三级等保解决方案（通用版）■文档编号■密级商业机密■版本编号V2.0 ■日期2017-03-20■版本变更记录时间版本说明修改人20160425 V1 范孟飞20170320 V2 范孟飞■适用性声明目录一. 前言 (1)二. 项目背景 (1)三. 安全风险分析 (2)3.1设备安全风险 (2)3.2网络安全风险 (2)3.3应用层安全风险 (3)3.4数据安全风险 (3)四. 需求分析 (4)4.1技术需求分析 (4)4.2管理需求分析 (4)五. 等级保护建设 (5)5.1参考标准与依据 (6)5.1.1 相关法规和政策 (6)5.1.2 国家标准及行业标准 (6)5.2整体部署拓扑图 (8)5.3安全技术防护 (9)5.3.1 边界访问控制 ....................................................................................................................... - 9 -5.3.2 边界入侵防护 ..................................................................................................................... - 14 -5.3.3 网站安全防护 ..................................................................................................................... - 28 -5.3.4 安全审计 ............................................................................................................................. - 38 -5.3.5 安全管理 ............................................................................................................................. - 47 -5.4等保建设咨询.. (69)5.4.1 技术层面差距分析 ............................................................................................................. - 69 -5.4.2 管理层面差距分析 ............................................................................................................. - 71 -5.4.3 安全评估及加固 ................................................................................................................. - 72 -5.4.4 安全管理体系建设 ............................................................................................................. - 74 -5.4.5 应急响应及演练 ................................................................................................................. - 74 -5.4.6 安全培训 ............................................................................................................................. - 74 -5.4.7 测评辅助 ............................................................................................................................. - 75 -六. 等保建设清单................................................................................................................................. - 76 -七. 为什么选择绿盟科技..................................................................................................................... - 77 -7.1典型优势 (78)7.1.1 拥有最高级别服务资质的专业安全公司.......................................................................... - 78 -7.1.2 先进且全面的信息安全保障体系模型.............................................................................. - 78 -7.1.3 可实现且已证明的体系建设内容 ..................................................................................... - 78 -7.1.4 资深且经验丰富的项目团队 ............................................................................................. - 79 -7.1.5 先进的辅助工具 ................................................................................................................. - 79 -7.2资质荣誉. (79)7.3客户收益 (82)一. 前言经过多年的信息化推进建设，企事业和政府机构信息化应用水平正不断提高，信息化建设成效显著。

作为信息化发展的重要组成部分，信息安全的状态直接制约着信息化发展的程度。

作为企事业和政府机构重要的公众平台APP及web应用系统，由于其公众性质，使其成为攻击和威胁的主要目标，WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。

随着后“棱镜门”时代，国家对重要信息系统（包括网站）的安全问题越来越重视，相继发布了一系列的政策要求，例如：公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）要求，加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。

2014年12月，中办国办《关于加强社会治安防控体系建设的意见》要求：“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。

为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护（三级）安全建设工作，绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商，结合自身多年的安全建设经验、业界领先的技术与产品，为政府单位等级保护安全建设提供本方案。

二. 项目背景2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并将于2017年6月1日施行。

该法案明确规定:建设、运营网络或通过网络提供服务，须依照法律、法规和国家标准强制性要求，采取各种措施，落实网络安全等级保护制度，保障网络安全稳定运行。

发生安全事件时还要向主管部门报告。

对于不履行该法案规定的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，并对直接负责的主管人员处五千元以上五万元以下罚款。

上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中，也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。

xxx目前运营的网站类系统主要有官方网站、xxx系统等；数据中心建成后，除满足xxx 自身需求外，还将为下属各子平台单位提供服务。

xxx信息系统网络架构为简单的互联互通架构，除入口处安装有防火墙外，其他安防手段、措施均缺失，距离等级保护三级要求有非常大的差距，安防状况堪忧。

不论是《中华人民共和国网络安全法》的规定，还是从自身信息系统安全角度考虑，xxx 都需要建设自己的安全管理体系和技术体系的建设，提升整体信息系统及数据的安全性。

三. 安全风险分析3.1 设备安全风险信息系统网络设备的安全风险主要来自两个方面，一个是设备自身的安全风险，另外一个是外界环境的安全风险。

具体的设备安全风险如下：⏹设备自身的安全缺陷或未能够及时修复的安全缺陷，导致的针对该设备的缺陷利用，影响信息系统业务的连续性、可靠性和完整性；⏹承载业务系统硬件、网络环境等方面的威胁；⏹业务系统自身安全威胁。

3.2 网络安全风险网络安全风险主要如下：⏹来自内部和外部可能的网络攻击，如DDOS攻击、利用系统漏洞进行的各类攻击等等；⏹蠕虫病毒入侵，局域网内部病毒等恶意软件的传播，尤其是维护终端、磁盘介质使用等导致的病毒扩散；⏹利用管理和技术漏洞，或者内部资源成为僵尸网络、木马的被控资源，信息系统资源被用作攻击外部网络的工具⏹WEB类应用被挂马，成为木马大范围传播的主要途径；⏹由于对信息系统网络进行维护不恰当，而导致的安全威胁。