新乡医学院三全学院.docx

新乡医学院三全学院.docx

《新乡医学院三全学院.docx》由会员分享，可在线阅读，更多相关《新乡医学院三全学院.docx（15页珍藏版）》请在冰点文库上搜索。

新乡医学院三全学院

新乡医学院三全学院

重要信息系统等级保护测评服务

技术要求

2018年7月

一、

项目概况

为贯彻党中央、国务院关于网络安全的统筹部署，落实《中华人民共和国网络安全法》的实行国家网络安全等级保护制度要求。

根据教育部办公厅《教育行业网络安全综合治理行动方案》部署安排，对我院重要信息系统经过梳理，需对五个重要信息系统进行等级保护测评进行备案。

等级保护等级为二级系统，分别为：

教务综合系统（教务管理系统、教学平台、学务管理系统）、网站综合系统（网站群、信息门户）、一卡通系统、办公自动化系统、人力资源管理系统。

二、项目实现的预期目标

此次我院重要信息系统等级保护测评服务的目标就是完成我院教务综合系统、网站综合系统、一卡通系统、办公自动化系统、人力资源管理系统等共计五个系统的等级保护测评工作。

主要包括：

1.向市网安提交我院重要信息系统等级报告、备案表及专家定级评审意见等材料，完成五个重要信息系统的备案；

2.开展等级保护测评工作（分四个步骤：

（1）系统调研准备阶段；

（2）测评方案及作业指导文件编制阶段；（3）现场测评阶段（4）测评报告编制阶段（编制每个信息系统的等级测评报告）；

3.编制整改建议及协助整改建设工作；

4.取得每个信息系统的安全等级保护备案证明。

三、项目主要内容及实施方案

项目范围和内容为：

完成我院教务综合、网站综合系统、一卡通系统、办公自动化系统、人力资源管理系统名称等共计五个系统的二级等级保护测评工作，并取得系统备案证明。

（一）等级测评工作

是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是落实信息安全等级保护制度的重要环节。

测评时机：

新建及改建信息系统、信息系统整改前、信息系统整改后。

在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求；在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展等级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备相应等级安全保护能力。

而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。

信息安全等级测评工作主要包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

其中，信息安全等级测评是信息安全等级测评工作的核心。

（二）项目流程图

（三）等级测评要求

对信息安全等级保护合规性状况进行评估，应包括两个方面的内容：

一是安全控制合规性评估，主要评估信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体合规性评估，主要评估分析信息系统的整体安全性。

其中，安全控制评估是信息系统整体安全测评的基础。

对安全控制合规性评估的描述，使用测评单元方式组织。

测评单元分为安全技术和安全管理两大类。

安全技术包括：

物理安全、网络安全、主机安全、应用安全和数据安全五个层面上的安全控制合规性评估；安全管理包括：

安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制合规性评估。

根据《信息系统安全等级保护基本要求》，安全控制合规性评估的主要内容如下：

1.物理环境测评：

包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。

2.网络系统测评：

包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。

3.主机与数据库测评：

主机与数据库身份鉴别、主机与数据库访问控制、主机与数据库安全审计、主机与数据库入侵防范、主机恶意代码防范、信息资源安全、资源控制等内容。

4.应用系统测评：

包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。

5.数据及备份恢复测评：

包括数据完整性、数据保密性、备份和恢复等内容。

6.安全管理测评：

涵盖管理制度、管理机构、人员管理、系统建设、系统运维等方面。

系统整体合规性评估涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。

因此，全面地给出系统整体评估要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。

测评人员应根据特定信息系统的具体情况，结合《基本要求》，确定系统整体评估的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

具体见下图：

在安全等级测评过程中，每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）和《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）文件，根据本项目信息系统已完成的定级备案安全等级，开展相应级别的安全等级测评工作，根据评估结果出具相应的单项和整体测评报告，测评报告需得到项目单位的确认，并报请省公安厅主管部门审核、批复。

测评报告编制的内容及格式严格遵照《信息安全等级保护测评报告模版（2015年版）》进行。

交付成果：

（1）项目阶段各阶段的测评过程文档

项目阶段

交付成果

测评准备活动

项目计划书

被测系统基本情况分析报告

方案编制活动

测评指导书

信息系统安全测评方案

现场测评活动

测评结果记录

测评中发现的问题汇总

分析与报告编制活动

单项测评结果汇总分析

整体测评结果汇总分析

风险分析和评估

等级测评结论

信息系统安全等级测评报告

（2）交付成果

Ø《教务综合系统测评报告》；

Ø《网站综合系统测评报告》；

Ø《一卡通系统测评报告》；

Ø《办公自动化系统测评报告》；

Ø《人力资源管理系统测评报告》；

（四）整改建议要求

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统符合性评估工作的基础上，对信息系统总体信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全建设整改方案，方案内容包含但不限于：

