软件开发与项目管理-1期模块案例KC02模块六模块案例信息系统信息安全等级维护设计方案.docVIP

国家XX局外网信息系统信息安全等级保护设计方案 第 PAGE 3 页 共 NUMPAGES 3 页 模块六 软件维护案例 ——信息系统信息安全等级维护保护设计方案 项目简介 伴随着信息系统的快速发展，信息系统所面临的安全威胁日益复杂，用户对信息安全系统的需求与日俱增。同样对于，各层领导对安全工作非常重视，从建设初始逐年加大在安全建设方面的投资，进行了一系列的安全组织、制度、管理和技术方面的安全建设工作。目前部署了防火墙、防病毒、终端安全管理等安全产品，为信息网络的安全防护起到了积极的作用。 从外部环境来看，信息安全已经成为近几年信息化建设的热点话题，如何保障信息系统的安全已经成为国家关注的焦点，从27号文件开始，国家陆续出台了一系列的安全政策和标准，提出了以“适度安全、分级保护”为核心的等级保护建设思路，公安部、保密局、国密办以及国信办陆续出台政策，要求国内重要的信息系统应按照等级保护的办法和要求，进行相关安全防护系统的建设，并于2007年启动了等级保护的定级备案工作，并于2009年底开始启动等级保护的安全建设整改工作。等级保护针对信息安全系统建设的过程，提出了具体的管理办法和实施指南，并对信息安全系统提出了技术和管理方面的建设要求。 为了尽快落实国家等级保护制度的相关要求，并进一步提升自身的安全防护能力，在新办公楼建设工程的网络集成建设项目中同步进行非涉密网络的（分内、外两个网络）等级保护建设方案规划工作。 设计方案概述 编制背景 为了贯彻国家对电子政务信息系统安全保障工作的要求以及等级化保护“坚持积极防御、综合防范”的方针，全面提高信息安全防护能力，建设需要进行整体安全体系规划设计，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进信息化的深入发展。 本文将主要阐述和针对的信息系统安全等级保护建设的规划设计，其内网的建设方案另外单独设计。 编制目的 本方案针对新办公楼的外网网络环境和应用系统为基础，分析的安全建设需求，结合国家等级保护的建设规范和技术要求而编制，为信息安全的等保符合性建设提供指导。 建设内容 项目的主要建设内容是建立的总体信息安全等级保护体系，根据等保要求，的信息安全体系建设将包括以下几个方面： 物理安全设计 网络安全设计 主机安全设计 应用安全设计 数据安全及备份恢复 安全管理机构规划 安全管理制度规划 人员安全规划 系统建设规划 系统运维规划 系统建设情况描述 物理环境分析 新办公楼共9层，机房位于新办公楼的6层。机房内进行了区域划分管理，内网机房、涉密屏蔽机房及外网机房部署在不同物理隔离区域内，每个区域均配置了电子门禁系统，能够控制、鉴别和记录进入的人员。 信息系统的主要网络设备、服务器及安全设备均部署在外网机房中。机房内所有线缆均采用隐蔽走线方式，并对主要部件进行了固定和标记。机房配备了防盗报警系统和监控报警系统。 新办公楼和机房均安装了避雷装置，办公楼内提供了交流地线。 机房采用了具有耐火等级的建筑材料，并设置了灭火设备，安装了自动消防系统。 机房采用了恒温恒湿空调，能够有效控制机房内温湿度。 机房配备了UPS系统，采用了市电+UPS两路供电方式，并具有稳压器、过压防护设备等，能够保障电力的安全稳定不间断供应。 机房到楼层配线间均采用光纤，配线间到办公室信息点采用六类屏蔽线，能够为外网重要信息的处理、存储和传输提供电磁泄漏防护措施。此外，机柜等设备都具有安全接地。机房中的电源线和通信线缆采用了隔离布线方式。 网络架构描述 与互联网相连，主要承载了外网办公系统、政府网站、数据下载等业务。 拓扑图见下图所示： 图3-1 网络拓扑结构示意图 参考图3-1，是一个星型的快速以太交换网，核心为一台高性能三层交换机，下联楼层接入交换机，上联服务器区域交换机和安全管理服务器，外联互联网出口路由器；接入交换机向下连接信息点，即终端计算机。 链路情况如下： 核心交换机与楼层接入交换机之间采用千兆光纤链路； 楼层交换机采用百兆双绞线链路下联终端计算机； 核心交换机与服务器交换机之间采用千兆光纤链路，服务器交换机与所有服务器之间采用千兆双绞线链路； 核心交换机与互联网边界路由器之间采用百兆双绞线链路，路由器出口连接千兆光纤链路，实际出口带宽为20M； 托管机房的链路均有托管机房管理单位提供。 设备部署情况如下： 核心交换机、业务服务器、安全管理服务器及安全设备部署在六层的外网机房； 楼层接入交换机部署在一层至五层的配线间； 终端计算机部署在一层至五层的各部门办公室内； 托管服务器部署托管机房的服务器区域。 外网信息点分布情况如下表所示： 序号 楼层 信息点数量 48口交换机数量 1 1层 155 2 2 2层 148 2 3 3层 135 2 4 4层 1