电子政务等级保护整体解决方案
随着我国电子政务、政府上网等信息化建设快速发展,政府及事业单位与各直属机构、外界相关单位信息交互的网络安全就变得更为必要当前。对于政府信息化系统的安全问题,大多数考虑最多的还是病毒,认为病毒对政府各系统的影响最大,所以大部分的财力人力都投向了防病毒系统。但事实证明,这些还远远不够,仍然会有很多心怀叵测的人或者组织对政府部门发起攻击,甚至数据窃密等,往往会对政府部门的核心数据造成不可弥补的损失。
按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。当前,几乎所有的大型政府和事业单位对于网络安全的重视程度普遍提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
大多政府和事业单位重视提高其网络的边界安全,暂且不提它们在这方面的投资多少,但是大多数政府和事业单位网络的核心内网还是非常脆弱的。实践证明,很多成功防范政府和事业单位网边界安全的技术对保护政府和事业单位内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。
根据电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验,综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题:
如何体现“适度安全,促进应用,综合防范”的要求。近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。在电子政务系统中,运行的涉密信息越来越少。
在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。电子政务的等级保护是一个持续改进、调整的过程,在规划伊始,需要坚持高视野、高起点的原则,保持技术应用方面的灵活性。所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题,安全技术的引入,需要保证几个网络的融合与有效区隔共存的现实要求。
在电子政务主机系统安全、应用和数据安全体系建设过程中,需要充分考虑安全系统的整体规划,确保安全系统的可持续升级和扩充能力。
如何在开放互联的环境下,保证电子政务网络的安全性问题,将成为下一阶段电子政务等级保护实施关注的重点问题。
国内优秀内网安全产品与服务提供商中普信息公司,针对政府和事业单位普遍性的疑问,给出了应对政府和事业单位内网安全挑战的“一站式” ETIMS电子政务等级保护整体解决方案。ETIMS可信内网安全平台政务专版是专门针对政府和事业单位用户的高强度电子政务等级保护整体解决方案。ETIMS平台以安全通道技术、密码技术为支撑,以数据安全为核心,身份认证为基础,灵活全面地定制并实施安全策略,实现对内网中用户、计算机终端和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。ETIMS可信内网安全平台旨在解决政府和事业单位内部网络的身份认证和授权、数据信息保密、数字知识产权保护及网络监控审计等安全问题。
ETIMS可信内网安全平台采用C/S模式,由六个子系统组成,分别是ETIMS(易泰)可信网络认证授权系统、ETIMS(易泰)可信网络分域管理系统、ETIMS(易泰)可信数据保密管理系统、ETIMS(易泰)可信网络监控审计系统、ETIMS(易泰)可信桌面安全管理系统和ETIMS(易泰)可信移动存储设备管理系统。这六个系统既可独立使用,也可以统一配备,根
据用户的需要进行灵活的组合。
作为国内领先的内网安全解决方案提供商,中普信息融合“可信计算”安全理念,结合“可信校验、可信连接、可信恢复” 等核心技术,来构建“一站式”ETIMS(易泰)可信内网安全平台整体解决方案。该平台以安全通道技术、密码技术为支撑,依托ETIMS可信网络认证授权系统、ETIMS可信网络分域管理系统、ETIMS可信数据保密管理系统、ETIMS可信网络监控审计系统、ETIMS可信桌面安全管理系统和ETIMS可信移动存储设备管理系统六大模块形成了“一站式的内网安全解决方案”。
中普信息是中国“全方位一站式内网安全”、“可信终端安全”思想的首倡者和领导者,是国内首家“全方位一站式内网安全解决方案”提供商,也是国内成长最快的内网安全和数据安全公司之一,其推出的“ETIMS内网安全与数据安全一站式解决方案”在国内内网和数据安全产品评测中竞争力第一。中普信息推出的ETIMS(易泰)可信内网安全平台整体解决方案相互独立且相辅相成的模块化设计,形成了立体化的内网安全保护体系,提供了多种灵活的安全措施,可根据不同用户的应用需求提供具有针对性的内网安全解决方案,帮助政府和事业单位切实有效的解决内网安全问题。ETMIS内网安全解决方案,“全方位、一站式”信息安全服务,为政府和事业单位信息化建设实现“化繁为简,轻松管理”,打造安全可信的内网信息安全体系。
信息安全等级保护(二级)建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)
2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)
《电子政务等级保护安全保障体系研究》摘要。随着5g网络通信技术的发展,万物互联逐步形成,网络攻击行为越来越频繁和多样化,构建符合等级保护2.0技术要求、主动防御网络攻击行为的电子政务安全保障体系,尤为重要。 关键词:电子政务;等级保护;安全保障体系;区域边界安全 随着5g网络通信技术的发展,万物互联正逐步形成,每个被接入网络的点都有可能被黑客利用,网络攻击的行为越来越频繁,攻击方式越来越多样化;政府大力推进“一网办”,电子政务网作为“一网办”的承载体,安全保障体系尤为重要。本文以市级电子政务网为例,结合实际工作,阐述如何构建具有主动防御功能的安全保障体系。 1电子政务主动防御体系 2电子政务安全等级确定 按照《ga/t1389-xx信息安全技术网络安全等级保护定级指南》,从业务信息安全和系统服务安全两个方面对电子政务网进行定级。电子政务网承载了政府办公业务以及公众服务业务,业务安全级别较高;一旦业务数据遭受攻击,将影响政府办公、公众办理业务,更严重者,可能导致政府决策信息泄露或数篡改,影响社会秩序和公共利益,不影响国家安全。在系统安全服务层面,电子政务保障了各业务系统正常被访问,数据正常传输,安全级别较高;一旦电子政务遭受攻击,导致网络中断,影响社会秩序和公共利益,不影响国家安全。综合业务信息安全和系统服务安全两个方面的认识,根据定级指南,电子政务定级为三级。
