xxxx集团办公及邮件系统等级保护(三级)安全整改建设方案.doc

XXXX集团公司
办公及邮件系统
信息等级保护(三级)建设方案
2016年5月
目录
1 总述 4
项目背景 4
设计依据 5
设计目标 5
设计范围 5
2 安全目标分析 6
系统定级情况 6
定级系统现状 6
等保三级安全要求 10
《基本要求》三级要求 12
《设计技术要求》三级要求 14
安全需求分析 15
合标差距分析安全需求 16
风险评估分析安全需求 21
3 等级保护总体设计 24
方案设计原则 24
方案设计思想 25
总体安全框架 27
分区分域设计 28
安全技术架构 30
安全管理架构 32
等级保护建设流程规范化 32
4 等级保护安全技术建设 34
物理安全 34
物理安全设计 34
物理安全设计具体措施 34
技术安全 35
技术安全设计 35
等级保护安全建设后网络拓扑 40
安全区域划分 40
等级保护安全技术措施 41
应用安全 43
应用安全设计 43
办公系统和邮件系统应开发安全功能 44
等级保护所需安全产品清单 44
5 安全管理建设 45
安全管理要求 45
信息安全管理体系设计 46
安全管理体系设计原则 46
安全管理体系设计指导思想 46
安全管理设计具体措施 46
信息安全管理体系设计总结 55
6 安全产品选型及指标 56
设备选型原则 56
安全产品列表 58
主要安全产品功能性能要求 59
网络接入控制系统 59
服务器操作系统安全加固软件 64
主机监控与审计系统 66
总述
项目背景
随着国家信息化发展战略的不断推进,信息资源已经成为代表国家综合国力的战略资源。信息资源的保护、信息化进程的健康发展是关乎国家安危、民族兴旺的大事。信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要办公系统和邮件系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。信息安全等级保护制度是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化设计健康发展的一项基本制度,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
实行信息安全等级保护制度有利于在信息化设计过程中同步设计信息安全设施,保障信息安全与信息化设计相协调;有利于为信息系统安全设计和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全设计成本;能够强化和重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要系统的安全;能够明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。实行信息安全等级保护制度具有重大的现实意义和战略意义,是国家对重要工程项目信息系统安全保护设计提出的强制性要求。
XXXX公司(以下简称为“XXXX”)的前身是中国航空技术进出口总公司。XXXX由中国航空工业集团公司控股,全国社会保障基金理事会、北京普拓瀚华投资管理中心(有限合伙)和中航建银航空产业股权投资(天津)有限公司共同持股。XXXX是中国航空工业的重要组成部分,是中国航空工业发展的先锋队,改革的试验田,是中国航空工业开拓台。
XXXX从自身信息化业务需求和安全需求角度出发,为了满足XXXX总部各类业务信息系统的安全稳定运行,提高对重要商业信息安全的基本防护水平,更好的实现与中航工业金航商网的对接,决定针对企业内部的办公系统和邮件系统,按照开展安全整改建设工作,确保信息系统安全、可靠、稳定运行和长远发展。
设计依据
本方案主要依据以下文件和技术标准进行编写:
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术信息系统等级保护安全设计技术要求》(GB/T250