信息安全體系建設方案設計

信息安全體系建設方案設計需求分析采購范圍與基本要求建立XX高新區(qū)開發(fā)區(qū)智慧園區(qū)的信息安全規(guī)劃體系、信息安全組織體系、信息安全技術體系、安全服務管理體系，編寫安全方案和管理制度，建設信息安全保護系統(tǒng)（包括路由器、防火墻、VPN）等。要求XX高新區(qū)開發(fā)區(qū)智慧園區(qū)的信息系統(tǒng)安全保護等級達到第三級（見GB/T22239-2021）?！踅ㄔO內容要求（1）編寫安全方案和管理制度信息安全體系的建設，需要符合國家關于電子政務信息系統(tǒng)的標準要求，覆蓋的電子政務信息系統(tǒng)安全保障體系，安全建設滿足物理安全、操作系統(tǒng)安全、網(wǎng)絡安全、傳輸安全、數(shù)據(jù)庫安全、應用系統(tǒng)安全和管理安全體系，確保智慧園區(qū)項目系統(tǒng)的安全保密。安全管理需求：自主訪問控制、輕質訪問控制、標記、身份鑒別、審計、數(shù)據(jù)完整性。安全體系設計要求：根據(jù)安全體系規(guī)劃，整個系統(tǒng)的安全體系建設內容包括物理安全、操作系統(tǒng)安全、網(wǎng)絡安全、傳輸安全、數(shù)據(jù)安全、應用系統(tǒng)安全、終端安全和管理安全等方面。（2）信息安全保護系統(tǒng)：滿足信息系統(tǒng)安全等級三級要求的連接云計算平臺的信息安全保護系統(tǒng)，其設備為：設備名稱技術指標要求支持基于TCP、UDP、ICMP的應用；支持主流操作系統(tǒng)、瀏覽器；支持專業(yè)VPN設備主流商業(yè)加密算法與國密算法；產品具備傳統(tǒng)IPSEC/SSLVPN認證、加密、接入基本功能；中國制造可及時發(fā)現(xiàn)APT、竊取數(shù)據(jù)等隱蔽性極強的安全事件，并通過云安全服WEB防火墻務提供7*24小時安全分析、問題定位、快速響應的技術服務，利用工具化手段進行威脅處理和情報傳遞；中國制造吞吐量不小于10G，并發(fā)連接數(shù)不小于200萬，配置不少于4個千兆電防火墻接口，不少于4個千兆SFP插槽，不少于4個萬兆SFP+插槽；中國制造1口臺2臺1臺1單位數(shù)量吞吐量1G，最大并發(fā)連接數(shù)12W，最大用戶數(shù)800人，千兆電口6個，支持BYPASS功能，單電源，標準1U設備；支持部署在IPv6環(huán)境中，其所有功能（認證、應用控制、內容審計、報表等）都支持IPv6；支持多種認證方式，包括用戶名密碼、IP、MAC認證、短信認證、微信認證、二維碼認證，并支持以USB-Key方式實現(xiàn)雙因素身份認證；支持用戶密碼強度管理，可設置用戶密碼不能等于用戶名、新密碼不能與舊密碼相同，可設置密碼最小長度、密碼必須包括數(shù)字或字母或特殊字符；支持識別終端系統(tǒng)后臺運行的進程信息，防止間諜軟件的運行；支持識別終端操作系統(tǒng)版本、系統(tǒng)補丁安裝情況，支持在旁路模式部署下準入生效，禁止不滿足終端檢查要求的用戶訪問互聯(lián)網(wǎng);支持根據(jù)上網(wǎng)行為管理網(wǎng)頁搜索關鍵字過濾訪問的網(wǎng)站，并發(fā)送告警郵件；支持對移動應用的細分權限控制，微信：微信網(wǎng)頁版、微信傳文件、微信朋友圈、微信游戲。