医院信息安全建设方案

***医院

信息安全建设方案

■文档编号■密级

■版本编号V1.0 ■日期

? 2018

目录

一. 概述 (2)

1.1项目背景 (2)

1.2建设目标 (3)

1.3建设内容 (3)

1.4建设必要性 (4)

二. 安全建设思路 (5)

2.1等级保护建设流程 (5)

2.2参考标准 (6)

三. 安全现状分析 (7)

3.1网络架构分析 (7)

3.2系统定级情况 (7)

四. 安全需求分析 (8)

4.1等级保护技术要求分析 (8)

4.1.1 物理层安全需求 (8)

4.1.2 网络层安全需求 (9)

4.1.3 系统层安全需求 (10)

4.1.4 应用层安全需求 (10)

4.1.5 数据层安全需求 (11)

4.2等级保护管理要求分析 (11)

4.2.1 安全管理制度 (11)

4.2.2 安全管理机构 (12)

4.2.3 人员安全管理 (12)

4.2.4 系统建设管理 (13)

4.2.5 系统运维管理 (13)

五. 总体设计思路 (14)

5.1设计目标 (14)

5.2设计原则 (15)

5.2.1 合规性原则 (15)

5.2.2 先进性原则 (15)

5.2.3 可靠性原则 (15)

5.2.4 可扩展性原则 (15)

5.2.5 开放兼容性原则 (16)

5.2.6 最小授权原则 (16)

5.2.7 经济性原则 (16)

六. 整改建议 (16)

6.1物理安全 (16)

6.2网络安全 (17)

6.3主机安全 (19)

6.3.1 业务系统主机 (19)

6.3.2 数据库主机 (21)

6.4应用安全 (22)

6.4.1 HIS系统（三级） (22)

6.4.2 LIS系统（三级） (24)

6.4.3 PACS系统（三级） (26)

6.4.4 EMR系统（三级） (27)

6.4.5 集中平台（三级） (29)

6.4.6 门户网站系统（二级） (31)

6.5数据安全与备份恢复 (32)

6.6安全管理制度 (33)

6.7安全管理机构 (33)

6.8人员安全管理 (34)

6.9系统建设管理 (34)

6.10系统运维管理 (35)

七. 总体设计网络拓扑 (38)

7.1设计拓扑图 (38)

7.2推荐安全产品目录 (39)

八. 技术体系建设方案 (41)

8.1外网安全建设 (41)

8.1.1 抗DDos攻击：ADS抗DDos系统 (41)

8.1.2 边界访问控制：下一代防火墙NF (43)

8.1.3 网络入侵防范：网络入侵防御系统NIPS (46)

8.1.4 上网行为管理：SAS (48)

8.1.5 APT攻击防护：威胁分析系统TAC (50)

8.1.6 Web应用防护：web应用防火墙 (54)

8.2内外网隔离建设 (58)

8.2.1 解决方案 (59)

8.3内网安全建设 (61)

8.3.1 边界防御：下一代防火墙NF (61)

8.3.2 入侵防御 (62)

8.3.3 防病毒网关 (63)

8.3.4 APT攻击防护 (67)

8.4运维管理建设 (68)

8.4.1 运维安全审计：堡垒机 (68)

8.4.2 流量审计：网络安全审计-SAS (70)

8.4.3 漏洞扫描：安全评估系统RSAS (75)

8.4.4 基线核查：配置核查系统BVS (77)

8.4.5 威胁态势感知 (80)

8.4.6 终端安全 (83)

8.4.7 数据库审计及统方监管 (86)

8.4.8 终端准入 (89)

8.4.9 日志审计建设 (97)

8.5安全服务 (100)

8.5.1 安全漏洞扫描服务 (100)

8.5.2 安全加固服务 (105)

8.5.3 渗透测试服务 (113)

8.5.4 应急演练服务 (117)

8.5.5 重要时期安全保障服务 (124)

8.5.6 安全巡检服务 (132)

8.5.7 网络架构分析服务 (135)

8.5.8 日志分析服务 (142)

8.5.9 应急响应服务 (144)

8.5.10 恶意代码排查服务 (149)

九. 管理体系建设方案 (151)

9.1安全制度建设 (151)

9.1.1 总体方针、策略 (152)

9.1.2 制定和发布 (154)

9.1.3 评审和修订 (154)

9.2安全管理机构 (155)

9.2.1 岗位设置 (155)

9.2.2 人员配备 (156)

9.2.3 授权和审批 (156)

9.2.4 沟通和合作 (156)

9.2.5 审核和检查 (157)

9.3人员安全管理 (157)

9.4系统建设管理 (158)

9.5系统运维管理 (158)

9.5.1 环境管理 (158)

9.5.2 资产管理 (158)

9.5.3 介质管理 (159)

9.5.4 设备管理 (159)

9.5.5 监控管理和安全管理中心 (160)

9.5.6 网络安全管理 (160)

