教育行业等级保护（二级）解决方案

教育行业级别保护(辅助)解决方案教育行业级别保护(辅助)解决方案2017年1月关于文档作者：汉江日期：2017年1月19日再审者：天：单击或轻击此处输入日期。秘密级别：公共信息内部数据机密数据文件型态：文件计划文件需求管理文件设计文件测试文档用户文档工程文档维护文档版本控制版本号修改者修改日期修订说明V1.0下限2017.01.19建立文件版权通知版权所有2017福建林业网络安全有限公司版权所有，所有权利。未经本公司书面许可，任何单位或个人不得擅自摘录、复制或以任何形式传播本文档的部分或全部内容。教育行业级保护(辅助)解决方案列表1项目概述11.1项目背景11.2项目目标21.3项目内容2第2级保护咨询服务32.1咨询服务标准32.1.1基于策略32.1.2标准标准42.2咨询服务原则42.3级保护咨询服务简介53级保护差距分析84级保护整改建议104.1级保护整顿和保护措施104.2网络安全114.3主机安全124.4应用程序安全124.5数据安全和备份恢复135级保护整改投资估计145.1准备指南145.1.1准备标准145.1.2设置各种费率145.2报价表155.2.1项目总投资预算155.2.2次级投资预算清单156 liuren网络安全和其他保险咨询服务的优势177典型成功案例列表18福建柳仁网络安全有限公司II1项目概述1.1项目背景随着我国信息技术的快速发展，计算机和信息网络在促进国民经济和社会发展方面发挥着越来越重要的作用，加强重要领域计算机信息系统安全保护工作的监督和管理，应对各种计算机非法犯罪活动，是我国信息化顺利发展的重要保证。为了加强依法管理信息网络安全工作的努力，保护国家安全和社会稳定，维护信息网络安全，将我国计算机信息系统的安全保护工作纳入法制化、标准化、制度化的管理轨道，1994年国务院颁布了中华人民共和国计算机信息系统安全保护条例。规定：我国的“计算机信息系统实行安全等级保护。安全等级划分标准和保护安全等级的具体方案由公安部会同有关部门制定。”1999年9月，国家质量技术监督局公布了公安部提出的强制国家标准GB 17859-1999 计算机信息系统安全保护等级划分准则，并对等级保护这一安全国策提出了技术观点的解释。2003年国家信息化领导小组关于加强信息安全保障工作的意见 (27号)，“重点保护基本信息网络和关系国家安全、经济生命线、社会稳定等方面的重要信息系统，建立信息安全级别保护系统，制定保护信息安全级别的管理方法和技术准则”。等级保护工作作为我国信息安全工作的基本体系，对提高基本网络和重要信息系统安全保护水平具有重要作用，国家积极推进该制度的建立和实施，党中央、国务院高度重视信息安全等级保护工作，党中央、国务院高度重视信息安全等级保护工作。2007年，公安部还与有关部门一起抓紧完成重要信息系统安全等级保护工作，确保重要信息系统的信息网络安全，公安部、国家机密局、国家密码厅、国务院信息劳动办公室共同参与信息安全等级保护管理办法的通知(共同文字2007第43号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信案2007)等级保护是国家信息安全的基本体系、基本战略和基本方法，开展信息安全等级保护工作，就是为了解决国家信息安全面临的威胁和存在的主要问题，进一步提高信息安全的保障能力和保护水平，保护和促进信息建设的健康发展。根据学校的工作要求结合国家相关政策要求，按照信息安全建设相关国际和国内标准，对学校重要信息系统进行等级保护咨询和市政建设，有力地保障了学校信息系统的安全运行1.2项目目标该项目的建设目标是根据国家信息系统安全水平保护相关政策和标准的指导，分析学校信息系统的安全要求，确定学校信息系统安全水平保护水平，分析信息系统的差距并提出纠正建议，整顿学校信息系统，满足水平保护要求，通过评估，进一步保证学校信息系统的正常运行，提高学校信息系统的安全水平，帮助满足国家信息安全水平保护相关标准的要求。