等级保护投标方案.docx

1、等级保护投标方案版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海XXXXXX有限公司和上海市XXXXXX院所有，受到有关产权及版权法保护。任何个人、机构未经上海XXXXXX有限公司和上海市XXXXXX院的书面授权许可，不得以任何方式复制或引用本文的任何片断。文档信息文档名称文档管理编号保密级别商 密文档版本号制作人制作日期复审人复审日期版本变更记录时间版本说明修改人适用性声明一、 项目概述 1.1、项目背景随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉

2、、社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度，已引起党和国家领导同志和社会各界的关注。由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多，建设起来困难重重，信息系统安全一直停留在网络完全的建设，但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。信息安全是国家主权、政治、经济、国防、社会安全和公民合法权益保障的重要保证，经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行

3、信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。等保解决方案依据法律法规：如下图等级保护解决方案依据技术标准：如下图基本要求是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一，是现阶段五个级别的信息系统的基本安全保护技术和管理要求，提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施，该标准需与设计技术要求、信息安全技术网络基础安全技术要求等其它标准配套使用。1.2、目

4、标与范围 为了落实和贯彻公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全等级保护工作要求，全面完善信息安全防护体系，落实“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保等级保护工作在各单位的顺利实施，提高整体信息安全防护水平，开展等级保护建设工作。本方案主要遵循 GB/T22239-2008信息安全技术信息安全等级保护基本要求、信息安全等级保护管理办法（公通字200743 号）、信息安全技术信息安全风险评估规范（GB/T 20984-2007）、ISO/IEC 27001 信息安全管理体系标准和 ISO/IEC 13335 信息安全管理标准等。实施的范围包括：上海

5、市XXXXXX院门户网站信息系统 通过本方案的建设实施，进一步提高信息系统等级保护符合性要求，将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的 安全风险。1.3、方案设计根据等级保护标准的相关要求，XXXXXX院信息系统按照等级保护三级的要求进行整改加固，对于系统中存在的漏洞、弱点提出相关的整改加固意见，并最终形成安全解决方案。1.4、参照标准GB/T22239-2008信息安全技术信息安全等级保护基本要求信息安全等级保护管理办法（公通字200743 号）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）ISO/IEC 27001 信息安全管理体系

6、标准ISO/IEC 13335 信息安全管理标准GB50057-94建筑防雷设计规范二、建设总目标上海市XXXXXX院成立于XXXX年，主要承担全市义务教育阶段以后的各级各类XXXXXX招生工作。其主要职责是：贯彻执行党和国家关于XXXXXX和招生工作的各项方针、政策和法规；开展XXXXXX的科研和开发；深化XXXXXX制度的改革；组织实施XXXXXX与招生工作方案；促进与境外考试机构的合作交流，开拓多层次、多规格的考试项目。建院十余年来，在各级政府部门的关心、指导下，上海市XXXXXX院历届领导和全体职工积极开拓，锐意进取，招生考试事业不断进步。目前，每年组织各类考试达50项(次)，参加考试

7、的人次数近210万。在“深化改革、加快发展、保持稳定”方针的指导下，上海市XXXXXX院在扩大高校招生自主权、推进中招综合评价与多元录取和实施高等教育自学考试管理的“上海模式”等方面进行了有益的探索。在积极推进招考手段现代化方面，我们率先实现了网上报名并开展网上咨询活动；在贯彻落实招生考试“阳光工程”方面，我们努力做到政策宣传到位、信访渠道畅通、不断提高服务水平。2006年初，为提升上海市XXXXXX院的科研能力和学术水平，我们专门筹建成立了招生考试研究所，积极开展招生考试的理论和应用研究。上海市XXXXXX院重视对外交流与合作，近年来，与英国、美国、日本、澳大利亚等国的考试服务机构加强了友好

