1 需求背景及分析

XXXX集团单位的信息化经过十几年的发展，对业务的支撑作用已经表现得非常明显，XXXX集团单位业务的开展已经离不开信息系统的正常运转。随着XXXX单位信息化的深化，XXXX的业务流程已经高度自动化、高效率，从而内外部提供更好的服务。但另一方面，承载XXXX集团业务流程的信息系统基础架构的管理手段却仍然相对落后，在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是大多数情况下内部用户无意造成的漏洞，XXXX集团的安全管理手段都正在变得越来越不够用。而同时，勒索病毒爆发、信息泄露、媒体舆论炒作、上级领导问责、法律法规监管等等，都在无形中让XXXX集团的信息安全管理压力越来越大。

依据XXXX集团对安全保障工作的要求，需要强化网络信息安全服务保障，建设数据中心、办公网、生产网及业务平台安全防护体系，加强大数据安全保障。XXXX集团信息安全防护体系建设的总体安全需求汇总如下：

一是强化网络安全保障体系建设。健全安全体系，建立安全管控制度，形成“三员”（系统管理员、安全保密管理员、安全审计员）分立机制；推进XXXX集团信息安全技术体系建设，完善安全事件快速响应和处置手段；建成感知、处置、响应一体化的安全运营机制，加强事前预防、事中审计、事后响应的安全应急服务能力，形成发现、阻断、取证、溯源、研判、拓展的安全业务闭环；开展安全组织与职责建设、安全技术设计、安全管理设计，确定第三方机构，统一实施网络安全等级防护和风险评估。

二是建设业务平台安全防护体系。建设网络安全接入管控系统，提供面内部用户、合作伙伴、运维人员的强身份认证、用户管理和访问控制服务；强化数据中心网、办公网、工控网、以及互联网各网络区域的安全防护；构建云计算虚拟化平台安全保障系统，实时监测识别恶意代码、安全漏洞、非授权访问等安全风险，提供隔离、防护、监测及审计服务。

三是加强以数据安全为核心的安全保障体系。加强数据中心边界安全防护，建立统一的平台认证与身份管理机制；实施平台级访问控制和授权管理，实现细粒度的访问控制；建设操作审计系统，形成集中审计报告；强化大数据安全防护及隐私保护，实现高效可靠的数据防泄露。

2 建设目标

根据网络安全法和集团信息安全治理的相关建设要求，遵循“主动防御、综合防范、强化管理、安全第一”的原则，以保障集团关键信息系统持续、稳定、健壮运行为目标，通过XXXX集团”整体安全规划工程”项目搭建完善的信息安全保障框架，包括防护、检测、处置、恢复的安全能力建设，建设“以风险管理为基础的安全技术支撑体系、安全运营管理体系”，为XXXX集团提供全面的信息安全保障和安全运营支撑。通过安全态势感知平台的实施，建设集团层面统一的安全监测预警与处置体，实现对数据中心、办公网、分支机构、生产基地的统一安全监管，并提供安全预警服务和网络安全事件的应急响应支撑。具体实施目标包括：

2.1安全技术支撑体系建设

依照国家安全法、等级保护以及集团的实际业务安全需求，规划合理的安全区域，通过边界安全防护、通信安全、综合审计、漏洞扫描和评估、主机和网络病毒防护、主机加固、WEB防护、身份认证等安全技术措施使集团信息安全建设符合国家及自身安全建设方面的要求。同时加强数据安全建设，将数据流转过程中所有环节进行相应的安全防护，防止数据泄密。

2.2安全运营管理体系建设

根据ISO27001信息安全管理系统、等级保护基本要求和集团安全设计技术要求的相关内容，为XXXX集团设计合理的信息安全管理体系、信息安全运维体系以及信息安全策略体系的相关控制内容，通过安全服务XXXX集团的实际情况加以落实。

