XX学院等保(三级)设计方案精编版
等保服务设计方案(三级等保)
1.1. 设计依据及执行标准●GM/T 0036-2014 标准要求的电子门禁系统对进出机房人员进行身份鉴别●39786-2021《信息安全技术信息系统密码应用基本要求》●GM/T 39786-2021《信息安全技术信息系统密码应用基本要求》●GB/T 31167-2014《信息安全技术云计算服务安全指南》●GB/T 31168-2014《信息安全技术云计算服务安全能力要求》●ISO/IEC17788:2014《信息技术云计算概念和词汇》●ISO/IEC17788:2014《信息技术云计算参考架构》●《信息安全等级保护管理办法》(公通字【2007】43号)●GB/T 20988-2007《信息系统灾难恢复规范》●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)●《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)●《信息安全等级保护管理办法》的通知(公通字【2007】43号,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布)●信息系统安全保护等级定级指南(GB/T 22240-2008)●信息系统安全等级保护基本要求(GB/T 22239-2008)●《计算机信息系统安全保护等级划分准则》(GB17859-1999)●《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)●《信息安全技术网络基础安全技术要求》(GB/T20270-2006)●《信息安全技术操作系统安全技术要求》(GB/T20272-2006)●《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)●《信息安全技术服务器技术要求》(GB/T21028-2007)●《信息安全技术信息系统安全管理要求》(GB/T20269-2006)●《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)●《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008)●《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)●《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)●《信息技术安全技术信息安全事件管理指南》(GB/Z 20985-2007)●《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)●《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)●《中华人民共和国网络安全法》;●《计算机信息系统安全保护等级划分准则》(GB 17859-1999)●公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号);●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);●公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007] 43号);●《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)。
等保三级解决方案
等保三级解决方案一、背景介绍网络安全问题日益严重,为了保护企业的信息系统和数据安全,国家提出了等保三级标准。
等保三级是指信息系统安全保护等级评定标准,是我国信息安全等级保护体系中的最高级别,适合于具有重要影响力的关键信息系统。
为了满足等保三级的要求,我们制定了以下解决方案。
二、解决方案概述我们的等保三级解决方案主要包括以下几个方面:1. 安全管理体系建设2. 网络安全设备部署3. 安全运维管理4. 安全事件响应三、安全管理体系建设1. 制定安全策略和安全管理制度,确保安全政策与业务需求相匹配。
2. 建立安全组织架构,明确安全责任和权限。
3. 开展安全培训和教育,提高员工的安全意识和技能。
4. 定期进行风险评估和安全审计,及时发现和解决安全隐患。
四、网络安全设备部署1. 防火墙部署:在网络边界处设置防火墙,对进出的流量进行过滤和检测,防止未经授权的访问。
2. 入侵检测系统(IDS)和入侵谨防系统(IPS)部署:监测网络流量,及时发现和阻挠入侵行为。
