《XX信息系统等级保护三级测评建设方案》由会员分享,可在线阅读,更多相关《XX信息系统等级保护三级测评建设方案(10页珍藏版)》请在装配图网上搜索。
1、XX信息系统等级保护三级测评建设方案目录一. 概述3目标3范围3依据标准3二. 建设方案4 物理平安4 网络平安5 主机平安7 应用平安9三. 费用预算10一. 概述1.1 目标为了落实和贯彻公安部、国家保密局、国家密码管理局等国家有关部门信息平安等级保护工作要求,全面完善信息平安防护体系,提高整体信息平安防护水平,开展等级保护建设工作,确保信息系统平安防护能力到达等保三级的要求。1.2 范围本次等级保护建设工作范围为包括XX内部业务专网系统,该网络承载查控系统、科技系统、OA、内网门户网站等应用,其中查控系统效劳器部署在XX,XX只部署了业务终端,随着业务办理的需要,需要在XX部署单独的查控
2、系统作为对原有系统的补充,实现与相关市局单位的业务对接。1.3 依据标准本方案主要遵循如下标准 ?信息平安技术信息平安等级保护根本要求?GB/T22239-2021?信息平安等级保护管理方法?公通字200743号?信息平安技术信息平安风险评估标准?GB/T20984-2007二. 建设方案2.1 物理平安物理平安方面主要需要对机房平安保障措施进行适当的平安考虑,目前机房方案进行重建,重建机房需要重点考虑如下平安措施:指标项要求平安设施.2物理访问控制d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。电子门禁.3防盗窃和防破坏e)应利用光、电等技术设置机房防盗报警系统;防盗报警f)应
3、对机房设置监控报警系统。防盗报警.4防雷击a)机房建筑应设置避雷装置;楼栋防雷b)应设置防雷保安器,防止感应雷;机房防雷器c)机房应设置交流电源地线。接地.5防火a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;自动气体灭火系统d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。漏水报警系统.7防静电a)主要设备应采用必要的接地防静电措施;接地b)机房应采用防静电地板。静电地板.8温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内精密空调.9电力供应a)应在机房供电线路上配置稳压器和过电压防护设备;在线式UPSb)应提供短期
4、的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;UPSc)应设置冗余或并行的电力电缆线路为计算机系统供电;双市电供电d)应建立备用供电系统。发电机.10电磁防护a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;接地c)应对关键设备和磁介质实施电磁屏蔽。屏蔽机柜2.2 网络平安指标项要求平安设施.1结构平安a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务顶峰期需要;主干链路和设备双冗余,核心交换机、会聚交换剂、防火墙均采用两台热备。b)应保证网络各个局部的带宽满足业务顶峰期需要;c)在业务终端与业务效劳器之间进行路由控制建立平安的访问路径;d)应绘制与当前运行情况相符的
5、网络拓扑结构图;e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原那么为各子网、网段分配地址段;f)应防止将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;防火墙g)按照对业务效劳的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。.4边界完整性检查a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;网络准入系统b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。非法外联监测系统.5入侵防范a
6、)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;IPS/下一代防火墙b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。IPS/下一代防火墙.6恶意代码防范a)应在网络边界处对恶意代码进行检测和去除;病毒网关/下一代防火墙b)应维护恶意代码库的升级和检测系统的更新。病毒网关/下一代防火墙.2 访问控制a)应在网络边界部署访问控制设备,启用访问控制功能;防火墙c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级
7、的控制;WEB应用防火墙WAF.3 平安审计a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;堡垒主机b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;堡垒主机c) 应能够根据记录数据进行分析,并生成审计报表;堡垒主机d) 应对审计记录进行保护,防止受到未预期的删除、修改或覆盖等。堡垒主机.7 网络设备防护b) 应对网络设备的管理员登录地址进行限制;堡垒主机d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;堡垒主机g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;堡垒主
8、机2.3 主机平安指标项要求平安设施.1 身份鉴别d)当对效劳器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;堡垒主机e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。堡垒主机f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。堡垒主机.3 平安审计a)审计范围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户;堡垒主机b) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件;堡垒主机c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;堡垒主机d) 应能够根据记录数据进
9、行分析,并生成审计报表;堡垒主机e)应保护审计进程,防止受到未预期的中断;堡垒主机f)应保护审计记录,防止受到未预期的删除、修改或覆盖等。堡垒主机.6 恶意代码防范a)应安装防恶意代码软件,及时更新防恶意代码软件版本和恶意代码库;杀毒软件b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;杀毒软件c)应支持防恶意代码的统一管理。杀毒软件.7 资源控制a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;堡垒主机c)应对重要效劳器进行监视,包括监视效劳器的CPU、硬盘、内存、网络等资源的使用情况;SOC系统e)应能够对系统的效劳水平降低到预先规定的最小值进行检测和报警。SOC
10、系统2.4 应用平安指标项要求平安设施.1 身份鉴别b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;CA/USBkey等.5 通信完整性应采用密码技术保证通信过程中数据的完整性。HTTPS/SSL VPN等.6 通信保密性a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;HTTPS/SSL VPN等b) 应对通信过程中的整个报文或会话过程进行加密。HTTPS/SSL VPN等.7 抗抵赖a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;CAb)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。CA.3 备份和恢复a)应提供本
11、地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;异地备份b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;异地备份c)应采用冗余技术设计网络拓扑结构,防止关键节点存在单点故障;热备d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。热备三. 费用预算完整建设方案预算如下:序号工程数量/单位预算万元备注1.机房装修及改造1/项1202.核心交换机2/台203.会聚交换机2/台104.下一代防火墙2/台305.Web防火墙2/台306.堡垒主机1/台207.网络准入系统2/台208.等级保护测评及风险评估1/个20两个三级系统合计270短期内,如须完成查控系统测评、整改、备案工作,建议增加部署一台防火墙将查控电脑与内部网络进行隔离,确保该终端电脑只访问XX查控系统效劳器,以查控终端系统形式完成等级保护三级测评,备案工作,对应预算如下:序号工程数量/单位预算万元备注1.防火墙1/台152.等级保护测评及风险评估1/个10一个三级系统
XX信息系统等级保护三级测评建设方案