9.5.7 系统安全管理 (160)

9.5.8 恶意代码防范管理 (161)

9.5.9 密码管理 (161)

9.5.10 变更管理 (161)

9.5.11 备份与恢复管理 (161)

9.5.12 安全事件处置 (162)

9.5.13 应急预案管理 (162)

一. 概述

1.1 项目背景

随着医院信息化建设的逐步深入，网上业务由单一到多元化，各类应用系统数十个，信息系统承受的压力日益增长，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，因此按照信息系统等级保护的基本要求，通过建立合理可靠的技术平台，细致的日常管理与及时的故障处理应急预案，将信息系统等级保护措施落实到实处，确保信息系统不间断运行，只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。

从医院角度依据信息安全等级保护的要求，通过对医院核心信息系统的建设。充分发挥网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台，加强安全防护对策。强调了保障网络和信息系统安全，让安全稳定的网络支撑医院走上可持续发展之路。核心业务是医院信息化建设的基础，是医院信息系统运行的平台，对医院运行效率和管理水平都有重要作用，因此创造良好信息系统安全运营环境是医院信息安全的最终目。

医疗信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业医疗机构信息安全等级保护工作，卫生部办公厅印发了关于三级甲等医院信息安全等级保护建设的相关通知，具体如：

卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知

建设和整改要求：

1.对三级甲等医院已确定安全保护等级的第三级信息系统，应当按照国家信息安全等级保护工作规范和《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准，制订信息系统安全等级保护建设整改方案。三级卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障医院信息系统安全。

1.2 建设目标

依据国家相关政策要求，依据***医院信息系统的实际需要，基于现代信息系统安全保障理论，采用现代信息安全保护技术，按照一定规则和体系化的信息安全防护策略进行的整体设计。建设目标覆盖以下内容

●完善基础安全防护整体架构，开展并完成信息系统等保工作，使之基本达到（符合）

行业等级保护基本要求。

●加强信息安全管理工作，制订科学合理的信息安全工作方针、政策，进一步完善信

息安全管理制度体系，实现管理制度的标准化、规范化和流程化。

●建立科学、完备的信息安全运维管理体系，实现信息安全事件的全程全周期管理，

切实保障信息系统安全、稳定运行。

1.3 建设内容

依据国家相关政策要求，对***医院的信息系统进行安全建设，覆盖信息安全的管理体系、技术体系和运维体系三个方面，建设内容覆盖以下各个层面

●物理层面

●网络层面

●主机层面

●应用层面

●数据层面

●管理层面

1.4 建设必要性

通过近几年的信息化建设，***医院已建成基本稳定的信息系统软、硬件平台，在信息安全方面也进行了基础性的部分建设，使系统有了一定的防护能力。但由于病毒攻击、恶意攻击泛滥，应用软件漏洞层出不穷，***医院的信息安全方面仍面临较大的挑战。另一方面，***医院安全措施比较薄弱，安全防护意识有待加强，安全制度还有待完善。随着信息技术的飞速发展，如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上，需要部署完善的、基于保护操作系统、数据、网络和应用的安全防护体系。

从等级保护安全要求来看，安全建设的必要性主要体现在两个方面：

安全管理现状与等级保护要求的差距

***医院自身信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，但同等级保护的安全管理要求相比较，现有管理制度不论在涉及方面的健全性，还是具体内容的完善性，都存在差距。主要包括：建立信息安全总体策略、完善各个方面的信息安全管理制度、以及落实各类制度需要的表单。

安全技术现状与等级保护要求的差距

整体设计方面的问题，即某些差距项的不满足是由于该系统在整体的安全策略设计上存在问题。同事缺乏相应产品实现安全控制，未能通过对产品的正确选择、部署和恰当配置满足相应要求。另外，由于使用者技术能力、安全意识的原因，或出于对系统运行性能影响的考虑等原因，产品没有得到正确的配置，从而使其相关安全功能没有得到发挥。

二. 安全建设思路

2.1 等级保护建设流程

等级保护的设计与实施通过以下步骤进行：

1.系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统

的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2.安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划

