马鞍山市电子政务项目建设方案.docx
《马鞍山市电子政务项目建设方案.docx》由会员分享,可在线阅读,更多相关《马鞍山市电子政务项目建设方案.docx(21页珍藏版)》请在冰点文库上搜索。
马鞍山市电子政务项目建设方案
马鞍山市电子政务项目建设方案
项目名称:
马鞍山统计局网络安全等级保护项目
申报单位:
马鞍山市统计局(盖章)
编制单位:
马鞍山市统计局
编制日期:
2018年3月21日
注:
所有项目建设方案编制必须按照上述要求填写,若方案编制与提纲不符,我办有权不予受理。
电子档报送至:
dzzwxm@
马鞍山市电子政务项目建设方案
第一章项目概述
1项目名称
马鞍山统计局网络安全等级保护项目
2、项目建设单位与职能介绍
2.1项目建设单位
马鞍山市统计局
2.2项目单位职能
马鞍山是统计局内设10个科室,1个城市社会经济调查队,1个农村抽样调查队及1个数据管理中心,主要贯彻执行国家和省统计工作方针政策和法律法规,拟订全市统计工作规范性文件,监督实施国家和省统计规划、基本统计制度和统计标准,承担组织领导和协调全市统计工作,确保统计数据真实、准确、及时。
3项目建设方案编制依据
1)“互联网+政务服务”技术体系建设指南
2)政务信息资源类规范、标准
3)国家统计局《关于加强统计系统信息安全管理工作的紧急通知》
4)《安徽省统计局关于开展全省统计系统网络安全等级保护工作的通知》(皖统办〔2017〕22号)
5)《中华人民共和国计算机信息系统安全保护条例》(公通字〔2007〕43号)
6)国家、省级、行业建设规范
Ø关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知(中办[2003]27号文件)
Ø关于印发《信息安全等级保护工作的实施意见》的通知(公通字[2004]66号)
Ø关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
Ø《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
ØGB17859-1999计算机信息系统安全保护等级划分准则
ØGB/T25058-2010信息安全技术信息系统安全等级保护实施指南
ØGB/T22240-2008信息安全技术信息系统安全保护等级定级指南
ØGB/T20270-2006信息安全技术网络基础安全技术要求
ØGB/T20271-2006信息安全技术信息系统通用安全技术要求
ØGB/T20272-2006信息安全技术操作系统安全技术要求
ØGB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
ØGA/T671-2006信息安全技术终端计算机系统安全等级技术要求
ØGA/T709-2007信息安全技术信息系统安全等级保护基本模型
ØGB/T22239-2008信息安全技术信息系统安全等级保护基本要求
ØGB/T20269-2006信息系统安全管理要求
ØISO/IEC27001信息系统安全管理体系标准
ØGBT25070-2010《信息系统等级保护安全设计技术要求》
ØGB/T28448-2012信息安全技术信息系统安全等级保护测评要求
Ø《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)
Ø《信息安全等级保护密码管理办法》
Ø《信息安全等级保护商用密码技术要求》
以上规范标准以最新版为准。
4项目概况
4.1项目背景
(1)按照《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)第二十一条国家实行网络安全等级保护制度的有关规定。
(2)根据《关于开展国家统计信息系统安全等级保护定级工作的通知》(国统办字〔2007〕96号)要求,“一是
加强领导,落实保障。
各级统计局要按照国家统计局的统一部署,明确等级保护责任部门,责任人员和经费,加强组织领导,及时掌握工作进展情况。
二是动员部署,开展培训。
各单位要按照统一部署,广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。
国家统计局将根据统计系统特点,按照国家有关部门要求,会同有关单位,组织开展统计系统等级保护培训工作。
三是及时总结,提出建议。
各级统计局要结合本单位、本系统开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。
各责任部门要及时总结定级工作经验,形成定级工作总结报告,及时上报。
