信息化项目安全及应急保障方案.doc

PAGE PAGE 1 信息化项目安全及应急保障方案 一、信息系统安全设计方案 7.5.1.1、项目背景概述 1.项目建设背景 近年来随着信息化建设的加快，业务和信息化也结合越来越紧密，在给政务服务带来巨大便捷的同时，也给信息安全管理带来了严峻的挑战，因此，必须提高信息安全集中监管的能力和水平，从而减少业务应用信息系统的运营风险。 依据国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等相关标准，结合大连市信息化建设的实际情况，开展信息系统安全等级保护建设。 2.项目范围 根据国家标准化管理委员会发布的中华人民共和国国家标准《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）中对信息系统安全共划分5个等级： 第一级：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。 第三级：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 第四级：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。 根据本次项目工程建设要求以及上级单位和网安办对网络系统安全要求，按照第三级安全监督保护级的要求进行建设。 3.方案概述 3.1方案设计目标 通过详细设计方案设计工作实现以下目标： 1、使安全体系的设计可以符合政务服务实际安全需求，指导解决政务服务人员、制度和技术各个方面的信息安全问题，符合政务服务特点的整体信息安全保障体系。 2、指导政务服务进行整体等级保护建设工作，促进安全体系的建设，成功通过国家权威测评机构测评，最终通过公安部的备案认可。两个目标在本质上是一致的，符合等级保护政策是外在动力，提升政务服务信息安全管理水平是内在需求，都是在为安全保护体系的建设做好规划和设计工作。 3.2方案设计依据 本方案根据国家提出的等级保护管理办法和实施指南，针对信息系统的特点和安全建设需求，进行全面的安全保障规划，设计中重点参考的政策和标准包括以下两个部分： 信息系统安全等级保护标准和规范 本方案重点参考以下的的政策和标准： 指导思想 公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知） 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求 系统定级 GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南 技术方面 GB/T 20270-2006 信息安全技术网络基础安全技术要求 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术操作系统安全技术要求 GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求 GA/T671-2006信息安全技术?终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 管理方面 ISO/IEC 27001 信息系统安全管理体系标准 GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 方案设计 信息系统等级保护安全建设技术方案设计规范 方案架构 IATF 信息保障技术框架 其他信息安全标准和规范 ISO/IEC 15408（CC）：《信息技术安全评估准则》。该标准历经数年完成，提出了新的安全模型，是很多信息安全理论的基础。 GB/T 18336：等同采用ISO 15408 ISO/IEC 17799/BS7799-1：《信息安全管理体系实施指南》。这是目前世界上最权威的信息安全管理操作指南，对信息安全工作具有重要指导意义。 ISO/IEC 13335，第一部