分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

3.安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包

括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。

4.确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过

安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。

5.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方

法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

6.安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结

果，设计系统安全技术解决方案。

7.安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行

安全管理建设。

2.2 参考标准

?《计算机信息系统安全保护等级划分准则》（GB17859-1999）

?《信息系统安全等级保护基本要求》（GB/T 22239-2008）

?《信息系统安全保护等级定级指南》（GB/T 22240-2008）

?《信息系统等级保护安全设计技术要求》

?《信息安全等级保护实施指南》（报批稿）

?《信息系统安全等级保护测评要求》（送审稿）

?GA/T387－2002计算机信息系统安全等级保护网络技术要求

?GA/T388－2002计算机信息系统安全等级保护操作系统技术要求

?GA/T389－2002计算机信息系统安全等级保护数据库管理系统技术要求?GA/T390－2002计算机信息系统安全等级保护通用技术要求

?GA/T391－2002计算机信息系统安全等级保护管理要求

?GB/T18019-1999信息技术－包过滤防火墙安全技术要求

?GB/T18020-1999信息技术－应用级防火墙安全技术要求

?ISO27000

?IATF：《信息保障技术框架》

?ISO/IEC 15408（CC）

?ISO/IEC 13335，第一部分：《IT安全的概念和模型》；

?第二部分：《IT安全的管理和计划制定》；

?第三部分：《IT安全管理技术》；

?第四部分：《安全措施的选择》；

?第五部分：《网络安全管理指南》。

三. 安全现状分析

3.1 网络架构分析

现有网络情况如上图所示，安全防护能力较弱，只通过网络防火墙对互联网边界进行控制，缺少专业化的安全防护产品，存在重大安全风险。

3.2 系统定级情况

医院内HIS、LIS、PACS、EMR以及集成平台定义为三级，门户网站等其他系统为二级。

解读国家相关文件和《定级指南》等要求，结合各单位的实际情况，信息系统的五个等级可以做如下初步落实、描述：

第一级，各单位及其下属单位的一般信息系统，其应用范围局限于本单位内部。系统受到破坏后，会对本单位及其员工的合法权益造成一般性损害，不良影响主要在本单位内部，不损害国家安全、社会秩序和公共利益。

第二级，总部及各单位比较重要的信息系统。系统受到破坏后，会对总部、省级单位及其员工、客户造成严重损害，影响企业形象，带来一定的法律问题；或者对社会秩序和公共利益造成一般性损害、带来一定的社会不良影响，但不损害国家安全。

第三级，总部及各单位跨省或全国联网运行的重要信息系统。系统受到破坏后，会对总部、省级单位造成特别严重损害，严重影响企业形象，带来严重的法律问题；或者对社会秩序和公共利益造成严重损害，造成较大范围的社会不良影响；或者对国家安全造成了一般性损害。

第四级，重要领域、重要部门三级信息系统中的部分重要系统。系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，重要领域、重要部门中的极端重要系统。系统受到破坏后，会对国家安全造成特别严重损害。

四. 安全需求分析

4.1 等级保护技术要求分析

4.1.1 物理层安全需求

物理安全是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保护中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。

物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。物理层主要考虑如下方面的内容：

◆物理位置的选择

◆物理访问控制

◆防盗窃和防破坏

◆防雷击

◆防火

◆防水和防潮

◆防静电

◆温湿度控制

◆电力供应

◆电磁防护

4.1.2 网络层安全需求

网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境，是应用安全运行的基础设施之一，是保证应用安全运行的关键，也是实现内部纵向交互、与其它单位横向交流的重要保证。

在安全模型中，网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为，包括病毒、蠕虫、远程溢出、口令猜测等攻击行为，都可以通过网络实现。网络层主要考虑如下方面的内容：

◆结构安全与网段划分

◆网络访问控制

◆拨号访问控制

◆网络安全审计

◆边界完整性检查

◆网络入侵防范

◆恶意代码防范

◆网络设备防护

4.1.3 系统层安全需求

系统层包括各类服务器、终端和其他办公设备操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面，一方面来自系统本身的脆弱性，另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能。系统层主要考虑如下方面的内容：

◆身份鉴别

◆自主访问控制

◆强制访问控制

◆安全审计

◆系统保护

◆剩余信息保护

◆入侵防范

◆恶意代码防范

◆资源控制

4.1.4 应用层安全需求

应用层是在前面层次的基础之上，可以提供给最终用户真正办公功能的层次，应用层是用户与前面层次的接口。这个层次包括Web应用、文件处理、文件传输、文件存储和其他办公应用等，这些功能依靠相应的IE浏览器、FTP应用软件、公文处理系统、数据库访问控制系统等实现。

应用层主要考虑如下方面的内容：

◆身份鉴别

◆访问控制

◆安全审计

◆剩余信息保护

◆通信完整性

◆通信保密性

◆抗抵赖

◆软件容错

◆资源控制

◆代码安全

4.1.5 数据层安全需求

数据层是用户真正的数据，对于用户而言，数据才是真正至关重要的。数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。

数据层主要考虑如下方面的内容：

◆数据完整性

◆数据保密性

◆数据备份和恢复

4.2 等级保护管理要求分析

4.2.1 安全管理制度

安全管理制度是企业或单位安全管理的根本，它需要制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架，并对安全管理活动中的各类管理内容建立安全管理制度，严格规定安全管理制度的授权和制定，使之能完全符合企业或单位的实际情况。

安全管理制度主要考虑如下方面的内容：

◆管理制度

◆制定和发布

◆评审和修订

4.2.2 安全管理机构

安全管理机构是信息安全管理职能的执行者，该职能部门应该是独立的，同时设定相关的管理职责，实现信息安全管理工作有效进行的目标。加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期召开协调会议，共同协作处理信息安全问题。

