教育行業等級保護（二級）處理方案2017年1月文檔信息作者：何漢強日期：1復審人：日期：單擊或點擊此處輸入日期。密級：?公開資料?內部資料?保密資料?機密資料文檔類型：?管理文檔?計劃文檔?需求文檔?設計文檔?測試文檔?用戶文檔?工程文檔?維護文檔

版本控制版本編號修訂人修訂日期修訂說明V1.0何漢強.01.19創建文檔版權申明Copyright?福建六壬網安股份版權全部，保留一切權利。非經本企業書面許可，任何單位和個人不得私自摘抄、復制本文檔內容部分或全部，并不得以任何形式傳輸。目錄1 項目概述 11.1 項目背景 11.2 項目目標 21.3 項目內容 22 等級保護咨詢服務 32.1 咨詢服務依據 32.1.1 政策依據 32.1.2 標準依據 42.2 咨詢服務標準 42.3 等級保護咨詢服務介紹 53 等級保護差距分析 84 等級保護整改提議 104.1 等級保護整改保護方法 104.2 網絡安全 114.3 主機安全 124.4 應用安全 124.5 數據安全和備份恢復 135 等級保護整改投資概算 145.1 編制說明 145.1.1 編制依據 145.1.2 多種費率取定 145.2 概算表格 155.2.1 項目總投資概算 155.2.2 分項投資概算清單 156 六壬網安等保咨詢服務優勢 177 經典成功案例列表 18項目概述項目背景伴隨中國信息技術快速發展，計算機及信息網絡對促進國民經濟和社會發展發揮著日益關鍵作用，加強對關鍵領域內計算機信息系統安全保護工作監督管理，打擊各類計算機違法犯罪活動，是中國信息化順利發展關鍵保障。為加大依法管理信息網絡安全工作力度，維護國家安全和社會安定，維護信息網絡安全，使中國計算機信息系統安全保護工作走上法制化、規范化、制度化管理軌道，1994年國務院頒布了《中國計算機信息系統安全保護條例》。條例中要求：中國“計算機信息系統實施安全等級保護。安全等級劃分標準和安全等級保護具體措施，由公安部會同相關部門制訂。”1999年9月國家質量技術監督局公布了由公安部提出并組織制訂強制性國家標準GB17859-1999《計算機信息系統安全保護等級劃分準則》，為等級保護這一安全國策給出了技術角度詮釋。《國家信息化領導小組相關加強信息安全保障工作意見》（27號文）中指出：“要關鍵保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面關鍵信息系統，抓緊建立信息安全等級保護制度，制訂信息安全等級保護管理措施和技術指南”。等級保護工作作為中國信息安全保障工作中一項基礎制度，對提升基礎網絡和關鍵信息系統安全防護水平有著關鍵作用，國家一直在大力推行此項制度建立和實施，黨中央、國務院對信息安全等級保護工作很重視，黨中央、國務院對信息安全等級保護工作很重視。又明確要求公安部會同相關部門，抓緊開展并完成關鍵信息系統安全等級保護定級工作，確保國家關鍵信息系統信息網絡安全，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室共同印發《信息安全等級保護管理措施通知》（公通字〔〕43號）和《相關開展全國關鍵信息系統安全等級保護定級工作通知》（公信安〔〕861號），教育部印發《教育行業信息系統安全等級保護定級工作指南》。等級保護是國家信息安全保障基礎制度、基礎策略和基礎方法，開展信息安全等級保護工作，就是為了處理國家信息安全方面臨威脅和存在關鍵問題，深入提升信息安全保障能力和防護水平，保障和促進信息化建設健康發展。依據學校工作要求，結合國家相關政策要求，依據信息安全建設相關國際和中國家標準準，對學校關鍵信息系統進行等級保護咨詢和整改建設，為學校信息系統安全運行提供有力保障項目目標本項目標建設目標是在國家信息系統安全等級保護相關政策和標準指導下，結合學校信息系統安全需求分析，確定學校信息系統安全等級保護等級，對信息系統進行差距分析并提出整改提議，對學校信息系統進行整改，滿足等級保護要求，幫助學校信息系統經過測評，愈加好地保障學校各業務系統正常運行，全方面提升學校信息系統安全保護水平，并達成國家信息安全等級保護相關標準要求。