【正文】 782006 網(wǎng)絡脆弱性掃描產(chǎn)品技術要求GB/T202802006 網(wǎng)絡脆弱性掃描產(chǎn)品測試評價方法GB/T209452007 信息系統(tǒng)安全審計產(chǎn)品技術要求和測試評價方法GB/T 210282007 服務器安全技術要求GB/T250632010 服務器安全側評要求GB/T 210502007 網(wǎng)絡交換機安全技術要求（EAL3）GB/T284522012 應用軟件系統(tǒng)通用安全技術要求GB/T292402012 終端計算機通用安全技術要求與測試評價方法GB/T284562012 IPsec協(xié)議應用測試規(guī)范GB/T284572012 SSL協(xié)議應用測試規(guī)范管理方面GB/T202692006 信息系統(tǒng)安全管理要求GB/T284532012 信息系統(tǒng)安全管理評估要求GB/T209842007 信息安全風險評估規(guī)范GB/T243642009 信息安全風險管理指南GB/T209852007 信息安全事件管理指南GB/T209862007 信息安全事件分類分級指南GB/T209882007 信息系統(tǒng)災難恢復規(guī)范方案設計GB/T250702010 信息系統(tǒng)等級保護安全設計技術要求等保測評GB/T284482012 信息系統(tǒng)安全等級保護測評要求GB/T284492012 信息系統(tǒng)安全等級保護測評過程指南. 方案設計原則針對本次項目，等級保護整改方案的設計和實施將遵循以下原則：n 保密性原則：我司對安全服務的實施過程和結果將嚴格保密，在未經(jīng)用戶方授權的情況下不會泄露給任何單位和個人，不會利用此數(shù)據(jù)進行任何侵害客戶權益的行為； n 標準性原則：服務設計和實施的全過程均依據(jù)國內(nèi)或國際的相關標準進行；根據(jù)等級保護二級基本要求，進行分等級分安全域進行安全設計和安全建設。安全培訓：為學校信息化技術人員提供信息安全相關專業(yè)技術知識培訓。制定學校信息系統(tǒng)不中斷的應急預案。建立健全信息系統(tǒng)安全管理制度。建立完善的安全技術防護體系。建立安全管理組織機構。使得學校信息系統(tǒng)的等級保護建設方案最終既可以滿足等級保護的相關要求，又能夠全方面為學校的業(yè)務系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。信息安全等級保護（二級）建設方案2016年3月目錄1. 項目概述 4. 項目建設目標 4. 項目參考標準 4. 方案設計原則 62. 系統(tǒng)現(xiàn)狀分析 7. 系統(tǒng)定級情況說明 7. 業(yè)務系統(tǒng)說明 7. 網(wǎng)絡結構說明 73. 安全需求分析 8. 物理安全需求分析 8. 網(wǎng)絡安全需求分析 8. 主機安全需求分析 9. 應用安全需求分析 9. 數(shù)據(jù)安全需求分析 9. 安全管理制度需求分析 94. 總體方案設計 9. 總體設計目標 9. 總體安全體系設計 10. 總體網(wǎng)絡架構設計 12. 安全域劃分說明 125. 詳細方案設計技術部分 13. 物理安全 13. 網(wǎng)絡安全 13. 安全域邊界隔離技術 13. 入侵防范技術 13. 網(wǎng)頁防篡改技術 14. 鏈路負載均衡技術 14. 網(wǎng)絡安全審計 14. 主機安全 15. 數(shù)據(jù)庫安全審計 15. 運維堡壘主機 15. 主機防病毒技術 16. 應用安全 166. 詳細方案設計管理部分 16. 總體安全方針與安全策略 17. 信息安全管理制度 18. 安全管理機構 18. 人員安全管理 18. 系統(tǒng)建設管理 19. 系統(tǒng)運維管理 19. 安全管理制度匯總 217. 咨詢服務和系統(tǒng)測評 22. 系統(tǒng)定級服務 22. 風險評估和安全加固服務 22. 漏洞掃描 22. 滲透測試 22. 配置核查 22. 安全加固 22. 安全管理制度編寫 24. 安全培訓 24. 系統(tǒng)測評服務 248. 項目預算與配置清單 25. 項目預算一期（等保二級基本要求） 25. 利舊安全設備使用說明 261. 項目概述. 項目建設目標為了進一步貫徹落實教育行業(yè)信息安全等級保護制度，推進學校信息安全等級保護工作，依照國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全保護等級定級指南》等標準，對學校的網(wǎng)絡和信息系統(tǒng)進行等級保護定級，按信息系統(tǒng)逐個編制定級報告和定級備案表，并指導學校信息化人員將定級材料提交當?shù)毓矙C關備案。本方案中，通過為滿足物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面基本技術要求進行技術體系建設；為滿足安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設。本項目建設將完成以下目標：以學校信息系統(tǒng)現(xiàn)有基礎設施，建設并完成滿足等級保護二級系統(tǒng)基本要求的信息系統(tǒng)，確保學校的整體信息化建設符合相關要求。成立信息安全工作組，學校負責人為安全責任人，擬定實施信息系統(tǒng)安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。根據(jù)信息安全等級保護的要求，建立滿足二級要求的安全技術防護體系。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。應急預案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應的應急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保生產(chǎn)活動持續(xù)進行。. 項目參考標準我司遵循國家信息安全等級保護指南等最新安全標準以及開展各項服務工作，配合學校的等級保護測評工作。n 規(guī)范性原則：我司在各項安全服務工作中的過程和文檔，都具有很好的規(guī)范性（《南寧市學家科技有限公司安全服務實施規(guī)范》），可以便于項目的跟蹤和控制； n 可控性原則：服務所使用的工具、方法和過程都會在深信服與用戶方雙方認可的范圍之內(nèi)，服務進度遵守進度表的安排，保證雙方對服務工作的可控性； n 整體性原則：服務的范圍和內(nèi)容整體全面，涉及的IT運行的各個層面，避免由于遺漏造成未來的安全隱患； n 最小影響原則：服務工作盡可能小的影響信息系統(tǒng)的正常運行，不會對現(xiàn)有業(yè)務造成顯著影響。n 先進性原則：為滿足后續(xù)不斷增長的業(yè)務需求、對安全產(chǎn)品、安全技術都充分考慮前瞻性要求，采用先進、成熟的安全產(chǎn)品、技術和先進的管理方法。n 服務細致化原則：在項目咨詢、建設過程中深信服將充分結合自身的專業(yè)技術經(jīng)驗與行業(yè)經(jīng)驗相結合，結合用戶方的實際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運行。. 業(yè)務系統(tǒng)說明學校本次參加整改的共有X個信息系統(tǒng)，分別是學校系統(tǒng)、學校系統(tǒng)、學校系統(tǒng)、學校系統(tǒng)，