信息化项目安全及应急保障方案 .pdfVIP

信息化项目安全及应急保障方案

一、信息系统安全设计方案

7.5.1.1、项目背景概述

1.项目建设背景

近年来随着信息化建设的加快，业务和信息化也结合越来越紧密，在给政务

服务带来巨大便捷的同时，也给信息安全管理带来了严峻的挑战，因此，必须提

高信息安全集中监管的能力和水平，从而减少业务应用信息系统的运营风险。

依据国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级

保护基本要求》、《信息系统安全保护等级定级指南》等相关标准，结合大连市

信息化建设的实际情况，开展信息系统安全等级保护建设。

2.项目范围

根据国家标准化管理委员会发布的中华人民共和国国家标准《信息安全技术

信息系统安全等级保护基本要求》（GB/T22239-2008）中对信息系统安全共划

分5个等级：

第一级：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶

意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，

在系统遭到损害后，能够恢复部分功能。

第二级：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源

发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要

资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一

段时间内恢复部分功能。

第三级：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥

有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当

危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统

遭到损害后，能够较快恢复绝大部分功能。

1

第四级：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织

的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危

害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损

害后，能够迅速恢复所有功能。

根据本次项目工程建设要求以及上级单位和网安办对网络系统安全要求，按

照第三级安全监督保护级的要求进行建设。

3.方案概述

3.1方案设计目标

通过详细设计方案设计工作实现以下目标：

1、使安全体系的设计可以符合政务服务实际安全需求，指导解决政务服务

人员、制度和技术各个方面的信息安全问题，符合政务服务特点的整体信息安全

保障体系。

2、指导政务服务进行整体等级保护建设工作，促进安全体系的建设，成功

通过国家权威测评机构测评，最终通过公安部的备案认可。两个目标在本质上是

一致的，符合等级保护政策是外在动力，提升政务服务信息安全管理水平是内在

需求，都是在为安全保护体系的建设做好规划和设计工作。

3.2方案设计依据

本方案根据国家提出的等级保护管理办法和实施指南，针对信息系统的特点

和安全建设需求，进行全面的安全保障规划，设计中重点参考的政策和标准包括

以下两个部分：

信息系统安全等级保护标准和规范

本方案重点参考以下的的政策和标准：

公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的

指导思想通知）

公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知）

GB17859-1999计算机信息系统安全保护等级划分准则

等级保护

GB/T25058-2010信息系统安全等级保护实施指南

2

GB/T25070-2010信息系统等级保护安全设计技术要求

系统定级GB/T22240-2008信息安全技术信息系统安全保护等级定级指南

GB/T20270-2006信息安全技术网络基础安全技术要求

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20272-2006信息安全技术操作系统安全技术要求

技术方面GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求

GA/T671-2006信息安全技术终端计算机系统安全等级技术要求

GA