信息安全等级保护与解决方案

信息安全等级保护与解决方案篇一：信息安全等级保护工作实施方案白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【XX】321 号文件精神，结合我校实际，制订本实施方案。一、指导思想 以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行信息安全等级保护管理办法等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 （一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。 学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据信息安全等级保护管理办法和本方案要求，开展信息系统自评工作。 （二）协调领导机制。 1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 （一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照信息安全等级保护管理办法和信息系统安全等级保护定级指南的要求，确定定级对象。 （二）初步确定安全保护等级。各使用部门要按照信息安全等级保护管理办法和信息系统安全等级保护定级指南 ，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 （三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。 （四）备案。根据信息安全等级保护管理办法 ，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。五、定级工作要求 （一）加强领导，落实保障。各部门要落实责任，并于 12 月 15 日前将信息系统安全等级保护备案表 、 信息系统安全等级保护定级报告上报九年制学校。 （二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习信息安全等级保护管理办法 、 文保处教育系统单位信息分级培训材料 、 信息系统安全保护等级定级指南（国标） 、 信息系统安全等级保护基本要求（报批） 、 信息系统安全等级保护实施指南（报批） 等材料。 （三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。 （四）自查自纠、完善制度。此次定级工作完成后，请各部门按照信息安全等级保护管理办法和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案 篇二：信息安全等级保护解决方案地市电子政务网络的信息安全等级保护（一） 一、背景 自从国家启动政府信息化建设以来，各地市政府大都已经完成了从无到有的电子政务网络建设。但是，初期的地市电子政务网连接范围一般较小，纵向上，没有连接起区县一级的政府办公网络；横向上，没有连接起各局、委、办的办公网络；相互之间缺乏有机联系，形成了信息孤岛，导致无论是政府内部办公还是公众服务，都存在沟通不畅、效率低的问题。为了加强政府内部的交流、提高政府的整体办公效率和服务水平，许多地市已经开始规划、建设具有更大连接范围、更快传输速度的大型电子政务网络。 大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时，由于接入人员的身份复杂（分属不同的行政部门） ，各部门对信息安全的要求也存在差异，所以电子政务网在为正常业务数据提供高速通路的同时，也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问题，换句话说：“大型地市电子政务网建设的好与不好，标准就是网络安全是否达标” 。 二、 “等保”与电子政务网 适逢其时的是，国家的相关部门已经制订了标准、规范，可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管” 。这个标准和规范就是“信息安全等级保护” 。 信息安全等级保护（简称“等保” ）就是国家通过制订统一的标准，根据信息系统不同重要程度，有针对性开展保护工作，分等级对信息系统进行保护，国家对不同等级的信息系统实行不同强度的监督管理。 “等保”将信息系统的安全等级分为 5 级，1 级最低，5 级最高。例如，电子政务内网要达到 4 级保护要求，电子政务外网要达到 3 级保护要求。 “等保”有具体的实施指南，把实施流程进行了细化，在其中的“安全规划设计阶段” 、 “产品采购和工程实施阶段” 、 “运营管理和状态监控阶段” ，H3C 公司都能提供很好的服务和帮助，尤其是在安全建设规划、详细方案设计的过程中。地市电子政务网络的信息安全等级保护（二） H3C 公司多年服务于电子政务网，了解电子政务网运行中的安全需求，开发了“五大安全解决方案” ，分别是：远程安全接入解决方案、边界防护解决方案、内网控制解决方案、数据中心保护解决方案和行为监管解决方案。这些解决方案不是单一的产品，而是多产品的联动配合，能够响应“等保”中的许多技术要求和管理要求，是落实“等保”的优秀解决方案。 1. 远程安全接入解决方案 能够响应的等保要求： O1-6. 应具有对传输和存储数据进行完整性检测的能力 O1-8. 应具有合理使用和控制系统资源的能力 O1-9. 应具有设计合理、安全网络结构的能力 O1-14. 应具有对网络、系统和应用的访问进行控制的能力 O1-15. 应具有对数据、文件或其他资源的访问进行控制的能力 O1-16. 应具有对用户进行标识和鉴别的能力 O1-17. 应具有保证鉴别数据传输和存储保密性的能力 O2-11. 应具有对传输和存储数据进行完整性检测的能力 O2-12. 应具有对硬件故障产品进行替换的能力 O2-13. 应具有系统软件、应用软件容错的能力 O2-14. 应具有软件故障分析的能力 O2-15. 应具有合理使用和控制系统资源的能力 O2-16. 应具有记录用户操作行为的能力 O2-22. 应具有对传输和存储中的信息进行保密性保护的能力 O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力 O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-29. 