一套完整的網(wǎng)絡(luò)安全等級（等保2.0）建設(shè)方案

今天分享一套詳細(xì)等保2.0網(wǎng)絡(luò)安全等級建設(shè)方案，供參考。

1.1.1網(wǎng)絡(luò)安全（等保2.0建設(shè)）

2019年12月1日，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式實(shí)施，標(biāo)志著網(wǎng)絡(luò)安全等保建設(shè)進(jìn)入2.0時(shí)代，對網(wǎng)絡(luò)安全建設(shè)提出了更高的要求；

《河南省高校信息化發(fā)展水平評估指標(biāo)體系》明確對信息化和網(wǎng)絡(luò)安全建設(shè)提出了具體的指標(biāo)和要求；

教育廳、公安廳（局）等主管單位，經(jīng)常進(jìn)行信息化評估、安全掃描、通報(bào)處理等工作，需要高度重視。

教辦科技〔2022〕58號河南省教育廳辦公室關(guān)于在全省教育系統(tǒng)開展虛擬貨幣“挖礦”專項(xiàng)整治攻堅(jiān)行動(dòng)的通知。

1.1.1.1背景

長期以來，學(xué)校的建設(shè)與發(fā)展得到了國家的高度重視，隨著我國信息技術(shù)的快速發(fā)展，計(jì)算機(jī)及信息網(wǎng)絡(luò)對促進(jìn)國民經(jīng)濟(jì)和社會發(fā)展發(fā)揮著日益重要的作用。加強(qiáng)對信息系統(tǒng)安全保護(hù)工作的監(jiān)督管理，打擊各類計(jì)算機(jī)違法犯罪活動(dòng)，是我國信息化順利發(fā)展的重要保障。因此某工程職業(yè)學(xué)院應(yīng)依據(jù)國家等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)開展信息安全建設(shè)，從而保障信息系統(tǒng)正常穩(wěn)定。

1.1.1.2建設(shè)目標(biāo)

此次主要依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）（以下簡稱《基本要求》）和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）、《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》等相關(guān)政策標(biāo)準(zhǔn)，針對鄭某工程職業(yè)學(xué)院信息系統(tǒng)的安全等級保護(hù)提出設(shè)計(jì)方案。

設(shè)計(jì)方案從信息安全等級保護(hù)技術(shù)體系、安全等級保護(hù)管理體系兩個(gè)方面提出安全建設(shè)的整體框架，建立“一個(gè)基礎(chǔ)”（安全物理環(huán)境）、“一個(gè)中心”（安全管理中心）保障下的“三重防護(hù)體系”（安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境）的架構(gòu)，使得鄭某工程職業(yè)學(xué)院信息系統(tǒng)具備滿足需求的安全防護(hù)能力。

1.1.1.3設(shè)計(jì)原則

在建設(shè)過程中，要遵循統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一管理、適度保護(hù)、強(qiáng)化管理、注重技術(shù)的原則。

需求導(dǎo)向：方案設(shè)計(jì)應(yīng)充分考慮到鄭某工程職業(yè)學(xué)院信息系統(tǒng)的業(yè)務(wù)需求、管理需求、技術(shù)需求，以需求導(dǎo)向?yàn)樵瓌t，對方案進(jìn)行設(shè)計(jì)，確保方案符合實(shí)際需求。

注重實(shí)效：方案設(shè)計(jì)應(yīng)結(jié)合鄭某工程職業(yè)學(xué)院信息系統(tǒng)現(xiàn)有技術(shù)措施和管理措施，講求實(shí)際效果，既要具有前瞻性，又避免過度防護(hù)造成浪費(fèi)。

標(biāo)準(zhǔn)規(guī)范：方案設(shè)計(jì)既要滿足等級保護(hù)系統(tǒng)的相關(guān)要求，又要遵循相關(guān)標(biāo)準(zhǔn)和規(guī)范，保持系統(tǒng)的整體性、一致性和開放性。

技管并重：方案設(shè)計(jì)過程中應(yīng)充分考慮技術(shù)體系建設(shè)和管理體系建設(shè)，并通過技術(shù)體系與管理體系結(jié)合的方式，使某工程職業(yè)學(xué)院信息系統(tǒng)處于一個(gè)結(jié)構(gòu)化的安全保護(hù)環(huán)境中。

