信息安全等级保护建设方案

信息安全等级保护（二级）建设方案

2016年3月

1.项目概述

1.1.项目建设目标

为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案.

本方案中,通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得学校信息系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为学校的业务系统提供立体

、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

本项目建设将完成以下目标：

1、以学校信息系统现有基础设施,建设并完成满足等级保护二级系统基本要求的信息系统，确保学校的整体信息化建设符合相关要求.

2、建立安全管理组织机构.成立信息安全工作组，学校负责人为安全责任人，拟定实施信息系统安全等级保护的具体方案，并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施.

3、建立完善的安全技术防护体系。根据信息安全等级保护的要求，建立满足二级要求的安全技术防护体系。

4、建立健全信息系统安全管理制度.根据信息安全等级保护的要求,制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

5、制定学校信息系统不中断的应急预案.应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。

6、安全培训：为学校信息化技术人员提供信息安全相关专业技术知识培训.

金丝雀定位1.2.项目参考标准

我司遵循国家信息安全等级保护指南等最新安全标准以及开展各项服务工作，配合学校的等级保护测评工作。本项目建设参考依据:

生产数据采集

指导思想	中办［2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）公通字[2004］66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）公通字［2007］43号文件(关于印发《信息安全等级保护管理办法》的通知）公信安［2009]1429《关于开展信息安全等级保护安全建设整改工作的指导意见》全国人大《关于加强网络信息保护的决定》国发［2012］23号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发[2013]7号《国务院关于推进物联网有序健康发展的指导意见》公信安［2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安［2014］2182号）
等级保护	GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T25058—2010 信息系统安全等级保护实施指南
系统定级	GB/T 22240—2008 信息安全技术信息系统安全保护等级定级指南
技术方面	GB/T25066—2010 信息安全产品类别与代码 GB/T17900-1999 网络代理服务器的安全技术要求 GB/T20010—2005 包过滤防火墙评估准则 GB/T20281-2006 防火墙技术要求和测试评价方法 GB/T18018—2007 路由器安全技术要求 GB/T20008—2005 路由器安全评估准则 GB/T20272-2006 操作系统安全技术要求 GB/T20273—2006 数据库管理系统安全技术要求 GB/T20009-2005 数据库管理系统安全评估准则 GB/T20275-2006 入侵检测系统技术要求和测试评价方法 GB/T20277—2006 网络和终端设备隔离部件测试评价方法水汽分离器GB/T20279—2006 网络和终端设备隔离部件安全技术要求 GB/T20278—2006 网络脆弱性扫描产品技术要求 GB/T20280—2006 网络脆弱性扫描产品测试评价方法 GB/T20945—2007 信息系统安全审计产品技术要求和测试评价方法 GB/T 21028—2007 服务器安全技术要求 GB/T25063—2010 服务器安全侧评要求 GB/T 21050—2007 网络交换机安全技术要求（EAL3） GB/T28452-2012 应用软件系统通用安全技术要求 GB/T29240-2012 终端计算机通用安全技术要求与测试评价方法 GB/T28456—2012 IPsec协议应用测试规范 GB/T28457—2012 SSL协议应用测试规范
管理方面	GB/T20269-2006 信息系统安全管理要求 GB/T28453—2012 信息系统安全管理评估要求 GB/T20984-2007 信息安全风险评估规范 GB/T24364-2009 信息安全风险管理指南 GB/T20985-2007 信息安全事件管理指南 GB/T20986—2007 信息安全事件分类分级指南 GB/T20988-2007 信息系统灾难恢复规范
方案设计	GB/T25070-2010 信息系统等级保护安全设计技术要求
等保测评	GB/T28448-2012 信息系统安全等级保护测评要求 GB/T28449-2012 信息系统安全等级保护测评过程指南

1.3.方案设计原则

针对本次项目,等级保护整改方案的设计和实施将遵循以下原则：

⏹保密性原则：龙泽罗拉百度影音我司白酒瓶盖对安全服务的实施过程和结果将严格保密，在未经用户方授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户权益的行为；

⏹标准性原则：服务设计和实施的全过程均依据国内或国际的相关标准进行；根据等级保护二级基本要求,进行分等级分安全域进行安全设计和安全建设。

⏹规范性原则：我司在各项安全服务工作中的过程和文档,都具有很好的规范性（《南宁市学家科技有限公司安全服务实施规范》)，可以便于项目的跟踪和控制；

⏹可控性原则：服务所使用的工具、方法和过程都会在深信服与用户方双方认可的范围之内,服务进度遵守进度表的安排，保证双方对服务工作的可控性；

⏹整体性原则：服务的范围和内容整体全面，涉及的IT运行的各个层面，避免由于遗漏造成未来的安全隐患；

⏹最小影响原则：服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。

⏹体系化原则：在体系设计、建设中，深信服充分考虑到各个层面的安全风险，构建完整的立体安全防护体系。

⏹先进性原则：为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法.

⏹分步骤原则：根据用户方要求,对用户方安全保障体系进行分期、分步骤的有序部署。

⏹服务细致化原则:在项目咨询、建设过程中深信服将充分结合自身的专业技术经验与行业经验相结合,结合用户方的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。

2.系统现状分析

铜管对流散热器2.1.系统定级情况说明

学校综合考虑了学校信息系统、学校信息系统的业务信息和系统服务类型，以及其受到破坏时可能受到侵害的客体以及受侵害的程度,经学校省公安厅的批准，已将学校系统等级定为等级保护第二级（S2A2G2），整体网络信息化平台按照二级进行建设.

2.2.业务系统说明

学校本次参加整改的共有X个信息系统，分别是学校系统、学校系统、学校系统、学校系统,具体情况介绍如下：

本文发布于:2024-09-25 07:15:29，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/323933.html

上一篇：毫米波雷达预警系统介绍

下一篇：防火墙与入侵功能检测

标签：要求保护信息系统技术系统学校建设进行

留言与评论（共有 0 条评论）