国家XX局外网信息系统信息安全等级保护设计方案7408.docx

国家XX局外网信息系统信息安全等级保护设计方案国家XXX局外网网信息系系统信息安全全等级保保护设计计方案国家XXX局20100年1月目 录1前言662设计方方案概述述72.1编编制背景景72.2编编制目的的72.3建建设内容容83系统建建设情况况描述883.1物物理环境境分析883.2网网络架构构描述993.3外外网应用用系统分分析1003.3.1政府府网站系系统1113.3.2电子子政务信信息交换换系统1113.3.3继续续教育管管理系统统123.3.4“十一五五”重点YYYY系统统133.4网网络设备备情况1143.5服服务器设设备情况况153.6安安全设备备情况1173.6.1防火火墙系统统173.6.2网络络入侵防防御系统统173.6.3网络络入侵检检测系统统183.6.4网络络行为审审计系统统183.6.5终端端安全管管理系统统183.6.6终端端防病毒毒183.7管管理体系系描述1194外网安安全需求求分析1194.1系系统定级级建议1194.1.1确定定定级对对象2004.1.2确定定系统等等级2114.2外外网安全全风险分分析3224.2.1物理理安全风风险3334.2.2网络络安全风风险3334.2.3主机机安全风风险3554.2.4应用用安全风风险3774.2.5数据据安全风风险3994.2.6管理理风险4404.3安安全需求求分析4424.3.1符合合等级保保护技术术要求的的需求4424.3.2符合合等级保保护管理理要求的的需求4474.3.3符合合自身安安全防护护的需求求565外网总总体方案案设计5595.1设设计目的的595.2设设计原则则595.3设设计参考考标准6615.3.1信息息系统安安全等级级保护标标准和规规范6115.3.2其他他信息安安全标准准和规范范625.4总总体安全全方案设设计概述述635.4.1构建建分域的的控制体体系6335.4.2构建建纵深的的防御体体系6335.4.3保证证一致的的安全强强度6445.5分分域保护护框架建建立6445.5.1等级级保护中中对网络络结构安安全的要要求和实实现6445.5.2安全全域的定定义6555.5.3安全全域划分分的原则则655.5.4外网网安全域域划分6665.5.5外网网域控制制原则6685.5.6外网网VLAAN划分分建议6695.6确确定分域域框架下下的保护护强度7715.7外外网总体体安全策策略设计计725.7.1物理理安全策策略7225.7.2网络络安全策策略7335.7.3系统统安全策策略7445.7.4应用用安全策策略7555.7.5安全全管理策策略7555.8外外网基于于分域保保护的总总体设计计756外网安安全技术术方案详详细设计计766.1外外网的物物理安全全设计7766.1.1等保保对物理理安全防防护的技技术要求求766.1.2对物物理安全全防护的的技术实实现7886.2外外网的网网络安全全设计8816.2.1网络络访问控控制8116.2.2网络络入侵防防护8776.2.3网络络安全审审计9226.2.4其他他网络安安全设计计946.3外外网的主主机安全全设计9996.3.1系统统主机及及终端恶恶意代码码防范9996.3.2外网网终端桌桌面安全全管理系系统10026.3.3其他他主机安安全设计计10556.4外外网的应应用安全全设计11146.4.1等保保对应用用安全防防护的技技术要求求11446.4.2对应应用安全全防护的的技术实实现11186.4.3网页页防篡改改系统部部署12206.4.4网页页防篡改改系统策策略设计计12226.5外外网的数数据安全全及备份份恢复设设计12236.5.1等保保对数据据安全及及备份恢恢复的技技术要求求12336.5.2对数数据安全全及备份份恢复的的技术实实现12246.5.3数据据库安全全加固措措施12256.6安安全管理理平台设设计12286.6.1安全全