此次定级工作完成后,国家统计局将按照《信息安全等级保护管理办法》和有关技术标准,继续组织开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作。
”
(3)根据《安徽省统计局办公室关于开展全省统计系统网络安全等级保护工作的通知》(皖统办〔2017〕22号)要求,“各市统计局,广德、宿松县统计局,按照《中华人民共和国网络安全法》有关规定和国家信息安全等级保护制度要求,为进一步提升全省统计系统网络安全防护能力和水平,省统计局决定在全省统计系统组织开展网络安全等级保护工作,请各单位按照通知要求,切实提高认识,认真制定工作计划,积极组织开展网络安全等级保护工作,切实提高全省统计系统整体防护能力和水平”,及结合公安及信息化管理部门关于信息安全检查工作通知的要求,进一步提升全市统计系统网络安全防护能力和水平,降低信息系统安全风险,避免信息系统安全事故,保障统计系统非涉密信息系统的稳定运行。
4.2建设目标
为了落实和贯彻公安部、国家保密局、国家密码管理局、国家统计局等国家有关部门信息安全等级保护工作要求,全面完善统计局信息系统安全防护体系,落实“分域保护、边界隔离、访问控制、多层防御”的安全防护策略,确保等级保护工作在市统计局顺利实施,提高整体信息安全防护水平,全面开展等级保护建设工作。
本方案是根据国家等级保护政策制度的工作思路,依照《信息安全技术信息系统安全等级保护基本要求》(以下简称“《基本要求》”)、参照《信息安全技术信息系统等级保护安全设计技术要求》(以下简称“《安全设计技术要求》”)等标准规范,结合市统计局业务信息系统的实际情况,编制总体设计方案,用于指导下一步安全建设工作。
总体设计方案通过对系统网络架构进行优化调整,部署网络安全防护设备,配置安全防护策略,建立健全安全管理机构,设置安全管理岗位,规范安全运维流程,开展等级保护测评,实现统计局信息系统的安全保护达到信息系统安全保护等级第二级基本要求,确保系统能抵御一般的恶意攻击,防范一般计算机病毒和恶意代码,具有检测常见的攻击行为,并对安全事件进行记录的能力。
4.3网络安全及应用现状
我局统计业务专网目前通过电信专线与电子政务外网两条外连线路与省统计专网进行连接,在外连边界处部署天融信防火墙进行边界隔离,内部终端通过北信源终端管理系统实现非法外联控制,局域网已安装部署一套瑞星网络版防病毒软件。
整个网络未划分相关安全区域,网络防入侵、审计等未进行相关部署,安全防护策略未完全配置,安全管理制度未完全建立。
“数据马鞍山”综合数据发布系统部署在马鞍山市政务云平台,可通过公网进行访问,系统部署了政府网站综合防护系统(网防G01),目前依托政务云的安全防护措施实现安全防护。
4.4部门业务需求说明
根据我局网络安全及应用现状,同时落实《安徽省统计局关于开展全省统计系统网络安全等级保护工作的通知》(皖统办〔2017〕22号)文件要求,我局决定对“马鞍山统计信息骨干网”和“数据马鞍山综合数据发布系统”开展信息安全二级等级保护建设。
网络安全方面:
——应在边界处部署入侵检测IDS或入侵防御设备IPS,用于监视网络边界出的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为。
——增加部署日志审计设备,用于对网络设备及主机等日志集中收集与分析。
主机安全方面:
需要部署堡垒机,加强对运维审计以及账号权限管理,同时部署虚拟版数据库审计设备,加强对数据库敏感操作审计,如增加、删除用户以及用户提权等。
安全管理方面:
需要对现有安全管理制度进行梳理,按照等级保护要求,从安全管理机构、人员安全管理、运维管理、建设管理等多方面健全完善安全管理制度。
安全策略方面
需要对主机、网络设备进行安全策略配置,包括端口、服务、访问控制策略等进行安全加固。
4.5项目建设的意义和必要性
为贯彻落实国家信息安全等级保护制度,规范和指导统计行业开展信息安全等级保护工作,有效保护统计信息和信息系统的安全,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准和要求,制定马鞍山市统计局“数据马鞍山”综合数据发布系统和“马鞍山统计信息骨干网”信息安全等级保护(二级)建设方案,完成安全建设整改和测评工作,从而满足以下要求:
一是满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求;
二是满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求;
三是满足等级保护的相关要求,同时能够全方面为马鞍山市统计局的业务系统提供立体、纵深的安全保障防御体系,提高信息系统的安全保障与运维能力,减少信息安全风险,强化信息系统整体的安全保护能力。
