ImageVerifierCode 换一换
格式:DOCX , 页数:21 ,大小:166.09KB ,
资源ID:23211150      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/23211150.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(教育行业等级保护二级解决方案V1.docx)为本站会员(b****1)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

教育行业等级保护二级解决方案V1.docx

1、教育行业等级保护二级解决方案V1教育行业等级保护(二级)解决方案2017年1月文档信息作 者:何汉强日 期:2017年1月19日复 审 人:日 期:单击或点击此处输入日期。密 级:公开资料 内部资料 保密资料 机密资料文档类型:管理文档 计划文档 需求文档 设计文档测试文档 用户文档 工程文档 维护文档版本控制版本编号修订人修订日期修订说明V1.0何汉强2017.01.19创建文档版权声明Copyright 2017 福建六壬网安股份有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。1 项目概述1.1 项目背景随着

2、我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了中华人民共和国计算机信息系统安全保护条例。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的

3、强制性国家标准GB 17859-1999计算机信息系统安全保护等级划分准则,为等级保护这一安全国策给出了技术角度的诠释。2003年的国家信息化领导小组关于加强信息安全保障工作的意见(27号文)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,党中央、国务院对信息安全等级保护工作非常重视。 2

4、007年又明确要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发信息安全等级保护管理办法的通知(公通字200743号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号),教育部印发教育行业信息系统安全等级保护定级工作指南。等级保护是国家信息安全保障的基本制度、基本策略和基本方法,开展信息安全等级保护工作,就是为了解决国家信息安全面临的威胁和存在的主要问题,进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展。根据学校工作要求,

5、结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对学校重要信息系统进行等级保护咨询和整改建设,为学校信息系统的安全运行提供有力的保障1.2 项目目标本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合学校信息系统的安全需求分析,确定学校信息系统安全等级保护的级别,对信息系统进行差距分析并提出整改建议,对学校信息系统进行整改,满足等级保护的要求,协助学校信息系统通过测评,更好地保障学校各业务系统的正常运行,全面提升学校信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。1.3 项目内容 针对学校业务系统包括网站群系统、智慧集大系统、一卡通系统、科研管理

6、系统、办公自动化系统及其基础设施包括机房、服务器主机、数据库系统,网络设备和安全设备开展信息等级保护安全服务工作,参照GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求等标准规范要求,结合教育行业特点和安全需求,做好信息安全等级保护二级备案工作并通过测评中心测评。2 等级保护咨询服务2.1 咨询服务依据2.1.1 政策依据 中华人民共和国计算机信息系统安全保护条例 (国务院147号令) 关于转发的通知)(中办200327号文件) 关于印发的通知(公通字200466号文件) 关于印发的通知(中办发200611号) 关于印发的通知(公通字200743号) 关于开展全国重要信

7、息系统安全等级保护定级工作的通知(公通字2007861号) 信息安全等级保护备案实施细则(公信安【2007】1360号) 公安机关信息安全等级保护检查工作规范(公信安【2008】736号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号) 关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070号) 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函20111126号)(以下简称1126号文件) 卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号)(以下简称85号文件) 各地方、行业相关政策要求 等等2.1.2 标准

8、依据 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南 GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T25070-2010 信息安全技术 信息系统等级保护安全设计技术要求 信息安全技术信息系统安全等级保护测评要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操

9、作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GB/T 20282-2006信息系统安全工程管理要求 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型 ISO/IEC 27000系列 信息系统安全管理体系标准 等等2.2 咨询服务原则在本次等级保护咨询方案的设计应遵从以下原则: 最小影响原则:应尽可能小的影响系统和网络的正常运行,不能对现有网络和系统的运行和业务的正常提供产生明显影响; 标准性原则:方案的设计与实施应依据国内、国际、等级化保护相关要求

10、、相关标准进行; 规范性原则:工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制; 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证学校对于服务工作的可控性; 整体性原则:应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患; 保密性原则:对过程数据和结果数据严格保密, 所有参与项目人员均有保密协议。2.3 等级保护咨询服务介绍“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信

11、息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分,其中技术部分根据信息系统安全等级保护基本要求分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据信息系统安全等级保护基本要求则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”根据等级化安全保障体系的设计思路,等

12、级保护的设计与实施通过以下步骤进行:1. 系统识别与定级确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。3. 确定安全域安全要求参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方

13、法确定系统各区域等级,明确各安全域所需采用的安全指标。4. 评估现状根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。5. 安全保障体系方案设计根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6. 安全建设根据方案设计内容逐步进行安全建设,满足方

14、案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。7. 持续安全运维通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。而应该特别注意的是:等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。3 等级保护差距分析根据福建省福建省教育行业信息系统安全等级