安全管理机构主要考虑如下方面的内容：

◆岗位设置

◆人员配备

◆授权和审批

◆沟通和合作

◆审核和检查

4.2.3 人员安全管理

人员安全管理是管理要求重要的组成部分，指定并授权专门的部门责人员录用，签署保密协议，并从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。定期对各个岗位的人员进行安全技能及安全认知的考核，对关键岗位的人员进行全面、严格的安全审查和技能考核，并考核结果进行记录和保存。对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训

人员安全管理主要考虑如下方面的内容：

◆人员录用

◆人员离岗

◆人员考核

◆安全意识教育和培训

◆外部人员访问管理

4.2.4 系统建设管理

系统建设管理，是针对信息系统定级、设计、建设等工作的管理要求。明确信息系统的边界和安全保护，组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施，指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，对产品采购和自行开发进行规范化的管理。

系统建设管理主要考虑如下方面的内容：

◆系统定级

◆安全方案设计

◆产品采购和使用

◆自行软件开发

◆外包软件开发

◆工程实施

◆测试验收

◆系统交付

◆系统备案

◆等级测评

◆安全服务商选择

4.2.5 系统运维管理

系统运维管理是安全管理时间占比最大的一项内容，需要安全管理人员按照管理规范对对机房供配电、空调、温湿度控制等环境设施进行维护管理；建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为，建立统一的监控和安全管理中心。

系统运维管理主要考虑如下方面的内容：

◆环境管理

◆资产管理

◆介质管理

◆设备管理

◆监控管理和安全管理中心

◆网络安全管理

◆系统安全管理

◆恶意代码防范管理

◆密码管理

◆变更管理

◆备份与恢复管理

◆安全事件处置

◆应急预案管理

五. 总体设计思路

5.1 设计目标

落实GB17859-1999的安全保护要求，在安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。

通过满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；通过满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设，让信息系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面提供业务服务，形成立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力

5.2 设计原则

5.2.1 合规性原则

1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），规定“计算机信息系统实行安全等级保护”的制度框架。1999年国家发布实施的《计算机信息系统安全保护等级划分准则》GB17859-1999，这是第一部强制性国家信息安全标准，也是一个技术法规。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和政府行业信息安全体系建设有效结合，设计一套符合需求的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。

5.2.2 先进性原则

安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。

5.2.3 可靠性原则

网络是信息化发展的基础，其稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。

5.2.4 可扩展性原则

信息网络处在不断发展完善的阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全域域的新增以及原有安全域域扩充等要求具有良好的支持。

5.2.5 开放兼容性原则

网络安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。

5.2.6 最小授权原则

网络安全策略管理必须遵从最小授权原则，即不同安全域域内的主机只能访问属于相应的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。

5.2.7 经济性原则

项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。

六. 整改建议

6.1 物理安全

涉密信息安全体系建设方案

涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系，编写安全方案和管理制度，建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设，需要符合国家关于电子政务信息系统的标准要求，覆盖的电子政务信息系统安全保障体系，安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系，确保智慧园区项目系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统：满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的，需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系，完善安全运行管理机制，明确各职能部门的职责和分工，从技术、管理和法律等多方面保证智慧城市的正常运行。

1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准，“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008)，根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品，包括：防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标，结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求，总体应贯彻以下项目原则。 保密原则： 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。 完整性原则：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 可用性原则：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源 规范性原则：信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告。 质量保障原则：在整个信息安全实施过程之中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 （1）安全管理体系

网络信息安全系统加固方案设计

XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经 无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善， 防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

XXX学校信息安全实验室建设方案

XXX 学校信息安全实验室 设计方案

北京网御星云信息技术有限公司 2014-03-30 目录 一、概述 ..................................................... - 4 - 二、设计目的.................................................. - 6 - 三、总体架构.................................................. - 6 - 3.1、所需软硬件............................................ - 7 - 3.2 、培训 ................................................. - 8 -

3.3、实验教材............................................... - 8 - 3.4、产品报价............................................... - 8 - 四、实验和演练................................................. - 8 - 4.1 、网御安全综合网关技术实验................................ - 8 - 4.2 、网御入侵检测技术实验................................... - 9 - 4.3、网御漏洞扫描系统实验................................... - 10 -

信息安全体系建设方案设计.doc

信息安全体系建设方案设计1 信息安全体系建设方案设计 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系，编写安全方案和管理制度，建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设，需要符合国家关于电子政务信息系统的标准要求，覆盖的电子政务信息系统安全保障体系，安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系，确保智慧园区项目系统的安全保密。 安全管理需求：自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求：根据安全体系规划，整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统：满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统，其设备为：

1.2设计方案 智慧园区信息安全管理体系是全方位的，需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系，完善安全运行管理机制，明确各职能部门的职责和分工，从技术、管理和法律等多方面保证智慧城市的正常运行。 1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的 《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准，“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008)，根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品，包括：防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标，结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求，总体应贯彻以下项目原则。 保密原则： 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三

