文档介绍：大学信息网络安全项目等级保护方案

目录
1 项目概述 3
建设背景 3
建设目标 3
建设依据 3
政策标准 3
设计原则 5
2 信息系统现状与安全需求分析 7
信息系统现状 7
技术体系结构现状 7
安全风险防范需求分析 9
安全风险评估 9
已知风险 11
安全风险防范 13
等级保护合规需求分析 15
技术合规性需求 15
管理合规性需求 23
3 总体方案设计 37
总体建设内容 37
安全技术体系 38
安全管理体系 39
安全运维体系 39
4 安全技术整改方案详细设计 39
设计思路 39
安全技术体系设计 41
确定保护对象 41
计算环境防护 41
区域边界防护 55
通信网络防护 59
5 安全管理体系设计 63
安全管理机构规划 63
管理机构规划概述 63
信息安全组织架构和相关职责 68
安全管理制度规划 71
规章制度 72
管理流程 74
安全技术规范 74
保密协议 75
人员安全规划 75
人员录用 75
人员离岗 76
人员考核 76
安全意识教育和培训 76
外部人员访问管理 77
安全监控 77
网络安全管理 78
系统安全管理 78
恶意代码防范 79
密码管理 79
变更管理 79
备份及恢复管理 80
安全事件处置 80
应急预案管理 81
6 建设清单 81
项目概述
建设背景
随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。
为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》(征求意见稿);教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函〔2010〕80号)。
建设目标
本次项目建设目标:为贯彻落实国家、教育部信息安全工作部署,完善xxxxx大学信息系统安全技术防护措施、安全管理制度和安全运维体系,全面建设完整的信息安全防护体系,为xxxxx大学信息化的健康快速发展保驾护航。
建设依据
本方案依据《信息安全技术信息系统等级保护安全设计技术要求》GB/T 25070-2010中信息安全系统建设需求,重点关注校园网信息安全体系规划。
政策标准
本方案重点参考以下的政策和标准如图所述。
指导思想
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
等级保护
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南
GB/T 25070-2010信息安全技术信息系统等级保护安全设计技术要求
系统定级
GB/T 22240-2008 信息安全技术信息系统安全保护等级定级指南
技术方面
GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求
GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求
GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型
GB/T22239-2008 信息安全技术信息系统安全