3电子政务等级保护安全总体设计 针对电子政务按照不同的区域以及行业进行分域保护,充分考虑到电子政务发展中的不同类别、阶段以及等级等,将其划分为相应的安全区域进行管理[2]。电子政务等级保护安全总体设计,遵循等级保护2.0技术标准,从技术和管理两个方面构建,技术方面包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面。由此构建电子政务的安全保障机制[3]。 4电子政务等级保护安全保障体系构建 构建电子政务的安全保障体系,根据《gb/t22239-xx信息安全技术网络安全等级保护基本要求》,形成一个中心三重防护,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。 4.1建立电子政府分域保护框架。按照等级保护三级技术要求,网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各网络分配地址,且重要网络区域与其他网络区域之间应采用可靠的技术手段隔离。由此将安全保障机制划分为5域15区机制[4]。5域包括基础设施域、通信网络域、区域边界域、计算环境域和安全管理域;15区包括非涉密机房区、网络边界区、核心数据区、托管服务区、业务系统区、业务测试区、涉密机房区、电子政务内网区、电子政务外网区、终端边界区、资源共享交换区、办公区、安全管理区、安全
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
电子政务高清视联网服务平台解决方案 导读:电子政务高清视联网服务平台采用目前全球最先进的实时高清视联网交换技术,结合新三网融合架构技术,可以实现大规模、高品质、实时、双向对称的高清视频全交换,在一个平台上支持包括高清数字电视、高清视频会议、视频点播、视频监控、现场直播、多媒体信息发布等数十种各种形态的视频多媒体服务。 在现代计算机、网络通信等技术支撑下,电子政务所涉及到的政府机构日常办公和管理等事务,日趋需要高清视频的支持,如各级政府横向和纵向间的视频会议、部门间的视频资源共享、政府实时信息发布、远程监控、应急指挥等。但目前这些功能都只能靠众多独立的系统完成,互相之间不能替代,也不能互联互通,在普及和使用上很不方便。 电子政务高清视联网服务平台采用目前全球最先进的实时高清视联网交换技术,结合新三网融合架构技术,可以实现大规模、高品质、实时、双向对称的高清视频全交换,在一个平台上支持包括高清数字电视、高清视频会议、视频点播、视频监控、现场直播、多媒体信息发布等数十种各种形态的视频多媒体服务。 高清视联网对电子政务的应用功能 基于高清视联网技术下的电子政务高清视联网服务平台采用“分散控制,集中管理”的架构,可以在同一个平台上实现智能化的高清视频会议、视频监控、远程培训、多媒体信息发布、应急指挥、互动点播等一系列功能,可以大大满足电子政务对高清视频通信、培训、应急指挥等需求。
高清视频会议: 通过电子政务高清视联网服务平台的高清视频会议功能,政府内部、政府与分支机构之间,可随时召开高清视频会议,迅速掌握各方面汇集上来的信息,为政府缩短了决策时间,提高了部门的运作效率。 电子政务高清视联网服务平台下所有连接有高清双向互动终端 的显示设备(液晶电视等)均可以发起、参加或收看视频会议,由于每个分会场都可以作为主席方发起会议,从而省去传统视频会议由MCU 管理会议等操作,使系统维护管理更为方便。支持现场提问、现场表决、发起新议题等功能。电子政务高清视联网服务平台还支持点对点的视频通讯,用于领导之间一对一的可视通讯,以便有关领导尽快决策。 在视频会议、可视通讯过程中,通话双方随时可以将当前视频画面录制下来,存入核心视频服务器中,以便需要时随时调用。 视频监控 电子政务高清视联网服务平台可全面兼容政府及分支机构现有 视频监控系统,统一存储,统一调度,在授权范围内可以对需要区域实施集中的、实时的监控,监控图像进行存储录像,还可随时查看所保存的任意时间的录像资料。 电子政务高清视联网服务平台还具备周界防范、人流量统计功能,同时具备基本事件自动检测技术,可对任意监控区域内的事件自动检测、报警、自动识别,用于更好地预警和实施管理。 远程培训
目录 三级等保安全设计思路 (2) 1、保护对象框架 (2) 2、整体保障框架 (2) 3 、安全措施框架 (3) 4、安全区域划分 (4) 5、安全措施选择 (5) 6、需求分析 (6) 6.1、系统现状 (6) 6.2、现有措施 (6) 6.3 具体需求 (6) 6.3.1 等级保护技术需求 (6) 6.3.2 等级保护管理需求 (7) 7、安全策略 (7) 7.1 总体安全策略 (7) 7.2 具体安全策略 (8) 8、安全解决方案 (8) 8.1 安全技术体系 (8) 8.1.1 安全防护系统 (8) 8.2 安全管理体系 (8) 9、安全服务 (8) 9.1 风险评估服务 (9) 9.2 管理监控服务 (9) 9.3 管理咨询服务 (9) 9.4 安全培训服务 (9) 9.5 安全集成服务 (9) 10、方案总结 (10) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
关于电子政务信息安全等级保护 相关文件的学习报告 1 引言 1.1 编写目的 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。 27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。 1.2 适用范围 本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。 1.3 文档结构 本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。 2 基本原理 2.1 基本概念 2.1.1 电子政务等级保护的基本含义 信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。” 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指
目录 1 项目背景 (4) 2 建设目标 (6) 3 信息安全等级保护综合管理系统 (7) 3.1 信息安全等级保护综合管理系统概述 (7) 3.2 系统架构 (11) 3.3 系统功能 (15) 3.3.1 定级备案管理 (15) 3.3.2 建设整改管理 (18) 3.3.3 等级测评管理 (19) 3.3.4 安全检查管理 (21) 3.3.5 风险评估管理 (22) 3.3.6 风险评估测评 (23) 3.3.7 风险评估管理 (25) 3.3.8 日常办公管理 (26) 3.3.9 统计分析 (27) 3.3.10 基础数据管理 (28) 3.3.11 分级管理 (31) 3.3.12 系统接口 (31) 3.4 系统安全性 (33) 3.5 系统部署 (35) 3.6 系统配置要求 (35)
