【正文】 信息安全受到破壞時(shí)，國(guó)家 XX 局 的工作職能受到嚴(yán)重影響，嚴(yán)重影響其信息獲取服務(wù)和信息發(fā)布，會(huì)對(duì)國(guó)家 XX 局 公信度造成負(fù)面影響，同時(shí)會(huì)造成較大范圍的社會(huì)不良影響。 （一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定 業(yè)務(wù)信息描述 政府網(wǎng)站系統(tǒng)主要處理的業(yè)務(wù)信息為國(guó)家 XX 局 對(duì)外公開(kāi)的機(jī)構(gòu)介紹、政務(wù)公開(kāi)、公眾參與、 XXX 服務(wù)、 XXX 文化、醫(yī)療質(zhì)量監(jiān)測(cè)等信息。其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。 國(guó)家 XX 局 信息辦承擔(dān)著政府網(wǎng)站系統(tǒng)的安全保護(hù)責(zé)任。服務(wù)器端軟件基于 SQL2020數(shù)據(jù)庫(kù)以及 平臺(tái)開(kāi)發(fā)，數(shù)據(jù)庫(kù)與網(wǎng)站 服務(wù)器安裝部署在同一臺(tái) HP 服務(wù)器上。為保障政府網(wǎng)站系統(tǒng)的安全性，使用了入侵防御系統(tǒng)和網(wǎng)頁(yè)防篡改系統(tǒng)形成邊界保護(hù)和內(nèi)容防護(hù)。網(wǎng)站主要由機(jī)構(gòu)介紹、政務(wù)公開(kāi)、公眾參與、 XXX 服務(wù)、 XXX 文化、醫(yī)療質(zhì)量監(jiān)測(cè)等模塊組成。 確定系統(tǒng) 等級(jí) 政府網(wǎng)站系統(tǒng) 一、國(guó)家 XX 局 政府網(wǎng)站系統(tǒng)描述 政府網(wǎng)站系統(tǒng)是國(guó)家 XX 局 進(jìn)行信息發(fā)布、 XXX 信息查詢以及與社會(huì)公眾互動(dòng)交流的平臺(tái)。 對(duì)于 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 ，根據(jù)承載業(yè)務(wù)的獨(dú)立性，以業(yè)務(wù)系統(tǒng)為核心來(lái)劃分定級(jí)對(duì)象，并針對(duì)不同的業(yè)務(wù)系統(tǒng)來(lái)設(shè)計(jì)保護(hù)措施，確定的保護(hù)對(duì)象分別為：政府網(wǎng)站系統(tǒng) 、 電子政務(wù)信息交換系統(tǒng) 、“十一五”重點(diǎn) YYY 系統(tǒng)和繼續(xù)教育管理系統(tǒng) 。 ? 承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用 定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的 業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒(méi)有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。 ? 具有信息系統(tǒng)的基本要素 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 14 頁(yè) 共 130 頁(yè) 用目標(biāo)和規(guī)則組合而成的有形實(shí)體。 確定定級(jí)對(duì)象 根據(jù)公安部的《信息安全等級(jí)保護(hù)定級(jí)指南》指出作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征： ? 具有唯一確定的安全責(zé)任單位 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。 國(guó)家 XX 局 信息安全等 級(jí)保護(hù)的總體思路是：以自身的信息系統(tǒng)特點(diǎn)為核心，結(jié)合國(guó)家相關(guān)標(biāo)準(zhǔn)要求，根據(jù) XX 局 實(shí)際業(yè)務(wù)需求，和對(duì)實(shí)際業(yè)務(wù)的影響來(lái)劃分安全等級(jí)，在確定定級(jí)方面更重視系統(tǒng)對(duì) XX 局 業(yè)務(wù)開(kāi)展的影響性而確定等級(jí)，目的只是為體現(xiàn)對(duì)不同等級(jí)的信息系統(tǒng)，如何加強(qiáng)保護(hù)措施方面。防病毒服務(wù)器的升級(jí)， 可以通過(guò)互聯(lián)網(wǎng)接入?yún)^(qū)域進(jìn)行在線升級(jí) 。 外網(wǎng)終端安全管理系統(tǒng)的升級(jí)可以通過(guò)互聯(lián)網(wǎng)接入?yún)^(qū)域進(jìn)行在線升級(jí)。 