博物馆信息安全设计方案.docVIP

博物馆信息安全 设计方案 北京易凯信息技术有限公司 2015年5月19日 目 录 第1章 概述 1 1.1 项目背景 1 1.2 项目目标 1 1.3 建设的必要性和可行性 1 第2章 现状分析 2 2.1 办公内网网络现状 2 2.2 互联外网网络现状 2 第3章 需求分析 3 第4章 信息安全总体方案设计 4 4.1 设计原则 4 4.2 设计依据 5 4.2.1 政策文件 5 4.2.2 基础类标准 5 4.3 总体系统结构设计 6 第5章 信息安全详细建设方案 8 5.1 办公内网信息安全保护设计 9 5.1.1 安全区域划分与结构优化 9 5.1.2 网络边界防护及访问控制 12 5.1.3 网络安全审计系统 13 5.1.4 入侵防御系统 15 5.1.5 病毒恶意代码防范 16 5.1.6 运维堡垒主机系统 18 5.1.7 数据库审计系统 19 5.1.8 漏洞扫描系统 20 5.1.9 安全运营管理平台 21 5.2 互联外网信息安全保护设计 23 5.2.1 安全区域划分与结构优化 23 5.2.2 网络边界防护及访问控制 26 5.2.3 网络安全审计系统 27 5.2.4 入侵防御系统 29 5.2.5 病毒恶意代码防范 30 5.2.6 运维堡垒主机系统 32 5.2.7 上网行为管理系统 33 5.2.8 漏洞扫描系统 34 5.2.9 安全运营管理平台 35 概述 项目背景 项目目标 建设的必要性和可行性 现状分析 办公内网网络现状 互联外网网络现状 需求分析 信息安全总体方案设计 设计原则 本方案设计遵循以下设计原则： 体系化的设计原则 系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。 产品的先进性原则 信息系统的安全保障体系建设意义深远，对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。 总体规划、分步建设原则 信息系统安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。 标准化和规范化 严格遵循国家有关等级保护的安全法律法规和技术规范要求，对项目的整体建设和实施进行体系化设计，充分体现标准化和规范化。 技术的先进性和成熟性 在设计理念、技术体系、产品选型等方面实现安全体系先进性和成熟性的统一。采用国内先进实用的安全技术和安全产品，选择目前和未来一定时期内有代表性和先进性的成熟安全技术，既保证当前系统的高安全可靠，又满足系统在生命周期内有持续的可维护和可扩展性。 安全性原则 安全管理体系建设是信息安全建设中重点建设内容之一，严格遵循国家有关信息系统安全保密政策、标准和规范，使信息系统在网络、应用、数据等多层面实现有力的安全保障。 一致性原则 在信息系统现状的基础上，通过体系化设计满足项目建设的功能和性能、安全可靠性、灵活性、开放性等系统建设目标，保证系统从需求到设计，设计到建设实施，建设实施到运行管理的可追溯性、可验证性。 经济性原则 在本项目方案设计过程中，充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。 设计依据 本次建设中，各项工作及产出指标以下列政策文件和规范为准。 政策文件 《信息系统等级保护安全设计技术要求》（GB/T2010-25070） 《信息安全等级保护管理办法》公通字[2007]43号 《国家电子政务工程建设项目管理暂行办法》发展改革委令[2007]55号 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《信息安全等级保护工作的实施意见》公通字[2004]66号 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安[2010]303号 《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号 基础类标准 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息系统安全等级保护基本要求》（GB/T22239-2008） 总体系统结构设计 信息系统总体网络结构设计图如下：  图 41总体系统架构设计图 信息安全详细建设方案 安全技术体系设计的主要目的是以等级保护的防护要求为依据，在充分利用现有网络和安全设备的基础上，采购必要的安全产品，实现业务分域保护、优化网络结构和建立健全安全防御机制。 办公内网信息安全保护设计 安全区域划分与结构优化 不同业务系统之间缺少明确的边界，不利于根据业务重要性采取不同等级