数字化项目等保2.0测评及整改技术方案.docx

《数字化项目等保2.0测评及整改技术方案.docx》由会员分享，可在线阅读，更多相关《数字化项目等保2.0测评及整改技术方案.docx（19页珍藏版）》请在优知文库上搜索。

1、等保测评整改技术方案目录一、方案概述31项目建设背景31. 1法律依据31.2政策依据32项目建设目标及内容42. 1建设目标52.2建设内容53方案设计依据及网络安全等级保护要求5二、安全整改网络拓扑图61现状及整改建议161. 1安全物理环境161.2安全通信网络171.3安全区域边界181.4安全计算环境191.5安全管理中心282设备整改采购清单29三、安全加固参考31一方案概述1项目建设背景1.1 法律依据1994年中华人民共和国计算机信息系统安全保护条例（国务院令第147号）第九条明确规定，”计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有

2、关部门制定”,2017年网络安全法第二十条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级省案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。网络安全法的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志若国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法

3、全面实施。1.2 政策依据2003年，S国家信息化领导小组关于加强信息安全保障工作的意见（中办发（2003）27号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的项制度提升到国家信息安全保障工作的基本制度.2001年7月3日审议通过的关于信息安全等级保护工作的实施意见（公通字（2004）66号）指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会程定和公共利益，

4、保障和促进信息化建设健康发展的一项基本制度。自2007年信息安全等级保护管理办法（公通字（2007）43号）颁布以来，一直是国家层面推动网络安全工作的重要抓手。2012年，国务院关于推进信息化发展和切实保障信息安全的若干意见（国发（2012）23号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。除此之外，下列政策文件也对等级保护相关工作提出了耍求：关于开展信息系统安全等级保护基础调查工作的通知（公信安（2005）1431号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安（2007）861号）关丁加强国家电子政务工程建设项目信

5、息安全风险评估工作的通知（发改商技（2008）2071号）国家发展改革委关于进步加强国家电了政务工程建设项目管理工作的通知（发改高技（2008）2544号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安（2009）1429号）关于进一步推动中央企业信息安全等级保护工作的通知（公通字（2010）70号）关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安（2010）303号）关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技（2012）1986号）全国人民代表大会常务委员会关于加强网络信息保护的决定（2012年12月28日第十一届全国人民代表大会常务委员会第

6、三十次会议通过）网络安全等级保护条例（征求意见稿（2018年6月）2项目建设目标及内容2.1 建设目标本次项目建设将根据力等级保妒测评整改建议先要求,依据网络安全等级保护相关额准和指球规范，对*单位的收费系统、生产系统迸行网络安全规划。最终使收快系统满足等皴保护三级的要求,生产系统满足等级保护：侬要求.2.2 建设内容本整改方案以*单位收费系统和生产系统笄蝮保护达到安全等级保护笫三级和第二级要求.借助当前主流一般品牌网络产品、安全产品、安全服务、管理制度等手段，建立盛华热力全网的安全防控管理服务体系。3方案设计依据及网络安全等级保护要求方案根据GB/T22239-2019信息安全技术网络安全等

7、级保护基本要求并参照GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求的通用设计技术要求。除上述两个标准外，还参考如下相关标准：信息技术安全技术信息安全管理体系要求B(IS0/IEC27001:2013)信息技术安全技术信息安全控制实用规则(ISO/1EC27002：2013)C计算机信息系统安全保护等级划分准则3(GB17859-1999)信息安全技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护定级指南GBT22240-2008)网络安全等级保护定级指南(GA/T1389-2017)信息安全技术信息系统安全等级保护实施指南GBT2

8、5058-2010)信息安全技术网络安全等级保护测评要求GBT28448-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28149-2018)二安全整改网络拓扑图方案一方案二*宝MUMW禽力m3iA统安夕改工对MBM供方案三康宝口丽建燃力O*公Be:mXMWe安M安2UfUBtfeIHB方案四务求口2r*UWjt1.*公5W1.产叁蜕“侪安全&公务女帖，网三、系统设备及测评费用*单位网络安全整改设备系统预算（收费三级、控制二级）方案一序号产品类别产品名酬9单位单价网络安全等保整改安全设备报价1收费专淡防火增H3CF1.OOO-AK1020硬件：采用非X86多核架构，HJ机架式设备

9、,8个兆电11+2对Combo1（含1个管理电口）+2个ByDaSS.I个Conso1.eU,2个USB1.1.性能：七层吞吐量800Mbps.三层吞吐*3.5Gbps：并发连接数80万，好秒新也连接数（HTrP）1.5万.配套授权I3年AV、IPS、UR1.、T1.特征库升级授权.15个SS1.YPN用户授权，鞋路依我不限制迸路数盘，硬件质保限务：三年原厂硬件质保及510*NBD法件服芬1台28900.002堡垒机H3C2000-AK601硬件：IU高机架式硬件架构.BGB内存，ITB硬施容量，标准配置6个以太网千兆电口，支持1个接口扩展植1台61730.OO位，支持M个以太网千兆接1或4个

