• 安全集成方案
  • 当前位置 : 首页 > 安全集成方案
  • 三级等级保护设计方案
  • 添加时间:2016-11-01 / 浏览:7957

  • 一、概述


    1.1、项目背景


    XX单位1984年底组建,2003年7月完成工商分开。XX单位专卖、商业系统现有11个市级X单位专卖局(公司)、64个县级X单位专卖局(分公司),职工总数12000余人。“十一五”期间,X烟专卖商业坚持以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,各领域工作取得了积极进展:经济运行较快发展,经济效益显著提升;卷烟销售网络整体推进、全面提升,省内市场全国化格局初步形成;专卖管理理念和管理方式不断创新,较好履行了法律赋予的X单位专卖管理监督职能;行业管理体制基本理顺,建立起较为规范的母子公司管理模式;管理创新工作全面开展,基础管理水平得到不断提高;队伍素质和企业文化建设大力加强,软实力显著增强。通过5年的努力,X烟单箱结构、利润总额、国标网络案件数量等几个关键指标均居全国X单位商业企业第一位。

    在日新月异的当代社会,信息技术的迅猛发展既为我国企业发展带来了契机,又使我国企业面临严峻的挑战。作为X单位行业,X单位是基础,必须加快X单位信息化建设的步伐,推动X单位全面的管理变革,提高X单位企业整体素质,最终提高企业核心竞争力,保证行业的长期平稳发展。X单位可持续性发展是未来X单位发展的方向和出路,其发展过程必定会遇到很多问题和困难,而X单位信息化是解决X单位可持续发展中的诸多难题的重要途径之一,没有信息化就没有X单位的现代化,伴随着信息化水平不断提升,网络安全问题也愈发严重,根据CNCERT/CC国家互联网应急响应中心统计2013年我国境内被篡改网站数量高达24034个,来自境外的黑客组织频繁对我国政府发起敌对攻击行为。

    为提升XX单位信息安全防护水平,落实好X单位关于X单位行业信息系统安全等级保护基本要求,结合XX单位公司目前网络整体运行安全现状,编写制定XX单位等级保护建设方案。

    1.2、项目设计范围


    XX单位公司信息化系统由X单位外网系统、X单位内网系统两部分组成,本次信息安全体系建设是紧密围绕着X单位外网、X单位内网信息系统建设目标和任务,建立健全安全治理、安全管理、安全防护、标准规范、技术支撑队伍、安全基础设施等信息化安全保障体系,为信息系统安全可靠运行提供了坚强支撑。

    本规划在对X省X单位公司本部信息化建设现状分析的基础上,结合等级保护差距分析和安全评估过程中发现的一些主要问题,制定信息系统安全总体规划,提出了信息系统安全体系的建设规划思路和体系架构,规划内容涉及机房物理环境、边界、网络、主机、应用等安全防护建设工程项目,并对规划年限内对信息系统安全建设投资做出估算。

    1.3、设计参考依据


    Ø   GB 17859-1999  计算机信息系统安全保护等级划分准则

    Ø   GB/T 22239-2008  信息安全技术 信息系统安全等级保护基本要求

    Ø   GB/T 22240-2008  信息安全技术 信息系统安全等级保护定级指南

    Ø   GB/T 25058-2010  信息安全技术 信息系统安全等级保护实施指南

    Ø   YC/T 495-2014X单位行业信息系统安全等级保护实施规范

    Ø   YC/T 389-2011X单位行业信息系统安全等级保护与信息安全事件的定级准则

    Ø   《X单位行业信息系统安全等级保护基本要求》

    Ø   《X单位行业信息安全保障体系建设指南》

    二、指导思想、建设原则与目标


    2.1、指导思想


    信息安全建设,以谁“经营谁负责、谁主管谁负责”原则,以“双网隔离、分区分域、接入保障、终端可控、传输可信、潜伏可查”为建设思路, 结合国家等保方面的合规管理,实现安全保发展,从发展中求安全。

