天融信政务网站系统等级保护技术方案.docVIP

参考范围：内部参考 文档编号：HTSEC-XXAQ-2009-0105 中软华泰政务网站系统安全等级保护 技术方案设计 Version 1.0 北京中软华泰信息技术有限责任公司 2009年1月 文档控制 拟 制: 审 核: 批 准: 标准化: 读 者： 版本控制 版本号 日期 修改人 说明 V1.0 V1.1 V1.2 V1.3 V1.4 分发控制 编号 读者 文档权限 与文档的主要关系 目 录 1 前言 5 1.1 方案设计目的 5 1.2 方案设计原则 6 1.3 方案参考标准 8 2 信息系统运行环境分析 10 2.1 应用系统描述 10 2.1.1 政务网站系统 10 2.1.2 政务办公系统 12 2.1.3 访问用户分类 12 2.2 应用环境分析 14 2.2.1 主体角色定义 14 2.2.2 客体对象定义 16 2.2.3 业务流程分析 17 2.3 网络结构描述 18 2.3.1 政务网站系统 19 2.3.2 政务办公系统 21 3 信息系统安全需求分析 23 3.1 系统定级说明 23 3.2 安全风险分析 24 3.2.1 政务网站系统 24 3.2.2 政务办公系统 26 3.3 安全需求分析 27 3.3.1 政务网站系统安全需求 27 3.3.2 政务办公系统 32 3.3.3 系统隔离与信息交换 32 3.3.4 集中管理安全需求 33 4 信息系统等保体系概述 35 4.1 保护框架概述 35 4.2 确定区域边界 37 5 信息系统等保建设方案 39 5.1 政务网站系统等级保护建设方案 39 5.1.1 管理中心设计 41 5.1.2 计算环境安全建设 48 5.1.3 安全区域边界子系统安全建设 54 5.1.4 安全通信网络子系统安全建设 55 5.2 政务办公系统等级保护建设方案 56 5.2.1 管理中心设计 58 5.2.2 计算环境安全建设 63 5.2.3 安全区域边界子系统安全建设 71 5.2.4 安全通信网络子系统安全建设 71 6 信息系统等保方案与相关标准的对照 72 前言 方案设计目的 社会发展的不同阶段有不同特质的信息安全问题，在社会发展要求网络化信息系统互连互通的信息化时代，信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。此，国家高度重视信息安全保护工作。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。这一重大决定，明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务，提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。适度安全原则 任何信息系统都不能做到绝对的安全，在，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 重点保护原则[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知） 公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知） 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护实施指南 系统定级 GB/T aaaaa-xxxx 信息安全技术 信息系统安全保护等级定级指南 技术方面 GB/T aaaaa-xxxx信息安全技术 信息系统等级保护安全设计技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GA/T671-2006 信息安全技术?终端计算机系统安全等级技术要求aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求 管理方面 GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求 ISO/IEC 27001 信息系