10、万兆接口的扩展能力.性能：戢大图形并发连接数50个，及大字符并发连接数20。个.配套授权r跃认可管理资产50个.RDS授权1个.硬件顺保服务：三年原厂硬件侦保及51（WD符件服务。3日志事计H3CCSAP-SA-K640硬件：IU高机架式硬件架构.单电源,2T硬盘容量，标准配置6个兆电口，支持1个接口扩展1位性能:日志处理逑率2000EPS,日志容量6亿条.配套授权：默认支持60个设备，可扩胧至180个设的硬件质保眼务：三年晓厂慢件质保及5*IOWBD备件服务1台65780.001数据库中计II3CD2000-AK6615硬件：IU码机架式硬件架构，支持双电源，8G内存，2T硬盆，支持2个管理

11、接1.1.业务接口不少于4个以太网千兆电口.同时支持至少I个接口扩腱槽位,具备至少8个及以太网千兆接口成4个万兆接口的扩展能力。性能：SQ1.岬值处理能力不低于1.5万条/秒.日志存储数fit不低于10亿条，最大乔吐量不低于100OMbps,向审计数据库流Iit不抵于100Mbps配套授权r跃认支林审计I个数据库实例.每业务挂我数据年依艮不限硬件出保眼务:：年原厂硬件侦保及5*KM=NBD备件服务。1台85700.005漏洞扫描H3CSysScan-AK810硬件：IU高机架式硬件架构，IT硬盘容S1.1个管理口.5个以太网干亮业务电口，支持1个接口扩展槽位，性能：系统、数据库、茶戏扫描IP总

12、并发120个.系统、数据库、基妓扫描任务总并发6个.Ueb扫描并发1个.门令猜解并发任务数1个配套授权:3邱漏洞库（含操作系统、数据库和I1.EB应用的漏洞规则库）升级段权的，128个IP扫描敷置.硬件质保服务：三年原厂硬件质保及5*KH=NBR缶件服务1台76300.006铲专线防火堵H3C硬件：采用非X86多核架构.IU机架式设备.8个千兆电口+2对OxnboF1.（含1个管理电口）+2个ByPaSSQ.I个COnSoIeU.2个USB1.J.性能：七层存吐fit800Mbps.三层吞吐量3.5Gbps：并发连接数80万，每秒新建连接数（HTTP）1.5万.配套授权；3年AV、IPS,UR

13、1.T1.特征库升级授权，15个SS1.YPN用户授权,路负我不限出跳路数t.硬件侦保我务:三年原厂硬件质保及5*10*NBD%件服务1台28900.007核心交换机H3CS7503E-M整合收费可生产网,利用三层路由及V1.AN划分整合管理忖络资源,以太网交换机电口套包主机*1引整*1电源”2三层交换机，48个千兆电口1台29000.008系统整改集成、配K1.加冏、管理体系手册服务设备安装.设备安全端口管理司试、系统补漏.数据际更新、系统设备配W.1.h管理体系手册及制度上墙展板，1次20000.009上网行为H3CACG1000-AK230Wfti采用非X86多核架构2U机架大设备,具备

14、2.4寸液晶屏.10个干%IUd+4对Combo1,I个Conso1.e口，1个CSB,2个扩展槽位，自带IT硬盘.性能:三层吞吐fit2Gbps七层吞吐员800ps:功能全开适用带宽3O0M,行为审计&应用控制适用终端规桢100O台.配套授权：3年院用识别&UR1.特征阵开被服务，免也K）个SS1.YPN并发故，琏路负我不附制链路数Ik股务牌负我功能免授权，假件质保服务：三年原厂硬件场保及5*10*MJD各件服务1台可选小计叁拾玖万陆什叁佰者拾元整396310.005漏河扫描H3CSysScan-AK810硬件：I1.岛机架式极!件架构IT硬fit容fit,I个管理口,5个以太网千兆业务电口，支持1个接口犷展槽位性使：系诜，数据库、基税打描IP总并发120个,泰统、数擀蚱、基线旧描任务总并发6个.Web扫描并发1个.11令猫解并发任务数1个赳套授权：3年漏洞库（含操作系统、数据库和IEB应用的京洞规则库）升级授权函，128个IP扫描数Ik硬件场保服务：三年版厂硬件质保及5*1.0NBD备件服务1台76300.0076300.006小型VPN防火墙