第二章业务需求分析
1、业务功能、业务流程和业务量分析
1.1业务功能
1.1.1马鞍山统计信息骨干网
马鞍山统计信息骨干网是省、市、县(区)互联的统计专用网络,主要实现各级统计机构的数据采集、传输处理和信息交换功能。
该网络系统是计算机及其相关配套的网络设备、设施构成的,是按照一定的应用目标和规则进行部署,为全市各级统计机构业务工作提供网络支持。
市统计局连接省统计局的统计专网带宽为10M,并通过双线路实现冗余备份,连接所辖县区统计局的统计专网带宽为10M。
同时增加了网络边缘路由器、防火墙和VPN等网络设备,乡镇统计部门可通过VPN连接统计信息骨干网。
此系统为全市各级统计部门业务系统的基础支撑平台。
1.1.2“数据马鞍山”综合数据发布系统
“数据马鞍山”综合数据发布系统是一个以统计数据库为基础,面向智能手机、平板电脑等移动终端的统计信息服务平台,可满足用户移动查询统计数据。
该平台将为广大统计用户获得内容较多、时效性较强、方便快捷、科学规范的统计信息,提高政府部门的社会管理能力和公共服务水平,为领导提供辅助决策支持服务。
一、客户端主要内容
1.全市及各县(区、开发园区)及乡镇(街道)基本情况简介。
2.近年来全市及各县(区、开发园区)主要统计指标年度数据。
3.近年来全市及各县(区、开发园区)月度主要统计指标进度数据。
二、客户端主要功能
1.数据查询。
客户端中统计数据采用折线图,按年(月)时间序列展示。
用户可根据需要,按市(县)域查询,也可按指标查询;在同一页面上,既可以查阅绝对数,也可以查阅增速,其中月(季)度数据中还可以查阅近三年同期对比数。
2.图文分享。
客户端融入了当前流行的信息分享功能,用户可将从客户端中查阅到的统计信息,以图文并茂的形式分享到新浪微博、腾讯微博和微信朋友圈中,实现“一人查看,多人共享”。
3.指标搜索。
客户端提供了模糊搜索功能,用户在搜索框内输入指标名称中的关键字,就可快速找到需要查看的指标相关信息。
4.信息收藏。
客户端提供了一键收藏功能,用户对感兴趣的,或者经常查阅的统计信息,可将其收藏起来,方便下次查阅。
1.2业务流程
统计业务工作流程
1.3业务量分析
马鞍山市统计数据中心业务量包括离线服务量、在线服务量、利用外部服务量、外部利用服务量、利用公共服务量、在线服务周期、业务计算量等。
以三个统计年度为基准,本次测算中考虑的马鞍山市统计信息系统业务量如下表所示:
马鞍山市统计数据中心业务量分析
单位:
人小时/年
事务项目
离线服务量
在线服务量
利用外部服务量
外部利用服务量
利用公共服务量
公共利用服务量
在线服务周期(小时/年)
业务计算量
2018年
5100
82000
65000
11000
30000
20000
700900
130000
2019年
5100
82000
65000
11000
30000
20000
700900
130000
2020年
5100
82000
65000
11000
30000
20000
700900
130000
2.系统功能和性能需求分析
我局信息化机房位于市政府统一规划机房内,机房物理安全建设基本满足信息安全二级等级保护建设,按照二级等保要求,为了落实“分域保护、边界隔离、访问控制、多层防御”的安全防护策略,结合我局目前信息系统现状,从稳定性、安全性、可靠性、可用性、性价比等多重角度,制定科学合理且适合本次测评和整改的实际需求的建设方案。
本次新增安全设备主要实现以下功能:
核心路由器、核心交换机:
保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
堡垒机:
实现系统内主机、网络设备的运维管理操作审计,解决设备统一登录管理、人员权限分配管理、定期密码修改等安全问题。
日志审计:
按照《网络安全法》要求,对网络设备日志进行集中收集与统一分析,存储时间不少于6个月。
下一代防火墙:
采用下一代防火墙实现安全隔离访问控制,配备IPS入侵检测模块,实现对蠕虫、病毒、木马、拒绝服务攻击、间谍软件等的攻击防护。
IPS配置Bypass功能模块。
WEB应用防火墙:
实现对“数据马鞍山”综合数据发布系统进行安全防护,保护系统核心文件,在服务器上防止数据被篡改、被窃取、黑客入侵破坏等问题,提高系统自身的安全性和抗攻击能力。
第三章总体建设方案
1、建设原则
先进合理性原则:
总体设计方案先进:
不仅满足当前业务需求,还应充分考虑未来的发展需要,要保证系统建设发展具有前瞻性。
标准性原则:
方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:
项目实施应由专业人员照规范的操作流程进行,在实施之前将详细量化出每项内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:
项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:
安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:
项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:
对项目实施过程获得的数据和结果严格保密,XX不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
2、总体建设任务
对“马鞍山统计信息骨干网”和“数据马鞍山综合数据
发布系统”两个系统进行信息安全二级等级保护建设。
重点从网络安全、主机安全、应用安全和数据安全等层面进行技术保障体系的设计和建设。
在具体的实施方案上,依据《信息系统等级保护安全设计技术要求》(GB/T25070-2010),从安全计算环境、安全区域边界、安全通信网络、安全管理中心等几个方面,逐一落实安全技术措施。
通过选择和部署满足等级保护基本要求的安全产品,构建完善的安全技术保障体系,使《信息系统安全等级保护基本要求》中技术要求部分的符合度达到75%以上。
本方案根据统计局的网络现状及业务应用,将二级信息系统分为外联区、核心区、运维区、服务器接入区,根据所划分区域实现分区防护。
1)部署核心路由器、核心交换机,保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2)部署堡垒机,实现系统内主机、网络设备的运维管理操作审计,解决设备统一登录管理、人员权限分配管理、定期密码修改等安全问题。
3)部署日志审计系统,实现系统日志集中审计。
4)部署下一代防火墙,实现安全隔离访问控制,配备IPS入侵检测模块,实现对蠕虫、病毒、木马、拒绝服务攻击、间谍软件等的攻击防护。
IPS配置Bypass功能模块。
5)完成安全加固服务,设备部署完毕后,根据业务系统实际应用,结合信息安全等级保护技术要求,对系统进行安全加固服务。
▲物理安全加固
主要对机房物理安全进行加固,主要内容包括有:
通过人工调整设备线路,实现对机房系统分区管理;
通过人工调整实现将设备或主要部件进行固定,并设置明显的不易除去的标记;
通过人工调整实现将通信线缆铺设在隐蔽处,并且电源线和通信线缆隔离铺设,避免互相干扰;
▲主机安全加固
主要对机房主机进行安全加固,内容如下:
检查主机系统的补丁管理;
账号及口令策略;
网络与服务;
文件系统;
日志审核;
防火墙策略;
木马、后门及rookit;
安全性增强;
▲网络安全加固
主要对网络设备进行安全加固,内容如下:
划分网络安全区域:
根据系统的重要性、安全保护级别划分安全区域;
网络设备的补丁管理及版本升级;
账号及口令策略;
访问控制;
网络与服务;
日志审核;
▲设备安全加固优化
主要对安全设备进行安全加固,主要内容如下:
关闭不必要系统服务;
开启系统各项审计功能;
配置账号、组策略;
配置注册表相应的安全项;
配置文件系统的权限;
评估新补丁对操作系统及应用系统的影响,在不影响系统正常使用的情况下,升级系统补丁;
对已部署的网络版防病毒软件及时升级软件版本。
▲数据库安全加固
对“数据马鞍山”综合数据发布系统软件部署环境(数据库安全配置、中间件安全控制等)进行安全加固,并出具《XX数据库安全检查和加固报告》。
▲管理制度建设
按照信息安全等级保护要求,建立健全管理制度,主要内容如下:
安全管理机构制度建设;
安全管理制度制度建设;
人员安全管理制度建设;
系统建设管理制度建设;
系统运维管理制度建设;
为进一步提升系统高可靠性,在本次配置中,增加了一台交换机,实现对原有核心交换机的冗余备份。
同时将原有防火墙更换为下一代防火墙,增加IPS防入侵模块,原有防火墙作为备份使用。
通过区县外接出口上移,统一通过防火墙,实现对边界出口统一防护隔离,加强对内网的防护。
在“数据马鞍山”综合数据发布平台部署的虚拟主机上,已部署WEB应用防火墙及杀毒软件,实现对“数据马鞍山”发布平台的安全防护。
◆外联区:
主要提供外联服务,将区县外联线路统一连接到下一代防火墙上,实现边界统一防护隔离。
◆运维区:
增加部署日志审计设备,实现对网络日志的集中收集与分析;部署运维审计设备,实现对服务器以及网络设备的运维审计,同时加强权限分配与管理。
◆核心区:
提供高效数据交换与静态路由功能,通过配置路由策略及访问控制列表,实现不同区域的访问控制。
◆服务器接入区:
主要为统计局自有服务器。
3、系统总体结构和逻辑结构
