信息安全等级保护建设专项方案.docVIP

信息安全等级保护（二级）建设方案 20XX年3月 目录 TOC \o 1-3 \h \z \u 1. 项目概述 4 1.1. 项目建设目标 4 1.2. 项目参考标准 4 1.3. 方案设计标准 6 2. 系统现实状况分析 7 2.1. 系统定级情况说明 7 2.2. 业务系统说明 7 2.3. 网络结构说明 7 3. 安全需求分析 8 3.1. 物理安全需求分析 8 3.2. 网络安全需求分析 8 3.3. 主机安全需求分析 9 3.4. 应用安全需求分析 9 3.5. 数据安全需求分析 9 3.6. 安全管理制度需求分析 9 4. 总体方案设计 9 4.1. 总体设计目标 9 4.2. 总体安全体系设计 10 4.3. 总体网络架构设计 12 4.4. 安全域划分说明 12 5. 具体方案设计技术部分 13 5.1. 物理安全 13 5.2. 网络安全 13 5.2.1. 安全域边界隔离技术 13 5.2.2. 入侵防范技术 13 5.2.3. 网页防篡改技术 14 5.2.4. 链路负载均衡技术 14 5.2.5. 网络安全审计 14 5.3. 主机安全 15 5.3.1. 数据库安全审计 15 5.3.2. 运维堡垒主机 15 5.3.3. 主机防病毒技术 16 5.4. 应用安全 16 6. 具体方案设计管理部分 16 6.1. 总体安全方针和安全策略 17 6.2. 信息安全管理制度 18 6.3. 安全管理机构 18 6.4. 人员安全管理 18 6.5. 系统建设管理 19 6.6. 系统运维管理 19 6.7. 安全管理制度汇总 21 7. 咨询服务和系统测评 22 7.1. 系统定级服务 22 7.2. 风险评定和安全加固服务 22 7.2.1. 漏洞扫描 22 7.2.2. 渗透测试 22 7.2.3. 配置核查 22 7.2.4. 安全加固 22 7.2.5. 安全管理制度编写 24 7.2.6. 安全培训 24 7.3. 系统测评服务 24 8. 项目预算和配置清单 25 8.1. 项目预算一期（等保二级基础要求） 25 8.2. 利旧安全设备使用说明 26 项目概述 项目建设目标 为了深入落实落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依据国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基础要求》、《信息系统安全保护等级定级指南》等标准，对学校网络和信息系统进行等级保护定级，按信息系统逐一编制订级汇报和定级立案表，并指导学校信息化人员将定级材料提交当地公安机关立案。 本方案中，经过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基础技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基础管理要求进行管理体系建设。使得学校信息系统等级保护建设方案最终既能够满足等级保护相关要求，又能够全方面为学校业务系统提供立体、纵深安全保障防御体系，确保信息系统整体安全保护能力。 本项目建设将完成以下目标： 1、以学校信息系统现有基础设施，建设并完成满足等级保护二级系统基础要求信息系统，确保学校整体信息化建设符合相关要求。 2、建立安全管理组织机构。成立信息安全工作组，学校责任人为安全责任人，确定实施信息系统安全等级保护具体方案，并制订对应岗位责任制，确保信息安全等级保护工作顺利实施。 3、建立完善安全技术防护体系。依据信息安全等级保护要求，建立满足二级要求安全技术防护体系。 4、建立健全信息系统安全管理制度。依据信息安全等级保护要求，制订各项信息系统安全管理制度，对安全管理人员或操作人员实施关键管理操作建立操作规程和实施统计文档。 5、制订学校信息系统不中止应急预案。应急预案是安全等级保护关键组成部分，按可能出现问题不一样情形制订对应应急方法，在系统出现故障和意外且无法短时间恢复情况下能确保生产活动连续进行。 6、安全培训：为学校信息化技术人员提供信息安全相关专业技术知识培训。 项目参考标准 本企业遵照国家信息安全等级保护指南等最新安全标准和开展各项服务工作，配合学校等级保护测评工作。本项目建设参考依据： 指导思想 中办[20XX]27号文件（相关转发《国家信息化领导小组相关加强信息安全保障工作意见》通知） 公通字[20XX]66号文件（相关印发《信息安全等级保护工作实施意见》通知） 公