教育行业等级保护(二级)解决方案V1

教育行业等级保护（二级）解决方案福建六壬网安股饴有限公司FUJIAN LIUREN NETWORK SECURITY TECHNOLOGIES 0LTD2017年1月文档信息作 者：何汉强日 期：2017年1月19日复审人：日 期：单击或点击此处输入日期。密 级：公开资料因内部资料保密资料机密资料 文档类型：管理文档计划文档需求文档因设计文档测试文档用户文档工程文档维护文档版本控制版本编号修订人修订日期修订说明V1.0何汉强2017.01.19创建文档版权声明Copyright 2017福建六壬网安股份有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不 得以任何形式传播。目录1 项目概述11.1 项目背景11.2 项目目标21.3 项目内容22 等级保护咨询服务32.1 咨询服务依据32.1.1 政策依据32.1.2 标准依据42.2 咨询服务原则42.3 等级保护咨询服务介绍53 等级保护差距分析84 等级保护整改建议104.1 等级保护整改保护措施104.2 网络安全114.3 主机安全124.4 应用安全124.5 数据安全与备份恢复135 等级保护整改投资概算.145.1编制说明145.1.1编制依据145.1.2各种费率的取定145.2概算表格155.2.1 项目总投资概算155.2.2 分项投资概算清单.156 六壬网安等保咨询服务的优势177 典型成功案例列表181项目概述1.1项目背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日 益重要的作用，加强对重要领域内计算机信息系统安全保护工作的监督管理，打击各类计算 机违法犯罪活动，是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的 力度，维护国家安全和社会安定，维护信息网络安全，使我国计算机信息系统的安全保护工 作走上法制化、规范化、制度化管理轨道，1994年国务院颁布了中华人民共和国计算机 信息系统安全保护条例条例中规定：我国的“计算机信息系统实行安全等级保护。安全 等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 1999年9月国 家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB 17859-1999计算 机信息系统安全保护等级划分准则,为等级保护这一安全国策给出了技术角度的诠释。2003 年的国家信息化领导小组关于加强信息安全保障工作的意见（27号文）中指出：“要重点 保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立 信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信 息系统安全防护水平有着重要作用，国家一直在大力推行此项制度的建立与实施，党中央、 国务院对信息安全等级保护工作非常重视，党中央、国务院对信息安全等级保护工作非常重 视。2007年又明确要求公安部会同有关部门，抓紧开展并完成重要信息系统安全等级保护 定级工作，确保国家重要信息系统的信息网络安全，公安部、国家保密局、国家密码管理局、 国务院信息化工作办公室共同印发信息安全等级保护管理办法的通知（公通字2007 43号）和关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号），教育部印发教育行业信息系统安全等级保护定级工作指南等级保护是国家信息安全保障的基本制度、基本策略和基本方法，开展信息安全等级保 护工作，就是为了解决国家信息安全面临的威胁和存在的主要问题，进一步提高信息安全的 保障能力和防护水平，保障和促进信息化建设的健康发展。根据学校工作要求，结合国家相关政策要求，依据信息安全建设相关国际和国内标准, 对学校重要信息系统进行等级保护咨询和整改建设，为学校信息系统的安全运行提供有力的 保障1.2项目目标本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下，结合学校 信息系统的安全需求分析，确定学校信息系统安全等级保护的级别，对信息系统进行差距分 析并提出整改建议，对学校信息系统进行整改，满足等级保护的要求，协助学校信息系统通 过测评，更好地保障学校各业务系统的正常运行，全面提升学校信息系统的安全保护水平, 并达到国家信息安全等级保护相关标准的要求。1.3项目内容针对学校业务系统包括网站群系统、智慧集大系统、一卡通系统、科研管理系统、办公 自动化系统及其基础设施包括机房、服务器主机、数据库系统，网络设备和安全设备开展信 息等级保护安全服务工作，参照GB/T 22239-2008信息安全技术信息系统安全等级保护 基本要求等标准规范要求，结合教育行业特点和安全需求，做好信息安全等级保护二级备 案工作并通过测评中心测评。