項目內容 針對學校業務系統包含網站群系統、智慧集大系統、一卡通系統、科研管理系統、辦公自動化系統依據學校實際情況填寫，這里舉例及其基礎設施包含機房、服務器主機、數據庫系統，網絡設備和安全設備開展信息等級保護安全服務工作，參考《GB/T22239-依據學校實際情況填寫，這里舉例等級保護咨詢服務咨詢服務依據政策依據《中國計算機信息系統安全保護條例》（國務院147號令）《相關轉發<國家信息化領導小組相關加強信息安全保障工作意見>通知）(中辦[]27號文件)《相關印發<信息安全等級保護工作實施意見>通知》(公通字[]66號文件)《相關印發<—國家信息化發展戰略>通知》(中辦發〔〕11號)《相關印發<信息安全等級保護管理措施>通知》（公通字[]43號）《相關開展全國關鍵信息系統安全等級保護定級工作通知》（公通字[]861號）《信息安全等級保護立案實施細則》（公信安【】1360號）《公安機關信息安全等級保護檢驗工作規范》（公信安【】736號）《相關開展信息安全等級保護安全建設整改工作指導意見》（公信安[]1429號）《相關深入推進中央企業信息安全等級保護工作通知》(公通字[]70號)《衛生部辦公廳相關全方面開展衛生行業信息安全等級保護工作通知》（衛辦綜函〔〕1126號）（以下簡稱1126號文件）《衛生行業信息安全等級保護工作指導意見》通知（衛辦發〔〕85號）（以下簡稱85號文件）各地方、行業相關政策要求等等標準依據GB17859-1999《計算機信息系統安全保護等級劃分準則》GB/T22240-《信息安全技術信息系統安全保護等級定級指南》GB/T22239-《信息安全技術信息系統安全等級保護基礎要求》GB/T25058-《信息安全技術信息系統安全等級保護實施指南》GB/T25070-《信息安全技術信息系統等級保護安全設計技術要求》信息安全技術《信息系統安全等級保護測評要求》GB/T20270-《信息安全技術網絡基礎安全技術要求》GB/T20271-《信息安全技術信息系統通用安全技術要求》GB/T20272-《信息安全技術操作系統安全技術要求》GB/T20273-《信息安全技術數據庫管理系統通用安全技術要求》GB/T20282-《信息系統安全工程管理要求》GA/T671-《信息安全技術終端計算機系統安全等級技術要求》GA/T709-《信息安全技術信息系統安全等級保護基礎模型》ISO/IEC27000系列《信息系統安全管理體系標準》等等咨詢服務標準在此次等級保護咨詢方案設計應遵從以下標準：最小影響標準：應盡可能小影響系統和網絡正常運行，不能對現有網絡和系統運行和業務正常提供產生顯著影響；標準性標準：方案設計和實施應依據中國、國際、等級化保護相關要求、相關標準進行；規范性標準：工作中過程和文檔，含有很好規范性，可方便于項目標跟蹤和控制；可控性標準：方法和過程要在雙方認可范圍之內，安全服務進度要根據進度表進度安排，確保學校對于服務工作可控性；整體性標準：應從各個方面整體考慮，包含了安全包含各個層面，避免因為遺漏造成未來安全隱患；保密性標準：對過程數據和結果數據嚴格保密，全部參與項目人員全部有保密協議。等級保護咨詢服務介紹“等級化”設計方法，是依據需要保護信息系統確定不一樣安全等級，依據安全等級確定不相同級安全目標，形成不相同級安全方法進行保護。等級保護精髓思想就是“等級化”。等級保護能夠把業務系統、信息資產、安全邊界等進行“等級化”，分而治之，從而實現信息安全等級保護“等級保護、適度安全”思想。整體安全保障體系包含技術和管理兩大部分，其中技術部分依據《信息系統安全等級保護基礎要求》分為物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行建設；而管理部分依據《信息系統安全等級保護基礎要求》則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。