1信息安全等級保護〔二級〕建設方案20233月名目121.121.2.31。34255563.63。163.263。363。473.5.73。67474。174.274。3.94。4.9595。195。2105。2。1.10。2105。2。3105。2.4105。2.5105.3.11。1115。3。2.115.3.3125。41212126。2136。31326。4146。5.146。6146。716177。1.177。2177。2。1.177。2.2177。2.3177.2。4187。2。5.197。2.6.197。31920。工程預算一期〔等保二級根本要求〕208.2.20工程概述工程建設目標機信息系統安全保護等級劃分準則等標準，對學校的網絡和信息系統進展等級保護定級,按信息系統逐個編制定級報告和定級備案表，并指導學校信息化人員將定級材料提交當地公安機關備案。本方案中，通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面根本技術要求進展技術體系建設；為滿足安全治理制度、安全治理機構、人員安全治理、系統建設治理、系統運維治理五個方面根本治理要求進展治理體系建設力。本工程建設將完成以下目標：1,確保學校的整體信息化建設符合相關要求。2、建立安全治理組織機構。成立信息安全工作組，學校負責人為安全責任人，擬定實施信息系統安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順當實施。3、建立完善的安全技術防護體系。依據信息安全等級保護的要求，建立滿足二級要求的安全技術防護體系.4、建立健全信息系統安全治理制度.依據信息安全等級保護的要求，制定各項信息系統安全治理制度,對安全治理人員或操作人員執行的重要治理操作建立操作規程和執行記錄文檔。5、制定學校信息系統不中斷的應急預案。應急預案是安全等級保護的重要組成局部，按可能消滅問題的6、安全培訓：為學校信息化技術人員供給信息安全相關專業技術學問培訓。工程參考標準我司遵循國家信息安全等級保護指南等最安全標準以及開展各項效勞工作作。本工程建設參考依據：中辦［2023］27號文件〔關于轉發《國家信息化領導小組關于加強信息安全保障工作的意見》的通知〕公通字［2023］66號文件〔關于印發《信息安全等級保護工作的實施意見》的通知〕公通字［2023］43〔關于印發《信息安全等級保護治理方法》的通知〕指導 公信安［2023]1429《關于開展信息安全等級保護安全建設整改工作的指導意見》思想 全國人大《關于加強網絡信息保護的打算》［2023］23號《國務院關于大力推動信息化進展和切實保障信息安全的假設干意見》國發[2023］7［2023］2182號《關于加強國家級重要信息系統安全保障工作有關事項的通知》〔公信安［2023]2182〕等級 GB17859—1999計算機信息系統安全保護等級劃分準則保護 GB/T25058—2023信息系統安全等級保護實施指南系統 GB/T22240—2023信息安全技術信息系統安全保護等級定級指南定級GB/T25066—2023信息安全產品類別與代碼GB/T17900—1999網絡代理效勞器的安全技術要求GB/T20230-2023包過濾防火墻評估準則技術GB/T20281-2023防火墻技術要求和測試評價方法GB/T18018—2023路由器安全技術要求GB/T20238-2023路由器安全評估準則方面GB/T20272—2023操作系統安全技術要求GB/T20273-2023數據庫治理系統安全技術要求GB/T20239—2023數據庫治理系統安全評估準則GB/T20275—2023入侵檢測系統技術要求和測試評價方法GB/T20277—2023網絡和終端設備隔離部件測試評價方法GB/T20279-2023網絡和終端設備隔離部件安全技術要求4GB/T20278—2023網絡脆弱性掃描產品技術要求GB/T20280-2023網絡脆弱性掃描產品測試評價方法GB/T20945—2023信息系統安全審計產品技術要求和測試評價方法GB/T21028-2023GB/T25063-2023效勞器安全側評要求GB/T21050-2023網絡交換機安全技術要求〔EAL3〕GB/T28452-2023應用軟件系統通用安全技術要求GB/T29240-2023終端計算機通用安全技術要求與測試評價方法GB/T28456—2023IPsecGB/T28457—2023SSLGB/T20269-2023信息系統安全治理要求GB/T28453-2023信息系統安全治理評估要求GB/T20984—2023信息安全風險評估標準管理GB/T24364—2023信息安全風險治理指南方面GB/T20985-2023信息安全大事治理指南GB/T20986—2023信息安全大事分類分級指南GB/T20988—2023信息系統災難恢復標準方案 