教育行业等级保护二级解决方案V.docx
《教育行业等级保护二级解决方案V.docx》由会员分享,可在线阅读,更多相关《教育行业等级保护二级解决方案V.docx(18页珍藏版)》请在冰豆网上搜索。
教育行业等级保护二级解决方案V
教育行业等级保护(二级)解决方案
2017年1月
文档信息
作者:
何汉强
日期:
2017年1月19日
复审人:
日期:
单击或点击此处输入日期。
密级:
☐公开资料☒内部资料☐保密资料☐机密资料
文档类型:
☐管理文档☐计划文档☐需求文档☒设计文档
☐测试文档☐用户文档☐工程文档☐维护文档
版本控制
版本编号
修订人
修订日期
修订说明
V1.0
何汉强
2017.01.19
创建文档
版权声明
Copyright©2017福建六壬网安股份有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
1项目概述
1.1项目背景
随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。
为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。
条例中规定:
我国的“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。
2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中指出:
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,党中央、国务院对信息安全等级保护工作非常重视。
2007年又明确要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发《信息安全等级保护管理办法的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号),教育部印发《教育行业信息系统安全等级保护定级工作指南》。
等级保护是国家信息安全保障的基本制度、基本策略和基本方法,开展信息安全等级保护工作,就是为了解决国家信息安全面临的威胁和存在的主要问题,进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展。
根据学校工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对学校重要信息系统进行等级保护咨询和整改建设,为学校信息系统的安全运行提供有力的保障
1.2项目目标
本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合学校信息系统的安全需求分析,确定学校信息系统安全等级保护的级别,对信息系统进行差距分析并提出整改建议,对学校信息系统进行整改,满足等级保护的要求,协助学校信息系统通过测评,更好地保障学校各业务系统的正常运行,全面提升学校信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。
1.3项目内容
针对学校业务系统包括网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统及其基础设施包括机房、服务器主机、数据库系统,网络设备和安全设备开展信息等级保护安全服务工作,参照《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》等标准规范要求,结合教育行业特点和安全需求,做好信息安全等级保护二级备案工作并通过测评中心测评。
2等级保护咨询服务
2.1咨询服务依据
2.1.1政策依据
⏹《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
⏹《关于转发<国家信息化领导小组关于加强信息安全保障工作的意见>的通知)(中办[2003]27号文件)
⏹《关于印发<信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文件)
⏹《关于印发<2006—2020年国家信息化发展战略>的通知》(中办发〔2006〕11号)
⏹《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)
⏹《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
⏹《信息安全等级保护备案实施细则》(公信安【2007】1360号)
⏹《公安机关信息安全等级保护检查工作规范》(公信安【2008】736号)
⏹《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
⏹《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)
⏹《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称1126号文件)
⏹《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)(以下简称85号文件)
⏹各地方、行业相关政策要求
⏹等等
2.1.2标准依据
⏹GB17859-1999《计算机信息系统安全保护等级划分准则》
⏹GB/T22240-2008《信息安全技术信息系统安全保护等级定级指南》
⏹GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
⏹GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
⏹GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》
⏹信息安全技术《信息系统安全等级保护测评要求》
⏹GB/T20270-2006《信息安全技术网络基础安全技术要求》
⏹GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
⏹GB/T20272-2006《信息安全技术操作系统安全技术要求》
⏹GB/T20273-2006《信息安全技术数据库管理系统通用安全技术要求》
⏹GB/T20282-2006《信息系统安全工程管理要求》
⏹GA/T671-2006《信息安全技术终端计算机系统安全等级技术要求》
⏹GA/T709-2007《信息安全技术信息系统安全等级保护基本模型》
⏹ISO/IEC27000系列《信息系统安全管理体系标准》
⏹等等
2.2咨询服务原则
在本次等级保护咨询方案的设计应遵从以下原则:
⏹最小影响原则:
应尽可能小的影响系统和网络的正常运行,不能对现有网络和系统的运行和业务的正常提供产生明显影响;
⏹标准性原则:
方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行;
⏹规范性原则:
工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
⏹可控性原则:
方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证学校对于服务工作的可控性;
⏹整体性原则:
应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
⏹保密性原则:
对过程数据和结果数据严格保密,所有参与项目人员均有保密协议。
2.3等级保护咨询服务介绍
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。
等级保护的精髓思想就是“等级化”。
等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。
之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。
”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级
确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计
根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.确定安全域安全要求
参照国家相关等级保护安全要求,设计不同安全域的安全要求。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4.评估现状
根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。
通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
5.安全保障体系方案设计
根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。
包括:
各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。
6.安全建设
根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。
7.持续安全运维
通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
而应该特别注意的是:
等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
3等级保护差距分析
根据福建省《福建省教育行业信息系统安全等级保护定级指南》的等级保护控制项防护措施,对照自身建设进行差距分析,等级保护控制项防护措施差距项如下表:
安全类别
控制项
主要安全措施要求(二级
保护措施差距项
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
防雷击
机房计算机系统接地符合GB50057-1994《建筑物防雷设计规范》中计算机机房防雷要求
防火
机房设置灭火设备和火宅自动报警系统
电力供应
机房及关键设备应配置UPS备份电力供应
环境监控
机房设置温,湿度自动调节设施
网络安全
结构安全
网络应按职能和重要程度不同划分网段
访问控制
网络边界部署软或硬件防火墙
安全审计
网络日志审计,网络运维
升级会员 