4 网安全管理系统 (36) 4.1 网安全管理系统概述 (36) 4.2 产品架构 (37) 4.2.1 终端监控引擎 (38) 4.2.2 总控中心 (38) 4.2.3 管理控制台 (39) 4.2.4 系统数据库 (39) 4.3 产品功能 (39) 4.3.1 终端运维管理 (39) 4.3.2 终端安全加固 (41) 4.3.3 终端安全审计 (43) 4.3.4 网络准入控制 (44) 4.3.5 移动存储管理 (45) 4.4 产品性能 (46) 4.4.1 终端引擎性能 (46) 4.4.2 总控性能 (46) 4.4.3 产品性能指标 (47) 4.5 产品规 (47) 4.6 产品部署 (48) 5 控管理平台(堡垒主机) (51) 5.1 堡垒主机概述 (51) 5.2 产品功能 (51)
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
信息系统等级保护建设 指导要求
目录 1.范围.............................................. 错误!未定义书签。 2.项目背景.......................................... 错误!未定义书签。 2.1.前言 ........................................ 错误!未定义书签。 2.2.开展信息安全等级保护的法规、政策和技术依据 .. 错误!未定义书签。 2.2.1 ............................................................................. 信息安全等级保护有 关法规、政策、文件............................. 错误!未定义书签。 2.2.2 ............................................................................. 信息安全等级保护技 术标准体系及其关系............................. 错误!未定义书签。 3.方案设计要求 (4) 3.1.方案设计思想 (4) 3.1.1 ........................................................................................................ 构 建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2 ........................................................................................................ 建 立科学实用的全程访问控制机制 (4) 3.1.3 ........................................................................................................ 加 强源头控制,实现基础核心层的纵深防御 (5) 3.1.4 ........................................................................................................ 面 向应用,构建安全应用支撑平台 (6) 3.2.建设原则 (6) 3.3.建设内容 (8) 3.3.1 ............................................................................. 信息系统定级整改规 划错误!未定义书签。 3.3.2 ............................................................................. 信息系统安全等级保 护整体架构设计(三级)......................... 错误!未定义书签。 3.4.计算环境安全设计 ............................................ 10 5.1.1 ............................................................................. 用户身份鉴别错 误!未定义书签。 5.1.2 ............................................................................. 强制访问控制错 误!未定义书签。 5.1.3 ........................................................................................................ 系 统安全审计..................................................... 11 5.1.4 ........................................................................................................ 用 户数据完整性保护............................................... 11 5.1.5 ............................................................................. 用户数据机密性保护 错误!未定义书签。 5.1.6 ............................................................................. 客体安全重用错 误!未定义书签。 5.1.7 ............................................................................. 程序可执行保护 错误!未定义书签。 3.5.区域边界安全设计 ............................................
