博物館信息安全設計方案 11.1項目背景 11.2項目目標 11.3建設的必要性和可行性 1第2章現狀分析 22.1辦公內網網絡現狀 22.2互聯外網網絡現狀 2第3章需求分析 3第4章信息安全總體方案設計 44.1設計原則 44.2設計依據 54.2.1政策文件 54.2.2基礎類標準 54.3總體系統結構設計 6第5章信息安全詳細建設方案 85.1辦公內網信息安全保護設計 95.1.1安全區域劃分與結構優化 95.1.2網絡邊界防護及訪問控制 5.1.3網絡安全審計系統 5.1.4入侵防御系統 5.1.5病毒惡意代碼防范 5.1.6運維堡壘主機系統 5.1.7數據庫審計系統 5.1.8漏洞掃描系統 5.1.9安全運營管理平臺 5.2互聯外網信息安全保護設計 235.2.1安全區域劃分與結構優化 5.2.2網絡邊界防護及訪問控制 5.2.3網絡安全審計系統 275.2.4入侵防御系統 5.2.5病毒惡意代碼防范 5.2.6運維堡壘主機系統 5.2.7上網行為管理系統 5.2.8漏洞掃描系統 5.2.9安全運營管理平臺 351.1項目背景1.2項目目標1.3建設的必要性和可行性2.1辦公內網網絡現狀2.2互聯外網網絡現狀第4章信息安全總體方案設計4.1設計原則u體系化的設計原則系統設計應充分考慮到各個層面的安全風險，構建分保證系統的安全性。同時，應確保方案中使用的信息安全產品和u產品的先進性原則信息系統的安全保障體系建設意義深遠，對所需的各類安全產的要求。必須認真考慮各安全產品的技術水平、合理性、先進性、信息系統安全保障體系的建設是一項長期的工程，并非一蹴而全問題。因此，在實際建設過程中要根據實際情況分輕重緩急，分u標準化和規范化嚴格遵循國家有關等級保護的安全法律法規和技術規范u技術的先進性和成熟性在設計理念、技術體系、產品選型等方面實現安全體系先一。采用國內先進實用的安全技術和安全產品，選擇目前和未來一定表性和先進性的成熟安全技術，既保證當前系統的高安全可靠，又滿u安全性原則安全管理體系建設是信息安全建設中重點建設信息系統安全保密政策、標準和規范，使信息系統在網絡、應用、u一致性原則在信息系統現狀的基礎上，通過體系化設計滿足項目建設全可靠性、靈活性、開放性等系統建設目標，保證系統從需求到設u經濟性原則在本項目方案設計過程中，充分利用現有資源，在可用性4.2設計依據4.2.1政策文件n《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發n《關于開展信息安全等級保護安全建設整改工作的指導意見》公信安4.2.2基礎類標準4.3總體系統結構設計圖4-1總體系統架構設計圖第5章信息安全詳細建設方案安全技術體系設計的主要目的是以等級保護的防護要求為依據，在充分利用現有網絡和安全設備的基礎上，采購必要的安全產品，實現業5.1辦公內網信息安全保護設計5.1.1安全區域劃分與結構優化不同業務系統之間缺少明確的邊界，不利于根據業務安全防護措施。通過進行安全域劃分，實現有效的訪問控制機制，對于來自不同結合系統面臨的風險、保護等級并綜合業務訪問為安全接入區、核心區、數據區、對外服務器區、對內服務區、無線區、票務區、觸摸屏區、觸摸屏展示區、微信展示n安全管理域：主要承載的是安全管理相關的系統或設備，包括漏洞掃n票務區、觸摸屏區、觸摸屏展示區、微信展示區、北京音樂區和展陳-10-圖5-1整體網絡系統結構圖-12-5.1.2網絡邊界防護及訪問控制按照分域分級保護思路，根據信息系統等級保護級別，結同安全防護需求劃分安全域，各安全域之間通過部署防火墻和網制列表，實現安全域之間的安全隔離和訪問控制。