等保测评三级系统整改示例
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
审计局投资审计管理系统三级等级保护建设整改及测评采购招投标书范本
三、采购需求 (以下采购需求部分由采购人:广德县审计局提供并负责解释) 一、采购内容: 广德县审计局投资审计管理系统三级等级保护建设整改及测评 二、服务范围: 按照信息系统等级保护的要求,完成广德县审计局信息系统的信息安全整改及测评工作,提高信息系统的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率。。 三、采购需求: 广德县审计局信息系统三级等级保护建设项目配置预算清单
四、投标人资格要求: 、符合《中华人民共和国政府采购法》第二十二条的规定。 、具备合法有效的营业执照,且具有本项目所采购产品的生产能力或经营能力(营业执照须包含此方面内容)。 、本项目不接受联合体投标。 五、投标人必须提交的证明文件: 、营业执照。 、参加开标的法定代表人的法人资格证明书(或其委托代理人的法人授权委托书)和本人身份证。 、其他采购需求中要求提供的证明文件等 六、合同主要条款: 、付款方式:所供设备全部运送至采购人指定地点,安装调试完成经验收合格,并获得备案证书之后支付合同金额的%,余款%作为质量保证金,三年质保期满后无质量问题一次性付清。 、履约保证金:中标价的% 、合同争议处理:采购合同在履行过程中发生的争议,由双方当事人协商解决,协商解决不成的,提交广德仲裁委员会仲裁。 七、运输、调试、培训、上下车费等:由中标企业负责承担。 八、商检、计量、检测、验收费用:包含在投标总价中。 九、交货地点及供货要求:
广德县审计局。 十、交货及提供服务时间要求: 合同签订后日历天完成系统设备调试并后期维护需满一年。 十一、售后服务: 、质保期:三年,质保期内出现质量问题,各投标人应在投标书中承诺及时无偿提供保修服务或相关措施。 、维修响应:一旦接到保修电话后,应立刻作出响应,在小时内派遣有经验的维修工程师赴现场进行故障处理。如小时内未能到达用户指定地点的,用户有权另行指定维修单位,相关费用在质保金内扣除。 十二、其他要求 中标人须在供货前向采购人提供与所投产品型号、参数完全一致的全新的、包装齐全的新产品;设备到场后,采购人将组织专家对设备进行功能参数符合性认证测试以及性能测试,若测试结果不符合招标文件要求,或不能按期供货,将视为虚假响应并上报县公管局严肃处理,成交供应商承担由此产生的一切相关责任。测试费用及与此相关所产生的一切费用均由成交供应商承担。
业务内网等级保护三级整改建设案例1背景
业务内网等级保护三级整改建设案例 1背景 某政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,该单位按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段,该单位信息中心对自身业务系统的安全状况,邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审,该单位等级保护工作正式进入整改建设阶段。 2安全需求 该单位定级了若干重要信息系统如XXX规划信息管理系统、XXX监测预警系统、XXX 培训管理系统、XXX办公自动化系统、XXX收费管理系统等诸多信息系统。 所有信息系统全部是内网互联,不与互联网直接连接。内网有办公人员、运维人员及第三方开发人员。 根据等级保护建设前期调研、评估过程,依据《GB17859-1999信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下: 1.业务内网现有网络架构都是单节点部署同时没有划分安全域,需要优化设计。 2.各个网络区域边界没有访问控制措施。 3.提高安全维护人员对入侵行为的检测能力。 4.建立符合等级保护要求的内部审计机制。 5.构建基于用户身份的网络准入控制体系。 6.从业务角度出发,强化应用安全、保护隐私数据。
7.建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为。 3方案设计 通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图: 安全技术层面: 物理安全:机房要满足等保三级基础要求; 网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;所有安全区域边界位置部署NGAF,开启FW、IDS、WAF、AV模块;核心区域部署AC,实现网络行为审计功能。 主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装必要的终端安全管理系统;进行人工干预的安全加固工作。 应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署AD实现ssl卸载;业务服务器前端部署AD实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞。
