文档介绍：该【标准等保网络安全建设方案(精华版2023) 】是由【1781111****】上传分享，文档一共【24】页，该文档可以免费在线阅读，需要了解更多关于【标准等保网络安全建设方案(精华版2023) 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..网络安全建设方案(精简版)2023年3月1:..一、概述..................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................4二、安全现状及风险分析.......................................................................................................................6三、安全保障目标.....................................................................................................................................6四、网络安全建设方案..................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................15五、网络安全建设规划图....................................................................................................................23六、安全建设清单..................................................................................................................................232:..,大数据、云计算、人工智能等现代科技手段的运用为提升管理效能、推动xx管理智慧改革与智能化提供了有力的技术支撑。随着智能化改革的进一步推进,xx的智慧化建设将不断完善,信息化工作水平不断提高。智慧xx相关信息系统在服务人民群众、服务xx管理、维护社会稳定等方面起着不可估量的作用,有力的促进各项智慧xx业务的开展。xx专网与其他网络(互联网、外部专网、移动专网)物理隔离;xxx专网承载xx管理、业务执行、xx监察、音视频智慧xx业务应用,相关智慧xx业务应依据国家网络安全等级保护要求进行建设、使用和管理。根据网络安全等级保护等,xx专网按照等级保护二级进行保护,承载等级保护二级(含)以下的业务应用。《网络安全法》《数据安全法》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T39786-2021《信息安全技术信息系统密码应用基本要求》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息系统安全等级保护测评要求》GB/T18336《信息技术-安全技术-信息技术安全性评估准则》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》GB/T35273-2017《信息安全技术信息安全规范》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》3:..法律政策文件要求《网络安全法》在2017年颁发的《网络安全法》中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估4:..每年没有进行安全检测评估的单位要被责令改正。关键信息基础设施的运营者网络安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。5:..安全现状及风险分析安全现状xxx整体网络架构采用三层层次化模型网络架构,即由核心层、汇聚层和接入层组成。全网办公用计算机上百台(存在较多高级及以上风险漏洞),全网办公终端部署有防病毒软件。有视频业务系统(使用存储量4T,每年增长约500G)、智慧xx相关业务系统。风险分析网络安全建设的基本要求:系统网络能对恶意代码、病毒、木马等攻击具有一定程度的防御能力,且能对外来流量进行访问控制,保护重要主机及办公设备不受侵害,保护敏感数据不被盗取、破坏、删除。同时基于2017年活跃至今的***病毒和越来越多的安全攻击事件,政企事业单位关键业务信息系统面临的信息安全威胁急剧增加。当下xx专网仅依靠防病毒软件、管理人员和安全管理制度来实现整体的安全防护;就目前而言针对xx专网还未形成实际有效的技术安全防护体系;整体安全防护能力较为薄弱,在边界访问控制、网络防病毒、入侵防御、入侵检测、安全漏洞监测、日志审计留存、容灾备份等方面还存在欠缺。