信息安全等级保护建设方案2信息安全等级保护(二级)建设方案2016年3月3目录1.项目概述81.1.项目建设目标81.2.项目参考标准101.3.方案设计原则142.系统现状分析................................152.1.系统定级情况说明152.2.业务系统说明162.3.网络结构说明173.安全需求分析................................173.1.物理安全需求分析173.2.网络安全需求分析173.3.主机安全需求分析4183.4.应用安全需求分析183.5.数据安全需求分析193.6.安全管理制度需求分析194.总体方案设计................................194.1.总体设计目标194.2.总体安全体系设计204.3.总体网络架构设计234.4.安全域划分说明245.详细方案设计技术部分........................255.1.物理安全255.2.网络安全255.2.1.安全域边界隔离技术5255.2.2.入侵防范技术265.2.3.网页防篡改技术265.2.4.链路负载均衡技术265.2.5.网络安全审计275.3.主机安全285.3.1.数据库安全审计285.3.2.运维堡垒主机285.3.3.主机防病毒技术305.4.应用安全306.详细方案设计管理部分........................306.1.总体安全方针与安全策略3166.2.信息安全管理制度326.3.安全管理机构336.4.人员安全管理346.5.系统建设管理346.6.系统运维管理356.7.安全管理制度汇总387.咨询服务和系统测评..........................407.1.系统定级服务407.2.风险评估和安全加固服务407.2.1.漏洞扫描407.2.2.渗透测试407.2.3.配置核查7417.2.4.安全加固417.2.5.安全管理制度编写447.2.6.安全培训447.3.系统测评服务448.项目预算与配置清单..........................448.1.项目预算一期(等保二级基本要求)448.2.利旧安全设备使用说明4581.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度,推进学校信息安全等级保护工作,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,对学校的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导学校信息化人员将定级材料提交当地公安机关备案。本方案中,通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理9要求进行管理体系建设。使得学校信息系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为学校的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。本项目建设将完成以下目标:1、以学校信息系统现有基础设施,建设并完成满足等级保护二级系统基本要求的信息系统,确保学校的整体信息化建设符合相关要求。2、建立安全管理组织机构。成立信息安全工作组,学校负责人为安全责任人,拟定实施信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。3、建立完善的安全技术防护体系。根据信息安全等级保护的要求,建立满足二级要求的安全技术防护体系。4、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。5、制定学校信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。106、安全培训:为学校信息化技术人员提供信息安全相关专业技术知识培训。1.2.项目参考标准我司遵循国家信息安全等级保护指南等最新安全标准以及开展各项服务工作,配合学校的等级保护测评工作。本项目建设参考依据:指导思想中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)公信安[2009]1429《关于开展信息安全等级保...