电子政务系统信息安全建设方案

电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程，按敏感级别和业务类型，可划分为：涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体，直接同因特网连接；政务专网上运行关键的政务应用，是为提供协同办公、信息传输交互和业务数据处理的网络平台；涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现，需要为电子政务网络建立完善的信息安全体系，选择符合国家信息安全主管部门认证的安全技术和产品，在电子政务系统的建设中实施信息安全工程，保证电子政务三大网络的安全。电子政务安全保障体系包括：建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标，而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系，不断完善管理行为，形成一个动态的安全过程，才能为电子政务网络提供制度上的保证，它包括：安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分，其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂，数据的计算、交换、存储和调用都是在局域网中进行的，黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境

企业信息安全总体规划方案

企业信息安全总体规划方 案 Prepared on 22 November 2020

XXXXX公司 信息安全建设规划建议书 YYYY科技有限公司 201X年XX月

目录 综述 概述 信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业是否能长期生存、企业的业务是否能高效

的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。 企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。 与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑，应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。 本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。 现状分析 目前企业已经在前期进行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在很大程度上已经对外部

网络安全体系建设方案(2018)

... 网络安全体系建设方案（2018） 编制： 审核： 批准： 2018-xx-xx

目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)

根据《网络安全法》《信息安全等级保护管理办法》的相关规范 及指导要求，参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》，为进一步加强公司运营系统及办 公系统的安全运行及防护，避免公司核心业务系统及日常办公系统遭 受到病毒、木马、黑客攻击等网络安全威胁，防止因网络安全事件（系统中断、数据丢失、敏感信息泄密）导致公司和客户的损失，制定本 网络安全体系。 本网络安全体系是公司的法规性文件，是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则，用于贯彻公 司的网络安全管理方针、目标，实现网络安全体系有效运行、持续改进，体现公司对社会的承诺，现正式批准发布，自2018 年XX 月XX 日起实施。 全体员工必须严格按照本网络安全体系的要求，自觉遵循信息安全管理方针，贯彻实施本安全体系的各项要求，努力实现公司信息安全管理方针和目标。 总经理： 批准日期：2018-xx-xx

信息安全等级保护建设方案

信息安全等级保护（二级）建设方案 ２016年3月 目录 1．?项目概述 ............................................................................................................................................................. ４1.1．?项目建设目标?４ 1.２．?项目参考标准 (4) １.3.?方案设计原则 ............................................................................................................................................... ６

２.系统现状分析7? 2．1.系统定级情况说明..................................................................................................................................... ７2．２.?业务系统说明 .............................................................................................................. 错误!未定义书签。 2.3．?网络结构说明 (7) 3．1．?物理安全需求分析8? 3.?安全需求分析 (8) 3.2．?网络安全需求分析?错误!未定义书签。 ３.３.主机安全需求分析?错误!未定义书签。 3．4.应用安全需求分析9? 3.5.数据安全需求分析9? 3.6．安全管理制度需求分析9? 4.?总体方案设计 ............................................................................................................................................................ ９ 4.1．总体设计目标 ............................................................................................................................................ ９4.3．?总体网络架构设计 .. (12) 4.2.?总体安全体系设计10? 4．４.?安全域划分说明?１2 5.?详细方案设计技术部分?１3 5.１.物理安全13? 5.２．?网络安全 .................................................................................................................................................. 1３ ５.２.１.?安全域边界隔离技术 (13) 5.2.2．?入侵防范技术13? ５.2.3．网页防篡改技术14? 5.2.4．链路负载均衡技术14? 5.2.5.?网络安全审计 .......................................................................................................................................... １４ 5．3.?主机安全 (15) ５.3．1.数据库安全审计................................................................................................................................... １5 ５.3.２．?运维堡垒主机?１５ ５.4.?应用安全 ..................................................................................................................................................... １6 5.3.3.?主机防病毒技术1?６ 6.详细方案设计管理部分 (16) 6．1.总体安全方针与安全策略 (17) 6.2.信息安全管理制度18? 6.３.安全管理机构 (18) 6.4．?人员安全管理 .......................................................................................................................................... １８ 6.5.系统建设管理19? 6.6．?系统运维管理1?９ ６．7.安全管理制度汇总21? 7.?咨询服务和系统测评 (22) 7.1.系统定级服务22? 7．２.风险评估和安全加固服务?２2 ７.2.1．?漏洞扫描2?２ 7.2.２.渗透测试2?２ 7.2.3.配置核查....................................................................................................................................... ２2 7.2.4.?安全加固?２2 7.2.5.安全管理制度编写 (24)

