《单位信息安全等级保护建设方案样本.doc》由会员分享,可在线阅读,更多相关《单位信息安全等级保护建设方案样本.doc(133页珍藏版)》请在金锄头文库上搜索。
1、xxxxxx信息安全级别保护(三级)建设项目设计方案二一八年二月文档控制文档名称:xxxxxx信息安全等保保护建设(三级)设计方案提交方xxxxx机股份有限公司提交日期Xxxxx版本信息日期版本撰写者审核者描述2月28日V1.0草稿3月1日V1.1修订3月7日V1.2修订本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司容许,本文档里任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似资讯都不容许被发布。目录第一章项目概述51.1项目概述51.2项目建设背景51.2.1法律规定61.2.2政策规定71.3项目建设目的及内容81.3.1项目建设目的81.3.2
2、建设内容8第二章现状与差距分析92.1现状概述92.1.1信息系统现状92.2现状与差距分析122.2.1物理安全现状与差距分析122.2.2网络安全现状与差距分析162.2.3主机安全现状与差距分析222.2.4应用安全现状与差距分析272.2.5数据安全现状与差距分析322.2.6安全管理现状与差距分析342.3综合整治建议372.3.1技术办法综合整治建议372.3.2安全管理综合整治建议43第三章安全建设目的44第四章安全整体规划464.1建设指引464.1.1指引原则464.1.2安全防护体系设计整体架构474.2安全技术规划494.2.1安全建设规划拓朴图494.2.2安全设备功能
3、504.3建设目的规划55第五章工程建设575.1工程一期建设575.1.1区域划分575.1.2网络环境改造575.1.3网络边界安全加固585.1.4网络及安全设备布置595.1.5安全管理体系建设服务865.1.6安全加固服务1025.1.7应急预案和应急演习1095.1.8安全等保认证协助服务1095.2工程二期建设1105.2.1安全运维管理平台(soc)1105.2.2APT高档威胁分析平台1135.3产品清单115第六章方案预算116第七章方案预估效果1207.1工程预期效果120图表目录图表 1 现状拓扑图10图表 2物理安全现状12图表 3网络安全现状16图表 4主机安全现状
4、22图表 5应用安全现状27图表 6数据安全现状32图表 7安全管理现状34图表 8综合技术办法整治建议表格37图表 9综合安全管理体系整治建议表格43图表 10安全保障体系图47图表 11安全建设规划拓扑图49图表 12建设规划55图表 13 信息安全组织架构示意图92图表 14 安全管理制度规划示意图98图表 15产品清单表115图表 16方案预算表116第一章 项目概述1.1 项目概述xxxxxx是人民政府职能部门,贯彻执行国家关于机关事务工作方针政策,拟订省机关事务工作政策、规划和规章制度并组织实行,负责省机关事务管理、保障、服务工作。在面对当前越来越严重网络安全态势下,xxxxxx积
5、极响应国家有关政策法规,积极开展信息安全级别保护建设。对自有网络安全态势进行自我核查,补齐等保短板,履行安全保护义务。项目目的:打造一种可信、可管、可控、可视安全网络环境,更好为机关各部门及领导者和公务人员提供工作和生活条件,更好保障各项行政活动正常进行。1.2 项目建设背景机关后勤管理工作由于其政府内部服务特殊性,始终比较少地为社会公众所关注或注重。机关后勤管理涉及对物资、财务、环境、生活以及各种服务项目在内事务工作管理,是行政机关办公室管理重要一环,为机关各部门以及领导者和公务人员提供工作和生活条件,是保障各项行政活动正常进行物质基本。随着这几年地区经济高速发展和政府行政职能分派管理需要,
6、使机关事务管理工作管理范畴和管理对象也相应扩展和增长,管理工作变得十分繁重。特别是在新增某些业务管理工作方面,如对政府机关单位固定资产管理、房屋出租、分派管理等,同步,随着这几年国家对资产管理注重,信息化建设从本来注重财务管理信息化逐渐向国有资产管理信息化发展,作为机关事务管理机构,正承担着这样一种责任和使命。同步在面对当前不容乐观整体安全态势环境下,开展机关事务管理信息化建设与信息安全建设,是整个社会和国家发展必然趋势。1.2.1 法律规定在6月1日颁发中华人民共和国网络安全法中明确规定了法律层面网络安全。详细如下:“没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络
7、安全级别保护制度”。各网络运营者应当按照规定,开展网络安全级别保护定级备案、级别测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运营安全、核心信息基本设施运营安全、网络信息安全等对如下方面做了详细规定:网络日记留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,拟定网络安全负责人,贯彻网络安全保护责任;采用防计算机病毒、网络袭击、网络侵入等危害网络安全行为技术办法;采用监测、记录网络运营状态、网络安全事件技术办法,留存不少于半年有关网络日记;采用数据分类、重要数据备份和加密等办法。未履行上述网络安全保护义务,会被依照此条款责令整治,拒不改正或者导致危害网络安全等
