内网安全整体解决方案二〇二二年四月目录第一章总体方案设计 (3)1.1 依据政策标准 (3)1.1.1国内政策和标准 (3)1.1.2国际标准及规范 (4)1.2 设计原则 (5)1.3 总体设计思想 (6)第二章技术体系详细设计 (8)2.1 技术体系总体防护框架 (8)2.2 内网安全计算环境详细设计 (8)2.2.1传统内网安全计算环境总体防护设计 (8)2.2.2虚拟化内网安全计算环境总体防护设计 (16)2.3 内网安全数据分析 (26)2.3.1内网安全风险态势感知 (26)2.3.2内网全景流量分析 (26)2.3.3内网多源威胁情报分析 (28)2.4 内网安全管控措施 (28)2.4.1内网安全风险主动识别 (28)2.4.2内网统一身份认证与权限管理 (30)2.4.1内网安全漏洞统一管理平台 (33)第三章内网安全防护设备清单 (34)第一章总体方案设计1.1 依据政策标准1.1.1 国内政策和标准1．《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）3．《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）4．《信息安全等级保护管理办法》（公通字〔2007〕43号)5．《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）6．《信息安全等级保护备案实施细则》（公信安〔2007〕1360号）7．《公安机关信息安全等级保护检查工作规范》（公信安〔2008〕736号）8．《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）9．《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）10．国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号文）11．《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》（公信安[2010]303号文）12．国资委《中央企业商业秘密保护暂行规定》（国资发〔2010〕41号）13．《GB/T 22239.1-XXXX 信息安全技术网络安全等级保护基本要求第1部分安全通用要求（征求意见稿）》14．《GB/T 22239.2-XXXX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求（征求意见稿）》15．《GB/T 25070.2-XXXX 信息安全技术网络安全等级保护设计技术要求第2部分：云计算安全要求（征求意见稿）》16．《GA/T 20—XXXX 信息安全技术网络安全等级保护定级指南（征求意见稿）》17．《信息安全技术信息系统安全等级保护基本要求》18．《信息安全技术信息系统等级保护安全设计技术要求》19．《信息安全技术信息系统安全等级保护定级指南》20．《信息安全技术信息系统安全等级保护实施指南》21．《计算机信息系统安全等级保护划分准则》22．《信息安全技术信息系统安全等级保护测评要求》23．《信息安全技术信息系统安全等级保护测评过程指南》24．《信息安全技术信息系统等级保护安全设计技术要求》25．《信息安全技术网络基础安全技术要求》26．《信息安全技术信息系统安全通用技术要求（技术类）》27．《信息安全技术信息系统物理安全技术要求（技术类）》28．《信息安全技术公共基础设施 PKI系统安全等级保护技术要求》29．《信息安全技术信息系统安全管理要求（管理类）》30．《信息安全技术信息系统安全工程管理要求（管理类）》31．《信息安全技术信息安全风险评估规范》32．《信息技术安全技术信息安全事件管理指南》33．《信息安全技术信息安全事件分类分级指南》34．《信息安全技术信息系统安全等级保护体系框架》35．《信息安全技术信息系统安全等级保护基本模型》36．《信息安全技术信息系统安全等级保护基本配置》37．《信息安全技术应用软件系统安全等级保护通用技术指南》38．《信息安全技术应用软件系统安全等级保护通用测试指南》39．《信息安全技术信息系统安全管理测评》40．《卫生行业信息安全等级保护工作的指导意见》1.1.2 国际标准及规范1．国际信息安全ISO27000系列2．国际服务管理标准ISO200003．ITIL最佳实践4．企业内控COBIT1.2 设计原则随着单位信息化建设的不断加强，某单位内网的终端计算机数量还在不断增加，网络中的应用日益复杂。

某单位信息安全部门保障着各种日常工作的正常运行。

目前为了维护网络内部的整体安全及提高系统的管理控制，需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。

同时对于内部业务系统的服务器进行定向加固，避免由于外部入侵所导致的主机失陷等安全事件的发生如上图所示，本项目的设计原则具体包括：➢整体设计，重点突出原则➢纵深防御原则➢追求架构先进、技术成熟，扩展性强原则➢统一规划，分布实施原则➢持续安全原则➢可视、可管、可控原则1.3 总体设计思想如上图所示，本方案依据国家信息安全相关政策和标准，坚持管理和技术并重的原则，将技术和管理措施有机的结合，建立信息系统综合防护体系，通过“1341”的设计思想进行全局规划，具体内容：➢一个体系以某单位内网安全为核心、以安全防护体系为支撑，从安全风险考虑，建立符合用户内网实际场景的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全防护接入与虚拟主机防护接入等能力，构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。

➢三道防线结合纵深防御的思想，从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次，从用户实际业务出发，构建统一安全策略和防护机制，实现内网核心系统和内网关键数据的风险可控。

➢四个安全能力采用主动防御安全体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现业务系统的可管、可控、可视及可持续。

●预测能力：通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题，甚至遇见可能侵袭的威胁，随之调整安全防护策略来应对。

●防御能力：采用加固和隔离系统降低攻击面，限制黑客接触系统、发现漏洞和执行恶意代码的能力，并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏\混淆系统接口\信息(如创建虚假系统、漏洞和信息)，此外，通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动，防止黑客未授权而进入系统，并判断现有策略的合规性并进行相应的优化设置。

●检测能力：通过对业务、数据和基础设施的全面检测，结合现有的安全策略提出整改建议，与网络运维系统联动实现安全整改和策略变更后，并进行持续监控，结合外部安全情况快速发现安全漏洞并进行响应。

●响应能力：与网络运维系统进行对接，实现安全联动，出现安全漏洞时在短时间内，进行安全策略的快速调整，将被感染的系统和账户进行隔离，通过回顾分析事件完整过程，利用持续监控所获取的数据，解决相应安全问题。

第二章技术体系详细设计2.1 技术体系总体防护框架在进行内网安全防护技术体系详细设计时，充分考虑某单位内部网络面临的威胁风险和安全需求，并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿）》，通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计，形成“信息安全技术体系三重防护”的信息安全技术防护体，达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿）》切实做到内部网络安全的风险可控。

三重防护主要包括：内网安全计算环境、内网安全数据分析、内网安全管控措施。

2.2 内网安全计算环境详细设计2.2.1 传统内网安全计算环境总体防护设计如上图所示，在内网安全计算环境方面结合互联网与办公网的攻击，围绕网络、主机、应用和数据层实现安全防护，具体内容包括：➢网络层安全防护设计1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。

2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。

3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。

➢主机层安全防护与设计1、在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。

2、通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。

➢应用层安全防护与设计1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护2、通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。

➢数据层安全防护与设计1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。

3、在互联网接入域部署VPN设备，实现对敏感数据传输通道的加密2.2.1.1 内网边界安全2.2.1.1.1 内网边界隔离严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。

2.2.1.1.1 内网恶意代码防范病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一，面对越发复杂的网络环境，传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制，即便采取一些手段加以简单的控制，也仍然不能消除来自外界的继续攻击，短期消灭的危害仍会继续存在。

为了解决上述问题，对网络安全实现全面控制，一个有效的控制手段应势而生：从内网边界入手，切断传播途径，实现网关级的过滤控制。

建议在该区域部署防病毒网关，对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播2.2.1.1.2 内网系统攻击防护网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，IPS系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。