信息安全管理体系建立方案

信息安全管理体系建立方案 (初稿) 信息技术部 2012年2月

随着企业的发展状大，信息安全逐渐被集团高层所重视，但直到目前为止还没有一套非常完善的信息安全管理方案，而且随着新技术的不断涌现，安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。 作为天一药业集团的新兴部门，信息技术部存在的意义绝对不是简单的电脑维修，它存在的意义在于要为企业建设好信息安全屏障，保护企业的信息安全，同时通过信息交互平台，简化办公流程，提高工作效率，这才是部门存在的目的和意义，信息技术部通过不断的学习，研究，通过大量的调研，终于开始着手建立属于天一药业自己的信息堡垒。 企业信息安全主要包括了四个方面的内容，即实体安全、运行安全、信息资产安全和人员安全，信息技术部将从这四个方面详细提出解决方案，供领导参考，评议。 一、实体安全防护： 所谓实体安全就是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全： 1、环境安全： 每个实体都存在于环境当中，环境的安全对于实体来讲尤为重要，但对于环境来讲要想做到100%的安全那

是不现实的，因为环境是在不断的变化的，所以我们只能做到相对的安全，对于天一集团来讲，集团及各子厂所在的地理位置即称之为环境，计算机实体设备都存放于这个环境之中，所以要求集团及各子厂的办公楼要具备一定的防灾（防震，防火，防水，防盗等）能力。 机房作为服务器所在的环境，要求机房要具备防火、防尘、防水、防盗的能力，所以根据现用《机房管理制度》要求，集团现用机房的环境除不具备防尘能力外，基本上仍能满足环境安全条件。 2、设备及媒体安全： 计算机设备、设施（含网络）、媒体设备的安全需要具备一定的安全保障，而为了保障设备安全，首先需要确定设备对象，针对不同的管理设备制订相应的保障条例，比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产，应对散件加强管理，每次固定资产盘点时应仔细核对其配置信息，而不是只盘点主机数量。同时为了保障机器中配件的安全，需要对所有设备加装机箱锁，由信息技术部，行政部共同掌握钥匙。 散件的使用情况必须建立散件库台帐，由信息技术部管理，行政部将对信息部进行监督。 对于移动设备（笔记本、移动硬盘、U盘等）不允许带离集团，如必须带离集团需要经信息部、行政

信息安全管理系统建设方案

XXX有限公司 信息安全管理系统 建设方案 天津市国瑞数码安全系统有限公司 二○一三年八月

目录 1.................................................................................... 项目背景和必要性3 2........................................................................................ 系统现状和需求分析4 3....................................................................................................... 建设方案5 3.1................................................................................................. 建设原则 5 3.2................................................................................................. 系统设计 6 3.2.1 ............................................................................... 系统总体逻辑架构 6 3.2.2 ................................................................... IDC信息安全管理系统架构 9 3.2.3 ............................................................................ 系统部署及网络拓扑 10 3.2.3.1................................................................................... 总体网络部署 10 3.2.3.2................................................................................ 系统管理端部署 12 3.2.3.3......................................................................... 执行单元（EU）部署 13 3.2.4 ............................................................................... 项目实施所需资源 14 3.3................................................................................................. 建设内容 16 3.3.1 ..................................................................... ICP/IP地址备案管理系统

电子政务应用及信息安全保障系统建设方案

某省某市电子政务应用及信息安全保障系统建设方案 1总论 1.1项目背景 1.1.1项目的主要建设内容 信息化是提高政府工作效率、改善政府决策过程、提升政府管理形象的有效措施和手段，也是以中办为领导的国家信息化领导小组着力推广和提倡的政府主要工作之一。随着我国信息化水平的提高，国家非常重视政府信息化的建设，以国家信息化领导小组为核心，提出了电子政务和电子党务的建设规划，并于去年通过了国家电子签名法案，从各方面推进信息化化的建设。目前，以北京、上海和各省省会为主的城市已经完成或者正在进行信息化的第一阶段建设，正在进一步深化和提高信息化的水平。某市作为某省的重要工业地区，理应积极相应国家的号召，顺应信息时代的潮流，在现有的基础上加速某市信息化建设的进程，建立现代化的政府办公系统和体系。 信息化和电子政务的核心内容是通过现代网络通信设施和应用系统，实现政府政务办公系统的无纸化和自动化，加强和加速政府各部门之间的沟通以及政府和其管理服务单位和个人的沟通，从而提高政府的工作效率和公众形象。所以，政府的信息化应用系统是以办公系统和公文流转管理系统为核心的，建立政府的公文流转系统和办公系统是政府信息化的核心。

