某单位信息安全等级保护建设方案详细Word文档格式.docx

某单位信息安全等级保护建设方案详细Word文档格式.docx

《某单位信息安全等级保护建设方案详细Word文档格式.docx》由会员分享，可在线阅读，更多相关《某单位信息安全等级保护建设方案详细Word文档格式.docx（97页珍藏版）》请在冰豆网上搜索。

描述

2月28日

V1.0

初稿

3月1日

V1.1

修订

3月7日

V1.2

本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。

未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

图表目录

第一章项目概述

一.1项目概述

xxxxxx是人民政府的职能部门，贯彻执行国家有关机关事务工作的方针政策，拟订省机关事务工作的政策、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

在面对现在越来越严重的网络安全态势下，xxxxxx积极响应国家相关政策法规，积极开展信息安全等级保护建设。

对自有网络安全态势进行自我核查，补齐等保短板，履行安全保护义务。

项目目标：

打造一个可信、可管、可控、可视的安全网络环境，更好的为机关各部门及领导者和公务人员提供工作和生活条件，更好的保障各项行政活动正常进行。

一.2项目建设背景

机关后勤管理工作因为其政府内部服务的特殊性，一直比较少地为社会公众所关注或重视。

机关后勤管理包括对物资、财务、环境、生活以及各种服务项目在内的事务工作的管理，是行政机关办公室管理的重要一环，为机关各部门以及领导者和公务人员提供工作和生活条件，是保障各项行政活动正常进行的物质基础。

随着这几年地区经济的高速发展和政府行政职能分配管理的需要，使机关事务管理工作的管理范围和管理对象也相应的扩展和增加，管理工作变得十分繁重。

尤其是在新增的一些业务管理工作方面，如对政府机关单位固定资产的管理、房屋出租、分配的管理等，同时，随着这几年国家对资产管理的重视，信息化建设从原来注重财务管理信息化逐渐向国有资产管理信息化发展，作为机关事务管理的机构，正承担着这样一种责任和使命。

同时在面对现在不容乐观的整体安全态势环境下，开展机关事务管理的信息化建设与信息安全建设，是整个社会和国家发展的必然趋势。

一.2.1法律要求

在2017年6月1日颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。

具体如下：

“没有网络安全，就没有国家安全”，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。

各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。

除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：

网络日志留存：

第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;

采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;

采取数据分类、重要数据备份和加密等措施。

未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：

第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;

在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;

在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份：

第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。

没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

应急演练：

第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。

没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。

安全检测评估：

第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

每年没有进行安全检测评估的单位要被责令改正。

一.2.2政策要求

为切实加强门户网站安全管理和防护，保障网站安全稳定运行，国家非常重视，陆续颁布以下文件：

《关于加强党政机关网站安全管理的通知》（中网办发文〔2014〕1号）、《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》（中央编办发〔2014〕69号），公安部、中央网信办、中编办、工信部等四部门《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》（公信安〔2015〕2562号）

一.3项目建设目标及内容

一.3.1项目建设目标

依据国家信息安全等级保护相关指导规范，对xxxxxx信息系统、基础设施和骨干网络按照等保三级进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

依据信息安全等级保护三级标准，按照“统一规划、统一标准、重点明确、合理建设”的基本原则，在物理安全、网络安全、主机安全、应用安全、数据安全等几个方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

方案目标是让xxxxxx的骨干网络、相关应用系统达到安全等级保护第三级要求。

经过建设后使整体网络形成一套完善的安全防护体系，提升整体信息安全防护能力。

一.3.2建设内容

本项目以xxxxxx骨干网络、信息系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。

借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高xxxxxx的工作效率，提升信息化运用水平。

建设内容包括xxxxxx内网骨干网络、基础设施和信息系统等。

第二章现状与差距分析

二.1现状概述

二.1.1信息系统现状

本次项目中xxxxxx外网项目中涉及的设备有：

1）服务器≥4台

2）网络设备若干路由器、交换机、ap

3）安全设备有：

1台防火墙（过保）、WAF（过保）、2台ips（dmz区前IPS已过保）、上网行为管理（过保）、防病毒网关、绿盟安全审计系统、360天擎终端杀毒（只具有杀毒模块）

4）存储设备：

火星舱容灾备份

二.1.1.1网络系统现状

xxxxxx的网络系统整体构架采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成。

网络现状：

核心层：

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。

xxxxxx内网核心，由1台DPX安全业务网关组成。

汇聚层：

汇聚层是网络接入层和核心层的“中介”，是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。

xxxxxx内网中，由迪普和H3C交换机作为内网的有线汇聚和内网的无线汇聚交换机。

接入层：

接入层向本地网段提供工作站接入。

xxxxxx内网网络中，由各种品牌的交换机作为终端前端接入交换机，为各区域提供接入。

在DPX核心交换机上划分VLAN和网关，整体网络中部署了防病毒网关、IPS、UAG、DDI、数据容灾备份系统。

OA系统连接至无线汇聚交换机。

其他各系统旁路至核心交换机上。

安全现状：

在整体网络中部署有相应的安全设备做安全防护，但部分安全设备过保，整体网络安全防护体系不够完善、区域划分不合理，现状拓扑图如下：

图表1现状拓扑图

二.1.1.2主机系统现状

xxxxxx的业务系统OA、文件交换箱等，部署于多台服务器上。

服务器为机架式服务器和塔式服务器，固定于标准机柜与固定位置，并进行标识区分。

服务器操作系统全都采用微软的WindowsServer系列操作系统。

xxxxxx办公终端约为300台，win7为主，XP系统占少数，主机系统没有进行过定期更新补丁，安装有360天擎杀毒软件

二.1.1.3应用系统现状

xxxxxx的应用系统主要为以下业务系统：

OA、文件交换箱等。

也包含一些其他的办公软件。

二.2现状与差距分析

二.2.1物理安全现状与差距分析

xxxxxx机房建设过程中参照B级机房标准参考进行统一规划，存在的物理安全隐患较少。

但仍需参照以下标准进行核查、整改；

根据信息安全等级保护（第三级）中对物理安全相关项（防火、防雷、防水、防磁及电力供应等）存在些许差距。

详见下表差距分析。

图表2物理安全现状

序号

要求指标项

是否

符合

现状分析

备注

1

物理位置的选择（G3）

本项要求包括：

a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

符合要求

满足

b）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2

物理访问控制（G3）

a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

不符合要求

不满足

无相关记录

b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

有监控，但是没有申请和审批流程

c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

基本符合要求

依据业务系统进行了机柜间的区域区分，但未在重要区域前设置物理隔离装置。

在重要区域前设置物理隔离装置。

d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

基本满足

3

防盗窃和防破坏（G3）

a）应将主要设备放置在机房内；

b）应将设备或主要部件进行固定，并设置明显的不易除去的标记；

c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

有部分线缆架设在半空中

d）应对介质分类标识，存储在介质库或档案室中；

e）应利用光、电等技术设置机房防盗报警系统；

f）应对机房设置监控报警系统。

4

防雷击（G3）

a）机房建筑应设置避雷装置；

b）应设置防雷保安器，防止感应雷；

c）机房应设置交流电源地线。

5

防火（G3）

a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

安装有气体灭火装置

b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

6

防水和防潮（G3）

a）水管安装，不得穿过机房屋顶和活动地板下；

b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

d）应安装对水敏感的检测仪表或组件，对机房进行防水检测和报警。

7

防静电（G3）

a）主要设备应采用必要的接