广州市增城区卫生和计划生育局网络安全建设项目需求.doc

广州市增城区卫生和计划生育局网络安全建设项目需求广州市增城区卫生和计划生育局2018年03月项目背景增城区卫计局网络安全现状近几年随着卫计行业业务的全面发展,敌对势力、不法分子进行攻击、破坏和恐怖活动的日益猖獗,卫计信息安全工作正面临比以往更严峻的形势,因此如何将国家等级保护要求和本行业、本单位具体工作相结合,如何将国家等级保护有关要求深入落实到信息系统的规划、建设、测试、投产、运维全生命周期各个环节中,并逐步形成信息安全长效工作机制和常态化工作,以及建立一个跨部门的卫计行业等级保护工作协调和信息安全防护机制还需不断探索和尝试。增城卫计局将继续贯彻落实国家等级保护制度要求,积极督促并指导卫计行业的定级备案与测评整改工作,不断提升卫计行业的信息安全保障能力,全面践行增城卫计局在卫计行业指导协调信息安全工作职责,以先进、高效、安全、稳定的信息化工作迎接未来的挑战。单位现有的业务信息系统包括如下:广州市增城区区域影像平台广州市增城区区域健康档案平台广州市增城区区域信息管理平台 单位现有的信息安全防护系统及软件包括如下:在互联网边界防御这块,单位目前有华为防火墙、华为SSLVPN防火墙、华为SSLVPN网关和华为政务防火墙。在网络管理方面,单位现有华为eSight网关软件。在终端安全方面,单位现有趋势科技的Officescan的desktop版和server版。分析目前信息安全建设中存在的不足:在网络边界这块,防火墙只能作为七层协议中三层以下的安全防护手段,但是在应用层以上,传统的防火墙无法做到防护。在单位内部网络安全方面,网管软件华为eSight管理平台针对全网设备提供统一性能、告警、资源、配置、拓扑能力,实现全网设备的统一管理,简化管理,提升运维效率,华为eSight更多的是一种资源和设备管理软件的角色的存在,对于单位内网中存在的深层的网络威胁活动并没有相关的侦测手段和防御能力。在终端及数据安全方面,单位引入趋势科技的Officesan的desktop版和server版,提供了网络终端即办公PC和服务器的防病毒、防入侵等安全防护能力,但是在服务器这块,缺乏相应的日志收集及审计模块功能,另外,对于终端的重要业务数据,也没有专业安全防护技术手段。存在网络和信息安全运维服务建设上的缺失。项目建设目标分析目前单位信息安全建设存在的问题,对相关问题进行安全加固。进行等级保护定级评测,根据网络安全法的相关规定以及上级要求,完成等级保护定级。 本项目建设的内容包括:序号项目数量1网络威胁监测设备1台2应用安全网关设备1台3服务器安全防护系统1套控制台、6个服务器Agent版4数据防泄密系统50点5二级等保评测服务3个系统 本次安全等级保护项目包含信息系统如下:序号系统名称定级情况1广州市增城区区域影像平台二级2广州市增城区区域健康档案平台二级3广州市增城区区域信息管理平台二级项目依据法律法规:《中华人民共和国网络安全法》;《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理安全保障工作的意见>的通知》(中办发[2003]27号);《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文);《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号文);《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);《广东省深化信息安全等级保护工作方案》(粤公通字[2010]45号);《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)。《广州市网络与信息安全通报中心关于印发<广州市网络与信息安全通报工作规范(试行)》(穗网安[2018]3号)技术标准:《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);《信息安全技术等级保护定级指南》(GBT22240-2008);《信息安全技术信息系统安全等级保护测评过程指南》;《信息安全技术信息系统等级保护实施指南》;《信息安全技术信息系统等级保护测评要求》;《信息安全技术信息系统等级保护安全设计技术要求》(信安秘字[2009]059号);《信息安全技术网络基础安全技术要求》(GB/T20270-2006);《信息安全技术操作系统安全技术要求》(GB/T20272-2006);《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006);《信息安全技术服务器技术要求》(GB/T21028-2007);《信息安全技术终端计算机安全等级系统安全等级技术要求》除上述规范以外,还遵循国家现行的相关标准和规范要求。