教育行业等级保护二级解决方案V1.docx
《教育行业等级保护二级解决方案V1.docx》由会员分享,可在线阅读,更多相关《教育行业等级保护二级解决方案V1.docx(21页珍藏版)》请在冰点文库上搜索。
教育行业等级保护二级解决方案V1
教育行业等级保护(二级)解决方案
2017年1月
文档信息
作者:
何汉强
日期:
2017年1月19日
复审人:
日期:
单击或点击此处输入日期。
密级:
☐公开资料☒内部资料☐保密资料☐机密资料
文档类型:
☐管理文档☐计划文档☐需求文档☒设计文档
☐测试文档☐用户文档☐工程文档☐维护文档
版本控制
版本编号
修订人
修订日期
修订说明
V1.0
何汉强
2017.01.19
创建文档
版权声明
Copyright©2017福建六壬网安股份有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
1项目概述
1.1项目背景
随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。
为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。
条例中规定:
我国的“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。
2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中指出:
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,党中央、国务院对信息安全等级保护工作非常重视。
2007年又明确要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发《信息安全等级保护管理办法的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号),教育部印发《教育行业信息系统安全等级保护定级工作指南》。
等级保护是国家信息安全保障的基本制度、基本策略和基本方法,开展信息安全等级保护工作,就是为了解决国家信息安全面临的威胁和存在的主要问题,进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展。
根据学校工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对学校重要信息系统进行等级保护咨询和整改建设,为学校信息系统的安全运行提供有力的保障
1.2项目目标
本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合学校信息系统的安全需求分析,确定学校信息系统安全等级保护的级别,对信息系统进行差距分析并提出整改建议,对学校信息系统进行整改,满足等级保护的要求,协助学校信息系统通过测评,更好地保障学校各业务系统的正常运行,全面提升学校信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。
1.3项目内容
针对学校业务系统包括网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统及其基础设施包括机房、服务器主机、数据库系统,网络设备和安全设备开展信息等级保护安全服务工作,参照《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》等标准规范要求,结合教育行业特点和安全需求,做好信息安全等级保护二级备案工作并通过测评中心测评。
2等级保护咨询服务
2.1咨询服务依据
2.1.1政策依据
⏹《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
⏹《关于转发<国家信息化领导小组关于加强信息安全保障工作的意见>的通知)(中办[2003]27号文件)
⏹《关于印发<信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文件)
⏹《关于印发<2006—2020年国家信息化发展战略>的通知》(中办发〔2006〕11号)
⏹《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)
⏹《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
⏹《信息安全等级保护备案实施细则》(公信安【2007】1360号)
⏹《公安机关信息安全等级保护检查工作规范》(公信安【2008】736号)
⏹《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
⏹《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)
⏹《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称1126号文件)
⏹《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)(以下简称85号文件)
⏹各地方、行业相关政策要求
⏹等等
2.1.2标准依据
⏹GB17859-1999《计算机信息系统安全保护等级划分准则》
⏹GB/T22240-2008《信息安全技术信息系统安全保护等级定级指南》
⏹GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
⏹GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
⏹GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》
⏹信息安全技术《信息系统安全等级保护测评要求》
⏹GB/T20270-2006《信息安全技术网络基础安全技术要求》
⏹GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
⏹GB/T20272-2006《信息安全技术操作系统安全技术要求》
⏹GB/T20273-2006《信息安全技术数据库管理系统通用安全技术要求》
⏹GB/T20282-2006《信息系统安全工程管理要求》
⏹GA/T671-2006《信息安全技术终端计算机系统安全等级技术要求》
⏹GA/T709-2007《信息安全技术信息系统安全等级保护基本模型》
⏹ISO/IEC27000系列《信息系统安全管理体系标准》
⏹等等
2.2咨询服务原则
在本次等级保护咨询方案的设计应遵从以下原则:
⏹最小影响原则:
应尽可能小的影响系统和网络的正常运行,不能对现有网络和系统的运行和业务的正常提供产生明显影响;
⏹标准性原则:
方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行;
⏹规范性原则:
工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
