信息安全體系建設(shè)方案設(shè)計.doc

1、 信息安全體系建設(shè)方案設(shè)計 1 信息安全體系建設(shè)方案設(shè)計 1.1 需求分析 1.1.1 采購范圍與基本要求 建立XX高新區(qū)開發(fā)區(qū)智慧園區(qū)的信息安全規(guī)劃體系、信息安全組織體系、 信息安全技術(shù)體系、安全服務(wù)管理體系，編寫安全方案和管理制度，建設(shè)信息 安全保護(hù)系統(tǒng)(包括路由器、防火墻、VPN等。要求XX高新區(qū)開發(fā)區(qū)智慧園區(qū) 的信息系統(tǒng)安全保護(hù)等級達(dá)到第三級 (見 GB/T 22239-2008)。 1.1.2 建設(shè)內(nèi)容要求 (1)編寫安全方案和管理制度 信息安全體系的建設(shè)，需要符合國家關(guān)于電子政務(wù)信息系統(tǒng)的標(biāo)準(zhǔn)要求， 覆蓋的電子政務(wù)信息系統(tǒng)安全保障體系，安全建設(shè)滿足物理安全、操作系統(tǒng)安 全、網(wǎng)絡(luò)安全

2、、傳輸安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全和管理安全體系，確保 智慧園區(qū)項目系統(tǒng)的安全保密。 安全管理需求：自主訪問控制、輕質(zhì)訪問控制、標(biāo)記、身份鑒別、審計、 數(shù)據(jù)統(tǒng)統(tǒng)性。 安全體系設(shè)計要求：根據(jù)安全體系規(guī)劃，整個系統(tǒng)的安全體系建設(shè)內(nèi)容包 括物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安 全、終端安全和管理安全等方面。 (2)信息安全保護(hù)系統(tǒng)：滿足信息系統(tǒng)安全等 級三級要求的連接云計算平臺的信息安全保護(hù)系統(tǒng)，其設(shè)備為： 1.2 設(shè)計方案 智慧園區(qū)信息安全管理體系是全方位的，需要各方的積極配合以及各職能 部門的相互協(xié)調(diào)。有必要建立或健康安全管理體系和組織體系，完善安全運行 管理機(jī)制，

3、明確各職能部門的職責(zé)和分工，從技術(shù)、管理和法律等多方面保證 智慧城市的正常運行。 1.2.1 安全體系建設(shè)依據(jù) 根據(jù)公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制 定的 信息安全等級保護(hù)管理辦法、信息系統(tǒng)安全等級保護(hù)定級指南等 標(biāo)準(zhǔn)，平臺”的信息系統(tǒng)安全保護(hù)等級定達(dá)到第三級（見GB/T22239-2008,根據(jù) 信息系統(tǒng)安全等級保護(hù)基本要求、信息系統(tǒng)安全等級保護(hù)實施指南的 信息安全產(chǎn)品，包括：防專業(yè) VPN設(shè)備、WEB防火墻、防火墻、上網(wǎng)行為管 理、終端殺毒軟件網(wǎng)絡(luò)版、網(wǎng)絡(luò)防病毒服務(wù)器端等。 1.2.2 安全體系編制原則 為實現(xiàn)本項目的總體目標(biāo)，結(jié)合 XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項

4、目現(xiàn)有網(wǎng)絡(luò) 與應(yīng)用系統(tǒng)和未來發(fā)展需求，總體應(yīng)貫徹以下項目原則。 保密原則： 確保各委辦局的信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或 實體。 項目組成員在為XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項目實施的過程中，將嚴(yán)格遵 循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第 三方單位或個人，不得利用這些信息損害用戶利益。 統(tǒng)統(tǒng)性原則：確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡 改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹模３中畔?nèi)、外 部表示的一致性。 可用性原則：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒 絕，允許其可靠而及時地訪問信息及資源 規(guī)范性原

5、則：信息安全的實施必須由專業(yè)的信息安全服務(wù)人員依照規(guī)范的 操作流程進(jìn)行，對操作過程和結(jié)果要有相應(yīng)的記錄，提供統(tǒng)統(tǒng)的服務(wù)報告。 質(zhì)量保障原則：在整個信息安全實施過程之中，將特別重視項目質(zhì)量管 理。項目的實施將嚴(yán)格按照項目實施方案和流程進(jìn)行，并由項目協(xié)調(diào)小組從中 監(jiān)督、控制 項目的進(jìn)度和質(zhì)量。 1.2.3 體系建設(shè)內(nèi)容 （1）安全管理體系 制定和完善與XX高新區(qū)智慧園區(qū)基礎(chǔ)建設(shè)項目信息安全 保護(hù)相適應(yīng)的配套管理制度和要求，制度相關(guān)內(nèi)容包括安全管理機(jī)構(gòu)、安 全管理制度、人員安全管理、系統(tǒng)建設(shè)管理，要求包括對硬件環(huán)境和軟件環(huán)境 的要求。 （ 2）安全技術(shù)體系 根據(jù)網(wǎng)絡(luò)分外需求和業(yè)務(wù)流程制定網(wǎng)絡(luò)安全及安

6、全加固方案，對信息系統(tǒng) 內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫、安全設(shè)備以及中間件的安全配置策略進(jìn)行加強，降低 惡意攻擊者利用安全漏洞威脅系統(tǒng)安全運行的幾率，從而有用控制因系統(tǒng)配置 不當(dāng)?shù)纫蛩匾l(fā)的業(yè)務(wù)中斷及信息外泄等風(fēng)險，將高風(fēng)險漏洞和中風(fēng)險漏洞降 低至可接受的范圍內(nèi)，使得應(yīng)用系統(tǒng)的安全狀況提升到一個較高的水平。 通過描述云計算帶來的信息安全風(fēng)險，提出了客戶采用云計算服務(wù)應(yīng)遵守 的基本要求，從規(guī)劃準(zhǔn)備、選擇云服務(wù)商及部署、運行監(jiān)管、退出服務(wù)等四個 階段扼要描述了客戶采購和使用云計算服務(wù)的生命周期安全管理。 （ 3）安全運維體系 安全運維通常包含兩層含義： a）是指在運維過程中對網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定 位、防護(hù)、排除等運維動作，保障系統(tǒng)不受內(nèi)、外界侵害。 b）對運維過程中發(fā)生的基礎(chǔ)