3. 安全网关部署:对网络流量进行深度检测,防止恶意代码的传播和攻击。
4. 数据加密设备部署:对重要数据进行加密,保障数据的机密性和完整性。
五、安全运维管理1. 安全漏洞管理:及时更新和修补系统和应用程序的安全漏洞。
2. 安全事件监测和分析:建立安全事件监测系统,对异常行为进行实时监控和分析。
3. 安全日志管理:建立安全日志采集和分析系统,记录关键事件和行为,便于溯源和分析。
4. 安全备份和恢复:定期备份重要数据,建立完善的数据恢复机制。
六、安全事件响应1. 建立安全事件响应团队,明确责任和流程。
2. 制定应急预案,包括安全事件的分类和级别,响应流程和处置措施。
3. 定期进行安全演练,提高团队的应急响应能力。
4. 对安全事件进行调查和分析,总结经验教训,改进安全防护措施。
七、总结我们的等保三级解决方案涵盖了安全管理体系建设、网络安全设备部署、安全运维管理和安全事件响应等方面。
XX学院等保(三级)方案设计
XX市XX学院等级保护(三级)建设方案2017年1月目录一、工程概况 (4)二、需求分析 (5)1、建设背景 (5)2、建设目标 (6)三、设计原则及依据 (7)1、设计原则 (7)2、设计依据 (8)四、方案整体设计 (9)1、信息系统定级 (9)1、等级保护完全实施过程 (11)2、能力、措施和要求 (12)3、基本安全要求 (12)4、系统的控制类和控制项 (13)5、物理安全保护要求 (13)6、网络安全保护要求 (14)7、主机安全保护要求 (15)8、应用安全保护要求 (16)9、数据安全与备份恢复 (17)10、安全管理制度 (18)11、安全管理机构 (18)12、人员安全管理 (19)13、系统建设管理 (19)14、系统运维管理 (20)2、等级保护建设流程 (21)2、网络系统现状分析 (22)1、网络架构 (22)2、可能存在的风险 (23)3、等保三级对网络的要求 (24)1、结构安全 (24)2、访问控制 (25)3、安全审计 (25)4、边界完整性检查 (26)5、入侵防范 (26)6、恶意代码防范 (26)7、网络设备防护 (26)4、现状对比与整改方案 (27)1、现状对比 (27)2、控制点整改措施 (30)3、详细整改方案 (32)4、设备部署方案 (34)五、产品选型 (36)1、选型建议 (36)2、选型要求 (37)3、设备选型清单 (37)六、公司介绍 (38)一、工程概况信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作XX市XX学院是2008年元月,经自治区人民政府批准,国家教育部备案的公办全日制高等职业技术院校。
学院以高等职业教育为主,同时兼有中等职业教育职能。
学院开拓办学思路,加大投入,改善办学条件,拓宽就业渠道,内引外联,确立了面向社会、服务市场,重在培养学生的创新精神和实践能力的办学宗旨。
三级等保系统建设方案
三级等保系统建设方案一、为啥要搞三级等保。
咱先唠唠为啥要整这个三级等保系统。
现在这网络世界啊,就像个超级大的江湖,啥人都有,啥危险都藏着。
咱的系统里可能存着好多重要的东西呢,像公司机密啦、用户的隐私信息啦,就跟宝藏似的。
要是没有个厉害的保护措施,那些个黑客啊、不法分子啊,就跟闻到肉味的狼一样,分分钟想扑上来把咱的宝藏抢走或者搞破坏。
所以呢,三级等保就像是给咱们的系统穿上一套超级坚固又智能的盔甲,让那些坏蛋没办法轻易得逞。
二、三级等保都有啥要求。
1. 安全物理环境。
咱先说这机房的事儿。
机房就像是系统的家,得找个安全的地儿。
不能在那种容易发洪水、地震或者老是有雷劈的地方。
机房的建筑得结实,门啊得是那种防火防盗的,还得有门禁系统,不是谁想进就能进的,就像家里不能随便让陌生人串门一样。
供电也得稳稳当当的。
要是突然断电,系统可能就歇菜了,数据也可能丢了。
所以得有备用电源,像UPS(不间断电源)这种,就像给系统备了个充电宝,断电了也能撑一会儿。
温度和湿度也得合适。
太热了机器会中暑,太冷了可能会冻感冒,湿度太大还容易生锈发霉。
所以得有空调、除湿设备啥的,让机房里的环境舒舒服服的,就像人住在适宜温度和湿度的房子里一样。
2. 安全通信网络。
网络得安全可靠。
就像咱们走在路上得有个安全的通道一样。
网络要有防火墙,这防火墙就像个门卫,把那些坏流量都挡在外面。
而且网络得加密,就像咱写信的时候用密码写一样,别人截获了也看不懂。
网络设备得有备份。
要是一个路由器突然坏了,不能让整个网络就瘫痪了呀。
所以得有备用的网络设备,随时能顶上,就像球队里有替补队员一样。
3. 安全区域边界。
要划分不同的安全区域。
就像把房子分成客厅、卧室、厨房一样,不同的区域有不同的功能和安全级别。
