等级保护二级和三级的拓扑图

123

(一)二级等保(基础版)规划设计

NGFW【必配】:融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全区域边界、通信网络加密传输要求

  • 【主机杀毒软件】【必配】:解决安全计算环境要求

  • 【日志审计系统】【必配】:解决安全管理中心要求

  • 【数据库审计】【必配】:解决安全管理中心审计要求

(二)三级等保(基础版)规划设计

  • 【接入边界NGFW】【必配】:融合防火墙安全策略、访问控制功能。解决安全区域边界要求,并开启AV模块功能;配置网络接入控制功能(802.1X);配置SSL VPN功能;

  • 【分区边界NGFW 】【必配】:用于解决安全分区边界的访问控制问题;

  • 【主机杀毒软件】【必配】:解决安全计算环境要求;

  • 【日志审计系统】【必配】:解决安全管理中心要求;

  • 【堡垒机】【必配】:解决集中管控、安全审计要求;

  • 【数据库审计】【必选】:解决数据库操作行为和内容等进行细粒度的审计和管理,需要根据系统内是否包含数据库业务系统选择;

  • 【漏洞扫描】【必配】;

  • 【上网行为管理】【必选】;

  • 【WAF】【选配】。


(三)三级等保(增强版)规划设计

  • 【NGFW】(必选);开启VPN,AV特性;

  • 【IPS】(必选);解决区域边界入侵防御;

  • 【Anti-DDoS】【必选】;

  • 【APT沙箱】【必选】:新型网络攻击行为

  • 【上网行为管理】【必选】;

  • 【日志审计系统】(必选);

  • 【数据库审计系统】(必选);

  • 【漏洞扫描】(必选);

  • 【主机杀毒软件】(必选);

  • 【态势感知】【必选】;

  • 【WAF应用防火墙】【必选】;

  • 【运维堡垒机】【必选】;

  • 【网络准入控制系统】【必选】;

  • 【认证服务器】【必选】;

  • 【网页防篡改】【可选】;

  • 【主机入侵防御HIPS】【可选】;

  • 【DLP数据防泄漏】【可选】;

  • 【IAM身份鉴别平台】【可选】;

  • 【态势感知探针】【可选】:可复用NGFW的能力

(三)三级等保(豪华版)规划设计

多网架构,内网和外网物理隔离,通过网闸互通,其余规划同上。

注:内网安全要求比外网高,故安全规划考虑更完善。


项目背景
副标题

上海司法厅是贯彻执行国家司法行政的方针、政策,拟定上海全市司法行政工作的政策、法规的重要组织机构。上海司法厅根据国家部署及业务需要先后建立了司法专网及行政办公网,目前两套网络之间完全物理隔离。但上海司法厅现有安全设备单一,防护能力较弱,无法提供满足当前网络安全形势的防护能力,从而无法保障关键数据的安全性。

安全风险
Security risk
01
——
网页防篡改
上海司法局网站是政府单位面向群众、服务群众的重要平台,网站内容的完整性极其重要,如何防止网站内容被篡改成为司法网站安全的重中之重。
02
——
业务防中断
由于信息化的快速发展,电子政务系统承载了大量的政府相关工作,因此电子政务系统需加强对SQL注入、CC攻击等网络威胁的防护,防止业务因网络攻击 而中断。
03
——
统一管理
政府单位下属单位及部门往往因职责需要分散在各区域,无法对这些下属单位及部门进行统一的有效的安全管理工作。
方案价值
Programme value
建立、健全基于智能、防御、检测、响应及运营的能力模型的安全保护架构,使上海司法厅信息系统具备安全可视、持续检测 和协同防御等安全能力,提升网络安全解决方案整体价值,以等级保护安全框架为依据和参考,在满足国家法律法规和标准 体系的前提下通过“一个中心、三重防护”的安全设计,形成网络安全综合技术防护体系。突出技术思维和立体防范,注重全方 位主动防御、动态防御、整体防控和精准防护。