管理中中心的主主要作用用12886.6.2安全全管理中中心的部部署方式式13006.6.3安全全管理中中心的功功能设计计13117安全管管理方案案详细设设计13338安全建建设方案案13338.1等等级保护护总体建建设过程程13338.2等等级保护护工程实实施规划划1358.2.1阶段段一：实实现基本本的安全全部署11358.2.2阶段段二：实实现全面面的安全全部署11368.2.3阶段段三：实实现全面面的安全全优化11379国家XXX局外外网安全全建设措措施汇总总138810附录录一：安安全产品品介绍11401 前言国家XXX局是政政府职能能单位，负负责制定定XXXX发展的的战略、方方针和政政策，组组织和管管理XXXX工作作的实施施，监督督管理XXXX工工作的执执行，参参与开展展XXXX教育，组组织开展展ZZZZ资源的的保护、开开发和利利用，负负责XXXX文化化的继承承发展，负负责XXXX技术术成果的的推广应应用，负负责XXXX的国国际推广广、应用用和传播播工作。国家XXX局自身身非常重重视信息息化建设设，从220011年就开始始建设当当前运行行的网络络系统，分分为三个个网络，分分别是内内网、外外网和国国办专网网。网络络及信息息化的建建设为国国家XXX局的发发展，提提升国家家XX局局业务处处理效率率，降低低国家XXX局管管理成本本起到了了关键的的作用。伴随着信信息系统统的快速速发展，信信息系统统所面临临的安全全威胁日日益复杂杂，用户户对信息息安全系系统的需需求与日日俱增。同同样对于于国家XXX局，各各层领导导对安全全工作非非常重视视，从建建设初始始逐年加加大在安安全建设设方面的的投资，进进行了一一系列的的安全组组织、制制度、管管理和技技术方面面的安全全建设工工作。目目前国家家XX局局部署了了防火墙墙、防病病毒、终终端安全全管理等等安全产产品，为为国家XXX局信信息网络络的安全全防护起起到了积积极的作作用。从外部环环境来看看，信息息安全已已经成为为近几年年信息化化建设的的热点话话题，如如何保障障信息系系统的安安全已经经成为国国家关注注的焦点点，从227号文文件开始始，国家家陆续出出台了一一系列的的安全政政策和标标准，提提出了以以“适度安安全、分分级保护护”为核心心的等级级保护建建设思路路，公安安部、保保密局、国国密办以以及国信信办陆续续出台政政策，要要求国内内重要的的信息系系统应按按照等级级保护的的办法和和要求，进进行相关关安全防防护系统统的建设设，并于于20007年启启动了等等级保护护的定级级备案工工作，并并于20009年年底开始始启动等等级保护护的安全全建设整整改工作作。等级级保护针针对信息息安全系系统建设设的过程程，提出出了具体体的管理理办法和和实施指指南，并并对信息息安全系系统提出出了技术术和管理理方面的的建设要要求。为了尽快快落实国国家等级级保护制制度的相相关要求求，并进进一步提提升自身身的安全全防护能能力，国国家XXX局在新新办公楼楼建设工工程的网网络集成成建设项项目中同同步进行行非涉密密网络的的（分内内、外两两个网络络）等级级保护建建设方案案规划工工作。2 设计方案案概述2.1 编制背景景国家XXX局外网网是国家家XX局局电子政政务系统统的重要要组成部部分。经经过多年年的信息息化建设设，已初初具规模模。随着着国家XXX局信息息化程度度的不断断提高，使使对外网信息息系统的的依赖程程度不断断增加，网网上信息息价值不不断增大大，信息息安全问问题也日日渐凸现现。国家XXX局外网信息息安全体体系是XXX局外外网的重重要组成成部分，是是XX局局信息化化业务开开展的重重要安全全屏障，它它是一个个包含技技术（物物理、网网络、主主机、应应用和数数据等五五个技术术层面）和和管理（制制度、机机构、人人员、建建设和运运维等五五个管理理层面）两两大方面面，通过过技术保保障和规规章制度度建立起起来的可可靠有效效的安全全体系。