8、后果,处一万元以上十万元如下罚款,对直接负责主管人员处五千元以上五万元如下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络袭击、网络侵入等安全风险;在发生危害网络安全事件时,及时启动应急预案,采用相应补救办法,并按照规定向关于主管部门报告。没有网络安全事件应急预案,没有及时处置高危漏洞、网络袭击;在发生网络安全事件时处置不恰当,会被依照此条款责令整治,拒不改正或者导致危害网络安全等后果,处一万元以上十万元如下罚款,对直接负责主管人员处五千元以上五万元如下罚款。容灾备份:第三十四条第三项规定,核心信息基本设施单位对重要系统和数据库进行容灾
9、备份。没有对重要系统和数据库进行容灾备份会被依照此条款责令改正。应急演习:第三十四条第四项规定,核心信息基本设施单位应当制定网络安全事件应急预案,并定期进行演习。没有网络安全事件预案,或者没有定期演习,会被依照此条进行责令改正。安全检测评估:第三十八条规定,核心信息基本设施运营者应当自行或者委托网络安全服务机构对其网络安全性和也许存在风险每年至少进行一次检测评估,并将检测评估状况和改进办法报送有关负责核心信息基本设施安全保护工作部门。每年没有进行安全检测评估单位要被责令改正。1.2.2 政策规定为切实加强门户网站安全管理和防护,保障网站安全稳定运营,国家非常注重,陆续颁布如下文献:关于加强党政
10、机关网站安全管理告知(中网办发文1号)、关于做好党政机关网站开办审核、资格复核和网站标记管理工作告知(中央编办发69号),公安部、中央网信办、中编办、工信部等四部门关于印发党政机关、事业单位和国有公司互联网网站安全专项整治行动方案告知(公信安2562号)1.3 项目建设目的及内容1.3.1 项目建设目的根据国家信息安全级别保护有关指引规范,对xxxxxx信息系统、基本设施和骨干网络按照等保三级进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简朴、扩容灵活、原则统一、经济合用建设目的。根据信息安全级别保护三级原则,按照“统一规划、统一原则、重点明确、合理建设”基本原则,在物
11、理安全、网络安全、主机安全、应用安全、数据安全等几种方面进行安全规划与建设,保证“网络建设合规、安全防护到位”。方案目的是让xxxxxx骨干网络、有关应用系统达到安全级别保护第三级规定。通过建设后使整体网络形成一套完善安全防护体系,提高整体信息安全防护能力。1.3.2 建设内容本项目以xxxxxx骨干网络、信息系统级别保护建设为主线,以让有关信息系统达到安全级别保护第三级规定。借助网络产品、安全产品、安全服务、管理制度等手段,建立全网安全防控管理服务体系,从而全面提高xxxxxx工作效率,提高信息化运用水平。建设内容涉及xxxxxx内网骨干网络、基本设施和信息系统等。第二章 现状与差距分析2.
12、1 现状概述2.1.1 信息系统现状本次项目中xxxxxx外网项目中涉及设备有:1) 服务器4台2) 网络设备若干 路由器、互换机、ap 3) 安全设备有:1台防火墙(过保)、WAF(过保)、2台ips(dmz区前IPS已过保)、上网行为管理(过保)、防病毒网关、绿盟安全审计系统、360天擎终端杀毒(只具备杀毒模块)4) 存储设备:火星舱容灾备份2.1.1.1 网络系统现状xxxxxx网络系统整体构架采用三层层次化模型网络架构,即由核心层、汇聚层和接入层构成。网络现状:核心层:核心层是网络高速互换主干,对整个网络连通起到至关重要作用。xxxxxx内网核心,由1台DPX安全业务网关构成。汇聚层:
13、汇聚层是网络接入层和核心层“中介”,是在工作站接入核心层前先做汇聚,以减轻核心层设备负荷。xxxxxx内网中,由迪普和H3C互换机作为内网有线汇聚和内网无线汇聚互换机。接入层:接入层向本地网段提供工作站接入。xxxxxx内网网络中,由各种品牌互换机作为终端前端接入互换机,为各区域提供接入。在DPX核心互换机上划分VLAN和网关,整体网络中布置了防病毒网关、IPS、UAG、DDI、数据容灾备份系统。OA系统连接至无线汇聚互换机。其她各系统旁路至核心互换机上。 安全现状:在整体网络中布置有相应安全设备做安全防护,但某些安全设备过保,整体网络安全防护体系不够完善、区域划分不合理,现状拓扑图如下: 图
14、表 1 现状拓扑图2.1.1.2 主机系统现状xxxxxx业务系统OA、文献互换箱等,布置于多台服务器上。服务器为机架式服务器和塔式服务器,固定于原则机柜与固定位置,并进行标记区别。服务器操作系统全都采用微软Windows Server系列操作系统。 xxxxxx办公终端约为300台,win7为主,XP系统占少数,主机系统没有进行过定期更新补丁,安装有360天擎杀毒软件2.1.1.3 应用系统现状xxxxxx应用系统重要为如下业务系统:OA、文献互换箱等。也包括某些其她办公软件。 2.2 现状与差距分析2.2.1 物理安全现状与差距分析xxxxxx机房建设过程中参照B级机房原则参照进行统一规划,存在物理安全隐患较少。但仍需参照如下原则进行核查、整治;依照信息安全级别保护(第三级)中对物理安全有关项(防火、防雷、防水、防磁及电力供应等)存在些许差距。详见下表差距分析。图表 2物理安全现状序号规定指标项与否符合现状分析备注1物理位置选取(G3)本项规定涉及:a)机房和办公场地应选取在具备防震、防风和防雨等能力建筑内;符合规定满足b)机房场地应避免设在建筑物高层或地下室,以及用水设备下层或隔壁。符合规定满足2物理访问控制(G3)本项规定涉及:a)机房出入口应安排专人值守,控制、鉴别和记录进入人员;不符合规定不满足无有关记录b)需进入机
