信息安全體系建設(shè)方案設(shè)計(jì)

信息安全體系建設(shè)方案設(shè)計(jì)需求分析采購(gòu)范圍與基本要求建立XX高新區(qū)開(kāi)發(fā)區(qū)智慧園區(qū)的信息安全規(guī)劃體系、信息安全組織體系、信息安全技術(shù)體系、安全服務(wù)管理體系，編寫(xiě)安全方案和管理制度，建設(shè)信息安全保護(hù)系統(tǒng)（包括路由器、防火墻、VPN）等。要求XX高新區(qū)開(kāi)發(fā)區(qū)智慧園區(qū)的信息系統(tǒng)安全保護(hù)等級(jí)達(dá)到第三級(jí)（見(jiàn)GB/T22239-2021）?！踅ㄔO(shè)內(nèi)容要求（1）編寫(xiě)安全方案和管理制度信息安全體系的建設(shè)，需要符合國(guó)家關(guān)于電子政務(wù)信息系統(tǒng)的標(biāo)準(zhǔn)要求，覆蓋的電子政務(wù)信息系統(tǒng)安全保障體系，安全建設(shè)滿(mǎn)足物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全和管理安全體系，確保智慧園區(qū)項(xiàng)目系統(tǒng)的安全保密。安全管理需求：自主訪(fǎng)問(wèn)控制、輕質(zhì)訪(fǎng)問(wèn)控制、標(biāo)記、身份鑒別、審計(jì)、數(shù)據(jù)完整性。安全體系設(shè)計(jì)要求：根據(jù)安全體系規(guī)劃，整個(gè)系統(tǒng)的安全體系建設(shè)內(nèi)容包括物理安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全、終端安全和管理安全等方面。（2）信息安全保護(hù)系統(tǒng)：滿(mǎn)足信息系統(tǒng)安全等級(jí)三級(jí)要求的連接云計(jì)算平臺(tái)的信息安全保護(hù)系統(tǒng)，其設(shè)備為：設(shè)備名稱(chēng)技術(shù)指標(biāo)要求支持基于TCP、UDP、ICMP的應(yīng)用；支持主流操作系統(tǒng)、瀏覽器；支持專(zhuān)業(yè)VPN設(shè)備主流商業(yè)加密算法與國(guó)密算法；產(chǎn)品具備傳統(tǒng)IPSEC/SSLVPN認(rèn)證、加密、接入基本功能；中國(guó)制造可及時(shí)發(fā)現(xiàn)APT、竊取數(shù)據(jù)等隱蔽性極強(qiáng)的安全事件，并通過(guò)云安全服WEB防火墻務(wù)提供7*24小時(shí)安全分析、問(wèn)題定位、快速響應(yīng)的技術(shù)服務(wù)，利用工具化手段進(jìn)行威脅處理和情報(bào)傳遞；中國(guó)制造吞吐量不小于10G，并發(fā)連接數(shù)不小于200萬(wàn)，配置不少于4個(gè)千兆電防火墻接口，不少于4個(gè)千兆SFP插槽，不少于4個(gè)萬(wàn)兆SFP+插槽；中國(guó)制造1口臺(tái)2臺(tái)1臺(tái)1單位數(shù)量吞吐量1G，最大并發(fā)連接數(shù)12W，最大用戶(hù)數(shù)800人，千兆電口6個(gè)，支持BYPASS功能，單電源，標(biāo)準(zhǔn)1U設(shè)備；支持部署在IPv6環(huán)境中，其所有功能（認(rèn)證、應(yīng)用控制、內(nèi)容審計(jì)、報(bào)表等）都支持IPv6；支持多種認(rèn)證方式，包括用戶(hù)名密碼、IP、MAC認(rèn)證、短信認(rèn)證、微信認(rèn)證、二維碼認(rèn)證，并支持以USB-Key方式實(shí)現(xiàn)雙因素身份認(rèn)證；支持用戶(hù)密碼強(qiáng)度管理，可設(shè)置用戶(hù)密碼不能等于用戶(hù)名、新密碼不能與舊密碼相同，可設(shè)置密碼最小長(zhǎng)度、密碼必須包括數(shù)字或字母或特殊字符；支持識(shí)別終端系統(tǒng)后臺(tái)運(yùn)行的進(jìn)程信息，防止間諜軟件的運(yùn)行；支持識(shí)別終端操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁安裝情況，支持在旁路模式部署下準(zhǔn)入生效，禁止不滿(mǎn)足終端檢查要求的用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng);支持根據(jù)上網(wǎng)行為管理網(wǎng)頁(yè)搜索關(guān)鍵字過(guò)濾訪(fǎng)問(wèn)的網(wǎng)站，并發(fā)送告警郵件；支持對(duì)移動(dòng)應(yīng)用的細(xì)分權(quán)限控制，微信：微信網(wǎng)頁(yè)版、微信傳文件、微信朋友圈、微信游戲。