

管理

次推城

独立的管

理网络

网络管理中心

业务运维中心

图2_4支撑基础设施域划分图

如上图所示，将网络管理、安全管理和业务运维（业务操作监控）放置在独

立日勺安全域中，不但能够有效的保护上述三个高级别信息系统，同步在突发事

件中也有利于保障后备通讯能力。

3.3.1.3.3.2.其中，安全设备、网络设备、业务操作监控的管理端口都应该

处于独立的管理VLAN中，假如条件允许，还应该分别划分安全

VLAN、网管VLAN和业务管理VLAN。

3.3.1.3.3.3.支撑设施域的威胁分析

＞支撑设施域是跨越多种业务系统和地域的，它日勺保密级别和完整性要

求较高，对可用性的要求略低，主要日勺威胁有：

＞网络传播泄密（如网络管理人员在网络设备上窃听业务数据）

＞非授权访问和滥用（如业务操作人员越权操作其他业务系统）

＞内部人员抵赖（如对误操作进行抵赖等）

3.3.1.3.3.4.支撑设施域的防护

＞针对支撑设施域的威胁特点和级别，应哭用如下防护措施：

＞带外管理和网络加密

＞身份认证和访问控制

＞审计和检测

3.3.1.3.4,网络基础设施域

3.3.1.3.4.1.网络基础设施域时划分

网络上联域

图2_5网络基础设施域划分图

3.3.1.3.4.2.网络基础设施域的威胁分析

＞主要威胁有：

＞网络设备故障

＞网络泄密

＞物理环境威胁

3.3.1.3.4.3.网络基础设施域的防护

＞相应日勺防护措施为：

＞经过备份、冗余确保基础网络的可用性

＞经过网络传播加密确保基础网络日勺保密性

A经过基于网络的认证确保基础网络的完整性

3.3.2.既有信息技术体系描述

3.3.2.LXXXX企业工业既有网络拓扑

3.3.2.2.XXXX企业工业网络构造脆弱性评估

3.3.2.2.1.网络构造层次不清楚

目前网络骨干区域，基本形成以两台C6509为关键，多台C2970/C2950等为

接入的架构，网络骨干设备性能优异，扩展能力较强.。但部分区域依然存在构造

层次不清楚、不合理之处。

3.3.2.2.2.远程接入区域，涉及XXX单位经过专线直接接入到关

键互换机C6509上，其他的上联国家局、XXXX企业工业局、

西仓等专线链路也直接接入到关键互换机C6509上，除国家

局配置有防火墙外，其他连接均未经过任何汇聚或访问控

制设备。关键互换机C6509同步兼具上述多条专线接入设备

的任务，网络逻辑层次构造较为模糊。

3.3.2.2.3.网络单点故障

目前网络关键层为冗余设备，下联接入层互换为冗余线路，其他对外连接

均为单设备和单线路连接，存在网络单点故障隐患。

3.3.2.2.4.各远程接入链路均为一条电信专线，没有其他冗余的

广域网链路，存在远程接入链路单点故障。

3.3.2.2.5.外网服务器区的Web和Mail服务器的互联网连接和访

问均为单线路，存在单点故障。

3.3.2.2.6.网络安全域划分不明

企业大多数内网服务器系统分布在/24网段，没有进一步日勺

VLAN划分及其他防护措施的隔离。ERP、一号工程、协同办公、营销等主要系统

混杂在一起，与其他服务器都布署在同一种区域，非常不利于隔离防护及后期

日勺安全规划建设。

下属卷包、物流、制丝、动力车间存在生产网与办公网络混用日勺情况。各生

产网与办公网未严格隔离，未整合边界，未实施集中安全防护。

.7.业务维护人员、网络管理人员、安全管理人员以及第三

方运维人员，未划分专门的管理支撵域°目前主要根据办公

物理位置，各自接入到办公网中，未与一般办公人员网络

区域隔离。

3.3.2.2.8.远程接入区域，根据对端可信度及管理职责等，能够