8、交往，注重学习和借鉴国外的先进经验和技术，并就合作开设考试项目等事宜进行切磋和探讨，取得了可喜的成果。面对机遇和挑战，上海市XXXXXX院将顺应“学习型城市”的发展需要，再接再厉、开拓创新，本着“公平公正、规范有序”的原则，努力做好各项招生考试工作，为“海纳百川、追求卓越”的上海城市精神再添风采。等级保护建设总体目标综合考虑市XXXXXX院现有的安全防护措施，针对与信息安全技术信息系统安全等级保护基本要求间存在的差异，整改信息系统中存在的问题，使考试院信息系统满足信息安全技术信息系统安全等级保护基本要求中不同等级的防护要求，顺利通过等级保护建设测评。三、安全域及网络边界防护根据 GB/T222

9、39-2008信息安全技术信息安全等级保护基本要求的要求，市XXXXXX院信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。3.1 信息网络现状 主要问题：各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响。3.2、安全域的实现形式安全域实现方式以划分逻辑区域为主，旨在实现各安全区域的逻辑划分，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网段或逻辑网段的集合。对信息系统安全域的划分手段采用如下方式： 防火墙安全隔离：采用双接口或多接口防

10、火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。 虚拟防火墙隔离：采用虚拟防火墙实现各安全域边界隔离，将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在本方案实现中，可以为每个安全域建立 独立的虚拟防火墙进行边界安全防护。 三层交换机 Vlan 隔离：采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制。 二层交换机 Vlan 隔离：在二层交换机上为各安全域划分Vlan

11、，采用 Trunk 与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制。对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将单位层面上的多个物理网段或子网归属于同一安全 域实现安全域划分。3.3、安全域划分及边界防护根据等级保护方案有求，对信息系统进行安全域划分：1) 三级系统与其他系统进行分离2) 划分安全域，明确保护边界3) 部署访问控制设备或设置访问控制规则在各安全域边界设置访问控制规则，其中安全域边界按照“安全域边界”章节所列举的边界进行防护。访问控制规则可以采用交换机访问控制策略或模块化逻辑防火墙的形式实现。其他系统安全域边界访问控制规

12、则可以通过交换机的访问控制规则实现，访问控制则满足如下条件： 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力、控制粒度为网段级。 按用户和系统之间的允许访问规则，控制粒度为单个用户。三级系统安全域边界的安全防护需满足如下要求： 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 对进出网络的信息内容进行过滤，实现对应用层协议命令级的控制。4) 入侵检测系统部署：三级系统安全域内应部署入侵检测系统，并根据业务系统情况制定入侵检测策略，检测范围应包含三级系统服务器、其他应用服务器，入侵检测应满足如下要求： 定制入侵检测策略，如根据所检测的源、目的地址及端口号，所需监

13、测的服务类型以定制入侵检测规则； 定制入侵检测重要事件即时报警策略； 入侵检测至少可监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等； 当检测到攻击行为时，入侵检测系统应当记录攻击IP、攻击类型、攻击目的 IP、攻击时间，在发生严重入侵事件时应能提供及时的报警信息。四、信息安全管理建设4.1、建设目标 市XXXXXX院信息系统的管理与运维总体水平较高，各项管理措施比较到位，经过多年的建设，已形成一整套完备有效的管理制度。市XXXXXX院通过严格、规范、全面的管理制度，结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安

14、全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面，但与信息安全技术信息系统安全等级保护基本要求存在一定的差距，需进行等级保护建设。通过等级保护管理机构与制度建设，完善信息系统管理机构和管理制度，落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求,提高用户信息系统管理与运维水平。通过等级保护建设，实现如下目标：1) 落实信息安全技术信息系统安全等级保护基本要求管理制度各项指标和要求。2) 在信息安全总体方针和安全策略的引导下，各管理机构能按时需要规划信息安全发展策略，及时发布