移動QQ：QQ傳文件、QQ視頻語音等；支持Web訪問質量檢測，針對內網(wǎng)用戶的web訪問質量進行檢測，對整體網(wǎng)絡提供清晰的整體網(wǎng)絡質量評級；支持內置數(shù)據(jù)中心和獨立數(shù)據(jù)中心；支持對數(shù)據(jù)中心分權限查看，具有數(shù)據(jù)中心key功能；支持自定義報表、查看歷史報表、支持日志的導出、報表的定時發(fā)送到郵箱；支持基于“流量”、“流速”、“時長”設置配額，當配額耗盡后，將用戶加入到指定的流控黑名單懲罰通道中；支持動態(tài)流量管理，在設置流量策略后，能根據(jù)整體線路或者某流量通道內的空閑和繁忙情況，自動啟用和停止使用流量控制策略，以提升帶寬的高使用率，空閑值可自定義；中國制造終端殺毒軟件網(wǎng)絡版網(wǎng)絡防病毒服務器端滿足所有辦公區(qū)辦公人員的網(wǎng)絡殺毒需求；中國制造1顆IntelXeonE3-1220v5(至強Xeon3.0G8M1150P4CORE)處理器，DDR416008G*216G內存，1塊1TB企業(yè)級硬盤，支持CentosLinux和Windows操作系統(tǒng)；中國制造臺1套1套11.2設計方案智慧園區(qū)信息安全管理體系是全方位的，需要各方的積極配合以及各職能部門的相互協(xié)調。有必要建立或健全安全管理體系和組織體系，完善安全運行管理機制，明確各職能部門的職責和分工，從技術、管理和法律等多方面保證智慧城市的正常運行。安全體系建設依據(jù)根據(jù)公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護定級指南》等標準，“平臺”的信息系統(tǒng)安全保護等級定達到第三級(見GB/T22239-2021)，根據(jù)《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》的信息安全產品，包括：2防專業(yè)VPN設備、WEB防火墻、防火墻、上網(wǎng)行為管理、終端殺毒軟件網(wǎng)絡版、網(wǎng)絡防病毒服務器端等。安全體系編制原則為實現(xiàn)本項目的總體目標，結合XX高新區(qū)智慧園區(qū)建設基礎項目現(xiàn)有網(wǎng)絡與應用系統(tǒng)和未來發(fā)展需求，總體應貫徹以下項目原則。?保密原則：確保各委辦局的信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。項目組成員在為XX高新區(qū)智慧園區(qū)建設基礎項目實施的過程中，將嚴格遵循保密原則，服務過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個人，不得利用這些信息損害用戶利益。完整性原則：確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹模３中畔?、外部表示的一致性。可用性原則：確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源規(guī)范性原則：信息安全的實施必須由專業(yè)的信息安全服務人員依照規(guī)范的操作流程進行，對操作過程和結果要有相應的記錄，提供完整的服務報告。質量保障原則：在整個信息安全實施過程之中，將特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行，并由項目協(xié)調小組從中監(jiān)督、控制項目的進度和質量。體系建設內容安全管理體系制定和完善與XX高新區(qū)智慧園區(qū)基礎建設項目信息安全保護相適應的配套管理制度和要求，制度相關內容包括安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理，要求包括對硬件環(huán)境和軟件環(huán)境的要求。安全技術體系根據(jù)網(wǎng)絡特殊需求和業(yè)務流程制定網(wǎng)絡安全及安全加固方案，對信息系統(tǒng)內的操作系統(tǒng)、數(shù)據(jù)庫、安全設備以及中間件的安全配置策略進行加強，降低惡意攻擊3者利用安全漏洞威脅系統(tǒng)安全運行的幾率，從而有效控制因系統(tǒng)配置不當?shù)纫蛩匾l(fā)的業(yè)務中斷及信息外泄等風險，將高風險漏洞和中風險漏洞降低至可接受的范圍內，使得應用系統(tǒng)的安全狀況提升到一個較高的水平。