信息安全体系建设方案设计.pdf

信息安全体系建设方案设计 1.1 需求分析 1.1.1 采购范围与基本要求 建立XX 高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息 安全技术体系、安全服务管理体系，编写安全方案和管理制度，建设信息安全保护 系统(包括路由器、防火墙、VPN)等。要求XX 高新区开发区智慧园区的信息系统安 全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2 建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设，需要符合国家关于电子政务信息系统的标准要求，覆盖 的电子政务信息系统安全保障体系，安全建设满足物理安全、操作系统安全、网络 安全、传输安全、数据库安全、应用系统安全和管理安全体系，确保智慧园区项目 系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据 完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物 理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安 全和管理安全等方面。 (2)信息安全保护系统：满足信息系统安全等级三级要求的连接云计算平台的信 息安全保护系统，其设备为： 设备名称 技术指标要求 单位 数量 支持基于TCP、UDP、ICMP的应用；支持主流操作系统、浏览器； 专业VPN设备 支持主流商业加密算法与国密算法；产品具备传统IPSEC/SSLVPN认 台 1 证、加密、接入基本功能；中国制造 可及时发现AP 、窃取数据等隐蔽性极强的安全事件，并通过云安全 WEB 防火墙 服务提供7*24小时安全分析、问题定位、快速响应的技术服务，利用 台 1 工具化手段进行威胁处理和情报传递；中国制造 吞吐量不小于10G ，并发连接数不小于200万,配置不少于4个千兆电 防火墙 接口，不少于4个千 SFP插槽，不少于4个万 SFP+插槽；中国 台 2 制造 吞吐量1G ，最大并发连接数12W ，最大用户数800人，千兆电口6 个，支持BYPASS功能，单电源，标准1U设备；支持部署在IPv6环 境中，其所有功能（认证、应用控制、内容审计、报表等）都支持IPv6 ； 支持多种认证方式，包括用户名密码、IP、MAC认证、短信认证、微 信认证、二维码认证，并支持以USB-Key方式实现双因素身份认证； 支持用户密码强度管理，可设置用户密码不能等于用户名、新密码不 上网行为管理 能与旧密码相同，可设置密码最小长度、密码必须包括数字或字母或 套 1 特殊字符；支持识别终端系统后台运行的进程信息，防止间谍软件的 运行；支持识别终端操作系统版本、系统补丁安装情况，支持在旁路 模式部署下准入生效，禁止不满足终端检查要求的用户访问互联网;支 持根据网页搜索关键字过滤访问的网站，并发送告警邮件；支持对移 动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友 圈、微信游戏。移动QQ ：QQ传文件、QQ视频语音等；支持Web 访问质量检测，针对内网用户的web 访问质量进行检测，对整体网络 提供清晰的整体网络质量评级；支持内置数据中心和独立数据中心； 支持对数据中心分权限查看，具有数据中心key 功能；支持自定义报 表、查看历史报表、支持日志的导出、报表的定时发送到邮箱；支持 基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到 指定的流控黑名单惩罚通道中；支持动态流量管理，在设置流量策略