今天分享一套詳細等保2.0網絡安全等級建設方案，供參考。

1.1.1網絡安全（等保2.0建設）

2019年12月1日，《信息安全技術網絡安全等級保護基本要求》正式實施，標志著網絡安全等保建設進入2.0時代，對網絡安全建設提出了更高的要求；

《河南省高校信息化發展水平評估指標體系》明確對信息化和網絡安全建設提出了具體的指標和要求；

教育廳、公安廳（局）等主管單位，經常進行信息化評估、安全掃描、通報處理等工作，需要高度重視。

教辦科技〔2022〕58號河南省教育廳辦公室關于在全省教育系統開展虛擬貨幣“挖礦”專項整治攻堅行動的通知。

1.1.1.1背景

長期以來，學校的建設與發展得到了國家的高度重視，隨著我國信息技術的快速發展，計算機及信息網絡對促進國民經濟和社會發展發揮著日益重要的作用。加強對信息系統安全保護工作的監督管理，打擊各類計算機違法犯罪活動，是我國信息化順利發展的重要保障。因此某工程職業學院應依據國家等級保護相關政策和標準開展信息安全建設，從而保障信息系統正常穩定。

1.1.1.2建設目標

此次主要依據《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）（以下簡稱《基本要求》）和《信息安全技術網絡安全等級保護安全設計技術要求》（GB/T25070-2019）、《教育行業信息系統安全等級保護定級工作指南（試行）》等相關政策標準，針對鄭某工程職業學院信息系統的安全等級保護提出設計方案。

設計方案從信息安全等級保護技術體系、安全等級保護管理體系兩個方面提出安全建設的整體框架，建立“一個基礎”（安全物理環境）、“一個中心”（安全管理中心）保障下的“三重防護體系”（安全通信網絡、安全區域邊界、安全計算環境）的架構，使得鄭某工程職業學院信息系統具備滿足需求的安全防護能力。

1.1.1.3設計原則

在建設過程中，要遵循統一規劃、統一標準、統一管理、適度保護、強化管理、注重技術的原則。

需求導向：方案設計應充分考慮到鄭某工程職業學院信息系統的業務需求、管理需求、技術需求，以需求導向為原則，對方案進行設計，確保方案符合實際需求。

注重實效：方案設計應結合鄭某工程職業學院信息系統現有技術措施和管理措施，講求實際效果，既要具有前瞻性，又避免過度防護造成浪費。

標準規范：方案設計既要滿足等級保護系統的相關要求，又要遵循相關標準和規范，保持系統的整體性、一致性和開放性。

技管并重：方案設計過程中應充分考慮技術體系建設和管理體系建設，并通過技術體系與管理體系結合的方式，使某工程職業學院信息系統處于一個結構化的安全保護環境中。

1.1.1.4設計依據

《中華人民共和國網絡安全法》2017年6月1日起施行

《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)

《計算機信息系統安全保護等級劃分準則》（GB17859-1999）

《信息系統安全等級保護定級指南GB/T22240-2008》

《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）

《信息安全技術網絡安全等級保護安全設計技術要求》（GB/T25070-2019）

《教育行業信息系統安全等級保護定級工作指南（試行）》

1.1.1.5安全現狀及需求分析

1.1.1.5.1安全現狀

某工程職業學院信息系統主要業務有：圖書館管理系統等，學校網絡目前有多個互聯網出口及教育專線，通過負載均衡-防火墻到核心交換機，分別到教學樓、數據中心區、各終端接入區；網絡部分內網服務器和終端存在被攻擊的風險，并可發現服務器、終端電腦均存在系統高危漏洞，存在較大安全隱患。同時攻擊方式，不再為單純的網絡流量型攻擊、傳統的網絡安全攻擊，更多傾向于新型的僵尸、木馬、蠕蟲等攻擊行為，對整個內網產生巨大的安全隱患。