移動(dòng)QQ：QQ傳文件、QQ視頻語(yǔ)音等；支持Web訪(fǎng)問(wèn)質(zhì)量檢測(cè)，針對(duì)內(nèi)網(wǎng)用戶(hù)的web訪(fǎng)問(wèn)質(zhì)量進(jìn)行檢測(cè)，對(duì)整體網(wǎng)絡(luò)提供清晰的整體網(wǎng)絡(luò)質(zhì)量評(píng)級(jí)；支持內(nèi)置數(shù)據(jù)中心和獨(dú)立數(shù)據(jù)中心；支持對(duì)數(shù)據(jù)中心分權(quán)限查看，具有數(shù)據(jù)中心key功能；支持自定義報(bào)表、查看歷史報(bào)表、支持日志的導(dǎo)出、報(bào)表的定時(shí)發(fā)送到郵箱；支持基于“流量”、“流速”、“時(shí)長(zhǎng)”設(shè)置配額，當(dāng)配額耗盡后，將用戶(hù)加入到指定的流控黑名單懲罰通道中；支持動(dòng)態(tài)流量管理，在設(shè)置流量策略后，能根據(jù)整體線(xiàn)路或者某流量通道內(nèi)的空閑和繁忙情況，自動(dòng)啟用和停止使用流量控制策略，以提升帶寬的高使用率，空閑值可自定義；中國(guó)制造終端殺毒軟件網(wǎng)絡(luò)版網(wǎng)絡(luò)防病毒服務(wù)器端滿(mǎn)足所有辦公區(qū)辦公人員的網(wǎng)絡(luò)殺毒需求；中國(guó)制造1顆IntelXeonE3-1220v5(至強(qiáng)Xeon3.0G8M1150P4CORE)處理器，DDR416008G*216G內(nèi)存，1塊1TB企業(yè)級(jí)硬盤(pán)，支持CentosLinux和Windows操作系統(tǒng)；中國(guó)制造臺(tái)1套1套11.2設(shè)計(jì)方案智慧園區(qū)信息安全管理體系是全方位的，需要各方的積極配合以及各職能部門(mén)的相互協(xié)調(diào)。有必要建立或健全安全管理體系和組織體系，完善安全運(yùn)行管理機(jī)制，明確各職能部門(mén)的職責(zé)和分工，從技術(shù)、管理和法律等多方面保證智慧城市的正常運(yùn)行。安全體系建設(shè)依據(jù)根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定的《信息安全等級(jí)保護(hù)管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等標(biāo)準(zhǔn)，“平臺(tái)”的信息系統(tǒng)安全保護(hù)等級(jí)定達(dá)到第三級(jí)(見(jiàn)GB/T22239-2021)，根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》的信息安全產(chǎn)品，包括：2防專(zhuān)業(yè)VPN設(shè)備、WEB防火墻、防火墻、上網(wǎng)行為管理、終端殺毒軟件網(wǎng)絡(luò)版、網(wǎng)絡(luò)防病毒服務(wù)器端等。安全體系編制原則為實(shí)現(xiàn)本項(xiàng)目的總體目標(biāo)，結(jié)合XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項(xiàng)目現(xiàn)有網(wǎng)絡(luò)與應(yīng)用系統(tǒng)和未來(lái)發(fā)展需求，總體應(yīng)貫徹以下項(xiàng)目原則。?保密原則：確保各委辦局的信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄漏給非授權(quán)用戶(hù)或?qū)嶓w。