    2.2、基本原则


    “全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。

    “整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。

    “同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。

    “适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。

    “内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。

    “标准化”原则:管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。

    “技术与管理并重”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。

    2.3、建设目标


    依托等级保护建设要求、理清信息安全建设方面的不足,逐步构建信息安全技术体系、信息安全管理体系,完善机构构架、明确各组织、部门职责。

    三、系统定级与备案


    3.1、定级流程


    确定信息系统安全保护等级的一般流程如下(参考GB/T 2240-2008):

    l   识别单位基本信息

    了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。

    l   识别业务种类、流程和服务

    应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据。

    l   识别信息

    调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。

    l   识别网络结构和边界

    调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。识别主要的软硬件设备

    调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。

    l   识别用户类型和分布

    调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,判断系统服务中断或系统信息被破坏可能影响的范围和程度。

    根据信息安全等级矩阵表,形成定级结果

    业务信息安全等级矩阵表

    业务信息安全被破坏时所侵害的客体

    对相应客体的侵害程度

    一般损害

    严重损害

    特别严重损害

    公民、法人和其他组织的合法权益

    第一级

    第二级

    第二级

    社会秩序、公共利益

    第二级

    第三级

    第四级

    国家安全

    第三级

    第四级

    第五级

    系统服务安全等级矩阵表

    系统服务安全被破坏时所侵害的客体

    对相应客体的侵害程度

    一般损害

    严重损害

    特别严重损害

    公民、法人和其他组织的合法权益

    第一级

    第二级

    第二级

    社会秩序、公共利益

    第二级

    第三级

    第四级

    国家安全

    第三级

    第四级

    第五级

    3.2、等级矩阵表


    系统名称

    系统对主要业务的

    影响程度(业务信息)

    系统对社会公众的

    影响程度(系统服务)

    1

    专卖管理信息系统

    2

    综合办公及档案系统

    3

    人力资源信息系统

    4

    财务管理系统

    5

    X单位信息管理基础软件系统

    6

    卷烟生产经营管理决策系统(子系统)

    7

    投资项目管理系统

    8

    营销管理系统

    3.3、定级结果


    按行业等级保护工作要求,全省系统报备了7个三级信息系统,1个二级信息系统。各应用系统均为数据库、应用、中间件三层架构,其中专卖管理、卷烟生产经营管理决策系统、营销管理系统,综合办公及档案系统为省、市二级部署,人力资源、财务、X单位、投资管理信息系统为省集中方式部署。

    定级工作

    办事部门

    信息中心

    部门负责人

    姓 名

    李XX

    备注

    联系电话

    010-8822XXXX

    信息系统

    总 数

    8

    第一级

    0个

    第二级

    1个

    第三级

    7个

    第四级

    0个

    信息系统名称

    信息系统描述

    主管单位

    使用人员

    服务范围

    保护等级

    专卖管理信息系统

    专卖管理、内管分析

    专卖处

    内管处

    内部人员

    本省

    三级

    变更

    综合办公及档案系统

    公文流转、内外网门户、档案存储、检索、归类

    办公室

    内部人员及社会公众

    行业内外

    二级

    变更

    人力资源信息系统

    人员进行业务操作、信息综合、研究分析。

    人事处

    内部人员

    本省

    三级

    财务管理系统

    统一核算、全面预算。

    财务处

    内部人员

    本省

    三级

    变更

    X单位信息管理基础软件系统

    收购管理、生产管理、基地单元管理。

    X单位处

    内部人员

    本省

    三级

    变更

    卷烟生产经营管理决策系统(子系统)

    一号工程数据采集。

    计划处

    内部人员

    行业内

    三级

    行业统一

    新商盟网上订烟系统

    投资项目规范化管理

    投资管理处

    内部人员及社会公众

    本省

    三级

    新定

    营销管理系统

    卷烟分销、呼叫中心、网上订货、客户关系管理等

    销售处

    内部人员及社会公众

    行业内外

    三级

    变更

    四、信息系统现状


    4.1、物理与机房环境现状


    4.1.1、机房装修


    X省X单位公司信息主机房面积约200平方米,共分为主机房区、UPS配电区。其中主主机房区面积为100平方米、UPS配电区面积约50平方米、消防间约50平方米。目前各区域装修情况如下:

