1  項目建設目標、內容及建設周期

1.1總體目標

    本次根據不同定級系統安全目標，在建設完成后，需具備以下能力：

    具有抵御小規模、較弱強度惡意攻擊的能力，抵抗一般自然災害的能力，以及防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統遭到損害后，具有回復系統正常運行狀態的能力（二級系統目標）。

    要求在統一的安全防護策略下具有抵御大規模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，以及防范計算機病毒和惡意代碼危害的能力；具有檢測、發現、報警及記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統遭受損害后，具有能夠較快恢復正常運行狀態的能力；對于服務保障性要求高的系統，應能快速恢復正常運行狀態；具有對系統資源、用戶、安全機制等進行集中管控的能力（三級系統目標）。

    通過本次開展的安全建設整改工作，達到以下5個方面的目標：

（1）  安全管理水平明顯提高；

（2）  安全防范能力明顯增強；

（3）  安全隱患和安全事故明顯減少；

（4）  有效保障信息化健康發展；

（5）  有效維護國家安全、社會秩序和公眾利益。

2.2建設內容

    依據《網絡安全等級保護基本要求》，落實物理與環境安全、網絡與通信安全、設備與計算安全和應用與數據安全等安全保障措施；落實信息安全責任制，建立并落實各類安全管理策略和制度、設立安全管理機構和人員、安全建設管理和安全運維管理的工作。具體內容如下：

2 總體設計路線

2.1體系化設計方法

以等保保護安全框架為依據和參考，在滿足國家法律法規和標準體系的前提下通過一中心三防護的安全設計，形成網絡安全綜合防護體系。體系化的進行安全方案設計，全面滿足等級保護安全需求及單位網絡安全戰略目標。等級保護安全框架如下：

2.2等級化設計方法

等級保護政策、標準、指南等文件要求，對保護對象進行區域劃分和定級，對不同的保護對象從物理和環境防護、通訊網絡安全防護、網絡邊界安全防護、主機設備安全防護及應用和數據安全防護等各方面進行不同級別的的安全防護設計。同時統一的安全管理中心保障了安全管理措施和防護的有效協同及一體化管理，保障了安全措施及管理的有效運行和落地。

3 等級保護2.0框架

結合等級保護2.0相關標準和要求以及國內外最新的安全防護體系模型，從保障用戶業務安全高效運行為根本出發點，建設以下框架：

• 以“一個中心、三重防護”為基本模型進行分級分域設計，保障設計方案的合規性。

• 疊加安全可視、動態感知、協同防御三種安全能力構建主動防御體系，提供持續安全保護。

• 通過集中運維、安全可視等人性化的技術手段，讓安全運維管理更簡單高效，帶給組織不止合規的價值

  
  

4 總體網絡架構設計

5  安全域劃分說明

（1）  互聯網出口域

    在網絡出口需提供多鏈路負載并自動匹配最優線路，保障網絡可用性的同時實現快速接入；需在互聯網出口邊界進行隔離和訪問控制，保護內部網絡，從2-7層對攻擊進行防護，實現對入侵事件的監控、阻斷，保護整體網絡各個安全域免受外網常見惡意攻擊；需對互聯網出口流量進行識別并對流量進行管控，提高帶寬利用率的同時保障用戶上網體驗；利用網絡防病毒，主動掃描web和電子郵件流量、阻止惡意軟件到達并感染網絡上主機等防護功能。

（2）  對外服務器域

該安全域內主要承載對外提供服務的服務器等，包括門戶網站前端服務器、Web業務服務器等。需在DMZ區域邊界設置訪問控制策略，并具備應用層攻擊檢測與防護能力。

（3）  外聯域

與對端專網數據對接，需識別專網之間流量中的威脅，實現對流量中入侵行為的檢測與阻斷。

（4）  終端接入域

安全域內的終端上需具備防惡意代碼的能力，并對接入內網的用戶終端進行訪問控制，明確訪問權限以及可訪問的網絡范圍。

（5）  二級系統域

該安全域內主要承載OA辦公、考勤系統等單位較重要的業務信息系統，需對這些業務信息系統提供2-7層安全威脅識別及阻斷攻擊行為的能力。

（6）  三級系統域

該安全域內主要承載單位核心業務信息系統，包含本次需過等級保護測評的XX信息系統，需對這些業務信息系統提供2-7層安全威脅識別及阻斷攻擊行為的能力，如SQL注入、XSS（跨站腳本攻擊）、CSRF（跨站請求偽造攻擊）、cookie篡改等；需對存儲業務信息系統產生的數據訪問權限進行劃分，并對數據的相關操作進行審計；需對敏感或重要數據進行備份。

