二级等保建设方案

1 / 17 二级等保建设方案 浙等保 XX3 号 关于印发浙江省信息安全等级保护 工作实施方案的通知 各市公安局、保密局、机要局、信息化工作领导小组办公室，省级各有关单位： 现将省公安厅、省保密局、省国家密码管理局、省信息化工作领导小组办公室联合制定的浙江省信息安全等级保护工作实施方案印发你们，请认真贯彻执行。 实行信息安全等级保护制度，是提高信息安全保障能力和防护水平，保障和促进信息化建设健康发展，维护国家安全、社会稳定和公共利益的迫切 需要。各级各部门必须进一步增强信息安全意识，在党委、政府的统一领导下，依据国家标准、要求和浙江省信息安全等级保护工作实施方案，认真组织实施。工作中遇到问题，请及时与我们联系。 省公安厅联系人：蔡林、张亮，联系电话： 87286362、87286360； 1 省保密局联系人：沈剑霞 , 联系电话： 87053571； 省国家密码管理局联系人：徐力，联系电话：87057180； 省信息化工作领导小组办公室联系人：姜华 ,联系电话： 85171855。 2 / 17 浙江省信息安全等级保护工作协调小组办公室 二七年八月二十日 2 浙江省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于信息安全等级保护工作的实施意见以及浙江省信息安全等级保护管理办法，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全 保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、3 / 17 运行维护和使用等各个环节，使我省信息安全保 障状况得到基本改善。 通过加强和规范信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息 3 化发展服务。 三、组织管理 为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 4 / 17 为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省保密局、省国家密码管理局、省信息办和省国 家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全保密测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。 4 四、工作内容 系统定级 信息系统运营、使用单位应按照国家有关规定，确定信息系统的安全保护等级，有主管部门的，应当经主管部门审核批准。系统涉及国家秘密的部分，应当按照涉密信息系统分级保护管理办法和涉及国家秘密的 信息系统分级保护技术要求确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 定级评审 属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后，应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的，运营、使用单位或主管部门应经省信息化行政5 / 17 主管部门初审后，请国家信息安全等级保护专家评审委员会评审。其它定级评审，依照浙江省信息安全等级评审实施细则执行。 系统备案 安全保护等级为二级以上的信息系统，其运营、使用单位需在等级确定后的三十天内，向设区的市级以上公安机关备案。安全保护等级为五级的，由国家指定的专门部门进行备案。系统涉及国家秘密的，向设区的市级以上保密工作部门备案。系统中使用密码设备的，密码设备要向设区的市级 5 概述 非常感谢 xx 能够给我们这次机会，使我们有幸为 xx安全等保机房改造项目提供设计说明。我们将通过业界最佳性能的多厂家产品，设计经过实践验证的、高性能的机房解决方案。 经过对据等保机房建设要求的深刻理解， 本次机房建设遵从信息安全等级保护二级的要求和规范进行详细设计，本方案采用的新材料、设备、工艺和技术，其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等，能充分满足计算机设备的安全可靠地运行，延长计算机系统使用寿命的要求，同时又要给系统管理员创造一个舒适、典雅的环境。因此，6 / 17 在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格，体现现代机房的特点和风貌。 机房设计原则 xx 安全等保机房改造的设计必须满足当前各项业务需求应用，又面向未来 快速增长的发展需求，因此必须是高质量的、灵活的、开放的。我们在进行 xx 安全等保机房改造设计时，遵循以下设计原则： 实用性和先进性 采用先进成熟的技术和设备，满足当前 xx 安全网站的业务要求，兼顾未来的业务要求，尽可能采用先进技术、设备和材料，以适应高速的数据传输需要，使整个系统在一段时间内保持技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术上升的需要。 安全可靠性 为保证各项业务的应用，网络必须具有高可靠性，决不能出现单点故障。要对 xx 安全等保机房 改造的布局、结构设计、设备选型、日常维护等各方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技 术措施提高电脑机房的安全可靠性。 灵活性和扩展性 7 / 17 xx 安全等保机房改造项目必须具有良好的灵活性和可扩展性，能够根据业务不断深入发展的需要，扩大设备容量和提高办公化质量的功能。 标准化 xx 安全等保机房改造系统的结构设计，基于国标标准和国家颁布的有关标准，包括各 种建设、机房设计标准，电力电气保障标准，坚持统一规范的原则，从而为未来的业务的发展，设备增容奠定基础。 经济性 /投资保护 应以较高的性能价格比构建机房改造，使资金的产出投入比达到最大值。能以较低的成本、较少的投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。 可管理性 由于 xx 安全等保机房改造项目具有一定的复杂性，随着业务的不断发展，管理的任务必定会日益繁重。所选用的设备应具有智能化，可管理的功能，可以 迅速确定故障，提高的运行性能、可靠性，简化机房管理人员的维护工作，从而为 xx 安全等保机房改造安全、可靠的运行提供最有力的保障。 在这份项目设计说明中，我们希望与 xx 安全网站项目部多多交流，利用我们对机房改造的实施经验和观点，以8 / 17 便在短期内完成机房改造的建设工作。我们的设计原则是着重于高扩充性，高可靠性。 机房功能区划分 依据与客户沟通的结果，结合信息安全等级保护二级要求建设不同功能区实现物理隔离的要求，本次机房规划功能区如下： 机房总面积 XX 平方米，划分成 2 个功 能区：网络机房区和动力控制区。 1、网络机房区面积约 XXm2，用于摆放网络服务器机柜、及计算机网络设备 等。 ， 2、动力控制区面积 XX m2，用于摆放电源配电柜、UPS 机头、空调等设备。 机房工程范围 依据信信息安全等级保护二级要求建设对机房装修环境、电源环境、照明环境、电磁接地环境、温湿度、机房洁净程度的要求。本次项目包括：机房装修系统、机房供配电及 UPS 系统、机房综合布线系统、机房消防系统、空调新风系统、门禁系统、环境动力监测系统、视频监控及报警 系统，共 8 个系统。 本机房设计说明书是依据客户提供的机房平面图纸完成的。 9 / 17 二级等保机房装修系统 二级等保机房环境要求及设计指标 物理安全 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 物理访问控制 本项要求包括： a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其 活动范围。 防盗窃和防破坏 本项要求包括： a) 应将主要设备放置在机房内； b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 主机房应安装必要的防盗报警设施。 防雷击 10 / 17 本项要求包括： f) 机房建筑应设置避雷装置； g) 机房应设置交流电源地线。 防火 机房应设置灭火 设备和火灾自动报警系统。 防水和防潮 本项要求包括： a) 水管安装，不得穿过机房屋顶和活动地板下； b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 防静电 d) 关键设备应采用必要的接地防静电措施。 温湿度控制 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 电力供应 本项 要求包括： a) 应在机房供电线路上配置稳压器和过电压防护设备； b) 应提供短期的备用电力供应，至少满足关键设备11 / 17 在断电情况下的正常运 行要求。 电磁防护 c) 电源线和通信线缆应隔离铺设，避免互相干扰。 设计、施工及验收标准规范 ? 信息系统安全等级保护基本要求 ? 智能建筑标准规范汇编 ? 计算机房的建设与管理 ? 计算机场地技术条件 ? 计算机场地安全条 件 ? 电子计算机房设计规范 ? 建筑设计防火规范 ? 建筑内部装修设计防火规范 ? 计算机机房施工及验收规范 ? 低压配电装置及线路设计规范 ? 火灾自动报警系统设计规范 ? 电子设备雷击保护导则 ? 计算机机房用活动地板技术条件 ? 建筑内部装修设计防火规范 ? 计算机信息系统安全法规汇编 ? 通风与空调工程施工及验收规范 12 / 17 ? 建筑物防雷设计规范 ? 建筑与建筑群综合布线系统工程设计规范 ? 商用建筑综合布线标准 ? 工业自动化仪表工程施工及验收规范 ? 采暖、通风与空气调节设计规范 ? 民用闭路电视监视电视系统技术规范 ? 电磁兼容性标准 ? 现场环境及机房建筑图纸 ? 机房工程设计原则 对土建结构的要求 根据电子计算机机房的特点现对本工程机房主体结构提出以下要求： 电子计算机机房的地面荷载按 250Kg/ m2 设计。根据本工程的实际特点。敷设防静电地板，对服务器机柜和空调等设备摆放处，甲方与土建方确认相关区域承重是否符合上述要求，如果未达到本设计承重要求，甲方需进行上述区域地面加固工作。 电子计算机机房主体结构具有耐久、抗震、防火、防止不均匀沉陷等性能。 电子计算机机房围护结构的构造和材料要满足保温、隔热、防火等要求。机房设单独出入口，当与其它部门共用出入口时，应避免人流、物流的交叉。建筑的入口至主机房应设通道，通道净宽不应小于。 13 / 17 系 统设计说明 医院信息化安全等保解决方案 一、行业背景与需求 为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于2016 年 12 月下发卫生部卫生行业信息安全等级保护工作的指导意见。为贯彻指导意见，办公厅同时下发卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知，对卫生行业各单位提出如下要求： 2016 年 5 月 30 日前完成本单位信息系统的定级备案工作； 根据信息系统定级备案情况开展等级 测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设整改方案； 2016年 12月 30日前完成信息安全等级保护建设整改工作，并通过等级测评。 指导意见根据信息安全技术信息系统安全等级保护定级指南、信息安全技术信息系统安全等级保护基本要求，建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据指导意见、定级指南、基本要求等相关规定，并结合本区域现状提出本区域内县区级医院定级要求，大部分省定级要求如下： 14 / 17 二、迪普 解决之道 为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求，迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。 整体思路 县级医院网络一般分为两张物理网络：内网和外网。内网主要承载着 HIS、 LIS、 PACS 等医院信息系统，外网主要承载医院 OA、网站、 mail 等信息系统。基本要求中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力，应满足相应的基本安全要求，根据实现方式的不同，基本安全 要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统，分别从网络安全、主机安全、 应用安全、数据安全四个层面进行设计。 网络安全、主机安全、应用安全、数据安全均包含多个控制点，而每个控制点又包含多个具体的技术要求项，本方案针对其中具体项要求提出以下的安全措施，如下表所示： 方案描述 医院内网信息安全等级保护方案设计，如下图所示： 15 / 17 图 1 首先，将医院内网分为多个安全区域，数据中心区、终端接入区、安全管理区与外联区域。根据不同的业务系统与安全区域划分 VLAN，在数据中心与外联区域边界部署DPtech FW1000 防火墙，根据访问需求配置安全访问控制策略。对于重要区域边界部署 IPS2000 入侵防御系统，对应用层攻击进行检测与在线防御，并在线过滤网络病毒、恶意代码在安全管理区部署 DPtech UMC 统一管理中心与 DPtech Scanner1000 漏洞扫描系统，为安全管理提供必要的技术手段，并集中收集、防火墙与 IPS 业务日志等。 医院外网信息安全等级保护方案计设，如下图所示： 图 2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。 对外服务器区前端部署DPtech WAF3000 Web 应用防火墙，对医院门户网站进行重点防护，针对 WEB 攻击漏洞进行全面检