高校安全服务方案

高校信息系统

安全服务方案

V1.0（初稿）

1概述

1.1需求分析

随着高校网络安全事件的不断增加，安全意识的不断提高，如何有效地选择安全措施，如何使安全产品发挥应有的作用，如何快速经济地提升系统的安全状况成为客户关心的问题。大家已不再满足于单纯地购买安全产品，开始寻找全面的、系统的解决方法。在这种环镜下，安全服务逐渐被大家接受，成为贯穿安全工作各个阶段、渗透各个方面的重要措施。

IT安全服务是信息系统安全体系中不可或缺的一部分，是整个IT环境成熟度的一个衡量指标，当整个产业的IT基础设施建设到一定程度后，在规避安全风险，控制安全成本及商业持续性保降需求的压力之下，就需要开始考虑如何制定符合自身的安全策略并使之与业务结合，这就是安全服务产生的基础。完整的安全服务不仅能帮助客户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。

为响应国家信息安全等级保护的要求和高校自身对信息安全的重视，全面的了解自身信息安全隐患，从物理、网络、系统、应用及管理儿个层面分析可能存在的风险，判断高校自身所面临的网络安全态势，以态势规划系统的下一步建设，特进行此次安全服务项目。

1.2项目建设目标

通过本服务了解高校自身信息系统从物理层到应用层所存在的安全漏洞、风险隐患。通过对信息系统的安全分析，掌握当前系统的安全态势。建立起一套实时有效的信息安全服务体系，能根据安全要求的不断发展，升级和完善相关安全防护功能。

具体来讲，本项安全服务能帮客户解决以下几个方面问题：●完善安全管理制度

●建立信息安全管理框架

●了解自身信息安全状况

●指导未来的信息安全建设和投入

●加固信息系统

●任务安保期间信息系统安全保障

2安全服务相关标准

2.1相关标准与规

在整个服务过程中，我们将参照最新和最权威的信息安全标准，作为安全服务的基本原则。这些安全标准包括：

●GB 17859-1999《计算机信息系统安全保护等级划分准则》

●GB/T 22239-2008《信息系统安全等级保护基本要求》

●GB/T 28448-2012《信息系统安全等级保护测评要求》

●GB/T18336《信息技术-安全技术-信息技术安全性评估准则》

●CVE:通用脆弱性标准。CVE是个行业标准，为每个漏洞和弱点确定了惟一

的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。

●IS027001:Code of practice for information security management,信

息安全管理纲要

●IS013335: Information technology-Guidelines for the management of

IT Security，信息技术－安全技术－IT安全管理指南

3安全服务

3.1安全管理制度梳理服务

以信息系统安全等级保护管理要求为依据，结合高校自身管理要求，对高校现有的安全管理制度进行梳理，协助客户建全安全管理制度，交付客户安全管理制度建议报告。

3.1.1安全管理制度

安全管理制度是安全管理体系的核心，依据国家等级保护政策的要求，分五个步骤（落实安全责任、管理现状分析、制度安全策略和制度、落实安全管理措施、安全自检与调整）实现安全管理制度建设。

3.1.1.1落实信息安全责任制

明确领导机构和责任部门，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的责任和人文，落实安全管理责任制。

3.1.1.2信息系统安全管理现状分析

通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。

依据等级保护基本要求的标准，采取对照检查、风险评估、等级测评等方法，分析判断目前采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的时间或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。

3.1.1.3制定安全管理策略和制度

根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度，明确人员录用、离岗、考核、培训等管理容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防、备份与恢复、应急预案等管理容；制度定期检查制度，明确检查容、方法、要求等，检查各项制度、措施的落实情况，并不断完善。规安全管理人员或操作人员的操作规程等，形成安全管理体系。

安全管理体系组成：

3.1.1.4落实安全管理措施

人员安全管理：包括人员录入、离岗、考核、教育培训等容。规人员录用、离岗、过程、管家岗位签署协议；对各类人员进行安全意识教育、岗位技能培训；对关键岗位进行全面的严格的审查和技能考核；对外部人员允许访问的区域、系统、设备、信息等进行控制。

系统运维管理：落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理

系统建设管理：系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方（如集成方、开发方、测评方、安全服务方）完成的，运营使用单位人员的主要工作上对其进行管理，应此，应制度系统建设相关的管理制度。

3.1.1.5安全自查与调整

制定安全检查制度，明确检查的容、方式、要求等，检查各项制度、措施的落实情况并不不断完善。

3.1.1.6信息系统安全管理建设工作流程

3.1.2服务流程

1)确定客户信息系统安全保护等级

2)收集客户现有安全管理制度；

3)将现有安全管理制度与等级保护基本要求做差距分析，输出《安全管理

建议报告》；

4)根据《安全管理建议报告》，协助客户完善安全管理制度；

5)协助客户建立安全管理体系。