2等级保护咨询服务2.1咨询服务依据2.1.1政策依据 中华人民共和国计算机信息系统安全保护条例（国务院147号令） 关于转发国家信息化领导小组关于加强信息安全保障工作的意见 的通知）（中办 200327号文件） 关于印发信息安全等级保护工作的实施意见的通知（公通字200466号文件） 关于印发20062020年国家信息化发展战略的通知（中办发200611号） 关于印发信息安全等级保护管理办法的通知（公通字200743号） 关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号） 信息安全等级保护备案实施细则（公信安【2007】 1360号） 公安机关信息安全等级保护检查工作规范（公信安【2008】736号） 关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号） 关于进一步推进中央企业信息安全等级保护工作的通知（公通字201070号） 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）（以下简称1126号文件） 卫生行业信息安全等级保护工作的指导意见的通知（卫办发201185号）（以下 简称85号文件） 各地方、行业相关政策要求等等2.1.2标准依据GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求信息安全技术信息系统安全等级保护测评要求GB/T 20270-2006信息安全技术网络基础安全技术要求GB/T 20271-2006信息安全技术信息系统通用安全技术要求GB/T 20272-2006信息安全技术操作系统安全技术要求GB/T 20273-2006信息安全技术数据库管理系统通用安全技术要求GB/T 20282-2006信息系统安全工程管理要求GA/T671-2006信息安全技术终端计算机系统安全等级技术要求GA/T 709-2007信息安全技术信息系统安全等级保护基本模型ISO/IEC 27000系列信息系统安全管理体系标准2.2咨询服务原则在本次等级保护咨询方案的设计应遵从以下原则： 最小影响原则：应尽可能小的影响系统和网络的正常运行，不能对现有网络和系统的运行和业务的正常提供产生明显影响； 标准性原则：方案的设计与实施应依据国内、国际、等级化保护相关要求、相关 标准进行； 规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和 控制； 可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度 表进度的安排，保证学校对于服务工作的可控性； 整体性原则：应从各个方面整体考虑，包括了安全涉及的各个层面，避免由于遗 漏造成未来的安全隐患；保密性原则：对过程数据和结果数据严格保密，所有参与项目人员均有保密协 议。2.3等级保护咨询服务介绍预测评项目启动“等级化”设计方法，是根据需要保护的信息系统确定不同的安全等级，根据安全等级 确定不同等级的安全目标，形成不同等级的安全措施进行保护。等级保护的精髓思想就是 “等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”，分而治之, 从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分，其中技术部分根据信息系统安全等级保护基本要求分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建 设；而管理部分根据信息系统安全等级保护基本要求则分为安全管理制度、安全管理机 构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全 管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具， 进行系统建设和运行维护。”根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：1. 系统识别与定级确定保护对象，通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依 赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以 及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全 措施选择提供依据。2. 