項(xiàng)目組成員在為XX高新區(qū)智慧園區(qū)建設(shè)基礎(chǔ)項(xiàng)目實(shí)施的過(guò)程中，將嚴(yán)格遵循保密原則，服務(wù)過(guò)程中涉及到的任何用戶(hù)信息均屬保密信息，不得泄露給第三方單位或個(gè)人，不得利用這些信息損害用戶(hù)利益。完整性原則：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶(hù)篡改，同時(shí)還要防止授權(quán)用戶(hù)對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹模３中畔?nèi)、外部表示的一致性?？捎眯栽瓌t：確保授權(quán)用戶(hù)或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪(fǎng)問(wèn)信息及資源規(guī)范性原則：信息安全的實(shí)施必須由專(zhuān)業(yè)的信息安全服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對(duì)操作過(guò)程和結(jié)果要有相應(yīng)的記錄，提供完整的服務(wù)報(bào)告。質(zhì)量保障原則：在整個(gè)信息安全實(shí)施過(guò)程之中，將特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督、控制項(xiàng)目的進(jìn)度和質(zhì)量。體系建設(shè)內(nèi)容安全管理體系制定和完善與XX高新區(qū)智慧園區(qū)基礎(chǔ)建設(shè)項(xiàng)目信息安全保護(hù)相適應(yīng)的配套管理制度和要求，制度相關(guān)內(nèi)容包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理，要求包括對(duì)硬件環(huán)境和軟件環(huán)境的要求。安全技術(shù)體系根據(jù)網(wǎng)絡(luò)特殊需求和業(yè)務(wù)流程制定網(wǎng)絡(luò)安全及安全加固方案，對(duì)信息系統(tǒng)內(nèi)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、安全設(shè)備以及中間件的安全配置策略進(jìn)行加強(qiáng)，降低惡意攻擊3者利用安全漏洞威脅系統(tǒng)安全運(yùn)行的幾率，從而有效控制因系統(tǒng)配置不當(dāng)?shù)纫蛩匾l(fā)的業(yè)務(wù)中斷及信息外泄等風(fēng)險(xiǎn)，將高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞降低至可接受的范圍內(nèi)，使得應(yīng)用系統(tǒng)的安全狀況提升到一個(gè)較高的水平。通過(guò)描述云計(jì)算帶來(lái)的信息安全風(fēng)險(xiǎn)，提出了客戶(hù)采用云計(jì)算服務(wù)應(yīng)遵守的基本要求，從規(guī)劃準(zhǔn)備、選擇云服務(wù)商及部署、運(yùn)行監(jiān)管、退出服務(wù)等四個(gè)階段簡(jiǎn)要描述了客戶(hù)采購(gòu)和使用云計(jì)算服務(wù)的生命周期安全管理。安全運(yùn)維體系安全運(yùn)維通常包含兩層含義：是指在運(yùn)維過(guò)程中對(duì)網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定位、防護(hù)、排除等運(yùn)維動(dòng)作，保障系統(tǒng)不受內(nèi)、外界侵害。對(duì)運(yùn)維過(guò)程中發(fā)生的基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、安全、主機(jī)、中間件、數(shù)據(jù)庫(kù)乃至核心應(yīng)用系統(tǒng)發(fā)生的影響其正常運(yùn)行的事件（包含關(guān)聯(lián)事件）通稱(chēng)為安全事件，而圍繞安全事件、運(yùn)維人員和信息資產(chǎn)，依據(jù)具體流程而展開(kāi)監(jiān)控、告警、響應(yīng)、評(píng)估等運(yùn)行維護(hù)活動(dòng)，稱(chēng)為安全運(yùn)維服務(wù)。