在不同区域之间要有访问控制,不能让不该进来的人或者流量乱窜。
入侵检测和防范也不能少。
得能发现那些偷偷摸摸想越界的坏家伙,就像在边界上装了个报警器,一有动静就响。
4. 安全计算环境。
等保三级解决方案
等保三级解决方案一、背景介绍在信息化时代,网络安全问题日益突出,各类网络攻击和数据泄露事件层出不穷。
为了保护国家、企事业单位的信息系统安全,我公司制定了等保三级解决方案。
二、等保三级解决方案概述等保三级解决方案是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护基本要求》的相关规定,针对信息系统的安全需求,设计并实施的一套综合性安全措施和管理体系。
该解决方案旨在提供全面、系统的安全保障,确保信息系统的机密性、完整性和可用性。
三、等保三级解决方案的具体内容1. 安全目标确保信息系统的机密性、完整性和可用性,防止未经授权的访问、篡改、破坏等安全事件的发生。
2. 组织管理建立信息安全管理委员会,明确安全责任和权限,制定安全管理制度和流程,开展安全培训和意识教育,定期进行安全检查和评估。
3. 人员安全进行员工背景调查和安全审查,制定员工安全行为准则,加强员工安全意识培养,定期进行安全知识培训,建立安全意识宣传和报告机制。
4. 物理安全建设安全的机房和数据中心,采取防火、防水、防雷等措施,安装监控设备和门禁系统,控制物理访问权限,定期进行安全巡检。
5. 网络安全建立网络安全防护体系,采用防火墙、入侵检测系统、入侵谨防系统等技术手段,加密网络通信,限制网络访问权限,定期进行漏洞扫描和安全评估。
6. 主机安全加强服务器和终端设备的安全配置,定期更新操作系统和应用程序的补丁,限制用户权限,禁止非法软件和插件的安装,加强日志管理和审计。
7. 应用安全建立应用安全开辟规范,进行代码审查和安全测试,加强对用户输入的校验和过滤,限制应用访问权限,定期进行应用漏洞扫描和安全评估。
8. 数据安全制定数据分类和保护策略,加密重要数据,建立数据备份和恢复机制,限制数据访问权限,加强数据传输和存储的安全控制。
9. 系统运维安全建立系统运维管理制度,加强系统监控和日志管理,定期进行安全审计和风险评估,加强备份和恢复能力,确保系统的稳定和安全运行。
等保三级解决方案
等保三级解决方案引言概述:等保三级是指信息系统安全保护等级的最高级别,主要应用于国家重要信息系统和关键信息基础设施。
为了确保信息系统的安全性和可信度,制定和实施一套完善的等保三级解决方案至关重要。
本文将详细介绍等保三级解决方案的五个部分。
一、物理安全1.1 严格的门禁控制措施:通过安装监控摄像头、门禁刷卡系统等,对重要设施进行监控和控制,确保只有授权人员能够进入。
1.2 安全的机房设计:机房应符合国家相关标准,采用防火、防水、防雷等措施,确保设备的安全运行。
1.3 安全的设备管理:对设备进行分类管理,制定设备使用规范,定期进行设备巡检和维护,确保设备的正常运行和安全性。
二、网络安全2.1 安全的网络架构设计:采用多层次的网络架构,设置防火墙、入侵检测系统等安全设备,实现对网络的安全防护。
2.2 强化的边界安全防护:设置安全策略,限制外部网络对内部网络的访问,防止未经授权的访问和攻击。
2.3 安全的网络设备配置:对网络设备进行安全配置,包括禁止默认密码、定期更新设备固件、关闭不必要的服务等,减少网络设备的安全风险。
三、系统安全3.1 安全的操作系统配置:对操作系统进行安全配置,包括限制用户权限、禁用不必要的服务、定期更新补丁等,提高系统的安全性。
3.2 强化的身份认证与访问控制:采用双因素身份认证、访问控制列表等措施,确保只有授权人员能够访问系统资源。
3.3 安全的应用程序开发和管理:采用安全的编码规范,对应用程序进行安全测试和漏洞扫描,及时修复发现的安全漏洞。
四、数据安全4.1 数据分类和加密:对重要数据进行分类,采用适当的加密算法和密钥管理方案,确保数据在传输和存储过程中的安全性。
4.2 安全的备份和恢复策略:制定完善的数据备份和恢复策略,包括定期备份、离线存储、备份数据的加密等,以应对数据丢失或损坏的风险。
4.3 数据访问控制和监控:建立严格的数据访问控制机制,记录和监控数据的访问行为,及时发现和阻止未经授权的数据访问。
等保三级解决方案简版
等保三级解决方案引言概述:随着信息技术的迅猛发展,网络安全问题日益突出。
为了保护国家的信息安全,我国制定了等级保护制度,其中等保三级是最高级别的保护要求。
本文将从五个大点阐述等保三级解决方案的内容。
正文内容:1. 网络安全基础设施1.1 安全设备1.1.1 防火墙:用于监控和控制网络流量,实现网络的访问控制和安全防护。