安全域设计根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统 安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供 基础框架。3. 确定安全域安全要求参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等 级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。4. 评估现状根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各 层次安全域进行有针对性的等级风险评估。并找出系统安全现状与等级要求的差距，形成完 整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全 差距，为下一步安全技术解决方案设计和安全管理建设提供依据。5. 安全保障体系方案设计根据安全域框架，设计系统各个层次的安全保障体系框架以及具体方案。包括：各层次 的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。6. 安全建设根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保 护相应等级的基本要求，实现按需防御。7. 持续安全运维通过安全预警、安全监控、安全加固、安全审计、应急响应等，从事前、事中、事后三 个方面进行安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管 理建设，保障系统整体的安全。而应该特别注意的是：等级保护不是一个项目，它应该是一 个不断循环的过程，所以通过整个安全项目、安全服务的实施，来保证用户等级保护的建设 能够持续的运行，能够使整个系统随着环境的变化达到持续的安全。3等级保护差距分析根据福建省福建省教育行业信息系统安全等级保护定级指南的等级保护控制项防护措施，对照自身建设进行差距分析，等级保护控制项防护措施差距项如下表:安全类别控制项主要安全措施要求（二级保护措施 差距项物理安全物理访问控 制机房安排专人负责，来访人员须审批和陪同防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措 施防雷击机房计算机系统接地符合GB 50057-1994建 筑物防雷设计规范中计算机机房防雷要求防火机房设置灭火设备和火宅自动报警系统电力供应机房及关键设备应配置UPS备份电力供应环境监控机房设置温，湿度自动调节设施网络安全结构安全网络应按职能和重要程度不同划分网段访问控制网络边界部署软或硬件防火墙安全审计网络日志审计，网络运维管理安全审计边界完整性 检查采用准入控制系统，实现准入控制，非法外联检 查入侵防范采用入侵检测系统、入侵防御系统实现对入侵 行为的识别和监控。米用威胁预警系统，实现对APT攻击、WEB威 胁、邮件威胁等安全事件的识别。主机安全入侵防范采用服务器安全加固安全审计采用终端管理系统实现安全审计恶意代码防 范防病毒软件应用安全身份鉴别采用电子认证措施软件容错所有对外发布WEB应用，都应具备7*24小时网 站安全监控措施，安全监控信息必须与省网络 与信息安全应急处置平台对接，防止非法用户 利用恶意提交、扫描等方式攻击。米用软或硬件防篡改系统防止黑客、病毒等对 目录中的网页、电子文档、图片、数据库等任何安全类别控制项主要安全措施要求（二级保护措施 差距项类型的文件进行非法篡改和破坏，保护网站安 全运行。数据安全 与备份恢 复备份和恢复本地数据备份与恢复4等级保护整改建议4.1等级保护整改保护措施安全类别控制项主要安全措施要求（二级）六壬网安 保护措施物理安全物理访问控 制机房安排专人负责，来访人员须审批和陪同咨询服务（管理 梳理）防盗窃和防破坏暴露在公共场所的网络设备须具备安全保 护措施机房建设防雷击机房计算机系统接地符合GB 50057-1994 建筑物防雷设计规范中计算机机房防雷 要求机房建设防火机房设置灭火设备和火宅自动报警系统机房建设电力供应机房及关键设备应配置UPS备份电力供应机房建设环境监控机房设置温，湿度自动调节设施机房建设网络安全结构安全网络应按职能和重要程度不同划分网段咨询服务（安全 域梳理）访问控制网络边界部署软或硬件防火墙防火墙安全审计网络日志审计，网络运维管理安全审计运维安全管理系 统边界完整性 检查采用准入控制系统，实现准入控制，非法外 联检查终端管理系统入侵防范采用入侵检测系统、入侵防御系统实现对入 侵行为的识别和监控。入侵防御系统米用威胁预警系统，实现对APT攻击、WEB 威胁、邮件威胁等安全事件的识别。威胁预警系统主机女全入侵防范采用服务器安全加固咨询服务（安全 加固）安全审计采用终端管理系统实现安全审计终端管理系统恶意代码防 范防病毒软件网络版防病毒软 件应用安全身份鉴别采用电子认证措施（CAS）认证系统（无）软件容错所有对外发布WEB应用，都应具备7*24小 时网站安全监控措施，安全监控信息必须与 省网络与信息安全应急处置平台对接，防止 非法用户利用恶意提交、扫描等方式攻击。