1.1.1.4設(shè)計(jì)依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》2017年6月1日起施行

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）

《信息系統(tǒng)安全等級保護(hù)定級指南GB/T22240-2008》

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）

《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》

1.1.1.5安全現(xiàn)狀及需求分析

1.1.1.5.1安全現(xiàn)狀

某工程職業(yè)學(xué)院信息系統(tǒng)主要業(yè)務(wù)有：圖書館管理系統(tǒng)等，學(xué)校網(wǎng)絡(luò)目前有多個(gè)互聯(lián)網(wǎng)出口及教育專線，通過負(fù)載均衡-防火墻到核心交換機(jī)，分別到教學(xué)樓、數(shù)據(jù)中心區(qū)、各終端接入?yún)^(qū)；網(wǎng)絡(luò)部分內(nèi)網(wǎng)服務(wù)器和終端存在被攻擊的風(fēng)險(xiǎn)，并可發(fā)現(xiàn)服務(wù)器、終端電腦均存在系統(tǒng)高危漏洞，存在較大安全隱患。同時(shí)攻擊方式，不再為單純的網(wǎng)絡(luò)流量型攻擊、傳統(tǒng)的網(wǎng)絡(luò)安全攻擊，更多傾向于新型的僵尸、木馬、蠕蟲等攻擊行為，對整個(gè)內(nèi)網(wǎng)產(chǎn)生巨大的安全隱患。

本次增加設(shè)備上網(wǎng)行為管理、日志系統(tǒng)、入侵檢測、計(jì)劃分期達(dá)到等保2.0的要求

現(xiàn)狀圖

一期網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D

1.1.1.6安全方案總體設(shè)計(jì)

1.1.1.6.1安全架構(gòu)

某工程職業(yè)學(xué)院信息系統(tǒng)的安全體系設(shè)計(jì)，從信息安全等級保護(hù)技術(shù)體系，信息安全等級保護(hù)管理體系，線下安全服務(wù)三個(gè)角度出發(fā)，對設(shè)備、終端、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)接入、人員管理提供全方位的安全保障，總體安全架構(gòu)如圖所示：

1.1.1.6.2分區(qū)設(shè)計(jì)

1.1.1.6.3分區(qū)分域的目的

通過劃分區(qū)域，對整體網(wǎng)絡(luò)進(jìn)行清楚的規(guī)劃，具有以下意義：

?區(qū)域的劃分使整體網(wǎng)絡(luò)結(jié)構(gòu)的界限清晰；

?具有相同安全保護(hù)要求的網(wǎng)絡(luò)和設(shè)備劃分到一個(gè)安全區(qū)域中；

?不同的安全區(qū)域內(nèi)，可方便地部署不同類型和功能的安全防護(hù)設(shè)備和產(chǎn)品，同時(shí)形成相輔相成的多層次立體防護(hù)體系；

?同一個(gè)安全區(qū)域內(nèi)可方便地部署相同或相似的安全防護(hù)策略。

分區(qū)分域保護(hù)做到重點(diǎn)明確，將有效的安全資源投入到最需要保護(hù)的部分，并且由各個(gè)不同的區(qū)域組成多層次的立體防護(hù)體系。

1.1.1.6.4分區(qū)分域的原則

分區(qū)分域的過程遵循以下基本原則：

?業(yè)務(wù)保障原則：分區(qū)分域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)，在保證安全的同時(shí)，還要保證業(yè)務(wù)的正常運(yùn)行和效率。

?結(jié)構(gòu)簡化原則：分區(qū)分域方法的直接目的和效果是將信息（應(yīng)用）系統(tǒng)整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的邏輯結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，分區(qū)分域并不是粒度越細(xì)越好，區(qū)域數(shù)量過多，過雜可能會導(dǎo)致安全管理過于復(fù)雜和困難。

