某学院等保(三级)设计方案

《某学院等保(三级)设计方案》由会员分享，可在线阅读，更多相关《某学院等保(三级)设计方案（37页珍藏版）》请在金锄头文库上搜索。

1、XX市XX学院等级保护（三级）建设方案2017年1月目录一、工程概况4.二、需求分析4.1、建设背景5.2、建设目标5.三、设计原则及依据7.1、设计原则 7.2、设计依据8.四、方案整体设计 9.1、信息系统定级9.1、等级保护完全实施过程 1.12、能力、措施和要求 1.13、基本安全要求124、系统的控制类和控制项 1.25、物理安全保护要求1.36、网络安全保护要求1.47、主机安全保护要求1.48、应用安全保护要求 1.59、数据安全与备份恢复1.610、安全管理制度 1711、安全管理机构 1712、人员安全管理1813、系统建设管理1814、系统运维管理192、等级保护建设流程2

2、02、网络系统现状分析2.11、网络架构212、可能存在的风险223、等保三级对网络的要求 231、结构安全232、访问控制243、安全审计244、边界完整性检查 255、入侵防范256、恶意代码防范257、网络设备防护254、现状对比与整改方案 261、现状对比262、控制点整改措施293、详细整改方案304、设备部署方案33五、产品选型351、选型建议352、选型要求353、设备选型清单36六、公司介绍.36一、工程概况信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的 一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。 在中国， 信息安全等级保护广义上为涉及到

3、该工作的标准、 产品、系统、信息等均依据等 级保护思想的安全工作XX市XX学院是2008年元月，经自治区人民政府批准，国家教育部备案的 公办全日制高等职业技术院校。学院以高等职业教育为主，同时兼有中等职业教 育职能。学院开拓办学思路，加大投入，改善办学条件，拓宽就业渠道，内引外联， 确立了面向社会、服务市场，重在培养学生的创新精神和实践能力的办学宗旨。 学院本着让学生既成才，又成人的原则，优化人才培养模式，狠抓教育教学质量， 增强学生实践动手能力，注重对学生加强德育和行为规范教育， 为企业和社会培 养具有全面素质和综合职业能力的应用型专门人才。学院雄厚的师资力量、先进的教学设备、严格的日常管理

4、、完善的文体设施、 优质的后勤服务以及宽敞洁净的学生公寓和食堂，为广大师生提供了优美、舒适、 理想的学习、生活和工作环境。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估 过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能 力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实 现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功 能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在

5、安全控制测评的 基础上，还要包括系统整体测评。二、需求分析为了保障国家关键基础设施和信息的安全，结合我国的基本国情，制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策，促进信息化、维护国家信息安全的根本保障。1、建设背景随着我国学校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度 越来越高，教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用 平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全 因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。为贯彻

6、落实国家信息安全等级保护制度，规范和指导全国教育信息安全等级 保护工作，国家教委教办厅函200980文件发出关于开展信息系统安全等级保 护工作的通知”；教育部教育管理信息中心发布教育信息系统安全等级保护工 作方案；教育部办公厅印发关于开展教育系统信息安全等级保护工作专项检 查的通知（教办厅函2010 80号）。XX市XX学院的网络系统在近几年逐步完善， 作为一个现代化的教学机构网 络，除了要满足高效的内部自动化办公需求以外，还应对外界的通讯保证畅通。结 合学校的“校务管理”、“教学科研”、“招生就业”、“综合服务”等业务信息平台， 要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以

7、在这样的 网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。同时学校的网络系统中内部及外部的访问量巨大， 访问人员比较复杂，所以如何保证学 校网络系统中的数据安全问题尤为重要。 在日新月异的现代化社会进程中，计算 机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思 维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严 密，都会使计算机网络受到威胁。2、建设目标本次XX市XX学院业务系统等级保护安全建设的主要目标是：按照等级保护要求，结合实际业务系统，对学院核心业务系统进行充

8、分调研及详细分析，将学院核心业务系统系统建设成为一个及满足业务需要，又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保 障体系，达到国内一流的信息安全保障水平， 支撑和保障信息系统和业务的安全 稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特 性和发展战略，满足学院信息安全要求。本方案的安全措施框架是依据“积极防御、综合防范”的方针，以及“管理 与技术并重”的原则，并结合等级保护基本要求进行设计。技术体系：网络层面：关注安全域划分、访问控制、抗拒绝服务攻击，针对区域边界采 取防火墙进行隔离，并在隔离后的各个安全区域边界