網(wǎng)絡(luò)行為審計(jì)系統(tǒng) 鳳翔縣社會(huì)管理服務(wù)信 息平臺(tái)項(xiàng)目 的網(wǎng)絡(luò)行為審計(jì)系統(tǒng)采用了天融信公司的千兆 網(wǎng)絡(luò)安全審計(jì)系統(tǒng) TopAudit（ TA507WATCH） ，部署在核心交換機(jī)上，對(duì)網(wǎng)絡(luò)中的流量做全面的監(jiān)控與審計(jì)策略，以有效保護(hù)重要數(shù)據(jù)的安全性，并為事后取證提供支持。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)采用了啟明星辰公司的千兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)天闐 NS2200，部署在核心交換機(jī)上，重點(diǎn) 監(jiān)測(cè)網(wǎng)絡(luò)用戶對(duì) 重要服務(wù)器 的訪問(wèn)行為，尤其是要能夠?qū)崟r(shí)發(fā)現(xiàn)惡意用戶對(duì)重要的服務(wù)器系統(tǒng)進(jìn)行的非法訪問(wèn)、惡意攻擊及蠕蟲傳播等行為并及時(shí)進(jìn)行報(bào)警和采取一定的響應(yīng)操作。 網(wǎng)絡(luò)入侵防御系統(tǒng) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的網(wǎng)絡(luò)入侵防御系統(tǒng)采用了 天融信公司的千兆網(wǎng)絡(luò)入侵防御系統(tǒng) TopIDP，數(shù)量為一臺(tái)，部署在 托管機(jī)房托管區(qū)域的 互聯(lián)網(wǎng)出口，重點(diǎn) 抵御互聯(lián)網(wǎng)對(duì) 托管區(qū)域 內(nèi)部 重要服務(wù)器的 攻擊 行為，尤其是要能鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 12 頁(yè) 共 130 頁(yè) 夠?qū)崟r(shí)發(fā)現(xiàn) 和抵御 惡意用戶對(duì)重要的服務(wù)器系統(tǒng)進(jìn)行的非法訪問(wèn)、惡意攻 擊及蠕蟲傳播等行為并及時(shí)進(jìn)行 阻斷和報(bào)警 。 安全設(shè)備情況 社管平臺(tái) 網(wǎng)絡(luò)中廣泛使用的安全設(shè)備有 兩 大類，一是面向網(wǎng)絡(luò)安全類的防火墻、 入侵 防御、入侵 檢測(cè)、網(wǎng)絡(luò)審計(jì) 類安全設(shè)備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類， 以及為網(wǎng)站提供防護(hù)的網(wǎng)頁(yè)防篡改軟件， 安全設(shè)備的配置情況為： 防火墻系統(tǒng) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 的防火墻系統(tǒng)采用了天融信公司的千兆獵豹系列防火 墻 NGFW4000UF（ TG5464） 和 CISCO 公司的 PIX515， 數(shù)量 各 為 一臺(tái) 。 瑞星網(wǎng)絡(luò)版防病毒系統(tǒng)安裝在一臺(tái)機(jī)架式服務(wù)器上，設(shè)備型號(hào)為 HP DL165，操作系統(tǒng)為 WINDOWS 2020 Server，服務(wù)器的管理認(rèn)證方式為用戶名 /口令方式；利用 WINDOWS 自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，刪除或禁用無(wú)關(guān)帳號(hào)，開(kāi)啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志；管理維護(hù)方式采用遠(yuǎn)程桌面和現(xiàn)場(chǎng)相結(jié)合的方式，有專人負(fù)責(zé)相關(guān)工鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 11 頁(yè) 共 130 頁(yè) 作。 兩者同時(shí)進(jìn)行。 ? 服務(wù)器 采用 IBM 品牌 ， 數(shù)量為一臺(tái)， 部署在電子政務(wù) 機(jī)房 具體情況如下： ? 各辦公室的終端計(jì)算機(jī)。社管平臺(tái)的安全維護(hù)工作人員通過(guò)客戶端 訪問(wèn)登陸后臺(tái)、維護(hù)信息及數(shù)據(jù)。 社管平臺(tái)系統(tǒng)由一臺(tái)臺(tái)服務(wù)器組成 。 該系統(tǒng) 部署在托管機(jī)房的 HP 服務(wù)器上，通過(guò)互聯(lián)網(wǎng)供局機(jī)關(guān)內(nèi)部人員、鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 10 頁(yè) 共 130 頁(yè) 系統(tǒng)工作人員和社會(huì)公眾瀏覽查詢以及互動(dòng)交流。網(wǎng)站提供權(quán)威、準(zhǔn)確、全面、快速的信息服務(wù)、業(yè)務(wù)申請(qǐng)及公眾互動(dòng)功能，起到政令快速發(fā)布、下情及時(shí)上達(dá)的作用。 