【正文】 ................................................................. 86 外網(wǎng)的主機安全設計 ................................................................................. 90 系統(tǒng)主機及終端惡意代碼防范 ............................................................ 90 外網(wǎng)終端桌面安全管理系統(tǒng) ................................................................ 93 其他主機安全設計 .............................................................................. 96 外網(wǎng)的應用安全設計 ............................................................................... 104 等保對應用安全防護的技術要求 ....................................................... 104 對應用安全防護的技術實現(xiàn) .............................................................. 108 網(wǎng)頁防篡改系統(tǒng)部署 ........................................................................ 111 網(wǎng)頁防篡改系統(tǒng)策略設計 ................................................................. 112 外網(wǎng)的數(shù)據(jù)安全及備份恢復設計 .............................................................. 113 等保對數(shù)據(jù)安全及備份恢復的技術要求 ............................................ 113 對數(shù)據(jù)安全及備份恢復的技術實現(xiàn) ................................................... 114 數(shù)據(jù)庫 安全加固措施 ........................................................................ 115 安全管理平臺設計 ................................................................................... 118 安全管理中心的主要作用 ................................................................. 118 安全管理中心的部 署方式 ................................................................. 120 安全管理中心的功能設計 ................................................................. 120 7 安全管理方案詳細設計 .......................................................................................... 123 8 安全建設方案 ........................................................................................................ 123 等級保護總體建設過程 ............................................................................ 123 鳳翔縣社會管理服務信息平臺項目 信息系統(tǒng)信息安全等級保護設計方案 第 5 頁 共 130 頁 等級保護工程實施規(guī)劃 ............................................................................ 125 階段一：實現(xiàn)基本的安全部署 .......................................................... 