15、各类信息安全文件和制度，对各类安全制度中存在的问题定期进行修订与整改。3) 系统管理员、网络管理员、安全管理员等信息安全管理与运维工作明确，明确安全管理机构各个部门和岗位的职责、分工和技能要求。4) 在安全技术培训与知识交流上，能拥有安全业界专家、专业安全或安全组织的技术支持，以保证市XXXXXX院信息系统安全维护符合各类安全管理要求并与时俱进。五、三级系统建设5.1 概述与建设目标三级系统域是依据等级保护定级标准而将市XXXXXX院的门户网站信息系统“上海招考热线”及业务应用系统定为三级的所有系统的集合，按等级保护方法将等级保护定级为三级的系统独立成域进行安全防护建设。针对信息安全技术信息安

16、全等级保护基本要求中三级系统各项指标和要求，为保障其稳定、安全运行，本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。5.2 物理安全根据市XXXXXX院“三级”等级保护建设方案要求，市XXXXXX院物理安全均按照信息安全技术信息安全等级保护基本要求中三级系统要求进行建设。5.2.1 物理安全建设目标市XXXXXX院机房均需按照信息安全技术信息系统安全等级保护基本要求三级系统机房物理环境要求，并参照信息安全技术信息安全等级保护基本要求的相关内容，对机房进行等级保护建设和改造，建设目标如下：1) 机房物理位置合适，环境控制措施得当，具有防震、防风、防水、防

17、火、 防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施。2) 机房管理措施全面得当，如：出入管理规范、卫生管理规范、值班巡视制度等等，保障各业务系统稳定、安全的运行。3) 电力冗余设计，从而保障用户各业务系统在遇断电、线路故障等突发事件时能正常稳定运行。4) 机房各类指标应满足信息安全技术信息系统安全等级保护基本要求三级系统机房物理环境要求中的必须完成项。5.2.2 机房感应雷防护措施市XXXXXX院办公大楼部署了防雷装置，防止感应雷的产生。感应雷的防护措施是对雷云发生自闪、云际闪、云地闪时，在进入建筑物的各类金属管、线上所产生雷电脉冲起限制作用，从而保护建筑物内人员及各种电气设备的安全。

18、5.2.3 物理访问控制根据系统级别、设备类型等将信息机房进行区域划分，分为网络设备区、主机和服务器区等，区域之间应设置物理隔离装置，如隔墙、玻璃墙等；针对等待交付系统应设置过渡区域，与安装运行区域应分开。对于未安装门禁系统的信息机房，在入口处安装电子门禁系统，控制、鉴别和记录进入人员；电子门禁系统应具有安全资质，能够有效的鉴别并记录进入人员的身份。5.2.4 防盗措施根据机房管理规范要求，机房应使用光、电等技术配置机房防盗报警系统，报警系统满足以下要求：1) 防盗监控系统覆盖机房每一个位置，定期对监控画面数据进行查阅和备份；2) 使用光、电技术探测机房内重要设备的物理位置，当物理位置发生变化

19、时，可自动报警；3) 防盗报警系统实现现场报警（如蜂鸣）和远程报警（电话或短信息）。5.2.5 防火措施根据机房设计与建设规范的要求，对机房进行相应的调整和改造，具体方案如下：1) 机房应设二氧化碳或卤代烷、七氟丙烷等灭火系统，并按现行有关规范要求执行。2) 机房应设火灾自动报警系统，并符合现行国家标准火灾自动报警系设计规范的规定。3) 报警系统和自动灭火系统应与空调、通风系统联锁。空调系统所采用的电加热器，应设置无风断电保护。4) 机房安全，除执行以上的规定外，应符合现行国家标准计算站场地安全要求的规定。5) 凡设置二氧化碳或卤代烷、七氟丙烷固定灭火系统及火灾探测器的机房，其吊顶的上、下及活

