XX学院等保(三级)设计方案
XX市XX学院等级保护(三级)建设方
案
2017年1月
目录
、工程概况 (4)
二、需求分析 .......................................................... 4.
1建设背景 ........................................................ 5.
2、建设目标....................................................... 5.
三、设计原则及依据..................................................... 7.
1设计原则 ........................................................ 7..
2设计依据 ........................................................ 8.
四、方案整体设计 ...................................................... 9.
1信息系统定级 ................................................... 9.
1、等级保护完全实施过程 (11)
2、能力、措施和要求........................................ 1.1
3、基本安全要求 (12)
4、系统的控制类和控制项 (12)
5、物理安全保护要求 (13)
6网络安全保护要求 (14)
7、主机安全保护要求 (14)
8、应用安全保护要求 (15)
9、数据安全与备份恢复 (16)
10、安全管理制度
17
11、安全管理机构
17
12、............................................... 人员安全管理18
13、............................................... 系统建设管理18
14、............................................... 系统运维管理19
2、等级保护建设流程 (20)
2、网络系统现状分析 (21)
1、网络架构 (21)
2、可能存在的风险 (22)
3、等保三级对网络的要求 (23)
1、结构安全 (23)
2、访问控制 (24)
3、安全审计 (24)
4、边界完整性检查 (25)
5、入侵防范 (25)
6、恶意代码防范 (25)
7、网络设备防护 (25)
4、现状对比与整改方案 (26)
1、现状对比 (26)
2、控制点整改措施 (29)
3、详细整改方案 (30)
4、设备部署方案 (33)
五、............................................................. 产品选型3.5
1、......................................................... 选型建议35
2、......................................................... 选型要求35
3、..................................................... 设备选型清单36
六、............................................................. 公司介绍.3.6
—、工程概况
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的
一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作
XX市XX学院是2008年元月,经自治区人民政府批准,国家教育部备案的公办全日制高等职业技术院校。学院以高等职业教育为主,同时兼有中等职业教育职能。
学院开拓办学思路,加大投入,改善办学条件,拓宽就业渠道,内引外联,确立了面向社会、服务市场,重在培养学生的创新精神和实践能力的办学宗旨。学院本着让学生既成才,又成人的原则,优化人才培养模式,狠抓教育教学质量,增强学生实践动手能力,注重对学生加强德育和行为规范教育,为企业和社会培养具有全面素质和综合职业能力的应用型专门人才。
学院雄厚的师资力量、先进的教学设备、严格的日常管理、完善的文体设施、优质的后勤服务以及宽敞洁净的学生公寓和食堂,为广大师生提供了优美、舒适、理想的学习、生活和工作环境。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估
过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区
域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
二、需求分析
为了保障国家关键基础设施和信息的安全,结合我国的基本国情,制定了等
级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保障。
1、建设背景
随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高,教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校
业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函[2009]80文件发出关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》;教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函[2010] 80号)。
XX市XX学院的网络系统在近几年逐步完善,作为一个现代化的教学机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合学校的“校务管理”、“教学科研”、“招生就业”、“综合服务”等业务信息平台,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。同时学
校的网络系统中内部及外部的访问量巨大,访问人员比较复杂,所以如何保证学校网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。
2、建设目标
本次XX市XX学院业务系统等级保护安全建设的主要目标是:
等级保护技术方案
信息系统等级保护建设 指导要求 (三级)
目录
1.方案设计要求 1.1.方案设计思想 1.1.1.构建符合信息系统等级保护要求的安全体系结构 平台安全建设需要在整体信息安全体系指导下进行实施,保证信息安全建设真正发挥效力。 随着计算机科学技术的不断发展,计算机产品的不断增加,信息系统也变得越来越复杂。从体系架构角度看,任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户的工作环境,由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成,计算环境的安全是信息系统安全的核心,是授权和访问控制的源头;区域边界是计算环境的边界,对进入和流出计算环境的信息实施控制和保护;通信网络是计算环境之间实现信息传输功能的部分。在这三个层次中,如果每一个使用者都是经过认证和授权的,其操作都是符合规定的,那么就不会产生攻击性的事故,就能保证整个信息系统的安全。 1.1. 2.建立科学实用的全程访问控制机制 访问控制机制是信息系统中敏感信息保护的核心,依据《计算机信息系统安全保护等级划分准则》(GB17859-1999)(以下简称GB17859-1999):
三级信息系统安全保护环境的设计策略,应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境,构造非形式化的安全策略模型,对主、客体进行安全标记,并以此为基础,按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略,在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制,阻止对非授权用户的访问行为以及授权用户的非授权访问行为。 1.1.3.加强源头控制,实现基础核心层的纵深防御 终端是一切不安全问题的根源,终端安全是信息系统安全的源头,如果在终端实施积极防御、综合防范,努力消除不安全问题的根源,那么重要信息就不会从终端泄露出去,病毒、木马也无法入侵终端,内部恶意用户更是无法从网内攻击信息系统安全,防范内部用户攻击的问题迎刃而解。 安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑,终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑,以此为基础实施深层次的人、技术和操作的控制。
