《二级等保+解决方案建议书.docx》由会员分享,可在线阅读,更多相关《二级等保+解决方案建议书.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、二级等保+解决方案建议书文档版本:L0发布日期:2020年05月07日本文档中的信息可能变动,恕不另行通知。共13页室2017年7月10号发)标准规范计算机信息系统安全保护等级划分准那么(GB 17859-1999)信息安全技术网络安全等级保护基本要求GB/T22239-2019信息安全技术信息系统安全等级保护定级指南GB/T22240-2008信息安全技术网络安全等级保护定级指南GB/T22240-XXXX(报批稿)信息安全技术网络安全等级保护安全设计要求GB/T25070-2019信息安全技术网络安全等级保护实施指南GB/T25058-XXXX (报批稿)信息技术安全技术信息技术安全管理指
2、南(IS0/IECTR13335)信息技术安全技术信息技术安全性评估准那么(GB/T18336-2001)2.2安全技术体系设计图例千兆双线线千兆光纤万兆光纤网络防火墙(利旧)入侵检训系统服务器出口防火熔传统的等保解决方案结构复杂,等保建设技术要求多,为了满足等保建设的 需求采购大量的设备且安全产品类型繁杂,人力和资金投入巨大。工程整体建设 周期长且后期运维管理人员大量的精力。基于传统等保建设的种种弊端,本次项目采用使用下一代防火墙和管一体机的组网方式,按照“一个中心三重防护”的 理念,具体设计如下:在系统边界部署NGFW作为出口防火墙对进出系统流量进行防护,在各个 网络域边界部署NGFW作为
3、边界防护墙负责区域间或者业务访问流量的防护控 制,NGFW开启IPS、IPS、ACG、AV等功能模块,全面满足通信网络和系统边界 的防护;在系统核心交换机旁路部署具备漏洞扫描、日志审计、运维审计、运营 管理功能的安管一体机,满足计算环境防护的同时形成多态化的安全管中心。221产品介绍H3C SecCenter安管一体机产品是由新华三技术(以下简称H3C公 司)在多年的安全研究沉淀和等保建设服务实践经验的基础上,自主研发的一款 用于等保建设或者信息系统安全管理区域建设的综合性的安管管理平台,具有漏 洞扫描、日志审计和运维审计功能,全面满足网络安全等级保护技术要求中的管 理审计需求,同时安管一体机
4、集中整合纳管网络系统中的组成元素形成多态化的 安全管理中心,满足系统管理、审计管理、安全管理、集中管控的要求。综合日志审计功能将大量的各种类型的日志信息需要被保存下来,帮助用户 识别安全风险,快速查询特定信息,向用户输出告警信息等等。同时综合日志审 计完全满足“网络安全法”中规定的网络日志留存时间不少于六个月要求,是等 保合规建设的必备功能。漏洞扫描功能可以对各类服务器、网络设备、安全设备构成的操作系统环境、 数据库环境、WEB应用等进行综合漏洞扫描检测。可以用于信息系统的分析和 指出存在的相关安全漏洞及被测系统的薄弱环节,给出详细的检测报告,在业务 环境受到危害之前为安全管理员提供专业、有效
5、的安全分析和修补建议,该功能 已经成为安全管理员的主流使用工具,广泛应用于政府、公安、教育、卫生、电 力、金融等行业,帮助用户解决目前所面临的各类常见及最新的安全问题,同时 满足如等级保护、行业规范等政策法规的安全建设要求。运维审计系统通过深入分析当前在信息系统中的运维安全风险,专门研发的 一套针对企业、政府、医疗、金融、运营商等行业市场的运维安全审计系统。借 助身份认证、权限控制、操作审计等功能,从操作层面解决了企业现存的IT内 控与管理问题,使运维操作管理进入安全与便利相结合的阶段,帮助客户提高整 体运维安全水平,使运维操作管理过程变得更加简单、安全、有效。方案优势等保i.o阶段的合规建设
6、就是“应标准-堆设备”,为了满足什么样的合规能 力购买什么样的安全设备就行。这样大量的设备堆砌不可防止的面临着“建设繁 琐,运维复杂,服务割裂,架构固话”等等一系列问题,合规建设周期长,后期 运维投入多,“花钱多人烦恼”。等保2.0安全建设要求遵循三同步原那么,即同 步规划、同步建设、同时使用,合规是刚需也是业务上线的前提,所以我们(客 户)需要有更为高效快速的合规建设方案或安全产品。我们的设计方案具有以下 优势:控制转发与管理审计别离本次工程方案的设计思想就是“控制转发控制转发与管理审计别离”,新华 三的NGFW具备FW、IPS、WAF、ACG、AV等控制转发的防护功能,我们的 安管一体机具
