安全技术防护体系设计方案(等保三级)
三级等保安全建设实施方案
三级等保安全建设方案————————————————————————————————作者:————————————————————————————————日期:目录三级等保安全设计思路 (4)1、保护对象框架 (4)2、整体保障框架 (4)3 、安全措施框架 (5)4、安全区域划分 (6)5、安全措施选择 (7)6、需求分析 (8)6.1、系统现状 (8)6.2、现有措施 (8)6.3 具体需求 (8)6.3.1 等级保护技术需求 (8)6.3.2 等级保护管理需求 (9)7、安全策略 (9)7.1 总体安全策略 (9)7.2 具体安全策略 (9)8、安全解决方案 (10)8.1 安全技术体系 (10)8.1.1 安全防护系统 (10)8.2 安全管理体系 (10)9、安全服务 (10)9.1 风险评估服务 (10)9.2 管理监控服务 (10)9.3 管理咨询服务 (11)9.4 安全培训服务 (11)9.5 安全集成服务 (11)10、方案总结 (12)11、产品选型 (12)三级等保安全设计思路1、保护对象框架保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。
具体内容略。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:图1. 保护对象框架的示意图2、整体保障框架就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。
等保三级方案
等保三级方案1. 简介等保三级是指中国国家互联网信息办公室发布的《互联网安全等级保护管理办法》中规定的网络安全等级保护的最高级别。
等保三级方案是指企业或组织为了达到等保三级标准所采取的一系列措施和规范。
本文将介绍等保三级的概念、目标和具体实施方案。
2. 动机和目标等保三级方案的动机和目标是保护企业或组织的网络系统和信息资源的安全性和完整性,防止信息泄露、数据丢失和服务中断等安全事件的发生。
具体目标包括:•构建完备的网络安全体系•确保网络系统的可用性、可靠性和稳定性•防止未经授权的访问和恶意攻击•确保信息和数据的机密性和完整性•提高应急响应和恢复能力3. 实施步骤3.1 评估和规划在开始实施等保三级方案之前,需要进行评估和规划。
评估主要是对现有网络系统和信息资源的安全状况进行全面的调查和分析,确定存在的风险和威胁。
规划则是基于评估结果,制定出适合企业或组织的等保三级方案实施计划和安全策略。
3.2 安全设备和软件配置根据规划中确定的安全策略,配置安全设备和软件,以增强网络系统的安全性。
这包括但不限于防火墙、入侵检测和防护系统、虚拟专用网络(VPN)、加密通信协议等。
通过合理配置和使用这些安全设备和软件,可以防御网络攻击并有效保护信息资源。
3.3 访问控制和身份验证设置合理的访问控制机制,限制不同用户或角色的访问权限。
这包括用户身份验证、访问权限管理和行为审计等措施,确保只有经过身份认证和授权的用户才能访问敏感信息和系统资源。
3.4 加密和数据保护通过合理的加密算法和技术,保护数据的安全和机密性。
加密可以应用于数据存储、数据传输和通信链路等环节,有效防止数据被窃取、篡改或泄露。
此外,应制定数据备份和灾难恢复计划,确保数据的可靠性和完整性。
3.5 培训和意识提高对企业或组织的员工进行网络安全培训,提高他们的安全意识和应急反应能力。
培训内容可以包括密码安全、社会工程学攻击防范、恶意软件识别和安全策略宣传等。
网络安全等级保护设计方案(三级)-技术体系设计
网络安全等级保护设计方案(三级)-技术体系设计XXX科技有限公司20XX年XX月XX日目录一安全计算环境 (3)1.1 用户身份鉴别 (3)1.2 自主访问控制 (6)1.3 标记和强制访问控制 (7)1.4 系统安全审计 (8)1.5 用户数据完整性保护 (9)1.6 用户数据保密性保护 (10)1.7 数据备份恢复 (11)1.8 客体安全重用 (14)1.9 可信验证 (14)1.10 配置可信检查 (16)1.11 入侵检测和恶意代码防范 (16)1.12 个人信息保护 (16)二安全区域边界 (17)2.1 区域边界访问控制 (17)2.2 区域边界包过滤 (18)2.3 区域边界安全审计 (18)2.4 区域边界完整性保护 (19)2.5 入侵防范 (21)2.6 恶意代码和垃圾邮件防范 (22)2.7 可信验证 (22)三安全通信网络 (23)3.1 网络架构 (23)3.2 通信网络安全审计 (26)3.3 通信网络数据传输完整性保护 (28)3.4 通信网络数据传输保密性保护 (28)3.5 可信连接验证 (29)四安全管理中心 (29)4.1 系统管理 (29)4.2 安全管理 (30)4.3 审计管理 (30)4.4 集中管控 (31)五安全物理环境 (32)5.1 物理位置选择 (32)5.2 物理访问控制 (33)5.3 防盗窃和防破坏 (33)5.4 防雷击 (33)5.5 防火 (34)5.6 防水和防潮 (34)5.7 防静电 (35)5.8 温湿度控制 (35)5.9 电力供应 (35)5.10 电磁防护 (36)5.11 智慧机房安全建设 (36)六结论 (37)一安全计算环境依据《网络安全等级保护安全设计技术要求》中的第三级系统“通用安全计算环境设计技术要求”,同时参照《网络安全等级保护基本要求》等标准要求,对等级保护对象涉及到的安全计算环境进行设计,设计内容包括用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、数据备份恢复、客体安全重用、可信验证、配置可信检查、入侵检测和恶意代码防范、个人信息保护等方面。
网络安全等级保护等保03级建设内容设计方案
网络安全等级保护等保03级建设内容设计方案网络安全等级保护(等保)是指在国家网络安全监管体系的指导下,根据一定的安全等级要求,采取相关保护措施,建立和完善信息系统的安全保护机制,以保障信息系统及其内部的信息安全。
等保03级为较高级别的安全等级标准,要求对信息系统进行全面覆盖的安全保护。
下面是一个1200字以上的网络安全等级保护等保03级建设内容设计方案:一、安全管理体系建设1.建立完善的信息安全管理体系,并确保其与企业整体管理体系相衔接。
2.制定并实施信息安全管理制度和相关操作指南,规范员工的信息安全行为。
3.建立安全意识培训和教育制度,对员工进行定期的信息安全培训,提高员工的安全意识和技能。
4.建立定期的安全审计和安全检查机制,及时发现和解决安全隐患。
5.建立有效的应急预案和演练制度,确保在安全事件发生时能够迅速应对和处理。
二、安全架构设计和实施1.制定信息系统安全设计方案,包括网络架构、系统架构、安全设备等相关内容。
2.根据建设方案,进行安全设备和系统的采购、配置和部署,确保其适应等保03级的要求。
3.加强网络边界的保护,建立安全的防火墙、入侵检测和入侵防御系统,监控网络流量并及时发现异常活动。
4.加强对重要数据的安全保护,建立数据备份、灾备和恢复机制,防止数据丢失和泄露。
5.加强对用户身份验证和访问控制的管理,采用多因素认证和权限控制等措施,防止未经授权的访问和操作。
三、安全监测和响应能力建设1.建立安全事件监测和响应系统,对网络流量、日志、异常行为等进行实时监控和分析。
2.建立威胁情报收集和分析机制,及时获取最新的安全威胁信息,并进行相应的防护措施。
3.建立安全事件响应和处置机制,制定详细的事件响应流程和处置方案,确保对安全事件进行及时处理。
4.建立安全事件的报告和通知机制,及时向上级主管部门和相关部门汇报重大安全事件。
5.建立安全漏洞管理制度,及时修复系统和应用程序的安全漏洞,防止黑客利用漏洞进行攻击。
等保三级网络安全建设技术方案
等保三级网络安全建设技术方案目录1 项目建设背景 (5)1.1安全建设流程 (5)1.2安全建设目标 (5)1.3安全建设依据 (6)2 安全风险与需求分析 (6)2.1安全技术需求分析 (6)2.1.1 安全物理需求 (6)2.1.2 安全计算需求 (7)2.1.3 安全边界需求 (8)2.1.4 安全通信网络需求 (9)2.2安全管理需求 (9)3 安全技术体系方案设计 (10)3.1方案设计框架 (10)3.2安全技术体系设计 (11)3.2.1 物理安全设计 (11)3.2.2 通信网络安全设计 (11)3.2.2.1 网络结构安全 (11)3.2.2.2 网络安全审计 (11)3.2.2.3 网络设备防护 (12)3.2.2.4 通信完整性 (12)3.2.2.5 通信保密性 (12)3.2.2.6 网络可信接入 (12)3.2.3 边界安全设计 (13)3.2.3.1 边界访问控制 (13)3.2.3.2 网络边界完整性检测 (14)3.2.3.3 边界入侵防范 (14)3.2.3.4 