【正文】 ]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》的通知）公通字[2004]66號文件（關(guān)于印發(fā)《信息安全等級保護工作的實施意見》的通知）公通字[2007]43號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知）公信安[2009]1429《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》全國人大《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》國發(fā)[2012]23號《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》國發(fā)[2013]7號《國務(wù)院關(guān)于推進物聯(lián)網(wǎng)有序健康發(fā)展的指導意見》公信安[2014]2182號《關(guān)于加強國家級重要信息系統(tǒng)安全保障工作有關(guān)事項的通知》（ 公信安[2014]2182號） 等級保護GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T250582010 信息系統(tǒng)安全等級保護實施指南系統(tǒng)定級GB/T 222402008 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南技術(shù)方面GB/T250662010 信息安全產(chǎn)品類別與代碼GB/T179001999 網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T200102005 包過濾防火墻評估準則GB/T202812006 防火墻技術(shù)要求和測試評價方法GB/T180182007 路由器安全技術(shù)要求GB/T200082005 路由器安全評估準則GB/T202722006 操作系統(tǒng)安全技術(shù)要求GB/T202732006 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T200092005 數(shù)據(jù)庫管理系統(tǒng)安全評估準則GB/T202752006 入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T202772006 網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法GB/T202792006 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T202782006 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T202802006 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T209452007 信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法GB/T 210282007 服務(wù)器安全技術(shù)要求GB/T250632010 服務(wù)器安全側(cè)評要求GB/T 210502007 網(wǎng)絡(luò)交換機安全技術(shù)要求（EAL3）GB/T284522012 應用軟件系統(tǒng)通用安全技術(shù)要求GB/T292402012 終端計算機通用安全技術(shù)要求與測試評價方法GB/T284562012 IPsec協(xié)議應用測試規(guī)范GB/T284572012 SSL協(xié)議應用測試規(guī)范管理方面GB/T202692006 信息系統(tǒng)安全管理要求GB/T284532012 信息系統(tǒng)安全管理評估要求GB/T209842007 信息安全風險評估規(guī)范GB/T243642009 信息安全風險管理指南GB/T209852007 信息安全事件管理指南GB/T209862007 信息安全事件分類分級指南GB/T209882007 信息系統(tǒng)災難恢復規(guī)范方案設(shè)計GB/T250702010 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等保測評GB/T284482012 信息系統(tǒng)安全等級保護測評要求GB/T284492012 信息系統(tǒng)安全等級保護測評過程指南. 方案設(shè)計原則針對本次項目，等級保護整改方案的設(shè)計和實施將遵循以下原則：n 保密性原則：我司對安全服務(wù)的實施過程和結(jié)果將嚴格保密，在未經(jīng)用戶方授權(quán)的情況下不會泄露給任何單位和個人，不會利用此數(shù)據(jù)進行任何侵害客戶權(quán)益的行為； n 標準性原則：服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標準進行；根據(jù)等級保護二級基本要求，進行分等級分安全域進行安全設(shè)計和安全建設(shè)。n 分步驟原則：根據(jù)用戶方要求，對用戶方安全保障體系進行分期、分步驟的有序部署。學校OA系統(tǒng)：目前學校舊OA系統(tǒng)準備停用，并且已經(jīng)開發(fā)和準備上線新的業(yè)務(wù)系統(tǒng)，新的業(yè)務(wù)系統(tǒng)目前準備對公網(wǎng)直接公開訪問，因此涉及到的能夠訪問到業(yè)務(wù)系統(tǒng)的規(guī)模比較大，而且整個網(wǎng)絡(luò)相對會比較復雜、流量多變，所以系統(tǒng)任有較多不足，在本次建設(shè)過程中應該加強安全建設(shè)，系統(tǒng)自身和運行環(huán)境均存在一定的安全風險，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護體系和措施。. 主機安全需求分析主機防病毒：該信息系統(tǒng)缺少主機防病毒的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機防病毒系統(tǒng)，從而實現(xiàn)對全網(wǎng)主機的惡意代碼防范。. 應用安全需求分析通信完整性和保密性：該信息系統(tǒng)無法實現(xiàn)對邊界的訪問控制，需要部署SSL VPN等安全設(shè)備來實現(xiàn)。4. 總體方案設(shè)計. 總體設(shè)計目標學校的安全等級保護整改方案設(shè)計的總體目標是依據(jù)國家等級保護的有關(guān)標準和規(guī)范，結(jié)合學校信息系統(tǒng)的現(xiàn)狀，對其進行重新規(guī)劃和合規(guī)性整改，為其建立一個完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護敏感數(shù)據(jù)信息的安全，保證學校信息系統(tǒng)的安全防護能力達到《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》中第二級的相關(guān)技術(shù)和管理要求?？刂坪凸芾恚ο到y(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。此外，安全管理中心應做到技術(shù)與管理并重，加強在安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。因此，依照等級保護在身份鑒別，訪問控制（包括強制訪問控制）、網(wǎng)絡(luò)行為控制（包括上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應用安全、數(shù)據(jù)安全、安全審計等方面的技術(shù)要求，可充分結(jié)合可信計算技術(shù)和主動防御技術(shù)的先進性和安全性，提出一個基于可信計算和主動防御的終端安全保護體系模型，以實現(xiàn)從應用層、系統(tǒng)層、核心層三個方面對計算環(huán)境的全面防護。此外，對于不同安全等級信息系統(tǒng)之間的互連邊界，可根據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系統(tǒng)，并配置相應的安全策略以實現(xiàn)對信息流向的控制。在本項目中，將嚴格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分如下確定的安全域：l 互聯(lián)網(wǎng)出口域，該區(qū)域說明如下：l 專網(wǎng)出口域，該區(qū)域說明如下：主要承載互聯(lián)網(wǎng)出口，出口主干需要部署相應的安全邊界產(chǎn)品。因此，在互聯(lián)網(wǎng)出口域邊界部署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界部署WEB應用防火墻。. 網(wǎng)頁防篡改技術(shù)學校網(wǎng)站承載了學校等重要職責，暴露在互聯(lián)網(wǎng)上，隨時會面臨網(wǎng)頁被篡改及黑客攻擊的危險，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁防篡改功能非常有必要。根據(jù)公安部等級保護基本要求，所有信息系統(tǒng)都需要部署日志審計系統(tǒng)，并保存3個月的日志，學校擁有龐大的網(wǎng)絡(luò)海量的數(shù)據(jù)交換，目前還沒有部署日志審計系統(tǒng)。部署設(shè)計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機上，通過端口鏡像收集信息。目前，學校使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應