三、安全保障目标按照xx业务的基本现状,对本次安全建设的保障目标梳理如下:(1)xx专网各重要网络边界(专网接入区、服务器区边界等)(2)xx专网所有主机(办公PC和服务器主机)终端安全防护(3)xx专网核心业务业务系统(智慧xx业务应用)四、,以最大化满足合法合规为基础安全体系框架,通过解决真实存在的安全风险,辅以安全技术、安全管理、安全能力的提升;最终形成一套动6:..事后进行全生命周期管控,通过事前监测、预警、风险评估、漏洞修复;事中防御处置;事后应急响应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告等手段;构建一套动态可持续运转的纵深防护体系,以此达到对抗动态安全风险的目的。(专网边界接入区、核心交换区、专网服务器区、专网安全管理区、专网终端接入区),通过对各安全区域补充各类必要的安全防护措施;采用主动防御、纵深防御理念,依托统一安全管理平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范式化和过滤归并处理,来实现对网络中各类安全事件的识别、关联分析和预警通报;结合第三方安全服务提供全方位的主动防护体系,保护组织核心业务不被网络攻击中断,保障组织核心业务数据不被窃取。在对已知威胁有较强的防御能力外,对于未知威胁也具有一定的防御能力。,针对xxx本次项目建设内容如下:序号目标具体建设指标1、“合法”、“合规”:、《网络安全法》、《关键信息基础设施保护条例》等政策法规为标准,从安全技术、安全管理2满足“合法”、个方面进行查漏补缺;“合规”要求的2、刚需:补充有效的安全验证机制验证当前安全防护是否有效,同时,解决当前并对发现安全风险进行控制和修复;环境下的网络安3、建设统一安全管理中心(二期),将全网孤立、碎片化的信息,1全“刚需”,构汇聚、关联为可视化的信息安全事件;为全网安全威胁,预警、防建统一安全管理御应急处置提供技术支撑。依托于统一安全管理平台,引入第三方中心,构建常态周期性的安全运行维护服务,利用专业技术人员为纽带将整体防御化的安全运行维体系动态运转。护机制4、建立常态化的安全运行维护服务机制,依托于安全运维人员、工作流程设置、统一安全管理平台和各类安全组件的技术支撑,构建一套基于事前监测、预警、风险评估、漏洞修复;事中防御处7:..事件报告的工作机制。实现对信息安全事件的持续闭环流程处置。常态化开展安全服务,对防御体系和安全风险持续改进,以专业技术人员(管理人员+第三方技术人员)为核心纽带将整体防御体系动态运转。本次针对xxx涉及的安全服务建议如下:周期性安全巡检与分析服务?风险评估渗透测试服务?***与基线加固服务?网络安全应急响应服务?:一、是参照等级保护制度、网络安全法及行业主管部门的相关发文,对现有安全技术体系、安全管理体系进行差距分析,依据差距分析的结果进行安全建设和整改。二、是引入第三方有效的安全验证机制,验证当前安全防护是否有效,并对发现的安全风险进行控制和修复;三、是构建常态化的安全运行维护机制,实现对信息安全事件的动态持续闭环流程处置。,从合法合规层面来讲所有的网络安全建设都必须参照网络安全等级保护制度的要求。参照《信息安全技术网络安全等级保护基本要求》第二级的标准对xxx网络空间环境进行整体差距分析;针对差距分析的结果,从物理安全、安全区域边界、安全通信网络、安全计算环境、安全管理中心及管理安全等方面着手,完善管理制度、优化安全策略、调整网络结构、增加必要的软硬件设备或系统。其中,部分差距分析中发现的安全风险问题,可以通过修改设备配置、优化部署方式、完善策略部署、修复漏洞、升级更新组件、加强管理措施得以解决,其他的整改内容则需要8:..参照《信息安全技术网络安全等级保护基本要求》第二级的要求,针对xxx专网安全建设差距分析及对应建议如下(物理安全本次不涉及):,-原则为各网络区域分配地址;整体网络规划;网络架应避免将重要网络区域部署在边界处,。控制;、vpn信网络-、IPS、WEB域边界-备提供的受控接口进行通信应用防火墙、)应在网络边界或区域之间根据访问控制策略设防火墙(防火墙做访域边界-置访问控制规则,默认情况下除允许通信外受控接问控制、防火墙策略访问控口拒绝所有通信;))应删除多余或无效的访问控制规则,优化访问定期运维、优化,部域边界-控制列表,并保证访问控制规则数量最小化;署防火墙;访问控访问控c)应对源地址、目的地址、源端口、目的端口和协制、4-7层的协议安制议等进行检查,以允许/拒绝数据包进出;全控制、及应用协议d)应能根据会话状态信息为进出数据流提供明确控制;采用防火墙、的允许/拒绝访问的能力,控制粒度为端口级;IPS、WAF、上网行为e)应对进出网络的数据流实现基于应用协议和应管理等设备。用内容的访问控制。)应在关键网络节点处检测、防止或限制从外部通过防火墙自带的域边界-发起的网络攻击行为;,通过防火墙自带防域边界-并维护恶意代码防护机制的升级和更新;病毒模块对恶意代9:..)