7、备漏洞扫描、日志审计、运维审计、运营管理等管理审计功能,在 等保建设中只需要根据业务选择相应规格和数量的NGFW与安管一体机配合组 网即可,方案简单。符合“一个中心三重防护”的等保设计理念在我们的方案中,NGFW完成了通信网络和区域边界的防护,安管一体机 的运维审计、日志审计、漏洞扫描功能除了满足安全计算环境合规要求的同时也 对“系统管理、审计管理、安全管理”做了一个集中的整合形成了一个多态化的 “安全管理中心”,“一个中心三重防护”满足等保2.0的主要关键合规能力要 求。 一体交付,运维方便整体方案简单灵活,安管一体机一体化的设计理念部署速度快,建设周期短。 采购设备少,省钱且事后省心,同时
8、安管一体机将将管理和审计能力整合与一个 平台运维高效,省时省心。1工程建设背景3工程背景31.1 现状分析3整体网络架构41.2 工程需求5安全技术需求分析51.3 工程目标7安全技术需求分析71.3.1 安全计算环境需求分析7安全区域边界需求分析81.3.2 安全通信网络需求分析8安全管理中心需求分析92二级等保+解决方案9方案设计依据92.1.1 政策法规9标准规范102.2 安全技术体系设计10产品介绍11222方案优势121工程建设背景工程背景XX医院位于广东省湛江市徐闻县县城西侧,始建于1955年,原称附城卫 生院,1995年更名升格为XXX,是一间集医疗、预防、保健、康复、教学于一
9、 体的国家二级综合医院。医院占地面积23.5亩,编制病床位350张。医院科室 齐全,设有普通内科、消化内科、内分泌科、肾内科(血透中心)、心血管内科、 普通外科、泌尿外科、神经外科、创伤外科、重症医学科(ICU)、妇科、产科、 儿科、新生儿科、眼科、耳鼻咽喉科、急诊科、麻醉科、中医科、康复科、疼痛 专科、手术室、放射科、检验科、病理科、B超室、心脑电图室、电子胃肠镜室、 药剂科等45个临床、医技与后勤科室,多个专科的技术水平在本地区处于领先 地位。医院设备先进,环境优美,业务量位居全县医疗单位第二位,是省、市、 县文明医院。自2014年6月开始,根据县乡医疗卫生一体化工作部署,负责管理 南山卫
10、生院、迈陈中心卫生院、西连卫生院、角尾卫生院等四个卫生院,服务辐 射人口 22万人。目前,医院现有的系统建设使用至今,架构比拟落后,同时存在网络安全隐 患,受限于安全设备缺乏、技术更新、医疗政策调整、经营环境变化等原因,存 在系统功能欠缺、信息孤岛等问题,已无法满足医院战略开展的需要,特别是高 尖端化、高智能化的医院,因此需要重新规划医院信息安全建设与之相匹配。1.1 现状分析随着信息技术的快速开展,越来越多的中国医院正加速实施基于基础信息化 网络平台、HIS业务平台的整体建设,以提高医院的服务水平和核心竞争力,从 最初的“以财务为中心”的医院信息系统向“以病人为中心”的医院信息系统转 变,医
11、院信息化建设已经取得了显著成效。信息化不仅提升了医生的工作效率, 使医生有更多的时间为患者服务,也提高了患者满意度,而且无形之中还树立起共13页医院的科技形象品牌,医院信息化正越来越成为强化医院活力与竞争力的关键行 为,医疗业务应用与基础网络平台的逐步融合正成为中国医院,尤其是大中型医 院业务开展前进的新的驱动力。本次对医院网络建设为基础,为医院信息化建设实施提供最稳定、安全的网 络数据中心运行平台,实现信息资源共享;又能及早解决现有医院信息化建设落 后的困境,力争满足临床、教学、科研和管理的需求。针对以上情况我们应按以下需求建设数字化医院:1、网络设计不仅要表达当前网络多业务服务的开展趋势,
12、同时需要具有最 灵活的适应、扩展能力;2、一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP为 基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服 务质量管理、资源管理;3、医院信息系统的改造将在原有缺乏的安全防护措施之上,增加相应安全 设备,进行安全管理措施优化,保证医院网络的安全性。4、医疗信息的安全保护,也是组要的环节,网络的设计不仅要考虑用户与 服务器之间的互联互通,更要保护关键服务器的安全和内部用户的安全。1.1.1 整体网络架构现网总体拓扑图图例千兆双纹线千兆光纤万兆元纤网络防火墙(利旧)核心交换机接入交换机工程需求1.1.2 安全技术需求分析1安全计