为了贯彻彻国家对对电子政政务信息息系统安安全保障障工作的的要求以以及等级级化保护护“坚持积积极防御御、综合合防范”的方针针，全面面提高信信息安全全防护能能力，国国家XXX局外网建设需需要进行行整体安安全体系系规划设设计，全全面提高高信息安安全防护护能力，创创建安全全健康的的网络环环境，保保护国家家利益，促促进国家家XX局局外网信息息化的深深入发展展。本文将主主要阐述述和针对对国家XXX局外网的信信息系统统安全等等级保护护建设的的规划设设计，其其内网的的建设方方案另外外单独设设计。2.2 编制目的的本方案针针对国家家XX局局新办公公楼的外外网网络络环境和和应用系系统为基基础，分分析国家家XX局局外网的的安全建建设需求求，结合合国家等等级保护护的建设设规范和和技术要要求而编编制，为为国家XXX局外外网信息息安全的的等保符符合性建建设提供供指导。2.3 建设内容容项目的主主要建设设内容是是建立国国家XXX局外网的总总体信息息安全等等级保护护体系，根根据等保保要求，国家XX局外网的信息安全体系建设将包括以下几个方面：l 物理安全全设计l 网络安全全设计l 主机安全全设计l 应用安全全设计l 数据安全全及备份份恢复l 安全管理理机构规规划l 安全管理理制度规规划l 人员安全全规划l 系统建设设规划l 系统运维维规划3 系统建设设情况描描述3.1 物理环境境分析国家XXX局新办办公楼共共9层，机机房位于于新办公公楼的66层。机机房内进进行了区区域划分分管理，内内网机房房、涉密密屏蔽机机房及外外网机房房部署在在不同物物理隔离离区域内内，每个个区域均均配置了了电子门门禁系统统，能够够控制、鉴鉴别和记记录进入入的人员员。国家XXX局外网信息息系统的的主要网网络设备备、服务务器及安安全设备备均部署署在外网机房房中。机机房内所所有线缆缆均采用用隐蔽走走线方式式，并对对主要部部件进行行了固定定和标记记。机房房配备了了防盗报报警系统统和监控控报警系系统。国家XXX局新办办公楼和和机房均均安装了了避雷装装置，办办公楼内内提供了了交流地地线。国家XXX局机房房采用了了具有耐耐火等级级的建筑筑材料，并并设置了了灭火设设备，安安装了自自动消防防系统。国家XXX局机房房采用了了恒温恒恒湿空调调，能够够有效控控制机房房内温湿湿度。国家XXX局机房房配备了了UPSS系统，采采用了市市电+UUPS两两路供电电方式，并并具有稳稳压器、过过压防护护设备等等，能够够保障电电力的安安全稳定定不间断断供应。国家XXX局外网机房房到楼层层配线间间均采用用光纤，配配线间到到办公室室信息点点采用六六类屏蔽蔽线，能能够为外外网重要要信息的的处理、存存储和传传输提供供电磁泄泄漏防护护措施。此此外，机机柜等设设备都具具有安全全接地。机机房中的的电源线线和通信信线缆采采用了隔隔离布线线方式。3.2 网络架构构描述国家XXX局外网网与互联联网相连连，主要要承载了了外网办办公系统统、政府府网站、数数据下载载等业务务。国家XXX局外网网拓扑图图见下图图所示：图3-11 国家家XX局局外网网络络拓扑结结构示意意图参考图33-1，国家家XX局局外网是是一个星星型的快快速以太太交换网网，核心心为一台台高性能能三层交交换机，下下联楼层层接入交交换机，上上联服务务器区域域交换机机和安全全管理服服务器，外外联互联联网出口口路由器器；接入入交换机机向下连连接信息息点，即即终端计计算机。国家XXX局外网链路路情况如如下：l 核心交换换机与楼楼层接入入交换机机之间采采用千兆兆光纤链链路；l 楼层交换换机采用用百兆双双绞线链链路下联联终端计计算机；l 核心交换换机与服服务器交交换机之之间采用用千兆光光纤链路路，服务务器交换换机与所所有服务务器之间间采用千千兆双绞绞线链路路；l 核心交换换机与互互联网边边界路由由器之间间采用百百兆双绞绞线链路路，路由由器出口口连接千千兆光纤纤链路，实实际出口口带宽为为20MM；l 托管机房房的链路路均有托托管机房房管理单单位提供供。