2.3全网安全监测预警与处置体系建设

通过建设网络安全态势感知平台，全方位采集集团总部数据中心、办公网、基地以及分支机构的安全数据，通过大数据分析、情报共享、通告预警等方式形成覆盖集团全部网络安全态势感知与预警能力。并形成快速告警与响应机制，提升响应速度，提升集团公司安全风险处置能力。

3 总体信息安全方案设计

XXXX集团信息安全保障体系，充分结合项目实际业务场景，以保护业务运行安全和数据安全为核心目标，从安全技术、安全管理两个层面出发，同时贯彻“事前、事中、事后风险闭环管理”的融合安全理念，结合项目具体情况和现实需求进行设计，形成风险评估、安全防御、应急处置、持续检测及响应处置的闭环安全运维体系，构建符合国家法律法规要求及行业监管要求的一体化安全保障体系。

整体安全体系架构

3.1  构建以云、边界和端点安全为核心的立体防护能力

3.1.1  合规驱动的基础安全架构

基础安全防御体系通过与等保1.0、等保2.0的安全防护要求结合，对核心的安全要素进行防护，达到基础安全防护体系建设。

核心安全要素包括网络安全、主机安全、应用安全、数据安全、云计算安全、大数据安全几大要素，在这几大要素的基础防护之上，建立安全管理中心，实现安全防护的事前防护与事中监控及响应。

3.1.2  以业务和数据安全为核心的立体防护架构

从防护空间的维度来说，我们应该要围绕着XXXX集团的业务和大数据核心资产保为出发点，构筑一个立体防护的框架：

图9以云、边界和数据安全为核心的立体防护示意图

    方案涉及到的立体保护能力，重点强调的是建立起纵深的防护能力，实现业务端到端的安全。借鉴军事领域“海、陆、空”的防护能力，形成联动。

    首先是云平台及边界的安全。虽然安全边界消失了，但是我们需要通过软件定义的方式，重构业务的边界。边界安全依然重要。构建业务安全边界，防范外部入侵威胁。主要技术手段，包括终端、网络接入安全，L2-L7层外部威胁防御；基于云安全资源池和终端检测响应EDR产品，对云平台内网及业务边界进行防护。

    其次，我们还需要构建业务和数据的安全。需要加强业务的接入、认证和审计，以及加强业务内部的持续监测，发现潜伏的ODAY攻击、内部攻击等高级威胁。建立起涵盖数据采集、存储、共享、应用、销毁等全生命周期的安全防护体系。

    最后，还需要从外部视角，提供外部的情报和云端专家对抗能力。我们认为，安全建设不仅仅是某一个厂商的事情，也不是单单依靠客户自己的力量就可以解决问题的。传统依靠单一技术对抗的方式，难以取得最终胜利。因此，我们需要从业务外部的视角，依靠外部的力量、云端的力量，加强威胁情报联动、云端沙箱未知威胁检测等手段，在能引入更多的外部视角去和威胁对抗。

3.1.3  适应云计算环境的技术保障

    云计算基础架构的安全技术聚焦在计算资源池、网络资源池和云管理平台三个层面。由于云计算引入了虚拟化技术、云计算引擎和云计算管理平台，所以为主机和网络带来新的安全挑战。

    虚拟机的安全保障：围绕物理服务器、虚拟机及Hypervisor三个维度开展安全防护工作，首先解决基于主机层的恶意代码防范。其次需要关注上述三个维度的漏洞检测及防护，避免类似虚拟机逃逸攻击等恶性安全事件发生。同时，还应该基于操作系统层面通过安全基线加固、安全漏洞加固、防暴力破解、防弱口令等各类安全手段实现防护效果。

    云数据中心网络安全的保障：首先需要围绕物理网络和虚拟网络实现恶意代码的防范，其次需要关注在东西向流量和南北向流量的安全防护，即保障入云业务或租户VPC内部（东西向流量）及外部（南北向流量）的安全隔离、访问控制、业务安全等，还需要实现在虚拟化环境下的安全策略跟随。