GB/T25070—2023信息系統等級保護安全設計技術要求設計等保 GB/T28448—2023信息系統安全等級保護測評要求測評 GB/T28449-2023信息系統安全等級保護測評過程指南方案設計原則針對本次工程，等級保護整改方案的設計和實施將遵循以下原則：保密性原則：我司對安全效勞的實施過程和結果將嚴格保密,在未經用戶方授權的狀況下不會泄露給任何單位和個人，不會利用此數據進展任何侵害客戶權益的行為；標準性原則：效勞設計和實施的全過程均依據國內或國際的相關標準進展;依據等級保護二級根本要求，進展分等級分安全域進展安全設計和安全建設.〔《南寧市學家科技安全效勞實施標準》〕，可以便于工程的跟蹤和把握；遵守進度表的安排,保證雙方對效勞工作的可控性;整體性原則：效勞的范圍和內容整體全面，涉及的IT運行的各個層面，避開由于遺漏造成將來的安全隱患；最小影響原則：效勞工作盡可能小的影響信息系統的正常運行，不會對現有業務造成顯著影響。10體系化原則：在體系設計、建設中,深信服充分考慮到各個層面的安全風險，構建完整的立體安全防護體系。先進、成熟的安全產品、技術和先進的治理方法。分步驟原則：依據用戶方要求,對用戶方安全保障體系進展分期、分步驟的有序部署。結合用戶方的實際信息系統量身定做才可以保障其信息系統安全穩定的運行。系統現狀分析系統定級狀況說明害的客體以及受侵害的程度，經學校省公安廳的批準,已將學校系統等級定為等級保護其次級(S2A2G2)，整體網絡信息化平臺依據二級進展建設。業務系統說明學校本次參與整改的共有X個信息系統，分別是學校系統、學校系統、學校系統、學校系統，具體狀況介紹如下：學校門戶網站系統：2023年門戶網站〔網絡版〕,在試點和實施過程當中覺察系統仍有缺乏之處，需要對系統進展深入完善和改進,主要考慮到由于門戶網站〔網絡版〕作為學校集中部署的網絡化重要業務系統,其具有應用面廣、用戶規模大，并涉及到學校對互聯網形象,以及基于公眾網上部署的特性,因此系統自身和運行環境均存在確定的安全風險,在數據傳輸、安全加密、網絡監控、防入侵等方面的必需要建立一套更有效更完善的安全保護體系和措施。OAOA系統預備停用，并且已經開發和預備上線的業務系統，的業務系統目前預備對公網直接公開訪問,流量多變，所以系統任有較多缺乏，在本次建設過程中應當加強安全建設,系統自身和運行環境均存在確定的安全風險，在數據傳輸、安全加密、網絡監控、防入侵等方面的必需要建立一套更有效更完善的安全保護體系和措施.網絡構造說明學校信息系統網絡拓撲圖現狀如下：安全需求分析物理安全需求分析目前在機房建設方面還存在如下問題：12345網絡安全需求分析.防web攻擊和網頁防篡改：該信息系統無法實現對邊界的訪問把握，需要部署下一代署防火墻等安全設備來實現.現.主機安全需求分析主機防病毒:該信息系統缺少主機防病毒的相關安全策略，需要配置網絡版主機防病毒系統，從而實現對全網主機的惡意代碼防范。的數據庫審計設備.機來實現.漏洞掃描：需要部署漏洞掃描實現對全網漏洞的掃描。應用安全需求分析通信完整性和保密性：該信息系統無法實現對邊界的訪問把握，需要部署SSLVPN等安全設備來實現。數據安全需求分析備份與恢復:該該信息系統沒有完善的數據備份與恢復方案,需要制定相關策略。同時，該信息系統沒有實現對關鍵網絡設備的冗余,建議部署雙鏈路確保設備冗余。安全治理制度需求分析依據前期差距分析結果，該單位還欠缺較多安全治理制度,需要后續補充。總體方案設計總體設計目標學校的安全等級保護整改方案設計的總體目標是依據國家等級保護的有關標準和標準展，保護敏感數據信息的安全,保證學校信息系統的安全防護力氣到達《信息安全技術信息系統安全等級保護根本要求》中其次級的相關技術和治理要求。