等保測評整改技術方案（技術方案）投標方案投標人名稱：****有限責任公司地址：****號二樓聯系人：****報告說明聲明：本文內容信息來源于公開渠道，對文中內容的準確性、完整性、及時性或可靠性不作任何保證。本文內容僅供參考與學習交流使用，不構成相關領域的建議和依據。目錄一、方案概述 31項目建設背景 31.1法律依據 31.2政策依據 32項目建設目標及內容 42.1建設目標 52.2建設內容 53方案設計依據及網絡安全等級保護要求 5二、安全整改網絡拓撲圖 61現狀及整改建議 1.1安全物理環境 1.2安全通信網絡 1.3安全區域邊界 1.4安全計算環境 1.5安全管理中心 282設備整改采購清單 三、安全加固參考 1項目建設背景1.1法律依據1.2政策依據(2005〕1431號)通知》(發改高技〔2008)2544號〕(公信安(2010)303號)2項目建設目標及內容方案根據GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》并參照GB/T25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》的通用設計技術要求。《信息技術安全技術信息安全控制實用規則》(IS0/IEC27002:《信息安全技術信息安全風險評估規范》(GB/T20984-2007)《信息安全技術信息系統安全等級保護定級指南》(GB/T22240一《信息安全技術信息系統安全等級保護實施指南》(GB/T25058-2010)《信息安全技術網絡安全等級保護測評過程指南(GB/T28449-2018)張家口高新盛華熱力有限公司收費生產系統網絡安全改造安全堆一體機版拓撲圖***單位網絡安全整改設備系統預算(收費三級、控制二級)產品1收費專線防火墻H3CF1000-式設備，8個千兆電口+2對Combo口性能：七層吞吐量800Mbps,三層吞吐量3.5Gbps;并發連接數80萬，每秒級授權，15個SSLVPN用戶授權，鏈1臺2機H3CA2000-硬件：1U高機架式硬件架構，8GB內網千兆電口，支持1個接口擴展槽1臺性能：最大圖形并發連接數50個，最配套授權：默認可管理資產50個，5*10*NBD備件服務。3日志審計H3CCSAP-SA-日志處理速率2000EPS,日志容量6億條。5*10*NBD備件服務1臺4數據庫審計H3CD2000-電源，8G內存，2T硬盤，支持2個管理接口，業務接口不少于4個以太網展槽位，具備至少8個及以太網千兆性能：SQL峰值處理能力不低于1.5萬條，最大吞吐量不低于1000Mbps,雙向審計數據庫流量不低于100Mbps。配套授權：默認支持審計1個數據庫實例，每業務掛載數據庫數量不限5*10*NBD備件服務。1臺5漏洞掃描H3CSysScan-務電口，支持1個接口擴展槽位，性能：系統、數據庫、基線掃描IP總并發120個，系統、數據庫、基線掃描任務總并發6個，Web掃描并發1個，口令猜解并發任務數1個配套授權：3年漏洞庫(含操作系統、5*10*NBD備件服務1臺防水和防潮b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材采用材料均為不符合等級的建筑材料進行裝修，禁止放置雜物(紙箱子等易燃物)是否經訪談，機房未部署漏水檢測行。不符合建議機房部署漏水檢測上靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。經檢查，機房未環或靜電消除不符合建議機房配備靜電消除器、防靜電手環等靜電度的變化在設備運行所允許的范圍之內。經檢查，機房部濕度進行自動不符合建議機房配備精密空調控制在18℃~27℃,濕度應控制在35%～65%。是否a)電源線和通信線纜應隔離鋪設，避免互相干經檢查，電源線不符合建議機房電源線和通信是否不符合建議為機房關鍵設備和網絡架構e)應提供通網絡設備和關鍵計算設備的硬件冗余，保證系統的可用取冗余部署，安全設備未采用硬件冗余部署，網絡設備和服務器采用建議通信線路采取冗余部署，重要網絡設備和關鍵計算設備采□是口否1)經檢查，內部網絡通訊未部署數據校驗或密建議采用IPV6通訊加□是口否傳輸信過程中數據碼技術設備，未采用IPV6通訊加密協議進行數據傳輸，無法保證數據傳輸過程中的保密性。