外網(wǎng)應(yīng)用系統(tǒng)分析 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 目前主要的系統(tǒng)為 百姓網(wǎng)系統(tǒng)、 社會(huì)管理信息服務(wù)平臺(tái) ，社區(qū)民生服務(wù)平臺(tái) ， 三維 GIS 地理信息平臺(tái) ， 數(shù)據(jù)交換平臺(tái) ， 社會(huì)管理指揮中心平臺(tái) ， 信息交換系統(tǒng) 。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 設(shè)備部署情況如下： ? 防火墻 、 服務(wù)器。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 9 頁(yè) 共 130 頁(yè) 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 核心為一臺(tái)高性能 防火墻 ，下聯(lián)樓層接入服安全管理服務(wù)器，外聯(lián)互聯(lián)網(wǎng)出口路由器；接入交換機(jī)向下連接信息點(diǎn)，即終端計(jì)算機(jī)。 機(jī)房采用了恒溫恒濕空調(diào)，能夠有效控制 機(jī)房?jī)?nèi)溫濕度。 辦公樓內(nèi)提供了交流地線。機(jī)房?jī)?nèi)所有線纜均采用隱蔽走線方式，并對(duì)主要部件進(jìn)行了固定和標(biāo)記。機(jī)房?jī)?nèi)進(jìn)行了區(qū)域劃分管理個(gè)區(qū)域配置了電子門禁系統(tǒng)，能夠控制、鑒別和記錄進(jìn)入的人員。 （此方案不包括合同外的硬件建設(shè)） 編制 目的 本方案針對(duì) 鳳翔縣縣政府電子城管 的外網(wǎng)網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)為基礎(chǔ)，分析社管平臺(tái) 的安全建設(shè)需求，結(jié)合國(guó)家等級(jí)保護(hù)的建設(shè)規(guī)范和技術(shù)要求而編制，為鳳翔縣外網(wǎng)信息安全的 符合性建設(shè)提供指導(dǎo)。 為了貫徹客戶 對(duì) 社管平臺(tái) 系統(tǒng)安全 保障工作的要求 以及等級(jí)化保護(hù) “堅(jiān)持積極防御、綜合防范”的方針，全面提高信息安全防護(hù)能力， 外 網(wǎng) 建設(shè)需要進(jìn)行整體安全體 系規(guī)劃設(shè)計(jì)， 全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù) 客戶 利益，促進(jìn) 日常工作 信息化 的深入發(fā)展。 經(jīng) 過(guò)前期的準(zhǔn)備和前期建設(shè) 對(duì) 外網(wǎng) 信息系統(tǒng)的依賴程度增加 ， 信息 安全問(wèn)題也日漸凸現(xiàn)。 為了盡快落實(shí)國(guó)家等級(jí)保 護(hù)制度的相關(guān)要求，并進(jìn)一步提升自身的安全防護(hù)能力，國(guó)家 XX 局 在新辦公樓建設(shè)工程的網(wǎng)絡(luò)集成建設(shè)項(xiàng)目中同步進(jìn)行非涉密網(wǎng)絡(luò)的（分內(nèi)、外兩個(gè)網(wǎng)絡(luò)）等級(jí)保護(hù)建設(shè)方案規(guī)劃工作。 從外部環(huán)境來(lái)看，信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點(diǎn)話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國(guó)家關(guān)注的焦點(diǎn)，從 27 號(hào)文件開(kāi)始，國(guó)家陸續(xù)出臺(tái)了一系列的安全政策和標(biāo)準(zhǔn)，提出了以“適度安全、分級(jí)保護(hù)”為核心的等級(jí)保護(hù)建設(shè)思路，公安部、保密局、國(guó)密辦以及國(guó)信辦陸續(xù)出臺(tái)政策，要求國(guó)內(nèi)重要的信息系統(tǒng)應(yīng)按照等級(jí)保護(hù)的辦法和要求，進(jìn)行相關(guān)安全防護(hù)系統(tǒng)的建設(shè)，并于2020 年啟動(dòng)了等級(jí)保護(hù)的定級(jí)備案工作，并于 2020 年底開(kāi)始啟動(dòng)等級(jí)保護(hù)的安全建設(shè)整改工作。同樣對(duì)于國(guó)家 XX 局 ，各層領(lǐng)導(dǎo)對(duì)安全工作非常重視，從建設(shè)初始逐年加大在安全建設(shè)方面的投資，進(jìn)行了一系列的安全組織、制度、管理和技術(shù)方面的安全建設(shè)工作。網(wǎng)絡(luò)及信息化的 建設(shè)為國(guó)家 XX 局 的發(fā)展，提升國(guó)家 XX 局 業(yè)務(wù)處理效率，降低國(guó)家 XX 局 管理成本起到了關(guān)鍵的作用。 