XX单位等级保护三级安全整改方案差评后版V10.docx

XX单位信息系统等级保护安全整改方案深信服科技有限公司2015年7月目录1. 项目概述 41.1. 项目建设背景 41.2. 项目建设目标 41.3. 项目参考标准 51.4. 安全整改原则 62. 系统现状分析 72.1. 系统定级情况说明 72.2. 业务系统说明 72.3. 物理安全现状说明(可选) 82.4. 网络结构说明 82.5. 主机与存储设备说明(非评审方案可忽略) 82.6. 数据存储情况说明(非评审方案可忽略) 92.7. 安全管理制度情况说明（仅技术方案可忽略） 92.8. 安全管理人员情况说明（仅技术方案可忽略） 93. 差距分析 104. 安全需求分析 124.1. 安全计算环境需求分析 124.2. 安全区域边界需求分析 124.3. 安全通信网络需求分析 134.4. 安全管理中心需求分析 135. 总体安全设计 145.1. 总体设计目标 145.2. 总体安全体系设计 145.3. 总体网络架构设计 175.4. 安全域划分说明 176. 详细设计方案技术部分 176.1. 安全计算环境设计 186.1.1. 机房安全设计 186.1.2. 主机防病毒设计 186.1.3. 安全审计设计 . 主机安全审计 . 数据库安全审计 . 运维安全审计 196.1.4. 备份与恢复 196.1.5. 资源监控设计 196.2. 安全区域边界设计 206.2.1. 网络边界访问控制、入侵防范和恶意代码防范 206.2.2. Web安全防护 206.2.3. 网络边界安全审计 206.2.4. 互联网出口边界安全审计 206.2.5. 边界完整性检查 216.3. 安全通信网络设计 216.3.1. 通信完整性和保密性 216.3.2. 流量管理 216.4. 安全管理中心设计 216.4.1. 统一日志平台 226.4.2. 统一监控平台 226.4.3. 统一管理平台 227. 详细设计方案管理部分 227.1. 总体安全方针与安全策略 237.2. 信息安全管理制度 247.3. 安全管理机构 247.4. 人员安全管理 247.5. 系统建设管理 257.6. 系统运维管理 257.7. 安全管理制度汇总 278. 方案合规性分析 289. 残余风险控制 309.1. 缺少电磁屏蔽措施 309.2. 缺少XXXXXX措施 3010. 项目预算与配置清单 3010.1. 项目预算 3010.2. 利旧安全设备使用说明 3110.3. 新增安全设备详细要求 32项目概述项目建设背景项目背景。项目建设目标三级系统安全保护环境的设计目标是：落实GB 17859-1999对三级系统的安全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及XX单位对信息系统等级保护工作的有关规定和要求，对XX单位的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导XX单位信息化人员将定级材料提交当地公安机关备案。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得XX单位网络系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为XX单位的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本项目建设将完成以下目标：1、以XX单位信息系统现有基础设施，建设并完成满足等级保护三级系统基本要求的信息系统，确保XX单位的整体信息化建设符合相关要求。2、建立安全管理组织机构。成立信息安全工作组，XX负责人为安全责任人，拟定实施信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。3、建立完善的安全技术防护体系。根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。4、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。5、制定XX单位信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。6、安全培训：为XX单位信息化技术人员提供信息安全相关专业技术知识培训。项目参考标准深信服遵循以及国家信息安全等级保护指南等最新安全