信息安全等级保护(二级)建设方案
2016年3月
目录
1. 项目概述 .................................................................................................................................................................. 3 1.1. 项目建设目标 .............................................................................................................................................. 3 1.2. 项目参考标准 .............................................................................................................................................. 4 1.3. 方案设计原则 .............................................................................................................................................. 5
1
2.
3.
4.
5.
6.
7.
系统现状分析 .......................................................................................................................................................... 6 2.1. 系统定级情况说明....................................................................................................................................... 6 2.2. 业务系统说明 .............................................................................................................................................. 6 2.3. 网络结构说明 .............................................................................................................................................. 7 安全需求分析 .......................................................................................................................................................... 8 3.1. 物理安全需求分析....................................................................................................................................... 8 3.2. 网络安全需求分析....................................................................................................................................... 8 3.3. 主机安全需求分析....................................................................................................................................... 8 3.4. 应用安全需求分析....................................................................................................................................... 8 3.5. 数据安全需求分析....................................................................................................................................... 9 3.6. 安全管理制度需求分析 ............................................................................................................................... 9 总体方案设计 .......................................................................................................................................................... 9 4.1. 总体设计目标 .............................................................................................................................................. 9 4.2. 总体安全体系设计....................................................................................................................................... 9 4.3. 总体网络架构设计.....................................................................................................................................12 4.4. 安全域划分说明 ........................................................................................................................................12 详细方案设计技术部分.........................................................................................................................................13 5.1. 物理安全 ....................................................................................................................................................13 5.2. 网络安全 ....................................................................................................................................................13 5.2.1. 安全域边界隔离技术 .............................................................................................................................13 5.2.2. 入侵防范技术.........................................................................................................................................13 5.2.3. 网页防篡改技术.....................................................................................................................................13 5.2.4. 链路负载均衡技术 .................................................................................................................................13 5.2.5. 网络安全审计.........................................................................................................................................14 5.3. 主机安全 ....................................................................................................................................................14 5.3.1. 数据库安全审计.....................................................................................................................................14 5.3.2. 运维堡垒主机.........................................................................................................................................14 5.3.3. 主机防病毒技术.....................................................................................................................................15 5.4. 应用安全 ....................................................................................................................................................15 详细方案设计管理部分.........................................................................................................................................16 6.1. 总体安全方针与安全策略 .........................................................................................................................16 6.2. 信息安全管理制度.....................................................................................................................................17 6.3. 安全管理机构 ............................................................................................................................................17 6.4. 人员安全管理 ............................................................................................................................................17 6.5. 系统建设管理 ............................................................................................................................................18 6.6. 系统运维管理 ............................................................................................................................................18 6.7. 安全管理制度汇总.....................................................................................................................................20 咨询服务和系统测评 ............................................................................................................................................21 7.1. 系统定级服务 ............................................................................................................................................21 7.2. 风险评估和安全加固服务 .........................................................................................................................21
7.2.1. 漏洞扫描.........................................................................................................................................21 7.2.2. 渗透测试.........................................................................................................................................21 7.2.3. 配置核查.........................................................................................................................................21 7.2.4. 安全加固.........................................................................................................................................21 7.2.5. 安全管理制度编写 .........................................................................................................................23
2
8.
7.2.6. 安全培训.........................................................................................................................................23 7.3. 系统测评服务 ............................................................................................................................................23 项目预算与配置清单 ............................................................................................................................................24 8.1. 项目预算一期(等保二级基本要求) .....................................................................................................24 8.2. 利旧安全设备使用说明 .............................................................................................................................25
1. 项目概述
1.1. 项目建设目标
为了进一步贯彻落实教育行业信息安全等级保护制度,推进学校信息安全等级保护工作,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,对学校的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导学校信息化人员将定级材料提交当地公安机关备案。
本方案中,通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个
3