信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算，整改后可能存在的其他问题。

主要包含内容见下表：

方案分项

详细内容及要求

等级化安全保障建议方案

内容应包括但不限于以下方面：

1、安全区域和等级划分；

2、安全体系框架设计；

3、等级化安全指标体系报告。

安全体系建设建议方案

内容应包括但不限于以下方面：

1、网络面临风险分析；

2、针对性措施建议。

相关网络安全管理制度

内容应包括但不限于以下方面：

1、机房安全管理制度；

2、网络故障应急预案及应急方案流程制度；

3、客户端管理制度；

4、数据备份及恢复制度；

5、灾难恢复策略及制度。

提交成果

Ø《教务综合系统安全整改建议》；

Ø《网站综合系统安全整改建议》；

Ø《一卡通系统安全整改建议》；

Ø《办公自动化系统安全整改建议》；

Ø《人力资源管理系统安全整改建议》；

（四）备案证明要求

向市网安部门提交《教务综合系统测评报告》、《网站综合系统测评报告》、《OA系统测评报告》、《一卡通系统测评报告》、《办公自动化系统测评报告》、《人力资源管理系统测评报告》等材料，并协助应答提出的疑问，最终取得：

Ø《教务综合系统安全等级保护备案证明》；

Ø《网站综合系统安全等级保护备案证明》；

Ø《一卡通系统安全等级保护备案证明》；

Ø《办公自动化系统安全等级保护备案证明》；

Ø《人力资源管理系统安全等级保护备案证明》；

四、项目清单

标段一：

重要信息系统等保测评服务（二级）

序号

项目名称

单价

数量

总价

备注

1

教务综合系统安全等级测评

1次

（一）根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》（公通字【2007】43号）、河南省教育厅、河南省公安厅联合下发《关于深入开展教育行业信息系统安全等级保护工作的通知》（教科技〔2015〕710号）文件要求开展等级测评工作

（二）参照国家颁布的《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）和《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）等技术标准开展等级测评工作。

2

网站综合系统安全等级测评

1次

3

一卡通系统安全等级测评

1次

4

办公自动化系统安全等级测评

1次

5

人力资源管理系统安全等级测评

1次

7

巡检服务/季度

4次

第二年等级保护安全巡检服务费，每一季度一次。

合计：

标段二：

防火墙（所选产品确保符合二级等级保护测评要求）

序号

设备名称

配置参数

数量

单价

1

出口防火墙

（推荐：

山石SG-6000-E5660）

三年质保。

硬件参数：

2U，4个GE接口和4个SFP接口，4个万兆接口，双交流电源；

性能参数：

吞吐量25G，VPN吞吐量15G，并发连接数1000万，每秒新建40万。

附件：

4个千兆光模块，4个万兆光模块。

万兆跳线4根（上联、下联）

1台

2

数据中心防火墙

（推荐：

山石SG-6000-E3965）

三年质保。

硬件参数：

2U，4个GE接口和4个SFP接口、2个SFP+接口；双交流电源

性能参数：

吞吐量10G，VPN吞吐量6G，并发连接数600万，每秒新建17万。

开通防病毒，入侵防御模块。

附件：

4个千兆光模块，2个万兆光模块。

千兆跳线4根，万兆跳线2根。

1台

合计：

标段三：

堡垒机和日志审计（所选产品确保符合二级等级保护测评要求）

序号

产品名称

规格配置

数量

单价

1

堡垒机

（推荐：

PLDSECSMS3500ST）

标准机1U机架式设备

管理设备数量：

100个（可扩展）；

并发数：

500个字符并发，100个图形并发；

支持Unix、Linux、Windows等各类主机，网络设备，安全设备，数据库；

支持HA双机热备，存储1T空间，4个千兆电口；独立电源

支持SSH、TELNET、SFTP、FTP、RDP、X11、VNC；Oracle：

PLSQL、TOAD、SQLPLUS、SQLDEVELOPER、Mysql：

MYSQLFRONT、HIDESQL、Sqlserver：

SQLserver（2000-2012）、WEB：

HTTP、HTTPS

其它应用：

REALVNC等以上协议及客户端工具；

支持图形传输控制、命令控制、访问控制、IP控制；

支持命令记录、命令分析、SQL解析、离线回放、在线监控等；

支持radius、AD域、本地认证、动态令牌等双因素认证；

1台

2

日志审计

（推荐：

LEADSINO  DbXpert-iLOG3650ST）

规格：

标准1U设备

日志吞吐量：

6500条/秒；

动态缓存量：

600万条；

日志存储量：

6亿条；

硬盘：

1T日专存储容量；

网口：

4个千兆以太网电口；

日志采集：

对不同日志源（包括Windows系统,Unix/Linux系统,应用程序,路由器,防火墙等）所产生的日志进行收集，实现日志的集中管理和存储；支持解析任意格式、任意来源的日志；使用无代理的方式收集日志。

不限制审计节点数。

日志搜索：

提供强大的日志搜索引擎，可进行基本搜索和高级搜索，从而帮助管理人员从海量的日志数据中检索出所需的信息。

日志归档：

对收集的日志数据（包括从Windows系统收集到的Eventlog数据、从Linux/Unix及路由器/交换机收集到的Syslog数据、以及其它设备收集的Syslog数据）进行自动归档处理，以实现日志数据的长久保存。

存储的日志数据，用于取证分析、性能检测、使用统计等方面。

支持自定义合规性报表。

1台

合计：