采购内容和相关要求.docVIP

采购内容及相关要求 （仅供参考，以谈判文件为准） 一、采购清单及技术要求 一、 项目概述 1、项目名称 马鞍山市司法局信息系统等级保护建设方案 2、项目建设单位 马鞍山市司法局 3、项目建设方案编制依据 根据《安徽省司法厅关于印发安徽省司法行政信息网络安全等级保护及运行管理体系建设指南》要求，省司法厅要求各市完成全系统网络安全保护体系建设工作，使全网达到国家信息系统等级保护二级的标准。马鞍山司法局结合信息安全建设实际情况，决定全面启动信息安全等级保护建设工作。本方案在编制过程中除了参考了省厅文件还参考如下文件。 二、信息化现状分析 1、软件建设 无 2、硬件建设 无 3、网络建设 无 4、基础环境建设 无 三、 业务建设方案 1、信息系统定级 马鞍山司法局专网信息系统定级备案情况参见下表： 编号 信息系统名称 等保定级 1 政法网网站 二级 是 2 办公自动化系统 二级 是 3 信息报送与发布系统 二级 是 4 公共基础数据管理系统 二级 是 5 律师综合管理信息系统 二级 是 6 公证综合管理信息系统 二级（参三） 7 法律援助综合管理信息系统 二级 是 8 司法鉴定综合管理信息系统 二级 是 9 基层法律服务 二级 10 基层工作综合管理信息系统 二级 是 11 远程帮教探视系统 二级 是 12 社区矫正综合管理信息系统 二级（参三） 2、差距分析 司法行政信息系统的安全技术与管理方面均要求存在一定的差距以下 1）物理安全问题 现阶段，物理安全已采取的措施有： 机房位置基本都能满足《基本要求》； 机房出入口有专人管理； 配备了稳压器和过电压防护设备，采用了UPS； 机房铺设了防静电地板； 机房有可靠的防雷接地； 关键设备采用了防静电接地措施； 配备了灭火设备和火灾报警系统。 物理安全存在的主要问题有： 未安装防盗报警设施； 未安装单点故障隐患 无带宽管理设备，保证 未划分不同的或网段 无日志记录设备， 未在网络 关键网络设备，如地址限制、加密登陆、登陆超时。 未对终端接入方式、终端登录网络地址范围等条件进行限制； 操作系统和数据库的存在默认账户和过期账户未禁用问题； 操作系统和数据库系统特权用户权限未分离，都是同一人进行管理； 操作系统未遵循最小安装原则。 4）应用安全问题 现阶段，应用安全已采取的措施有： 应用系统使用用户名密码 应用系统错误用户名或密码登录锁定功能； 采用了措施确保了通信的完整性保密性； 系统了审计功能，能够对用户重要操作或进行审计 应用安全的主要问题有： 未对用户登录的口令长度、复杂度和密码时效性 审计记录中没有包括事件类型、事件相关描述等信息内容； 未对系统的并发会话连接数和用户的并发会话数进行限制 5）数据安全问题 现阶段，数据安全已采取的措施有： 应用系统数据传输采用了C/S结构保证了安全性； 应用系统数据传输采用了HTTPS加密，CA认证； 防火墙配置、路由器和交换机配置文件均有备份； 应用系统中的数据和数据库中存放的数据均进行了备份。 数据安全的主要问题有： 关键应用系统和数据库系统未做硬件冗余； 关键网络设备、通信线路硬件未做硬件冗余。 6）安全管理问题 现阶段，安全管理已采取的主要措施有： 已成立了信息安全管理机构； 市局已将安全管理制度下发到各级司法行政部门。 安全管理主要题有： 安全管理制度日常司法行政工作中执行； 系统规划和建设时未制定安全方案和安全策略 未制定系统完善的安全事件报告和处置管理制度；未对本系统计算机安全事件进行等级划分；未进行专项的应急预案培训； 未在软件安装检测软件包中可能存在的恶意代码和后门； 系统进行性测试验收 未对介质进行定期盘点和标识管理； 网络设备进行软件的； 对网络系统进行漏洞和漏洞修补； 3、项目建设方案 司法信息系统技术总体设计省厅建设要求，二级要求，并对系统关键防护措施等级保护三级技术进行设计本章将先对等级保护安全技术解决方案进行设计。 建设安全技术方案从安全网络安全、主机安全、应用安全、数据安全个进行设计。 行政安全方案规划如下所示： 安全方案 作为信息系统运行的保障，安全技术设计应重点考虑司法局机房全司法行政信息系统的核心节点，物理环境建设按照保级要求设计与建设，措施可以参考三级技术要求进行。 考虑到将按照马鞍山市政府要求把服务器及存储搬迁到电子政务云平台上局机房仅作为网络设备和部分非重要服务器场所，因此本期将不再考虑物理安全。 )网络安全解决方案 网络系统作为马鞍山司法局信息系统运行的重要基础环境，的安全建设水平将直接到司法局基础网络的安全运行，因此本方案参考等级保护三级要求进行与建设。 要求的网络安全控制项目，结合马鞍山司法局风险和实际环境实用与经济性的原则，建议采用、来实现上述保护三级控