中级人民法院(本级)网络系统安全等保整改项目项目的招投标书范本
绍兴市中级人民法院 网络系统安全三级等保整改项目 公 开 招 标 文 件 招标编号:YH- 采购单位:绍兴市中级人民法院 采购代理机构:耀华建设管理有限公司 监督单位:绍兴市财政局 二一八年九月
目录 第一部分招标公告 第二部分投标须知 第三部分招标项目范围及要求第四部分合同的主要条款 第五部分评标方法及标准 第六部分投标文件及其附件格式
第一部分招标公告 根据《中华人民共和国政府采购法》的有关法律规定,经绍兴市政府采购管理部门批准,耀华建设管理有限公司受绍兴市中级人民法院委托,就下列项目进行公开招标,特邀请国内合格的投标人前来投标,现将有关事项公告如下: 一、招标编号:YH- 采购组织类型:分散委托代理 二、招标项目名称及数量(详见招标文件) 标项 标段名称及数量 (详见招标文件) 预算金额或上 限价(单位:人 民币元) 投标保证金 (单位:人民 币元) 网络系统安全三级等保整改项目¥¥ 三、供应商的资格要求 .符合政府采购法第二十二条之供应商资格规定; .本次招标不接受联合体投标。 四、资格审查方式: .资格后审。 .法定代表人的被授权委托人必须是投标单位职工。需在投标响应文件技术部分内提供由社保机构出具的该授权代表的社保证明(.如该授权代表为离退休返聘人员的,投标响应文件技术部分内需提供退休证明及单位聘用证明;.如由第三方代理社保事项的,则需提供加盖投标人公章的委托代理协议复印件)。 五、报名: .报名:年月日至年月日上午:-:时整;下午:-:时整(双休日及法定节假日除外)在耀华建设管理有限公司绍兴迪荡分公司(绍兴市越城区阳明北路号滨江大厦C楼楼/号)受理。(不接受电话报名)。 .网上在线报名。网上报名网站为浙江政府采购云平台,网址https://www.360docs.net/doc/7a18344891.html,/。 .招标文件售价:每份元,售后不退。。 .报名联系电话:-。 六、投标截止时间及地点:投标人应于年月日:时整以前将投标文件密封送交到耀华建设管理有限公司绍兴迪荡分公司(绍兴市越城区阳明北路号滨江大
信息安全等保三级(等保2.0)系统建设整体解决方案
信息安全等保三级(等保2.0)系统建设整体解决方案 2020年2月 某单位信息安全等级保护(三级) 建 设 方 案
目录 第一章项目概述 (4) 1.1项目概述 (4) 1.2项目建设背景 (4) 1.2.1法律要求 (5) 1.2.2政策要求 (7) 1.3项目建设目标及内容 (7) 1.3.1项目建设目标 (7) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 2.1现状概述 (9) 2.1.1信息系统现状 (9) 2.2现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (20) 2.2.3主机安全现状与差距分析 (33) 2.2.4应用安全现状与差距分析 (45) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (60) 2.3综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (82)
第三章安全建设目标 (84) 第四章安全整体规划 (86) 4.1建设指导 (86) 4.1.1指导原则 (86) 4.1.2安全防护体系设计整体架构 (87) 4.2安全技术规划 (89) 4.2.1安全建设规划拓朴图 (89) 4.2.2安全设备功能 (90) 4.3建设目标规划 (96) 第五章工程建设 (99) 5.1工程一期建设 (99) 5.1.1区域划分 (99) 5.1.2网络环境改造 (100) 5.1.3网络边界安全加固 (100) 5.1.4网络及安全设备部署 (101) 5.1.5安全管理体系建设服务 (136) 5.1.6安全加固服务 (154) 5.1.7应急预案和应急演练 (162) 5.1.8安全等保认证协助服务 (162) 5.2工程二期建设 (163) 5.2.1安全运维管理平台(soc) (163) 5.2.2APT高级威胁分析平台 (167) 第六章方案预估效果 (169)
等级三级系统安全防护应用
等级三级系统安全防护应用
概述 信息安全等级保护制度作为国家信息安全保护的基本国策,目前已在全国各行业得到广泛推广和落实。根据国家的相关要求,已经定级备案的信息系统应在三年之内完成整改建设工作,并通过等级保护相关测评。随着等保建设逐步提上日程,各单位在如何利用现有安全保密产品的条件下,结合本单位实际满足等保要求方面面临诸多困惑。笔者结合本单位在等保建设中的实践,抛砖引玉,就三级系统下如何满足等保要求进行有效的探索。第三级系统安全保护环境的设计目标是:按照GB17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。 本系统根据“一个中心”管理下的“三重保护”体系框架进行设计,构建安全机制和策略,形成定级系统的安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。 1、等级保护三级系统的防护要求与设计要求分析 按照等级保护三级的要求,笔者主要针对以下
