X统计局局等保方案.docVIP

PAGE2

一、项目背景概述

1.1背景与需求分析

xxx局是市人民政府主管统计和国民经济核算工作的直属机构。主要承担组织协调和指导全市统计工作，确保统计数据真实、准确、及时的责任；贯彻执行国家统计工作的政策和法律、法规，拟订全市统计改革、统计科学发展规划及统计调查计划；监督检查统计法律、法规、规章的实施职责。

随着网络技术的发展和进步，我们也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防，网络信息安全问题已变得日益突出和重要。信息资产一旦遭到破坏，将给相应组织带来直接的经济损失，并导致相应组织的声誉和公众形象受到损害，对社会造成不良影响。因此，相应组织必须解决信息安全问题，有效保护信息资产。

据了解，现在各单位、企业已经重视网络安全建设，但我单位网络自身仍然比较脆弱。为了达到信息系统安全等级保护工作的纵深要求，需依据信息安全等级保护技术标准规范，建设网络安全和开展等级保护管理工作。此外，单位之前采购的防火墙使用已达5年，目前的功能跟不上安全威胁的变化，应对不了新型的应用层安全风险，已经不能够很好地控制住网络安全方面的问题。并且随着单位的持续发展，带宽需求持续提升，现有的防火墙性能已不能满足要求，需要进行升级替换。

在加强业务信息化建设过程中，确保单位信息化系统安全、可靠、高效、稳定运行，成为横亘在xxx局信息化业务建设的一道难题。为确保xxx局整体业务系统的安全运行，迫切需要建设系统立体的安全防护措施，以确保系统业务安全运转。为了xxx局信息网络的安全稳定运行，根据目前的计算机信息网网络特点及安全需求，本着切合实际、保护投资、符合等保、着眼未来的原则，提出本设计方案。

1.2建设目标

二级系统安全保护环境的设计目标是：遵循GB17859-1999的4.2中相关要求，以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。

本期的建设目标主要是完善xxx局的信息安全建设，实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力；并根据新等级保护意见稿的要求，逐步开展信息安全等级保护的安全建设，建设具有前瞻性、安全性、符合未来三年至五年发展需要的安全保障体系。

通过本次对xxx局的定级系统开展安全建设整改与策略加固工作，需要达到以下5个方面的目标：

（1）定级系统安全管理水平明显提高；

（2）整体安全防范能力明显增强；

（3）定级系统安全隐患及时发现与整改；

（4）满足定级系统合规性要求，通过传统等级保护二级建设标准，并且需要参考等级保护2.0的建设要求。

二、总体方案设计思路

2.1参考标准

2007年6月，《信息安全等级保护管理办法》（公通字【2007】43号文件）正式出台。

2017年6月1日，《网络安全法》正式实施，正式将网络安全提高到国家国家安全的高度，也通过法律的形式明确提出了加强对关键基础设施和其数据保护，

以上相关文件对国家关于网络安全的相关政策、法律法规作了详细说明：

1）法律法规

《中华人民共和国网络安全法》

2）四大标准

?信息系统安全保护等级定级指南（GB/T22240-2008）

?信息系统安全等级保护基本要求（GB/T22239-2008）

?信息系统安全等级保护实施指南（国家标准报批稿）

?信息系统安全等级保护测评准则（国家标准报批稿）

3）技术标准

?《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

?《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

?《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

?《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

?《信息安全技术服务器技术要求》（GB/T21028-2007）

?《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）

4）管理标准

?《信息安全技术信息系统安全管理要求》（GB/T20269-2006）

?《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）

?《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）

?《信息技术安全技术信息安全管理实用规则》（GB/T22081-2008）

5）服务标准

?《信息安全技术信息安全风险评估规范》（GB/T20984-2007）