1信息安全体系建设方案设计1.1需求分析1.1.1采购范围与基本要求建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T22239-2008)。1.1.2建设内容要求(1)编写安全方案和管理制度信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。(2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统,其设备为:设备名称技术指标要求单位数量专业VPN设备支持基于TCP、UDP、ICMP的应用;支持主流操作系统、浏览器;支持主流商业加密算法与国密算法;产品具备传统IPSEC/SSLVPN认证、加密、接入基本功能;中国制造台1WEB防火墙可及时发现APT、窃取数据等隐蔽性极强的安全事件,并通过云安全服务提供7*24小时安全分析、问题定位、快速响应的技术服务,利用工具化手段进行威胁处理和情报传递;中国制造台1防火墙吞吐量不小于10G,并发连接数不小于200万,配置不少于4个千兆电接口,不少于4个千兆SFP插槽,不少于4个万兆SFP+插槽;中国制造台22上网行为管理吞吐量1G,最大并发连接数12W,最大用户数800人,千兆电口6个,支持BYPASS功能,单电源,标准1U设备;支持部署在IPv6环境中,其所有功能(认证、应用控制、内容审计、报表等)都支持IPv6;支持多种认证方式,包括用户名密码、IP、MAC认证、短信认证、微信认证、二维码认证,并支持以USB-Key方式实现双因素身份认证;支持用户密码强度管理,可设置用户密码不能等于用户名、新密码不能与旧密码相同,可设置密码最小长度、密码必须包括数字或字母或特殊字符;支持识别终端系统后台运行的进程信息,防止间谍软件的运行;支持识别终端操作系统版本、系统补丁安装情况,支持在旁路模式部署下准入生效,禁止不满足终端检查要求的用户访问互联网;支持根据网页搜索关键字过滤访问的网站,并发送告警邮件;支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ:QQ传文件、QQ视频语音等;支持Web访问质量检测,针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级;支持内置数据中心和独立数据中心;支持对数据中心分权限查看,具有数据中心key功能;支持自定义报表、查看历史报表、支持日志的导出、报表的定时发送到邮箱;支持基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中;支持动态流量管理,在设置流量策略后,能根据整体线路或者某流量通道内的空闲和繁忙情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率,空闲值可自定义;中国制造套1终端杀毒软件网络版满足所有办公区办公人员的网络杀毒需求;中国制造套1网络防病毒服务器端1颗IntelXeonE3-1220v5(至强Xeon3.0G8M1150P4CORE)处理器,DDR416008G*216G内存,1块1TB企业级硬盘,支持CentosLinux和Windows操作系统;中国制造台11.2设计方案智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。1.2.1安全体系建设依据根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:3防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。1.2.2安全体系编制原则为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。保密原则:确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。1.2.3体系建设内容(1)安全管理体系制定和完善与XX高新区智慧园区基础建设项目信息安全保护相适应的配套管理制度和要求,制度相关内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理,要求包括对硬件环境和软件环境的要求。(2)安全技术体系根据网络特殊需求和业务流程制定网络安全及安全加固方案,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,降低恶意攻击4者利用安全漏洞威胁系统安全运行的几率,从而有效控制因系统配置不当等因素引发的业务中断及信息外泄等风险,将高风险漏洞和中风险漏洞降低至可接受的范围内,使得应用系统的安全状况提升到一个较高的水平。通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。(3)安全运维体系安全运维通常包含两层含义:a)是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作,保障系统不受内、外界侵害。