1.1.2 入侵检测系统(IDS):监测网络中的异常行为和攻击行为,并及时发出警报。
1.1.3 虚拟专用网(VPN):通过加密技术实现远程访问的安全性,保护数据传输的机密性。
1.2 安全策略与管理1.2.1 访问控制策略:限制用户对系统资源的访问权限,确保只有授权用户才能访问敏感信息。
1.2.2 密码策略:要求用户使用强密码,并定期更换密码,以防止密码泄露和猜测攻击。
1.2.3 安全审计与监控:对系统进行实时监控和审计,及时发现和处理安全事件。
2. 数据安全保护2.1 数据备份与恢复2.1.1 定期备份:对重要数据进行定期备份,确保数据的可靠性和完整性。
2.1.2 离线备份:将备份数据存储在离线介质上,以防止备份数据被恶意篡改或破坏。
2.1.3 数据恢复测试:定期进行数据恢复测试,验证备份数据的可用性和恢复效果。
2.2 数据加密2.2.1 数据传输加密:使用加密协议和技术对数据进行加密,防止数据在传输过程中被窃取或篡改。
2.2.2 数据存储加密:对存储在服务器或存储介质上的数据进行加密,保护数据的机密性。
2.3 数据访问控制2.3.1 权限管理:对用户进行身份认证和授权管理,确保只有合法用户才能访问敏感数据。
2.3.2 数据分类与标记:对数据进行分类和标记,根据不同的敏感级别进行不同的访问控制。
2.3.3 数据审计与监控:对数据的访问行为进行审计和监控,及时发现和阻止未授权的访问。
3. 应用系统安全3.1 安全开发生命周期3.1.1 安全需求分析:在需求分析阶段考虑安全性要求,明确系统的安全需求。
等保三级解决方案
等保三级解决方案等保三级解决方案是一种针对信息系统安全等级保护要求的解决方案。
本文将详细介绍等保三级解决方案的标准格式,包括方案概述、目标、实施步骤、技术要求和测试验证等内容。
一、方案概述等保三级解决方案旨在保护信息系统的安全性,确保系统的机密性、完整性和可用性。
通过采取一系列的技术措施和管理措施,以满足等保三级的安全等级保护要求。
二、目标等保三级解决方案的目标是建立一个安全可靠的信息系统,确保系统的数据不被非法获取、篡改或者破坏,同时保证系统的正常运行和服务可用性。
三、实施步骤1. 风险评估:对信息系统进行全面的风险评估,确定系统的安全威胁和漏洞,为后续的安全措施制定提供依据。
2. 安全策略制定:根据风险评估结果,制定相应的安全策略,包括访问控制策略、加密策略、备份策略等,确保系统的安全性。
3. 安全控制实施:根据安全策略,实施相应的安全控制措施,包括网络防火墙、入侵检测系统、安全审计系统等,以保护系统的安全。
4. 安全管理建设:建立完善的安全管理体系,包括安全培训、安全意识教育、安全事件响应等,提高系统的整体安全水平。
5. 安全评估和测试:对已实施的安全措施进行评估和测试,确保措施的有效性和合规性。
四、技术要求1. 访问控制:采用基于角色的访问控制机制,确保用户只能访问其所需的资源,并限制敏感操作的权限。
2. 加密保护:对系统中的敏感数据进行加密保护,包括存储加密和传输加密,以防止数据泄露和篡改。
3. 安全审计:建立安全审计系统,对系统的操作行为进行记录和审计,及时发现异常行为和安全事件。
4. 漏洞修补:定期进行漏洞扫描和修补,及时更新系统的补丁和安全更新,以防止已知漏洞的利用。
5. 网络防护:建立网络防火墙、入侵检测系统和安全网关等,保护系统免受网络攻击和恶意代码的侵害。
6. 应急响应:建立应急响应机制,及时响应安全事件,采取相应的措施进行处置和恢复。
五、测试验证1. 安全漏洞扫描:对系统进行安全漏洞扫描,发现系统中存在的漏洞,并及时修补。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX市XX学院等级保护(三级)建设方案2017年1月目录一、工程概况 (4)二、需求分析 (4)1、建设背景 (5)2、建设目标 (5)三、设计原则及依据 (7)1、设计原则 (7)2、设计依据 (8)四、方案整体设计 (9)1、信息系统定级 (9)1、等级保护完全实施过程 (11)2、能力、措施和要求 (11)3、基本安全要求 (12)4、系统的控制类和控制项 (12)5、物理安全保护要求 (13)6、网络安全保护要求 (14)7、主机安全保护要求 (14)8、应用安全保护要求 (15)9、数据安全与备份恢复 (16)10、安全管理制度 (17)11、安全管理机构 (17)12、人员安全管理 (18)13、系统建设管理 (18)14、系统运维管理 (19)2、等级保护建设流程 (20)2、网络系统现状分析 (21)1、网络架构 (21)2、可能存在的风险 (22)3、等保三级对网络的要求 (23)1、结构安全 (23)2、访问控制 (24)3、安全审计 (24)4、边界完整性检查 (25)5、入侵防范 (25)6、恶意代码防范 (25)7、网络设备防护 (25)4、现状对比与整改方案 (26)1、现状对比 (26)2、控制点整改措施 (29)3、详细整改方案 (30)4、设备部署方案 (33)五、产品选型 (35)1、选型建议 (35)2、选型要求 (35)3、设备选型清单 (36)六、公司介绍 (36)一、工程概况信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作XX市XX学院是2008年元月,经自治区人民政府批准,国家教育部备案的公办全日制高等职业技术院校。