1.2.4安全體系架構(gòu)平臺(tái)的系統(tǒng)安全體系架構(gòu)包括以下幾方面：（1）集中用戶(hù)管理系統(tǒng)用戶(hù)在不同的業(yè)務(wù)系統(tǒng)有不同的角色定義，對(duì)應(yīng)不同的功能權(quán)限，需構(gòu)建相應(yīng)的用戶(hù)集中管理模式，實(shí)現(xiàn)用戶(hù)統(tǒng)一身份和標(biāo)識(shí)管理、統(tǒng)一認(rèn)證及單點(diǎn)登錄。（2）用戶(hù)命名統(tǒng)一實(shí)現(xiàn)用戶(hù)命名統(tǒng)一，為用戶(hù)集中管理及信息共享提供支撐。（3）身份認(rèn)證系統(tǒng)對(duì)不同崗位人員實(shí)行分級(jí)授權(quán)，對(duì)用戶(hù)的訪(fǎng)問(wèn)權(quán)限實(shí)行有效的管理。（4）訪(fǎng)問(wèn)控制設(shè)置防火墻和網(wǎng)段劃分，實(shí)現(xiàn)有效的安全隔離和訪(fǎng)問(wèn)控制；同時(shí)，在系統(tǒng)權(quán)限方面，對(duì)每一個(gè)不同的角色，依照最小授權(quán)原則，分配完成其任務(wù)的最小權(quán)限，并使用基于角色的訪(fǎng)問(wèn)控制機(jī)制來(lái)控制用戶(hù)對(duì)信息的訪(fǎng)問(wèn)和操作；入侵檢測(cè)設(shè)置入侵監(jiān)測(cè)系統(tǒng)，防止非法入侵，及時(shí)做出應(yīng)對(duì)措施。4漏洞掃描采用專(zhuān)業(yè)漏洞掃描工具，定期對(duì)網(wǎng)絡(luò)系統(tǒng)及計(jì)算機(jī)系統(tǒng)進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)潛在安全隱患，加以防范處理。病毒防范在服務(wù)器安裝防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力；在網(wǎng)絡(luò)內(nèi)安裝網(wǎng)絡(luò)版防病毒系統(tǒng)，客戶(hù)端可以在內(nèi)網(wǎng)升級(jí)病毒庫(kù)，做到整體防御。數(shù)據(jù)安全交換在系統(tǒng)安全、網(wǎng)絡(luò)安全的基礎(chǔ)上，實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)、內(nèi)網(wǎng)和專(zhuān)網(wǎng)間的數(shù)據(jù)安全交換。系統(tǒng)操作日志通過(guò)操作日志功能，定義和區(qū)分操作級(jí)別，根據(jù)操作級(jí)別進(jìn)行記錄，為日志分析功能提供數(shù)據(jù)，發(fā)現(xiàn)并處理安全問(wèn)題隱患，增強(qiáng)系統(tǒng)防護(hù)性能。此外，系統(tǒng)還可以根據(jù)需要提供日志統(tǒng)計(jì)功能，對(duì)諸如訪(fǎng)問(wèn)量、并發(fā)訪(fǎng)問(wèn)數(shù)等系統(tǒng)性能參數(shù)進(jìn)行比對(duì)，以便系統(tǒng)管理員及時(shí)調(diào)整和優(yōu)化系統(tǒng)性能。安全防護(hù)體系建立完善的安全防護(hù)系統(tǒng)，從安全規(guī)章制度建設(shè)、安全管理手段建設(shè)等方面保障系統(tǒng)的安全可靠、穩(wěn)定運(yùn)行。1.2.5信息安全體系設(shè)計(jì)工作方案（1）完善信息安全組織體系成立以政府職能部門(mén)為主的“智慧園區(qū)”安全管理機(jī)構(gòu)，強(qiáng)化和明確其職責(zé)；在健全信息安全組織體系的基礎(chǔ)上，切實(shí)落實(shí)安全管理責(zé)任制。明確各級(jí)、各部門(mén)作為信息安全保障工作的責(zé)任人；技術(shù)部門(mén)主管或項(xiàng)目負(fù)責(zé)人作為信息安全保障工作直接