15、保护定级指南的等级保护控制项防护措施,对照自身建设进行差距分析,等级保护控制项防护措施差距项如下表:安全类别控制项主要安全措施要求(二级保护措施差距项物理安全物理访问控制机房安排专人负责,来访人员须审批和陪同防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施防雷击机房计算机系统接地符合GB 50057-1994 建筑物防雷设计规范中计算机机房防雷要求防火机房设置灭火设备和火宅自动报警系统电力供应机房及关键设备应配置UPS备份电力供应环境监控机房设置温,湿度自动调节设施网络安全结构安全网络应按职能和重要程度不同划分网段访问控制网络边界部署软或硬件防火墙安全审计网络日志审计,网络运维管理安全

16、审计边界完整性检查采用准入控制系统,实现准入控制,非法外联检查入侵防范采用入侵检测系统、入侵防御系统实现对入侵行为的识别和监控。采用威胁预警系统,实现对APT攻击、WEB威胁、邮件威胁等安全事件的识别。主机安全入侵防范采用服务器安全加固安全审计采用终端管理系统实现安全审计恶意代码防范防病毒软件应用安全身份鉴别采用电子认证措施软件容错所有对外发布WEB应用,都应具备7*24小时网站安全监控措施,安全监控信息必须与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。采用软或硬件防篡改系统防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏

17、,保护网站安全运行。数据安全与备份恢复备份和恢复本地数据备份与恢复4 等级保护整改建议4.1 等级保护整改保护措施安全类别控制项主要安全措施要求(二级)六壬网安保护措施物理安全物理访问控制机房安排专人负责,来访人员须审批和陪同咨询服务(管理梳理)防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施机房建设防雷击机房计算机系统接地符合GB 50057-1994 建筑物防雷设计规范中计算机机房防雷要求机房建设防火机房设置灭火设备和火宅自动报警系统机房建设电力供应机房及关键设备应配置UPS备份电力供应机房建设环境监控机房设置温,湿度自动调节设施机房建设网络安全结构安全网络应按职能和重要程度不同划

18、分网段咨询服务(安全域梳理)访问控制网络边界部署软或硬件防火墙防火墙安全审计网络日志审计,网络运维管理安全审计运维安全管理系统边界完整性检查采用准入控制系统,实现准入控制,非法外联检查终端管理系统入侵防范采用入侵检测系统、入侵防御系统实现对入侵行为的识别和监控。入侵防御系统采用威胁预警系统,实现对APT攻击、WEB威胁、邮件威胁等安全事件的识别。威胁预警系统主机安全入侵防范采用服务器安全加固咨询服务(安全加固)安全审计采用终端管理系统实现安全审计终端管理系统恶意代码防范防病毒软件网络版防病毒软件应用安全身份鉴别采用电子认证措施(CAS)认证系统(无)软件容错所有对外发布WEB应用,都应具备7*

19、24小时网站安全监控措施,安全监控信息必须与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。应用安全防护系统(预警版)采用软或硬件防篡改系统防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏,保护网站安全运行。主页防篡改数据安全与备份恢复备份和恢复本地数据备份与恢复存储4.2 网络安全1、 防火墙采用防火墙技术,对学校进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的DOS和DDOS攻击。通过合理布局,形成多级

20、的纵深防御体系。2、 运维安全管理系统在运维管理域的交换机处旁路部署一台运维安全管理系统。实现对运维人员操作服务器、网络设备、数据库过程的授权、监控与审计,实现对IT运维“事前授权、事中监控、事后审计”全面监管,全面解决各种复杂环境下的运维安全问题,提升企业IT运维管理水平。3、 终端管理系统在运维管理域部署一套终端安全管理系统,各个终端安装终端安全管理系统客户端,终端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。4、 入侵防御系统在网络边界处

21、部署一台入侵防护系统。采用透明方式接入,IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截,对网络进行有效的防御保护。5、 威胁预警系统在核心交换机部署一台威胁预警系统,威胁预警系统支持APT 和针对性攻击;零日恶意软件和文档漏洞;攻击者的网络活动;Web 威胁(漏洞、隐蔽强迫下载);电子邮件威胁(网络钓鱼、鱼叉式网络钓鱼);数据隐蔽泄露;Bot、特洛伊木马、蠕虫病毒;按键记录软件和犯罪软件;破坏性应用程序等。4.3 主机安全1、终端

22、管理系统在运维管理域部署一套终端安全管理系统,各个终端安装终端安全管理系统客户端,终端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。(与网络安全共用一套)2、网络版防病毒软件部署一套网络版防病毒软件,各个终端安装防病毒客户端。对主机终端进行病毒、恶意代码的查杀。4.4 应用安全1、应用安全防护系统(预警版)应用安全防护系统基于创新的预警技术、精确的安全威胁与攻击识别、全面的动态的攻击行为与安全隐患分析、有机结合不同层面的安全技术与智能学习自动形

23、成安全生态体系,通过事前预警行为预先采取相应的防御措施来提升网络与应用的安全。同时,通过有效的还原黑客攻击行为与完整的攻击事件记录,全面掌握信息安全态势,为预警、应急响应和事件调查提供支撑。在网站部署应用安全防护系统进行7*24小时网站安全监控措施,同时可以与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。2、网站防篡改系统在学校网站部署一套网站防篡改系统,网站防篡改系统通过文件底层驱动技术对网站目录提供全方位的保护,防止黑客、病毒等对目录中的文件进行非法篡改和破坏。防篡改系统保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站被非法修改的