按照“分域保护、边界隔离、访问控制、多层防御”的原则,对现有网络进行优化调整,配置合理的安全策略。
整改后网络拓扑图如下所示:
4、技术路线
采用主流安全厂家设备,采用成熟安全技术,依据信息安全相关技术标准,对系统加强安全防护。
第四章项目运维管理
1、人员配置计划
序号
类别
职位
人数
1
管理团队
项目经理
1
2
实施组
组长
1
组员
4
3
测试组
组长
1
组员
1
4
合计
8
2、人员培训方案
培训是平台建设的一个重要组成部分。
在项目的不同阶段要求提供相关的培训课程,面向系统管理员、各级领导、系统操作人员等不同群体提供系统化、定制化和有针对性的培训。
系统培训由承建商采取集中方式,向客户方提供标准课程或专项课程培训服务。
A、培训目标
总体目标是:
通过硬件设备提供商的一系列专业化培训,使信息安全系统操作人员和系统运行维护管理人员等能够正确、熟练、有效地利用本系统进行信息系统的安全业务的操作、处理、管理和维护。
B、培训对象
系统运行维护管理人员
系统运行维护管理人员主要包括:
网络管理员、系统管理员等。
对网络管理员的培训,可以熟悉自己的网络环境。
遇到网络问题可以排除网络问题。
做到简单的网络配置和网络规划,保证单位网络畅通。
对系统管理员的培训,可以熟练掌握本系统网络和应用系统的各项管理维护技术,能够熟练地进行系统的管理和维护工作,独立排除常见故障,保证系统安全、稳定、有效运行。
承建商组织专人对系统运行管理员进行每年1-2次新技术、新产品等方面的培训,确保其掌握系统相关的最新技术。
C、现场培训
承建商的资深工程师及原厂安装调试工程师在设备的安装调试过程中直接针对我方相关人员进行现场教学,即时指导,增加我方相关人员的学习机会,使之能更形象地了解厂商的产品,直接更迅速地掌握各项知识和技能。
2、实施进度计划
序号
服务项目
工期
服务内容
1
准备阶段
2天
明确项目组织架构、确认人员角色安排。
2
环境确认
1天
确认项目实施环境。
3
产品部署
7天
马鞍山市统计局等级保护安全建设项目安装调试,整体调试。
4
安全加固
7天
设备部署完毕后,根据业务系统实际应用,结合信息安全等级保护技术要求,对系统进行安全加固服务(包括物理安全加固、主机安全加固、网络设备安全加固服务、安全设备安全加固优化服务、数据库系统安全加固服务、管理制度完善)。
5
产品培训
2天
提供对系统使用人员的产品使用、硬件部署维护培训服务。
6
安全测评
28天
通过安全等级测评(二级)
7
售后服务
按合同规定
日常系统维护;7*24小时电话服务;系统重大故障的现场维护服务;免费质保期内每年2次现场巡检服务等。
第五章效益与评价指标分析
1、效益分析
统计信息化建设是统计系统“四大工程”(基本单位名录库、企业一套表制度、数据采集处理软件系统和联网直报系统)的重要基础,实现统计信息化是统计工作今后发展的方向。
随着“四大工程”的成功实施和深入推进,网络化工作方式已成为统计部门数据采集、数据处理、数据共享的主要途径,伴随统计信息化应用水平的不断提高和移动终端数据采集等新技术的广泛使用,统计业务与信息化高度融合,统计生产方式出现了巨大转变,统计信息系统及数据安全性都面临着巨大的挑战,信息安全基础建设和安全管理工作急待加强。
为加快统计信息系统的网络系统安全建设,提高统计业务网络平台及应用系统的安全防护能力,有效防止来自外部和内部的各种入侵和攻击,防止非授权访问,防范各种入侵、篡改和泄密等行为,防止信息泄密和被破坏,按照信息安全建设必须综合应用多种先进防范技术,优化整合各种安全管理策略,对统计信息系统的骨干网络和应用系统实现安全防护,降低信息系统安全风险,避免信息系统安全事故,保障统计业务非涉密信息系统的安全稳定运行。
2、项目评价指标分析
对已完成信息系统安全相关工作的,要按照《信息安全等级保护管理办法》和有关技术标准,定期组织开展信息系统安全等级保护的系统建设或安全整改、风险评估、自查自纠等后续工作,完善信息安全管理规定,提升信息系统安全防范整体水平。
为了进一步推动和落实信息安全等级保护工作的实施,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2004年11月联合签发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称《实施意见》),文中明确提出了信息安全等级保护是今后我们国家信息安全的基本政策和根本方法,并强调国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,其中包括国家事务处理信息系统(党政机关办公系统)。
第六章注意事项(请投标方仔细阅研)
1)单独采购的正版数据库软件、操作系统、
升级会员 