b)对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的事件(包含关联事件)通称为安全事件,而围绕安全事件、运维人员和信息资产,依据具体流程而展开监控、告警、响应、评估等运行维护活动,称为安全运维服务。1.2.4安全体系架构平台的系统安全体系架构包括以下几方面:(1)集中用户管理系统用户在不同的业务系统有不同的角色定义,对应不同的功能权限,需构建相应的用户集中管理模式,实现用户统一身份和标识管理、统一认证及单点登录。(2)用户命名统一实现用户命名统一,为用户集中管理及信息共享提供支撑。(3)身份认证系统对不同岗位人员实行分级授权,对用户的访问权限实行有效的管理。(4)访问控制设置防火墙和网段划分,实现有效的安全隔离和访问控制;同时,在系统权限方面,对每一个不同的角色,依照最小授权原则,分配完成其任务的最小权限,并使用基于角色的访问控制机制来控制用户对信息的访问和操作;(5)入侵检测设置入侵监测系统,防止非法入侵,及时做出应对措施。5(6)漏洞扫描采用专业漏洞扫描工具,定期对网络系统及计算机系统进行漏洞扫描,及时发现潜在安全隐患,加以防范处理。(7)病毒防范在服务器安装防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力;在网络内安装网络版防病毒系统,客户端可以在内网升级病毒库,做到整体防御。(8)数据安全交换在系统安全、网络安全的基础上,实现内网和外网、内网和专网间的数据安全交换。(9)系统操作日志通过操作日志功能,定义和区分操作级别,根据操作级别进行记录,为日志分析功能提供数据,发现并处理安全问题隐患,增强系统防护性能。此外,系统还可以根据需要提供日志统计功能,对诸如访问量、并发访问数等系统性能参数进行比对,以便系统管理员及时调整和优化系统性能。(10)安全防护体系建立完善的安全防护系统,从安全规章制度建设、安全管理手段建设等方面保障系统的安全可靠、稳定运行。1.2.5信息安全体系设计工作方案(1)完善信息安全组织体系成立以政府职能部门为主的“智慧园区”安全管理机构,强化和明确其职责;在健全信息安全组织体系的基础上,切实落实安全管理责任制。明确各级、各部门作为信息安全保障工作的责任人;技术部门主管或项目负责人作为信息安全保障工作直接责任人,强化对网络管理人员和操作人员的管理。(2)加强信息安全配套建设消除信息安全风险隐患,把好涉密计算机和存储介质、内部网络对外接入、设备采购和服务外包三个重要的管理关口。对政府信息系统和涉及重大民生及城市公共服务重要系统,建立与之配套的数据灾备中心。(3)加强对涉密信息的监督管理对相关单位将涉密信息存储在联网计算机上并违反规定上互联网,将涉密信息6暴露在互联网上的要及时纠正,并对有关人员进行教育和处理。对网上发布的信息进行监控,及时发现泄密事件,将危害控制在最小的范围内,使保密制度得到有效的执行和落实。(4)建立健全信息安全制度针对园区信息安全管理制定相应管理制度和规范;要求基础网络和重要信息系统运营、使用单位根据自身情况,制定包括安全责任制度、定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的日常信息安全规章制度。1.2.6信息安全体系设计预期成果预期成果完成编写安全方案和管理制度,信息安全体系的建设,符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。安全信息化系统管理制度(1)为规范本单位安全信息化系统的管理,保障系统安全、稳定、可靠运行,充分发挥安全信息化系统的作用,特制订本细则。(2)各部门办公计算机应明确使用人,设置安全保护密码,未经本人许可或领导批准,任何人不应擅自开启和使用他人的办公计算机。(3)维护职责1)办公室为安全信息化系统运行维护的管理部门,负责安全信息化系统运行维护工作的协调、指导和管理工作。相关人员负责系统数据日常录入、维护和数据统计分析。2)办公室负责安全信息化系统的日常维护和管理工作。组织协调技术合作单位对安全信息化系统所涉及的软硬件开展故障解决、巡回检查、系统性能调优、系统升级实施、应用接口、系统拓展应用、应用技术培训等工作。(4)维护范围及内容1)安全信息化系统维护工作的范围:安全信息化系统所涉及的全部硬件设备、操作系统、数据库系统、中间件、应用软件、数据接口以及用户访问权限等。2)安全信息化系统的主要维护内容包括:系统设备运行状态的日常监测、定期保养、故障诊断与排除;操作系统、数据库系统、中间件及应用软件的故障诊断与7排除;系统日常的巡回检查;数据交换与传输;配置变更管理;数据问题管理;系统性能调优;系统升级和拓展应用等。(5)日常维护与故障管理1)技术支持与服务途径:a)技术合作单位派驻现场技术服务组开展日常技术支持服务,提供包括系统、配置、安装、调试以及使用中遇到的各类技术问题和使用问题的咨询,并协助排查和解决各类系统故障。b)技术合作单位定期整理汇编常见问题和解决办法,并以技术文档的形式按季度提供给办公室。2)计算机管理员每季度组织对安全信息化系统的运行情况进行