總體安全體系設計本工程提出的等級保護體系模型，必需依照國家等級保護的相關要求,利用密碼、代碼驗證、可信接入控制等核心技術，在“一個中心三重防范”的框架下實現對信息系統的全面防護。整個體系模型如以以下圖所示：安全治理中心安全治理中心是整個等級保護體系中對信息系統進展集中安全治理的平臺，是信息系統做到可測、可控、可治理的必要手段和措施.依照GB/T25070-2023信息系統等級保護安全設計技術要求中對安全治理中心的要求,一個符合基于可信計算和主動防范的等級保護體系模型的安全治理中心應至少包含以下三個局部：系統治理實現對系統資源和運行的配置。把握和治理,并對系統治理員進展身份鑒別,只允許其通過特定的命令或操作界面進展系統治理操作，并對這些操作進展審計.安全治理實現對系統中的主體、客體進展統一標記，對主體進展授權，配置全都的安全策略，確保標記、授權和安全策略的數據完整性,并對安全治理員進展身份鑒別,只允許其通過特定的命令或操作界面進展安全治理操作，并進展審計。審計治理實現對系統各個組成局部的安全審計機制進展集中治理，包括依據安全審計策略對審計記錄進展分類;提安全審計操作。此外，安全治理中心應做到技術與治理并重,加強在安全治理制度、安全治理機構、人員安全治理、系統建設治理和系統運維治理等方面的治理力度，標準安全治理操作規程,建立完善的安全治理制度集。安全計算環境參照基于可信計算和主動防范的等級保護模型，安全計算環境可劃分成節點和典型應用兩個子系統.在解決方案中，這兩個子系統都將通過終端安全保護體系的建立來實現。.因此，依照等級保護在身份鑒別,訪問把握〔包括強制訪問把握、網絡行為把握(包括上網把握、違規外聯的把握,可充分結合可信計算技術和主動防范技術的先進性個方面對計算環境的全面防護。安全區域邊界個“應用訪問把握系統:信息層的自主和強制訪問把握、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數據包過濾、網絡地址換、安全審計等。由于國內外在這一方面的相關技術格外成熟，因此,在本次系統整改總體設計中更多的是考慮如何將防火墻、防病毒網關、網絡安全審計系統、IDS、IPS、網管系統等有機地結合在一起，實現協同防護和聯動處理。此外,對于不同安全等級信息系統之間的互連邊界，可依據依照信息流向的凹凸，部署防火墻或安全隔離與信息交換系統，并配置相應的安全策略以實現對信息流向的把握。安全通信網絡目前，在通信網絡安全方面，承受密碼等核心技術實現的各類VPN都可以很有效的解決這類問題,到達在滿足等級保護相關要求的同時，可靈敏提高通信網絡安全性的效果。總體網絡架構設計學校網絡架構整體設計如下：安全域劃分說明有不同的使命,具有不同的功能，分域保護的框架為明確各個域的安全等級奠定了根底，保證了信息流在交換過程中的安全性.,將劃分如下確定的安全域：互聯網出口域，該區域說明如下：專網出口域，該區域說明如下：主要承載互聯網出口，出口主干需要部署相應的安全邊界產品。終端接入域，該區域說明如下：主要是無線和有線終端接入;對外效勞器域，該區域說明如下:該區域主要承載對外公布效勞器，比方學校的網站;內部效勞器域，該區域說明如下：主要承載對內的效勞器和存儲，比方OA和學校專業先關零時性的試驗效勞器。安全治理域,該區域說明如下：主要承載網絡治理先關設備，比方網管系統，防病毒升級效勞器等。具體方案設計技術局部物理安全依據GB/T25070—2023網絡安全安全域邊界隔離技術依據《信息系統安全等級保護根本要求WEB應用防火墻。入侵防范技術,在互聯網出口的下一代防火墻上啟用入侵防范模塊格外有必要.二級業務系統應當在互聯網出口處部署網絡層防病毒設備，并保證與主機層防病毒實現病毒庫的異構。因此，在互聯網出口的下一代防火墻上啟用防病毒模塊格外有必要。網頁防篡改技術,在互聯網出口的下一代防火墻上啟用網頁防篡改功能格外有必要。鏈路負載均衡技術依據等級保護根本要求,.因此，建議在二期部署一套專業的鏈路負載均衡設備格外有必要.網絡安全審計針對用戶訪問業務系統帶給我們的困擾以及諸多的安全隱患析技術,從發起者、訪問時間、訪問對象、訪問方法、使用頻率各個角度，供給豐富的統計分析報告，幫助用戶在統一治理互聯網訪問日志的同時，準時覺察安全隱患，幫助優化網絡資源的使用。