1.3项目内容学校工作系统包括网站组系统、智能集水系统、卡系统、科研管理系统、办公自动化系统等，其中根据学校的实际情况编写此基础架构执行由机房、服务器主机、数据库系统、网络设备和安全设备组成的信息级保护安全服务任务，参考教育行业信息系统安全等级保护定级工作指南等标准规范，结合教育行业的特性和安全要求进行信息安全级保护辅助记录工作，并通过评估中心进行评估。福建柳仁网络安全有限公司16第2级保护咨询服务2.1咨询服务标准2.1.1基于策略N GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求(国务院第147号命令)n关于国家信息领导小组关于加强信息安全的意见传达的通知(文件中200327)N 中华人民共和国计算机信息系统安全保护条例(通用200466号文档)N 关于印发信息安全等级保护工作的实施意见的通知(发行中2006 11天)N 关于印发20062020年国家信息化发展战略的通知(通用词语200743)N 关于印发信息安全等级保护管理办法的通知(通用2007861号)N 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007 1360号)N 信息安全等级保护备案实施细则(公共安全2008 736号)N 公安机关信息安全等级保护检查工作规范(公信安20091429号)N 关于开展信息安全等级保护安全建设整改工作的指导意见(通用词语201070)N 关于进一步推进中央企业信息安全等级保护工作的通知(医疗鉴定2011 1126)(以下1126号)N 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知通知(警卫发行2011，85)(以下文件85)n每个地区、行业的政策要求n等2.1.2基于标准N GB 17859-1999 卫生行业信息安全等级保护工作的指导意见N GB/t 22420-2008 计算机信息系统安全保护等级划分准则n GB/t 22239-2008 信息安全技术 信息系统安全保护等级定级指南N GB/T 25058-2010 信息安全技术 信息系统安全等级保护基本要求N GB/T25070-2010 信息安全技术 信息系统安全等级保护实施指南n信息安全技术信息安全技术 信息系统等级保护安全设计技术要求N GB/T 20270-2006 信息系统安全等级保护测评要求N GB/T 20271-2006 信息安全技术 网络基础安全技术要求N GB/T 20272-2006 信息安全技术 信息系统通用安全技术要求N GB/T 20273-2006 信息安全技术 操作系统安全技术要求N GB/T 20282-2006 信息安全技术 数据库管理系统通用安全技术要求N GA/T671-2006 信息系统安全工程管理要求N GA/T 709-2007 信息安全技术 终端计算机系统安全等级技术要求N ISO/IEC 27000系列信息安全技术 信息系统安全等级保护基本模型n等2.2咨询服务原则此级别的保护咨询计划必须遵守以下原则：n最低影响原则：对系统和网络的运行应尽可能少的影响，对现有网络和系统的运行和业务的正常提供不应有太大的影响。n标准原则：程序的设计和实施应根据国内、国际、分层保护相关要求、相关标准进行。n规范原则：具有良好规范的工作流程和文档，便于项目的跟踪和控制；n控制原则：方法和流程应在双方批准的范围内，安全服务进展应根据计划进度进行调整，并确保学校对服务工作的控制性。n完整性原则：必须从所有方面(包括安全方面)进行全面考虑，并防止因遗漏而带来的未来安全风险。n保密原则：将流程数据和结果数据严格保密，所有参与项目人员都有保密协议。2.3级保护咨询服务简介“分层”设计方法是根据需要保护的信息系统确定不同的安全级别，根据安全级别确定不同级别的安全目标，从而形成并保护不同级别的安全措施。