⏹可控性原则:
方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证学校对于服务工作的可控性;
⏹整体性原则:
应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
⏹保密性原则:
对过程数据和结果数据严格保密,所有参与项目人员均有保密协议。
2.3等级保护咨询服务介绍
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。
等级保护的精髓思想就是“等级化”。
等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。
之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。
”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级
确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计
根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.确定安全域安全要求
参照国家相关等级保护安全要求,设计不同安全域的安全要求。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4.评估现状
根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。
通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
5.安全保障体系方案设计
根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。
包括:
各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。
6.安全建设
根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。
7.持续安全运维
通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
而应该特别注意的是:
等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
3等级保护差距分析
根据福建省《福建省教育行业信息系统安全等级保护定级指南》的等级保护控制项防护措施,对照自身建设进行差距分析,等级保护控制项防护措施差距项如下表:
安全类别
控制项
主要安全措施要求(二级
保护措施差距项
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
防雷击
机房计算机系统接地符合GB50057-1994《建筑物防雷设计规范》中计算机机房防雷要求
防火
机房设置灭火设备和火宅自动报警系统
电力供应
机房及关键设备应配置UPS备份电力供应
环境监控
机房设置温,湿度自动调节设施
网络安全
结构安全
网络应按职能和重要程度不同划分网段
访问控制
网络边界部署软或硬件防火墙
安全审计
网络日志审计,网络运维管理安全审计
边界完整性检查
采用准入控制系统,实现准入控制,非法外联检查
入侵防范
采用入侵检测系统、入侵防御系统实现对入侵行为的识别和监控。
采用威胁预警系统,实现对APT攻击、WEB威胁、邮件威胁等安全事件的识别。
主机安全
入侵防范
采用服务器安全加固
安全审计
采用终端管理系统实现安全审计
恶意代码防范
防病毒软件
应用安全
身份鉴别
采用电子认证措施
软件容错
所有对外发布WEB应用,都应具备7*24小时网站安全监控措施,安全监控信息必须与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。
采用软或硬件防篡改系统防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏,保护网站安全运行。
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
4等级保护整改建议
4.1等级保护整改保护措施
安全类别
控制项
主要安全措施要求(二级)
六壬网安
保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
咨询服务(管理梳理)
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
机房建设
防雷击
机房计算机系统接地符合GB50057-1994《建筑物防雷设计规范》中计算机机房防雷要求
机房建设
防火
机房设置灭火设备和火宅自动报警系统
机房建设
电力供应
机房及关键设备应配置UPS备份电力供应
机房建设
环境监控
机房设置温,湿度自动调节设施
机房建设
网络安全
结构安全
网络应按职能和重要程度不同划分网段
咨询服务(安全域梳理)
访问控制
网络边界部署软或硬件防火墙
防火墙
安全审计
网络日志审计,网络运维管理安全审计
运维安全管理系统
边界完整性检查
采用准入控制系统,实现准入控制,非法外联检查
终端管理系统
入侵防范
采用入侵检测系统、入侵防御系统实现对入侵行为的识别和监控。
入侵防御系统
采用威胁预警系统,实现对APT攻击、WEB威胁、邮件威胁等安全事件的识别。
威胁预警系统
主机安全
入侵防范
采用服务器安全加固
咨询服务(安全加固)
安全审计
采用终端管理系统实现安全审计
终端管理系统
恶意代码防范
防病毒软件
网络版防病毒软件
应用安全
身份鉴别
采用电子认证措施(CAS)
认证系统(无)
软件容错
所有对外发布WEB应用,都应具备7*24小时网站安全监控措施,安全监控信息必须与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。
应用安全防护系统(预警版)
采用软或硬件防篡改系统防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏,保护网站安全运行。
主页防篡改
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
存储
4.2网络安全
1、防火墙
采用防火墙技术,对学校进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的DOS和DDOS攻击。
通过合理布局,形成多级的纵深防御体系。
2、运维安全管理系统
在运维管理域的交换机处旁路部署一台运维安全管理系统。
实现对运维人员操作服务器、网络设备、数据库过程的授权、监控与审计,实现对IT运维“事前授权、事中监控、事后审计”全面监管,全面解决各种复杂环境下的运维安全问题,提升企业IT运维管理水平。
3、终端管理系统
