增城国土规划局等保采购需求7.25-v4.0(报送版) - 增城区.docxVIP

增城区国土规划信息系统等级保护项目 建设需求 广州市增城区国土资源和规划局 二〇一八年八月一日 第一章 项目需求描述 （一）项目概述 广州市增城区国土资源和规划局的网络基础建设已经投入运行多年，机房物理安全相对完善，但是随着国土资源行业信息化越来越普及，广州市增城区国土资源和规划局机房内的信息系统也随之面临着更多的安全挑战，信息系统被破坏后，影响到公共利益、社会秩序等不良影响。 信息安全防护建设是广州市增城区国土资源和规划局急需解决的一项重要事件，在本次规划中信息安全建设是主要工作，在建设过程中方案的可行性、系统的安全性、应具有经济效益和社会效益做项目建设评估。 信息安全防护建设是围绕信息安全等级保护要求进行，依据信息安全等级保护基本要求做为参考对象，评估本单位的信息安全防护体系是否符合等级保护要求。根据参考对比分析，广州市增城区国土资源和规划局受评的两个业务系统的网络安全、主机安全、应用安全、数据安全、管理制度还存在一定的差距。本次项目也增加了测评服务要求，通过差距测评服务要求找出更具体的安全隐患。 。 项目建设方案依据 （1）、政府政策文件 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》 《信息安全等级保护管理办法》（公通字[2007]43号） 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85号 ） 《中华人民共和国网络安全法》：第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 （2）、技术标准规范 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》 《信息安全等级保护管理办法》（公通字[2007]43号） 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号） GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 20270-2006信息安全技术 网络基础安全技术要求 GB/T 20271-2006信息安全技术 信息系统安全通用技术要求 GB/T 20272-2006信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 21052-2006 等级保护系列安全产品技术要求 国家标准《电子计算机机房设计规范》（GB50174-93） 国家标准《计算站场地安全技术》（GB9361-88） 《中国工程建设标准化协会标准—建筑与建筑群综合布线系统工程设计规范》（CECS72：95） （三）设计原则 （1）先进性原则：项目建设采用的技术是行业的前言技术，产品具有先进性设计的理念，在行业中有引领发展的作用。 （2）实用性原则：从信息化建设及其业务需求的实际出发。系统应考虑易用性、可维护性。在保证系统能够安全、可靠运行的前提下，提供良好的性能，并最大限度地降低造价和运行成本。 （3）标准化原则：服务方案的设计与实施应依据国内等级保护相关要求、相关标准进行 （4）开放性原则：系统设计在网络通信、操作系统、应用服务器、程序开发语言、数据互联等方面要遵循业界流行的开放标准，能够广泛地兼容不同的产品和标准，集成多种不同类型的信息系统。 （5）兼容性原则：新部署的硬件或软件产品到网络或系统中应兼容当前的现状。 （6）整体性原则：应从各个方面整体考虑，包括了安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。 （7）共享性原则： 项目建设使用的产品、技术手段在项目实施后向用户提供产品资料和技术实现操作手册，对运维人员进行使用性培训。 （8）安全性原则：充分考虑核心业务系统的安全需要，从整体上考虑安全体系的构建。 （9）保密性原则：对过程数据和结果数据