应在网络边界、重要网络节点进行安全审计,审防火墙、堡垒机、上域边界-计覆盖到每个用户,对重要的用户行为和重要安全网行为管理、网络安安全审事件进行审计;全审计系统、日志审计b)审计记录应包括事件的日期和时间、用户、事件计系统等系统类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;)应对登录的用户进行身份标识和鉴别,身份标主机登录时通过系算环境-识具有唯一性,身份鉴别信息具有复杂度要求并定统设定强身份鉴别身份鉴期更换;措施,开启登录失败别b)应具有登录失败处理功能,应配置并启用结束限制措施;通过加密会话、限制非法登录次数和当登录连接超时自动退方式进行远程维护;出等相关措施;或通过堡垒机设置c)当进行远程管理时,应采取必要措施,防止鉴别主机身份鉴别和访信息在网络传输过程中被窃听;问限制;)应启用安全审计功能,审计覆盖到每个用户,对通过堡垒机+日志算环境-重要的用户行为和重要安全事件进行审计;审计设施实现安全审b)审计记录应包括事件的日期和时间、用户、事件计类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;)应启用安全审计功能,审计覆盖到每个用户,对主机访问控制策略算环境-重要的用户行为和重要安全事件进行审计;设定+堡垒机辅助+访问控b)审计记录应包括事件的日期和时间、用户、事件人工安全检测辅助制类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;)应遵循最小安装的原则,仅安装需要的组件和通过终端安全管理算环境-应用程序。系统对主机进行安入侵防b)应关闭不需要的系统服务、默认共享和高危端全防护,通过人工安范口;全检测结合漏洞扫c)应通过设定终端接入方式或网络地址范围对通描设备发现存在的过网络进行管理的管理终端进行限制;安全漏洞并及时进d)应提供数据有效性检验功能,保证通过人机接行修复;加强终端基口输入或通过通信接口输入的内容符合系统设定线安全控制。要求;10:..应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞;-件,并定期进行升级和更新防恶意代码库。-整性。计规范,)应提供重要数据的本地数据备份与恢复功能;应对重要业务系统算环境-b)应提供异地实时备份功能,利用通信网络将重采用容灾备份设施,数据备要数据实时备份至备份场地。)应保证鉴别信息所在的存储空间被释放或重新通过对应用进行配算环境-分配前得到完全清除;置,)应仅采集和保存业务必需的用户信息业务设计规范和信算环境-b)应禁止未授权访问和非法使用用户信息。)应对系统管理员进行身份鉴别,只允许其通过通过堡垒机进行系理中心-特定的命令或操作界面进行系统管理操作,并对这统管理员的身份鉴系统管些操作进行审计;别、权限控制和操作理b)应通过系统管理员对系统的资源和运行进行配审计置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。)应对审计管理员进行身份鉴别,只允许其通过通过安全设施自带理中心-特定的命令或操作界面进行安全审计操作,并对这的审计功能或堡垒审计管些操作进行审计;机进行审计管理理b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。11:..安全管理体系建设安全管理内容涉及:信息安全政策、信息安全组织、信息资产分类与管理、信息安全、物理和环境安全、通信和操作安全管理、存取控制、系统的开发和维护、持续运营管理等等,是一个庞大、复杂的系统工程。仅仅依靠技术手段来对业务应用系统进行安全保障,这样的思想是非常错误。必须要做到“领导重视,严格执行有关管理制度,建立信息安全防范意识,技术手段切实可行、有效”,做到“技管并重”才有可能做到真正意义的信息安全。从系统的管理和运维者的角度来看,技术层面和管理层面必须相互结合、配合良好,其中,尤其需要强调管理的重要性,应以“七分管理,三分技术”的配比来设计安全体系。技术层面通过部署相应的安全产品或技术手段实现,管理层面则需要完善的信息安全管理组织机构、严格的信息安全管理制度和人员安全意识和技能培训、考核等手段来实现。管理安全要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五部分内容。建议:本此项目参考《信息安全技术网络安全等级保护基本要求》的要求,结合单位已有管理制度和实际情况,建立和完善网络安全管理制度体系,建立满足自身信息安全要求、合理、有效的安全管理制度体系。规范示例文档如下:安全管理制度相关文档规范如下:文件级别分类文件内容一级文件安全策略安全策略总纲管理制度管理制度制定、发布、维护方面的管理制度安全组织及岗位职责管理制度授权审批类制度安全管理机构安全审核和检查制度……人员录用、离岗、考核等方面的管理制度二级文件人员安全教育和培训方面的管理制度安全管理人员外部人员管理制度……工程实施过程管理方面的管理制度安全建设管理产品选型、采购方面的管理制度测试、验收、交付方面的管理制度12:..