三级等保安全建设方案
目录 三级等保安全设计思路 (2) 1、保护对象框架 (2) 2、整体保障框架 (2) 3 、安全措施框架 (3) 4、安全区域划分 (4) 5、安全措施选择 (5) 6、需求分析 (6) 6.1、系统现状 (6) 6.2、现有措施 (6) 6.3 具体需求 (6) 6.3.1 等级保护技术需求 (6) 6.3.2 等级保护管理需求 (7) 7、安全策略 (7) 7.1 总体安全策略 (7) 7.2 具体安全策略 (8) 8、安全解决方案 (8) 8.1 安全技术体系 (8) 8.1.1 安全防护系统 (8) 8.2 安全管理体系 (8) 9、安全服务 (8) 9.1 风险评估服务 (9) 9.2 管理监控服务 (9) 9.3 管理咨询服务 (9) 9.4 安全培训服务 (9) 9.5 安全集成服务 (9) 10、方案总结 (10) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
深信服等级保护(三级)建设方案
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
信息安全等级保护(三级)建设方案
信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
三级等保方案
三级等保建设方案
目录 1 概述 (2) 1.1 项目概况 (2) 1.2 方案说明 (3) 1.3 设计依据 (4) 2 方案总体设计 (4) 2.1 设计目标 (4) 2.2 设计原则 (6) 2.3 设计思路 (7) 3 需求分析 (16) 3.1 系统现状 (16) 3.2 现有措施 (16) 3.3 具体需求 (16) 4 安全策略 (18) 4.1 总体安全策略 (18) 4.2 具体安全策略 (19) 5 安全解决方案 (19) 5.1 安全技术体系 (20) 5.1.1区域边界 (20) 5.1.2通信网络 (21) 5.1.3计算环境 (22) 5.2 安全管理体系 (24) 5.3 安全运维体系 (27) 6 方案总结 (28)
1 概述 1.1 项目概况 随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB 17859-1999《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。 2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安
等级保护技术方案
信息系统等级保护建设 指导要求
目录 1.范围.............................................. 错误!未定义书签。 2.项目背景.......................................... 错误!未定义书签。 2.1.前言 ........................................ 错误!未定义书签。 2.2.开展信息安全等级保护的法规、政策和技术依据 .. 错误!未定义书签。 2.2.1 ............................................................................. 信息安全等级保护有 关法规、政策、文件............................. 错误!未定义书签。 2.2.2 ............................................................................. 信息安全等级保护技 术标准体系及其关系............................. 错误!未定义书签。 3.方案设计要求 (4) 3.1.方案设计思想 (4) 3.1.1 ........................................................................................................ 构 建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2 ........................................................................................................ 建 立科学实用的全程访问控制机制 (4) 3.1.3 ........................................................................................................ 加 强源头控制,实现基础核心层的纵深防御 (5) 3.1.4 ........................................................................................................ 面 向应用,构建安全应用支撑平台 (6) 3.2.建设原则 (6) 3.3.建设内容 (8) 3.3.1 ............................................................................. 信息系统定级整改规 划错误!未定义书签。 3.3.2 ............................................................................. 信息系统安全等级保 护整体架构设计(三级)......................... 错误!未定义书签。 3.4.计算环境安全设计 ............................................ 10 5.1.1 ............................................................................. 用户身份鉴别错 误!未定义书签。 5.1.2 ............................................................................. 强制访问控制错 误!未定义书签。 5.1.3 ........................................................................................................ 系 统安全审计..................................................... 11 5.1.4 ........................................................................................................ 用 户数据完整性保护............................................... 11 5.1.5 ............................................................................. 用户数据机密性保护 错误!未定义书签。 5.1.6 ............................................................................. 客体安全重用错 误!未定义书签。 5.1.7 ............................................................................. 程序可执行保护 错误!未定义书签。 3.5.区域边界安全设计 ............................................
