【民生行业】360等级保护安全建设方案v2.0

民生行业等级保护安全建设方案PART/01标准介绍PART/02PART/03PART/04建设清单CONTENTS/目录PART/05等保优势建设方案行业现状360企业安全.民生行业PART/01等级保护标准介绍360企业安全.民生行业网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。2014年2月首次在政府工作报告中提及2016年7月5日网络安全法草案二审稿启动关键信息基础设施全国检查工作2016年7月8日2016年11月1日网络安全法草案三审稿人大常委会表决通过网络安全法2016年11月7日2016年12月末结束关键信息基础设施全国检查工作实施网络安全法2017年6月1日应急响应：将监测预警与应急处置工作制度化、法制化，明确国家建立网络安全监测预警和信息通报制度。CII保护：《网络安全法》明确了对国家关键信息基础设施（简称CII）要加强安全保护，初步给出了CII的范围，在法案第三章专门对关键信息基础设施的运行安全提出了具体要求。等保制度：《网络安全法》明确国家实行网络安全等级保护制度。网络运营者应当按照网全等级保护制度的要求，切实加强网络安全建设日志留存：记录网络运行状态、网络安全事件的技术措并按照规定留存相关的网络日志不少于六个月。网络安全法草案一审稿2015年7月7日等保2.0扩展—安全通用要求+五个扩展分册•GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求•GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求•GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求•GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求•GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制系统安全扩展要求•GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求三级安全控制项1.0：290项技术136管理154技术要求应用和数据安全设备和计算安全网络和通信安全物理和环境安全管理要求安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等保三级安全的控制项技术要求数据安全及备份恢复应用安全主机安全网络安全物理安全管理要求系统运维管理系统建设管理人员安全管理安全管理机构安全管理制度三级安全控制项2.0：229项技术116管理113等级保护生命周期安全服务定级备案安全设计实施安全运行维护应急响应保障总体安全规划等保咨询服务安全规划设计服务等保集成服务安全运维服务系统调查系统定级定级报告专家评审协助备案安全需求分析安全策略设计解决方案设计安全建设规划详细设计技术实现管理实现安全培训运行管理服务商管控等级测评检测改进基础环境评估服务现场评估报告编制应急预案监测响应评估改进应急保障安全应急服务行业/领域主管部门属地公安机关有等保建设资质的厂商，设计院等有等保建设资质的厂商等保用户专业安全厂商等保用户专业安全厂商PART/02行业现状概览360企业安全.民生行业“十二五”国家政务信息化工程与金保二期工程关系人力资源和社会保障事业发展“十三五”规划纲要•加快实施人力资源和社会保障信息化建设工程，建设人力资源和社会保障信息资源库，继续推进信息系统和数据省级集中。•加快推进人员、单位、管理服务机构等基础信息库及异地就医联网结算、社保关系转移接续、公共就业信息服务、就业信息监测等重点建设任务。•积极实施“互联网+人社”行动，促进劳动就业、社会保障、人才服务等工作与互联网深度融合。•建立一体化公共服务信息平台，逐步实现线上线下服务渠道的有机衔接，形成跨领域、跨部门、跨层级的联动服务能力。•加快推进社会保障卡应用，实现社会保障一卡通。•加快推动信息资源开发利用，构建大数据应用体系。依托政府数据共享交换平台，实现与相关政府部门的协同共享，逐步拓展基于互联网等社会化途径的信息资源获取途径。•运用云计算技术，提升信息化基础设施的支撑保障能力。•逐步建成全网安全监测系统，提升信息安全保障能力。十三五规划的网络安全部分主要是金保二期工程建设内容。金保二期工程网络安全目标金保工程二期基础安全防护系统建设目标1套体系2个重点3个全面4项机制建立一套包括技术和管理两方面，外防和内控兼顾，以纵深防御、分等级分区域保护为核心的综合安全防护体系。重点解决应用安全和数据安全两方面突出问题。全面通过等级保护测评防火墙、入侵检测和防护系统、网络监控和审计系统等边界防护系统全面部署到网络互联边界数据访问控制和审计功能全面配置到核心业务区域的重要系统加强信息安全风险评估和测评工作机制信息安全通报和检查机制信息安全应急处理协调机制信息安全综合管理和监督机制的四项安全保障机制的建设。金保工程二期安全建设内容部省两级基础安全防护、电子认证体系、灾备系统，纳入全国统一立项的金保工程二期建设任务，主要内容包括：1.按照信息安全等级保护基本要求，结合金保工程已建、新建和改扩建信息系统对信息安全防护能力的差异性安全需求分析，立足于金保工程一期信息安全建设成果，完善部、省、市各级人力资源社会保障部门的基础安全防护系统的建设。2.优化网络结构，合理划分网络安全防护边界和安全区域，实现纵深防御、区域访问控制和有效安全隔离。3.按照互联部门业务数据和用户属性分类规划统一的数据交换区，实现网络互联出入口的集中防护和监控。4.建立重要信息系统、重要网络区域的安全监控和审计机制。