收藏 分享(赏)
下载资源 加入VIP,免费下载

教育行业等级保护(二级)解决方案v1.docx

上传人:cjc2202537 文档编号:209558 上传时间:2018-03-24 格式:DOCX 页数:23 大小:822.11KB
下载 相关 举报
教育行业等级保护(二级)解决方案v1.docx_第1页
第1页 / 共23页
教育行业等级保护(二级)解决方案v1.docx_第2页
第2页 / 共23页
教育行业等级保护(二级)解决方案v1.docx_第3页
第3页 / 共23页
教育行业等级保护(二级)解决方案v1.docx_第4页
第4页 / 共23页
教育行业等级保护(二级)解决方案v1.docx_第5页
第5页 / 共23页
点击查看更多>>
资源描述

1、教育行业等级保护(二级)解决方案2017 年 1 月教育行业等级保护(二级)解决方案文档信息作 者:何汉强日 期:2017 年 1 月 19 日复 审 人:日 期:单击或点击此处输入日期。密 级:公开资料 内部资料 保密资料 机密资料文档类型:管理文档 计划文档 需求文档 设计文档测试文档 用户文档 工程文档 维护文档版本控制版本编号 修订人 修订日期 修订说明V1.0 何汉强 2017.01.19 创建文档版权声明Copyright 2017 福建六壬网安股份有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。教育

2、行业等级保护(二级)解决方案福建六壬网安股份有限公司 I目 录1 项目概述 .11.1 项目背景 .11.2 项目目标 .21.3 项目内容 .22 等级保护咨询服务 .32.1 咨询服务依据 .32.1.1 政策依据 .32.1.2 标准依据 .42.2 咨询服务原则 .42.3 等级保护咨询服务介绍 .53 等级保护差距分析 .84 等级保护整改建议 .104.1 等级保护整改保护措施 .104.2 网络安全 .114.3 主机安全 .124.4 应用安全 .124.5 数据安全与备份恢复 .135 等级保护整改投资概算 .145.1 编制说明 .145.1.1 编制依据 .14教育行业等

3、级保护(二级)解决方案福建六壬网安股份有限公司 II5.1.2 各种费率的取定 .145.2 概算表格 .155.2.1 项目总投资概算 .155.2.2 分项投资概算清单 .156 六壬网安等保咨询服务的优势 .177 典型成功案例列表 .18教育行业等级保护(二级)解决方案福建六壬网安股份有限公司 11 项目概述1.1 项目背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,

4、维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994 年国务院颁布了中华人民共和国计算机信息系统安全保护条例 。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 ”1999年 9 月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准 GB 17859-1999计算机信息系统安全保护等级划分准则 ,为等级保护这一安全国策给出了技术角度的诠释。2003 年的国家信息化领导小组关于加强信息安全保障工作的意见 (27 号文)中指出:“要重点保护基础信息网络和关系国家安全、经

5、济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。 等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家一直在大力推行此项制度的建立与实施,党中央、国务院对信息安全等级保护工作非常重视,党中央、国务院对信息安全等级保护工作非常重视。 2007 年又明确要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同印发信息安全等级保护管理办法的通知 (公通字2007

6、43 号)和关于开展全国重要信息系统安全等级保护定级工作的通知 (公信安2007 861 号) ,教育部印发教育行业信息系统安全等级保护定级工作指南 。等级保护是国家信息安全保障的基本制度、基本策略和基本方法,开展信息安全等级保护工作,就是为了解决国家信息安全面临的威胁和存在的主要问题,进一步提高信息安全Comment A1: 根据学校实际情况填写,这里举例教育行业等级保护(二级)解决方案福建六壬网安股份有限公司 2的保障能力和防护水平,保障和促进信息化建设的健康发展。根据学校工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国内标准,对学校重要信息系统进行等级保护咨询和整改建设,为学

7、校信息系统的安全运行提供有力的保障1.2 项目目标本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合学校信息系统的安全需求分析,确定学校信息系统安全等级保护的级别,对信息系统进行差距分析并提出整改建议,对学校信息系统进行整改,满足等级保护的要求,协助学校信息系统通过测评,更好地保障学校各业务系统的正常运行,全面提升学校信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。1.3 项目内容针对学校业务系统包括网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公自动化系统及其基础设施包括机房、服务器主机、数据库系统,网络设备和安全设备开展信息等级保护安全服务工

8、作,参照GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求等标准规范要求,结合教育行业特点和安全需求,做好信息安全等级保护二级备案工作并通过测评中心测评。教育行业等级保护(二级)解决方案福建六壬网安股份有限公司 32 等级保护咨询服务2.1 咨询服务依据2.1.1 政策依据 中华人民共和国计算机信息系统安全保护条例 (国务院 147 号令) 关于转发的通知)(中办200327 号文件 ) 关于印发 的通知(公通字200466 号文件) 关于印发 的通知(中办发2006 11 号) 关于印发 的通知 (公通字200743 号) 关于开展全国重要信息系统安全等级保护定级工作

9、的通知 (公通字2007861 号) 信息安全等级保护备案实施细则 (公信安【2007】1360 号) 公安机关信息安全等级保护检查工作规范 (公信安【2008】736 号) 关于开展信息安全等级保护安全建设整改工作的指导意见 (公信安20091429 号) 关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070 号) 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 (卫办综函2011 1126 号) (以下简称 1126 号文件) 卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185 号) (以下简称 85 号文件) 各地方、行业相关政策要求 等等教育行

10、业等级保护(二级)解决方案福建六壬网安股份有限公司 42.1.2 标准依据 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南 GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T25070-2010 信息安全技术 信息系统等级保护安全设计技术要求 信息安全技术信息系统安全等级保护测评要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息

11、系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GB/T 20282-2006信息系统安全工程管理要求 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型 ISO/IEC 27000 系列 信息系统安全管理体系标准 等等2.2 咨询服务原则在本次等级保护咨询方案的设计应遵从以下原则: 最小影响原则:应尽可能小的影响系统和网络的正常运行,不能对现有网络和系统的运行和业务的正常提供产生明显

12、影响;教育行业等级保护(二级)解决方案福建六壬网安股份有限公司 5 标准性原则:方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行; 规范性原则:工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制; 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证学校对于服务工作的可控性; 整体性原则:应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患; 保密性原则:对过程数据和结果数据严格保密, 所有参与项目人员均有保密协议。2.3 等级保护咨询服务介绍“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等

13、级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化” 。等级保护可以把业务系统、信息资产、安全边界等进行“等级化” ,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分,其中技术部分根据信息系统安全等级保护基本要求分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进教育行业等级保护(二级)解决方案福建六壬网安股份有限公司 6行建设;而管理部分根据信息系统安全等级保护基本要求则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既

14、有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。 ”根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1. 系统识别与定级确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。3. 确定安全域安全要求参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。4. 评估现状根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。5. 安全保障体系方案设计

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 教育学

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报