125 階段二：實現(xiàn)全面的安全部署 .......................................................... 126 階段三：實現(xiàn)全面的安全優(yōu)化 .......................................................... 127 9 鳳翔縣社會管理服務信息平臺項目安全建設措 施匯總 ............................................ 128 鳳翔縣社會管理服務信息平臺項目 信息系統(tǒng)信息安全等級保護設計方案 第 6 頁 共 130 頁 1 前言 國家 XX 局 是政府職能單位，負責制定 XXX 發(fā)展的戰(zhàn)略、方針和政策，組織和管理 XXX 工作的實施，監(jiān)督管理 XXX 工作的執(zhí)行，參與開展 XXX 教育，組織開展 ZZZ 資源的保護、開發(fā)和利用，負責 XXX 文化的繼承發(fā)展，負責 XXX 技術成果的推廣應用，負責 XXX 的國際推廣、應用和傳播工作。同樣對于國家 XX 局 ，各層領導對安全工作非常重視，從建設初始逐年加大在安全建設方面的投資，進行了一系列的安全組織、制度、管理和技術方面的安全建設工作。 為了盡快落實國家等級保 護制度的相關要求，并進一步提升自身的安全防護能力，國家 XX 局 在新辦公樓建設工程的網(wǎng)絡集成建設項目中同步進行非涉密網(wǎng)絡的（分內、外兩個網(wǎng)絡）等級保護建設方案規(guī)劃工作。 為了貫徹客戶 對 社管平臺 系統(tǒng)安全 保障工作的要求 以及等級化保護 “堅持積極防御、綜合防范”的方針，全面提高信息安全防護能力， 外 網(wǎng) 建設需要進行整體安全體 系規(guī)劃設計， 全面提高信息安全防護能力，創(chuàng)建安全健康的網(wǎng)絡環(huán)境，保護 客戶 利益，促進 日常工作 信息化 的深入發(fā)展。機房內進行了區(qū)域劃分管理個區(qū)域配置了電子門禁系統(tǒng)，能夠控制、鑒別和記錄進入的人員。 辦公樓內提供了交流地線。 鳳翔縣社會管理服務信息平臺項目 信息系統(tǒng)信息安全等級保護設計方案 第 9 頁 共 130 頁 鳳翔縣社會管理服務信息平臺項目 核心為一臺高性能 防火墻 ，下聯(lián)樓層接入服安全管理服務器，外聯(lián)互聯(lián)網(wǎng)出口路由器；接入交換機向下連接信息點，即終端計算機。 外網(wǎng)應用系統(tǒng)分析 鳳翔縣社會管理服務信息平臺項目 目前主要的系統(tǒng)為 百姓網(wǎng)系統(tǒng)、 社會管理信息服務平臺 ，社區(qū)民生服務平臺 ， 三維 GIS 地理信息平臺 ， 數(shù)據(jù)交換平臺 ， 社會管理指揮中心平臺 ， 信息交換系統(tǒng) 。 該系統(tǒng) 部署在托管機房的 HP 服務器上，通過互聯(lián)網(wǎng)供局機關內部人員、鳳翔縣社會管理服務信息平臺項目 信息系統(tǒng)信息安全等級保護設計方案 第 10 頁 共 130 頁 系統(tǒng)工作人員和社會公眾瀏覽查詢以及互動交流。社管平臺的安全維護工作人員通過客戶端 訪問登陸后臺、維護信息及數(shù)據(jù)。 兩者同時進行。 安全設備情況 社管平臺 網(wǎng)絡中廣泛使用的安全設備有 兩 大類，一是面向網(wǎng)絡安全類的防火墻、 入侵 防御、入侵 檢測、網(wǎng)絡審計 類安全設備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類， 以及為網(wǎng)站提供防護的網(wǎng)頁防篡改軟件， 安全設備的配置情況為： 防火墻系統(tǒng) 鳳翔縣社會管理服務信息平臺項目 的防火墻系統(tǒng)采用了天融信公司的千兆獵豹系列防火 墻 NGFW4000UF（ TG5464） 和 CISCO 公司的 PIX515， 數(shù)量 各 為 一臺 。 網(wǎng)絡入侵檢測系統(tǒng) 鳳翔縣社會管理服務信息平臺項目 的網(wǎng)絡入侵檢測系統(tǒng)采用了啟明星辰公司的千兆網(wǎng)絡入侵檢測系統(tǒng)天闐 NS2200，部署在核心交換機上，重點 監(jiān)測網(wǎng)絡用戶對 重要服務器 的訪問行為，尤其是要能夠實時發(fā)現(xiàn)惡意用戶對重要的服務器系統(tǒng)進行的非法訪問、惡意攻擊及蠕蟲傳播等行為并及時進行報警和采取一定的響應操作。 外網(wǎng)終端安全管理系統(tǒng)的升級可以通過互聯(lián)網(wǎng)接入?yún)^(qū)域進行在線升級。 國家 XX 局 信息安全等 級保護的總體思路是：以自身的信息系統(tǒng)特點為核心，結合國家相關標準要求，根據(jù) XX 局 實際業(yè)務需求，和對實際業(yè)務的影響來劃分安全等級，在確定定級方面更重視系統(tǒng)對 XX 局 業(yè)務開展的影響性而確定等級，目的只是為體現(xiàn)對不同等級的信息系統(tǒng)，如何加強保護措施方面。 ? 具有信息系統(tǒng)的基本要素 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應鳳翔縣社會管理服務信息平臺項目 信息系統(tǒng)信息安全等級保護設計方案 第 14 頁 共 130 頁 用目標和規(guī)則組合而成的有形實體。 對于 鳳翔縣社會管理服務信息平臺項目 ，根據(jù)承載業(yè)務的獨立性，以業(yè)務系統(tǒng)為核心來劃分定級對象，并針對不同的業(yè)務系統(tǒng)來設計保護措施，確定的保護對象分別為：政府網(wǎng)站系統(tǒng) 、 電子政務信息交換系統(tǒng) 、“十一五”重點 YYY 系統(tǒng)和繼續(xù)教育管理系統(tǒng) 。網(wǎng)站主要由機構介紹、政務公開、公眾參與、 XXX 服務、 XXX 文化、醫(yī)療質量監(jiān)測等模塊組成。服務器端軟件基于 SQL20xx數(shù)據(jù)庫以及 平臺開發(fā)，數(shù)據(jù)庫與網(wǎng)站 服務器安裝部署在同一臺 HP 服務器上。其中信息安全是指確保信息系統(tǒng)內信息的保密性、完整性和可用性等；系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。 信息受到破壞后對侵害客體侵害程度的確定 國家 XX 局 政府網(wǎng)站系統(tǒng)業(yè)務信息安全受到破壞時，國家 XX 局 的工作職能受到嚴重影響，嚴重影響其信息獲取服務和信息發(fā)布，會對國家 XX 局 公信度造成負面影響，同時會造成較大范圍的社會不良影響。 業(yè)務信息安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 表 1 業(yè)務信息安全保護等級矩陣表 （二）系統(tǒng)服務安全保護等級的確定 系統(tǒng)服務描述 國家 XX 局 政府網(wǎng)站的服務范圍包括內部工作人員、外部社會公眾、以及國內的 XXX 相關機構，主要作為 XXX 信息查詢以及對外信息發(fā)布的平臺。 系統(tǒng)服務安全等級的確定 信息系統(tǒng)服務安全受到破壞時，受到影響的客體是社會秩序和公共利益。 表 3 系統(tǒng)安全保護等級矩陣表 最終確定的政府網(wǎng)站系統(tǒng)保護強度為 3 級，且對應等級保護要求選擇措施為： S3A2G3 電子政務信息交換系統(tǒng) 一、 國家 XX 局 電子政務信息交換系統(tǒng) 描述 電子政務信息交換系統(tǒng)承擔著國家 XX局 與下屬 XXX局進行電子公文交換的任務。 國家 XX 局 信息辦承擔著電子政務信息交換系統(tǒng)的安全保護責任。 （一）業(yè)務信息安全保護等級的確定 業(yè)務信息描述 該系統(tǒng)的主要業(yè)務信息為國家 XX局 和下屬 XXX局之間交互的電子公文數(shù)據(jù)。根據(jù)系統(tǒng)的重要性，確定其侵害程度為嚴重損害。 系統(tǒng)服務受到破壞時所侵害客體的確定 該系統(tǒng)為國家 XX 局 電子公文交換的業(yè)務系統(tǒng)，受到破壞時將影響國家 XX局 電子公文交換工作，因此，所侵害的客體為社會秩序和公共利益類。侵害程度為一般損害 ，根據(jù)表 2，確定該系統(tǒng)的信息系統(tǒng)服務安全保護等級為第二級。 “十一五”重點 YYY 系統(tǒng)部署在國家 XX局 機房的 HP 服務器上，通過外網(wǎng)局域網(wǎng)供醫(yī)藥管理局局機關外網(wǎng)用戶 訪問，通過互聯(lián)網(wǎng)供社會公眾訪問。 二、國家 XX 局 “十一五”重點 YYY 系統(tǒng)安全保護等級確定 國家 XX 局 “十一五”重點 YYY 系統(tǒng)受到破壞時，對信息安全的危害方式表現(xiàn)為對其業(yè)務信息安全的破壞和對信息系統(tǒng)服務的破壞。 業(yè)務信息受到破壞時所侵害客體的確定 該系統(tǒng)為社會公眾提供服務，主要承 擔著社會公眾對全國范圍內重點YYYSSS 信息和 TTT 信息的查詢服務工作。 業(yè)務信息安全等級的確定 業(yè)務信息 安全受到破壞時，受到影響的客體是社會秩序、公共利益類。 系統(tǒng)服務受到破壞后對侵害客體侵害程度的確定 該系統(tǒng)為國家 XX 局 “十一五”重點 YYY 服務信息的業(yè)務系統(tǒng)，當遭到破壞時將對國家 XX 局 該項服務工作的順利開展，為社會公眾及時獲取相關信息造成一定的損害。 系統(tǒng)服務安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 表 2 系統(tǒng)服務安全保護等級矩陣表 （三）安全保護等級的確定 信息系