学院以高等职业教育为主,同时兼有中等职业教育职能。
学院开拓办学思路,加大投入,改善办学条件,拓宽就业渠道,内引外联,确立了面向社会、服务市场,重在培养学生的创新精神和实践能力的办学宗旨。
学院本着让学生既成才,又成人的原则,优化人才培养模式,狠抓教育教学质量,增强学生实践动手能力,注重对学生加强德育和行为规范教育,为企业和社会培养具有全面素质和综合职业能力的应用型专门人才。
学院雄厚的师资力量、先进的教学设备、严格的日常管理、完善的文体设施、优质的后勤服务以及宽敞洁净的学生公寓和食堂,为广大师生提供了优美、舒适、理想的学习、生活和工作环境。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
二、需求分析为了保障国家关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。
并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保障。
1、建设背景随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高,教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。
从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》;教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函[2010] 80号)。
XX市XX学院的网络系统在近几年逐步完善,作为一个现代化的教学机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。
结合学校的“校务管理”、“教学科研”、“招生就业”、“综合服务”等业务信息平台,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种设备和先进技术来保证系统的正常运作和稳定的效率。
同时学校的网络系统中内部及外部的访问量巨大,访问人员比较复杂,所以如何保证学校网络系统中的数据安全问题尤为重要。
在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。
由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。
2、建设目标本次XX市XX学院业务系统等级保护安全建设的主要目标是:按照等级保护要求,结合实际业务系统,对学院核心业务系统进行充分调研及详细分析,将学院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台。
建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。
该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足学院信息安全要求。
本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则,并结合等级保护基本要求进行设计。
技术体系:网络层面:关注安全域划分、访问控制、抗拒绝服务攻击,针对区域边界采取防火墙进行隔离,并在隔离后的各个安全区域边界执行严格的访问控制,防止非法访问;利用漏洞管理系统、网络安全审计等网络安全产品,为客户构建严密、专业的网络安全保障体系。
应用层面:WEB应用防火墙能够对WEB应用漏洞进行预先扫描,同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到双重层面的“网页防篡改”效果。
数据层面,数据库将被隐藏在安全区域,同时通过专业的安全加固服务对数据库进行安全评估和配置,对数据库的访问权限进行严格设定,最大限度保证数据库安全。
同时,利用SAN、远程数据备份系统有效保护重要数据信息的健康度。
