PAGE
PAGE355
xxx单位
网络安全建设方案
2025年2月
目录
TOC\o1-3\h\z\u第1章 项目概述 4
1.1 建设背景 4
1.2 建设目标 4
1.3 建设需求 4
1.4 安全分析 4
1.5 依据标准 5
第2章 网络安全总体设计 7
2.1 安全设计体系 7
2.1.1 等级保护的思想 7
2.1.2 分层保护的思想 7
2.1.3 分域保护的思想 7
2.1.4 动态安全的思想 7
2.1.5 体系化设计框架 8
2.2 安全设计拓扑 8
2.2.1 网络拓扑 9
第3章 网络安全详细设计 10
3.1 安全技术详细设计 10
3.1.1 安全物理环境防护设计 10
3.1.2 安全通信网络防护设计 11
3.1.3 安全区域边界防护设计 12
3.1.4 安全计算环境防护设计 14
3.1.5 安全管理中心设计 17
3.2 安全管理详细设计 18
3.2.1 安全管理制度设计 18
3.2.2 安全管理机构设计 19
3.2.3 安全管理人员设计 19
3.2.4 安全建设管理设计 20
3.2.5 安全运维管理设计 20
第4章 网络安全建设内容 26
4.1 网络安全建设内容总结 26
4.2 安全建设清单 27
项目概述
建设背景
“网络安全既是红线,又是底线”。网络安全等级保护制度是国家在非涉密领域信息系统安全保障工作的基本制度和基本国策,是国家对基础信息网络和重要信息系统实施重点保护的关键措施。在面对现在越来越严重的网络安全态势下,同时也是为践行《网络安全法》安全与信息化同步规划、同步建设、同步运行的三同步思想和切实履行网络安全保护义务,特此开展本次网络安全等级保护建设工作。
建设目标
本次安全建设通过对基础办公网络,补充必要的安全防护措施。加强整体网络的安全防护能力,保障xxx单位网络具备支持正常办公、业务稳定、业务持续运行的能力。
建设需求
结合当前项目实际情况,网络安全建设需求如下:
本次项目主要结合网络安全等级保护(二级)建设要求从从通信网络、区域边界、计算环境三个方面进行安全防护措施补充;建设完成后要求系统网络能对恶意代码、病毒、木马等攻击具有一定程度的防御能力,且能对外来流量进行访问控制,保护重要主机及办公设备不受侵害,保护敏感数据不被盗取、破坏、删除。
安全分析
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,信息安全包括了保密性、完整性、可用性等特性,本方案将渠县文件办公室的信息安全方面展开需求分析,使系统达到:在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭受损害后,能够较快恢复绝大部分功能。
当前,渠县文件办公室安全风险主要来自办公PC终端、网络、应用、数据等方面,从当前网络整体安全角度出发,需要重点关注如下几个方面的安全建设:
终端办公电脑设备感染木马、病毒
病毒、木马、蠕虫仍是局域网内面临的最为迫切的安全防护需求,病毒木马蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、终端被引导访问钓鱼网站、终端成为僵尸网络甚至于终端被控制之后形成跳板攻击危害到终端具有权限访问的各类服务器。
系统漏洞风险问题
黑客利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等漏洞攻击,获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。
应用层攻击问题
根据Gartner的统计报告显示,信息安全攻击有75%都是发生在Web应用层,针对web的攻击往往隐藏在大量的正常业务访问的行为中,传统的安全设备在应用层攻击防护上存在严重不足。
网络攻击问题
当前网络攻击层出不穷,需对网络攻击具备防护能力,并监测行为进行告警与应急处置,避免随意接入局域网网络的用户终端,造成攻击风险。
依据标准
本次项目方案设计主要依据的标准、规范和相关文档如下:
《中华人民共和国网络安全法》
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T22240-2020《信息安全技术网络安全等级保护定级指南》
GB/T25058-2019《信息安全技术网络安全等级保护实施指南》
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T25070