精选资料内网安全整体解决方案二◦一九年七月目录第一章总体方案设计 (4)1.1 依据政策标准 (4)1.1.1 国内政策和标准 (4)1.1.2 国际标准及规范 (6)1.2 设计原则 (7)1.3 总体设计思想 (8)第二章技术体系详细设计 (11)2.1 技术体系总体防护框架 (11)2.2 内网安全计算环境详细设计 (11)2.2.1 传统内网安全计算环境总体防护设计 (11)2.2.2 虚拟化内网安全计算环境总体防护设计 (21)2.3 内网安全数据分析 (32)2.3.1 内网安全风险态势感知 (32)2.3.2 内网全景流量分析 (32)2.3.3 内网多源威胁情报分析 (34)2.4 内网安全管控措施 (35)2.4.1 内网安全风险主动识别 (35)2.4.2 内网统一身份认证与权限管理 (37)2.4.1 内网安全漏洞统一管理平台 (40)第三章内网安全防护设备清单 (41)第一章总体方案设计1.1 依据政策标准1.1.1 国内政策和标准1 ．《中华人民共和国计算机信息系统安全保护条例》（国务院147 号令）2．《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27 号）3．《关于信息安全等级保护工作的实施意见》（公通字〔2004 〕66 号）4．《信息安全等级保护管理办法》（公通字〔2007 〕43 号）5．《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007 〕861 号）6．《信息安全等级保护备案实施细则》（公信安〔2007 〕1360 号）7．《公安机关信息安全等级保护检查工作规范》（公信安〔2008 〕736 号）8．《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008 〕2071 号）9．《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009 〕1429 号）10 ．国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字 [2010]70 号文）11 ． 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的 通知》（公信安 [2010]303 号文）13 ． 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要 求 第 1部分 安全通用要求（征求意见稿） 》14 ． 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要 求 第 2部分：云计算安全扩展要求（征求意见稿） 》术要求 第 2 部分：云计算安全要求（征求意见稿） 》16． 《GA/T 20 —XXXX 信息安全技术 网络安全等级保护定级指南征求意见稿）》17． 《信息安全技术 信息系统安全等级保护基本要求》 18．《信息安全技术 信息系统等级保护安全设计技术要求》19．《信息安全技术 信息系统安全等级保护定级指南》20． 《信息安全技术 信息系统安全等级保护实施指南》21． 《计算机信息系统 安全等级保护划分准则》22． 《信息安全技术 信息系统安全等级保护测评要求》23．《信息安全技术 信息系统安全等级保护测评过程指南》 12．国资委《中央企业商业秘密保护暂行规定》 国资发〔2010 〕41 号）15． GB/T 25070.2-XXXX信息安全技术 网络安全等级保护设计技精选资料信息安全技术 信息系统等级保护安全设计技术要求》 信息安全技术 网络基础安全技术要求》信息安全技术 信息系统安全通用技术要求（技术类） 》信息安全技术 信息系统物理安全技术要求（技术类） 》 信息安全技术 公共基础设施 PKI 系统安全等级保护技术要求》 信息安全技术 信息系统安全管理要求（管理类） 》信息安全技术 信息系统安全工程管理要求（管理类） 》 信息安全技术 信息安全风险评估规范》信息技术 安全技术 信息安全事件管理指南》信息安全技术 信息安全事件分类分级指南》信息安全技术 信息系统安全等级保护体系框架》信息安全技术 信息系统安全等级保护基本模型》信息安全技术 信息系统安全等级保护基本配置》信息安全技术 应用软件系统安全等级保护通用技术指南》信息安全技术 应用软件系统安全等级保护通用测试指南》信息安全技术 信息系统安全管理测评》卫生行业信息安全等级保护工作的指导意见》1.1.2 国际标准及规范1． 国际信息安全 ISO27000 系列24． 25． 26． 27． 28． 29． 30． 31．32． 33． 34．35．36．37．38．39．40．2 . 国际服务管理标准IS0200003. ITIL 最佳实践4.企业内控COBIT1.2设计原则随着单位信息化建设的不断加强，某单位内网的终端计算机数量还在不断增 加，网络中的应用日益复杂。

某单位信息安全部门保障着各种日常工作的正常运 行。

目前为了维护网络内部的整体安全及提高系统的管理控制，需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强 对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。