（7）  其他服務器域

該安全域內主要承載郵件服務、文件服務、文件共享等一般業務信息系統，需對這些業務信息系統提供2-7層安全威脅識別及阻斷攻擊行為的能力。

（8）  運維管理域

該區域說明如下：該安全域對業務環境下的網絡操作行為進行集中管理與細粒度審計；用于監控內網安全域之間的流量，對流量中的威脅進行實時檢測并統一呈現。

6    安全可視輔助決策簡化運維

    網絡安全需要“看見”。只有看得見的安全才是真正的安全，通過網絡風險可視化，將安全狀況直觀地呈現出來，實現更精準的風險分析及判斷，更高效的安全運維和風險處置。

    可視是安全的基礎，要求提供全程可視：風險的可視、保護過程和結果的可視，而非碎片化的攻擊可視。

    提供可視化風險展示功能，夠將檢測識別到的針對網站業務和接入用戶的安全風險以圖形化報表實時分類展示出來，如入侵風險、實時漏洞風險、數據風險和黑鏈風險等，才是一個可視的網絡安全平臺。

    這種簡單易懂、可視化的安全展示方法，解決了傳統安全設備的日志多、日志展示方式過于技術化，用戶無法快速搞懂組織真實安全現狀的問題。

同時網絡安全等級保護解決方案給用戶帶來全網安全可視、預警及響應，高效感知內部高級安全風險；在外部，通過大量的外部威脅情報，輔助高級安全事件的分析；在網絡內部，在各個子域的關鍵節點上，通過探針或安全設備，精準的采集有效檢測信息。將外部威脅情報和內部真實流量信息匯總到一起，通過行為分析、機器學習等算法對各類潛伏到網絡內部的高級威脅進行檢測，并通過可視化的方式，最終讓我們感知到我們現在是否安全？哪里不安全？造成什么危害，并如何處置。

7   動態感知持續檢測

    基于業界領先信息安全理念，采用業界領先的大數據、人工智能技術安全，建立了安全感知平臺，在安全事件發生前就能夠及時發現并采用有效安全策略，從而降低企業安全風險。態勢感知需要從“來源提取”，“檢測分析”，“交付可視”，與“處置響應”四個方面來構建安全體系。

技術架構圖

（1）  資產的新增或變更感知

    通過業務識別引擎主動識別新增業務資產或變更新的業務資產。

發現資產變更后，自動對“變動資產”進行增量評估。減少新漏洞在網上暴露時間。

（2）  潛伏威脅及風險感知

    實時匯集漏洞掃描信息，感知漏洞分別及危害情況，對繞過邊界防御的進入到內網的攻擊進行檢測，以彌補靜態防御的不足。

（3）  安全事件感知

    對內部重要業務資產已發生的安全事件進行持續檢測，第一時間發現已發生的安全事件。

（4）  異常行為感知

    對內部用戶、業務資產的異常行為進行持續的檢測，發現潛在風險以降低可能的損失。

    網絡安全等級保護解決方案給用戶帶來動態感知和持續檢測的能力，可不間斷的感知業務風險。首先從業務維度展示安全現狀，然后，從攻擊鏈的角度，讓客戶看到資產的失陷狀態。接下來，對失陷資產進行詳細的舉證，讓用戶看到威脅的原因、危害，并為客戶提供專殺工具會處置建議。最后，我們要讓客戶看到這個威脅的影響面有多大，讓客戶看到內部的異常訪問關系，是誰攻擊了我，我攻擊了誰？同時對失陷資產進行橫向行為和外聯行為的畫像。

8 協同防御，多級聯動

    在過去的安全體系，每個安全節點各自為戰，沒有實質性的聯動。而如果這些安全環節能協同作戰、互補不足，則會帶來更好的防御效果。等級保護2.0架構協助用戶構建多級聯動安全防御體系，形成威脅的防御、檢測、響應和預測，形成閉環，應對各種攻擊。同時，以智能集成聯動的方式工作，應對高級威脅。我們可以聯動下一代防火墻一鍵阻斷木馬與黑客的通信；可以聯動行為管理，發生安全事件可及時在用戶端告警；可以通過病毒發現聯動，實現內網終端病毒掃描和查殺；還可以聯動數據庫審計，做防泄密的分析和追蹤等等。

（1）  動多級響應與聯動機制