依據公安部等級保護根本要求，全部信息系統都需要部署日志審計系統,并保存3個月的日志,學校擁有浩大為進展監控、日志進展記錄。部署設計：系統等設備的運行狀況、網絡流量、用戶行為等日志信息,并對收集到的日志信息進展分類和關聯分析，并可.主機安全數據庫安全審計從而把握數據庫系統的整體安全。部署設計:數據庫審計部署于數據庫前端交換機上,通過端口鏡像收集信息。運維堡壘主機對運維的治理現狀進展分析各IT據和前提，因此身份的混亂實際上造成設備訪問的混亂.IT間的失衡。的網絡訪問缺少把握或欠缺把握力度，在帳號、密碼、認證、授權、審計等各方面缺乏有效的集中治理技術手段。ERP和協同工作群件等效勞.由于設備和效勞器眾多，系統治理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等狀況時有發生，這嚴峻影響信息系統的運行效能,另外黑客的惡意訪問也有可能獵取系統權限，闖入部門內部網絡,造成不行估量的損失。如何提高系統運維治理水平，跟蹤效勞器上用戶的操作行為，防止黑客的入侵和破壞，供給把握和審計依據，降低運維本錢,滿足相關標準要求，越來越成為信息系統關心的問題,因此建議在學校二期安全建設有必要部署一套運維堡壘主機來實現賬戶的安全維護。部署設計:運維審計系統部署在安全治理域,通過交換機的訪問把握策略限定只能由堡壘主機內控治理平臺直接訪問效勞器的遠程維護端口。維護人員對網絡設備、安全設備和效勞器系統進展遠程維護時，首先以Web方式登主機防病毒技術有部署專業的殺毒軟件，建議第一期部署殺毒軟件。部署設計軟件客戶端部署在內外防效勞器上面,通過治理區域防病毒升級效勞器對病毒規章庫進展升級。應用安全,SSLVPN技術實現應用系統遠程訪問的加密,假設后期OA系統需要實現出差教師或則在外網的人能夠訪問需要上SSLVPN設備。部署設計：SSLVPN具體方案設計治理局部安全治理體系的作用是通過建立健全組織機構、規章制度，以及通過人員安全治理、安全教育與培訓和各個方面內容。總體安全方針與安全策略工作的決策和意圖的表述.總體安全方針與安全策略的作用在于統一對信息安全工作的生疏,規定信息安全的方式,明確各層次在安全治理體系中的職責以及安全策略，建立具有高可操作性的考核體系，以加強安全策略及各項治理制度的可落實性。我方為用戶方設計的總體安全方針與安全策略將具備以下特性:安全策略緊緊圍繞行業的進展戰略，符合用戶方實際的信息安全需求,能保障與促進信息化建設的順當進展，避開抱負化與不行操作性。和變更廢棄等各階段，應遵循的總體原則和要求。安全策略在經過用戶方信息安全決策機構批準之后,將具備指導和標準信息安全工作的效力。安全策略中將規定其自身的時效性,當信息系統運行環境發生重大變化時,我方將幫助用戶方準時對總體安全策略進展必要的調整，并將調整后的策略提交用戶方信息安全決策機構批準。信息安全治理制度必需得到有效推行和實施的制度。制定嚴格的制定與公布流程,方式，范圍等，制度需要統一格式并進展有效版本把握；公布方式需要正式、有效并注明公布范圍，對收發文進展登記.信息安全領導小組負責定期組織相關部門和相關人員對安全治理制度體系的合理性和適用性進展審定期或不定期對安全治理制度進展評審和修訂，修訂缺乏及進展改進。安全治理機構依據根本要求設置安全治理機構的組織形式和運作方式，明確崗位職責;設置安全治理崗位，設立系統治理員、網絡治理員、安全治理員等崗位，依據要求進展人員配備，配備專職安全員；成立指導和治理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權；制定文件明確安全治理機構各個部門和崗位的職責、分工和技能要求.建立授權與審批制度;建立內外部溝通合作渠道；定期進展全面安全檢查，特別是系統日常運行、系統漏洞和數據備份等。人員安全治理人員安全治理主要包括人員錄用、離崗、考核、教育培訓等內容。全為核心的治理,例如對關鍵崗位的人員實行在錄用或上崗前進展全面、嚴格的安全審查和技能考核，與關鍵崗位人員簽署保密協議，對離崗人員撤銷系統帳戶和相關權限等措施。只有留意對安全治理人員的培育,提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員的根底學問、安全技術、安全標準、崗位操作規程、最的工作流程、相關的安全責任要求、法律責任和懲戒措施等。