5.加强面向互联网业务信息系统的安全防护和监控，建立网站防渗透、防篡改、防信息泄露和安全监测审计机制。6.加强关键业务数据的防丢失、防泄露和防篡改。7.加强信息安全风险评估和测评工作,建立信息安全等级保护综合工作平台，落实信息安全等级保护的各项制度和要求。8.建立和完善信息安全监控平台和安全审计平台。在部、省、市各级网络系统部署统一信息安全监控平台和安全审计平台，实现边界防御、网络监控、主机监控、应用保护和桌面终端安全的全方位安全审计和安全监管功能。9.建立和完善安全管理机制和组织体系，建立健全信息安全应急处理协调机制、安全通报机制和制度化专业化的检查机制，提高对网络安全事件应对和防范能力。行业等级保护现状•金保二期等级保护安全建设目标：部级信息系统的信息安全等级保护符合度达到85%以上，省级达到80%以上，市级达到75%以上。•全国已定级备案系统：988个，还未定级350个。•系统定级情况：一级系统占比1.39%,二级系统占比43.01%,三级系统占比55.4%,四级系统占比0.2%•整改系统情况：未整改645个，已整改693个。•测评情况：未测评790个，已测评548。•业务模式：省集中模式（青海、宁夏、内蒙），其余省份的业务系统多数在市级。目前正在由市集中向省集中迁移。等级保护安全建设是人社行业最大的安全需求，资金来源于金保二期，市级等级保护建设需求大。网络架构概述•面向互联网用户的业务应用，如网站、12333等；•部、省、市各自建设，没有互联关系。•安全部分按照等级保护标准建设，最高三级。•人社行业主要业务区，数据生产汇集；•部、省、市各自建设，部具备指导检查权力，网络互联，最终全国数据汇集到部里。•业务系统多数集中在地市中，目前正在进行省集中，如内蒙、青海等。•安全部分按照等级保护标准建设，最高三级。•接入电子政务外网。•终端不允许上外网，业务数据通过网闸与公众服务网交互。•内部业务系统，如OA等。•部、省、市各自建设。•FJBH，JM级。公众服务网业务专网内部办公网人社业务内容PART/03建设设计360企业安全.民生行业部级网络架构•两地三中心双活数据中心•省生产中心、部生产中心间，利用电子政务外网人社专用MPLSVPN部署生产双链路，承载生产业务流量、视频流量，保证链路可靠性，并进行负载分担。•在省同城灾备至部同城灾备中心间，部署灾备单链路，当生产双链路故障时（部生产中心发生灾难时），灾备单链路可承载灾备业务流量，提高省、部中心间连接的可靠性，保证业务流量不中断。•部同城灾备中心、异地灾备中心间，采用电子政务外网人社专用MPLS专线或电信运营商专线连接，形成部级三中心环状网络，提高部级三中心互联的可靠性。当其中一条中断时，灾备流量仍然可以正常运行。部级业务专网•与各省数据中心连接，自有业务专网，逐渐向电子政务外网转移。•接入层：具备4个接入区，业务专网接入区采用FW、IPS、WAF防护措施，其他采用FW、IPS。•DMZ区：采用数据库审计、网络审计、入侵检测系统。纵向DMZ与公众服务网DMZ区采用网闸对接。•核心交换区：部署防火墙、网络审计、入侵检测、数据库审计等措施。与公众服务网采用网闸对接。•应用层：具备安全管理区，NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。部级公众服务网•接入层：公众服务网接入区采用抗DDOS、FW、IPS防护措施。具备多个运营商线路，采用负载均衡措施。•DMZ区：采用网络审计、入侵检测系统。对外业务服务器部署WAF、网页防篡改系统。公众服务网DMZ区与业务专网纵向DMZ采用网闸对接。•核心交换区：部署防火墙、网络审计、入侵检测、网络数据包日志和安全取证系统等措施。与业务专网采用网闸对接。与二级单位采用防火墙隔离，内部用户区采用防病毒网关隔离。•应用层：具备安全管理区，NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。等级保护安全建设分析•业务专网与公众服务网均遵守等级保护建设要求，多数为等保三级系统（全国仅江苏存在2个四级系统）。内部办公网采用FJBH标准，最高为JM级。•等级保护建设涉及安全产品众多，我司绝大部分产品均可覆盖，全国各地均有各类产品案例。可通过代理商、与用户直接交流等方式参与建设•部级完成了NGSOC、天眼、天擎、EDR等新产品的建设。•根据网络安全法、等保2.0的要求，应提升安全服务地位，建议直接与用户交流，拿下安全服务，提升与用户的交流粘度。专网天擎专网NGSOC部级案例标准执行四大抓手PART/04建设及服务清单360企业安全.民生行业等保合规–解决方案安全运维网络技术要求物理安全网络与通信安全设备和计算安全应用和数据安全机构人员数据安全应用安全操作系统虚拟化NGFWAntiDDoS虚拟化安全天擎NACWAF网页防篡改鹰眼VPNDB审计等保咨询物理环境CCTV门禁漏扫管理要求机构人员建设管理等保集成渗透测试建设管理SNINGSOC安全运维堡垒机等级保护安全架构策略制度等保咨询策略制度360ID应急响应驻场保障DLP安全培训ICGIPS天眼防病毒墙防火防水电力保障机房抗震日志审计LAS电磁防护基础环境评估注：物理安全由等保防护对象或电信基础设施运营商提供网闸天巡漏扫代码卫士SMAC等保二级要求等保三级增加要求CA应用改造邮件网关容灾备份等保二级要求等保三级增加要求第三方设备：360自有设备：行业风险点(一)业务专网与互联网安全隔离不充分(二)办公区域覆盖无线网络，且未采取无线安全控制措施。(三)服务器存在高风险漏洞，可被远程控制利用。(四)应用系统存在安全漏洞，可能造成数据泄露。(五)数据的共享和交换存在安全隐患。(六)计算机终端的日常安全管理需进一步加强。(七)风险评估机制未建立，安全服务未定期开展。(八