    云管理平台安全保障：更多的是关注平台安全，将云管理平台当作平台应用进行安全防护，也就是做好云平台的访问认证及授权控制，并对平台设置安全基线。通过漏洞的检测和防护技术，从多维度对云平台进行日志收集及审计操作，保障云平台本身的安全。

3.2  构建以安全感知为核心的防御、检测、响应能力

图10“防御、检测、响应”闭环体系示意图

    在深入结合Gartner的PPDR 自适应安全防护模型基础上，结合业界人工智能（AI）、威胁情报、安全云服务、终端检测响应EDR等技术发展趋势，XXXX集团期望构建从“云端、边界、端点”+“安全感知”的立体联动防御机制。相关功能如下：

防御能力：是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

检测能力：用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状态中。

响应能力：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。

预测能力：使系安全系统可从外部监控下的黑客行动中学习，以主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

  “XXXX集团整体安全规划项目”安全保障工作内容多，涉及面广，核心是安全运营，为支持安全运营工作的高效开展，需要一体化态势感知与安全运营平台作为工具支撑。通过部署潜伏威胁流量探针，并依托日志采集服务器（采集主机、网络、平台、操作系统、中间件等日志），汇总形成整个“XXXX集团整体安全规划项目”的本地安全基础大数据中心。利用一体化态势感知与安全运营平台，安全服务或安全运维人员可以有效开展威胁持续监测、威胁分析研判、事件及时通告、快速响应处置与威胁追踪溯源等关键工作，一体化态势感知与安全运营平台是“XXXX集团整体安全规划项目”安全保障工作的统一监测响应与指挥调度中心。

3.3  构建以全局安全可视为核心的安全治理能力

    在网络安全的世界里，可视化有着不可忽视的作用，安全的可视化能够保证对信息资产、人、行为三者之间的风险点进行实时观测，在发生威胁时能够果断进行安全处置，有效防止了安全威胁的渗透。

    “XXXX集团整体安全规划项目”在流量可视、行为可视的基础上，可实现全局安全可视化，可以结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握整体安全态势进行安全决策分析。

     在全局安全可视的基础上，基于人工智能、大数据技术能够显著提升安全运维能力，通过失陷主机检测和访问关系可视等技术帮助运维人员快速发现安全风险，并提供处理建议，简化运维。进一步可以在客户侧建立起深度分析、威胁检测、防御联动和服务响应的安全运营中心。

4 整体信息安全方案架构

    整体信息安全架构拓扑：

4.1 互联网边界设计：

链路负载

    出口处部署两台链路负载均衡设备，实现出站链路负载、入站链路负载，满足多运营商链路带宽充分利用，部署双机保证冗余性；

下一代防火墙

    出口处部署两台下一代防火墙，实现进出互联网的数据进行7层包过滤检测，下一代防火墙拥有病毒防护、IPS防护、DDOS防护、僵尸网络防护、实时漏洞分析等安全模块，满足整个互联网边界安全防护（网络安全法）并记录相关安全日志，部署双机保证冗余性；

行为管控、流量管控、审计

    出口处部署两台上网行为管理设备，实现内网上网行为管控、流量管控、上网审计、上网认证等，提高办公效率、确保办公带宽顺畅、满足上网不合法事件追溯，响应网络安全法要求（符合公安部82号令），部署双机保证冗余。

4.2 DMZ区安全防护设计

应用负载

    DMZ区旁路部署2台应用负载设备，实现多台业务系统应用级别的负载调度、保障业务系统均衡访问，满足业务系统避免负载过高带来的影响；具有SSL卸载安全网关，分担服务器加解密负荷，缓解服务器性能压力、提高资源利用率；

下一代防火墙

    DMZ区边界部署两台下一代防火墙，实现进出互联网的数据进行7层包过滤检测，下一代防火墙拥有web应用防护、网页防篡改、病毒防护、IPS防护、DDOS防护、僵尸网络防护、实时漏洞分析等安全模块，满足整个DMZ安全防护（网络安全法）并记录相关安全日志，部署双机保证冗余性；

