【正文】 系統(tǒng)安全管理體系結(jié)構(gòu) 安全管理制度管理層要形成信息系統(tǒng)機構(gòu)綱領性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級保護基本要求和關(guān)鍵信息系統(tǒng)安全保護要求，構(gòu)建機構(gòu)信息系統(tǒng)的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。12. 在終端接入?yún)^(qū)，需要在終端主機上分別部署網(wǎng)絡版防病毒軟件系統(tǒng)以實現(xiàn)全網(wǎng)病毒軟件部署、防毒策略防護，保證主機安全。實現(xiàn)集中的接入訪問控制，實現(xiàn)一次登錄，全網(wǎng)漫游，無需再記住眾多繁雜的密碼，提高安全性。豐富和完善網(wǎng)絡的內(nèi)控審計功能。在服務器匯聚交換機部署一臺數(shù)據(jù)庫審計系統(tǒng)，它可以有效監(jiān)控數(shù)據(jù)庫訪問行為，準確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件，并實時告警、記錄，從而實現(xiàn)安全事件的定位分析，事后追查取證，以此保障數(shù)據(jù)庫安全。3. 在互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)單位接入?yún)^(qū)，邊界的訪問必須通過安全設備如防火墻和安全網(wǎng)關(guān)進行訪問控制、入侵防范，同時應在互聯(lián)網(wǎng)出口和安全網(wǎng)關(guān)之間部署上網(wǎng)行為管理系統(tǒng)，該系統(tǒng)著重是為了符合公安部 82號令，同時加強互聯(lián)網(wǎng)應用管理，實現(xiàn)上網(wǎng)行為的審計與流量控制。 等級保護的安全保障體系框架 安全策略體系安全策略體系框架如下圖所示： 安全管理體系安全管理體系框架如下圖所示： 安全技術(shù)體系安全技術(shù)體系如下圖所示：8 信息安全技術(shù)體系建設內(nèi)容安全域劃分與安全防護示意圖為了方便管理以及安全策略的定義，在本次建設項目中將某市國土資源局安全區(qū)域共劃分為外聯(lián)單位接入?yún)^(qū)、DMZ區(qū)、核心交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、廣域網(wǎng)接入?yún)^(qū)、業(yè)務服務器區(qū)(三級域與二級域)、運維管理區(qū)和終端接入?yún)^(qū)等6個安全區(qū)域。安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和發(fā)布；管理制度的評審和修訂。包括：用戶身份鑒別；操作訪問控制；安全審計；剩余信息保護；通信完整性和保密性；抗抵賴；軟件容錯；資源控制等。包括：網(wǎng)絡安全結(jié)構(gòu)；不同安全域間的訪問控制；網(wǎng)絡安全審計；邊界完整性檢查；網(wǎng)絡入侵防范和惡意代碼防范；網(wǎng)絡設備防護等。 技術(shù)要求技術(shù)要求包括物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全幾個層面。根據(jù)為某市國土資源局業(yè)務應用系統(tǒng)建設一個可提供靈活服務的網(wǎng)絡基礎這一原則，本次網(wǎng)絡設計主要任務是解決網(wǎng)絡結(jié)構(gòu)和業(yè)務應用系統(tǒng)結(jié)構(gòu)之間的對應關(guān)系。 可管理性由于某市國土資源局網(wǎng)絡具有一定的復雜性，隨著業(yè)務的不斷發(fā)展，網(wǎng)絡管理的任務必定會日益繁重；建立一套全面的網(wǎng)絡管理技術(shù)體系，采用先進的網(wǎng)絡運維管理平臺，實現(xiàn)各項管理要求和管理策略的下發(fā)執(zhí)行；實現(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行情況，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、可以迅速確定網(wǎng)絡故障等；通過合理的管理策略、管理工具提高網(wǎng)絡的運行性能、可靠性，簡化網(wǎng)絡的維護工作，從而為辦公、業(yè)務系統(tǒng)運行管理提供有力的保障。 先進性采用成熟的技術(shù)滿足某市國土資源局應用系統(tǒng)的需求，兼顧其他相關(guān)的管理需求，盡可能采用先進的網(wǎng)絡技術(shù)以適應更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個系統(tǒng)在相當一段時期內(nèi)保持技術(shù)的先進性，以適應未來信息技術(shù)發(fā)展的需要。某市國土資源局業(yè)務的提供點和匯聚點一般都在核心層和匯聚層設備上，因此這兩個層面設備的穩(wěn)定性非常重要。應急預案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應的應急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保醫(yī)療活動持續(xù)進行。 持續(xù)信息安全意識與培訓教育。 建立安全管理組織機構(gòu)。使得某市國土資源局核心業(yè)務系統(tǒng)的等級保護建設方案最終既可以滿足等級保護的相關(guān)要求，又能夠全方面為某市國土資源局的業(yè)務系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。開展國土資源信息安全等級保護工作，是解決國土資源信息安全面臨的威脅和存在的主要問題的重要手段，是對非涉密重要信息系統(tǒng)進行安全保障的重大措施，能夠有效地保護國土資源信息和信息系統(tǒng)的安全，對促進國土資源信息化健康有序發(fā)展有著特別重要意義。