24、问题。4.5 数据安全与备份恢复 1、存储存储系统主要是为各安全管控中心的数据库建立数据存储与备份机制。考虑学校的数据存储与备份需求,并尽可能节省项目投资,采用NAS技术构建存储备份系统。NAS是将存储设备连接到现有的网络上,或称网络直联存储设备,提供数据服务。简单的说,是通过与网络直接连接的磁盘阵列,无需服务器直接上网,不依赖通用的操作系统,而采用一个面向用户设计的、专门用于数据存储的简化操作系统;内置了与网络连接所需的协议,整个系统的管理和设置较简单。具备了磁盘阵列的所有主要特征:高容量、高效能、高可靠。5 等级保护整改投资概算5.1 编制说明5.1.1 编制依据(1).国家发改委、建设部

25、工程勘察设计收费标准(2002年修订本);(2).国家发改委、建设部建设项目经济评价方法与参数(第二版);(3).福建省“数字福建”的相关规范标准;(4).通信信息工程建设的有关费率标准;(5).有关生产厂商的市场报价及其它有关工程中设备合同价;(6).网络交换机、PC服务器等设备参照关于数字福建建设项目硬件设备定点协议采购入围产品的公告中的定点协议相关规定进行采购;(7).根据以往经验估列5.1.2 各种费率的取定本项目工程的投资概算具体的费率取定如下:(1).硬件设备购置费用根据闽数字办技术20058号,并参考市场价格确定,设备安装调试费已含在设备费用中;(2).项目系统集成与人员培训费用

26、按工程费用的3%取定;(3).项目系统监理费用按工程费用的2%取定;(4).项目系统测试与安全测评费用按工程费用的2%取定;(5).项目可研暨初设费用包括可行性研究报告暨初步设计方案编制费、项目调研等项目前期费用,按工程费用的3%取定;(6).不计取预备费;(7).软件开发费用按0.8万元/人月估算,包括前期研发和现场实施的人员工资、补助、税费、管理费等;本报告投资概算只包括项目建设期的资金投入,建成后对系统进行正常运行和维护更新工作所需的资金,建议有关部门在每年安排项目资金时予以考虑。项目系统运行维护费每年建议按系统软硬件工程费用的6%取定。5.2 概算表格5.2.1 项目总投资概算表41项

27、目投资概算总表序号项目费用名称投资概算(万元)备注1工程费用1.1等级保护咨询服务费用(二级)表4-21.2等级保护测评服务费用(二级)表4-31.3等级保护整改安全建设工程费用表4-42项目建设其他费用2.1系统集成与人员培训费用工程费用3%2.2项目系统监理费用工程费用2%2.3系统测试及安全评测费用工程费用2%2.4项目管理与可研暨初设费用工程费用3%3项目总投资5.2.2 分项投资概算清单表4-2 等级保护咨询服务费用(二级)概算表编号项目名称主要配置及性能要求数量单价(万元)总价(万元)1等级保护咨询服务(二级)网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统这五个

28、系统的等级保护咨询服务费用5表4-2 等级保护测评服务费用(二级)概算表编号项目名称主要配置及性能要求数量单价(万元)总价(万元)1系统测评费用(二级)网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统这五个系统的测评费用,为提交给测评中心的费用5表 44 等级保护整改安全建设工程费用编号项目名称主要配置及性能要求数量单价(万元)总价(万元)1防火墙2运维安全管理系统3终端管理系统4入侵防御系统5威胁预警系统6网络版防病毒软件7应用安全防护系统(预警版)8网站防篡改系统9存储小计:6 六壬网安等保咨询服务的优势 注册资金3380.38万元。拥有专业化安全服务团队,具有10名信息

29、安全等级保护安全建设服务认证工程师,以及7名CISP认证工程师,6名认证项目经理。 福建省内教育行业等级保护工作2015年底才开始启动,六壬网安公司积极配合省测评中心推动省内多所高校的等保工作,其中福州大学的等保工作为福建省内首个典型高校案例。 是福建省信息化标准化技术委员会信息安全标准工作组成员,参与教育行业等保标准的编写。 是中国信息安全测评中心认定的信息安全服务资质(安全工程类一级)的公司。 是中国信息安全认证中心(ISCCC)认证的信息安全风险评估服务资质三级的公司。 是中国信息安全认证中心(ISCCC)认证的信息安全运维服务资质三级的公司。 是中国信息安全认证中心(ISCCC)认证的信息安全应急处理服务资质三级的公司。 通过ISO27000及 ISO9001国际质量体系认定,具有高标准化项目管理及质量控制。 与安全测评中心定期进行学术研讨,提炼出了业界领先的测评方法论。 规范的安

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1