NEWS INFORMATION

南(nán)京同慶科技有限公司等保建設技術方案(組圖)

網絡安全等級保護建設詳細方案

南(nán)京同慶科技有限公司

一(yī)、公平保護建設技術方案

網絡安全分(fēn)級防護建設詳細規劃包括三大(dà)部分(fēn)：平等防護建設技術方案、安全防護部署和平等防護建設管理方案。

今天小(xiǎo)編主要給大(dà)家介紹一(yī)下(xià)平等保護建設技術方案的一(yī)些相關内容。

01

等保施工(gōng)技術方案

1-1 機房門禁

根據等級防護“8.1.1.2 物(wù)理門禁控制”的内容要求和機房現場的實際物(wù)理需求，需要在站内分(fēn)隔機房區域，并提供電(diàn)子門禁措施進行控制，識别并記錄相關人員(yuán)進出。

1-2 視頻(pín)監控

在車(chē)站機房劃定單獨區域後，按照“8.1.1.3防盜防破壞”等級防護要求，需配置機房防盜報警系統或專人值守視頻(pín)監控系統。它用于提供機房物(wù)理環境的安全性。

02

安全通信網絡

2-1 網絡架構

2-1-1 等級保證要求

8.1.2.1 網絡架構的基本要求如下(xià)：

a) 應保證網絡設備的業務處理能力能夠滿足業務高峰期的需要；

b) 應保證網絡各部分(fēn)的帶寬能夠滿足業務高峰期的需要；

e) 應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗餘，以保證系統的可用性。

2-1-2 建設内容

根據網絡架構要求，本項目監控層和現場控制系統網絡需要采用雙核設計，保證網絡性能和吞吐量能夠滿足業務高峰期的需求。網絡設備采用工(gōng)業級雙機部署，保證線路的高可靠性。.

更換工(gōng)藝車(chē)間的工(gōng)業級交換機，通過QoS技術對生(shēng)産業務流量和視頻(pín)監控流量進行優先級控制，從而在視頻(pín)流量較大(dà)時，有效保證生(shēng)産數據上傳不丢包，保證流暢核心業務數據的傳輸。

2-2 安全分(fēn)區

2-2-1 等級保證要求

8.1.2.1 網絡架構的基本要求如下(xià)：

c) 劃分(fēn)不同的網絡區域，按照方便管理和控制的原則爲每個網絡區域分(fēn)配地址；

d) 應避免在邊界部署重要網絡區域，重要網絡區域與其他網絡區域之間應采用可靠的技術隔離(lí)手段；

8.5.2.1 網絡架構的基本要求如下(xià)：

a) 企業工(gōng)控系統與其他系統應劃分(fēn)爲兩個區域，區域之間采用單向技術隔離(lí)方式；

b) 工(gōng)控系統内部應根據業務特點劃分(fēn)爲不同的安全域，安全域之間采用技術隔離(lí)手段；

c) 對于涉及實時控制和數據傳輸的工(gōng)業控制系統，應采用獨立的網絡設備組成網絡，在物(wù)理層面實現與其他數據網絡和外(wài)部公共信息網絡的安全隔離(lí)。

2-2-2 建設内容

(1) 安全域的定義

安全域是指同一(yī)系統中(zhōng)按信息性質、使用主體(tǐ)、安全目标和策略劃分(fēn)的不同邏輯子網或網絡。每個邏輯區域具有相同或相似的安全保護要求，具有相同的安全訪問控制和邊界控制策略，區域之間存在互信，同一(yī)個網絡安全域共享相同的安全策略。

(2) 安全域劃分(fēn)的意義

通過劃分(fēn)安全域，整個網絡有了清晰的規劃，其含義如下(xià)：

●使整體(tǐ)網絡結構清晰；

● 使具有相同安全保護要求的網絡和系統在同一(yī)個安全子域中(zhōng)；

● 不同安全子域可輕松部署不同級别的安全防護策略；

● 方便在同一(yī)個安全域中(zhōng)部署同級别的安全防護策略；

● 各區域保護重點明确，對需要保護的資(zī)産投入有效的安全資(zī)源。

(3) 安全域劃分(fēn)原則

安全域的理論和方法所遵循的基本原則：

服務保證原則：安全域方法的根本目标是更好地保證網絡上承載的服務。在保證安全的同時，還要保證業務的正常運行和運行效率。

網絡安全服務強調的核心思想是從客戶（業務）而不是IT服務提供者（技術）的角度來理解IT服務需求。也就是說，在提供IT服務時，首先要考慮業務需求，根據業務需求确定IT需求，包括安全需求。

在劃分(fēn)安全域時，有些業務是緊密相連的，但必須根據安全要求（信息保密要求、接入應用要求等）劃分(fēn)爲不同的安全域。是應該根據安全域的需求對業務進行強劃分(fēn)，還是應該将安全域合并以滿足業務需求？必須綜合考慮業務隔離(lí)的難度和安全域合并的風險（部分(fēn)資(zī)産保護級别可能不夠），才能給出合适的安全域劃分(fēn)。

結構簡化原理：安全域法的直接目的和作用是使整個網絡更簡單，簡單的網絡結構便于保護系統的設計。例如，安全域的劃分(fēn)不是盡可能細粒度的。太多的安全域可能導緻安全域管理複雜(zá)和困難。

策略一(yī)緻性原則：需要保證同一(yī)個安全域具有自頂向下(xià)（垂直）和由内向外(wài)（水平）的安全策略的一(yī)緻性。

分(fēn)級保護原則：安全域的劃分(fēn)應保證各個安全域的信息資(zī)産價值相近，具有相同或相近的安全等級、安全環境安全策略等。

立體(tǐ)協同防禦原則：安全域的主要對象是網絡，但圍繞安全域的防護需要考慮各個層面的立體(tǐ)防禦，包括物(wù)理鏈路網絡主機系統的應用層；同時，在部署安全域防護系統時，需要綜合運用身份認證、訪問控制、檢測、審計鏈路冗餘内容檢測等各種安全功能，實現協同防禦。

生(shēng)命周期原則：對于安全域的劃分(fēn)和部署，不僅要考慮靜态設計網絡設備冗餘設計網絡設備冗餘設計，還要考慮不斷變化；此外(wài)，在安全域的建設和調整過程中(zhōng)，還應考慮工(gōng)程管理。

(4) 安全域劃分(fēn)

根據現場調查，考慮到企業未來信息化和生(shēng)産系統的發展，風電(diàn)場根據二次系統的安全防護做了“安全區”，明确劃分(fēn)了I區。第二區；根據36号文的要求，與平等保護2.0的對應關系，具體(tǐ)劃分(fēn)見下(xià)表。

表1 電(diàn)力監控系統安全防護等級标準

2-2-3 部署示意圖

圖2 安全域劃分(fēn)示意圖

結尾

今天就給大(dà)家介紹這麽多。下(xià)次給大(dà)家介紹安全區邊界的相關内容。祝你周末愉快！

下(xià)周見~

了解更多學習網絡推廣知(zhī)識，就來廣西網絡推廣。

上一(yī)篇：2016中(zhōng)國（長沙）住宅産業化與綠色建築産業博覽會暨湖南(nán)長沙第37屆房地産交易展示會開(kāi)幕
下(xià)一(yī)篇：湖南(nán)城建職業技術學院信息工(gōng)程系計算機應用技術、網絡技術專業畢業設計