信息安全等级保护建设方案

信息安全等级保护（二级）建设方案

2016年3月

目录

1. 项目概述 .................................................................................................................................................................. 3 1.1. 项目建设目标 .............................................................................................................................................. 3 1.2. 项目参考标准 .............................................................................................................................................. 4

2.

3.

4.

5.

6.

7.

1.3. 方案设计原则 .............................................................................................................................................. 6 系统现状分析 .......................................................................................................................................................... 6 2.1. 系统定级情况说明....................................................................................................................................... 6 2.2. 业务系统说明 .............................................................................................................................................. 7 2.3. 网络结构说明 .............................................................................................................................................. 7 安全需求分析 .......................................................................................................................................................... 8 3.1. 物理安全需求分析....................................................................................................................................... 8 3.2. 网络安全需求分析....................................................................................................................................... 8 3.3. 主机安全需求分析....................................................................................................................................... 9 3.4. 应用安全需求分析....................................................................................................................................... 9 3.5. 数据安全需求分析....................................................................................................................................... 9 3.6. 安全管理制度需求分析 ............................................................................................................................... 9 总体方案设计 .......................................................................................................................................................... 9 4.1. 总体设计目标 .............................................................................................................................................. 9 4.2. 总体安全体系设计.....................................................................................................................................10 4.3. 总体网络架构设计.....................................................................................................................................12 4.4. 安全域划分说明 ........................................................................................................................................12 详细方案设计技术部分.........................................................................................................................................13 5.1. 物理安全 ....................................................................................................................................................13 5.2. 网络安全 ....................................................................................................................................................13 5.2.1. 安全域边界隔离技术 .............................................................................................................................13 5.2.2. 入侵防范技术.........................................................................................................................................13 5.2.3. 网页防篡改技术.....................................................................................................................................14 5.2.4. 链路负载均衡技术 .................................................................................................................................14 5.2.5. 网络安全审计.........................................................................................................................................14 5.3. 主机安全 ....................................................................................................................................................14 5.3.1. 数据库安全审计.....................................................................................................................................14 5.3.2. 运维堡垒主机.........................................................................................................................................15 5.3.3. 主机防病毒技术.....................................................................................................................................15 5.4. 应用安全 ....................................................................................................................................................16 详细方案设计管理部分.........................................................................................................................................16 6.1. 总体安全方针与安全策略 .........................................................................................................................17 6.2. 信息安全管理制度.....................................................................................................................................18 6.3. 安全管理机构 ............................................................................................................................................18 6.4. 人员安全管理 ............................................................................................................................................18 6.5. 系统建设管理 ............................................................................................................................................19 6.6. 系统运维管理 ............................................................................................................................................19 6.7. 安全管理制度汇总.....................................................................................................................................21 咨询服务和系统测评 ............................................................................................................................................22 7.1. 系统定级服务 ............................................................................................................................................22 7.2. 风险评估和安全加固服务 .........................................................................................................................22

7.2.1. 漏洞扫描.........................................................................................................................................22 7.2.2. 渗透测试.........................................................................................................................................22 7.2.3. 配置核查.........................................................................................................................................22

8.

7.2.4. 安全加固.........................................................................................................................................22 7.2.5. 安全管理制度编写 .........................................................................................................................24 7.2.6. 安全培训.........................................................................................................................................24 7.3. 系统测评服务 ............................................................................................................................................24 项目预算与配置清单 ............................................................................................................................................25 8.1. 项目预算一期（等保二级基本要求） .....................................................................................................25 8.2. 利旧安全设备使用说明 .............................................................................................................................26

1. 项目概述

1.1. 项目建设目标

为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。

本方案中，通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得学校信息系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为学校的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

本项目建设将完成以下目标：

1、以学校信息系统现有基础设施，建设并完成满足等级保护二级系统基本要求的信息系统，确保学校的整体信息化建设符合相关要求。

2、建立安全管理组织机构。成立信息安全工作组，学校负责人为安全责任人，拟定实施信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

3、建立完善的安全技术防护体系。根据信息安全等级保护的要求，建立满足二级要求的安全技术防护体系。

4、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

5、制定学校信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。

6、安全培训：为学校信息化技术人员提供信息安全相关专业技术知识培训。

1.2. 项目参考标准

我司遵循国家信息安全等级保护指南等最新安全标准以及开展各项服务工作，配合学校的等级保护测评工作。本项目建设参考依据：

中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知） 公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知） 公信安[2009]1429《关于开展信息安全等级保护安全建设整改工作的指导意见》 全国人大《关于加强网络信息保护的决定》 国发[2012]23号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 国发[2013]7号《国务院关于推进物联网有序健康发展的指导意见》 公信安[2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》（ 公信安[2014]2182号） 指导思想