各安全域的訪過在各區域的邊界防火墻和交換機上設置訪問控制策略，只允許用戶訪問該安全域；通過在數據交換系統（網閘）上進行策略設關實現對兩網間的病毒防護；2臺網閘采用雙機熱備的方式部署，提高核心鏈路4.在對內和對外服務器區邊界各部署2臺防火墻，-13-圖5-2系統邊界防護示意圖5.1.3網絡安全審計系統結合辦公內網整體安全防護需求，對辦公內網網審計，防止濫用網絡資源和非授權訪問。通過網絡安全審計系統對網絡進行采集、分析和識別，實時監控網絡訪問情況，記錄網絡安全事件，通過部署網絡安全審計系統實現對網絡訪問行為的采集、分析在核心交換機上部署網絡安全審計系統引擎，通過在交換機上配的方式將流經交換機上的所有數據映射至網絡安全審計系統，網絡安對抓到的包進行分析、匹配、統計，從而實現網絡安全審計，同時在-14-圖5-3網絡安全審計系統部署示意圖當存儲空間少于20%時，及時增加存儲空間，防止由于存儲空間溢出造成審計記責設備的日常維護，安全管理員主要負責數據分析和報告編制，審計負責對系統操作行為的審計和分析，確保任何人均無法單獨中斷審計l審計管理員每周輸出所有審計設備的審計報表，同時對審計報表進行分-15-5.1.4入侵防御系統通過在辦公內網部署入侵檢測系統及時發現各種網絡攻擊、破等入侵行為，并在第一時間采取相應的防護手段，如記錄證據用于跟在辦公內網核心交換機部署入侵檢測系統，通過在核心交換機上l網絡行為檢測：使用細粒度檢測技術、協議分析技術、誤用檢測技術、協議l蠕蟲檢測：實時跟蹤當前最新的蠕蟲事件，針對當前已經發現的蠕蟲及時的提供相關的事件規則。存在漏洞但是還未發現相關蠕蟲事件的，通漏洞提供相關的入侵事件規則，最大限度地解決l異常報警：入侵檢測系統在發現入侵行為時可以通過多種方式進行報警，如l日志記錄：對發現的入侵行為進行記錄，并妥善保管記錄信息。l入侵檢測庫升級：入侵檢測系統內置的檢測庫是決定系統檢測能力的關鍵因素，因此每月對入侵檢測系統庫進行一次升級。由于辦公內網內網安全隔離，入侵檢測系統無法通過互聯網上的廠商升級網站進行在-16-圖5-4總中心入侵檢測部署示意圖5.1.5病毒惡意代碼防范在辦公內網系統的網絡邊界處部署防病毒網關，有效的將病毒或外，也能防止已被感染的病毒蔓延。防毒網關工作于OSI七層協議的第七層，專注于惡意代碼防范、阻斷惡意代碼傳輸、運用分辦公內網整體網絡結構復雜，涉及眾多業務服務器本方案設計在辦公內網與互聯外網網絡邊界安全接入區，部關，與部署在主機、服務器上的防病毒軟件相聯動，形成-17-圖5-5惡意代碼范湖部署示意圖l利用防毒墻專用的防毒硬件系統和強大的防病毒引擎，對進出網絡的數據進l對HTTP、FTP、SMTP、POP3、IMAP、NETBIOS等的協議進行惡意代碼檢測。l基于查殺記錄制作詳盡的病毒檢測報表。l每日通過互聯網進行病毒庫下載，下載完成后對病毒庫進行升級測試，通過刻錄光盤的方式將病毒庫導入內網，為防毒墻進行病毒庫升級-18-5.1.6運維堡壘主機系統配置的方式會對應用系統造成一定的安全風險，通過部署運維堡壘計，在應用系統中限定安全管理員身份角色，安全管理員對各系統格管理，在部署的業務系統中創建不同的用l對登錄堡壘主機的所有賬戶設置復雜口令，最小長度設置8位，口令中同時l在堡壘主機中啟用HTTPS的方式進行數據傳輸、并使身份鑒別信息以加密的-19-圖5-6運維審計部署示意圖5.1.7數據庫審計系統在辦公內網總中心數據域交換機上部署數據庫安全審計系統，對有審計的內容發送至部署在安全管理安全域的數據庫審計管理服務器當存儲空間小于20%時，立即增加存儲空間，防止由于存儲空間溢出造成審計記-20-圖5-7數據庫安全審計系統部署示意圖5.1.8漏洞掃描系統為了更好地保護主機的安全，減少主機被入侵的風險，分析系統的安全漏洞，并采取防護措施。