国家XXX局外网设备备部署情情况如下下：l 核心交换换机、业业务服务务器、安安全管理理服务器器及安全全设备部部署在六六层的外外网机房房；l 楼层接入入交换机机部署在在一层至至五层的的配线间间；l 终端计算算机部署署在一层层至五层层的各部部门办公公室内；l 托管服务务器部署署托管机机房的服服务器区区域。外网信息息点分布布情况如如下表所所示：序号楼层信息点数数量48口交交换机数数量11层155222层148233层135244层118255层98269层6利用5层层交换机机 国家XXX局外网本次次实际使使用的信信息点数数量为1100个。3.3 外网应用用系统分分析国家XXX局外网网目前主主要的系系统为政政府网站站系统、电电子政务务信息交交换系统统、继续续教育管管理系统统和“十一五五”重点YYYY系统统。3.3.1 政府网站站系统政府网站站系统始建建于066年，内内容不断断丰富和和完善，已已经成为为国家XXX局外网网信息系系统的重重要组成成部分，是国家家XX局局进行信信息发布布、以及及与社会会公众互互动交流流的平台台。网站站提供权权威、准准确、全全面、快快速的信信息服务务、业务务申请及及公众互互动功能能，起到到政令快快速发布布、下情情及时上上达的作作用。网网站主要要由机构构介绍、政政务公开开、公众众参与、XXX服务、XXX文化、医疗质量监测等模块组成。该系统部部署在托托管机房房的HPP 服务务器上，通通过互联联网供局局机关内内部人员员、全国国XXXX系统工工作人员员和社会会公众浏浏览查询询以及互互动交流流。为保保障政府府网站系系统的安安全性，使使用了入入侵防御御系统和和网页防防篡改系系统形成成边界保保护和内内容防护护。政府网站站系统由由两台服服务器组组成，一一主一备备。服务务器端软软件基于于SQLL20000数据据库以及及ASPP.neet平台台开发，数数据库与与网站服服务器安安装部署署在同一一台HPP服务器器上。国国家XXX局信息息办的网网站维护护工作人人员通过过远程访访问登陆陆后台、维维护信息息及数据据。政府网站站系统其其他模块块的基本本情况为为：n 该模块建建设于006年，由信息息办开发发和维护护；n 应用系统统为主页页发布，后后台无支支持数据据库；发发布的信信息大多多以静态态文本的的方式发发送；n 主页系统统对互联联网用户户最大并并发会话话数有限限制；n 机构介绍绍、政务公公开、公公众参与与、XXXX服务、XXXX文文化等应应用对互互联网完完全开放放，因此此不需要要进行认认证即可可进行访访问；n 主页服务务器系统统开启了了日志审审计功能能。3.3.2 电子政务务信息交交换系统统电子政务务信息交交换系统统始建于于06年年，由飞飞狐灵通通公司开开发，承承担着国国家XXX局与下下属XXXX局进进行电子子公文交交换的任任务。电子政务务信息交交换系统统部署在在XXXX管理外外网机房房的HP 服务器器上，通通过外网网局域网网供医药药管理局局局机关关外网用用户访问问，通过过互联网网供下属属XXXX局用户户访问。电子政务务信息交交换系统统由一台服务务器组成成，服务务器端软软件基于于SQLL20000数据据库以及及ASPP.neet平台台开发，数数据库与与系统服服务器安安装部署署在同一一台HPP服务器器上，网网站的后后台维护护为B/S结构构，国家家XX局局办公室室的管理理维护工工作人员员通过网网络登陆陆后台、维维护信息息及数据据。国家XXX局信息息办承担担着电子子政务信信息交换换系统的的安全保保护责任任。经过调查查，该系系统的具具体情况况为：n 应用系统统对数据据库的访访问采用用ODBBC方式式；n 数据库认认证采取取用户名名/口令令的方式式；n 数据库能能够对连连接数进进行控制制；n 系统提供供了文件件加密功功能，对对重要文文件可以以现在本本地加密密后再进进行传输输；n 其他信息息数据在在网络中中传输没没有任何何加密措措施；n 应用系统统启用了了日志审审计的功功能；n 应用系统统采取的的备份措措施为：由人工工定期备备份到终终端的方方式；n 由于应用用系统为为定制开开发软件件，没有有定期进进行维护护的服务务。