整個安全保障體系各部分現有機結合，又相互支撐。之間關系能夠了解為“構建安全管理機構，制訂完善安全管理制度及安全策略，由相關人員，利用技術工手段及相關工具，進行系統建設和運行維護。”依據等級化安全保障體系設計思緒，等級保護設計和實施經過以下步驟進行：系統識別和定級確定保護對象，經過分析系統所屬類型、所屬信息類別、服務范圍和業務對系統依靠程度確定系統等級。經過此步驟充足了解系統情況，包含系統業務步驟和功效模塊，和確定系統等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇和安全方法選擇提供依據。安全域設計依據第一步結果，經過分析系統業務步驟、功效模塊，依據安全域劃分標準設計系統安全域架構。經過安全域設計將系統分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。確定安全域安全要求參考國家相關等級保護安全要求，設計不一樣安全域安全要求。經過安全域適用安全等級選擇方法確定系統各區域等級，明確各安全域所需采取安全指標。評定現實狀況依據各等級安全要求確定各等級評定內容，依據國家相關風險評定方法，對系統各層次安全域進行有針對性等級風險評定。并找出系統安全現實狀況和等級要求差距，形成完整正確按需防御安全需求。經過等級風險評定，能夠明確各層次安全域對應等級安全差距，為下一步安全技術處理方案設計和安全管理建設提供依據。安全保障體系方案設計依據安全域框架，設計系統各個層次安全保障體系框架和具體方案。包含：各層次安全保障體系框架形成系統整體安全保障體系框架；具體安全技術設計、安全管理設計。安全建設依據方案設計內容逐步進行安全建設，滿足方案設計做要符合安全需求，滿足等級保護對應等級基礎要求，實現按需防御。連續安全運維經過安全預警、安全監控、安全加固、安全審計、應急響應等，從事前、事中、事后三個方面進行安全運行維護，確保系統連續安全，滿足連續性按需防御安全需求。經過如上步驟，系統能夠形成整體等級化安全保障體系，同時依據安全術建設和安全管理建設，保障系統整體安全。而應該尤其注意是：等級保護不是一個項目，它應該是一個不停循環過程，所以經過整個安全項目、安全服務實施，來確保用戶等級保護建設能夠連續運行，能夠使整個系統伴隨環境改變達成連續安全。等級保護差距分析依據福建省《福建省教育行業信息系統安全等級保護定級指南》等級保護控制項防護方法，對照本身建設進行差距分析，等級保護控制項防護方法差距項以下表需對學校進行調需對學校進行調研，然后依據實際進行差距項填寫安全類別控制項關鍵安全方法要求（二級保護方法差距項物理安全物理訪問控制機房安排專員負責，來訪人員須審批和陪同防偷竊和防破壞暴露在公共場所網絡設備須含有安全保護方法防雷擊機房計算機系統接地符合GB50057-1994《建筑物防雷設計規范》中計算機機房防雷要求防火機房設置滅火設備和火宅自動報警系統電力供給機房及關鍵設備應配置UPS備份電力供給環境監控機房設置溫，濕度自動調整設施網絡安全結構安全網絡應按職能和關鍵程度不一樣劃分網段訪問控制網絡邊界布署軟或硬件防火墻安全審計網絡日志審計，網絡運維管理安全審計邊界完整性檢驗采取準入控制系統，實現準入控制，非法外聯檢驗入侵防范采取入侵檢測系統、入侵防御系統實現對入侵行為識別和監控。采取威脅預警系統，實現對APT攻擊、WEB威脅、郵件威脅等安全事件識別。主機安全入侵防范采取服務器安全加固安全審計采取終端管理系統實現安全審計惡意代碼防范防病毒軟件應用安全身份判別采取電子認證方法軟件容錯全部對外公布WEB應用，全部應含有7*二十四小時網站安全監控方法，安全監控信息必需和省網絡和信息安全應急處理平臺對接，預防非法用戶利用惡意提交、掃描等方法攻擊。采取軟或硬件防篡改系統預防黑客、病毒等對目錄中網頁、電子文檔、圖片、數據庫等任何類型文件進行非法篡改和破壞，保護網站安全運行。