2)數據在系統外部通訊時采用了HTTPS等加密技術，可以保證系統外部用戶與系統交互輸，或部署加密產品實現內部通信加密傳可信驗證備的系統引導用程序等進行在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行證結果形成審計記錄送至安全管理中心。經檢查，網絡內未部署于可信根實現系統、應用等程序的可信驗證。合證設備，基于可信根實現系統、應用等程□是□否控制點范c)應采取技術進行分析，實現對網絡攻擊特別APT攻擊/網絡分析系統/網絡回溯系統/威脅情報檢測系統，不能實現對網絡攻擊特別是新型網絡攻擊行為的不符合系統，實現對網絡攻擊特別是新型網是否范d)當檢測到攻合建議核心業務區和侵防御系統或者防鑒別a)應對登錄的標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；1)經檢查，用戶在登錄網絡設備時采取用戶名+口令的方式；2)口令長機制，設備用戶列表內身份標識唯一，無相同用建議配置口令符合密碼策略：8位以上由大小寫字母、數字和符號組成，并至少每三個月進行更換一是否鑒別失敗處理功能，應配置并啟用結法登錄次數和當登錄連接超時自動退出等相關措施；configuration,顯示不具合建議網絡設備配置登錄失敗處理功能和超是否鑒別d)應采用口令、密碼技術、生物技術等兩種的鑒別技術對用戶進行身份鑒別，且其中一種實現。經檢查，設備未采用兩種合建議系統中用戶中同時采用用戶名+密碼+動態口令或其他兩種術進行身份鑒別，防是否訪問刪除默認賬戶，修改默認賬戶的默認口令；備已修改默認帳戶的默認建議重命名系統默認帳戶，修改帳戶默認是否訪問用戶所需的最小用戶的權限分離；管理員admin,但未建立安全管理員和審計員用合建議建立三權分離用是否c)應對審計記錄進行保護，定到未預期的刪合建議部署日志審計系統，對日志信息進行是否除、修改或覆蓋防范c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管行限制；經檢查，未配置訪問控制合建議網絡設備、安全設備配置訪問控制策略，限制終端接入方式和地址范圍，防止未授權人員訪問設是否e)應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；合建議部署漏洞掃描設備，至少每月進行一次漏洞掃描，及時修補設備高危漏洞。是否a)可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，并在應用信驗證，在檢測到其可信性受到警，并將驗證結果形成審計記錄送至安全管理中合建議部署可信驗證設是否數據的本地數據備份與恢復功經訪談，網絡設備未定期合建議網絡設備、安全備份，備份至本地，防止出現數據出錯導致無法進行恢復數據的風險。是否c)應提供重要數據處理系統的熱冗余，保證系統的高可用性。合建議核心交換機采用熱冗余部署，保證系統的高可用性。是否鑒別應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；(高風險)1)經檢查，在運行中輸入rundl132用戶名和密碼”;已為不同人員設置了不同的用戶，用戶名具有唯一性；2)檢查密碼復雜雜性要求(已啟用);2.密碼長度(0天);4.密碼天);5.密碼強制的密碼復雜度策略且未定期更換；期(用戶1)建議執行“Win+R->運行->secpol.msc”打開本地安全策略，選擇“帳戶策略->密碼策略”,在“帳戶策略->密碼策略”設置密碼必須密碼長度最小值為8個字符，密碼最短使用期限為2天，密碼最長使用期限為90天，強制執行密碼歷史為5個記住的密碼，用可還原的加密來儲存密碼為已禁用；是否鑒別處理功能，可采取結束會話、限制非法登錄次數和自動退出等措(高風險)1)經檢查，系統登錄失敗處理參數：1.賬戶鎖定次無效登錄);3.合全策略，選擇“帳戶策略->賬戶鎖定策略”,在“帳戶策略->賬戶鎖定策略”設分鐘之后是否用);2)未設置屏幕保護功能并設b)賬戶鎖定時間：30分鐘c)賬戶鎖定閾值：5次無效建議設置屏幕保護功能并設置超時鎖定時間為10分鐘(勾選在恢復時顯示登錄屏鑒別當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；1)經檢查，【計協議為加密傳輸，可以防止鑒別信息在網絡傳輸過程中被竊聽，但未限制默認遠程端口號。