文档介绍：集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
单位信息安全等级保护建设方案V
xxxxxx
信息安全等级保护（三级）建设项目
设计方案
二〇一八年二月
文档控制
者没有定期演练的，会被依照此条进行责令改正。
安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。
政策要求
为切实加强门户网站安全管理和防护，保障网站安全稳定运行，国家非常重视，陆续颁布以下文件：《关于加强党政机关网站安全管理的通知》（中网办发文〔2014〕1号）、《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》（中央编办发〔2014〕69号），公安部、中央网信办、中编办、工信部等四部门《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》（公信安〔2015〕2562号）
项目建设目标及内容
项目建设目标
依据国家信息安全等级保护相关指导规范，对xxxxxx信息系统、基础设施和骨干网络按照等保三级进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
依据信息安全等级保护三级标准，按照“统一规划、统一标准、重点明确、合理建设”的基本原则，在物理安全、网络安全、主机安全、应用安全、数据安全等几个方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。
方案目标是让xxxxxx的骨干网络、相关应用系统达到安全等级保护第三级要求。经过建设后使整体网络形成一套完善的安全防护体系，提升整体信息安全防护能力。
建设内容
本项目以xxxxxx骨干网络、信息系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高xxxxxx的工作效率，提升信息化运用水平。
建设内容包括xxxxxx内网骨干网络、基础设施和信息系统等。
现状与差距分析
现状概述
信息系统现状
本次项目中xxxxxx外网项目中涉及的设备有：
服务器≥4台
网络设备若干 路由器、交换机、ap
安全设备有：1台防火墙（过保）、WAF（过保）、2台ips（dmz区前IPS已过保）、上网行为管理（过保）、防病毒网关、绿盟安全审计系统、360天擎终端杀毒（只具有杀毒模块）
存储设备：火星舱容灾备份
网络系统现状
xxxxxx的网络系统整体构架采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成。
网络现状：
核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。xxxxxx内网核心，由1台DPX安全业务网关组成。
汇聚层：汇聚层是网络接入层和核心层的“中介”，是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。xxxxxx内网中，由迪普和H3C交换机作为内网的有线汇聚和内网的无线汇聚交换机。
接入层：接入层向本地网段提供工作站接入。xxxxxx内网网络中，由各种品牌的交换机作为终端前端接入交换机，为各区域提供接入。
在DPX核心交换机上划分VLAN和网关，整体网络中部署了防病毒网关、IPS、UAG、DDI、数据容灾备份系统。OA系统连接至无线汇聚交换机。其他各系统旁路至核心交换机上。
安全现状：
在整体网络中部署有相应的安全设备做安全防护，但部分安全设备过保，整体网络安全防护体系不够完善、区域划分不合理，现状拓扑图如下：
图表 1 现状拓扑图
主机系统现状
xxxxxx的业务系统OA、文件交换箱等，部署于多台服务器上。服务器为机架式服务器和塔式服务器，固定于标准机柜与固定位置，并进行标识区分。服务器操作系统全都采用微软的Windows Server系列操作系统。
xxxxxx办公终端约为300台，win7为主，XP系统占少数，主机系统没有进行过定期更新补丁，安装有360天擎杀毒软件
应用系统现状
xxxxxx的应用系统主要为以下业务系统：OA、文件交换箱等。也包含一些其他的办公软件。
现状与差距分析
物理安全现状与差距分析
xxxxxx机房建设过程中参照B级机房标准参考进行统一规划，存在的物理安全隐患较少。但仍需参照以下标准进行核查、整改；根据信息安全等级保护（第三级）中对物理安全相关项（防火、防雷、防水、防磁及电力供应等）存在些许差距。详见下表差距分析。
图表 2物理安全现状
序号
要求指标项
是否
符合
现状