边界安全审计 (14)3.2.3.5 边界恶意代码防范 (14)3.2.4 计算环境安全设计 (15)3.2.4.1 身份鉴别 (15)3.2.4.2 访问控制 (15)3.2.4.3 系统安全审计 (16)3.2.4.4 备份与恢复 (16)3.2.5 安全管理中心设计 (17)3.2.5.1 系统管理 (18)3.2.5.2 审计管理 (18)4 安全管理体系设计 (18)5 安全建设 (19)5.1SSL VPN (19)5.1.1 完善的VPN网络集中管理功能 (19)5.1.2 支持灵活的移动用户接入策略 (20)5.1.3 集成强大的网络附加功能 (20)5.2一体化自动备份系统 (20)5.2.1 数据缩减技术 (20)5.2.2 可管理性 (21)5.2.3 资源横向扩展 (21)5.3网闸 (22)5.3.1 应用协议内容安全 (22)5.3.2 灵活的多网隔离 (23)5.3.3 完善的日志和审计 (24)5.4数据库审计系统 (24)5.4.1 全面系统管理能力 (24)5.4.2 全面有效减少核心信息资产的破坏和泄漏 (24)5.5网页防篡改系统 (25)5.5.1 基于内核驱动保护技术 (25)5.5.2 连续篡改攻击保护 (25)5.5.3 支持日志导出查询 (26)1项目建设背景依据实际项目情况描述。
网络安全等级保护设计方案(三级)-运营体系设计
网络安全等级保护设计方案(三级)-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。
要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。
通过运营将等保2.0中的技术要求和管理要求有效落地。
安全运营工作即可以用户自己做,也可以由厂商提供安全服务,来帮助用户实现持续的安全运营。
安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁,是管理的基本要素。
以漏洞和威胁为基础,把技术和管理体系融合,帮助用户建立安全运营体系。
安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式,满足不用用户场景下的需求。
漏洞管理服务服务内容:三安全评估服务根据用户网络安全实际需求,为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。
资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案。
脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。
失陷检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为,判断主机失陷状态。
安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析,缺少灵活性,而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘,弥补了仅仅使用安全产品对系统分析的不足,通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点,有助于后续的网络安全建设。
安全管理防护体系设计方案(等保三级)
网络安全等级保护安全管理防护体系设计方案XXX科技有限公司20XX年XX月XX日目录一安全管理制度设计 (3)1.1 安全策略 (3)1.2 管理制度 (3)1.3 制定和发布 (3)1.4 评审和修订 (4)二安全管理机构设计 (4)2.1 岗位设置 (4)2.2 人员配备 (5)2.3 授权和审批 (5)2.4 沟通和合作 (5)2.5 审核和检查 (6)三安全人员管理设计 (6)3.1 人员录用 (6)3.2 人员离岗 (6)3.3 安全意识教育和培训 (6)3.4 外部人员访问管理 (6)四安全建设管理设计 (7)4.1 定级备案 (7)4.2 安全方案设计 (7)4.3 产品采购和使用 (7)4.4 自行软件开发 (7)4.5 外包软件开发 (8)4.6 工程实施 (8)4.7 测试验收 (8)4.8 系统交付 (8)4.9 等级测评 (9)4.10 服务供应商选择 (9)五安全运维管理设计 (9)5.1 环境管理 (9)5.2 资产管理 (10)5.3 