本次增加設備上網行為管理、日志系統、入侵檢測、計劃分期達到等保2.0的要求

現狀圖

一期網絡規劃拓撲圖

1.1.1.6安全方案總體設計

1.1.1.6.1安全架構

某工程職業學院信息系統的安全體系設計，從信息安全等級保護技術體系，信息安全等級保護管理體系，線下安全服務三個角度出發，對設備、終端、業務系統、網絡接入、人員管理提供全方位的安全保障，總體安全架構如圖所示：

1.1.1.6.2分區設計

1.1.1.6.3分區分域的目的

通過劃分區域，對整體網絡進行清楚的規劃，具有以下意義：

?區域的劃分使整體網絡結構的界限清晰；

?具有相同安全保護要求的網絡和設備劃分到一個安全區域中；

?不同的安全區域內，可方便地部署不同類型和功能的安全防護設備和產品，同時形成相輔相成的多層次立體防護體系；

?同一個安全區域內可方便地部署相同或相似的安全防護策略。

分區分域保護做到重點明確，將有效的安全資源投入到最需要保護的部分，并且由各個不同的區域組成多層次的立體防護體系。

1.1.1.6.4分區分域的原則

分區分域的過程遵循以下基本原則：

?業務保障原則：分區分域方法的根本目標是能夠更好的保障網絡上承載的業務，在保證安全的同時，還要保證業務的正常運行和效率。

?結構簡化原則：分區分域方法的直接目的和效果是將信息（應用）系統整個網絡變得更加簡單，簡單的邏輯結構便于設計防護體系。比如，分區分域并不是粒度越細越好，區域數量過多，過雜可能會導致安全管理過于復雜和困難。

?立體協防原則：分區分域的主要對象是信息（應用）系統對應的網絡，在分區分域部署安全設備時，需綜合運用身份鑒別、訪問控制、安全審計等安全功能實現立體協防。

?生命周期原則：對于信息（應用）系統的分區分域建設，不僅要考慮靜態設計，還要考慮變化因素，另外，在分區分域建設和調整過程中要考慮工程化的管理。

1.1.1.6.5區域劃分

根據分區分域的原則，鄭某工程職業學院信息系統安全區域劃分為出口邊界安全接入區，核心交換區，安全管理中心區，超融合服務器業務應用區，老服務器DMZ區，有線無線終端接入區，如下圖：

?核心交換區：負責跨區域網絡的數據交換和網絡審計。

?出口邊界接入區：作為鄭某工程職業學院信息系統對外互聯區域，主要針對互聯網、高校互聯網與鄭某工程職業學院信息系統之間的進出流量，提供負載均衡、訪問控制、流量清洗、病毒過濾、入侵防御、病毒防護等防護措施，并為移動終端提供VPN接入服務。

?DMZ網絡服務區：為鄭某工程職業學院信息系統內部提供DNS,DHCP,LDAP，網站，綜合網絡管理等服務。

?安全管理中心：對鄭某工程職業學院信息系統中的網絡、主機、終端、安全設備等進行統一管理，提供漏洞掃描、身份認證、監控、審計、日志收集與分析、態勢感知等服務。

?校園超融合平臺及物理服務器區：承載校園業務系統/網站群、一卡通系統、財務系統等虛擬化服務集群為智慧校園業務提供服務。

?有線無線終端接入區：滿足學校的互聯網連接，學生上網，教學辦公、WIFI業務等一系列服務。

1.1.1.7最終實現效果

?網絡架構清晰，區域劃分合理，按照功能將各部分區域進行有效隔離，可以有效制定邊界安全策略；

?對網絡進行冗余設計，避免業務高峰期，由單點而引起網絡和業務中斷

?便于安全產品部署，提高網絡與信息系統防護能力；

?超融合業務應用區和老服務器區的安全防護;

?整個網絡狀態的展示與分析;

?終端與服務器端的威協防御、終端安全管理；

?各系統及設備的運維審計；

?滿足未來發展需要，靈活性和擴展性更好；

?為將來的集中管理奠定技術基礎。