客户介绍

政府网站是我国各级政府机关履行职能、面向社会提供服务的官方网站，是政府机关实现政务信息公开、服务企业和社会公众、互动交流的重要渠道。由于其业务的重要性高从而政府网站就成为了黑客等不法份子的攻击目标，为了加强网络安全防护能力，符合国家网络安全法及其它安全保护规范，对陕西省某地市政府网站进行等级保护安全保障建设。

需求分析

不同的安全等级要求具有不同的基本安全保护能力，实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证，可以使用的安全措施或安全控制表现为安全基本要求，依据实现方式的不同，信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。

技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

根据威胁分析、安全策略中提出的基本要求和安全目标，在整体保障框架的指导下，本节将就具体的安全技术措施和安全管理措施来设计安全解决方案，以满足相应等级的基本安全保护能力。

解决方案

本期项目建设主要完成某政府网站及业务系统的安全等级保护。外网区部署两台链路负载均衡实现与2大运营商连接进行链路负载切换。负载均衡下面连接2台防火墙，采用双链路主备冗余切换，在外网区域部署了抗DDOS设备和IPS对来自internet的网络层攻击进行有效的安全防护。根据等级保护安全域划分为5个安全区域：

◆ 外网区：负责对外接入与运营商链路进行对接，通过负载均衡实现电信、联通链路进行负载切换；

◆ 核心交换区：核心交换区为此网络架构的中心枢纽，分别连接着其它的安全区域；

◆ 内网办公区：企业单位内网人员办公上网区域，通过vlan隔离划分不同的楼宇和部门；

◆ DMZ服务器区：此次等级保护的业务站点均部署在该区域，通过区域防火墙进行过滤管控，Web应用防火墙进行应用层数据过滤；

◆ 安全运维管理区：对安全类设备进行管控，并且该区域还部署了综合日志审计系统、漏洞扫描评估系统等有助于安全运维管理类的产品。

并且在外网还通过网站安全检测平台对网站、业务系统进行7*24小时的远程监控，发生网站访问异常、恶意篡改等事件发生能够及时通过短信或者邮件进行告警提醒。

本次方案设计中负载均衡、防火墙、IPS入侵防御系统、web应用防火墙、核心交换机重要设备为了避免单点故障都采用两台做双机热备，任何一台设备出现故障都可自动切换到另一台备用设备上，从而保证了业务的连续性、可靠性以及提升了网络出现故障的自愈能力。

案例价值

本等级保护设计方案具有以下特点：

1、体现了分级防护的思想：根据信息系统的基本要求和安全目标，提出了具体的安全等级保护的设计和实施办法，明确信息系统的主要防护策略和防护重点。

2、体现了框架指导的思想：将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型，利于在众多安全因素中理清等级保护的主线。

3、体现了分域防护的思想：根据信息系统的访问控制要求，针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略，实现安全域之间的访问控制；在不同的安全域内实施不同级别的安全保护策略；针对不同等级的安全域之间的互联也要实现相应的保护。

4、体现了深度防御的思想：在对信息系统可能面临的安全威胁进行分析的基础上，结合安全域的划分，从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计，在整体保障框架的指导下，综合多种有效的安全防护措施，进行多层和多重防御，实现纵深防御。

5、体现了多角度对应的思想：从威胁出发引出保护基本需求，从基本要求引出安全策略和目标，在需求分析和安全策略之间分层相互对应；在总体策略里提出各层面的总体保护要求，在具体策略里提出各层面的具体保护要求，各层相互对应；在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。

6、体现了动态发展的思想：在满足信息系统目前基本的、必须的安全需求的基础上，要求随着应用和网络安全技术的发展，不断调整安全策略，应对不断变化的网络安全环境。