信息化和自动化政务办公系统的建立，必然将使许多政府机密的信息在信息网络和计算机中存储、使用和传送。为了确保电子政务系统的安全和政府信息的机密性，信息安全保障系统的建立是某市信息化应用系统建设不可缺少的重要组成部分。 本项目建设的主要内容包括： 一、以公文流转为核心，建立某市政府办公自动 化系统。该系统应该能够支持某市政府和各县级政府日常 办公的需要，实现无纸化高效率办公，并能够提供统一和 集中的管理，为各级主管领导决策提供有价值的参考材 料。 二、建立有效的信息网络上的计算机管理体系。计算 机是构成计算机信息网络的基本组织，也是某市政府办公 自动化系统的用户的基本接口，政府工作人员的所有操作 都在信息网络中的计算机终端完成，所以计算机终端的可 靠性和安全性是关系到政府办公自动化系统能否有效允 许的关键。所以，为了确保政府办公自动化系统的可靠性 和安全性，必须对信息网络中所有的计算机进行有效的管 理，提供集中的管理手段和监控措施，确保信息网络中的 所有计算机终端可靠和安全运行，从而确保办公自动化系 统的稳定有效运行。 三、建立统一有效的用户身份管理体系。政府办公人 员是某市办公自动化系统的直接使用者和参与者，因为办

网络安全体系建设方案(2018)

v1.0 可编辑可修改网络安全体系建设方案（2018） 编制： 审核： 批准： 2018-xx-xx

目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 总体策略 (4) 安全方针 (4) 安全目标 (4) 总体策略 (4) 实施原则 (4) 安全管理体系 (5) 组织机构 (5) 人员安全 (5) 制度流程 (6) 安全技术体系 (6) 物理安全 (6) 网络安全 (8) 主机安全 (11) 终端安全 (14) 应用安全 (15) 数据安全 (18) 安全运行体系 (19) 系统建设 (19) 系统运维 (23)

1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求，参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》，为进一步加强公司运营系统及办公系统的安全运行及防护，避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁，防止因网络安全事件（系统中断、数据丢失、敏感信息泄密）导致公司和客户的损失，制定本网络安全体系。 本网络安全体系是公司的法规性文件，是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则，用于贯彻公司的网络安全管理方针、目标，实现网络安全体系有效运行、持续改进，体现公司对社会的承诺，现正式批准发布，自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求，自觉遵循信息安全管理方针，贯彻实施本安全体系的各项要求，努力实现公司信息安全管理方针和目标。 总经理： 批准日期：2018-xx-xx

网络信息安全保障体系建设

附件3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案 (1) 1、建立完善安全管理体系 (1) 成立安全保障机构 (1) 2、可靠性保证 (2) 操作系统的安全 (3) 系统架构的安全 (3) 设备安全 (4) 网络安全 (4) 物理安全 (5) 网络设备安全加固 (5) 网络安全边界保护 (6) 拒绝服务攻击防范 (6) 信源安全/组播路由安全 (7) 网络信息安全保障体系建设方案 1、建立完善安全管理体系 成立安全保障机构 山东联通以及莱芜联通均成立以总经理为首的安全管理委员会，以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组，负责全省网络信息安全的总体管理工作。 山东联通以及莱芜联通两个层面都建立了完善的内部安全保障 工作制度和互联网网络信息安全应急预案，通过管理考核机制，严格执行网络信息安全技术标准，接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求，已将IPTV等宽带增值业务的安

全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系，域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求，对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。 2、可靠性保证 IPTV是电信级业务，对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。 （1）设备级可靠性 核心设备需要%的高可靠性，对关键网络节点，需要采用双机冗余备份。此外还需要支持不间断电源系统（含电池、油机系统）以保证核心设备24小时无间断运行。 （2）网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面： ?接入层：接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 ?汇聚层：在OSI第三层上使用双机VRRP备份保护机制，使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测，然 后通过使用快速路由协议收敛来完成链路快速切换。

医院信息安全等级保护建设方案

医院信息系统等级保护 建设方案

1.为什么需要等级保护？ 1.1 什么是等级保护？ 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 在医疗行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医疗行业信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障医疗信息化业务的正常运行。然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程 “等级化安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行： 1.系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及 业务对系统的依赖程度确定系统的等级。 2.安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根

网络安全体系建设方案

网络安全体系建设方案（2018） 编制： 审核： 批准： 2018-xx-xx

目录 1 安全体系发布令 .............................................错误!未定义书签。 2 安全体系设计 ...............................................错误!未定义书签。 总体策略.................................................错误!未定义书签。 安全方针.............................................错误!未定义书签。 安全目标.............................................错误!未定义书签。 总体策略.............................................错误!未定义书签。 实施原则.............................................错误!未定义书签。 安全管理体系.............................................错误!未定义书签。 组织机构.............................................错误!未定义书签。 人员安全.............................................错误!未定义书签。 制度流程.............................................错误!未定义书签。 安全技术体系.............................................错误!未定义书签。 物理安全.............................................错误!未定义书签。 网络安全.............................................错误!未定义书签。 主机安全.............................................错误!未定义书签。 终端安全.............................................错误!未定义书签。 应用安全.............................................错误!未定义书签。 数据安全.............................................错误!未定义书签。 安全运行体系.............................................错误!未定义书签。 系统建设.............................................错误!未定义书签。 系统运维.............................................错误!未定义书签。