    放入机房CAD图

    地面:主机房运行区及配电区,现采用防尘漆对地面做洁净化处理,辅设100mm×200mm×300mm全钢有边抗静电活动地板,地板架空高度30cm。由于机房地板使用时间很长,部分地板边线已破损,机房出入口踏步损坏,不但影响观感,而且影响进出机房操作人中的安全,因此急需全部更换全部地板,因此。钢瓶间为水泥地面,用于存放机房二氧化碳钢瓶。

    墙面:整个机房区域全部墙面采用立邦仿瓷乳胶漆处理,随着4-5年时使用、在机房极度干燥的情况下,机房内墙面极易起尘,严重影响设备的运行安全,因此急需要对墙面进行无尘化处理,即采用防火采钢板。

    照明:整个机房区域照明系统全部采用600*1200MM格栅灯,经过5年的使用已有部分灯管损坏,因此需要部分更换已损坏的灯管。

    吊顶工程:机房主机运行区及配电区吊顶全部安装了铝合金微孔吸音吊顶板(燃烧性能A级),规格为200×200×0.7mm,板面颜色为乳白色,经过几次机房空调改造及3年的使用,部分微孔金属板存在严重变型,板上部分吸音防尘纸已出现脱落的情况,因此急需整体改造。

    门窗:主机运行区及配电区窗户设置2层玻璃窗,1层为钢化玻璃窗,另一层为双层中空玻璃铝合金窗,2层窗户起到了良好的隔热效果,机房主出入口门为双层防火木门。

    以上情况据实填写。

    4.1.2、机房综合布线


    机房综合布线系统由机房分区及总配线管理子系统(IPatch系统)、工作区子系统(包含机柜、配线架)、水平子系统(包含桥架;线缆敷设、端接、桥架)组成。

    根据实际情况针对各子系统、工作区系统进行分述。

    4.1.3、UPS电源


    机房分别安装有两台艾默生HIPULSE U/160/S/6P 160KVA UPS电源主机。

    (UPS电源部署图)

    4.1.4、空调及温湿度控制


    机房温湿度控制主要通过空调系统进行控制,主机房中央空调系统为水冷型空调,一般厦季开制冷,冬际为制热,机房全部选用的民用级别的空调,其无法满足机房恒温恒湿的要求,因此在条件许可的情况下考虑采用精密空调。

    (根据实际情况说明)

    4.1.5、电子门禁与监控


    机房环境监控系统采用了南京亚奥数码技术有限公司的监控产品,门禁产品采用科松产品,并配置了松本智能对讲系统。

    门禁系统,采用科松(CSS)产品,系统由网络工作站、门禁控制器、IC卡读感器、数据通信转换器、电控磁力锁、电锁电源、出门按钮、非接触式IC卡、可视对讲器及门禁管理软件组成,其中门禁管理软件为Link Work4.6动力设备、环境及图像集中监控系统是对分布各种机房的电源、空调、油机、蓄电池、高低压配电等多种设备和环境、图像的各种参数进行遥测、遥信和遥控,实时监测其运行参数,诊断和处理故障,记录和分析相关数据,从而实现机房少人或无人值守的目的,并对设备进行集中监控、集中维护和集中管理。

    (根据实际情况说明)

    4.1.6、消防设施


    机房消防设施主要采用高压二氧化碳有管网气体灭火系统了和七氟丙烷灭火系统。

    (根据实际情况说明)

    4.1.7、防雷接地措施


    主要涉及防雷及接地系统,直击雷的防护已由大楼整体考虑。电源的感应雷防护在大楼已做了一级防雷,机房接地系统主要涉及机房安全保护地,接地总引下线采用铜排直接与26弱电竖井内铜排对接,实现与大楼地的对接。

    (根据实际情况说明)

    4.2、网络与通信现状


    XX单位公司网络分为“X单位内网”和“X单位外网”, “X单位内网”和“X单位外网”之间采取逻辑隔离。X单位外网网络中心节点在X单位公司大楼4楼A区,X单位外网采用光纤技术、双星型网络结构,利用4M SDH与X单位总局互联、2M SDH下联11个地市分公司;X单位内网网络中心节点在X单位

  • 电话咨询
    商务咨询
    技术咨询
    咨询邮箱