XX学院等保(三级)设计方案精编版
XX市XX学院等级保护(三级) 建设方案 2017年1月
目录 一、工程概况 (4) 二、需求分析 (4) 1、建设背景 (5) 2、建设目标 (5) 三、设计原则及依据 (7) 1、设计原则 (7) 2、设计依据 (8) 四、方案整体设计 (9) 1、信息系统定级 (9) 1、等级保护完全实施过程 (11) 2、能力、措施和要求 (11) 3、基本安全要求 (12) 4、系统的控制类和控制项 (12) 5、物理安全保护要求 (13) 6、网络安全保护要求 (14) 7、主机安全保护要求 (14) 8、应用安全保护要求 (15) 9、数据安全与备份恢复 (16) 10、安全管理制度 (17) 11、安全管理机构 (17) 12、人员安全管理 (18) 13、系统建设管理 (18) 14、系统运维管理 (19) 2、等级保护建设流程 (20) 2、网络系统现状分析 (21) 1、网络架构 (21) 2、可能存在的风险 (22) 3、等保三级对网络的要求 (23)
1、结构安全 (23) 2、访问控制 (24) 3、安全审计 (24) 4、边界完整性检查 (25) 5、入侵防范 (25) 6、恶意代码防范 (25) 7、网络设备防护 (25) 4、现状对比与整改方案 (26) 1、现状对比 (26) 2、控制点整改措施 (29) 3、详细整改方案 (30) 4、设备部署方案 (33) 五、产品选型 (35) 1、选型建议 (35) 2、选型要求 (35) 3、设备选型清单 (36) 六、公司介绍 (36)
一、工程概况 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作 XX市XX学院是2008年元月,经自治区人民政府批准,国家教育部备案的公办全日制高等职业技术院校。学院以高等职业教育为主,同时兼有中等职业教育职能。 学院开拓办学思路,加大投入,改善办学条件,拓宽就业渠道,内引外联,确立了面向社会、服务市场,重在培养学生的创新精神和实践能力的办学宗旨。学院本着让学生既成才,又成人的原则,优化人才培养模式,狠抓教育教学质量,增强学生实践动手能力,注重对学生加强德育和行为规范教育,为企业和社会培养具有全面素质和综合职业能力的应用型专门人才。 学院雄厚的师资力量、先进的教学设备、严格的日常管理、完善的文体设施、优质的后勤服务以及宽敞洁净的学生公寓和食堂,为广大师生提供了优美、舒适、理想的学习、生活和工作环境。 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。 二、需求分析 为了保障国家关键基础设施和信息的安全,结合我国的基本国情,制定了等
某单位信息安全等级保护建设方案
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息 本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (5) 1.2.1法律要求 (6) 1.2.2政策要求 (7) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 现状概述 (9) 2.1.1信息系统现状 (9) 现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (17) 2.2.3主机安全现状与差距分析 (26) 2.2.4应用安全现状与差距分析 (34) 2.2.5数据安全现状与差距分析 (41) 2.2.6安全管理现状与差距分析 (44) 综合整改建议 (49)
2.3.1技术措施综合整改建议 (49) 2.3.2安全管理综合整改建议 (58) 第三章安全建设目标 (60) 第四章安全整体规划 (62) 建设指导 (62) 4.1.1指导原则 (62) 4.1.2安全防护体系设计整体架构 (63) 安全技术规划 (65) 4.2.1安全建设规划拓朴图 (65) 4.2.2安全设备功能 (66) 建设目标规划 (71) 第五章工程建设 (73) 工程一期建设 (73) 5.1.1区域划分 (73) 5.1.2网络环境改造 (73) 5.1.3网络边界安全加固 (74) 5.1.4网络及安全设备部署 (75) 5.1.5安全管理体系建设服务 (104) 5.1.6安全加固服务 (120) 5.1.7应急预案和应急演练 (127) 5.1.8安全等保认证协助服务 (128)
xx项目等级保护(三级)建设方案
××项目 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2019年12月
目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误!未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)