介质管理 (10)5.4 设备维护管理 (11)5.5 漏洞和风险管理 (11)5.6 网络和系统安全管理 (11)5.7 恶意代码防范管理 (12)5.8 配置管理 (12)5.9 密码管理 (12)5.10 变更管理 (12)5.11 备份与恢复管理 (13)5.12 安全事件处置 (13)5.13 应急预案管理 (14)5.14 外包运维管理 (14)5.15 安全评估服务 (14)5.16 渗透测试服务 (15)5.17 源代码审计服务 (15)5.18 安全加固服务 (15)5.19 安全值守服务 (15)5.20 安全培训服务 (15)一安全管理制度设计安全策略和审计制度是对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。
安全策略和审计制度是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。
等保三级方案范文
等保三级方案范文一、等级定义二、等级要求等保三级要求满足以下几个方面的要求:1.安全保密性:信息系统可以防止机密信息被未授权的实体获取,确保信息的机密性。
2.安全完整性:信息系统可以防止数据被未授权的实体篡改、毁坏或删除,确保数据的完整性。
3.可用性:信息系统可以及时提供服务,确保系统的可用性,降低因服务不可用导致的影响。
4.防护能力:信息系统可以抵御网络攻击、病毒和恶意软件的侵入,并不能被未授权的实体访问和利用。
5.安全合规性:信息系统需满足相关法律法规的要求,对数据进行合法、规范、合规的处理。
三、等级控制等保三级可以采取以下控制措施:1.访问控制:采用强密码策略,对用户身份进行验证和授权,限制用户权限,确保只有授权用户可以访问相关信息系统。
2.安全审计:在关键节点设置日志记录,对系统进行审计,发现异常情况及时采取相应措施。
3.网络边界防护:通过防火墙、入侵检测系统等技术措施对网络进行边界防护,限制外部攻击者的入侵。
4.防病毒措施:使用权威的防病毒软件,对系统进行实时监测和防护,保证系统免受恶意软件的侵害。
5.数据备份与恢复:定期对关键数据进行备份,并建立合适的恢复机制,以免数据丢失造成不可挽回的损失。
6.安全培训与教育:定期对用户进行网络安全培训和教育,提高用户的安全意识和能力,减少因人为因素导致的安全事故。
四、实施步骤1.策划阶段:明确等级保护目标,确定保护范围和保护目标,制定等级保护计划。
2.实施阶段:根据等级保护计划,进行网络设备的安全配置、系统补丁的安装、安全策略的制定与执行等实施工作。
3.运行阶段:运行期间持续进行安全监测和审计,及时发现并处理安全事件,确保系统安全运行。
4.评估阶段:定期对系统进行安全评估,发现安全缺陷并进行整改。
五、风险管理1.风险评估:通过对等级保护对象进行威胁分析和风险评估,识别潜在的风险,为风险处理提供依据。
2.风险处理:对识别出的风险进行相应的处理措施,包括风险防范、风险转移、风险控制和风险接受等方法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全等级保护安全技术防护体系设计方案XXX科技有限公司20XX年XX月XX日目录一安全物理环境 (3)1.1 物理位置选择 (3)1.2 物理访问控制 (3)1.3 防盗窃和防破坏 (3)1.4 防雷击 (4)1.5 防火 (4)1.6 防水和防潮 (4)1.7 防静电 (5)1.8 温湿度控制 (5)1.9 电力供应 (6)1.10 电磁防护 (6)二安全通信网络防护设计 (6)2.1 网络架构 (6)2.2 通信网络安全传输 (7)2.3 可信验证 (7)2.4 远程安全接入防护 (7)2.5 通信网络安全审计 (7)三安全区域边界防护设计 (8)3.1 边界防护 (8)3.2 访问控制 (8)3.3 入侵防护 (9)3.4 边界恶意代码防护和垃圾邮件防范 (9)3.5 安全审计 (9)3.6 可信验证 (9)3.7 带宽流量负载管理 (10)3.8 无线网络安全管理 (10)3.9 抗DDoS攻击防护 (10)3.10 APT攻击检测防护 (10)3.11 违规外联/安全接入控制 (10)四安全计算环境防护设计 (11)4.1 身份鉴别 (11)4.2 安全审计 (11)4.3 入侵防范 (12)4.4 恶意代码防范 (12)4.5 可信验证 (12)4.6 数据完整性 (12)4.7 数据保密性 (13)4.8 数据备份恢复 (14)4.9 剩余信息保护 (16)4.10 个人信息保护 (17)4.11 安全通信传输 (18)4.12 主机安全加固 (18)4.13 终端安全基线 (18)4.14 漏洞检测扫描 (19)4.15 Web应用安全防护 (19)4.16 主机运行监控 (19)4.17 安全配置核查 (19)五安全管理中心设计 (20)5.1 系统管理 (20)5.2 审计管理 (20)5.3 安全管理 (21)5.4 集中管控 (21)一安全物理环境依据《网络安全等级保护基本要求》中的“安全物理环境”要求,同时参照《信息系统物理安全技术要求》(GB/T 21052-2007),对等级保护对象所涉及到的主机房、辅助机房和异地备份机房等进行物理安全设计,设计内容包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应及电磁防护等方面。
1.1物理位置选择机房场地选择在具有防震、防风和防雨等能力的建筑内,机房和办公场地所在建筑物具有建筑物抗震设防审批文档;机房场地避免设在建筑物的顶层或地下室,受条件限制必须将机房场地设置在建筑物的顶层或地下室时,必须加强防水和防潮措施。
1.2物理访问控制机房应设置单独出入口,出入口配置电子门禁系统,并对进入的人员进行控制、鉴别和记录,而不仅仅是简单地通过门禁限制人员的出入,必须有身份鉴别系统,通过授权管理,只有通过身份认证的合法人员方可进出门禁控制区域,从物理访问上加强对机房的管理。
1.3防盗窃和防破坏将等级保护对象中的信息设备或主要部件安装在机房机架中,使用导轨、机柜螺丝等方式进行固定,并在设备的明显位置粘贴固定签进行标记;将通信线缆铺设在隐蔽处,不随意放置,从而降低被盗窃和被破坏的风险,譬如在机房内可铺设在地下或管道中,在机房外可铺设在竖井、桥架中;机房配备防盗报警系统或视频监控系统,并设置有专人值守。
对机房的防盗窃和防破坏也可以采用一些手段或技术辅助措施的智能化落地,如部署信锐红外人体感应传感器,通过红外人体感应和对接视频监控系统,可实现在人员入侵的时候,联动摄像头进行抓拍图片,实现入侵抓拍防盗。
同时,可通过额外软件定制开发,实现直接在信锐物联网平台上直接跳转到监控页面。
1.4防雷击各类机柜、设施和设备等通过接地系统安全接地,接地设置专用地线或交流地线,对于交流供电的系统设备的电源线,应使用三芯电源线,其中地线应与设备的保护接地端连接牢固;机房内采取防止感应雷措施,例如配电柜中安装防雷保安器或过压保护装置等,同时防止感应雷装置需要通过验收或国家有关部门的技术检测,机房内所有的设备和部件应安装在设有防雷保护的范围内。
1.5防火机房内配备火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火,同时设有备用电源启动装置,保障在停电的状态下依然能够正常使用灭火系统进行灭火;机房及相关的工作房间和辅助房土建施工和内部装修采用具有耐火等级的建筑材料,且耐火等级不低于相关规定的耐火等级;同时对机房划分区域进行管理,可以划分为脆弱区、危险区和一般要求区三个区域,各区域之间设置隔离防火措施。
通过信锐的烟雾探测器,能与原有消防系统形成互补,出现火灾时进行多种方式人性化告警(短信、电话、语音、web大屏提醒等);针对最可能发生的电力火灾,对原有空气开关可能导致火灾的漏电、短路、打火等情况进行彻底改进,通过物联网空气开关的方式,直接在用电异常问题进行预警并处理。
1.6防水和防潮机房窗户、屋顶和墙壁采取防水防潮措施防止雨水渗透;采取措施防止机房内水蒸气结露和地下积水的转移与渗透,机房中最可能出现漏水的地方是空调冷凝水渗透,空调冷凝水渗水可采取安装冷凝水排放箱的方式,通过提升泵提升后,引至大楼同层卫生间排水口,通过温差结露渗水;机房安装对水敏感的检测仪表或元件检测系统,对机房进行防水检测和报警。
通过信锐的漏水检测方案,可以对机房内的空调的冷凝水出水管的位置进行监测,在机房易漏水的下方或周围铺设漏水探测器,再将传感器的输出信号通过采集器传输到物联网平台,如果出现漏水的情况,系统在第一时间弹窗报警,同时发出APP、短信、电话告警报警,及时通知有关人员排除漏水故障。
1.7防静电机房内安装防静电地板或地面,安装防静电地面可用导电橡胶与建筑物地面粘牢,防静电地面的体积电阻率均匀,并采用必要的接地防静电措施;机房作业中采取措施防止静电的产生,例如采用防静电工作台面、静电消除器、佩戴防静电手环等。
