IDC骨干网络系统等级保护方案

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法，对网络安全保障有着重要的作用。各行业、各地区的网络运营者应当按照网络安全等级保护制度的要求，依法开展网络定级备案、安全建设整改、等级测评和自查等工作。GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的正式发布与实施，标志我国网络安全等级保护进入了2.0时代。

“新基建”是2020年宏观政策领域的关键词之一，“新基建”是立足于科技端的基础设施建设，主要包括七大领域：5G基建、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网。IDC(Internet Data Center)-Internet数据中心是5G、工业互联网、大数据、人工智能等其他“新基建”的基础设施和核心支撑，为保证提供高性能、高带宽、高服务质量和高安全性的托管业务，IDC骨干网络系统安全更是重中之重，按照《信息安全等级保护管理办法》的要求，基础网络定级不得低于三级，且不得低于所承载信息系统的Zui别，因此IDC骨干网络需要严格贯彻落实国家网络安全等级保护制度，开展网络安全等级保护三级保护建设。

安全技术措施设计

IDC骨干网络系统安全技术体系的设计内容主要涵盖“一个中心、三重防护”。即安全管理中心、安全通信网络、安全区域边界、安全计算环境。

安全通信网络设计要点

l提供通信线路、关键网络设备和关键计算设备的硬件冗余，带宽管理设备保证系统的可用性；

l重要网络区域与其他网络区域之间部署防火墙提供可靠的安全隔离。

安全区域边界设计要点

l部署下一代防火墙对进出网络的数据流实现基于应用协议和应用内容的访问控制；

l部署抗拒绝服务攻击系统、入侵检测系统、流量分析系统等，在关键网络节点处检测从外部或内部发起的网络攻击行为，对网络攻击特别是新型网络攻击行为进行检测、分析、告警和防范。

安全计算环境设计要点

l部署堡垒主机，通过堡垒主机（运维审计）等机制，对重要的用户行为和重要安全事件进行集中审计。

安全管理中心设计要点

l划分不同管理角色，通过堡垒主机实现集中的身份鉴别、访问授权和操作审计；

l部署漏洞扫描及时发现各类系统漏洞信息。