1  项目建设目标、内容及建设周期

1.1总体目标

    本次根据不同定级体系安全目标，在建设完成后，需具备以下能力：

    具有抵御小规模、较弱强度恶意攻击的能力，抵抗一样平常天然灾难的能力，以及提防一样平常性计算机病毒和恶意代码危害的能力；具有检测常见的攻击举动，并对安全事件进行记录的能力；体系遭到损害后，具有回复体系正常运行状况的能力（二级体系目标）。

    要求在同一的安全防护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为紧张的天然灾难的能力，以及提防计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵举动的能力；具有对安全事件进行相应处置，并能够追踪安全责任的能力；在体系遭受损害后，具有能够较快恢复正常运行状况的能力；对于服务保障性要求高的体系，应能快速恢复正常运行状况；具有对体系资源、用户、安全机制等进行集中管控的能力（三级体系目标）。

    通过本次开展的安全建设整改工作，达到以下5个方面的目标：

（1）  安全管理水平显明进步；

（2）  安全提防能力显明加强；

（3）  安全隐患和安全事故显明削减；

（4）  有用保障信息化健康发展；

（5）  有用维护国家安全、社会秩序和公众利益。

2.2建设内容

    依据《网络安全等级珍爱基本要求》，落实物理与环境安全、网络与通讯安全、设备与计算安全和应用与数据安全等安全保障措施；落实信息安全责任制，建立并落实各类安全管理策略和制度、设立安全管理机构和人员、安全建设管理和安全运维管理的工作。详细内容如下：

2 总体设计路线

2.1系统化设计方法

以等保珍爱安全框架为依据和参考，在知足国家法律法规和标准系统的前提下通过一中间三防护的安全设计，形成网络安全综合防护系统。系统化的进行安全方案设计，周全知足等级珍爱安全需求及单位网络安全战略目标。等级珍爱安全框架如下：

2.2等级化设计方法

等级珍爱政策、标准、指南等文件要求，对珍爱对象进行区域划分和定级，对不同的珍爱对象从物理和环境防护、通信网络安全防护、网络边界安全防护、主机设备安全防护及应用和数据安全防护等各方面进行不同级别的的安全防护设计。同时同一的安全管理中间保障了安全管理措施和防护的有用协同及一体化管理，保障了安全措施及管理的有用运行和落地。

3 等级珍爱2.0框架

结合等级珍爱2.0相干标准和要求以及国内外最新的安全防护系统模型，从保障用户营业安全高效运举动根本出发点，建设以下框架：

• 以“一个中间、三重防护”为基本模型进行分级分域设计，保障设计方案的合规性。

• 叠加安全可视、动态感知、协同防御三种安万能力构建自动防御系统，提供持续安全珍爱。

• 通过集中运维、安全可视等人性化的技术手段，让安全运维管理更简单高效，带给组织不止合规的价值

  
  

4 总体网络架构设计

5  安全域划分说明

（1）  互联网出口域

    在网络出口需提供多链路负载并主动匹配最优线路，保障网络可用性的同时实现快速接入；需在互联网出口边界进行隔离和访问控制，珍爱内部网络，从2-7层对攻击进行防护，实现对入侵事件的监控、阻断，珍爱团体网络各个安全域免受外网常见恶意攻击；需对互联网出口流量进行识别并对流量进行管控，进步带宽行使率的同时保障用户上网体验；行使网络防病毒，自动扫描web和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能。

（2）  对外服务器域

该安全域内重要承载对外提供服务的服务器等，包括门户网站前端服务器、Web营业服务器等。需在DMZ区域边界设置访问控制策略，并具备应用层攻击检测与防护能力。

（3）  外联域

与对端专网数据对接，需识别专网之间流量中的威胁，实现对流量中入侵举动的检测与阻断。

（4）  终端接入域

安全域内的终端上需具备防恶意代码的能力，并对接入内网的用户终端进行访问控制，明确访问权限以及可访问的网络范围。

（5）  二级体系域

该安全域内重要承载OA办公、考勤体系等单位较紧张的营业信息体系，需对这些营业信息体系提供2-7层安全威胁识别及阻断攻击举动的能力。

（6）  三级体系域

该安全域内重要承载单位核心营业信息体系，包含本次需过等级珍爱测评的XX信息体系，需对这些营业信息体系提供2-7层安全威胁识别及阻断攻击举动的能力，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造攻击）、cookie篡改等；需对存储营业信息体系产生的数据访问权限进行划分，并对数据的相干操作进行审计；需对敏感或紧张数据进行备份。