某市國土資源局核心業(yè)務系統(tǒng)信息安全等級保護建設方案 25目錄1 方案背景 12 方案編制目的 13 方案目標 24 建設方案編制依據(jù) 35 網(wǎng)絡與信息安全設計整體原則 3 可靠性 3 實用性 4 先進性 4 安全性 4 可擴展性 4 可管理性 46 網(wǎng)絡設計說明 57 等級保護基本要求層級結(jié)構(gòu) 5 技術(shù)要求 6 管理要求 7 等級保護的安全保障體系框架 7 安全策略體系 7 安全管理體系 8 安全技術(shù)體系 88 信息安全技術(shù)體系建設內(nèi)容 109 信息系統(tǒng)安全管理體系結(jié)構(gòu) 13 安全管理制度 13 確定安全方針 13 制定安全策略 13 策略審查評估 14 組織管理 14 建立交流機制 14 安全責任劃分 15 不同組織間的合作 16 人員管理 16 人員安全 16 職位與職責設置 17 信息安全的教育與培訓 1810 項目清單與預算 1811 等級保護三級建設成效 2312 等級保護相關(guān)項目成功案例 2313 XX集成公司等級保護服務優(yōu)勢和特色 241 方案背景國土資源信息是國家的基礎性、戰(zhàn)略性信息，是服務國家經(jīng)濟社會、保證國家可持續(xù)發(fā)展的重要資源；國土資源信息系統(tǒng)是國土資源信息有效合理利用的重要保障。信息安全等級保護是我國信息安全保障的基本制度、基本策略、基本方法，是促進信息化發(fā)展、維護國家信息安全的根本保障。3 方案目標通過為滿足物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進行技術(shù)體系建設；為滿足安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設。根據(jù)信息安全等級保護的要求，建立滿足三級要求的安全技術(shù)防護體系。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。 制定保障醫(yī)療活動不中斷的應急預案。要對網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡設備等各個方面進行高可靠性的設計和建設。選擇采用已經(jīng)形成的標準，并得到廣泛應用的成熟技術(shù)，在此基礎上盡量選用當前國內(nèi)外較先進的產(chǎn)品，使系統(tǒng)不于在短期內(nèi)落后。 可擴展性選擇的軟件、硬件和網(wǎng)絡產(chǎn)品具有較強的靈活性、可移植性和可擴展性；能夠根據(jù)集團公司發(fā)展的需要，方便的擴展網(wǎng)絡覆蓋范圍，擴大網(wǎng)絡容量和提高網(wǎng)絡各節(jié)點的功能；具備支持多種應用系統(tǒng)的能力，具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設備更新的靈活性。某市國土資源局網(wǎng)絡基礎建設將參照標準的雙鏈路三層架構(gòu)模式，即核心層、匯聚層和接入層，這種網(wǎng)絡結(jié)構(gòu)既有利于用匯聚設備分擔核心層設備的壓力，同時也方便的接入層設備在匯聚層設備下靈活擴展。 二級業(yè)務域2) 外聯(lián)單位區(qū)3) 核心交換區(qū)4) 互聯(lián)網(wǎng)接入?yún)^(qū)5) 運維管理區(qū)6) 終端接入?yún)^(qū)7 等級保護基本要求層級結(jié)構(gòu)通過分析國家《信息系統(tǒng)安全保護等級基本要求》中三級的相關(guān)標準，對等級保護的安全層級劃分為安全技術(shù)與安全管理兩大部分，對于某市國土資源局的安全建設也將從這兩個方面進行著手。網(wǎng)絡安全：主要是針對某市國土資源局核心業(yè)務系統(tǒng)的網(wǎng)絡設備、網(wǎng)絡安全域的相關(guān)安全要求。應用安全：主要是針對某市國土資源局核心業(yè)務系統(tǒng)的相關(guān)安全要求。安全管理機構(gòu)：包括職能部門崗位設置；系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員的人員配備；授權(quán)和審批；管理人員、內(nèi)部機構(gòu)和職能部門間的溝通和合作；定期的安全審核和安全檢查。系統(tǒng)運維管理：包括機房環(huán)境管理；信息資產(chǎn)管理；介質(zhì)管理；設備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡安全管理；系統(tǒng)安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復管理；安全事件處置；應急預案管理。原則上要采用最小允許的訪問控制策略，并且在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接。6. 在核心交換機或服務器匯聚交換機上部署2臺多監(jiān)聽口的入侵檢測系統(tǒng), 對進入核心業(yè)務安全區(qū)域的網(wǎng)絡流量進行全面分析和監(jiān)控，及時發(fā)現(xiàn)和阻斷內(nèi)部或外部的網(wǎng)絡入侵和攻擊行為。同時提供統(tǒng)一賬號管理、單點登錄、資源授權(quán)、訪問控制等功能。9. 在運維管理區(qū)，部署統(tǒng)一身份管控系統(tǒng)，實現(xiàn)市國土資源局各類B/S和C/S應用系統(tǒng)的帳號管理（ Account ）、認證管理（Authentication） 、授權(quán)管理(Authorization)、綜合審計(Audit)等。11. 在終端接入?yún)^(qū)，需要在終端主機上分別部署桌面安全管理系統(tǒng)以實現(xiàn)補丁分發(fā)、遠程協(xié)助、網(wǎng)絡準入、非法外聯(lián)檢測等功能，保證主機安全。14. 在信息安全服務方面，要面向核心業(yè)務系統(tǒng)進行安全風險評估、安全加固