同时 对于内部业务系统的服务器进行定向加固， 避免由于外部入侵所导致的主机失陷 等安全事件的发生如上图所示，本项目的设计原则具体包括：整体设计，重点突出原则DJN.吋苣一 rJ&BM钩逹测L 防如噬虬WizK 白国竝全闻丁01040203此求铀先浒一. rhstt^Kai很卄迂旧申Eft 性阿.在甲旺可眾 帕记卜” ■旦.as#握TH 舟核i&腔刖Ei£'；-^S 中.盍#歷氓角度觀饶一石日伞军购、环可畝 WtXr. 讓we 玩雄円讹□605纵深防御原则 追求架构先进、技术成熟，扩展性强原则统一规划，分布实施原则持续安全原则可视、可管、可控原则1.3总体设计思想安全策略如上图所示，本方案依据国家信息安全相关政策和标准，坚持管理和技术并重的原则，将技术和管理措施有机的结合，建立信息系统综合防护体系， 通过1341 ”的设计思想进行全局规划，具体内容：一个体系事件响应风险预测王动风睑分年 预测攻击 耳线垂统威胁检测可谪度|| i检测爭件 确认风脸 抑制事件攻击防御安全基线殺计7®式变更 调■与取证转移攻击 阻止爭眸服务链 管理与策 略编排安全能力 与资源池化以某单位内网安全为核心、以安全防护体系为支撑，从安全风险考虑，建立符合用户内网实际场景的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全防护接入与虚拟主机防护接入等能力，构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。

三道防线结合纵深防御的思想，从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次，从用户实际业务出发，构建统一安全策略和防护机制，实现内网核心系统和内网关键数据的风险可控。

四个安全能力采用主动防御安全体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现业务系统的可管、可控、可视及可持续。

预测能力：通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题，甚至遇见可能侵袭的威胁，随之调整安全防护策略来应对。

防御能力：采用加固和隔离系统降低攻击面，限制黑客接触系统、发现漏洞和执行恶意代码的能力，并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏混淆系统接口信息（如创建虚假系统、漏洞和信息），此外，通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动，防止黑客未授权而进入系统，并判断现有策略的合规性并进行相应的优化设置。

检测能力：通过对业务、数据和基础设施的全面检测，结合现有的安全策略提出整改建议，与网络运维系统联动实现安全整改和策略变更后，并进行持续监控，结合外部安全情况快速发现安全漏洞并进行响应。

响应能力：与网络运维系统进行对接，实现安全联动，出现安全漏洞时在短时间内，进行安全策略的快速调整，将被感染的系统和账户进行隔离，通过回顾分析事件完整过程，利用持续监控所获取的数据，解决相应安全问题。

第二章技术体系详细设计2.1 技术体系总体防护框架在进行内网安全防护技术体系详细设计时，充分考虑某单位内部网络面临的威胁风险和安全需求，并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1 部分-安全通用要求（征求意见稿）》，通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计，形成“信息安全技术体系三重防护”的信息安全技术防护体，达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术，网络安全等级保护基本要求：第1 部分-安全通用要求（征求意见稿）》切实做到内部网络安全的风险可控。

三重防护主要包括：内网安全计算环境、内网安全数据分析、内网安全管控措施。

2.2 内网安全计算环境详细设计2.2.1 传统内网安全计算环境总体防护设计I I I . I I I I . I网络攻击网络取击网绪层朗护aciliS I 丁匸P协议过臨内容棟式过建DDOMS击识别盅呈清洗主机层防护WEBffiattBIK 护WEMEffltSBfiP |ccMiRB|5i*S轴层防护舟审计如上图所示，在内网安全计算环境方面结合互联网与办公网的攻击，围绕网络、主机、应用和数据层实现安全防护，具体内容包括：网络层安全防护设计1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。

2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。

3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。

主机层安全防护与设计1、在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。

2、通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell 、漏洞威胁等进行全面的监控与预警。

应用层安全防护与设计1、在通过外部服务域部署WAF 设备实现应用层基于入侵特征识别的安全防护2、通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。

数据层安全防护与设计1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。

3、在互联网接入域部署VPN 设备，实现对敏感数据传输通道的加密2.2.1.1 内网边界安全2.2.1.1.1 内网边界隔离严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。