安全運維人員每月對漏洞-21-圖5-8漏洞掃描系統部署示意圖5.1.9安全運營管理平臺在安全管理中心部署安全運營管理平臺，提供對安全設備、服務備等各種硬件性能的監控功能，及對服務器操作系統、應用中間件、絡設備等進行配置基線分析，提供安全預警功能，提供資產管理、知本方案中在辦公內網部署安全運營平臺，其定位為業務系統信息匯集樞紐、安全風險統一集中分析和管理平臺、安全事件處置響信息安全運營平臺能夠實現由零散安全產品到信息保障體系的轉變。它除了包含技術以外，還有兩個重要的組成部分：人（維護人員、應急小組這三個核心原則。因此它不僅是技術手段上的快速提升，實現對重要安全預警。安全管理平臺將全面提升系統的-22-建設安全管理平臺，可以實現對以往基于“點”的安全建設進行全面整合和綜合管理，解決安全建設的零散性，進行跨產品、跨平臺的安全信息和處理，對多種數據進行相互溝通和關聯，從海量安全事件中提取真據，并提供智能化分析手段發現更深層次的安全問題，解決已往安全建設安全管理平臺，改變以往以安全事件和單個資產為視角的傳統模式，結合平臺的業務屬性，使得用戶的系統管理人員能夠直觀清晰全面否面臨著風險、所產生風險的嚴重程度如何，該如何進行風險相建設安全管理平臺，可以為用戶建立起一套完善的安全體系。利用安全管理平臺，可以進行安全意識宣講、相關法律制度普及、安全技術培訓、建設安全管理平臺，可以全面提高對于風險響應的能力。包括發現問題后必須能快速找到解決方法并最快速度進行響應，響應的過程中要求人、響應辦法并反饋響應結果，對響應的整個過程必須有記錄和有經驗的響應隊伍，這個隊伍包括內部人員和外部專家支持；支-23-圖5-9安全運營管理平臺部署示意圖5.2互聯外網信息安全保護設計5.2.1安全區域劃分與結構優化結合系統面臨的風險、保護等級并綜合業務訪問n安全管理域：主要承載的是安全管理相關的系統或設備，包括漏洞掃-24-圖5-1整體網絡系統結構圖-25--26-5.2.2網絡邊界防護及訪問控制邊界防火墻和交換機上設置訪問控制策略，只允許特定授權的終端用戶訪問該安全2.在匯聚區1和匯聚區2邊界各部署2臺防火墻，2臺防火墻采用雙機熱備的-27-圖5-2系統邊界防護示意圖5.2.3網絡安全審計系統-28-圖5-3網絡安全審計系統部署示意圖l對訪問應用系統安全域的訪問行為進行審計。審計內容主要包括數據傳輸l使用網絡安全審計系統記錄事件發生的時間、地點、類型、主體和結l通過三權分立機制對網絡安全審計系統進行嚴格控制，系統管理員主要-29-5.2.4入侵防御系統在第一時間采取相應的防護手段，如記錄證據用于跟蹤l網絡行為檢測：使用細粒度檢測技術、協議分析檢測等技術，對基于TCP/IP的各種網l蠕蟲檢測：實時跟蹤當前最新的蠕蟲事件，針對l監控管理：通過入侵檢測系統提供的控制臺，監將這些數據進行分析，生成便于理解的報表，供l異常報警：入侵檢測系統在發現入侵行為時可以l日志記錄：對發現的入侵行為進行記錄，并妥善保管記錄信息。l入侵檢測庫升級：入侵檢測系統內置的檢測庫是決定系因此每月對入侵檢測系統庫進行一次升級。由于辦公內網內網與互聯網完全安全隔-30-圖5-4總中心入侵檢測部署示意圖5.2.5病毒惡意代碼防范已被感染的病毒蔓延。防病毒網關工作于OSI七層協議的第七層，專注于惡意代碼防-31-圖5-5惡意代碼范湖部署示意圖l利用防毒墻專用的防毒硬件系統和強大的防病毒l對HTTP、FTP、SMTP、POP3、IMAP、NETBIOS等的協議進行惡意代碼檢測。l基于查殺記錄制作詳盡的病毒檢測報表。l每日通過互聯網進行病毒庫下載，下載完成后對-32-5.2.6運維堡壘主機系統統，通過堡壘主機強制限定