3.3.3 继续教育育管理系系统继续教育育管理系系统始建建于077年，由由人教司司负责开开发，目目前还在在建设完完善中。该该系统承承担着全全国XXXX行业业继续教教育及培培训项目目的申报报、审核核和备案案任务，同同时提供供学分证证书查询询服务。继续教育育管理系系统部署署在国家家XX局局机房的HHP 服服务器上上，有互互联网出出口，供供全国XXXX继继续教育育及培训训项目的的申报单单位、管管理单位位及社会会公众通通过互联联网访问问该系统统。继续教育育管理系系统由一一台服务务器组成成，服务务器端软软件基于于MYSSQL数数据库以以及ASSP.nnet平平台开发发，数据据库与系系统服务务器安装装部署在在同一台台HP服服务器上上。国家家XX局局的维护护工作人人员通过过网络登登陆后台台、维护护信息及及数据。国家XXX局信息息办承担担着继续续教育管管理系统统的安全全保护责责任。该系统的的基本情情况为：n 应用系统统对数据据库的访访问采用用ODBBC方式式；n 数据库认认证采取取用户名名/口令令的方式式；n 数据库能能够对连连接数进进行控制制；n 数据在网网络中传传输没有有任何加加密措施施；n 目前应用用系统还还在继续续开发过过程中，还还不具有有备份等等措施。3.3.4 “十一五五”重点YYYY系统统“十一五五”重点YYYY系统统建设于于07年年，由内内部医政政司开发发和维护护，承担着着为社会会公众提提供全国国范围内内重点YYYYSSSS信信息和TTTT信信息的查查询服务务工作。十一五”重点YYYY系统统部署在在国家XXX局机机房的HHP 服服务器上上，通过过外网局局域网供供医药管管理局局局机关外外网用户户访问，通通过互联联网供社社会公众众访问。“十一五五”重点YYYY系统统由一台台服务器器组成，服服务器端端软件基基于SQQL20000数数据库以以及.nnet平平台开发发，数据据库与系系统服务务器安装装部署在在同一台台HP服服务器上上。国家家XX局局的管理理维护工工作人员员通过网网络登陆陆后台、维维护信息息及数据据。国家XXX局信息息办承担担着“十一五五”重点YYYY系统统的安全全保护责责任。该系统的的基本情情况为：n 应用系统统对数据据库的访访问采用用ODBBC方式式；n 数据库认认证采取取用户名名/口令令的方式式；n 数据库能能够对连连接数进进行控制制；n 数据在网网络中传传输没有有任何加加密措施施；n 应用系统统启用了了日志审审计的功功能；n 应用系统统采取的的备份措措施为：由人工工定期备备份到终终端的方方式；n 由于应用用系统为为定制开开发软件件，没有有定期进进行维护护的服务务。3.4 网络设备备情况国家XXX局外网网的网络络设备有有核心交交换机、服服务器区区域交换换机、楼楼层接入入交换机机和互联联网接入入路由器器，均采采用华为为的设备备。核心交换换机采用用华为S993033，数量为为一台，部署在六层外网机房。华为9303交换机的配置情况如下：l 配置了两两块交流流电源，提提供电源源冗余能能力；l 配置了一一块主控控板；l 93033具备33个业务务槽位，本本次配置置了一块块24端端口百兆兆千兆兆以太网网光接口口板，为为楼层接接入交换换机、服服务器区区域交换换机提供供网络接接入。还还剩余22个槽位位，具备备一定的的扩容升升级能力力；l 93033最大背背板容量量为1.5T bpss，交换换容量最最大为7700GG bpps；整整机最大大千兆接接口为1144个个，具备备了较大大的接入入冗余能能力。服务器区区域交换换机采用用华为SS53228C，数数量为一一台，部部署在六六层外网网机房，具具体情况况如下：l 该交换机机配置了了两块交交流电源源，提供供电源冗冗余能力力；l 具有244个1001000110000Basse-TT接口，为为所有业业务服务务器提供供网络接接入，并并连接边边界防火火墙。