文档介绍：:..公共资源交易中心等级保护等级保护改进工作及方案根据2011年12月23日在我中心召开的招标投标系统平台项目专家技术评审会意见,结合承建单位、监理单位针对三级安全等保结构安全、数据安全及备份恢复、访问控制、安全审计、入侵防范五个方面的指标对照自检后的实际情况,对平台系统提出以下改进意见:1、结构安全在对网络安全实现全方位保护之前,首先应关注整个网络的资源分布、架构是否合理。只有结构安全了,才能在其上实现各种技术功能,达到网络安全保护的目的。通常,一个机构是由多个业务部门组成,各部门的地位、重要性不同,部门所要处理的信息重要性也不同,因此,需要对整个网络进行子网划分。该控制点主要从网段划分、资源(带宽、处理能力)保证、优先处理等方面来要求。其在不同级别主要表现为:一级:要求网络资源方面能够为网络的正常运行提供基本的保障。二级:在一级要求的基础上,要求网络资源能够满足业务高峰的需要,同时应以网段形式分隔不同部门的系统。三级:除二级要求外,增加了“处理优先级”考虑,以保证重要主机能够正常运行。1・1、目前现状和改进需求:服务中心内部不同部门、不同重要性资源进行了VLAN和网段的划分。在关键的网络位置如网络出口、网络核心、服务器汇聚区,都采用了冗余部署设备的方式,网络稳定性和容错能力很高。但是要达到三级的要求,还需要增加“处理优先级J以保证重要主机能够正常运行。所以要在互联网和专网出口部署应用层的审计和流量控制设备,能够从应用层识别重要应用资源,为其预留带宽保障重要业务正常运行(审计和流量控制设备还可以满足以下第四点安全审计的要求)。同时,为了主动的提高服务器重要资源的优先级,保障业务的稳定性和高效性,需要增加服务器负载均衡设备,以切实满足结构安全第一要点“应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要”的要求。:利用审计和流量控制设备优化网络资源分配,防止宽带资源滥用,对网络流量进行全面管理,限制非业务流量,保证关键业务流量;利用服务器负载均衡设备将将用户访问均衡的分配给各台服务器,提升服务器响应速度,提高服务器资源利用率,增强承载大访问量、大数据流量的能力,满足业务高峰期的需要,满足三级安全等保结构安全以下要求:a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d) 应绘制与当前运行情况相符的网络拓扑结构图;e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。、技术要求:考虑把审计和流量控制设备以及服务器负载均衡设备以旁路模式部署在网络出口处,用旁路式架设方式,是为了在不改变核心网络的拓扑结构的情况下,满足部署要求。审计和流控产品在网络出口,核心交换机与防火墙之间进行透明部署,由于网络是冗余连接方式,两台设备之间还需要两条心跳线同步数据,所以将会使用到10个GE电口,兼顾将来网络扩展或光电改造,故障备份,所以审计和流控至少需要12个千兆电口,4个以上千兆光口,至少6G网络吞吐量,用户人数大于200人,并发连接数200K以上。服务器负载均衡产品性能方面应具有2个千兆光口以上,6个千兆电口以上,SSL吞吐量要达到6Gpbs以上,最大并发连接数200K以上,内存4Gb以上。功能方面要具有丰富可靠的负载均衡算法、DNS智能解析、数据压缩、单边加速、SSL加速、服务器健康检查等特性。、解决方案:通过专家评审,采用深信服和迪普两家公司其中之一的设备选型、部署架构的方案。2、数据安全及备份恢复数据备份和恢复,是保证企业信息安全的必由之路。国家信息系统安全保护基本要求里面对数据安全及备份恢复的要求越来越高,其在不同级别主要表现为:一级:要求能够对重要信息进行备份和恢复。二级:在一级要求的基础上,要求提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统可用性。三级:除二级要求外,要提供异地数据备份功能。、目前现状及改进需求:目前我们中心电子平台各个子系统实行的是双机热备份,已经满足了安全等保第一点应提供本地数据备份和恢复功能的要求。但双机热备份只能保证一台服务器出现异常时系统还可以正常运行,并不能保证两台服务器硬件同时出现异常的情况下,各系统及其数据的安全性、完整性和可