建議運維人員經過測試后，對系統的默認遠程端口進行修改，防止系統的默認端口被不法分子利用從而入侵信是否訪問修改默認賬戶的默認口令；1)經檢查，未重命名administrator用合建議重命名系統默認用，重新建立系統管理員用戶，防止默認用戶被不法分是否訪問用戶所需的最小1)經檢查，系統管理用戶分配所需的最小權限，但未建立審計員和安全員用戶，無法實現管理用戶的權限分離。建議建立專門審計員用戶，對審計日志進行審計，為不同用戶建立不同的用戶名；建立安全員用戶，實現管理是否審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審1)經檢查[開始]->[控制面板]具]->[本地安全策略]->[本地策略]->[審核策略],服務器僅開啟審核登錄和審核賬戶登錄事件策略，未開啟全部的合略，對系統的操作事件進行審計，使審計范圍覆蓋到每是否c)應對審計記錄進行保護，定1)經檢查，審計建議建立審計員用戶，對審是否到未預期的刪除、修改或覆蓋保護，未建立專門的審計員賬戶進行管理，審計記錄會的日志信息。日志審計系統，對審計日志進行審計，防止審計日志受到未預期的刪除、修改或覆防范要的系統服務、默認共享和高危1)經檢查，未關閉系統默認共享；[控制面板]->[管務],未關閉打印服務、server等系統不必要的服務；3)經檢查，操作系統未關閉不必要的端口：135,139,445端口。合認共享；建議操作系統開啟防火墻策略，關閉不必要的高危端口：135,137-139,445等端口。是否防范e)應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；經檢查，系統未定期進行漏洞掃描，未對漏掃報告中的高風險問題進行及時的修復。合建議部署漏掃設備，定期(建議每個月)對操作系統進行漏洞掃描，及時對操作系統的狀態進行評估，防止系統漏洞被利用導致出現入是否防范f)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵經檢查，未安裝主機入侵檢測系統，件時提供報警功能。高危端口：135,137-139,445等端口進行限制；建議部署主機入侵檢測軟件并設是否a)可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到警，并將驗證結果形成審計記錄1)經檢查，未實合計算設備的引導程序、應用程序、重要參數等進行可信是否送至安全管理中據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信1)經檢查，未采用密碼技術保證鑒合建議windows系統采用密碼技術來保證鑒別數據、重要業務數據和重要個人信息在是否據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信用密碼技術進行管理，無法保證數據在存儲過程中的保密性。合建議windows系統采用密碼技術來保證鑒別數據、重要業務數據和重要個人信息在是否數據的本地數據備份與恢復功實現備份數據的恢復。據進行備份，并進行恢復測試，保證備份數據的有效性和可用性，防止備份數據出現問題后無法對重要數據進是否份至備份場地：1)經檢查，未提供異地數據備份功能，并進行實時備份。合建議部署異地機房或其他異地備份機制，利用通用網絡實時備份重要數據到指定地點，防止本地機房出現問題是否a)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全1)經檢查，查看管理工具-本地安項，不顯示上次的用戶名[未啟用],系統鑒別信息所在的存儲空間被釋放得到完全清除。合全策略，選擇“本地安全策略->安全設置->本地策略->安全選項”將[交互式登錄：已啟用。是否感數據的存儲空間被釋放或重新1)經檢查，查看[本地安全策略]->[本地策合是否分配前得到完全略]->[安全選項]->[關機：清除虛擬內存頁面文內重要信息資源所全選項”將[關機：清除虛擬內存頁面文件]設置為已啟身份鑒別d)當對服務器進時，應采取必鑒別信息在網絡傳輸過程中被竊聽；1)經檢查，查看器>右鍵屬性>服務器屬性>連接，已勾選“允許遠程連接到此服務器”,可以對數據庫進行遠程管理；2)經檢查，查Manager->SqlServer網絡配置->MSSQLSERVER的書”標簽頁未發現存在志”標簽頁中強行加密書，對網絡傳輸過程中建議開啟遠程登錄加密功打開開始菜單-Microsoft“是”。