应具有对资源访问的行为进行记录的能力 O2-30. 应具有对用户进行唯一标识的能力 O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力 O2-35. 应具有保证鉴别数据传输和存储保密性的能力 O2-37. 应具有非活动状态一段时间后自动切断连接的能力 O2-38. 应具有网络边界完整性检测能力 O3-14. 应具有监测通信线路传输状况的能力 O3-15. 应具有及时恢复正常通信的能力 O3-16. 应具有对传输和存储数据进行完整性检测和纠错的能力 O3-17. 应具有系统软件、应用软件容错的能力 O3-18. 应具有软件故障分析的能力 O3-19. 应具有软件状态监测和报警的能力 O3-20. 应具有自动保护当前工作状态的能力 O3-21. 应具有合理使用和控制系统资源的能力 O3-22. 应具有按优先级自动分配系统资源的能力 O3-33. 应具有使重要通信线路及时恢复的能力 O3-34. 应具有限制网络、操作系统和应用系统资源使用的能力 O3-35. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O3-36. 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力 O3-38. 应具有对网络、系统和应用的访问进行严格控制的能力 O3-39. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O3-44. 应具有保证鉴别数据传输和存储保密性的能力 O3-45. 应具有对用户进行唯一标识的能力 O3-51. 应具有对传输和存储中的信息进行保密性保护的能力 O3-52. 应具有防止加密数据被破解的能力O3-53. 应具有路由选择和控制的能力 O3-54. 应具有信息源发的鉴别能力 O3-55. 应具有通信数据完整性检测和纠错能力 O3-57. 应具有持续非活动状态一段时间后自动切断连接的能力 O3-58. 应具有基于密码技术的抗抵赖能力 O3-59. 应具有防止未授权下载、拷贝软件或者文件的能力 O3-61. 应具有切断非法连接的能力 O3-62. 应具有重要数据和程序进行完整性检测和纠错能力 O3-66. 应具有保证重要业务系统及时恢复运行的能力 O4-15. 应具有监测通信线路传输状况的能力 O4-21. 应具有合理使用和控制系统资源的能力 O4-22. 应具有按优先级自动分配系统资源的能力 O4-23. 应具有对传输和存储数据进行完整性检测和纠错的能力 O4-36. 应具有使重要通信线路及时恢复的能力 O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力 O4-38. 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力 O4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力 O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力 O4-42. 应具有对数据、文件或其他资源的访问进行严格控制的能力 O4-47. 应具有保证鉴别数据传输和存储保密性的能力 O4-48. 应具有对用户进行唯一标识的能力 O4-49. 应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力 O4-53. 应具有对传输和存储中的信息进行保密性保护的能力 O4-55. 应具有防止加密数据被破解的能力 O4-56. 应具有路由选择和控制的能力 O4-57. 应具有信息源发的鉴别能力 篇三：XX 年信息系统安全等级保护工作实施方案局 XX 年信息系统安全等级保护工作实施方案 XX 年 4 月 25 日市局组织全市系统信息线召开了市OA 信息系统安全等级保护工作会议 ，为贯彻落实会议与文件精神，做好我局信息系统安全等级保护工作，提高信息系统安全保障能力和水平，结合我单位实际，制定此工作实施方案。 一、等级保护工作的内容和目的 信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 信息系统安全等级保护工作内容的核心是对信息系统安全定级、按标准进行建设、管理和监督。 信息系统安全等级定级共分五级。 1. 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 2. 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 3. 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4. 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。 5. 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。 开展信息系统安全等级保护工作，目的在于一是全面清理我局信息系统现状，提升信息系统安全意识和提高安全防范能力，为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本。二是提高我局信息和信息系统安全建设的整体水平，有利于在我局信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调，优化信息安全资源的配置。三是明确信息系统建设与管理部门、人员的信息安全责任，加强信息系统安全建设和监管，形成信息系统安全保障和监管体系，保障信息系统的可持续发展。 二、等级保护工作定级对象 等级保护工作定级对象为具有独立业务应用的各类信息系统。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。具体分三类：一是各种信息系统运行 的支撑系统。如网络平台等。二是各种业务管理信息系统。如教务管理系统，OA 系统等。三是各类信息发布系统。如网站等。三、工作任务和时间安排 1、5 月底前由信息办全面梳理我局信息系统，对已建设、使用的信息系统逐一进行摸底自查，进行等级保护定级。