网络安全建设报告 .pdfVIP

⽹络安全建设报告

信息安全防护建设报告

⽬录

⼀项⽬背景(2)

1.1概述(2)

1.2参考标准和规范(2)

1.2.1国家标准(2)

1.2.2⾏业及其他相关规范(2)

⼆信息安全建设的⽬的与意义(2)

2.1信息安全风险分析(2)

2.2安全建设⽬的(3)

2.3安全建设的收益(4)

三安全防护⽅案(5)

3.1总体架构(5)

3.2⽹络拓扑(6)

3.3安全防护架构(7)

3.4安全域划分与防护(8)

3.4.1总体⽅案(8)

3.4.2核⼼服务域(8)

3.4.3重要服务域(9)

3.4.4前置业务域(9)

3.4.5管理⽀撑域(10)

3.4.6内联接⼊域(10)

3.4.7外联接⼊域(10)

3.4.8⽹络基础设施域(11)

四建设内容清单错误!未定义书签。

4.1⼀期清单错误!未定义书签。

4.2⼆期清单错误!未定义书签。

⼀项⽬背景

1.1概述

为了有效防范和化解风险，保证省公司IT⽀撑系统平稳运⾏和业务持续开展，根据总体规划需要逐步建⽴信息安全保障体系，

以增强省公司的信息安全风险防范能⼒。

1.2参考标准和规范

1.2.1国家标准

GB17859-1999《计算机信息系统安全保护等级划分准则》

GBT22240-2008《信息安全技术信息系统安全等级保护定级指南》

GBT22239-2008《信息安全技术信息系统安全等级保护基本要求》

GBT25058-2010《信息安全技术信息系统安全等级保护实施指南》

GBT25070-2010《信息安全等级保护设计要求》

1.2.2⾏业及其他相关规范

GD/J038—2011《⼴播相关信息系统安全等级保护基本要求》

《信息系统安全保障理论模型和技术框架IATF理论模型及⽅法论》

⼆信息安全建设的⽬的与意义

2.1信息安全风险分析

⽹络从它诞⽣之⽇起就⾯临着各种各样的安全问题，从最初物理层设备的各种故障引起的⽹络中断，发展到⽬前双向式综合数

据承载⽹络的各种攻击，直接

威胁到⽹络业务管理、运营⽀撑系统等核⼼业务的安全。

⽬前省公司所⾯临的安全风险主要有以下⼏个⽅⾯：

⽹络的⼴播式⽹络特点对外来的⽹络攻击和恶意代码的抵抗能⼒脆弱。

各业务系统越来越依赖于BOSS系统，⽽随着业务的发展，BOSS系统必

须与外部⽹络连接，⼀旦BOSS系统遭到外部⼊侵或内部的恶意破坏，攻

击者将能绕过复杂的CA系统直接篡改⽤户数据或对未授权⽤户给予授

权。

银⾏、商务的发展导致在有线⽹络上产⽣越来越多的⽹上交易和⽹上⽀

付⾏为，对⽹上交易和⽀付的安全保障迫在眉睫。

后台业务系统越来越电⼦化、⾃动化，需要对业务系统的各种⽹络安全

隐患事前预防，并能在发⽣安全问题后有据可查，内⽹的安全审计重要

性正⽇益突出。

近些年⽹络⿊客对web服务器、邮件服务器、EPG服务器、流媒体服务

器的安全攻击事件层出不穷，⾯向公众服务的安全需求不断增加。

⽹络维护⼈员没有⼀套很好的⼿段去了解和把握整个⽹络的运⾏状况。

因此对异常事件的反应时间太长，缺乏⽹络安全的预警和响应能⼒。

省公司⽬前没有明确划分出⽹络安全区域，边界防护措施⽆法落实，除

了BOSS系统有简单的防⽕墙保护，其他业务系统基本处于裸奔状态，对

于恶意攻击和病毒蠕⾍等事件毫⽆防护措施，⼗分危险。

2.2安全建设⽬的

1、理顺系统架构

进⾏安全域划分可以帮助理顺⽹络和应⽤系统的架构，使得信息系统的逻辑结构更加清晰，从⽽更便于进⾏运⾏维护和各类安

全防护的设计。

2、简化复杂度

基于安全域的保护实际上是⼀种⼯程⽅法，它极⼤的简化了系统的防护复杂度：由于属于同⼀安全域的信息资产具备相同的IT

要素，因此可以针对安全域⽽不是信息资产来进⾏防护，这样会⽐基于资产的等级保护更易实施。

3、降低投资

由于安全域将具备同样IT特征的信息资产集合在⼀起，因此在防护时可以采⽤公共的防护措施⽽不需要针对每个资产进⾏各⾃

的防护，这样可以有效减少重复投资；同时在进⾏安全域划分后，信息系统和信息资产将分出不同的防护等级，根据等级进⾏

安全防护能够提⾼组织在安全投资上的ROI（投资回报率）。

4、提供依据

组织内进⾏了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不⾜，并为今后进⾏系统改造和新系统的设计提供相

关依据，也简化了新系统上线安全防护的设计过程。特别是针对组织的分⽀机构，安全域划分的⽅案也有利于协助他们进⾏系

统安全规划和防护，从⽽进⾏规范的、有效的安全建设⼯作。

2.3安全建设的收益

a)构建纵