9、执行严格的访问控制，防止 非法访问；利用漏洞管理系统、网络安全审计等网络安全产品，为客户构建严密、 专业的网络安全保障体系。应用层面：WEB应用防火墙能够对WEB应用漏洞进行预先扫描，同时具备 对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，并结合网页防篡改子 系统，真正达到双重层面的“网页防篡改”效果。数据层面，数据库将被隐藏在安全区域，同时通过专业的安全加固服务对数 据库进行安全评估和配置，对数据库的访问权限进行严格设定，最大限度保证数 据库安全。同时，利用SANK远程数据备份系统有效保护重要数据信息的健康度。管理体系：在安全管理体系的设计中，我们借助丰富的安全咨询经验和对等级保护管

10、理 要求的清晰理解，为用户量身定做符合实际的、可操作的安全管理体系。安全服务体系：风险评估服务：评估和分析在网络上存在的安全技术分析， 分析业务运作和 管理方面存在的安全缺陷，调查系统现有的安全控制措施，评价用户的业务安全 风险承担能力；安全监控服务：通过资深的安全专家对各种安全事件的日志、 记录实时监控 与分析，发现各种潜在的危险，并提供及时的修补和防御措施建议；渗透测试服务：利用网络安全扫描器、专用安全测试工具和专业的安全工程 师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟 黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用 户；应急响应服务：针对

11、信息系统危机状况的紧急响应、分析、解决问题的服务， 当信息系统发生意外的突发安全事件时，可以提供紧急的救援措施。方案收益实施信息安全等级保护建设工作可以为高校信息化建设实现如下收益：有利于提高信息和信息系统安全建设的整体水平；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信 息化建设协调发展；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障重要信息系统的安全；有利于明确信息安全责任，加强信息安全管理；有利于推动信息安全的发展三、设计原则及依据1、设计原则根据学院的要求和国

12、家有关法规的要求，本系统方案设计遵循性能先进、质 量可靠、经济实用的原则，为实现学院等级保护管理奠定了基础。全面保障：信息安全风险的控制需要多角度、多层次，从各个环节入手，全面的保障。 整体规划，分步实施：对信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。同步规划、同步建设、同步运行：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的 疏忽都可能给业务系统带来危害。适度安全：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和 易用性的平衡点。内外并重：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行 为和访问控制、监控和审计能力

13、。标准化管理要规范化、标准化，以保证在能源行业庞大而多层次的组织体系中有效 的控制风险。技术与管理并重：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时， 重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。2、设计依据根据学院现有情况，本次方案的设计严格按照现行中华人民共和国以及内蒙 古自治区与行业的工程建设标准、规范的要求执行。在后期设计或实施过程中， 如国家有新法规、规范颁布，应以新颁布的法规规范为准。本方案执行下列有关 技术标准、规范、规程但不限于以下技术标准、规范、规程。计算机信息系统安全等级保护划分准则(GB 17859-1999信息系统安全

14、等级保护实施指南(GB/T 25058-201。信息系统安全保护等级定级指南(GB/T 22240-2008)信息系统安全等级保护基本要求(GB/T 22239-2008)信息系统通用安全技术要求(GB/T 20271-200。信息系统等级保护安全设计技术要求(GB/T 25070-2010信息系统安全等级保护测评要求(GB/T 28448-2012信息系统安全等级保护测评过程指南(GB/T 28449-2012信息系统安全管理要求(GB/T 20269-200。信息系统安全工程管理要求(GB/T 20282-200。信息系统物理安全技术要求(GB/T 21052-200刁网络基础安全技术要求

15、(GB/T 20270-2006信息系统通用安全技术要求(GB/T 20271-200。操作系统安全技术要求(GB/T 20272-2006数据库管理系统安全技术要求(GB/T 20273-200。信息安全风险评估规范(GB/T 20984-200力信息安全事件管理指南(GB/T 20985-200力信息安全事件分类分级指南(GB/Z 20986-2007信息系统灾难恢复规范(GB/T 20988-200力四、方案整体设计1、信息系统定级确定信息系统安全保护等级的流程如下：识别单位基本信息了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业 所处的地位和所用，由此判断单位主要信息系统的宏观定位。识别业务种类、流程和服务应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位 职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及 对本单位以外机构或个人的影响等方面。 这些具体数据即可以为主管部门制定定 级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。识别信息调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性 的需求，了解不同业务数据在