?立體協(xié)防原則：分區(qū)分域的主要對象是信息（應(yīng)用）系統(tǒng)對應(yīng)的網(wǎng)絡(luò)，在分區(qū)分域部署安全設(shè)備時(shí)，需綜合運(yùn)用身份鑒別、訪問控制、安全審計(jì)等安全功能實(shí)現(xiàn)立體協(xié)防。

?生命周期原則：對于信息（應(yīng)用）系統(tǒng)的分區(qū)分域建設(shè)，不僅要考慮靜態(tài)設(shè)計(jì)，還要考慮變化因素，另外，在分區(qū)分域建設(shè)和調(diào)整過程中要考慮工程化的管理。

1.1.1.6.5區(qū)域劃分

根據(jù)分區(qū)分域的原則，鄭某工程職業(yè)學(xué)院信息系統(tǒng)安全區(qū)域劃分為出口邊界安全接入?yún)^(qū)，核心交換區(qū)，安全管理中心區(qū)，超融合服務(wù)器業(yè)務(wù)應(yīng)用區(qū)，老服務(wù)器DMZ區(qū)，有線無線終端接入?yún)^(qū)，如下圖：

?核心交換區(qū)：負(fù)責(zé)跨區(qū)域網(wǎng)絡(luò)的數(shù)據(jù)交換和網(wǎng)絡(luò)審計(jì)。

?出口邊界接入?yún)^(qū)：作為鄭某工程職業(yè)學(xué)院信息系統(tǒng)對外互聯(lián)區(qū)域，主要針對互聯(lián)網(wǎng)、高校互聯(lián)網(wǎng)與鄭某工程職業(yè)學(xué)院信息系統(tǒng)之間的進(jìn)出流量，提供負(fù)載均衡、訪問控制、流量清洗、病毒過濾、入侵防御、病毒防護(hù)等防護(hù)措施，并為移動(dòng)終端提供VPN接入服務(wù)。

?DMZ網(wǎng)絡(luò)服務(wù)區(qū)：為鄭某工程職業(yè)學(xué)院信息系統(tǒng)內(nèi)部提供DNS,DHCP,LDAP，網(wǎng)站，綜合網(wǎng)絡(luò)管理等服務(wù)。

?安全管理中心：對鄭某工程職業(yè)學(xué)院信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、終端、安全設(shè)備等進(jìn)行統(tǒng)一管理，提供漏洞掃描、身份認(rèn)證、監(jiān)控、審計(jì)、日志收集與分析、態(tài)勢感知等服務(wù)。

?校園超融合平臺及物理服務(wù)器區(qū)：承載校園業(yè)務(wù)系統(tǒng)/網(wǎng)站群、一卡通系統(tǒng)、財(cái)務(wù)系統(tǒng)等虛擬化服務(wù)集群為智慧校園業(yè)務(wù)提供服務(wù)。

?有線無線終端接入?yún)^(qū)：滿足學(xué)校的互聯(lián)網(wǎng)連接，學(xué)生上網(wǎng)，教學(xué)辦公、WIFI業(yè)務(wù)等一系列服務(wù)。

1.1.1.7最終實(shí)現(xiàn)效果

?網(wǎng)絡(luò)架構(gòu)清晰，區(qū)域劃分合理，按照功能將各部分區(qū)域進(jìn)行有效隔離，可以有效制定邊界安全策略；

?對網(wǎng)絡(luò)進(jìn)行冗余設(shè)計(jì)，避免業(yè)務(wù)高峰期，由單點(diǎn)而引起網(wǎng)絡(luò)和業(yè)務(wù)中斷

?便于安全產(chǎn)品部署，提高網(wǎng)絡(luò)與信息系統(tǒng)防護(hù)能力；

?超融合業(yè)務(wù)應(yīng)用區(qū)和老服務(wù)器區(qū)的安全防護(hù);

?整個(gè)網(wǎng)絡(luò)狀態(tài)的展示與分析;

?終端與服務(wù)器端的威協(xié)防御、終端安全管理；

?各系統(tǒng)及設(shè)備的運(yùn)維審計(jì)；

?滿足未來發(fā)展需要，靈活性和擴(kuò)展性更好；

?為將來的集中管理奠定技術(shù)基礎(chǔ)。