信息安全體系建設(shè)方案設(shè)計(jì).doc

1、 信息安全體系建設(shè)方案設(shè)計(jì) 1 信息安全體系建設(shè)方案設(shè)計(jì) 1.1 需求分析 1.1.1 采購(gòu)范圍與基本要求 建立XX高新區(qū)開發(fā)區(qū)智慧園區(qū)的信息安全規(guī)劃體系、信息安全組織體系、 信息安全技術(shù)體系、安全服務(wù)管理體系，編寫安全方案和管理制度，建設(shè)信息 安全保護(hù)系統(tǒng)(包括路由器、防火墻、VPN等。要求XX高新區(qū)開發(fā)區(qū)智慧園區(qū) 的信息系統(tǒng)安全保護(hù)等級(jí)達(dá)到第三級(jí) (見 GB/T 22239-2008)。 1.1.2 建設(shè)內(nèi)容要求 (1)編寫安全方案和管理制度 信息安全體系的建設(shè)，需要符合國(guó)家關(guān)于電子政務(wù)信息系統(tǒng)的標(biāo)準(zhǔn)要求， 覆蓋的電子政務(wù)信息系統(tǒng)安全保障體系，安全建設(shè)滿足物理安全、操作系統(tǒng)安 全、網(wǎng)絡(luò)安全

2、、傳輸安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全和管理安全體系，確保 智慧園區(qū)項(xiàng)目系統(tǒng)的安全保密。 安全管理需求：自主訪問控制、輕質(zhì)訪問控制、標(biāo)記、身份鑒別、審計(jì)、 數(shù)據(jù)統(tǒng)統(tǒng)性。 安全體系設(shè)計(jì)要求：根據(jù)安全體系規(guī)劃，整個(gè)系統(tǒng)的安全體系建設(shè)內(nèi)容包 括物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安 全、終端安全和管理安全等方面。 (2)信息安全保護(hù)系統(tǒng)：滿足信息系統(tǒng)安全等 級(jí)三級(jí)要求的連接云計(jì)算平臺(tái)的信息安全保護(hù)系統(tǒng)，其設(shè)備為： 1.2 設(shè)計(jì)方案 智慧園區(qū)信息安全管理體系是全方位的，需要各方的積極配合以及各職能 部門的相互協(xié)調(diào)。有必要建立或健康安全管理體系和組織體系，完善安全運(yùn)行 管理機(jī)制，

3、明確各職能部門的職責(zé)和分工，從技術(shù)、管理和法律等多方面保證 智慧城市的正常運(yùn)行。 1.2.1 安全體系建設(shè)依據(jù) 根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制 定的 信息安全等級(jí)保護(hù)管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南等 標(biāo)準(zhǔn)，平臺(tái)”的信息系統(tǒng)安全保護(hù)等級(jí)定達(dá)到第三級(jí)（見GB/T22239-2008,根據(jù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南的 信息安全產(chǎn)品，包括：防專業(yè) VPN設(shè)備、WEB防火墻、防火墻、上網(wǎng)行為管 理、終端殺毒軟件網(wǎng)絡(luò)版、網(wǎng)絡(luò)防病毒服務(wù)器端等。 1.2.2 安全體系編制原則 為實(shí)現(xiàn)本項(xiàng)目的總體目標(biāo)，結(jié)合 XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項(xiàng)

4、目現(xiàn)有網(wǎng)絡(luò) 與應(yīng)用系統(tǒng)和未來(lái)發(fā)展需求，總體應(yīng)貫徹以下項(xiàng)目原則。 保密原則： 確保各委辦局的信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄漏給非授權(quán)用戶或 實(shí)體。 項(xiàng)目組成員在為XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項(xiàng)目實(shí)施的過程中，將嚴(yán)格遵 循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第 三方單位或個(gè)人，不得利用這些信息損害用戶利益。 統(tǒng)統(tǒng)性原則：確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)用戶篡 改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外 部表示的一致性。 可用性原則：確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒 絕，允許其可靠而及時(shí)地訪問信息及資源 規(guī)范性原

5、則：信息安全的實(shí)施必須由專業(yè)的信息安全服務(wù)人員依照規(guī)范的 操作流程進(jìn)行，對(duì)操作過程和結(jié)果要有相應(yīng)的記錄，提供統(tǒng)統(tǒng)的服務(wù)報(bào)告。 質(zhì)量保障原則：在整個(gè)信息安全實(shí)施過程之中，將特別重視項(xiàng)目質(zhì)量管 理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中 監(jiān)督、控制 項(xiàng)目的進(jìn)度和質(zhì)量。 1.2.3 體系建設(shè)內(nèi)容 （1）安全管理體系 制定和完善與XX高新區(qū)智慧園區(qū)基礎(chǔ)建設(shè)項(xiàng)目信息安全 保護(hù)相適應(yīng)的配套管理制度和要求，制度相關(guān)內(nèi)容包括安全管理機(jī)構(gòu)、安 全管理制度、人員安全管理、系統(tǒng)建設(shè)管理，要求包括對(duì)硬件環(huán)境和軟件環(huán)境 的要求。 （ 2）安全技術(shù)體系 根據(jù)網(wǎng)絡(luò)分外需求和業(yè)務(wù)流程制定網(wǎng)絡(luò)安全及安

6、全加固方案，對(duì)信息系統(tǒng) 內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、安全設(shè)備以及中間件的安全配置策略進(jìn)行加強(qiáng)，降低 惡意攻擊者利用安全漏洞威脅系統(tǒng)安全運(yùn)行的幾率，從而有用控制因系統(tǒng)配置 不當(dāng)?shù)纫蛩匾l(fā)的業(yè)務(wù)中斷及信息外泄等風(fēng)險(xiǎn)，將高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞降 低至可接受的范圍內(nèi)，使得應(yīng)用系統(tǒng)的安全狀況提升到一個(gè)較高的水平。 通過描述云計(jì)算帶來(lái)的信息安全風(fēng)險(xiǎn)，提出了客戶采用云計(jì)算服務(wù)應(yīng)遵守 的基本要求，從規(guī)劃準(zhǔn)備、選擇云服務(wù)商及部署、運(yùn)行監(jiān)管、退出服務(wù)等四個(gè) 階段扼要描述了客戶采購(gòu)和使用云計(jì)算服務(wù)的生命周期安全管理。 （ 3）安全運(yùn)維體系 安全運(yùn)維通常包含兩層含義： a）是指在運(yùn)維過程中對(duì)網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定 位、防護(hù)、排除等運(yùn)維動(dòng)作，保障系統(tǒng)不受內(nèi)、外界侵害。 b）對(duì)運(yùn)維過程中發(fā)生的基礎(chǔ)