《教育行业等级保护(二级)解决方案》由会员分享,可在线阅读,更多相关《教育行业等级保护(二级)解决方案(23页珍藏版)》请在金锄头文库上搜索。
1、教育行业等级保护(二级)解决方案教育行业等级保护(二级)解决方案2017年1月文档信息作 者:何汉强日 期:2017年1月19日复 审 人:日 期:单击或点击此处输入日期。密 级:公开资料 内部资料 保密资料 机密资料文档类型:管理文档 计划文档 需求文档 设计文档测试文档 用户文档 工程文档 维护文档版本控制版本编号修订人修订日期修订说明V1.0何汉强2017.01.19创建文档版权声明Copyright 2017 福建六壬网安股份有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。教育行业等级保护(二级)解决方案
2、目 录1项目概述11.1项目背景11.2项目目标21.3项目内容22等级保护咨询服务32.1咨询服务依据32.1.1政策依据32.1.2标准依据42.2咨询服务原则42.3等级保护咨询服务介绍53等级保护差距分析84等级保护整改建议104.1等级保护整改保护措施104.2网络安全114.3主机安全124.4应用安全124.5数据安全与备份恢复135等级保护整改投资概算145.1编制说明145.1.1编制依据145.1.2各种费率的取定145.2概算表格155.2.1项目总投资概算155.2.2分项投资概算清单156六壬网安等保咨询服务的优势177典型成功案例列表18福建六壬网安股份有限公司 I
3、I1 项目概述1.1 项目背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了中华人民共和国计算机信息系统安全保护条例。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”1999年9月国家质量技术监
4、督局发布了由公安部提出并组织制定的强制性国家标准GB 17859-1999计算机信息系统安全保护等级划分准则,为等级保护这一安全国策给出了技术角度的诠释。2003年的国家信息化领导小组关于加强信息安全保障工作的意见(27号文)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,党中央、国务院对
5、信息安全等级保护工作非常重视。 2007年又明确要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发信息安全等级保护管理办法的通知(公通字200743号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号),教育部印发教育行业信息系统安全等级保护定级工作指南。等级保护是国家信息安全保障的基本制度、基本策略和基本方法,开展信息安全等级保护工作,就是为了解决国家信息安全面临的威胁和存在的主要问题,进一步提高信息安全的保障能力和防护水平,保障和促进信息化
6、建设的健康发展。根据学校工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对学校重要信息系统进行等级保护咨询和整改建设,为学校信息系统的安全运行提供有力的保障1.2 项目目标本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合学校信息系统的安全需求分析,确定学校信息系统安全等级保护的级别,对信息系统进行差距分析并提出整改建议,对学校信息系统进行整改,满足等级保护的要求,协助学校信息系统通过测评,更好地保障学校各业务系统的正常运行,全面提升学校信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。1.3 项目内容针对学校业务系统包括网站群系统、智
7、慧集大系统、一卡通系统、科研管理系统、办公自动化系统根据学校实际情况填写,这里举例及其基础设施包括机房、服务器主机、数据库系统,网络设备和安全设备开展信息等级保护安全服务工作,参照GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求等标准规范要求,结合教育行业特点和安全需求,做好信息安全等级保护二级备案工作并通过测评中心测评。福建六壬网安股份有限公司 162 等级保护咨询服务2.1 咨询服务依据2.1.1 政策依据n 中华人民共和国计算机信息系统安全保护条例 (国务院147号令)n 关于转发的通知)(中办200327号文件)n 关于印发的通知(公通字200466号文件)n
8、 关于印发的通知(中办发200611号)n 关于印发的通知(公通字200743号)n 关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)n 信息安全等级保护备案实施细则(公信安【2007】1360号)n 公安机关信息安全等级保护检查工作规范(公信安【2008】736号)n 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)n 关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070号)n 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函20111126号)(以下简称1126号文件)n 卫生行业信息安全等级保
9、护工作的指导意见的通知(卫办发201185号)(以下简称85号文件)n 各地方、行业相关政策要求n 等等2.1.2 标准依据n GB 17859-1999 计算机信息系统安全保护等级划分准则n GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南n GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求n GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南n GB/T25070-2010 信息安全技术 信息系统等级保护安全设计技术要求n 信息安全技术信息系统安全等级保护测评要求n GB/T 20270-2006 信息安全技术 网络基础
10、安全技术要求n GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求n GB/T 20272-2006 信息安全技术 操作系统安全技术要求n GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求n GB/T 20282-2006信息系统安全工程管理要求n GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求n GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型n ISO/IEC 27000系列 信息系统安全管理体系标准n 等等2.2 咨询服务原则在本次等级保护咨询方案的设计应遵从以下原则:n 最小影响原则:应尽可能
11、小的影响系统和网络的正常运行,不能对现有网络和系统的运行和业务的正常提供产生明显影响;n 标准性原则:方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行;n 规范性原则:工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;n 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证学校对于服务工作的可控性;n 整体性原则:应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;n 保密性原则:对过程数据和结果数据严格保密, 所有参与项目人员均有保密协议。2.3 等级保护咨询服务介绍“等级化”设计方法,是根据需要
12、保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分,其中技术部分根据信息系统安全等级保护基本要求分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据信息系统安全等级保护基本要求则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可
13、以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1. 系统识别与定级确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解
14、为多个层次,为下一步安全保障体系框架设计提供基础框架。3. 确定安全域安全要求参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。4. 评估现状根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。5. 安全保障体系方案设计根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6. 安全建设根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。7. 持续安全运维通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障
