背景 

某政府機關(guān)單位為保證其核心業(yè)務(wù)應(yīng)用的持續(xù)、穩(wěn)定運行，實現(xiàn)各核心業(yè)務(wù)應(yīng)用之間信息的安全共享，該單位按照《信息安全等級保護管理辦法》（公通字[2007]43號）文件精神，結(jié)合自身核心業(yè)務(wù)系統(tǒng)特點開展信息安全等級保護建設(shè)整改工作。 

在項目推進的前期準備階段，該單位信息中心對自身業(yè)務(wù)系統(tǒng)的安全狀況，邀請了專業(yè)的第三方等級保護咨詢服務(wù)商進行了深入的調(diào)研和評估，梳理和整理了當前運行的所有業(yè)務(wù)系統(tǒng)，并依據(jù)《信息系統(tǒng)等級保護定級指南》對自身核心業(yè)務(wù)系統(tǒng)的保護進行了定級備案、差距分析與風(fēng)險評估、安全規(guī)劃等一系列準備工作。上級單位通過了該單位等級保護整改建設(shè)方案的評審，該單位等級保護工作正式進入整改建設(shè)階段。 
 

安全需求 

核心信息系統(tǒng)部署于內(nèi)網(wǎng)，外網(wǎng)區(qū)域部署了若干對外發(fā)布應(yīng)用服務(wù)和網(wǎng)站，內(nèi)外網(wǎng)需要物理隔離。 

辦公區(qū)域分為內(nèi)網(wǎng)辦公區(qū)和外網(wǎng)辦公區(qū)，外網(wǎng)辦公區(qū)有無線辦公環(huán)境、虛擬化辦公環(huán)境及傳統(tǒng)PC辦公環(huán)境。 

根據(jù)等級保護建設(shè)前期調(diào)研、評估過程，依據(jù)《GB 17859-1999 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南》和第三方等級保護咨詢機構(gòu)的建議，最終確定本次等級保護建設(shè)需求如下： 

1.明確安全域、線路和節(jié)點冗余設(shè)計，實現(xiàn)動態(tài)流量優(yōu)先級控制； 

2.各個網(wǎng)絡(luò)區(qū)域邊界沒有訪問控制措施； 

3.互聯(lián)網(wǎng)出口需要重點的安全防護和冗余設(shè)計； 

4.提高安全維護人員對入侵行為的檢測能力； 

5.對內(nèi)部人員訪問互聯(lián)網(wǎng)進行控制和審計； 

6.加強網(wǎng)站應(yīng)用的安全防護措施； 

7.建立符合等級保護要求的內(nèi)部審計機制； 

8.構(gòu)建基于用戶身份的網(wǎng)絡(luò)準入控制體系； 

9.從業(yè)務(wù)角度出發(fā)，強化應(yīng)用安全、保護隱私數(shù)據(jù)； 

10.建立并保持一個文件化的信息安全管理體系，明確管理職責(zé)、規(guī)范操作行為。 
 

方案設(shè)計 

通過對現(xiàn)狀資產(chǎn)梳理，差距分析后，先將整體網(wǎng)絡(luò)架構(gòu)重新設(shè)計，如下圖： 
 

 

 

安全技術(shù)層面： 

物理安全：機房要滿足等保三級基礎(chǔ)要求。 

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)結(jié)構(gòu)進行優(yōu)化，所有核心節(jié)點全冗余部署，同時還要有網(wǎng)絡(luò)優(yōu)先級控制；互聯(lián)網(wǎng)出口部署抗拒絕服務(wù)攻擊設(shè)備；同時由于雙出口運營商，部署鏈路負載均衡實現(xiàn)智能選路；所有安全區(qū)域邊界位置部署NGAF，開啟FW、IDS、WAF、AV模塊；互聯(lián)網(wǎng)出口區(qū)域部署AC，實現(xiàn)應(yīng)用阻截、流控和網(wǎng)絡(luò)行為審計功能；內(nèi)外網(wǎng)之間部署網(wǎng)閘設(shè)備和VDS；無線環(huán)境總出口部署WAC實現(xiàn)無線認證和管控。 

主機安全：服務(wù)器及用戶終端統(tǒng)一安裝網(wǎng)絡(luò)殺毒軟件；服務(wù)器及用戶終端統(tǒng)一安裝必要的終端安全管理系統(tǒng)；進行人工干預(yù)的安全加固工作；虛擬化辦公環(huán)境部署ADesk瘦終端，與VDS實現(xiàn)連接后，通過網(wǎng)閘擺渡圖像數(shù)據(jù)，實現(xiàn)遠程虛擬化訪問，確保主機自身安全性。 

