信息平安等级保护二级建立案2021 年 3 月目录1 .工程概述31.1. 工程建立目标31.2. 工程参考标准41.3. 案设计原那么52. 系统现状分析62.1. 系统定级情况说明 62.2. 业务系统说明62.3. 网络构造说明73. 平安需求分析73.1. 物理平安需求分析73.2. 网络平安需求分析83.3. 主机平安需求分析83.4. 应用平安需求分析83.5. 数据平安需求分析93.6. 平安管理制度需求分析94. 总体案设计94.1. 总体设计目标 94.2. 总体平安体系设计94.3. 总体网络架构设计124.4. 平安域划分说明 125. 详细案设计技术局部135.1. 物理平安135.2. 网络平安135.2.1. 平安域边界隔离技术135.2.2. 入侵防技术135.2.3. 网页防篡改技术135.2.4. 链路负载均衡技术145.2.5. 网络平安审计145.3. 主机平安 145.3.1. 数据库平安审计145.3.2. 运维堡垒主机145.3.3. 主机防病毒技术155.4. 应用平安 156. 详细案设计管理局部166.1. 总体平安针与平安策略166.2. 信息平安管理制度176.3. 平安管理机构176.4. 人员平安管理186.5. 系统建立管理186.6. 系统运维管理186.7. 平安管理制度汇总207. 咨询效劳和系统测评217.1. 系统定级效劳217.2. 风险评估和平安加固效劳217.2.1. 漏洞扫描217.2.2. 渗透测试217.2.3. 配置核查217.2.4. 平安加固227.2.5. 平安管理制度编写 237.2.6. 平安培训237.3. 系统测评效劳248. 工程预算与配置清单248.1. 工程预算一期等保二级根本要求248.2. 利旧平安设备使用说明251 .工程概述1.1. 工程建立目标为了进一步贯彻落实教育行业信息平安等级保护制度，推进学校信息平安等级保护工作，依照？计算机信息系统平安保护等级划分准那么 ？、？信息系统平安等级保护根本要求 ？、？言息系统平安保护等级定级指南 坐标 准，对学校的网络和信息系统进展等级保护定级，按信息系统逐个编制定级报告和定级备案表， 并指导学校信息化人员将定级材料提交当地公安机关备案。本案中，通过为满足物理平安、网络平安、主机平安、应用平安、数据平安五个面根本技术要求进展技术体系建立；为满足平安管理制度、平安管理机构、人员平安管理、系统建立管理、系统运维管理 五个面根本管理要求进展管理体系建立。使得学校信息系统的等级保护建立案最终既可以满足等级保护的相关要求，又能够全面为学校的业务系统提供立体、纵深的平安保障防御体系，保证信息系统整体的平安保护能力。本工程建立将完成以下目标：1、以学校信息系统现有根底设施，建立并完成满足等级保护二级系统根本要求的信息系统，确保学校的 整体信息化建立符合相关要求。2、建立平安管理组织机构。成立信息平安工作组，学校负责人为平安责任人，拟定实施信息系统平安等级保护的具体案，并制定相应的岗位责任制，确保信息平安等级保护工作顺利实施。3、建立完善的平安技术防护体系。根据信息平安等级保护的要求，建立满足二级要求的平安技术防护体系。4、建立健全信息系统平安管理制度。根据信息平安等级保护的要求，制定各项信息系统平安管理制度，对平安管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。5、制定学校信息系统不中断的应急预案。应急预案是平安等级保护的重要组成局部，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进展。6、平安培训：为学校信息化技术人员提供信息平安相关专业技术知识培训。1.2. 工程参考标准我司遵循信息平安等级保护指南等最新平安标准以及开展各项效劳工作，配合学校的等级保护测评工作。本工程建立参考依据：指导 思想中办200327号文件关于转发？言息化领导小组关于加强信息平安保障工作的意见？的通知 公通字200466号文件关于印发？言息平安等级保护工作的实施意见？的通知公通字200743号文件关于印发？言息平安等级保护管理方法？的通知公信安20211429?关于开展信息平安等级保护平安建立整改工作的指导意见？全国人大？关于加强网络信息保护的决定？国发202123号？国务院关于大力推进信息化开展和切实保障信息平安的假设干意见？国发20217号？国务院关于推进物联网有序安康开展的指导意见？公信安20212182号？关于加强级重要信息系统平安彳障工作有关事项的通知？