13、算环境需求分析计算环境的安全主要是物理、主机以及应用层面的安全风险与需求分析,包 括:物理机房安全、身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、 软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、 抗抵赖等方面。根据XXX自评估结果,现网如要到达等级保护二级关于安全计算环境的要 求,还需要改进以下几点:现网系统未实现管理员对网络设备和服务器管理时的运维审计功能。现网系统,数据库和WEB网站需要进行漏洞、弱口令、高危服务进行管理, 同时需要在等保测评过程中规避高危风险项的存在。另外还需要对用户名/口令 的复杂度,访问控制策略,操作系统、WEB和数据库存在的各种安全漏
14、洞,主机 登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略的合理性和存 在的问题进行一一排查解决。网络安全法要求网络系统运营日志需要至少保存六个月,同时如果需要 满足二级等保建设需要部署专业化日志审计设备满足日志分析、留存的要求。1. 3.1. 2安全区域边界需求分析区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范 以及边界安全审计等方面。根据XXX自评估结果,现网如要到达等级保护二级关于安全区域边界的要 求,还需要改进以下几点:边界访问控制:需要优化网络结构,根据XXX业务情况合理划分安全域,合 理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问
15、控制 需要在构建安全计算环境的基础上,依托防火墙等安全设备进行访问控制。现网 需要在边界部署下一代防火墙实现边界访问控制,在各个重点安全域部署下一代 防火墙来实现各安全域的重点隔离防护。边界入侵防范:现网没有实现边界攻击防护,需要新增入侵防御系统。恶意代码防范:主机恶意代码防护通过部署终端病毒查杀软件实现,网络边 界恶意代码防护需要部署下一代防火墙,开启AV防病毒功能,并且要求网络层 与主机的恶意代码库不同。1.3.1.3 安全通信网络需求分析通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、 通信完整性与保密性等方面。根据XXX自评估结果,现网如要到达等级保护二级关于安全通信
16、网络的要 求,还需要改进以下几点:通信完整性和保密性:由于网络协议及文件格式均具有标准、开发、公开的 特征,因此数据在网上存储和传输过程中,不仅仅面临信息丧失、信息重复或信 息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异 性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存 的一致性;并在信息遭受篡改攻击的情况下,应提供有效的发觉与发现机制,实 现通信的完整性。而数据在传输过程中,为能够抵御不良企图者采取的各种攻击, 防止遭到窃取,应采用加密措施保证数据的机密性,因此现网需要部署VPN等安 全设备。1.3.1.4 安全管理中心需求分析“三分技术、七分管
17、理”更加突出的是管理层面在安全体系中的重要性。除 了技术措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,安全 管理中心是实现安全管理的有力抓手。根据XXX自评估结果,现网如要到达等级保护二级关于安全管理中心的要 求,系统管理需要具备系统管理员对系统的资源和运行进行配置、控制和管理, 包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和 设备的备份与恢复等“系统管理”和“审计管理”的能力,客户现网需要部署运 维审计设备实现“三权”能力的补齐。1.4 工程目标结合XXX的实际情况,按照网络安全等级保护安全设计技术要求和网 络安全等级保护基本要求等相关标准要求,以“一个
