1、XXX大学等级保护项目技术方案2013 年 4 月北京天融信公司 第 I 页 目 录1 项目概述 .11.1 项目建设背景 .11.2 项目建设目标 .11.3 项目建设内容 .11.4 项目建设范围 .11.5 项目建设依据 .22 信息系统现状与安全需求 .32.1 信息化建设现状综述 .32.2 技术体系结构现状 .32.2.1 物理环境 .42.2.2 主机层结构 .62.2.3 网络层结构 .72.2.4 应用层结构 .82.3 管理体系结构现状 .132.3.1 安全管理机构 .132.3.2 安全管理制度 .132.3.3 人员安全管理 .182.3.4 系统运维管理 .192.
2、4 安全威胁与风险 .202.4.1 技术层面威胁与风险 .202.4.2 管理层面威胁与风险 .222.5 等级保护安全需求 .232.5.1 系统安全等级划分 .232.5.2 系统安全等级 .232.5.3 等级保护基本安全要求 .232.5.4 信息系统定级情况 .24北京天融信公司 第 II 页 2.6 安全需求分析 .252.6.1 技术层面安全需求分析 .252.6.2 管理层面安全需求分析 .283 等级保护方案设计 .293.1 安全方案设计思路 .293.1.1 构建分域的控制体系 .303.1.2 构建纵深的防御体系 .303.1.3 保证一致的安全强度 .303.1.4
3、 实现集中的安全管理 .303.2 安全技术方案详细设计 .313.2.1 确定保护强度 .313.2.2 安全域划分与隔离 .313.2.3 本地备份系统 .353.2.4 网络链路冗余改造 .393.2.5 PKI 基础设施 .403.2.6 安全审计管理 .423.2.7 漏洞扫描系统 .453.2.8 Web 防火墙 .493.2.9 安全管理平台设计 .513.2.10 安全实施过程管理 .523.2.11 服务交付物 .533.3 安全管理方案详细设计 .533.4 安全运维方案详细设计 .583.4.1 XXX 大学门户网站安全监控 .583.4.2 应急响应服务 .613.4.
4、3 安全通告服务 .623.4.4 网络及安全设备维护 .633.4.5 系统安全维护 .65北京天融信公司 第 III 页 3.4.6 网络防护 .653.4.7 系统加固 .663.5 协助测评 .693.5.1 准备资料 .693.5.2 现场协助 .703.5.3 服务交付物 .704 系统集成实施 .714.1 项目组织及人员安排 .714.2 系统集成实施 .734.2.1 安全规划与实施阶段 .734.2.2 协助测评阶段 .754.2.3 项目验收 .764.2.4 工作成果文档 .774.3 项目实施质量保证 .784.3.1 概述 .784.3.2 项目执行人员的质量职责
5、.784.3.3 安全审计过程 .784.3.4 内部反馈过程 .794.3.5 质量改进过程 .794.3.6 改进需求检测 .794.4 风险规避措施 .804.4.1 模拟环境 .804.4.2 系统备份 .804.4.3 系统恢复 .814.4.4 时间选择 .814.4.5 过程监控 .814.5 项目验收 .824.5.1 验收标准 .82北京天融信公司 第 IV 页 4.5.2 验收流程 .825 技术支持、售后服务及培训方案 .835.1 安全运维服务 .835.2 技术支持与售后服务方案 .835.2.1 试运行期的技术支持与服务 .835.2.2 质量保证期内的技术支持与售
6、后服务 .845.2.3 质量保证期外的技术支持与售后服务 .855.2.4 跟踪服务 .865.2.5 工程师资质保障 .875.3 培训方案 .875.3.1 培训方法 .875.3.2 培训内容 .875.3.3 服务交付物 .885.3.4 长期培训计划 .88北京天融信公司 第 1 页 1 项目概述1.1 项目建设背景 随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒
7、等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函200980 文件发出“关于开展信息系统安全等级保护工作的通知” ;教育部教育管理信息中心发布教育信息系统安全等级保护工作方案 (征求意见稿) ;教育部办公厅印发关于开展教育系统信息安全等级保护工作专项检查的通知 (教办厅函201080 号) 。1.2 项目建设目标本次项目建设目标:为贯彻落实国家、教育部信息安全工作部署,完善 XXX 大学信息系统安全技术防护措施、安全管理制度和安全运维体系,全面建设完整的信息安全防护体系,顺利通过信
8、息系统等级测评,为 XXX 大学信息化的健康快速发展保驾护航。1.3 项目建设内容天融信依据国家信息安全等级保护技术和管理要求,开展信息安全等级保护建设工作,工作的主要内容包括:(1)方案设计;(2 )系统集成;( 3)维护服务。1.4 项目建设范围本方案的设计范围覆盖 XXX 大学信息系统。北京天融信公司 第 2 页 1.5 项目建设依据为保证整个项目的实施质量和圆满完成本次项目的项目目标,在整个等级保护整改建设项目的设计规划中将遵循以下标准: 计算机信息系统安全保护等级划分准则(GB17859-1999)(基础标准) 信息系统安全等级保护基本要求(GB/T 22239-2008)(基线标准) 信息系统安全保护等级定级指南(GB/T 22240-2008)(辅助标准) 信息系统安全等级保护实施指南