信息安全-三级等保安全建设方案
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。 整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。 整体保障框架的示意图如下: 图2. 整体保障框架的示意图 3 、安全措施框架 安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。 安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管理系统和网络信任系统)。 安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。
单位三级等保环境设计方案模板
第三级安全保护环境 建设方案
瑞达信息安全产业股份有限公司 (2009) 目录 1.前言 (4) 1.1.项目名称 (4) 1.2.单位名称 (4) 1.3.建设背景 (4) 1.4.条件及假设 (6) 1.5.符合的标准规范 (6) 2.需求分析 (7) 2.1.信息系统部署结构现状分析 (7) 2.2.物理安全分析 (7) 2.3.网络安全分析 (9) 2.4.主机安全分析 (10) 2.5.应用安全分析 (12) 2.6.数据安全分析 (14) 3.总体建设方案 (15)
3.1.总体建设目标 (15) 3.2.总体建设原则 (15) 3.3.安全改造后的信息部署结构 (16) 3.4.安全保护体系建设 (16) 3.4.1.建立“一个中心”管理下的“三重保障体系” (16) 3.4.2.建立安全保护环境 (17) 3.4.3.建立系统安全互联 (18) 4.第三级安全保护体系建设方案 (18) 4.1.安全计算环境建设 (18) 4.1.1.部署三级操作系统 (20) 4.1.2.部署系统安全审计系统 (21) 4.1.3.部署客体重用系统 (21) 4.1.4.部署文档加密系统 (22) 4.2.安全通信网络建设 (23) 4.2.1.部署网络安全审计系统 (24) 4.2.2.建立IPSEC VPN (26) 4.2.3.部署网络通信安全监控系统 (26) 4.2.4.部署网络通信管理系统 (27) 4.3.安全区域边界建设 (27) 4.3.1.部署防火墙 (28) 4.3.2.部署可信接入网关 (30) 4.3.3.部署入侵检测系统 (33) 4.3.4.部署应用防护墙 (33) 4.4.安全管理中心建设 (33) 4.4.1.部署网络管理中心 (34) 4.4.2.部署自主访问控制系统管理中心 (35) 4.4.3.部署安全审计管理中心 (38) 5.系统安全互联 (41) 5.1.1.安全互联部件设计技术要求 (41) 5.1.2.建立跨定级系统安全管理中心 (41) 6.第三级安全保护环境产品清单 (42)
安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
某市医院三级等保建设方案
某市三院医疗信息系统安全三级等保建设方案 2012-09-25
目录 1 、某市三院医疗信息系统现状分析 (3) 1.1拓扑图 (3) 1.2网站/BS应用现状................................. 错误!未定义书签。 1.3漏洞扫描........................................ 错误!未定义书签。 1.4边界入侵保护.................................... 错误!未定义书签。 1.5安全配置加固.................................... 错误!未定义书签。 1.6密码账号统一管理................................ 错误!未定义书签。 1.7数据库审计、行为审计............................ 错误!未定义书签。 1.8上网行为管理.................................... 错误!未定义书签。 2 、某市三院医疗信息系统潜在风险 (4) 2.1黑客入侵造成的破坏和数据泄露 (4) 2.2医疗信息系统漏洞问题 (4) 2.3数据库安全审计问题 (5) 2.4平台系统安全配置问题 (6) 2.5平台虚拟化、云化带来的新威胁.................... 错误!未定义书签。 3、某市三院医疗信息系统安全需求分析 (6) 3.1医疗信息系统建设安全要求 (6) 3.2医疗等级保护要求分析 (7) 3.3系统安全分层需求分析 (11) 3.4虚拟化、云计算带来的安全问题分析 (16) 4、医疗信息系统安全保障体系设计 (20) 4.1安全策略设计 (20) 4.2安全设计原则 (21) 4.3等级保护模型 (22) 4.4系统建设依据 (23) 4.5遵循的标准和规范 (23) 5、安全管理体系方案设计 (24) 5.1组织体系建设建议 (24) 5.2管理体系建设建议 (25) 6、安全服务体系方案设计 (26) 6.1预警通告 (26) 6.2技术风险评估 (27) 6.3新上线系统评估 (27) 6.4渗透测试 (27) 6.5安全加固 (28) 6.6虚拟化安全加固服务 (28) 6.7应急响应 (29) 7、安全技术体系方案设计 (30) 7.1物理层安全 (30)