公司信息安全规划方案

XX公司 安全规划方案2016年3月

目录 第一章需求分析 (3) 1.1前言 (3) 1.2现状分析 (4) 第二章信息安全建设规划 (4) 2.1设计思路 (4) 2.2建设目标 (5) 2.3 信息安全建设方案 (5) 2.3.1终端整体安全规划 (5) 2.3.2 IT信息网络安全建设 (14) 2.3.3 IT信息数据建设 (16)

第一章需求分析 1.1前言 随着互联网和信息系统的飞速发展，具有黑客攻击特征的新类型病毒的大量出现，特别是近几年威胁攻击更倾向于窃取核心资料或是从事系统破坏为目的，攻击手法通常采取“低而缓”的方式，攻击行为往往在较长的时间内不会被注意到,恶意软件呈现出了定向化、多样化、动态化的特点。用户如果仅依靠单一的技术手段并无法有效全面控制安全风险。同时IT环境变的越来越复杂,在日常维护工作中如何对多样化的终端，移动设备，应用软件以及多样的系统进行有效的管理，形成统一有效的管理网络，提升管理效率，一个混乱无序的IT环境对于企业的信息安全也是存在巨大的安全漏洞，对于攻击者来说可以利用的攻击途径相比一个统一的有效的IT架构能更加轻松的攻破。 2015 我们身边的安全事件： ?Charlie Miller和Chris Valasek历时一年，研发出了一套可以攻破切诺基2014款吉普的工具，而且可以通过无线网络进行攻破。 ?汽车入侵又出奇招：奥迪TT 被攻破 ?道琼斯公司（Dow Jones）CEO承认了公司数据泄露事件，有3500位用户的数据（支付卡信息、通讯信息等）被黑客未授权访问，并已向受影响的用户发去了通知邮件。 ?喜达屋集团表示，目前位于北美地区的54个酒店均发现了恶意软件，该恶意软件的目的是从支付终端和收银机上窃取酒店用户的银行卡信息。 ?机锋论坛2300万用户信息泄露 ?海康威视部分设备被境外IP控制，存严重安全隐患 ?大麦网600多万用户账号密码泄露，数据已被售卖 ?过亿邮箱用户数据泄露，网易称遭黑客“撞库”

最新XX大学智慧校园信息安全改造建设方案v2.0

XX大学校园网信息安全改 造建设方案

目录 第一章：项目概述 (3) 1.1 学院信息化现状 (3) 1.2 学院安全现状分析 (4) 1.3 学院安全威胁分析 (4) 1.3.1 学院门户网站 (4) 1.3.2 校园网业务信息系统 (5) 第二章：项目建设方案 (6) 2.1 信息安全体系的标准要求 (6) 2.1.1 信息安全体系设计方法论 (6) 2.1.3 信息安全体系架构 (6) 2.1.3 信息安全等级保护整改指南 (7) 2.2 信息安全技术体系 (8) 2.2.1 信息安全区域划分 (8) 2.2.2 信息安全产品的部署情况说明 (9) 2.2.3 安全建设与整改依据 (10) 2.2.4 产品部署方案 (13) 2.3 信息安全管理体系 (15) 2.3.1 安全管理体系建设目标 (15) 2.3.2 安全管理体系建设内容 (15) 第三章：项目产品清单与概算 (18)

第一章：项目概述 1.1 学院信息化现状 近年来，随着我国社会经济的不断发展，国家对教育事业的支持和投入不断增加，我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段，为教育模式的创新、先进教育理念的实现提供了可靠的实现方法。 2012年3月，教育部出台了《教育信息化十年发展规划（2011-2020年）》，明确提出“到2020年，全面完成《教育规划纲要》所提出的教育信息化目标任务，形成与国家教育现代化发展目标相适应的教育信息化体系，基本建成人人可享有优质教育资源的信息化学习环境，基本形成学习型社会的信息化支撑服务体系，基本实现所有地区和各级各类学校宽带网络的全面覆盖，教育管理信息化水平显著提高，信息技术与教育融合发展的水平显著升。教育信息化整体上接近国际先进水平，对教育改革和发展的支撑与引领作用充分显现。” 教育部出台的《高等学校“十二五”科学和技术发展规划》中也明确提出要“加快重大科研平台建设与资源共享”，“加强教育信息化对学校科研、人才培养、社会服务和文化传承的支撑”。 学校信息化主要以数字化校园建设为主，主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；大学数字化校园建设通常先提出总体解决方案，确定数字化校园的体系结构，制定数字化校园的信息标准，以及各系统之间的接口标准，然后分阶段实施。 ?校园信息管理系统建设 建设一整套校园信息管理系统，为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。 ?数据中心建设 建设一个为全校服务的数据中心，保证数据实时更新和高度一致。 ?建立统一信息门户 建立一个信息的集成平台，将分散、异构的应用和信息资源进行聚合，通过