一。 前言。
随着我国信息化建设的不断深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到****、经济命脉、社会秩序,信息系统安全问题已经被提到关系****和国家主权的战略性高度,已引起各界的关注。
由于信息系统的安全保障体系建设是一个极为复杂的工作,为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多,结构复杂,覆盖地域广阔,涉及的行政部门和人员众多,建设起来困难重重,我国多数信息系统安全一直停留在网络安全阶段。为了保障我国现代化建设的有序进行,必须加强我国的信息系统安全体系建设。
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
二。 概述。
三。 项目目标。
根据对xxxx运行监控系统的了解,并结合国家的相关政策标准,xxxx运行监控系统的信息安全建设应落实《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)和《关于开展信息系统安全等级保护基础调查工作的通知》(公信安【2005】1431号),实施符合国家标准的安全等级保护体系建设,通过对xxxx运行监控系统的安全等级划分,合理调配xxxx运行监控系统的资源、信息科技资源、业务骨干资源等,重点确保xxxx运行监控系统的核心信息资产的安全性,从而使重要信息系统的安全威胁最小化,达到xxxx运行监控系统信息安全投入的最优化。实现信息资源的机密、完整、可用、不可抵赖和可审计性,基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”,具体目标是:
并协助完成如下任务:
1、定级:根据国家等级保护的要求,对xxxx运行监控系统提出合理的定级建议,组织专家评审定级是否合理,协助甲方完成定级工作;
2、评估:xxxx运行监控系统等级保护工作不是在原有网络基础之上进行整改,而是根据业务信息系统的需要全新构建一个安全的业务系统平台。在对xxxx运行监控系统信息系统建设需求进行调研、分析的基础上,按照等级保护二级的建设要求,以系统为单位进行安全风险评估,找出目标系统技术环节及管理环节的不足以及面临的威胁,出具安全风险评估报告并提出安全加固建议;
3、方案设计与评审:结合等级保护的技术和管理要求,提交xxxx运行监控系统的安全设计方案。召开项目成果专家验收评审会,xxxx运行监控系统的安全设计方案进行评审。
4、成果输出:后期建设期间,提供咨询和支持,协助客户和集成商最终完成等级保护测评。
5、辅助测评:在第三方测评的前期准备,中期过程支持,后期遗漏修补,以帮助客户测评合格。
四。 设计原则。
根据本次项目的目标,本项目应当遵循以下项目原则:
一、符合性原则。
符合国家等级保护的相关标准、管理文件和流程要求;
二、规范性原则。
工作中的过程文档和最终文档,具有很好的规范性,可以便于项目的跟踪和控制;
三、最小影响原则。
评估工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等);
四、连续性原则。
网络平台在进行网络设计时,不仅需要满足目前的需求,还要考虑到技术的发展,具备适度的前瞻性,能够满足现今和将来一段时期的需要。同时还要为未来系统的扩充与扩建留有余地和基础。既要考虑原有投资的保护,又要兼顾未来的发展和变化。
本原则的贯彻主要体现在网络系统设计和应用系统设计方面。
五、实用性原则。
实用性的原则的目的是在保证实用要求和技术可行性的前提下,要选择易于操作和管理,应用见效快的技术和方案,以及适当档次和**的设备。这主要指:“从实际出发,讲求实效”,在通讯网络平台的设计中,首先要考虑的是实用性和易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备和资源的充分利用,保护原有的投资。
六、先进性原则。
为了保证建设后的系统能在今后的一段时间内能够适应新出现的应用,将整个网络系统的技术水平定位于一个较高的层次上,从而保证系统的先进性,以适应新世纪的发展需要。
七、可扩展性原则。
可扩充性和可延展性主要包括两个方面的内容:一是为网络将扩充新的节点和新的分支预先作**件、软件和管理接口。二是网络必须具有升级能力,能够适应网络新技术发展的要求。
八、可靠性原则。
鉴于通讯网络规模较大,数据类型复杂,要求网络系统必须具有较高的可靠性,和良好的网络管理能力,要充分考虑设备、线路和网络设计的冗余备份,网络模块要能够热插拔,以便**更换和扩充。另外,通讯网络系统较大,应能对其进行有效的管理与维护。
九、安全性原则。
在系统建设中,安全性原则应在各个方面予以高度重视,计算机网络的建设也不能例外,特别是网络中和其他不可信网络进行了连接,有可能会发生这样那样的蓄意破坏事件,威胁到网络的可靠安全运行。因此在网络系统设计和实施等各个环节将严格遵循这项原则。在设计上采用恰当的技术手段为系统提供保护、监视、审计等手段。
十、标准化、规范化。
方案所采用的技术和设备材料等,都必须符合相应的国际标准或国家标准,或者符合相关系统内部的相应规范。便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通。
五。 依据标准。
xxxx运行监控系统属于国家信息建设的组成部分,其信息安全保障体系的建设必须要符合国家相关法律和要求,我国对信息安全保障工作的要求非常重视,国家相关监管部门也陆续出台了相应的文件和要求,从标准化的角度,xxxx运行监控系统的安全规划应参考以下的政策和标准:
六。 主要依据标准。
在本次安全策略开发中,依据的主要标准以等级保护为主,具体标准如下:
《****业信息系统安全等级保护基本要求》(送审稿)
《信息系统安全等级保护基本要求》(gb/t22239-2008)
《计算机信息系统安全保护等级划分准则》(gb17859-1999)
信息安全等级保护工作方案
一 工作内容。一是开展信息系统定级备案工作。1 开展 定级备案。根据去年重点单位调查摸底情况,全市尚有200余个各类信息系统未开展等级保护工作,其中包括大量 指党政机关门户 鉴于 近年来网络安全事件频发,需及时落实各项安全技术措施。全市党政机关必须在规定时间内开展门户 定级备案工作,并于5月底前向公...
信息安全等级保护工作方案
一 工作内容。一是开展信息系统定级备案工作。1 开展 定级备案。根据去年重点单位调查摸底情况,全市尚有200余个各类信息系统未开展等级保护工作,其中包括大量 指党政机关门户 鉴于 近年来网络安全事件频发,需及时落实各项安全技术措施。全市党政机关必须在规定时间内开展门户 定级备案工作,并于5月底前向公...
信息安全等级保护工作方案
一 工作内容。一是开展信息系统定级备案工作。1 开展 站定级备案。根据去年重点单位调查摸底情况,全市尚有200余个各类信息系统未开展等级保护工作,其中包括大量 站,鉴于 站近年来络安全事件频发,需及时落实各项安全技术措施。全市党政机关必须在规定时间内开展门户站定级备案工作,并于5月底前向公安警部门提...