信息安全等级保护建设方案
- 格式:doc
- 大小:549.00 KB
- 文档页数:36
当前位置:文档之家 › 信息安全等级保护建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护(二级)建设方案
2016年3月
目录
项目概述
项目建设目标
项目参考标准
方案设计原则
系统现状分析
系统定级情况说明
业务系统说明
网络结构说明
安全需求分析
物理安全需求分析
网络安全需求分析
主机安全需求分析
应用安全需求分析
数据安全需求分析
安全管理制度需求分析
总体方案设计
总体设计目标
总体安全体系设计
总体网络架构设计
安全域划分说明
详细方案设计技术部分
物理安全
网络安全
安全域边界隔离技术
入侵防范技术
网页防篡改技术
链路负载均衡技术
网络安全审计
主机安全
数据库安全审计
运维堡垒主机
主机防病毒技术
应用安全
详细方案设计管理部分
总体安全方针与安全策略
信息安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
安全管理制度汇总
咨询服务和系统测评
系统定级服务
风险评估和安全加固服务
漏洞扫描
渗透测试
配置核查
安全加固
安全管理制度编写
安全培训
系统测评服务
项目预算与配置清单
项目预算一期(等保二级基本要求)
利旧安全设备使用说明
项目概述
项目建设目标
为了进一步贯彻落实教育行业信息安全等级保护制度,推进学校信息安全等级
保护工作,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,对学校的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导学校信息化人员将定级材料提交当地公安机关备案。
本方案中,通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得学校信息系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为学校的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
本项目建设将完成以下目标:
、以学校信息系统现有基础设施,建设并完成满足等级保护二级系统基本要求的信息系统,确保学校的整体信息化建设符合相关要求。
、建立安全管理组织机构。成立信息安全工作组,学校负责人为安全责任人,拟定实施信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
、建立完善的安全技术防护体系。根据信息安全等级保护的要求,建立满足二级要求的安全技术防护体系。
、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
、制定学校信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和
意外且无法短时间恢复的情况下能确保生产活动持续进行。
、安全培训:为学校信息化技术人员提供信息安全相关专业技术知识培训。 项目参考标准
我司遵循国家信息安全等级保护指南等最新安全标准以及开展各项服务工作,配合学校的等级保护测评工作。本项目建设参考依据:
方案设计原则
针对本次项目,等级保护整改方案的设计和实施将遵循以下原则:
⏹保密性原则:我司对安全服务的实施过程和结果将严格保密,在未经用户方授权的情况下
不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
⏹标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护
二级基本要求,进行分等级分安全域进行安全设计和安全建设。
⏹规范性原则:我司在各项安全服务工作中的过程和文档,都具有很好的规范性(《南宁市
学家科技有限公司安全服务实施规范》),可以便于项目的跟踪和控制;
⏹可控性原则:服务所使用的工具、方法和过程都会在深信服与用户方双方认可的范围之内,
服务进度遵守进度表的安排,保证双方对服务工作的可控性;
⏹整体性原则:服务的范围和内容整体全面,涉及的✋❆运行的各个层面,避免由于遗漏造成
未来的安全隐患;
⏹最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著
影响。
⏹体系化原则:在体系设计、建设中,深信服充分考虑到各个层面的安全风险,构建完整的
立体安全防护体系。