- 实施方案设计
本方案将依照国家有关信息安全建设的一系列法规和政策,为电台建立体系完整、安全功能强健、系统性能优良的网络安全系统。以“统一规划、重点明确、合理建设、逐步强化”为基本指导原则。根据电台网络系统不同信息的重要性调整保护策略,不欠保护也不过度保护,采取“缺什么补什么”的方针进行规划。
为保证网络安全系统的规范性、安全性、可行性,在本规划方案内容编写过程中,以“GB/T 22239—2008:信息安全技术信息系统安全等级保护基本要求”(以下简称:基本要求)第三级安全控制评测技术要求为依据,针对目前电台网络安全现状进行差异分析,对其安全不足统一规划整改,明确整改重点,以期达到合理建设,逐步强化电台网络安全的建设目标。
基本要求对信息安全等级保护的要求分为技术要求和管理要求两个方面,由此可见网络的安全建设必须管理和技术合二为一,才能达到网络安全目的。针对技术要求可以由相应的安全产品来实现,而针对管理要求必须要对电台内部管理机构、制度、人员等进行整改。故针对本方案以针对技术要求整改为主,管理要求的整改建议由相关评测机构确认后再进行针对性的整改。
图表 4 三级基本要求分类
- 三级等保要求
| 要求类别 |
要求项目 |
三级等保要求(简述) |
| 物理 安全 |
物理位置的选择 |
机房和办公场所要求具有防震、防风和防雨等能力,机房周边不能有用水设备 |
| 物理访问控制 |
对机房进行区域管理,设置过渡区域、安装门禁,控制、鉴别和记录进入的人员 |
|
| 防盗窃和破坏 |
制定防盗窃防破坏相关管理制度,建设配置光、电等防盗报警系统。 |
|
| 防雷击 |
按照基本要求进行防雷设计并配置防雷装置 |
|
| 防火 |
配置消防设备、采用耐火材料、重要区域隔离等措施 |
|
| 防水防潮 |
采取措施防止雨水渗透、机房内水蒸气 |
|
| 防静电 |
设备接地、防静电地板等措施 |
|
| 温湿度控制 |
配备空调系统 |
|
| 电力供应 |
配备稳压器、UPS、冗余供电系统 |
|
| 电磁保护 |
接地、关键设备和磁介质实施电磁屏蔽 |
|
| 网络安全 |
结构安全 |
关键设备要具备冗余空间,绘制网络拓扑图,合理规划路由,重要网段与其他网段之间采取可靠的技术隔离手段 |
| 访问控制 |
防火墙配置包括:端口级的控制力度;常见应用层协议命令过滤;会话控制;流量控制;连接数控制;防地址欺骗等策略 |
|
| 安全审计 |
部署网络安全审计系统 部署日志服务器进行审计记录的保存 |
|
| 边界完整性检查 |
部署终端安全管理系统,在进行非法外联和安全准入检测的同时要进行有效阻断 |
|
| 入侵防范 |
部署入侵检测系统,配置入侵检测系统的日志模块 |
|
| 恶意代码防范 |
部署UTM或防病毒网关 |
|
| 网络设备保护 |
对主要网络设备实施双因素认证手段进行身份鉴别 |
|
| 主机安全 |
身份鉴别 |
要求采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 |
| 访问控制 |
管理员进行分级权限控制,重要设定访问控制策略进行访问控制 |
|
| 安全审计 |
部署审计系统审计范围扩大到重要客户端;同时能够生成审计报表 |
|
| 剩余信息保护 |
通过对操作系统及数据库进行安全加固配置,及时清除剩余信息的存储空间 |
|
| 入侵防范 |
要求对重要服务器入侵的行为进行审计记录,对重要程序进行代码审查,对重要服务器的漏洞补丁及时分发更新 |
|
| 恶意代码防范 |
部署终端防恶意代码软件 |
|
| 资源控制 |
部署应用安全管理系统进行资源监控、检测报警 |
|
| 应用安全 |
身份鉴别 |
进行双因素认证或采用CA系统进行身份鉴别 |
| 访问控制 |
通过安全加固措施制定严格用户权限策略,保证帐号、口令等符合安全策略 |
|
| 安全审计 |
应用系统开发应用审计功能部署数据库审计系统 |
|
| 剩余信息保护 |
通过对操作系统及数据库系统进行安全加固配置,及时清除剩余信息的存储空间 |
|
| 通信完整性 |
采用完整性校验功能对数据通信进行完整性检查,保障通信完整性 |
|
| 数据保密性 |
应用系统自身开发数据加密功能;采用VPN或PKI体系的加密功能保障通信保密性 |
|
| 抗抵赖 |
PKI系统 |
|
| 软件容错 |
要求软件系统具备自动保护功能设计,故障后可以恢复 |
|
| 资源控制 |
要求细化加固措施,对并发连接、资源配额、系统服务相关阀值、系统服务优先级等进行限制和管理 |
|
| 数据安全与备份恢复 |
数据完整性 |
配置存储系统传输采用VPN |
| 数据保密性 |
应用系统针对存储开发加密功能,利用VPN实现传输保密性 |
|
| 备份与恢复 |
本地备份与异地备份关键设备线路冗余设计 |
|
| 管理要求 |
安全管理制度 |
参见3.3.1 |
| 安全管理机构 |
参见3.3.2 |
|
| 人员安全管理 |
参见3.3.3 |
|
| 系统建设管理 |
参见3.3.4 |
|
| 系统运维管理 |
参见3.3.5 |
我们的技术方案以先解决电台最迫切的边界和内网的安全防护,再加固客户的终端安全,后期加深对内外网的安全、数据审计来规划。通过计算机及网络技术、现代通信技术、现代管理技术和决策分析技术为手段,建立一个技术领先、功能强、效率高、使用方便的安全的网络系统。
- 基本要求的详细技术要求
- 物理安全
- 物理位置的选择(G3)
- 物理安全
- 第三级安全控制测评要求
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;
- 安全现状
电台中心机房处于住院大楼的四楼,具有以上防范能力,符合等级保护要求。
- 物理访问控制(G3)
- 第三级安全控制测评要求
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员;
- 安全现状
电台中心机房及信息科办公室相邻,机房有专人值守,有配置门禁系统,符合等级保护要求。
- 安全措施建议
建议增加来访人员登记管理措施并由工作人员陪同。
- 防盗窃和防破坏(G3)
- 第三级安全控制测评要求
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统;
- 安全现状
电台已经建设中心机房,设备已经固定和标记,具备安全保护措施,主机房也有安装监控报警系统,基本符合等级保护要求。
- 防雷击(G3)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