管理体系:在安全管理体系的设计中,我们借助丰富的安全咨询经验和对等级保护管理要求的清晰理解,为用户量身定做符合实际的、可操作的安全管理体系。
安全服务体系:风险评估服务:评估和分析在网络上存在的安全技术分析,分析业务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价用户的业务安全风险承担能力;安全监控服务:通过资深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议;渗透测试服务:利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户;应急响应服务:针对信息系统危机状况的紧急响应、分析、解决问题的服务,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施。
方案收益实施信息安全等级保护建设工作可以为高校信息化建设实现如下收益:✓有利于提高信息和信息系统安全建设的整体水平;✓有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展;✓有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;✓有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障重要信息系统的安全;✓有利于明确信息安全责任,加强信息安全管理;✓有利于推动信息安全的发展三、设计原则及依据1、设计原则根据学院的要求和国家有关法规的要求,本系统方案设计遵循性能先进、质量可靠、经济实用的原则,为实现学院等级保护管理奠定了基础。
●全面保障:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。
●整体规划,分步实施:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
●同步规划、同步建设、同步运行:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
●适度安全:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
●内外并重:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。
●标准化管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。
●技术与管理并重:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
2、设计依据根据学院现有情况,本次方案的设计严格按照现行中华人民共和国以及内蒙古自治区与行业的工程建设标准、规范的要求执行。
在后期设计或实施过程中,如国家有新法规、规范颁布,应以新颁布的法规规范为准。
本方案执行下列有关技术标准、规范、规程但不限于以下技术标准、规范、规程。
●计算机信息系统安全等级保护划分准则(GB 17859-1999)●信息系统安全等级保护实施指南(GB/T 25058-2010)●信息系统安全保护等级定级指南(GB/T 22240-2008)●信息系统安全等级保护基本要求(GB/T 22239-2008)●信息系统通用安全技术要求(GB/T 20271-2006)●信息系统等级保护安全设计技术要求(GB/T 25070-2010)●信息系统安全等级保护测评要求(GB/T 28448-2012)●信息系统安全等级保护测评过程指南(GB/T 28449-2012)●信息系统安全管理要求(GB/T 20269-2006)●信息系统安全工程管理要求(GB/T 20282-2006)●信息系统物理安全技术要求(GB/T 21052-2007)●网络基础安全技术要求(GB/T 20270-2006)●信息系统通用安全技术要求(GB/T 20271-2006)●操作系统安全技术要求(GB/T 20272-2006)●数据库管理系统安全技术要求(GB/T 20273-2006)●信息安全风险评估规范(GB/T 20984-2007)●信息安全事件管理指南(GB/T 20985-2007)●信息安全事件分类分级指南(GB/Z 20986-2007)●信息系统灾难恢复规范(GB/T 20988-2007)四、方案整体设计1、信息系统定级确定信息系统安全保护等级的流程如下:●识别单位基本信息了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。