18、中心、三重防护”为核心 指导思想,从安全计算环境、安全区域边界、安全通信网络以及安全管理中心四 个方面构建安全建设方案,以满足等级保护二级系统的相关要求。1.5 安全技术需求分析1.5.1 安全计算环境需求分析计算环境的安全主要是物理、主机以及应用层面的安全风险与需求分析,包 括:物理机房安全、身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、 软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、 抗抵赖等方面。根据XXX自评估结果,现网如要到达等级保护二级关于安全计算环境的要 求,还需要改进以下几点:现网系统都未实现管理员对网络设备和服务器管理时的运维审计功能。现网系统
19、,数据库和WEB网站需要进行漏洞、弱口令、高危服务进行管理, 同时需要在等保测评过程中规避高危风险项的存在。另外还需要对用户名/口令 的复杂度,访问控制策略,操作系统、WEB和数据库存在的各种安全漏洞,主机 登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略的合理性和存 在的问题进行一一排查解决。网络安全法要求网络系统运营日志需要至少保存六个月,同时如果需要满足二级等保建设需要部署专业化日志审计设备满足日志分析、留存的要求。1. 5. 2安全区域边界需求分析区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范 以及边界安全审计等方面。根据XXX自评估结果,现网如要到达等级
20、保护二级关于安全区域边界的要 求,还需要改进以下几点:边界访问控制:需要优化网络结构,根据XXX业务情况合理划分安全域,合 理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问控制 需要在构建安全计算环境的基础上,依托防火墙等安全设备进行访问控制。现网 需要在边界部署下一代防火墙实现边界访问控制,在各个重点安全域部署下一代 防火墙来实现各安全域的重点隔离防护。边界入侵防范:现网没有实现边界攻击防护,需要新增入侵防御系统。恶意代码防范:主机恶意代码防护通过部署终端病毒查杀软件实现,网络边 界恶意代码防护需要部署下一代防火墙,开启AV防病毒功能,并且要求网络层 与主机的恶意代码库不
21、同。安全通信网络需求分析通信网络的安全主要包括:网络结构安全、网络安全审计、网络设备防护、 通信完整性与保密性等方面。根据XXX自评估结果,现网如要到达等级保护二级关于安全通信网络的要 求,还需要改进以下几点:通信完整性和保密性:由于网络协议及文件格式均具有标准、开发、公开的 特征,因此数据在网上存储和传输过程中,不仅仅面临信息丧失、信息重复或信 息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异 性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存 的一致性;并在信息遭受篡改攻击的情况下,应提供有效的发觉与发现机制,实 现通信的完整性。而数据在传输过程中
22、,为能够抵御不良企图者采取的各种攻击, 防止遭到窃取,应采用加密措施保证数据的机密性,因此现网需要部署VPN等安全设备。154安全管理中心需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除 了技术措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,安全 管理中心是实现安全管理的有力抓手。根据XXX自评估结果,现网如要到达等级保护二级关于安全管理中心的要 求,系统管理需要具备系统管理员对系统的资源和运行进行配置、控制和管理, 包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和 设备的备份与恢复等“系统管理”和“审计管理”的能力,客户现网需要部署
23、运 维审计设备实现“三权”能力的补齐。2二级等保+解决方案方案设计依据本工程方案编制依据和参考以下政策法规和标准规范2.1.1 政策法规中华人民共和国计算机信息系统安全保护条例(1994国务院147号令)中华人民共和国网络安全法计算机信息系统安全保护等级划分准那么(GB17859-1999)国家信息化领导小组关于加强信息安全保障工作的意见(中办发2003 27 号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理方法公通字200743号关于开展全国重要信息系统安全等级保护定级工作的通知(公信安20071861 号)关键信息基础设施安全保护条例(征求意见稿)(国家互联网信息办公