山东省电力集团公司信息系统等级保护建设方案 二零零九年八月
版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司所有,受到有关产权及版权法保护。任何个人、机构未经国网电力科学研究院/国网信息网络安全实验室和山东省电力集团公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。 文档信息 文档名称山东省电力集团公司信息系统等级保护建设方案 文档管理编号INSL-SDDL-BLT-2009-FA 保密级别商密文档版本号V3.0 制作人郭骞制作日期2009年6月复审人余勇复审日期2009年6月扩散范围国家电网公司信息网络安全实验室 山东省电力集团公司 扩散批准人林为民 版本变更记录 时间版本说明修改人 2009-8V1.0 创建文档郭骞 2009-8V2.0 修改文档俞庚申 2009-8V3.0 文档复审定稿余勇 适用性声明 本报告由国网电力科学研究院/国网信息网络安全实验室撰写,适用于山东省电力集团公司信息系统等级保护项目。
目录 1.项目概述 (1) 1.1目标与范围 (1) 1.2方案设计 (2) 1.3参照标准 (2) 2.等保现状及建设总目标 (2) 2.1等级保护现状............................................................. 错误!未定义书签。 2.1.1国家电网公司等保评测结果.............................. 错误!未定义书签。 2.1.2公安部等保测评结果.......................................... 错误!未定义书签。 2.2等级保护建设总体目标 (2) 3.安全域及网络边界防护 (3) 3.1信息网络现状 (3) 3.2安全域划分方法 (4) 3.3安全域边界 (5) 3.3.1二级系统边界 (5) 3.3.2三级系统边界 (6) 3.4安全域的实现形式 (7) 3.5安全域划分及边界防护 (8) 3.5.1安全域的划分 (8) 4.信息安全管理建设 (11) 4.1建设目标 (11) 4.2安全管理机构建设..................................................... 错误!未定义书签。 4.3安全管理制度完善..................................................... 错误!未定义书签。 5.二级系统域建设 (12) 5.1概述与建设目标 (12) 5.2网络安全 (13) 5.2.1网络安全建设目标 (13) 5.2.2地市公司建设方案 (13) 5.3主机安全 (19) 5.3.1主机安全建设目标 (19)
互联网+政务服务解决方案 一、背景介绍 1.1平台概述 依据《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》国办函〔2016〕108号文件要求,按照党中央、国务院决策部署,进一步规范行政权力运行、优化政务服务供给,降低制度性交易成本,解决影响企业和群众办事创业的难点堵点,进一步激发社会和市场活力。 在互联网时代,利用信息化手段,支撑简政放权,加强事中事后监管,通过互联网与政务服务深度融合,实现“一号一窗一网”目标,促使服务流程显著优化,服务模式更加多元,服务渠道更为畅通,让居民和企业少跑腿、好办事、不添堵。 我公司专注电子政务领域十余年,开发出符合互联网时代的新一代互联网+政务服务”整体解决方案,完全实现了信息共享,一网通办,极大的方便了办事群众,为行政审批体制改革添砖加瓦。 1.2现状痛点 事项上网跟不上 上网事项以审批类为主,大量群众关心的服务事项没有上网,办事信息不准确不实用。甚至出现明显错误遗漏,群众办事仍然“找不到、看不懂、办不通”。 流程优化跟不上 网上事项大多照搬先线下流程,没有按照互联网办事规律进行优化,有的地方在线上提交了电子版材料,还需要在线下提交纸质材料,办事反而更加繁琐。 信息共享跟不上 办事系统之间难以实现后台认证和业务协同,办事材料仍需要重复提交。有些地方,一台办事窗口同时有多台电脑,运行多个系统,由于没有实现共享,工作人员需要在不同系统间重复录入数据,工作量大幅增加。 平台融合跟不上
实体和网上两个平台相互割裂,办事流程和规则各不相同,没能做到线上线下无缝衔接,顺畅运转。有的在平台上下载了办事表格,到了服务大厅却说网上的表格不对,需要重新填写。这些问题导致网上服务的质量不高,效果不明显,和公众的期望还有很大差距。 1.3整体框架 二、解决方案 2.1政务服务平台 2.1.1网上办事大厅 主要完成各个局级部门之间的数据收集、分发等管理。数据交换系统主要包含前置交换子系统、交换传输子系统、中心交换子系统、交换管理子系统、交换信息采集子系统、系统接口平台等六个子平台。 2.1.2网上APP服务平台 民众通过手机终端程序,按照审批事项办理的条件,提交事项办理的申请,同时民众可以通过拍照功能准备申请材料并提交上报。
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)
v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台(soc) (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)
信息系统等级保护建设 指导要求 (三级)
目录 1. 范围............................................................................................................错误!未定义书签。 2. 项目背景....................................................................................................错误!未定义书签。 2.1. 前言................................................................................................错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据 ....................错误!未定义书签。 2.2.1信息安全等级保护有关法规、政策、文件...........................错误!未定义书签。 2.2.2信息安全等级保护技术标准体系及其关系...........................错误!未定义书签。 3. 方案设计要求 (4) 3.1. 