1.8温湿度控制机房内配备温、湿度自动调节设施(空调系统),保证机房各个区域的温、湿度变化的变化在设备运行、人员活动和其它辅助设备运行所允许的范围之内。
对设备布置密度大、设备发热量大的主机房宜采用活动地板下送上回方式,空调系统无备份设备时,单台空调制冷设备的制冷能力应留有15%~20%的余量,机房环境温度建议保持在20℃~25℃,环境湿度建议保持在40%~55%。
温湿度控制亦可部署专业的温湿度传感器,如信锐自主研发的室内型物联网温湿度传感器或机架式物联网温湿度传感器,对机房内重要区域/机柜内部的温度、湿度进行实时监测,温湿度传感器(根据实际需要可以选择有线或无线的方案)采集机房内的温度、湿度信息,实时显示温度、湿度变化情况。
支持采集当前环境温度,通过温度的变化可以联动空调设备进行环境改善,同时也可以通过上层平台进行物联策略设置,智能化调节室内温度。
支持采集环境湿度,通过湿度的变化可以联动加湿器、除湿器等设备进行环境改善,同时也可以通过上层平台进行物联策略设置,智能化调节室内湿度。
1.9电力供应机房建立独立配电系统,供电线路上配备稳压器和过电压防护设备,保证机房供电电源质量符合相关规定要求;机房内建立UPS不间断供电系统,为机房内信息设备备用电力供应,保障信息设备在公用电网供电中断情况下,关键业务服务的持续性;机房设置冗余或并行的电力电缆线路为计算机系统供电。
1.10电磁防护机房内部综合布线的配置应满足实际的需求,电源线应尽可能远离通信线缆,避免并排铺设,当不能避免时,应采取相应的屏蔽措施,避免互相干扰;建立屏蔽机房或机房采取屏蔽机柜等措施对关键设备或者关键区域实施电磁屏蔽,防止外部电磁场对计算机及设备的干扰,同时也抑制电磁信息的泄漏;机房内综合布线电缆与附近可能产生电磁泄漏设备的最小平行距离应大于1.5m以上,机房到桌面的信息传输可采用光纤信道或六类屏蔽双绞线的布线方式。
二安全通信网络防护设计依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求,安全通信网络防护建设主要通过通信网络安全传输、通信网络安全接入,及通信网络安全审计等机制实现。
2.1网络架构网络层架构设计应重点关注以下方面:➢主要网络设备、安全设备(如核心交换机、核心路由器、关键节点安全设备等)的业务处理能力应能满足业务高峰期需要,保证各项业务运行流畅。
如主干网络需要采用包括设备冗余、链路冗余的网络架构,以满足业务连续性需求。
➢网络带宽应能满足业务高峰期的需求,保证各业务系统正常运行的基本带宽。
➢划分不同的子网,按照方便管理和控制的原则为各子网、网段分配地址段。
➢避免将重要网络区域部署在网络边界处且没有边界防护措施。
2.2通信网络安全传输通信安全传输要求能够满足业务处理安全保密和完整性需求,避免因传输通道被窃听、篡改而引起的数据泄露或传输异常等问题。
通过采用VPN技术而形成加密传输通道,即能够实现对敏感信息传输过程中的信道加密,确保信息在通信过程中不被监听、劫持、篡改及破译;保证通信传输中关键数据的的完整性、可用性。
2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
2.4远程安全接入防护针对有远程安全运维需求,或者远程安全访问需求的终端接入用户而言,应采用VPN安全接入技术来满足远程访问或远程运维的安全通信要求,保证敏感/关键的数据、鉴别信息不被非法窃听、暴露、篡改或损坏。
2.5通信网络安全审计通信网络安全审计需要启用/设置安全审计功能,将用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
三安全区域边界防护设计依据等级保护要求第三级中网络和通信安全相关控制项,结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等安全设计要求,安全区域边界防护建设主要通过网络架构设计、安全区域划分,基于地址、协议、服务端口的访问控制策略;通过安全准入控制、终端安全管理、流量均衡控制、抗DDoS攻击、恶意代码防护、入侵监测/入侵防御、APT 攻击检测防护、非法外联/违规接入网络、无线安全管理,以及安全审计管理等安全机制来实现区域边界的综合安全防护。
具体如下:3.1边界防护网络划分安全区域后,在不同信任级别的安全区域之间形成了网络边界。
目前存在着互联网、跨边界的攻击种类繁多、破坏力也比较强。
要在划分的不同域之间部署相应的边界防护设备进行防护。