应用安全防护系 统（预警版）安全类别控制项主要安全措施要求（二级）六壬网安 保护措施米用软或硬件防篡改系统防止黑客、病毒等 对目录中的网页、电子文档、图片、数据库 等任何类型的文件进行非法篡改和破坏，保 护网站安全运行。主页防篡改数据安全 与备份恢 复备份和恢复本地数据备份与恢复存储4.2网络安全1、防火墙采用防火墙技术，对学校进行边界保护，可以对所有流经防火墙的数据包按照严格的安 全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜 绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵 深防御体系。2、运维安全管理系统在运维管理域的交换机处旁路部署一台运维安全管理系统。实现对运维人员操作服务器、 网络设备、数据库过程的授权、监控与审计，实现对IT运维“事前授权、事中监控、事后审 计”全面监管，全面解决各种复杂环境下的运维安全问题，提升企业IT运维管理水平。3、终端管理系统在运维管理域部署一套终端安全管理系统，各个终端安装终端安全管理系统客户端，终 端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端 计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范 非法设备接入内网，有效地管理终端资产等。4、入侵防御系统在网络边界处部署一台入侵防护系统。采用透明方式接入，IPS是继“防火墙”、“信息 加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的 事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制 的入侵行为并进行有效拦截，对网络进行有效的防御保护。5、威胁预警系统在核心交换机部署一台威胁预警系统，威胁预警系统支持APT和针对性攻击；零日恶意软件和文档漏洞；攻击者的网络活动；Web威胁（漏洞、隐蔽强迫下载）电子邮件威胁（网络钓鱼、鱼叉式网络钓鱼）；数据隐蔽泄露；Bot、特洛伊木马、蠕虫病毒；按键记录软 件和犯罪软件；破坏性应用程序等。4.3主机安全1、终端管理系统在运维管理域部署一套终端安全管理系统，各个终端安装终端安全管理系统客户端，终 端安全管理系统对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端 计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范 非法设备接入内网，有效地管理终端资产等。（与网络安全共用一套）2、网络版防病毒软件部署一套网络版防病毒软件，各个终端安装防病毒客户端。对主机终端进行病毒、恶意 代码的查杀。4.4应用安全1、应用安全防护系统（预警版）应用安全防护系统基于创新的预警技术、精确的安全威胁与攻击识别、全面的动态的攻 击行为与安全隐患分析、有机结合不同层面的安全技术与智能学习自动形成安全生态体系， 通过事前预警行为预先采取相应的防御措施来提升网络与应用的安全。同时，通过有效的还 原黑客攻击行为与完整的攻击事件记录，全面掌握信息安全态势，为预警、应急响应和事件 调查提供支撑。在网站部署应用安全防护系统进行7*24小时网站安全监控措施，同时可以 与省网络与信息安全应急处置平台对接，防止非法用户利用恶意提交、扫描等方式攻击。2、网站防篡改系统在学校网站部署一套网站防篡改系统,网站防篡改系统通过文件底层驱动技术对网站目 录提供全方位的保护，防止黑客、病毒等对目录中的文件进行非法篡改和破坏。防篡改系统 保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站被 非法修改的问题。4.5数据安全与备份恢复1、存储存储系统主要是为各安全管控中心的数据库建立数据存储与备份机制。考虑学校的数据 存储与备份需求，并尽可能节省项目投资，采用NAS技术构建存储备份系统。NAS是将存储 设备连接到现有的网络上，或称网络直联存储设备，提供数据服务。简单的说，是通过与网 络直接连接的磁盘阵列，无需服务器直接上网，不依赖通用的操作系统，而采用一个面向用 户设计的、专门用于数据存储的简化操作系统；内置了与网络连接所需的协议，整个系统的 管理和设置较简单。具备了磁盘阵列的所有主要特征：高容量、高效能、高可靠。5等级保护整改投资概算5.1编制说明5.1.1编制依据(1) .国家发改委、建设部工程勘察设计收费标准(2002年修订本)；(2) .国家发改委、建设部建设项目经济评价方法与参数(第二版)；(3) .