办公区域域交换机机采用华华为S553522C和S223522P，数数量为各各五台，部部署在一一至五层层的配线线间，具具体情况况如下：l S53552C配配置了两两块交流流电源，提提供电源源冗余能能力；l S53552C具具有488个1001000110000Basse-TT接口，连接同楼层的S2352P以及该楼层各办公室的终端计算机；S5352C通过光口上联核心交换机S9303；此外，五层的S5352C同时为九层会议室外网接口（6个网络端口）提供楼层接入；l S23552P具具有488个100/1000Baase-TX接接口，连连接同楼楼层的SS53552C及及该楼层层各办公公室的终终端计算算机。互联网接接入区域域路由器器采用华华为ARR46440，数数量为一一台，部部署在六六层外网网机房，配配置如下下：l 配备两个个10/1000M以太太网口，分别连连接互联联网出口口和边界界防火墙墙。3.5 服务器设设备情况况国家XXX局外网服务务器包括括两种类类型：应应用系统统服务器器和安全全管理服服务器。一、业务务系统服服务器包包括：政府网站站系统服务务器外网政府府网站系系统服务务器托管管在外单单位机房房，外网网政府网网站系统统及其数数据库都都安装在在一台机机架式服服务器上上，设备备型号为为HP DL380GG5，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护采用由由专人定定期前往往机房现现场维护护的方式式。“十一五五”重点YYYY系统统服务器器“十一五五”重点YYYY系统统部署在在外网机机房，应应用系统统及其数数据库都都安装在在一台机机架式服服务器上上，设备备型号为为HP DL380GG5，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。电子政务务信息交换换系统服服务器电子政务务信息交交换系统统部署在在外网机机房，应应用系统统及其数数据库都都安装在在一台机机架式服服务器上上，设备备型号为为HP DL3660，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。继续教育育管理系系统服务务器继续教育育管理系系统部署署在外网网机房，应应用系统统及其数数据库都都安装在在一台机机架式服服务器上上，设备备型号为为HP DL1665，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。外网政府府网站系系统备份份服务器器外网政府府网站系系统备份份服务器器托管在在外单位位机房，设设备型号号为HPP DLL380GG5，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护采用由由专人定定期前往往机房现现场维护护的方式式。二、安全全管理服服务器包包括：北信源网网络安全全监控系系统服务务器北信源网网络安全全监控系系统安装装在一台台机架式式服务器器上，设设备型号号为HPP DLL1655，操作系系统为WWINDDOWSS 20000 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。瑞星网络络版防病病毒系统统服务器器瑞星网络络版防病病毒系统统安装在在一台机机架式服服务器上上，设备备型号为为HP DL1665，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。网络入侵侵检测设设备管理理服务器器网络入侵侵检测设设备管理理系统安安装在一一台机架架式服务务器上，设设备型号号为HPP DLL1655，操作系系统为WWINDDOWSS 20003 Serrverr，服务务器的管管理认证证方式为为用户名名/口令令方式；利用WWINDDOWSS自带的的口令加加密方式式进行保保护；在在管理上上服务器器采取高高强度口口令，删删除或禁禁用无关关帐号，开开启了日日志审计计功能，审审计重点点是用户户登录日日志；管管理维护护方式采采用远程程桌面和和现场相相结合的的方式，有有专人负负责相关关工作。