是否訪問控制a)應對登錄的用戶分配賬戶和權限1)經檢查，數據庫系統除sa賬戶外，其余用戶因業務需要具有sysadmin角色，但未建立安全管理員建議在數據庫系統中設置審是否訪問控制賬戶的默認口1)經檢查，系統存在默認sa賬戶擁有最高權限，未建議重命名sa賬戶，防止是否安全審計審計功能，審用戶，對重要的用戶行為和進行審計；1)經檢查，數據庫僅開啟“僅限失敗的登功能但審計范圍覆蓋到建議數據庫開啟全部的審核策略，對系統的成功和失敗的事件進行審計，保證審計范圍覆蓋到每個操作系統用是否安全審計c)應對審計記定期備份，避免受到未預期的刪除、修改或覆蓋等；未部署數據庫審計系統，無法保證審計日志合對數據庫日志進行收集并保是否防范e)應能發現可能存在的已知補漏洞；經檢查，數據庫系統未部署數據庫漏洞掃描設合建議對數據庫補丁進行及時的更新，防止數據庫的漏洞過多導致數據庫受到外來者的入侵；建議部署數據庫防火墻，對數據庫的虛擬補丁進行更新，在出現違規操作是否可信a)可基于可信的系統引導程序等進行可信證，在檢測到其可信性受到警，并將驗證結果形成審計1)經檢查，未部署可信合建議部署可信驗證產品對系統的引導程序、應用程序等數據完整性術保證重要數包括但不限于鑒別數據、重要業務數據、個人信息等；1)經檢查，windows系行遠程管理，可以保證鑒別數據在傳輸過程中未采用校驗碼技術或密未采取措施對數據完整中的數據完整性進行校驗。是否數據備份與恢復份，不具有數據恢復功能，但未進行數據的恢復測試，防止備份數據出現是否實時備份功能，利用通信網絡將重要數備份場地；1)經檢查，未提供異地數據備份功能，并進行合建議部署異地機房或其他異實時備份重要數據到指定地點，防止本地機房出現問題是否控制點的身份鑒別功能；2)已經對系統管理員的操作權限進行限制，僅允許其擁有業務所需的最小無法對系統中所有設備系統管理員的審計管理管理員對審計記并根據分析結果略對審計記錄進行存儲、管理和查詢等。1)經檢查，網絡、安全設備和服務器員賬戶；2)通過審理，包括根據安全審計策略對審計記和查詢等。建議主機、安全設備、網絡設備配置審計管理員用戶；建議部署日志審計系統，對日志進行收集并保晷安全管理a)應對安全管理員進行身份鑒經檢查，網絡、安建立安全管理員賬管理員的操作記不符合建議網絡、安全設備、服務器建立安全管理員賬戶；部署堡是否控c)應對網絡鏈路、安全設備、網行集中監測；系統，無法實現對系統中網絡鏈路、安全設備、服務器的運行狀態進行集中管理。不符合是否e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中1)未部署統一策略管理平臺；2)服務器安裝360網神網對防惡意代碼和補建議部署統一策略管理平臺，實現系統中網絡、安全設備和服務器等策略的統一管是否f)應能對網絡中的各類安全事件進行進行識別、事件的識別、報警和分析不符合APT攻擊系統，實現對全網安全事件的識是類別1網絡設備1行熱備或堆疊部署，提高業務高峰期的網絡可用率和容錯2安全設備回溯系統/威脅情報檢測系統1析系統/網絡回溯系統/威脅情報檢測系統，實現對網絡攻擊特別是新型網絡攻擊行為的分防病毒網關或防火墻開啟防病毒模塊1意代碼進行防范。1建議網絡內部署可信驗證設備，基于可信根實現系統、應用防火墻開啟IPS模塊N墻開啟IPS模塊，對安全事件的入侵行為進行防御和報警。日志審計系統1建議部署日志審計系統，對設備日志進行收集和存儲至少61數據庫日志進行收集和存儲至少6個月時間。11建議部署雙因素認證設備3安全設備IT運維管理系統1網絡設備、安全設備和服務器4安全運維1建議部署漏掃裝置，定期對內網應用和服務器進行漏洞掃描并修復漏洞。5安全防護件1實現敏感標記、剩余信息保護、6配置加固網絡/安全設備117管理體系安全管理制度1安全管理機構1111設備(路由器、交換機、安全設備等)通信線路和數據處理系統(服務<身份鑒別>進入“控制面板->管理工具->本地安全策略”,在“帳戶策略->密碼策略”。已禁用已啟用密碼最短使用期限密碼最長使用期限強制執行密碼歷史用可還原的加密來儲存密碼已禁用已禁用如下策略：復位賬戶鎖定計數器不適用30分鐘賬戶鎖定時間不適用30分鐘賬戶鎖定閾值05次無效登錄1)打開注冊表2)定位的注冊表HKEY_LOCAL_MACHINE\SYSTEM\Current3)修改右邊Po