四个方面进行设计: 2.1安全计算环境设计 (1)用户身份鉴别 应支持用户标识和用户鉴别。 (2)自主访问控制 在安全策略控制范围内,使用户对其创建的对象具有访问操作权限,这个权限可以根据用户进行授权。可以具体到针对被访问对象的具体操作。 (3)标记和强制访问控制 可以对访问者和被访问者在身份鉴别的基础上进行安全标记,实现对主体访问客体的操作进行控制。 (4)系统安全审计 对访问行为进行完整的审计,审计的内容包括访问对象、被访问对象,访问的行为、时间等内容。 (5)用户数据完整性保护 采用备份、HASH方法对数据的完整性进行保护,防止被篡改。 (6)用户数据保密性保护 采用密码等技术支持的保密性保护机制,对
XXXX集团办公及邮件系统等级保护(三级)安全整改建设方案
XXXX集团公司 办公及邮件系统 信息等级保护(三级)建设方案 2016年5月
目录 1总述 (4) 1.1项目背景 (4) 1.2设计依据 (5) 1.3设计目标 (5) 1.4设计范围 (5) 2安全目标分析 (6) 2.1系统定级情况 (6) 2.2定级系统现状 (6) 2.3等保三级安全要求 (10) 2.3.1《基本要求》三级要求 (12) 2.3.2《设计技术要求》三级要求 (14) 2.4安全需求分析 (16) 2.4.1合标差距分析安全需求 (16) 2.4.2风险评估分析安全需求 (21) 3等级保护总体设计 (24) 3.1方案设计原则 (24) 3.2方案设计思想 (25) 3.3总体安全框架 (27) 3.3.1分区分域设计 (28) 3.3.2安全技术架构 (30) 3.3.3安全管理架构 (32) 3.4等级保护建设流程规范化 (32) 4等级保护安全技术建设 (34) 4.1物理安全 (34) 4.1.1物理安全设计 (34) 4.1.2物理安全设计具体措施 (34) 4.2技术安全 (35)
4.2.1技术安全设计 (35) 4.2.2等级保护安全建设后网络拓扑 (40) 4.2.3安全区域划分 (40) 4.2.4等级保护安全技术措施 (41) 4.3应用安全 (43) 4.3.1应用安全设计 (43) 4.3.1办公系统和邮件系统应开发安全功能 (44) 4.4等级保护所需安全产品清单 (44) 5安全管理建设 (45) 5.1安全管理要求 (45) 5.2信息安全管理体系设计 (46) 5.2.1安全管理体系设计原则 (46) 5.2.2安全管理体系设计指导思想 (46) 5.2.3安全管理设计具体措施 (46) 5.3信息安全管理体系设计总结 (55) 6安全产品选型及指标 (56) 6.1设备选型原则 (56) 6.2安全产品列表 (58) 6.3主要安全产品功能性能要求 (59) 6.3.1网络接入控制系统 (59) 6.3.2服务器操作系统安全加固软件 (64) 6.3.3主机监控与审计系统 (66)
信息安全等级保护评估系统快速使用手册文档
第一章前言 本手册主要介绍如何快速使用信息安全等级保护评估系统。 1.1 文档目的 通过阅读本文档,使用户能够快速的了解该系统的整个业务流程,正确的使用该系统。1.2 约定 本文档遵循以下约定: 图形界面操作的描述采用以下约定: “”表示按钮。 点击(选择)一个菜单项采用如下约定: 点击(选择)高级管理 > 特殊对象>用户。 文档中出现的提示、警告、说明、示例等,是关于用户在使用本手册过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置。 1.3 技术服务体系 天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
第二章系统结构 信息安全等级保护自评估系统由三个子系统共同组成:等级评测、用户管理和安全对象管理子系统。等级评测子系统是整个系统的核心。如下图。 级 保 安全对象管理子系 统 等级备案 系统录入定级
第三章使用系统 3.1 登陆系统 系统搭建完毕后登录系统,web访问地址一般是系统搭建的应用服务器的IP地址加端口,例如:。 系统预置超级管理员admin,密码topsec123,访问用户管理子系统,登录后创建项目经理(也就是项目负责人)和项目成员,并为其分配权限。 项目经理:项目经理也就是项目的负责人,(可以根据系统需求分配相应权限)监督项目的进展、创建评测项目等。 项目成员:负责整改任务、检查任务(答题)(可以根据系统需求分配相应权限)。 管理员以哪种角色登录即拥有相应的管理权限。 3.2 添加安全对象 项目经理选择安全管理子系统,登录后添加安全对象,也可以登录到等级保护子系统后二次连接到安全管理子系统添加安全对象。如下图所示,在该系统页面添加安全对象。