（7）  其他服务器域

该安全域内重要承载邮件服务、文件服务、文件共享等一样平常营业信息体系，需对这些营业信息体系提供2-7层安全威胁识别及阻断攻击举动的能力。

（8）  运维管理域

该区域说明如下：该安全域对营业环境下的网络操作举动进行集中管理与细粒度审计；用于监控内网安全域之间的流量，对流量中的威胁进行实时检测并同一呈现。

6    安全可视辅助决策简化运维

    网络安全必要“看见”。只有看得见的安全才是真正的安全，通过网络风险可视化，将安全状态直观地呈现出来，实现更精准的风险分析及判断，更高效的安全运维和风险处置。

    可视是安全的基础，要求提供全程可视：风险的可视、珍爱过程和效果的可视，而非碎片化的攻击可视。

    提供可视化风险展示功能，够将检测识别到的针对网站营业和接入用户的安全风险以图形化报表实时分类展示出来，如入侵风险、实时漏洞风险、数据风险和黑链风险等，才是一个可视的网络安全平台。

    这种简单易懂、可视化的安全展示方法，解决了传统安全设备的日志多、日志展示体例过于技术化，用户无法快速搞懂组织真实安全近况的题目。

同时网络安全等级珍爱解决方案给用户带来全网安全可视、预警及相应，高效感知内部高级安全风险；在外部，通过大量的外部威胁情报，辅助高级安全事件的分析；在网络内部，在各个子域的关键节点上，通过探针或安全设备，精准的采集有用检测信息。将外部威胁情报和内部真实流量信息汇总到一路，通过举动分析、机器学习等算法对各类隐蔽到网络内部的高级威胁进行检测，并通过可视化的体例，最终让我们感知到我们如今是否安全？哪里不安全？造成什么危害，并如何处置。

7   动态感知持续检测

    基于业界领先信息安全理念，采用业界领先的大数据、人工智能技术安全，建立了安全感知平台，在安全事件发生前就能够及时发现并采用有用安全策略，从而降低企业安全风险。态势感知必要从“来源提取”，“检测分析”，“交付可视”，与“处置相应”四个方面来构建安全系统。

技术架构图

（1）  资产的新增或变更感知

    通过营业识别引擎自动识别新增营业资产或变更新的营业资产。

发现资产变更后，主动对“变动资产”进行增量评估。削减新漏洞在网上暴露时间。

（2）  隐蔽威胁及风险感知

    实时汇集漏洞扫描信息，感知漏洞分别及危害情况，对绕过边界防御的进入到内网的攻击进行检测，以填补静态防御的不足。

（3）  安全事件感知

    对内部紧张营业资产已发生的安全事件进行持续检测，第临时间发现已发生的安全事件。

（4）  非常举动感知

    对内部用户、营业资产的非常举动进行持续的检测，发现潜在风险以降低可能的损失。

    网络安全等级珍爱解决方案给用户带来动态感知和持续检测的能力，可不间断的感知营业风险。首先从营业维度展示安全近况，然后，从攻击链的角度，让客户看到资产的失陷状况。接下来，对失陷资产进行细致的举证，让用户看到威胁的缘故原由、危害，并为客户提供专杀工具会处置建议。最后，我们要让客户看到这个威胁的影响面有多大，让客户看到内部的非常访问关系，是谁攻击了我，我攻击了谁？同时对失陷资产进行横向举动和外联举动的画像。

8 协同防御，多级联动

    在曩昔的安全系统，每个安全节点各自为战，没有实质性的联动。而假如这些安全环节能协同作战、互补不足，则会带来更好的防御结果。等级珍爱2.0架构帮忙用户构建多级联动安全防御系统，形成威胁的防御、检测、相应和展望，形成闭环，应对各种攻击。同时，以智能集成联动的体例工作，应对高级威胁。我们可以联动下一代防火墙一键阻断木马与黑客的通讯；可以联动举动管理，发生安全事件可及时在用户端告警；可以通过病毒发现联动，实现内网终端病毒扫描和查杀；还可以联动数据库审计，做防泄密的分析和追踪等等。

（1）  动多级相应与联动机制