3.6 安全设备备情况国家XXX局信息息网络中中广泛使使用的安安全设备备有两大类，一一是面向向网络安安全类的的防火墙墙、入侵侵防御、入入侵检测测、网络络审计类类安全设设备；二二是面向向终端的的终端安安全管理理系统以以及防病病毒软件件类，以以及为网网站提供供防护的的网页防防篡改软软件，安安全设备备的配置置情况为为：3.6.1 防火墙系系统国家XXX局外网网的防火火墙系统统采用了了天融信信公司的的千兆猎猎豹系列列防火墙墙NGFFW40000-UF（TTG-554644）和CCISCCO公司司的PIIX5115，数量各为一台。两台防火火墙分别别部署在在对外服服务区域域边界和和互联网网出口边边界，分分别对区区域之间间的访问问执行严严格的访访问控制制策略，以以有效保保护重要要的信息息系统资资源。3.6.2 网络入侵侵防御系系统国家XXX局外网的网网络入侵侵防御系系统采用用了天融融信公司司的千兆兆网络入入侵防御御系统TTopIIDP，数数量为一一台，部部署在托托管机房房托管区区域的互互联网出出口，重重点抵御御互联网网对托管管区域内内部重要要服务器器的攻击行为为，尤其其是要能能够实时时发现和和抵御恶恶意用户户对重要要的服务务器系统统进行的的非法访访问、恶恶意攻击击及蠕虫虫传播等等行为并并及时进进行阻断断和报警警。网络入入侵防御御系统的的升级，可以通过互联网接入区域进行在线升级。3.6.3 网络入侵侵检测系系统国家XXX局外网的网网络入侵侵检测系系统采用用了启明明星辰公公司的千千兆网络络入侵检检测系统统天阗NNS22200，部部署在核核心交换换机上，重重点监测测网络用用户对重重要服务务器的访访问行为为，尤其其是要能能够实时时发现恶恶意用户户对重要要的服务务器系统统进行的的非法访访问、恶恶意攻击击及蠕虫虫传播等等行为并并及时进进行报警警和采取取一定的的响应操操作。外外网网络络入侵检检测系统统的升级级，可以以通过互互联网接接入区域域进行在在线升级级。3.6.4 网络行为为审计系系统国家XXX局外网的网网络行为为审计系系统采用用了天融融信公司司的千兆兆网络安安全审计计系统TTopAAudiit（TTA-5507-WATTCH），部署在核心交换机上，对网络中的流量做全面的监控与审计策略，以有效保护重要数据的安全性，并为事后取证提供支持。3.6.5 终端安全全管理系系统国家XXX局外网的终终端安全全管理产产品采用用了北信信源公司司的内网网安全及及补丁分分发管理理系统，客客户端部部署在所所有外网的终终端设备备上，管管理服务务器部署署在外网的安安全管理理区域。外网终端安全管理系统的升级可以通过互联网接入区域进行在线升级。3.6.6 终端防病病毒国家XXX局外网防病病毒系统统采用了了瑞星公公司的网网络版防防病毒软软件，部部署在所所有终端端和服务务器上，防防病毒服服务器在在部署安安全管理理区域，为为全网提提供病毒毒升级和和监控管管理能力力。防病病毒服务务器的升升级，可可以通过过互联网网接入区区域进行行在线升升级。3.7 管理体系系描述目前，国国家XXX局信息息安全管管理现状状是：l 办公室负负责信息息安全的的监管工工作；l 信息办负负责信息息安全工工作的具具体执行行；l 缺乏专业业安全技技术人员员，大多多数技术术人员为为外聘方方式；l 一人兼任任多职，无无专职安安全管理理员；l 制定了部部分安全全制度：n 计算机网网络安全全管理规规定n 计算机信信息系统统（内网网）使用用安全责责任书n 计算机信信息系统统（外网网）使用用安全责责任书n 网络安全全工作人人员安全全保密责责任书n 局机关借借调人员员网络安安全保密密责任书书n 计算机设设备维修修管理规规定n 局机关各各部门网网站信息息报送情情况统计计管理办办法n 信息办网网络安全全工作人人员守则则n 