安全等级保护建设方案

Xx 信息安全等级保护（三级）建设方案 目录 1.前言3 1.1概述3 1.2相关政策及标准3 2.现状及需求分析5 2.1.现状分析5 2.2.需求分析5 3.等保三级建设总体规划6 3.1.网络边界安全建设6 3.2.日记集中审计建设6 3.3.安全运维建设6 3.4.等保及安全合规性自查建设6 3.5.建设方案优势总结7 4.等保三级建设相关产品介绍9 4.1.网络边界安全防护9 4.1.1标准规定9 4.1.2明御下一代防火墙10 4.1.3明御入侵防御系统（IPS）13 4.2.日记及数据库安全审计15 4.2.1标准规定15 4.2.2明御综合日记审计平台17 4.2.3明御数据库审计与风险控制系统19 4.3.安全运维审计22 4.3.1标准规定22 4.3.2明御运维审计和风险控制系统23 4.4.核心WEB应用安全防护26 4.3.1标准规定26 4.3.2明御WEB应用防火墙27 4.3.3明御网站卫士30 4.5.等保及安全合规检查31 4.5.1标准规定31 4.5.2明鉴WEB应用弱点扫描器32 4.5.3明鉴数据库弱点扫描器34 4.5.4明鉴远程安全评估系统37 4.5.5明鉴信息安全等级保护检查工具箱38 4.6.等保建设征询服务40 4.6.1服务概述40 4.6.2安全服务遵循标准41 4.6.3服务内容及客户收益41 5.等保三级建设配置建议42 1. 前言 1.1 概述 随着互联网金融的快速发展，金融机构对信息系统的依赖限度日益增高，信息安全的问题也越来越突出。同时，由于利益的驱使，针对金融机构的安全威胁越来越多，特别是涉及民生与金融相关的单位，收到袭击的次数日渐频繁，相关单位必须加强自身的信息安全保障工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提高我国重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2023年联合颁布861号文献《关于开展全国重要信息系统安全等级保护定级工作的告知》和《信息安全等级保护管理办法》，规定涉及国计民生的信息系统应达成一定的安全等级，根据文献精神和等级划分的原则，涉及到政府机关、金融等核心信息系统，构筑至少应达成三级或以上防护规定。 互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度的确立和实行，无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信息安全的大事，为保证重要行业和单位的等级保护信息系统顺利开展实行，同时出台了一系列政策文献来规范、指导和推动风险评估工作的进行，等级保护也积极响应各种标准和政策，以保障重点行业信息系统安全。 1.2 相关政策及标准 国家相关部门对等级保护安全规定相称重视，相继出台多个信息安全相关指导意见与法规，重要有： 《中华人民共和国计算机信息系统安全等级保护条例》（国务院147号令） 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的告知》（公信安〔2023〕303） 《GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定》 《GB/T20984—2023 信息安全技术 信息安全风险评估规范》 《GB17859-1999 信息系统安全等级保护测评准则》 其中，目前等级保护等保重要安全依据，重要参照《GB17859-1999 信息系统安全等级保护测评准则》和《GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定》，本方案亦重要依据这两个标准，以其他规定为辅，来建立本技术方案。 2. 现状及需求分析 2.1. 现状分析 xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级，通过第三方测评、整体分析与风险分析，xx业务系统中存在与国家等级保护三级标准规定不符合项。 2.2. 需求分析 为了满足达成国家GB/T 22239-2023《信息技术信息系统安全等级保护基本规定》相应的等级保护能力规定，xx业务管理系统启动等级保护安全整改工作，以增强系统的安全防护能力，有效抵御内部和外部威胁，为切实达成国家及行业信息安全等级保护相应规定，使xx业务管理系统在现有运营环境下风险可控，可认为xx客户及内部各部门提供安全、稳定的业务服务。 本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日记审计、管理制度等方面的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。 一、安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所发现的安全问题风险中，如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。 二、审计分析：审计分析在三级等级保护规定中，占据重要地位，涉及网络安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相关建设上缺少必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能力，和审计分析能力十分必要。 三、安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在所发现安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部署相应管理设备加以解决。 四、管理制度:管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、填补安全管理制度中的局限性，从管理制度整体协助满足等级保护的相关规定。 3. 等保三级建设总体规划 根据现有安全形势特点，针对三级等级保护的各项规定，需针对网络边界安全、日记集中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系统构建。 3.1. 网络边界安全建设 在网络边界处需加强对网络防护、WEB应用防护措施，通过相关的网络安全设备部署核心链路中，按照信息安全等级保护标准进行建设。 3.2. 日记集中审计建设 数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返回给客户端的数据双向镜像到一个互换机接口作为数据库审计设备的采集口，如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。 综合日记审计系统为旁路部署，仅需要将系统分派好IP地址，对各型服务器、数据库、安全设备、网络设备配置日记发送方式，将自动收集各类设备的安全日记和运营日记，进行集中查询和管理。 数据库弱点扫描器部署在专用电脑上，定期对数据库进行安全检测。 3.3.