|
一、总体方案设计
1.国内政策和标准
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
《信息安全等级保护管理办法》(公通字〔2007〕43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)
《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)
《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》
《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求(征求意见稿)》
《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》
《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
《信息安全技术 信息系统安全等级保护基本要求》
《信息安全技术 信息系统等级保护安全设计技术要求》
《信息安全技术 信息系统安全等级保护定级指南》
《信息安全技术 信息系统安全等级保护实施指南》
《计算机信息系统 安全等级保护划分准则》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全技术 信息系统安全等级保护测评过程指南》
《信息安全技术 信息系统等级保护安全设计技术要求》
《信息安全技术 网络基础安全技术要求》
《信息安全技术 信息系统安全通用技术要求(技术类)》
《信息安全技术 信息系统物理安全技术要求(技术类)》
《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》
《信息安全技术 信息系统安全管理要求(管理类)》
《信息安全技术 信息系统安全工程管理要求(管理类)》
《信息安全技术 信息安全风险评估规范》
《信息技术 安全技术 信息安全事件管理指南》
《信息安全技术 信息安全事件分类分级指南》
《信息安全技术 信息系统安全等级保护体系框架》
《信息安全技术 信息系统安全等级保护基本模型》
《信息安全技术 信息系统安全等级保护基本配置》
《信息安全技术 应用软件系统安全等级保护通用技术指南》
《信息安全技术 应用软件系统安全等级保护通用测试指南》
《信息安全技术 信息系统安全管理测评》
2.国际标准及规范
国际信息安全ISO27000系列
国际服务管理标准ISO20000
企业内控COBIT
3.设计原则
随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷等安全事件的发生。
二、内网安全防护设备清单
1.硬件防火墙
2.IPS
3.防病毒网关
4.流量分析系统
5.安全漏洞统一管理平台
6.堡垒机
7.数据库审计
8.系统漏洞扫描器
9.数据库漏洞扫描器
10.网络准入设备
11.服务器加固软件
12.终端介质管理系统
13.终端审计系统
14.终端身份鉴别系统
15.终端防病毒系统
16.终端打印刻录系统