方案设计思想 (4) 3.1.1构建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2建立科学实用的全程访问控制机制 (4) 3.1.3加强源头控制,实现基础核心层的纵深防御 (5) 3.1.4面向应用,构建安全应用支撑平台 (6) 3.2. 建设原则 (6) 3.3. 建设内容 (8) 3.3.1信息系统定级整改规划...........................................................错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)...................错误!未定义书签。 3.4. 计算环境安全设计 (10) 5.1.1用户身份鉴别...........................................................................错误!未定义书签。 5.1.2强制访问控制...........................................................................错误!未定义书签。 5.1.3系统安全审计 (11) 5.1.4用户数据完整性保护 (11) 5.1.5用户数据机密性保护...............................................................错误!未定义书签。 5.1.6客体安全重用...........................................................................错误!未定义书签。 5.1.7程序可执行保护.......................................................................错误!未定义书签。 3.5. 区域边界安全设计 (11) 5.2.1区域边界访问控制 (11) 5.2.2区域边界包过滤 (14) 5.2.3区域边界安全审计 (14) 5.2.4区域边界完整性保护...............................................................错误!未定义书签。 3.6. 安全通信网络设计 (16) 3.7. 安全管理中心设计........................................................................错误!未定义书签。 4. 物理安全要求............................................................................................错误!未定义书签。 4.1. 信息系统中心机房安全现状........................................................错误!未定义书签。 4.2. 信息系统物理安全方面提出的要求............................................错误!未定义书签。 4.3. 信息系统物理安全建设................................................................错误!未定义书签。 5.3.1环境安全...................................................................................错误!未定义书签。 5.3.2设备安全...................................................................................错误!未定义书签。 5.3.3介质安全...................................................................................错误!未定义书签。 5. 管理安全要求............................................................................................错误!未定义书签。 5.1. 信息系统安全管理的要求............................................................错误!未定义书签。 5.2. 信息系统安全管理建设设计........................................................错误!未定义书签。 6.2.1安全管理建设原则...................................................................错误!未定义书签。
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
附件 2: 国家电子政务外网 安全等级保护基本要求(试行) Baseline for classified protection of National E-Government Network
国家电子政务外网管理中心二○一一年十二月 目次 前 言 .............................................................................................................................................................. (1) 引言 (2) 适用范围 (3) 2. 规范性引用文件 (3) 3. 术语和定 义 (3) 4. 政务外网资产、威胁分析和脆弱 性 (5) 4.1. 资产分析 (5) 4.2. 威胁分析 (6) 4.3. 脆弱性分析 (7)
5. 政务外网安全等级保护概述 (8) 5.1. 政务外网安全保护等 级 (8) 5.2. 不同等级的安全保护能 力 (8) 6. 第二级基本要求 (9) 6.1. IP 承载网9 6.1.1. 广域 网 (9) 6.1.2. 城域 网 (9) 6.1.3. 用户局域 网 (10) 6.2. 业务区域网 络 (10) 6.2.1. 公用网络 区 (10) 6.2.2. 互联网接入 区 (10) 6.3. 管理区域网 络 (11) 6.3.1. 网络管理 区 (11) 6.3.2. 安全管理 区 (11) 7. 第三级基本要求 (11) 7.1. IP 承载网11 7.1.1. 广域 网 (11) I 7.1.2. 城域