信息安全等保三级(等保2.0)系统建设整体解决方案
信息安全等保三级(等保2.0)系统建设整体解决方案 2020年2月 某单位信息安全等级保护(三级) 建 设 方 案
目录 第一章项目概述 (4) 1.1项目概述 (4) 1.2项目建设背景 (4) 1.2.1法律要求 (5) 1.2.2政策要求 (7) 1.3项目建设目标及内容 (7) 1.3.1项目建设目标 (7) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 2.1现状概述 (9) 2.1.1信息系统现状 (9) 2.2现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (20) 2.2.3主机安全现状与差距分析 (33) 2.2.4应用安全现状与差距分析 (45) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (60) 2.3综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (82)
第三章安全建设目标 (84) 第四章安全整体规划 (86) 4.1建设指导 (86) 4.1.1指导原则 (86) 4.1.2安全防护体系设计整体架构 (87) 4.2安全技术规划 (89) 4.2.1安全建设规划拓朴图 (89) 4.2.2安全设备功能 (90) 4.3建设目标规划 (96) 第五章工程建设 (99) 5.1工程一期建设 (99) 5.1.1区域划分 (99) 5.1.2网络环境改造 (100) 5.1.3网络边界安全加固 (100) 5.1.4网络及安全设备部署 (101) 5.1.5安全管理体系建设服务 (136) 5.1.6安全加固服务 (154) 5.1.7应急预案和应急演练 (162) 5.1.8安全等保认证协助服务 (162) 5.2工程二期建设 (163) 5.2.1安全运维管理平台(soc) (163) 5.2.2APT高级威胁分析平台 (167) 第六章方案预估效果 (169)
单位信息安全等级保护建设方案V完整版
单位信息安全等级保护 建设方案V HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
x x x x x x 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 ................................................. 1.1 项目概述 ................................................. 1.2 项目建设背景 ............................................. 1.2.1 法律要求 .......................................... 1.2.2 政策要求 .......................................... 1.3 项目建设目标及内容 ....................................... 1.3.1 项目建设目标 ...................................... 1.3.2 建设内容 .......................................... 第二章现状与差距分析 ........................................... 2.1 现状概述 ................................................. 2.1.1 信息系统现状 ...................................... 2.2 现状与差距分析 ........................................... 2.2.1 物理安全现状与差距分析 ............................ 2.2.2 网络安全现状与差距分析 ............................