通過描述云計算帶來的信息安全風險，提出了客戶采用云計算服務應遵守的基本要求，從規(guī)劃準備、選擇云服務商及部署、運行監(jiān)管、退出服務等四個階段簡要描述了客戶采購和使用云計算服務的生命周期安全管理。安全運維體系安全運維通常包含兩層含義：是指在運維過程中對網(wǎng)絡或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進行定位、防護、排除等運維動作，保障系統(tǒng)不受內、外界侵害。對運維過程中發(fā)生的基礎環(huán)境、網(wǎng)絡、安全、主機、中間件、數(shù)據(jù)庫乃至核心應用系統(tǒng)發(fā)生的影響其正常運行的事件（包含關聯(lián)事件）通稱為安全事件，而圍繞安全事件、運維人員和信息資產，依據(jù)具體流程而展開監(jiān)控、告警、響應、評估等運行維護活動，稱為安全運維服務。1.2.4安全體系架構平臺的系統(tǒng)安全體系架構包括以下幾方面：（1）集中用戶管理系統(tǒng)用戶在不同的業(yè)務系統(tǒng)有不同的角色定義，對應不同的功能權限，需構建相應的用戶集中管理模式，實現(xiàn)用戶統(tǒng)一身份和標識管理、統(tǒng)一認證及單點登錄。（2）用戶命名統(tǒng)一實現(xiàn)用戶命名統(tǒng)一，為用戶集中管理及信息共享提供支撐。（3）身份認證系統(tǒng)對不同崗位人員實行分級授權，對用戶的訪問權限實行有效的管理。（4）訪問控制設置防火墻和網(wǎng)段劃分，實現(xiàn)有效的安全隔離和訪問控制；同時，在系統(tǒng)權限方面，對每一個不同的角色，依照最小授權原則，分配完成其任務的最小權限，并使用基于角色的訪問控制機制來控制用戶對信息的訪問和操作；入侵檢測設置入侵監(jiān)測系統(tǒng)，防止非法入侵，及時做出應對措施。4漏洞掃描采用專業(yè)漏洞掃描工具，定期對網(wǎng)絡系統(tǒng)及計算機系統(tǒng)進行漏洞掃描，及時發(fā)現(xiàn)潛在安全隱患，加以防范處理。病毒防范在服務器安裝防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力；在網(wǎng)絡內安裝網(wǎng)絡版防病毒系統(tǒng)，客戶端可以在內網(wǎng)升級病毒庫，做到整體防御。數(shù)據(jù)安全交換在系統(tǒng)安全、網(wǎng)絡安全的基礎上，實現(xiàn)內網(wǎng)和外網(wǎng)、內網(wǎng)和專網(wǎng)間的數(shù)據(jù)安全交換。系統(tǒng)操作日志通過操作日志功能，定義和區(qū)分操作級別，根據(jù)操作級別進行記錄，為日志分析功能提供數(shù)據(jù)，發(fā)現(xiàn)并處理安全問題隱患，增強系統(tǒng)防護性能。此外，系統(tǒng)還可以根據(jù)需要提供日志統(tǒng)計功能，對諸如訪問量、并發(fā)訪問數(shù)等系統(tǒng)性能參數(shù)進行比對，以便系統(tǒng)管理員及時調整和優(yōu)化系統(tǒng)性能。安全防護體系建立完善的安全防護系統(tǒng)，從安全規(guī)章制度建設、安全管理手段建設等方面保障系統(tǒng)的安全可靠、穩(wěn)定運行。1.2.5信息安全體系設計工作方案（1）完善信息安全組織體系成立以政府職能部門為主的“智慧園區(qū)”安全管理機構，強化和明確其職責；在健全信息安全組織體系的基礎上，切實落實安全管理責任制。明確各級、各部門作為信息安全保障工作的責任人；技術部門主管或項目負責人作為信息安全保障工作直接