等级保护的本质是“等级”。等级保护可以“分级”业务系统、信息资产、安全边界等，并对其进行管理，从而实现信息安全等级的“等级保护、适当的安全”理念。整个安全系统由技术和管理两部分组成，其中技术部分根据信息系统安全管理体系标准构建，具体取决于五个方面：物理安全、网络安全、主机安全、应用程序安全、数据安全。管理部分根据信息系统安全等级保护基本要求分为安全管理系统、安全管理机关、人事安全管理、系统建设管理、系统运行维护五个方面。整个安全保障制度的各个部分有机地结合在一起，互相支撑。这种关系可以理解为：“构建安全管理机构，制定完善的安全管理系统和安全策略，利用相关人员的技术人员和相关工具，构建系统和维护操作。”根据分级安全系统的设计思想，分级保护的设计和实现通过以下步骤完成：1.识别和分级系统通过确定保护对象、系统所属类型、所属信息类别、服务范围、业务对系统的依赖程度等进行分析，确定系统的等级。通过此阶段充分了解系统状态(包括系统业务流程和功能模块)并确定系统的等级，为下一阶段的安全域设计、安全系统框架设计、安全要求选择和安全措施选择提供了依据。2.设计安全域根据第一阶段的结果，分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域体系结构。通过安全域设计将系统划分为多个层次，为下一阶段的安全系统框架设计提供了基本框架。3.确定安全域安全要求参考国家相关等级保护安全要求，设计不同安全域的安全要求。应用于安全域的安全级别选择方法确定系统中每个区域的级别，并指定每个安全域所需的安全指标。4.状态评估根据每个级别的安全要求确定每个级别的评估内容，根据国家相关的风险评估方法对系统的每个安全域进行目标级别的风险评估。确定系统安全状态和级别要求之间的差异，以构成完整、准确、按需防御的安全要求。级别风险评估可以明确与每个级别的安全域相对应的级别的安全差异，从而为设计下一阶段的安全技术解决方案和构建安全管理提供基础。5.安全系统设计根据安全域框架，在系统的所有级别设计安全系统框架和特定方案。包括：所有级别的安全系统框架构成了整个系统的安全系统框架。详细的安全技术设计，安全管理设计。6.安全建设根据方案设计内容分阶段构建安全性，满足方案设计必须遵守的安全要求，满足适当级别保护的基本要求，并在需要时实现防御。7.持续安全操作和维护通过安全警报、安全监控、安全增强、安全审核、紧急响应等三个方面进行安全操作维护，确保系统的持续安全，满足持续按需防御的安全需要。通过上述步骤，系统形成了全面的安全保障体系，同时根据安全手术的构建和安全管理的构建，可以保证整个系统的安全。特别要注意的是，分层保护不是项目，而是持续循环的过程，因此，通过整个安全项目、安全服务实施，持续运行用户级保护部署，使整个系统随着环境的变化而持续安全。三阶段保护差距分析根据福建信息系统安全等级保护基本要求的等级保护控制项目保护措施，自我构建对比差距分析、等级保护控制项目保护措施差距项目应根据下表对学校进行调查，并根据实际差异项目填写：安全性类别控制项主要安全措施要求(二级保护措施差距项目物理安全物理访问控制机房由专人负责，来访人员必须审批并陪同防盗和防破坏暴露在公共场所的网络设备要具备安全保护措施防止雷击机房计算机系统接地符合GB 50057-1994 福建省教育行业信息系统安全等级保护定级指南的机房防雷要求防火机房安装灭火设备和火灾自动报警系统供电机房和核心设备必须配置UPS备用电源。环境监测机房安装温度、湿度自动调节设施网络安全结构安全网络根据功能和重要性需要对网段进行不同的划分存取控制网络边界分发软件或硬件防火墙安全审计网络日志审核、网络运营和维护管理安全审核边界完整性检查使用访问控制系统、访问控制、非法宣传检查入侵预防使用入侵检测系统、入侵预防系统识别和监控入侵行为。采用威胁警报系统识别APT攻击、web威胁、邮件威胁等安全事件。主机安全性入侵预防增强服务器安全性安全审计利用终端管理系统实现安全审