分类文件内容软件开发管理制度代码编写安全规范外包软件开发管理制度……办公环境管理制度机房安全管理制度资产安全管理制度介质安全管理制度设备安全管理制度网络系统安全管理制度恶意代码防范管理制度安全运维管理密码管理制度配置管理制度变更管理制度备份与恢复管理制度安全事件管理制度应急预案管理制度(包括各类专项应急预案)……配置规范网络/安全设备、操作系统、数据库等的配置基线应用软件设计程序文件软件使用指南三级文件操作手册源代码说明文档操作运维手册(流程表单、实施方法)……制度制、修订记录各类审批记录培训记录会议记录安全检查表、安全检查报告等安全管理岗位人员信息表信息安全外联单位沟通lx表四级文件记录、表单类保密协议关键岗位安全协议人员录用、离职记录程序资源库的修改、更新、发布进行授权审批记录工程实施方案测试验收方案、记录等安全测试报告13:..分类文件内容交付清单服务供应商合同、协议等对服务供应商的安全考核记录外部人员访问登记审批表外部人员访问登记记录表外部人员保密协议采购申请审批单资产清单等级保护对象资产报废申请表设备出门条设备维护记录表信息安全事件报告表系统异常事件处理记录应急处置审批表***、风险评估报告恶意代码检测记录、病毒处置记录数据备份、恢复测试等记录日常运维表单、记录系统变更方案、审批记录应急演练、培训记录……,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题可以使系统的安全性有很大提高。现有安全风险控制旨在解决当前环境下真实存在的安全威胁问题。定期的安全验证有利于及时发现、评估、修复、确认和改进安全防护体系中的脆弱点。定期的安全风险控制能不断提升整体的安全防护能力。安全风险控制采用结果验证的方式;结果验证是通过多种渠道安全渗透机制和攻防对抗演****等,先于对手发现自己的漏洞和弱点。多种渠道安全渗透机制目前常见的就是第三方服14:..攻防对抗演****需要企业组织具有较高攻防技能的安全人员,也可外聘外部专业机构完成,用于检测安全技术和安全管理框架的有效性。注:结果验证指安全风险评估(***)、渗透测试、攻防演练等。,依托与统一安全管理中心和已部署的各类安全能力组件,利用周期性监测、人员配备、响应机制、服务制度、服务流程等,实现对信息安全事件的持续闭环流程管理。安全建设中可以通过常态化周期性开展安全监测、安全运维、安全服务等工作,对防御体系和整体安全风险持续改进,以专业技术人员和安全服务为核心纽带将整体防御体系动态运转。针对本项目建议采取的安全运行维护服务如下:,对项目范围内的所有在运行的安全系统及设备进行巡检,如:对设备的物理运行情况、清洁情况、系统运行情况、系统资源利用情况、系统运行日志、相应功能是否正常运行等进行检查并记录,排除可能存在的安全问题和隐患。定期对设备配置、日志进行备份。在安全设备故障处理过程中的所有协调配合及总结报告工作。通过定期对安全设备进行巡检和维护,持续关注专网网络、系统运行情况,一旦发生安全事件后,及时分析安全系统及设备的事件日志,进行事件的追踪定位。服务方式包括:提供每月一次现场安全巡检服务,非工作时间进行移动端值班;节假日和特殊情况还应提供7×24现场人员响应。日常主要包括但不限于以下服务内容:(一)资产梳理收集和梳理现有信息化资产信息,并建立归档。根据梳理排查情况及甲方提供的服务功能、设备等信息,编制设备资产表。设备资产表包括型号、数量、配置、功能、主机名称、IP地址、位置等信息。有调整和变动时立即更新。15:..服务期内每月一次以报告形式向甲方公布常规漏洞通报,内容包括国内外权威漏洞发布公开站点为主要数据源的安全漏洞信息(如CVE、NVD、Bugtraq、CERT等)。重大安全漏洞或事件时,实时向甲方通报事件预警,提供防护或规避建议。(三)安全监控根据持续关注客户网络、系统运行情况,一旦发生安全事件后,及时分析安全系统及设备的事件日志,进行事件的追踪定位。根据收集到的信息,整理分析后形成安全运维监测项识别每个监控对象探测到的事件(威胁)的来源、影响和重要性,综合分析所有监控对象探测到的事件及系统产生告警日志,形成分析报告并定期报告给用户;对于触发到应急预案的安全事件,则按照应急事件处理流程执行。(四)安全设备管理根据安全运维范围,每月一次,对项目范围内的所有在运行的安全系统及设备进行巡检,如:对设备的物理运行情况、清洁情况、系统运行情况、系统资源利用情况、系统运行日志、相应功能是否正常运行等进行检查并记录,排除可能存在的安全问题和隐患。定期对设备配置、日志进行备份。在安全设备故障处理过程中的所有协调配合及总结报告工作。(五)安全策略管理根据巡检维护工作需要,对安全设备自身的配置进行变更调整,如登录口令、登录方式、密码复杂度等设备运维策略;定期(如:每月)对安全设备业务访问策略进行梳理分析,发现过期、冗余、无效、不明确用途等策略,根据分析结果提供优化调整建议;配合客户业务系统部署与调整,从安全角度给出部署建议,制定和更新安全设备的防护、检测策略。(六)安全事件管理16:Thedocumentwascreat