20、动地板下，均应设置探测器和喷嘴。6) 机房应安装感烟探测器。当设有固定灭火器系统时，使用感烟、感温两种探测器的组合对机房内进行探测。7) 机房应安装消防系统，机房应配置灭火设备。8) 机房出口必应向疏散方向开启且能自动关闭的门，门应是防火材料，并应保证在任何情况下都能从机房内打开。9) 凡设有卤代烷灭火装置的机房，应配置专用的空气呼吸器或氧气呼吸器。10) 机房内存放记录介质应使用金属柜或其他能防火的容器。5.2.6 防水和防潮针对机房存在的防水与防潮安全防护问题，并结合信息安全技术信息安全等级保护基本要求中机房给水排水要求，机房防水盒防潮实施计划如下：1) 在机房内应安装水敏感检测仪（水敏感

21、测试仪应按机房建设规范的要求进行安装）；2) 对机房进行防水防护，将水敏感仪器与报警系统相连，对机房水状况进行实时监控。5.2.7 电磁防护1) 机房应采用活动静电地板。机房应选用无边活动静电地板，活动地板应符合现行国家标准防静电活动地板通用规范的要求。敷设高度应按实际应要确定，为 150500mm，并将地板可靠接地。2) 机房内的工作台面及坐椅垫套材料应是导静电的，其体积电阻率为1.01071.01010cm。3) 机房内的导体必须与大地作可靠的连接，不得有对地绝缘的孤立导体。4) 导静电地面、活动地板、工作台面和坐椅垫套必须进行静电接地。5) 静电接地的连接线要有足够的机械强度和化学稳定性

22、，导静电地面和台面采用导电胶与接地导体黏结时，其接触面积不宜小于 10cm2。6) 机房内绝缘体的静电电位不能大于 1kV。7) 将机房内电源线和通信线缆隔离，并采用接地的方式防止外接电磁干扰和设备寄生耦合干扰，可将电源线和通信线缆垂直铺设，进一步减少电磁干扰。5.3 网络安全建设方案 5.3.1 网络安全建设目标按照信息安全技术信息系统安全等级保护基本要求对市XXXXXX院网络安全进行建设目标如下：1) 满足双网隔离的基本要求，即内外网间采用逻辑强隔离设备进行隔离。2) 边界安全防护措施到位，满足信息安全技术信息系统安全等级保护基本要求，如边界访问控制措施、远程安全接入、入侵检测等。3) 安

23、全域划分合理，内网根据业务系统等级保护定级，将三级系统独立成域，并划分桌面终端域；外网分为应用系统域和桌 面终端域。4) 针对网络设备进行安全防护，如：安全接入控制、设备安全管理、设备安全加固、安全日志审计、设备链路冗余等。5.3.2 建设方案根据信息安全技术信息系统安全等级保护基本要求，网络中网络设备及技术方面主要存在以下问题：1) 网络设备的远程管理采用明文的 Telnet 方式；2) 部分网络设备采用出厂时的默认口令；3) 交换机、IDS 等未开启日志审计功能，未配置相应的日志服务器；4) IDS 为 C/S 控制模式，管理服务器地址、登录等未作访问控制;5) 防火墙目前为网段级的访问控

24、制，控制粒度较粗；6) IDS 登录身份鉴别信息复杂度较低，口令简单并未定期更换；7) 未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；8)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；9) 未限制网络最大流量数及网络连接数。针对以上问题，结合信息安全技术信息安全等级保护基本要求，实施计划如下：1) 关闭防火墙、交换机和 IDS 的 telnet 服务，启用安全的管理服务，如SSH和 https。部分不支持 SSH 的交换机应在交换机上限制可 telnet 远程 管理的用户地址。2) 修改网络设备出厂时的默认口令