安全服务云

    对外业务系统提供安全服云租用，实现威胁情报预警、应急事件及时响应、安全态势感知和人工值守服务，减轻运维人员工作量、实现智能化安全防护。

4.3 数据中心安全防护设计

传统数据中心下一代防火墙

    数据中心边界部署两台下一代防火墙，实现进出数据中心的数据进行7层包过滤检测，下一代防火墙拥有web应用防护、网页防篡改、病毒防护、IPS防护、DDOS防护、僵尸网络防护、实时漏洞分析等安全模块，满足整个数据中心安全防护（网络安全法）并记录相关安全日志，部署双机保证冗余性；

虚拟化架构数据中心下一代防火墙

    虚拟化架构数据中心采用底层部署下一代防火墙软件版，实现整个虚拟化架构底层进行虚拟机数据的过滤，软件版下一代防火墙拥有web应用防护、网页防篡改、病毒防护、IPS防护、DDOS防护、僵尸网络防护、实时漏洞分析等安全模块，满足“南北向”安全防护的同时也满足“东西向”安全防护。

病毒防护软件

    通过在服务器上安装杀毒软件，实现服务器病毒防护，避免U盘、内网病毒的传播；通过在虚拟化底层部署杀毒软件虚拟机，实现虚拟化底层的病毒防护，无需在虚拟机上安装客户端，大大减少虚拟机压力。

4.4 分支组网安全设计

分支组网设计

    分支与总部之间采用广域网专线互联进行组网，部署广域网加速设备在两端对专线进行传输加速，实现数据传输压缩、******利用带宽；同时采用VPN设备总部与分支建立虚拟VPN加密隧道，作为整个组网的备份链路；

分支组网安全防护设计

    总部与分支组网均通过下一代防火墙进行数据过滤，确保数据传输的安全，保障业务系统安全运行；

4.5 移动办公安全接入设计

SSLVPN设备

    通过在总部部署一台专业SSLVPN设备，所有移动办公人员采用SSLVPN加密隧道连接总部进线办公，避免业务系统暴露在公网的风险，实现移动办公人员的安全接入，并满足事后的审计；

支持安卓/IOS/WINDOWS/LINUX/MAC等主流PC和移动终端的接入，支持业务系统“无移动化”（没有APP）在移动终端上的运行，并支持手机“沙盒”技术，确保数据不落地终端，避免数据外泄的风险。

4.6 终端安全防护设计

终端杀毒软件

    通过在内网部署杀毒管理中心对所有终端杀毒软件进行管控、病毒更新下发等，PC终端安装杀毒软件客户端，实现PC病毒的查杀，保障内网所有PC安全、确保整个办公网安全。

桌面管控系统

    通过在内网部署桌面管控系统，所有PC安装客户端，对内网所有PC进行管理和监控，实现U盘的权限控制、文件增删审计、打印审计、桌面实时监控等管理和审计措施，满足桌面事后审计和避免敏感数据外泄；

数据加密系统

    通过在内网部署数据加密系统，对内网的所有敏感数据进行加密，在内网环境采用透明解密，外发数据需要通过审核申请，避免所有敏感数据的外泄，实现敏感数据的安全保护、事后追溯等。

4.6 运维、审计管理区设计

    堡垒机：记录所有设备和业务系统账号密码信息，所有运维人员通过堡垒机进行运维，记录所有运维人员操作；

数据库审计：记录数据库的增加、删除、修改日志，满足事后追溯；漏洞扫描系统：针对所有业务系统进行漏洞扫描并生成漏洞报告，对业务系统漏洞进行实时观察；日志审计系统：记录所有网络设备和业务系统的日志，满足事后追溯；网管平台：针对所有网络设备、业务系统、中间件等进行统一管理，减少运维工作，并及时告警、观察所有设备状态情况准入系统：所有内网接入进行接入登记，配合审计追踪定位；