某云数据中心项目安全等级保护建设设计方案.doc

- 中国中医科学院数据中心信息安全等级保护方案建议书 PAGE \* Arabic \* MERGEFORMAT2 / NUMPAGES \* Arabic \* MERGEFORMAT96 项目综述 项目背景 为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。 安全目标 XX的信息安全等级保护建设工作的总体目标是： “遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 （1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。 （2）安全运维，确保持续安全。通过安全监控、安全加固等运维手段，从事前、事中、事后三个方面进行安全运行维护，实现持续性按需防御的安全需求。 （3）通过合规性建设，提升XX云平台安全防护能力，保障系统信息安全，同时满足国家等级保护的合规性要求，为信息化工作的推进保驾护航。 建设范围 本方案的设计范围覆盖XX的新建云平台基础设施服务系统。安全对象包括： 云内安全：虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护； 云外安全：虚拟化环境以外的网络接入，核心交换，存储备份环境。 建设依据 国家相关政策要求 （1）《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）； （2）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003] 27号）； （3）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）； （4）《信息安全等级保护管理办法》（公通字 [2007]43号）； （5）《信息安全等级保护备案实施细则》（公信安[2007]1360号）； （6）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）； （7）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。 等级保护及信息安全相关国家标准 （1）《计算机信息系统安全保护等级划分准则》（GB17859-1999）； （2）《信息安全技术 信息系统安全等级保护实施指南》（GBT 25058-2010）； （3）《信息安全技术 信息系统安全保护等级定级指南》（GB/T22240-2008）； （4）《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）； （5）《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T 25070-2010）； （6）《信息安全技术 信息系统安全等级保护测评要求》； （7）《信息安全技术 信息系统安全等级保护测评过程指南》； （8）《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）； （9）《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）； （10）《信息技术 安全技术 信息安全管理体系要求》（GB/T 22080-2008（idt ISO/IEC 27001:2005））； （11）《信息技术 安全技术 信息安全管理实用准则》（GB/T 22081-2008（idt ISO/IEC 27002:2005））； （12）《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）及相关的一系列具体技术标准。 云安全等保风险分析 由于本系统是新建设系统，并且尚未部署应用。机房环境目前已经非常完备，具备很好的物理安全措施。 因此当前最主要的工作是依据等级保护基本要求，着重进行网络层、主机层、数据层等方面的等级保护安全技术建设工作。 此外，天融信具有等级保护的专家团队，深入了解国家等级保护相关政策，熟悉信息系统规划和整改工作的关键点和流程，将通过等级保护差距分析、文档审核、现场访谈、现场测试等方式，发掘目前云平台系统与等保技术和管理要求的不符合项。并针对不符合项，进行逐条分析，确认建设方案。