文档介绍：信息系统安全设计方案模板
××项目安全设计方案
XX公司
××项目
安全设计方案
（模板）
-1-
二级系统安全需求网络拓扑结构示例
XX公司××项目安全设计方案
-2-
三级系统安全需求网络拓扑结构示例
负载均衡设计（可选）
此处描述系统具体采用的负载均衡产品型号及数量，部署位置，部署目的，主要的配置策略
网络存储设计（可选）
此处以系统网络存储设计要求，包括：SAN和NAS的选择，磁盘阵列的位置要求
冗余设计（可选）
此处以系统冗余设计要求，包括：单点故障的防范、主备设计、负载均衡
XX公司××项目安全设计方案
-4-
灾难备份设计（可选）
此处以系统灾难备份设计要求，包括：同城和异地的灾难备份系统建设的要求，网络结构的设计、备份系统设计同步
系统安全设计
网络安全设计
访问控制设计
此处描述系统采用的防火墙的配置策略，根据系统等保级别的不同采用以下不同的设计，商密增强要求作为补充要求：
等保二级要求
此处描述系统根据等保二级要求所采用的技术设计，包括防火墙的部署、以网段为粒度的访问控制策略、以用户为粒度的网络资源访问控制策略、拨号访问的限制策略。
等保三级要求
此处描述系统除了等保二级要求的技术外，根据等保三级要求还需采用的技术设计，包括对应用层协议的过滤控制策略、对超时会话的终止控制策略、对网络最大流量数及连接数的控制策略。
商密增强要求（补充）
此处描述系统除了符合等保要求外，需要符合的商密增强要求的设计，包括同一网络区域的统一出口设计、对未授权外联行为的监控设计、对不同等保级别系统的安全区域的划分、安全区域间访问控制策略设计等。
入侵防范设计
此处描述系统针对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP
XX公司××项目安全设计方案
-4-
碎片攻击和网络蠕虫攻击等的防范措施，根据系统等保级别的不同采用以下不同的设计，商密增强要求作为补充要求：
等保二级要求
此处描述系统根据等保二级要求所采用的技术设计，包括对攻击行为的监视。
等保三级要求
此处描述系统除了等保二级要求的技术外，根据等保三级要求还需采用的技术设计，包括对攻击行为的记录和报警、对恶意代码的检测和清除、对恶意代码库的更新和系统更新。
商密增强要求（补充）
此处描述系统除了符合等保要求外，需要符合的商密增强要求的设计，包括对攻击行为的记录和报警、对恶意代码的检测和清除、对恶意代码库的更新和系统更新。。
结构安全设计
此处描述系统针对网络结构的防护技术，包括：使用交换网络、网络结构划分、地址绑定、VPN，根据系统等保级别的不同采用以下不同的设计，商密增强要求作为补充要求：
等保二级要求
此处描述系统根据等保二级要求所采用的技术设计，包括根据信息重要性的不同划分不同的子网或网段。
等保三级要求
此处描述系统除了等保二级要求的技术外，根据等保三级要求还需采用的技术设计，包括地址的绑定，VPN的配置等。
商密增强要求（补充）
XX公司××项目安全设计方案
-6-
此处描述系统除了符合等保要求外，需要符合的商密增强要求的设计，包括对网络区域内所有设备的自动识别与定位、地址的绑定。
主机安全设计
操作系统
安全基线配置
此处描述系统依据安全需求分析及公司基线要求所采用身份鉴别、访问控制、安全审计、入侵防范及恶意代码防范、资源控制、剩余信息保护策略，根据系统等保级别的不同采用以下不同的设计，商密增强要求作为补充要求：
等保二级要求
此处描述系统根据等保二级要求所采用的技术设计，包括
身份鉴别方面：对操作系统用户身份的标识和唯一性、静态口令的组成要求策略、登录失败处理、管理用户鉴别信息传输安全性；
访问控制方面：安全控制策略制定、权限分离原则、多余和过期账号的处理、默认账号限制；
安全审计方面：审计覆盖范围、审计内容、审计记录的保护及保存时间设定；具体采用的操作审计产品型号及数量，部署位置，部署目的，主要的配置策略。具体采用的监控审计产品型号及数量，部署位置，部