數據安全和備份恢復備份和恢復當地數據備份和恢復等級保護整改提議等級保護整改保護方法安全類別控制項關鍵安全方法要求（二級）六壬網安保護方法物理安全物理訪問控制機房安排專員負責，來訪人員須審批和陪同咨詢服務（管理梳理）防偷竊和防破壞暴露在公共場所網絡設備須含有安全保護方法機房建設防雷擊機房計算機系統接地符合GB50057-1994《建筑物防雷設計規范》中計算機機房防雷要求機房建設防火機房設置滅火設備和火宅自動報警系統機房建設電力供給機房及關鍵設備應配置UPS備份電力供給機房建設環境監控機房設置溫，濕度自動調整設施機房建設網絡安全結構安全網絡應按職能和關鍵程度不一樣劃分網段咨詢服務（安全域梳理）訪問控制網絡邊界布署軟或硬件防火墻防火墻安全審計網絡日志審計，網絡運維管理安全審計運維安全管理系統邊界完整性檢驗采取準入控制系統，實現準入控制，非法外聯檢驗終端管理系統入侵防范采取入侵檢測系統、入侵防御系統實現對入侵行為識別和監控。入侵防御系統采取威脅預警系統，實現對APT攻擊、WEB威脅、郵件威脅等安全事件識別。威脅預警系統主機安全入侵防范采取服務器安全加固咨詢服務（安全加固）安全審計采取終端管理系統實現安全審計終端管理系統惡意代碼防范防病毒軟件網絡版防病毒軟件應用安全身份判別采取電子認證方法（CAS）認證系統（無）軟件容錯全部對外公布WEB應用，全部應含有7*二十四小時網站安全監控方法，安全監控信息必需和省網絡和信息安全應急處理平臺對接，預防非法用戶利用惡意提交、掃描等方法攻擊。應用安全防護系統（預警版）采取軟或硬件防篡改系統預防黑客、病毒等對目錄中網頁、電子文檔、圖片、數據庫等任何類型文件進行非法篡改和破壞，保護網站安全運行。主頁防篡改數據安全和備份恢復備份和恢復當地數據備份和恢復存放網絡安全防火墻采取防火墻技術，對學校進行邊界保護，能夠對全部流經防火墻數據包根據嚴格安全規則進行過濾，將全部不安全或不符合安全規則數據包屏蔽，防范各類攻擊行為，杜絕越權訪問，預防非法攻擊，抵御可能DOS和DDOS攻擊。經過合理布局，形成多級縱深防御體系。運維安全管理系統在運維管理域交換機處旁路布署一臺運維安全管理系統。實現對運維人員操作服務器、網絡設備、數據庫過程授權、監控和審計，實現對IT運維“事前授權、事中監控、事后審計”全方面監管，全方面處理多種復雜環境下運維安全問題，提升企業IT運維管理水平。終端管理系統在運維管理域布署一套終端安全管理系統，各個終端安裝終端安全管理系統用戶端，終端安全管理系統對內部終端計算機進行集中安全保護、監控、審計和管理，可自動向終端計算機分發系統補丁，嚴禁關鍵信息經過外設和端口泄漏，預防終端計算機非法外聯，防范非法設備接入內網，有效地管理終端資產等。入侵防御系統在網絡邊界處布署一臺入侵防護系統。采取透明方法接入，IPS是繼“防火墻”、“信息加密”等傳統安全保護方法以后新一代安全保障技術。它監視計算機系統或網絡中發生事件，并對它們進行分析，以尋求危及信息機密性、完整性、可用性或試圖繞過安全機制入侵行為并進行有效攔截，對網絡進行有效防御保護。威脅預警系統在關鍵交換機布署一臺威脅預警系統，威脅預警系統支持APT和針對性攻擊；零日惡意軟件和文檔漏洞；攻擊者網絡活動；Web威脅（漏洞、隱蔽強迫下載）；電子郵件威脅（網絡釣魚、魚叉式網絡釣魚）；數據隱蔽泄露；Bot、特洛伊木馬、蠕蟲病毒；按鍵統計軟件和犯罪軟件；破壞性應用程序等。主機安全1、終端管理系統在運維管理域布署一套終端安全管理系統，各個終端安裝終端安全管理系統用戶端，終端安全管理系統對內部終端計算機進行集中安全保護、監控、審計和管理，可自動向終端計算機分發系統補丁，嚴禁關鍵信息經過外設和端口泄漏，預防終端計算機非法外聯，防范非法設備接入內網，有效地管理終端資產等。（和網絡安全共用一套）2、網絡版防病毒軟件布署一套網絡版防病毒軟件，各個終端安裝防病毒用戶端。對主機終端進行病毒、惡意代碼查殺。應用安全1、應用安全防護系統（預警版）應用安全防護系統基于創新預警技術、正確安全威脅和攻擊識別、全方面動態攻擊行為和安全隱患分析、有機結合不一樣層面安全技術和智能學習自動形成安全生態體系，經過事前預警行為預先采取對應防御方法來提升網絡和應用安全。