公信安20212182 号等级 保护GB 17859-1999计算机信息系统平安保护等级划分准那么GB/T25058-2021 信息系统平安等级保护实施指南系统 定级GB/T 22240-2021信息平安技术信息系统平安保护等级定级指南技术 面GB/T25066-2021信息平女产品类别与代码GB/T17900-1999 网络代理效劳器的平安技术要求GB/T20010-2005GB/T20281-2006GB/T18018-2007GB/T20008-2005GB/T20272-2006GB/T20273-2006GB/T20009-2005GB/T20275-2006GB/T20277-2006GB/T20279-2006GB/T20278-2006GB/T20280-2006包过滤防火墙评估准那么防火墙技术要求和测试评价法路由器平安技术要求路由器平安评估准那么操作系统平安技术要求数据库管理系统平安技术要求数据库管理系统平安评估准那么GB/T20945-2007GB/T 21028-2007GB/T25063-2021GB/T 21050-2007GB/T28452-2021GB/T29240-2021GB/T28456-2021GB/T28457-2021信息系统平安审计产品技术要求和测试评价法效劳器平安技术要求效劳器平安侧评要求网络交换机平安技术要求EAL3应用软件系统通用平安技术要求终端计算机通用平安技术要求与测试评价法IPsec协议应用测试规SSL协议应用测试规GB/T20269-2006GB/T28453-2021GB/T20984-2007GB/T24364-2021GB/T20985-2007GB/T20986-2007GB/T20988-2007信息系统平安管理要求 信息系统平安管理评估要求 信息平安风险评估规 信息平安风险管理指南 信息平安事件管理指南 信息平安事件分类分级指南 信息系统灾难恢复规入侵检测系统技术要求和测试评价法 网络和终端设备隔离部件测试评价法 网络和终端设备隔离部件平安技术要求 网络脆弱性扫描产品技术要求 网络脆弱性扫描产品测试评价法案设 GB/T25070-2021信息系统等级保护平安设计技术要求计等保GB/T28448-2021信息系统平安等级保护测评要求测评GB/T28449-2021信息系统平安等级保护测评过程指南1.3. 案设计原那么针对本次工程，等级保护整改案的设计和实施将遵循以下原那么：XX性原那么：我司对平安效劳白实施过程和结果将格XX,在未经用户授权的情况下不会泄露给任单位和个人，不会利用此数据进展任侵害客户权益的行为；标准性原那么：效劳设计和实施的全过程均依据国或国际的相关标准进展；根据等级保护二级根本要求，进展分等级分平安域进展平安设计和平安建立。规性原那么：我司在各项平安效劳工作中的过程和文档，都具有很好的规性?市学家科技XX 平安效劳实施规?，可以便于工程的跟踪和控制；可控性原那么：效劳所使用的工具、法和过程都会在深信服与用户双认可的围之，效劳进度遵守进度表的安排，保证双对效劳工作的可控性；整体性原那么：效劳的围和容整体全面，涉及的 IT 运行的各个层面，防止由于遗漏造成未来的平安隐患；最小影响原那么：效劳工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。体系化原那么：在体系设计、建立中，深信服充分考虑到各个层面的平安风险，构建完整的立体平安防护体系。先进性原那么：为满足后续不断增长的业务需求、对平安产品、平安技术都充分考虑前瞻性要求，采用先进、成熟的平安产品、技术和先进的管理法。分步骤原那么：根据用户要求，对用户平安保障体系进展分期、分步骤的有序部署。效劳细致化原那么：在工程咨询、建立过程中深信服将充分结合自身的专业技术经历与行业经历相结合，结合用户的实际信息系统量身定做才可以保障其信息系统平安稳定的运行。2 . 系 统现状分析2.1. 系统定级情况说明学校综合考虑了学校信息系统、 学校信息系统的业务信息和系统效劳类型， 以及其受到破坏时可能受到侵害的客体以及受侵害的程度，经学校省公安厅的批准，已将学校系统等级定为等级保护第二级 S2A2G2 ，整体网络信息化平台按照二级进展建立。2.2. 业 务系统说明学校本次参加整改的共有X 个信息系统，分别是学校系统、学校系统、学校系统、学校系统，具体情况介绍如下：学校门户系统： 2021 年门户网络版历经系统开发、模拟测试、网络、硬件设备安装部署，在试点和-.可修编.实施过程当中发现系统仍有缺乏之处，需要对系统进展深入完善和改良，主要考虑到由于门户网络版作为学校集中部署的网络化重要业务系统，其具有应用面广、用户规模大，并涉及到学校对互联网形象，以及基于公众网上部署的特性，因此系统自身和运行环境均存在一定的平安风险，在数据传输、平安加密、网络监控、 防入侵等面的必须要建立一套更有效更完善的平安保护体系和措施。学校OA系统：目前学校旧OA系统准备停用，并且已经开发和准备上线新的业务系统，新的业务系统目前准备对公网直接公开访问，因此涉及到的能够访问到业务系统的规模比拟大，而且整个网络相对会比拟复杂、流量多变，所以系统任有较多缺乏， 在本次建立过程中应该加强平安建立，系统自身和运行环境均存在一定的平安风险，在数据传输、平安加密、网络监控、防入侵等面的必须要建立一套更有效更完善的平安保护体系和 措施。2.3. 网络构造说明学校信息系统网络拓扑图现状如下:IMIEMETINTEAKT?褛4楼 堪 Vian 11 四敕 二教 扳堂图书_学槎学喈馆五最学楼3 .平安需求分析3.1. 物理平安需求分析目前在机房建立面还存在如下问题:1、 物理访问控制；2、 防雷击；3、 防火墙；4、 防水防潮；5、 温湿度控制；3.2. 网 络平安需求分析边界入侵防：该信息系统无法实现对边界的访问控制，需要部署下一代署防火墙等平安设备来实现。防 web 攻击和网页防篡改：该信息系统无法实现对边界的访问控制，需要部署下一代署防火墙等平安设备来实现。平安域边界平安审计： 该信息系统无法实现对边界的访问控制，