25、，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均需要进行修改。IDS 验收后，需及时修改口令；交换机需修改其 SNMP 口令串；防火墙口令应满足口令强度要求。3) 交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS 和防火墙的日志信息。4) 对 IDS 管理服务器地址和登录设置访问控制。在交换机和防火墙上配置访问控制策略，限制仅管理员用户可进行管理和登录。交换机上配置 访问控制策略ACL，限定仅管理员用户可进行管理和登录 IDS 服务器；在防火墙上设置策略限制可访问 IDS 的用户策略。通过交换机和防火墙 的策略设置

26、，限制 IDS 的管理员登录地址。整改防火墙上的访问控制策 略粒度，使其从现在的网段级调整为单个用户级。5) 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。6) 部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。7) 在交换机上限制网络最大流量数及网络连接数。5.4 主机安全5.4.1 主机安全建设目标针对市XXXXXX院三级系统主机存在的问题，结合信息安全技术信息安全等级保护基本要求，从主机身份鉴别、访问控制、安全

27、审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等方面给出三级系统主机等级保护建设方案，对主机操作系统、数据库系统进行安全加固，使之满足信息安全技术信息安全等级保护基本要求中关于主机的安全防护要求。5.4.2 主机身份鉴别等级保护主机身份鉴别要求：1) 对登录操作系统的用户进行身份标识和鉴别；2) 操作系统系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；3) 启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；4) 对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；5) 应使用两种或两种以上组合的鉴别技术对管理用户进行

28、身份鉴别。 实施计划：1) 应对登录操作系统的管理员用户和普通用户均设置口令；删除操作系统中过期的账户，修改操作系统中默认帐户和口令，检查操作系统中是否 存在相同用户名的账户。操作系统操作方式AIX1. 检查/etc/passwd:密码域中存在“*”的帐户，删除不必要的账户，或增设口令；WINDOWS1. 删除非法帐号或多余帐号，更改默认管理员帐号，将原Administrator 名称改成不被人熟识的帐户，新建一个普通用户，将其重命名为 Administrator，并将其权限设为最低，口令复杂度为 32 位以上；2. 选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用 Gu

29、est 账户。注：管理员账号 Administrator 重命名后，可能会导致某些服务不能用，如 SQL Server 数据库可能无法启动，修改前，需在备机上进行测试运行一周时间，无任何问题，再在主机上进行修改。2) 增强操作系统口令强度设置：操作系统操作方式AIX1. 修改 passwd 参数：/etc/security/user- maxage=30 口令最长生存期 30 天- maxrepeat=4 每个口令在系统中重复出现的次数- minalpha=4 口令中最小含有的字符个数- mindiff=2 新口令不同于旧口令的最小个数- minlen = 8 口令最短长度（包含字母、数字和特

30、殊字符）WINDOWS1. 修改“密码策略”，开启复杂性要求，设置口令最小长度等口令复杂度为 32 位以上；密码复杂性要求 启用 密码长度最小值 8 字符 密码最长存留期 30 天 密码最短存留期 0 天 复位帐户锁定计数器 10 分钟 帐户锁定时间 10 分钟 帐户锁定阀值 5 次注：设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前，需修改不符合帐号策略的密码使其符合策略要求，最后再修改密码策略。3) 启用登录失败处理功能，应设置限制非法登录次数和自动退出等措施。操作系统操作方式AIX1. 配置登录策略：修改/etc/security/login.cfg 文件logind

31、elay=3 失败登录后延迟 3 秒显示提示符logindisable=5 5 次失败登录后锁定端口 logininterval=60 在 60 秒内3 次失败登录才锁定端口 loginreenable15 端口锁定 15 分钟后解锁2. 增加或修改/etc/profile 文件中如下行：TMOUT=600 ;WINDOWS1. 修改“账户锁定策略”，设置帐户锁定相关设置：复位账户锁定计数器 15 分钟账户锁定时间 15 分钟 账户锁定阈值 5 次4) 当对服务器进行远程管理时，对于 UNIX 类服务器，用当前稳定版本的SSH 等安全工具取代明文传输的 telnet，并及时升级，保证传输数据的安全性；对