智慧园区网络安全系统项目建设方案.docx

智慧园区网络安全系统项目建设方案 建设目标 通过本项目的建设，将实现以下建设目标： 1）通过园区网络安全防护分系统的建设，为智慧城市建设安全的网络环境，为即将部署在园区网的业务信息系统提供基础的安全防护，搭建安全稳定的网络运行环境； 2）通过计算机安全防护分系统的建设，对现有办公终端计算机实现安全管理，保障工作用计算机终端的安全、可靠； 3）通过信息安全监控管理分系统的建设，初步形成智慧城市信息安全的整体防护体系。确保现有网络和信息系统的安全稳定运行，防范重大信息安全事件的发生，在信息安全事件发生后，能及时响应、协同处置、有效恢复； 4）通过对重要业务系统的安全性渗透测试，检验系统的抗攻击能力，及时发现业务系统存在的安全隐患并提出整改意见。 1、一个总目标 基于安全基础设施、以安全策略为指导，通过统一的安全管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，构建全面、完整、高效的省信息安全体系构架。从而在信息化整体发展的基础上，极大地提高智慧城市的整体安全等级，为保障智慧城市的健康发展提供坚实的信息安全保障。 2、两种手段：管理和技术 技术手段是安全保障的基础：通过在网络系统的各个层次采用相应的安全技术和安全产品，建立起智慧城市的安全技术防护体系； 管理手段是技术手段真正发挥效益的关键：通过建立并健全智慧城市信息安全管理系统，完善并监督技术手段的有效性。 管理措施的正确实施需要有技术手段来监管和验证。 3、三项主要指标 信息系统的整体安全性和可用性 针对智慧城市网络的各层次进行整体的安全防护，抵御外部的侵入，并对全网进行有效的管理，保证整个网络系统的安全可靠性，尽量避免人为因素和自然因素使系统运行受到影响。通过采取完善的安全防范措施，保证智慧城市各种相关的网络、主机以及应用系统具有相当的抗攻击性，能够检测并及时对各种攻击行为及时响应。 同时必须确保在安全产品接入以后，智慧城市原有的业务可以正常进行，传输速度上不会受到明显的影响；同时安全产品应该满足系统网络以及应用业务的性能需求，最大程度的保障智慧城市信息系统的可用性。 信息的安全性、保密性和可靠性 保证智慧城市的信息在存储或传输过程中保持不被修改、不被破坏和不丢失。信息的使用必须进行相关的授权。信息的传输和传播的过程必须进行相关的控制，监视和跟踪。 系统运行的可控性以及可管理性 能够对智慧城市整个网络和系统的相关状况进行实时的监控，对应用服务，数据和资源的使用进行监控。对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制。 通过建立统一的智慧城市的网络安全管理平台，实现对所有相关安全产品的监控与管理。同时建立智慧城市的信息安全管理体系，通过安全组织机构的建设、安全管理制度的完善，规范员工的行为；通过培训提高员工的安全意识和技术水平，实现技术与管理的结合，逐步建成健全智慧城市计算机网络与信息安全体系。 依据标准 本方案制作过程中主要参考了以下标准： ISO/IEC20000 IT服务管理国际标准体系（ITIL规范） GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 BS 17799:1999 《信息安全管理》 GB/T 20274-2006《信息系统安全保障评估框架》 GB 17859-1999 《计算机信息系统 安全保护等级划分准则》 GB/T 19715.1-2005《信息技术 信息技术安全管理指南》 GB/T 18336.1-2001 《信息技术 安全技术 信息技术安全性评估准则》 GB/T 16260-1996 《信息技术 软件产品评价 质量特性及其使用指南》 GB/T 17544-1998 《信息技术 软件包 质量要求和测试》 总体架构 本项目针对信息安全建设需求，重点建设园区网网络安全防护分系统，计算机终端安全防护分系统，信息安全监控管理系统。 园区网网络安全防护分系统包括域边界防护子系统、域内安全防护子系统、远程安全接入子系统、访问控制策略管理子系统和网络安全审计管理子系统。主要功能如下： 边界防护子系统实现安全域边界、网络边界不同强度的访问控制功能； 域内安全防护子系统按照分域管理的方法，实现安全域内的访问控制、安全审计、入侵防范等功能； 远程安全接入子系统实现通过互联网远程访问智慧城市业务信息系统的安全接入； 访问控制策略管理子系统实现对访问控制策略的制订、发布、执行等管理； 网络安全审计管理子系统对网络数据流进行采集和分析，实现流量、协议等网络数据的审计。 计算机安全防护分系统包括服务器安全防护子系统、终端身份认证系统、终端安全准入系统。主要功能如下： 服务器安全防护子系统对各种应用服务器、数据库服务器进行管理控制，包括安全策略配