安全系统运维管理培训手册-v3.4.docVIP

国家安全生产信息系统（“金安”工程）一期项目培训系列教材 安全系统运维管理培训手册 （编号：安全类 JA—AQ [20]） 审核： “金安”工程一期项目办公室 国家安全监管总局通信信息中心 编制： 网御神州科技（北京）有限公司 20年月 · 北京 前 言 国家安全生产信息系统（“金安”工程）一期项目安全系统的建设目标是以工程总体建设目标为指导，对国家安全生产监督管理总局及地市级煤监、安监局进行安全域划分，并在各安全域实现边界访问控制等安全保障措施；从国家安全生产信息系统的实际情况出发，以网络安全建设与主机安全建设为主，合理划分区域，明确各个区域的边界和保护措施。 在划分区域和实施边界保护措施的同时，实施区域内部的关键安全保护措施，在实践中不断细化安全建设措施，确保业务系统的正常运行。为后续开展的网络安全建设提供合理化建议，同时为建立信任和授权体系的建设创造一个良好的环境。 为使各地市级煤监、安监局网络管理人员具备对安全系统所属产品进行日常运维、及在产品出现异常后具备简单的故障排除能力，特编制本培训文档。网管人员可依照此文档，对安全系统各产品进行简单维护和故障处理，当在维护过程中发现问题较严重或判断问题将对整体系统造成较大威胁时，网管人员可向安全产品厂商寻求帮助。 1 安全系统介绍 2 1.1 安全域划分 2 1.2 安全产品部署说明 2 2 安全策略说明 2 2.1 边界及网络区域安全 2 2.2 主机及应用环境安全 2 3 安全产品维护指南 2 4 安全产品故障排除简介 2 5 未完成节点VPN接入方式说明 2 安全系统介绍 级煤监、安监局网络网内网为涉密网，不在项目建设范围内。 地市级煤监、安监局网络安全拓扑结构如下图所示： 图 11：安全拓扑结构图 地市级煤监、安监局专网包括了上联至路由器、防火墙及交换机。防火墙对来自访问行为进行控制。交换机为本地用户提供接入端口。 终端防病毒 地市级煤监、安监局的专网网络的办公人员在获得信息资源的同时，也面临着大量计算机病毒的威胁。 为了有效切断病毒的传输途径，保护重要信息资源，需要建立完善的，能够完成软件自动升级、集中配置和管理、统一事件和告警处理的防病毒系统，所以在国家安全生产监督管理总局建立病毒防护中心；同时，在省局部属瑞星防病毒系统二级中心、在地市局部属瑞星防病毒系统三级中心，与国家安监总局共同构成有效的防病毒系统，最终利用防病毒系统强大的管理功能在国家安全生产信息系统（“金安”工程）一期项目实现全网集中统一的防杀病毒策略。 终端安全管理 在地市级煤监、安监局网络中，桌面系统是重要的组成部分，即工作人员从事日常操作的工作PC终端。桌面系统的安全将直接影响办公系统的安全。在办公系统中还存在着大量的、重要的生产数据及业务信息，如果信息泄漏，会造成重大的损失。另外，办公系统与互联网连接，工作人员大量访问因特网还会影响日常工作效率。外来人员接入办公系统，还可以盗窃机密信息，破坏信息系统、传播病毒等。桌面管理技术可以对办公终端提供安全防护，最大限度的防止受保护的敏感信息被不法分子非法或违规的入侵、外传、破坏和拷贝。监控内网用户的网络访问行为，防止内网用户对信息系统的损害，同时针对不断发现的操作系统及工具软件的漏洞，及时打补丁。 移动VPN 为各移动办公人员通过外部网络登录“金安”专网提供安全保障，以便办公人员完成对安全生产相关信息的调用、上报、整理等操作。关于VPN接入的部署说明详见第5章内容。 安全域划分 依据信息系统划分原则，地市级煤监、安监局节点具体如下： 业务区域 按等保二级网络要求建设该区域网络环境，该区域包括：业务服务器子区域、安全管理子区域。 办公区域 按等保二级网络要求建设该区域网络环境，该区域办公终端区域。 安全产品部署说明 “金安”工程一期项目中各煤监、安监单位采购的安全产品如下表所示： 序号 节点类别 安全产品名称 部署位置 产品数量 （单位：台/套） 说明 1 局 网神防火墙 专网边界 1 — 北信源内网安全管理及补丁分发系统 服务器区及客户端 服务器：1 客户端：实际人员编制数量 — 瑞星防病毒系统 服务器区及客户端 服务器：1 客户端：实际人员编制数量 — 安盟硬件U-KEY 移动终端 0 后期进行调整，改为无U-KEY方式登录 表格 11：安全产品采购表 安全策略说明 地市级节点的安全策略分为边界及网络区域安全、主机及应用环境安全两个方面。 边界及网络区域安全 在地市级节点网络中，需要对传输网出口位置采取部署防火墙的方式实现访问控制。 专网出口 采用单机的方式部署防火墙，实现边界安全隔离； 通过防火墙的访问控制功能实现端口级对数据流的访问控制能力； 通过防火墙设置用户和系统之间的允许访问规则，保护局域网内的业务