具體依據標準《根本要求》中人員安全治理，同時可以參照《信息系統安全治理要求》等。系統建設治理系統建設治理的重點是與系統建設活動相關的過程治理，由于主要的建設活動是由效勞方，如集成方、開制度，明確系統定級備案、方案設計、產品選購使用、軟件開發、工程實施、驗收交付、等級測評、安全效勞等活動的治理責任部門、具體的治理內容和把握方法,并依據治理制度落實各項治理措施，完整保存相關的管理記錄和過程文檔.具體依據標準《根本要求》中系統建設治理。系統運維治理8禁把握手段，或使用視頻監控等措施.資產包括介質、設備、設施、數據、軟件、文檔等,資產治理不等同于設備物資治理，而是從安全和信息系統角度對資產進展治理,將資產作為信息系統的組成局部,按其在信息系統中的作用進展治理全治理的責任部門或責任人,對資產進展分類、標識,編制與信息系統相關的軟件資產、硬件資產等資產清單。具體依據標準《根本要求》中系統運維治理,同時可以參照《信息系統安全治理要求》等.2、設備和介質安全治理制度明確配套設施、軟硬件設備治理、維護的責任部門或責任人，對信息系統的各種軟硬件設備選購、發放、領用、維護和修理等過程進展把握,對介質的存放、使用、維護和銷毀等方面作出規定，加強對涉外修理、敏感數據銷毀等過程的監視把握。具體依據標準《根本要求》中系統運維治理，同時可以參照《信息系統安全治理要求》等。3、日常運行維護制度明確網絡、系統日常運行維護的責任部門或責任人，對運行治理中的日常操作、賬號治理、安全配置、日志治理、補丁升級、口令更等過程進展把握和治理；制訂設備操作治理、業務應用操作治理、變更把握和重監視檢查。具體依據標準《根本要求》中系統運維治理，同時可以參照《信息系統安全治理要求》等。4、集中安全治理制度與分析，對安全機制進展集中治理。息系統安全治理要求》等。8依據國家有關標準規定，確定信息安全大事的等級。結合信息系統安全保護等級，制定信息安全大事分級應急處置預案,明確應急處置策略，落實應急指揮部門、執行部門和技術支撐部門，建立應急協調機制。落實開展應急演練.具體依據標準《根本要求》中系統運維治理，同時可以參照《信息安全大事分類分級指南》和《信息安全大事治理指南》等。8要對其次級以上信息系統實行災難備份措施,防止重大事故、大事發生。識別需要定期備份的重要業務信息、系統數據及軟件系統等，制定數據的備份策略和恢復策略，建立備份與恢復治理相關的安全治理制度。具體依據標準《根本要求》中系統運維治理和《信息系統災難恢復標準8開展信息系統實時安全監測,實現對物理環境、通信線路、主機、網絡設備、用戶行為和業務應用等的監應與處置.具體依據標準《根本要求》中系統運維治理。8、其他制度對系統運行維護過程中的其它活動，如系統變更、密碼使用等進展把握和治理。按國家密碼治理部門的規定，對信息系統中密碼算法和密鑰的使用進展分級治理.安全治理制度匯總制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實狀況，并不斷完善.定期對信息系統安全狀況進展自查，其次級系統每兩年自查一次，第三級信息系統每年自查一次,第四級信息系統每半年自查一次。經自查,信息系統安全狀況未到達安全保護等級要求的，應當進一步開展整改。具體依據標準《根本要求》中安全治理機構，同時可以參照《信息系統安全治理要求》等.最終提交安全制度包括但不限于以下內容：總體安全策略〔組織、流程、策略、技術〕崗位安全責任制度第三方安全治理制度系統日常安全治理工作制度系統安全評估治理方法機房建設運行標準安全區域劃分及治理規定治理信息區域網管制度系統建設治理制度設備入網安全治理制度系統軟件和補丁治理制度備份與恢復治理制度賬號和口令及權限治理制度介質治理加密技術使用治理方法應急預案治理制度安全大事報告和處置治理制度安全審計治理詢問效勞和系統測評系統定級效勞幫助用戶單位，依據《信息系統安全等級保護定級指南》,確定信息系統的安全保護等級，預備定級備案表和定級報告，幫助用戶單位向所在地區的公安機關辦理備案手續。風險評估和安全加固效勞有安全加固解決.漏洞掃描利用業界領先的多種掃描工具檢查整個網絡內部網絡的主機系統與數據庫系統的漏洞狀況描結果進展