應(yīng)用安全：使用統(tǒng)一認證系統(tǒng)進行身份管理和認證管理；重要業(yè)務(wù)訪問建立安全加密連接，通過部署AD實現(xiàn)SSL卸載；業(yè)務(wù)服務(wù)器前端部署服務(wù)器負載均衡實現(xiàn)通信可用性保障；建立CA系統(tǒng)保證抗抵賴機制；實行代碼審計工作防御應(yīng)用級安全漏洞；遠程辦公用戶可通過連接SSL VPN進行應(yīng)用的授權(quán)登陸和加密訪問；部署APM實時監(jiān)控應(yīng)用服務(wù)的性能和審計信息；通過虛擬化技術(shù)訪問遠端應(yīng)用，借助單點登錄技術(shù)及強認證訪問控制實現(xiàn)虛擬化應(yīng)用的安全訪問和操作。 

數(shù)據(jù)安全：建立備份恢復(fù)機制，部署備份服務(wù)器和存儲系統(tǒng)；建立異地災(zāi)備設(shè)施；重要數(shù)據(jù)的存儲進行加密和離線處理；建立備份恢復(fù)檢驗機制；異地存儲的線路和總部到分支機構(gòu)的線路間可部署WOC進行優(yōu)化；通過虛擬化安全桌面技術(shù)和服務(wù)器/存儲虛擬化技術(shù)，經(jīng)過網(wǎng)閘的圖像數(shù)據(jù)擺渡，實現(xiàn)數(shù)據(jù)的不落地操作，確保敏感數(shù)據(jù)的不外泄及鏈路傳輸?shù)谋Ｃ苄栽瓌t。 

安全管理層面：部署安全管理中心SOC進行全網(wǎng)管控；編寫對應(yīng)安全管理制度、安全管理機構(gòu)設(shè)定、人員安全管理規(guī)范、系統(tǒng)建設(shè)管理規(guī)范、系統(tǒng)運維管理規(guī)范。 
 

用戶收益 

· 明確了重要系統(tǒng)的業(yè)務(wù)邊界，優(yōu)化原有的網(wǎng)絡(luò)結(jié)構(gòu) 

依據(jù)等級保護分域保護思想，為該單位規(guī)劃了不同功能的安全區(qū)域，為該單位今后業(yè)務(wù)發(fā)展以及后續(xù)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的部署和安全策略的實現(xiàn)提供堅實的基礎(chǔ)。 

· 充分利用多種安全技術(shù)手段，提升了業(yè)務(wù)系統(tǒng)邊界保護能力 

依據(jù)相關(guān)等級別保護設(shè)計標準，通過部署下一代防火墻以及安全審計等多種安全防護產(chǎn)品，增強了不同區(qū)域間業(yè)務(wù)用戶訪問控制能力，提升了該單位邊界抵御內(nèi)部攻擊行為的能力。 

· 從多個層面初步建立了完善的審計機制 

安全審計是等級保護中十分強調(diào)和關(guān)注的安全機制，針對該單位審計能力不足的問題，項目建設(shè)中通過分析業(yè)務(wù)的關(guān)鍵路徑和操作行為習(xí)慣，設(shè)計并部署了網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計等多種探測引擎，針對用戶不同層面，不同視角的業(yè)務(wù)操作進行審計跟蹤，從而國家等級保護部門和上級主管部門對該單位業(yè)務(wù)的安全監(jiān)管要求，以及組織內(nèi)部責(zé)任追溯的業(yè)務(wù)訴求。 

· 實現(xiàn)該單位對敏感個人隱私信息的有效保護 

依據(jù)等級保護關(guān)于身份鑒別、可信數(shù)字電文的有關(guān)要求，實現(xiàn)對該單位業(yè)務(wù)系統(tǒng)敏感信息機密性、完整性的全面保護，保障了統(tǒng)計上報數(shù)據(jù)中關(guān)于個人及組織的合法利益。 

· 明確人員安全管理職責(zé)，提高了系統(tǒng)安全運維安全管理水平 

本次建設(shè)該單位在等級保護技術(shù)體系建設(shè)的同時，還配合大量的咨詢、服務(wù)的配合與支撐，提高該單位業(yè)務(wù)系統(tǒng)安全運維的效率和管理水平。