福建省“数字福建”的相关规范标准；(4) .通信信息工程建设的有关费率标准；(5) .有关生产厂商的市场报价及其它有关工程中设备合同价；(6) .网络交换机、PC服务器等设备参照关于数字福建建设项目硬件设备定点协议采 购入围产品的公告中的定点协议相关规定进行采购；(7) .根据以往经验估列5.1.2各种费率的取定本项目工程的投资概算具体的费率取定如下：(1) .硬件设备购置费用根据闽数字办技术20058号，并参考市场价格确定，设备 安装调试费已含在设备费用中；(2) .项目系统集成与人员培训费用按工程费用的3%取定；(3) .项目系统监理费用按工程费用的2%取定；(4) .项目系统测试与安全测评费用按工程费用的2%取定；(5) .项目可研暨初设费用包括可行性研究报告暨初步设计方案编制费、项目调研等项 目前期费用，按工程费用的3%取定；(6) .不计取预备费；(7) .软件开发费用按0.8万元/人月估算，包括前期研发和现场实施的人员工资、补 助、税费、管理费等；本报告投资概算只包括项目建设期的资金投入，建成后对系统进行正常运行和维护更 新工作所需的资金，建议有关部门在每年安排项目资金时予以考虑。项目系统运行维护费每年建议按系统软硬件工程费用的6%取定。5.2概算表格5.2.1项目总投资概算表4-1项目投资概算总表序 号项目费用名称投资概算（万 元）备注1工程费用1.1等级保护咨询服务费用（二级）表4-21.2等级保护测评服务费用（二级）表4-31.3等级保护整改安全建设工程费用表4-42项目建设其他费用2.1系统集成与人员培训费用工程费用X3%2.2项目系统监理费用工程费用X2%2.3系统测试及安全评测费用工程费用X2%2.4项目管理与可研暨初设费用工程费用X3%3项目总投资522分项投资概算清单表4-2等级保护咨询服务费用（二级）概算表编 号项目名称主要配置及性能要求数 量单价 （万元）总价 （万元）1等级保护咨询服务 （二级）网站群系统、智慧集大系统、卡 通系统、科研管理系统、办公自动 化系统这五个系统的等级保护咨 询服务费用5表4-2等级保护测评服务费用（二级）概算表编 号项目名称主要配置及性能要求数 量单价 （万元）总价 （万元）1系统测评费用（二级）网站群系统、智慧集大系统、卡 通系统、科研管理系统、办公自动5编 号项目名称主要配置及性能要求数 量单价 （万元）总价 （万元）化系统这五个系统的测评费用，为 提交给测评中心的费用表4-4等级保护整改安全建设工程费用编号项目名称主要配置及性能要求数量单价（万元）总价（万元）1防火墙2运维安全管理 系统3终端管理系统4入侵防御系统5威胁预警系统6网络版防病毒 软件7应用安全防护 系统（预警 版）8网站防篡改系 统9存储小计：6六壬网安等保咨询服务的优势 注册资金3380.38万元。拥有专业化安全服务团队，具有10名信息安全等级保护 安全建设服务认证工程师，以及7名CISP认证工程师，6名认证项目经理。 福建省内教育行业等级保护工作2015年底才开始启动，六壬网安公司积极配合省 测评中心推动省内多所高校的等保工作，其中福州大学的等保工作为福建省内首 个典型高校案例。 是福建省信息化标准化技术委员会信息安全标准工作组成员，参与教育行业等保 标准的编写。 是中国信息安全测评中心认定的信息安全服务资质(安全工程类一级)的公司。 是中国信息安全认证中心(ISCCC)认证的信息安全风险评估服务资质三级的公 司。 是中国信息安全认证中心(ISCCC)认证的信息安全运维服务资质三级的公司。 是中国信息安全认证中心(ISCCC)认证的信息安全应急处理服务资质三级的公 司。 通过ISO27000及ISO9001国际质量体系认定，具有高标准化项目管理及质量控 制。 与安全测评中心定期进行学术研讨，提炼出了业界领先的测评方法论。 规范的安全服务项目管理。前期引入尽调机制及行业分析师，中期把项目中的制 度与技术进行有效互补，后期把等保管理规范融合到下，厦门海洋职业技术学院 的日常安全运维中，做到全程的技术与管理有效融合。 具有很高的安全服务技术水平。2016年在国家信息安全漏洞共享平台提交了 20个 原创漏洞，获得了相关证书。7典型成功案例列表等级保护咨询服务安全服务1、福建省妇幼保健院1、国家住建部2、福建电信导航分公司2、福建省电子信息集团3、中国移动漳州车务通3、中国移动漳州分公司4、福建省交通运输厅4、铁通福建分公司5、福建省水利厅5、福建省省电力6、福建省统计局6、福州广播电视台7、福建省地震局7、福建省国土厅资源厅8、福建省安全生产监督管理局8、福建省环保厅9、福建航天星联9、福建省气象局10、福建星通联华10、福建省省医保中心11、福建宁德创想11、福建省地税12、厦门市今点通12、海峡股权交易中心13、龙岩天元13、福州市第十中学14、龙岩智慧海西14、福建省水利厅15、福州大学15、福建省交警总队16、福建省教育学院16、福建省水口电站17、17、