计算机设设备资产产维修、配配件更换换登记制制度n 计算机端端口开通通登记制制度n 摆渡机使使用管理理规定n 国家XXX局政府府网站应应急预案案4 外网安全全需求分分析4.1 系统定级级建议信息系统统定级是是进行等等级保护护设计的的首要环环节，根根据国家家信息安安全等级级保护实实施指南南，信息息系统定定级阶段段的目标标是信息息系统运运营、使用单单位按照照国家有有关管理理规范和和GB/T 22224020008，确定信息息系统的的安全保保护等级级，信息息系统运运营、使用单单位有主主管部门门的，应应当经主主管部门门审核批批准。国家XXX局信息息安全等等级保护护的总体体思路是是：以自自身的信信息系统统特点为为核心，结结合国家家相关标标准要求求，根据据XX局局实际业业务需求求，和对对实际业业务的影影响来划划分安全全等级，在在确定定定级方面面更重视视系统对对XX局局业务开开展的影影响性而而确定等等级，目目的只是是为体现现对不同同等级的的信息系系统，如如何加强强保护措措施方面面。而不不是根据据国家标标准，严严格地评评估信息息系统受受到破坏坏后的影影响范围围和影响响程度而而确定。4.1.1 确定定级级对象根据公安安部的信信息安全全等级保保护定级级指南指指出作为为定级对对象的信信息系统统应具有有如下基基本特征征：n 具有唯一一确定的的安全责责任单位位作为定级级对象的的信息系系统应能能够唯一一地确定定其安全全责任单单位。如如果一个个单位的的某个下下级单位位负责信信息系统统安全建建设、运运行维护护等过程程的全部部安全责责任，则则这个下下级单位位可以成成为信息息系统的的安全责责任单位位；如果果一个单单位中的的不同下下级单位位分别承承担信息息系统不不同方面面的安全全责任，则则该信息息系统的的安全责责任单位位应是这这些下级级单位共共同所属属的单位位。n 具有信息息系统的的基本要要素作为定级级对象的的信息系系统应该该是由相相关的和和配套的的设备、设设施按照照一定的的应用目目标和规规则组合合而成的的有形实实体。应应避免将将某个单单一的系系统组件件，如服服务器、终终端、网网络设备备等作为为定级对对象。n 承载单一一或相对对独立的的业务应应用定级对象象承载“单一”的业务务应用是是指该业业务应用用的业务务流程独独立，且且与其他他业务应应用没有有数据交交换，且且独享所所有信息息处理设设备。定定级对象象承载“相对独独立”的业务务应用是是指其业业务应用用的主要要业务流流程独立立，同时时与其他他业务应应用有少少量的数数据交换换，定级级对象可可能会与与其他业业务应用用共享一一些设备备，尤其其是网络络传输设设备。对于国家家XX局局外网，根根据承载载业务的的独立性性，以业业务系统统为核心心来划分分定级对对象，并并针对不不同的业业务系统统来设计计保护措措施，确确定的保保护对象象分别为为：政府府网站系系统、电子政政务信息息交换系系统、“十一五五”重点YYYY系统统和继续续教育管管理系统统。此外，国国家XXX局外网网中还包包括了安安全管理理区域的的安全管管理系统统和终端端办公区区域的终终端系统统，由于于国家XXX局外外网未来来还会增增加其他他信息系系统，而而这些终终端及安安全管理理设备会会与多个个系统相相连，无无法做到到不同的的信息系系统使用用专用的的设备，因因此建议议将安全全管理系系统和终终端系统统划分为为其他的的信息系系统，不不作为定定级对象象，但在在安全管管理服务务器区域域、终端端区域和和服务器器区域间间建立边边界保护护，并通通过身份份鉴别和和访问控控制等措措施加以以控制。4.1.2 确定系统统等级4.1.2.1 政府网站站系统一、国家家XX局局政府网网站系统统描述政府网站站系统是是国家XXX局进进行信息息发布、XXX信息查询以及与社会公众互动交流的平台。网站提供权威、准确、全面、快速的信息服务和公众互动功能，起到政令快速发布、下情及时上达的作用。网站主要由机构介绍、政务公开、公众参与、XXX服务、XXX文化、医疗质量监测等模