在运维管理域部署一套终端安全管理系统,各个终端安装终端安全管理系统客户端,终端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
4、入侵防御系统
在网络边界处部署一台入侵防护系统。
采用透明方式接入,IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。
它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截,对网络进行有效的防御保护。
5、威胁预警系统
在核心交换机部署一台威胁预警系统,威胁预警系统支持APT和针对性攻击;零日恶意软件和文档漏洞;攻击者的网络活动;Web威胁(漏洞、隐蔽强迫下载);电子邮件威胁(网络钓鱼、鱼叉式网络钓鱼);数据隐蔽泄露;Bot、特洛伊木马、蠕虫病毒;按键记录软件和犯罪软件;破坏性应用程序等。
4.3主机安全
1、终端管理系统
在运维管理域部署一套终端安全管理系统,各个终端安装终端安全管理系统客户端,终端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
(与网络安全共用一套)
2、网络版防病毒软件
部署一套网络版防病毒软件,各个终端安装防病毒客户端。
对主机终端进行病毒、恶意代码的查杀。
4.4应用安全
1、应用安全防护系统(预警版)
应用安全防护系统基于创新的预警技术、精确的安全威胁与攻击识别、全面的动态的攻击行为与安全隐患分析、有机结合不同层面的安全技术与智能学习自动形成安全生态体系,通过事前预警行为预先采取相应的防御措施来提升网络与应用的安全。
同时,通过有效的还原黑客攻击行为与完整的攻击事件记录,全面掌握信息安全态势,为预警、应急响应和事件调查提供支撑。
在网站部署应用安全防护系统进行7*24小时网站安全监控措施,同时可以与省网络与信息安全应急处置平台对接,防止非法用户利用恶意提交、扫描等方式攻击。
2、网站防篡改系统
在学校网站部署一套网站防篡改系统,网站防篡改系统通过文件底层驱动技术对网站目录提供全方位的保护,防止黑客、病毒等对目录中的文件进行非法篡改和破坏。
防篡改系统保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站被非法修改的问题。
4.5数据安全与备份恢复
1、存储
存储系统主要是为各安全管控中心的数据库建立数据存储与备份机制。
考虑学校的数据存储与备份需求,并尽可能节省项目投资,采用NAS技术构建存储备份系统。
NAS是将存储设备连接到现有的网络上,或称网络直联存储设备,提供数据服务。
简单的说,是通过与网络直接连接的磁盘阵列,无需服务器直接上网,不依赖通用的操作系统,而采用一个面向用户设计的、专门用于数据存储的简化操作系统;内置了与网络连接所需的协议,整个系统的管理和设置较简单。
具备了磁盘阵列的所有主要特征:
高容量、高效能、高可靠。
5等级保护整改投资概算
5.1编制说明
5.1.1编制依据
(1).国家发改委、建设部《工程勘察设计收费标准(2002年修订本)》;
(2).国家发改委、建设部《建设项目经济评价方法与参数(第二版)》;
(3).福建省“数字福建”的相关规范标准;
(4).通信信息工程建设的有关费率标准;
(5).有关生产厂商的市场报价及其它有关工程中设备合同价;
(6).网络交换机、PC服务器等设备参照《关于数字福建建设项目硬件设备定点协议采购入围产品的公告》中的定点协议相关规定进行采购;
(7).根据以往经验估列
5.1.2各种费率的取定
本项目工程的投资概算具体的费率取定如下:
(1).硬件设备购置费用根据闽数字办技术〔2005〕8号,并参考市场价格确定,设备安装调试费已含在设备费用中;
(2).项目系统集成与人员培训费用按工程费用的3%取定;
(3).项目系统监理费用按工程费用的2%取定;
(4).项目系统测试与安全测评费用按工程费用的2%取定;
(5).项目可研暨初设费用包括可行性研究报告暨初步设计方案编制费、项目调研等项目前期费用,按工程费用的3%取定;
(6).不计取预备费;
(7).软件开发费用按0.8万元/人月估算,包括前期研发和现场实施的人员工资、补助、税费、管理费等;
本报告投资概算只包括项目建设期的资金投入,建成后对系统进行正常运行和维护更新工作所需的资金,建议有关部门在每年安排项目资金时予以考虑。
项目系统运行维护费每年建议按系统软硬件工程费用的6%取定。
5.2概算表格
5.2.1项目总投资概算
表41项目投资概算总表
序号
项目费用名称
投资概算(万元)
备注
1
工程费用
1.1
等级保护咨询服务费用(二级)
表4-2
1.2
等级保护测评服务费用(二级)
表4-3
1.3
等级保护整改安全建设工程费用
表4-4
2
项目建设其他费用
2.1
系统集成与人员培训费用
工程费用×3%
2.2
项目系统监理费用
工程费用×2%
2.3
系统测试及安全评测费用
工程费用×2%
2.4
项目管理与可研暨初设费用
工程费用×3%
3
项目总投资
5.2.2分项投资概算清单
表4-2等级保护咨询服务费用(二级)概算表
编号
项目名称
主要配置及性能要求
数量
单价
(万元)
总价
(万元)
1
等级保护咨询服务(二级)
网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统这五个系统的等级保护咨询服务费用
5
表4-2等级保护测评服务费用(二级)概算表
编号
项目名称
主要配置及性能要求
数量
单价
(万元)
总价
(万元)
1
系统测评费用
(二级)
网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统这五个系统的测评费用,为提交给测评中心的费用
5
表44等级保护整改安全建设工程费用
编号
项目名称
主要配置及性能要求
数量
单价
(万元)
总价
(万元)
1
防火墙
2
运维安全管理系统
3
终端管理系统
4
入侵防御系统
5
威胁预警系统
6
网络版防病毒软件
7
应用安全防护系统(预警版)
8
网站防篡改系统
9
存储
小计:
6六壬网安等保咨询服务的优势
⏹注册资金3380.38万元。
拥有专业化安全服务团队,具有10名信息安全等级保护安全建设服务认证工程师,以及7名CISP认证工程师,6名认证项目经理。
⏹福建省内教育行业等级保护工作2015年底才开始启动,六壬网安公司积极配合省测评中心推动省内多所高校的等保工作,其中福州大学的等保工作为福建省内首个典型高校案例。
⏹是福建省信息化标准化技术委员会信息安全标准工作组成员,参与教育行业等保标准的编写。
⏹是中国信息安全测评中心认定的《信息安全服务资质(安全工程类一级)》的公司。
⏹是中国信息安全认证中心(ISCCC)认证的《信息安全风险评估服务资质三级》的公司。
⏹是中国信息安全认证中心(ISCCC)认证的《信息安全运维服务资质三级》的公司。
⏹是中国信息安全认证中心(ISCCC)认证的《信息安全应急处理服务资质三级》的公司。
⏹通过ISO27000及ISO9001国际质量体系认定,具有高标准化项目管理及质量控制。
⏹与安全测评中心定期进行学术研讨,提炼出了业界领先的测评方法论。
⏹规范的安
升级会员 