划分为四类，1、国家XXXX行业；2、省商业企业链路；3、

同城的西仓库接入；4、XXX单位接入。目前未进行分类隔离,

统一安全策略。

3.3.2.2.9.部分节点区域缺乏必要安全防护措施

内部终端顾客访问内部服务器、互联网络没有有效的控制行为；能够访问互

联网的终端不能有效控制访问带宽并进行行为审计。

远程接入西仓和XXX单位专线直接接入到关键互换机Cisco3845上，两端均

未布署防火墙实施访问控制.XXX单位顾客能够任意访问到总部网络，任意访问

内网服务器。

3.3.2.2.10.全网缺乏一套集中的安全运营管理中心，目前网络设

备、安全设备、主机及业务系统的日志及安全运营情况监控,

仅由各自维护人员手工操作，直接登录设备检验分析。

3.3.2.2.11.内网服务器区、生产服务器区缺乏业务审计设备，无法

统计关键的业务、维护操作行为。

3.3.2.2.12.既有的安全技术防护手段

1、在互联网出口布署了东软的NctEyesFW'4201防火墙两台，同步设置

访问规则对Web服务器和内网顾客对互联网的访问进行网络层控

制；

2、在关键互狭机上布署了东软日勺NetEyesIDS2200入侵检测系统，对

关键互换上日勺数据信息进行入侵行为的检测；

3、在邮件系统布署了防垃圾邮件系统，可对垃圾邮件进行过滤；

4、内网布署了趋势日勺网络防病毒系统，

3.3.2.3.内网布署了圣博润的内网管理系统，可对内部网络终端进

行接入管理、主机维护管理、补丁管理、主机行为审计等。

3.3.2.4.XXX单位既有网络拓扑

数据中心机房

10.99.1343.一

桌面管理系统

mscozerr

数据中心机房

I0.W.154.246

PCerv”

△

：：i」L，,

11.99.U.2I盟器工

HEAD/

t7

入匕】

入上I化库接入

10.网134.24310.991134.24810/134.24925

二层接入下成忘年接入h

4410.99154.24710.99ll34.250

-SKAT成乩可接

46SI

.XXX单位网络构造脆弱性评估

3.3.2.5.1.网络构造层次不清楚

目前网络骨干区域，是以S5516为单关键设备连接上联C2601路由器至

XXXX企业工业，下联S3026接入互换机连接终端。网络骨干设备性能较差，扩

展能力很弱。各区域存在构造层次不清楚、不合理之处。

3.3.2.5.2.网络关键互换S5516假如瘫痪，整个网络通讯将断开;

服务器直接连接漏洞互换机，一旦设备出现故障则一号工

程、内网管理等业务系统无法正常工作，将引起业务系统网

络通讯时中断。

3.3.2.5.3.网络单点故障

关键设备、上联线路为单条线路，存在网络单点故障隐患。

3.3.2.5.4.上联链路仅为一条电信专线，没有其他冗余的广域网

链路，存在远程接入链路单点故障。

3.3.2.5.5.一号工程、内网管理服务器仅单线连接在楼层互换机上,

楼层互换本身为单线连接关键互换，连接和访问均为单线

路，存在单点故障。

3.3.2.5.6.网络安全域划分不明

3.3.2.5.7.XXX单位一号工程、内网管理服务器系统分布在

10.99.134.0/24网段，仅简朴的经过VLAN与办公网其他主

机划分，并未采用其他防护措施的隔离，非常不利于隔离

防护及后期的安全规划建设。

3.3.2.5.8.部分节点区域缺乏必要安全防护措施

内部终端顾客访问内部服务器、互联网络没有有效的控制行为；能够访问互

联网日勺终端不能有效控制访问带宽并进行行为审计。此问题可与XXXX企业工业

处理提议方案同步及处理。

全网缺乏一套集中的安全运营管理中心，目前网络设备、安全设备、主机及

业