三 级 等 保 安 全 建 设 方 案
三级等保安全建设方案 XXXXXXXXXX公司
目录 三级等保安全设计思路 (3) 1、保护对象框架 (3) 2、整体保障框架 (3) 3 、安全措施框架 (4) 4、安全区域划分 (5) 5、安全措施选择 (6) 6、需求分析 (7) 6.1、系统现状 (7) 6.2、现有措施 (7) 6.3 具体需求 (7) 6.3.1 等级保护技术需求 (7) 6.3.2 等级保护管理需求 (8) 7、安全策略 (8) 7.1 总体安全策略 (8) 7.2 具体安全策略 (9) 8、安全解决方案 (9) 8.1 安全技术体系 (9) 8.1.1 安全防护系统 (9) 8.2 安全管理体系 (9) 9、安全服务 (9) 9.1 风险评估服务 (10) 9.2 管理监控服务 (10) 9.3安全集成服务 (10) 10、方案总结 (11) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
某市医院三级等保建设方案
某市三院医疗信息系统安全 三级等保建设方案 2012-09-25 目录 1、某市三院医疗信息系统现状分析 (4) 1.1拓扑图 (4) 1.2网站/BS应用现状 (4) 1.3漏洞扫描 (5) 1.4边界入侵保护 (5) 1.5安全配置加固 (5) 1.6密码账号统一管理 (6) 1.7数据库审计、行为审计 (6) 1.8上网行为管理 (6) 2、某市三院医疗信息系统潜在风险 (6) 2.1黑客入侵造成的破坏和数据泄露 (6) 2.2医疗信息系统漏洞问题 (7) 2.3数据库安全审计问题 (8) 2.4平台系统安全配置问题 (8) 2.5平台虚拟化、云化带来的新威胁 (9) 3、某市三院医疗信息系统安全需求分析 (10) 3.1医疗信息系统建设安全要求 (10) 3.2医疗等级保护要求分析 (11) 3.3系统安全分层需求分析 (16) 3.4虚拟化、云计算带来的安全问题分析 (22) 4、医疗信息系统安全保障体系设计 (25) 4.1安全策略设计 (25) 4.2安全设计原则 (26) 4.3等级保护模型 (27) 4.4系统建设依据 (28) 4.5遵循的标准和规范 (29) 5、安全管理体系方案设计 (29) 5.1组织体系建设建议 (29) 5.2管理体系建设建议 (30) 6、安全服务体系方案设计 (32) 6.1预警通告 (32) 6.2技术风险评估 (32) 6.3新上线系统评估 (33) 6.4渗透测试 (33) 6.5安全加固 (33) 6.6虚拟化安全加固服务 (34)
6.7应急响应 (35) 7、安全技术体系方案设计 (35) 7.1物理层安全 (35) 7.2网络层安全 (36) 7.3主机层安全 (40) 7.4应用层安全 (43) 7.5数据层安全 (46) 7.6虚拟化、云计算安全解决方案 (48) 8、平台安全建设方案小结 (49) 8.1安全产品汇总 (50) 8.2产品及服务选型 (53) 1、某市三院医疗信息系统现状分析 1.1系统现状 某市第三人民医院(以下简称某三院)作为三级甲等医院,已经建成全院网络覆盖,医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期以及门诊一期中心机房,医院外网与新农合、市社保机构互联。医院内网采用“核心-接入”二层交换架构,行政楼、病房、门诊通过接入交换机连接至中心机房核心交换机。HIS、LIS系统作为三院核心业务系统直接部署在中心机房,系统服务器直接挂载在中心机房核心交换机上。近期三院将在中心机房区域部署一套电子病历系统已完善三院医疗信息系统。在出口方向,医院有两条出口与外网互联,一条通过防火墙完成与新农合、市医保机构的互联,另一条通过ISA服务器接入互联网。 2、某市三院医疗信息系统潜在风险 2.1黑客入侵造成的破坏和数据泄露 随着医疗信息化的普及,个人信息逐渐以电子健康档案、电子病历和电子处方为载体,其中包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病历等个人信息。其中个人医疗健康信息的秘密处于隐私权的核心部位,而保障病人的隐私安全是医院和医护人员的职责。 某市三院医疗信息系统某市三院中心机房汇集了大量的病人隐私信息,而这些数据在传输过程中极易被窃取或监听。同时基于电子健康档案和电子病历大量集中存储的情况,一旦系统被黑客控制,可能导致病人隐私外泄,数据恶意删除