同時，經過有效還原黑客攻擊行為和完整攻擊事件統計，全方面掌握信息安全態勢，為預警、應急響應和事件調查提供支撐。在網站布署應用安全防護系統進行7*二十四小時網站安全監控方法，同時能夠和省網絡和信息安全應急處理平臺對接，預防非法用戶利用惡意提交、掃描等方法攻擊。2、網站防篡改系統在學校網站布署一套網站防篡改系統，網站防篡改系統經過文件底層驅動技術對網站目錄提供全方位保護，預防黑客、病毒等對目錄中文件進行非法篡改和破壞。防篡改系統保護網站安全運行，維護政府和企業形象，保障互聯網業務正常運行，根本處理了網站被非法修改問題。數據安全和備份恢復1、存放存放系統關鍵是為各安全管控中心數據庫建立數據存放和備份機制。考慮學校數據存放和備份需求，并盡可能節省項目投資，采取NAS技術構建存放備份系統。NAS是將存放設備連接到現有網絡上，或稱網絡直聯存放設備，提供數據服務。簡單說，是經過和網絡直接連接磁盤陣列，無需服務器直接上網，不依靠通用操作系統，而采取一個面向用戶設計、專門用于數據存放簡化操作系統；內置了和網絡連接所需協議，整個系統管理和設置較簡單。含有了磁盤陣列全部關鍵特征：高容量、高效能、高可靠。等級保護整改投資概算編制說明編制依據(1).國家發改委、建設部《工程勘察設計收費標準（修訂本）》；(2).國家發改委、建設部《建設項目經濟評價方法和參數（第二版）》；(3).福建省“數字福建”相關規范標準；(4).通信信息工程建設相關費率標準；(5).相關生產廠商市場報價及其它相關工程中設備協議價；(6).網絡交換機、PC服務器等設備參考《相關數字福建建設項目硬件設備定點協議采購入圍產品公告》中定點協議相關要求進行采購；(7).依據以往經驗估列多種費率取定本項目工程投資概算具體費率取定以下：(1).硬件設備購置費用依據閩數字辦技術〔〕8號，并參考市場價格確定，設備安裝調試費已含在設備費用中；(2).項目系統集成和人員培訓費用按工程費用3%取定；(3).項目系統監理費用按工程費用2%取定；(4).項目系統測試和安全測評費用按工程費用2%取定；(5).項目可研暨初設費用包含可行性研究匯報暨初步設計方案編制費、項目調研等項現在期費用，按工程費用3%取定；(6).不計取預備費；(7).軟件開發費用按0.8萬元/人月估算，包含前期研發和現場實施人職員資、補助、稅費、管理費等；本匯報投資概算只包含項目建設期資金投入，建成后對系統進行正常運行和維護更新工作所需資金，提議相關部門在每十二個月安排項目資金時給予考慮。項目系統運行維護費每十二個月提議按系統軟硬件工程費用6%取定。概算表格項目總投資概算表4SEQ表\*ARABIC\s11項目投資概算總表序號項目費用名稱投資概算（萬元）備注1工程費用1.1等級保護咨詢服務費用（二級）表4-21.2等級保護測評服務費用（二級）表4-31.3等級保護整改安全建設工程費用表4-42項目建設其它費用2.1系統集成和人員培訓費用工程費用×3%2.2項目系統監理費用工程費用×2%2.3系統測試及安全評測費用工程費用×2%2.4項目管理和可研暨初設費用工程費用×3%3項目總投資分項投資概算清單表4-2等級保護咨詢服務費用（二級）概算表編號項目名稱關鍵配置及性能要求數量單價(萬元)總價(萬元)1等級保護咨詢服務（二級）網站群系統、智慧集大系統、一卡通系統、科研管理系統、辦公自動化系統依據學校實際情況填寫，這里舉例依據學校實際情況填寫，這里舉例5依據系統數填寫，這里舉例依據系統數填寫，這里舉例表4-2等級保護測評服務費用（二級）概算表編號項目名稱關鍵配置及性能要求數量單價(萬元)總價(萬元)1系統測評費用（二級）網站群系統、智慧集大系統、一卡通系統、科研管理系統、辦公自動化系統這五個系統測評費用，為提交給測評中心費用5依據學校依據學校實際情況和要求填寫，這里舉例表44等級保護整改安全建設工程費用依據學校具體情況進依據學校具體情況進行選型和數據填寫編號項目名稱關鍵配置及性能要求數量單價(萬元)總價(萬元)1防火墻2運維安全管理系統3終端管理系統4