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng) 信息安全等級(jí)保護(hù) 設(shè)計(jì) 方案 西安鼎藍(lán)通訊技術(shù)有限公司 2020年 6月 鳳翔縣社會(huì)管理服務(wù)信息平臺(tái)項(xiàng)目 信息系統(tǒng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案 第 2 頁(yè) 共 130 頁(yè) 目 錄 1 前言 .......................................................................................................................... 6 2 設(shè)計(jì)方案概述 ............................................................................................................ 7 編制背景 ..................................................................................................... 7 編制目的 ..................................................................................................... 7 建設(shè)內(nèi)容 ..................................................................................................... 7 3 系 統(tǒng)建設(shè)情況描述 ..................................................................................................... 8 物理環(huán)境分析 .............................................................................................. 8 網(wǎng)絡(luò)架構(gòu)描述 .............................................................................................. 8 外網(wǎng)應(yīng)用系統(tǒng)分析 ....................................................................................... 9 百姓網(wǎng)站系統(tǒng) ....................................................................................... 9 網(wǎng)絡(luò)設(shè)備情況 ............................................................................................ 10 服務(wù)器設(shè)備情況 ........................................................................................ 10 安全設(shè)備情況 ............................................................................................ 11 防火墻系統(tǒng) ........................................................................................ 11 網(wǎng)絡(luò)入侵防御系統(tǒng) .............................................................................. 11 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) .............................................................................. 12 網(wǎng)絡(luò)行為審計(jì)系統(tǒng) .............................................................................. 12 終端安全管理系統(tǒng) .............................................................................. 1