河南理工大学文件.docx

新乡医学院三全学院重要信息系统等级保护测评服务技术要求2018年7月一、工程概况为贯彻党中央、国务院关于网络平安的统筹部署，落实中华人民共和国网络 平安法的实行国家网络平安等级保护制度要求。根据教育部办公厅教育行业网 络平安综合治理行动方案部署安排，对我院重要信息系统经过梳理，需对五个重 要信息系统进行等级保护测评进行备案。等级保护等级为二级系统，分别为：教务 综合系统（教务管理系统、教学平台、学务管理系统）、网站综合系统（网站群、信 息门户）、一卡通系统、办公自动化系统、人力资源管理系统。二、工程实现的预期目标此次我院重要信息系统等级保护测评服务的目标就是完成我院教务综合系统、 网站综合系统、一卡通系统、办公自动化系统、人力资源管理系统等共计五个系统 的等级保护测评工作。主要包括：1 .向市网安提交我院重要信息系统等级报告、备案表及专家定级评审意见等 材料，完成五个重要信息系统的备案；.开展等级保护测评工作（分四个步骤：（1）系统调研准备阶段；（2）测评 方案及作业指导文件编制阶段；（3）现场测评阶段（4）测评报告编制阶 段（编制每个信息系统的等级测评报告）；2 .编制整改建议及协助整改建设工作；3 .取得每个信息系统的平安等级保护备案证明。三、工程主要内容及实施方案工程范围和内容为：完成我院教务综合、网站综合系统、一卡通系统、办公自 动化系统、人力资源管理系统名称等共计五个系统的二级等级保护测评工作，并取 得系统备案证明。（一）等级测评工作是指测评机构依据国家信息平安等级保护制度规定，按照有关管理规范和技术 标准，对非涉及国家秘密信息系统平安等级保护状况进行检测评估的活动，是落实 信息平安等级保护制度的重要环节。测评时机：新建及改建信息系统、信息系统整改前、信息系统整改后。在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分 析，确定系统的平安保护现状和存在的平安问题，并在此基础上确定系统的整改安 全需求；在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展 等级测评，对信息系统平安等级保护状况进行平安测试，对信息平安管控能力进行 考察和评价，从而判定信息系统是否具备相应等级平安保护能力。而且，等级测评 报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材 料。信息平安等级测评工作主要包括定级、备案、平安建设和整改、信息平安等级 测评、信息平安检查五个阶段。其中，信息平安等级测评是信息平安等级测评工作的核心。（二）工程流程图复测评复测评系统定级,现场调研强测评编制方案提交定级报告再整改'通 一 彳未最终报告，备案证明最终报告，备案证明专家评亩通过，工程蛤收（三）等级测评要求应包括两个方面的内容：一是平安对信息平安等级保护合规性状况进行评估, 控制合规性评估，主要评估信息平安等级保护要求的基本平安控制在信息系统中的 实施配置情况；二是系统整体合规性评估，主要评估分析信息系统的整体平安性。 其中，平安控制评估是信息系统整体平安测评的基础。对平安控制合规性评估的描述，使用测评单元方式组织。测评单元分为平安技 术和平安管理两大类。平安技术包括：物理平安、网络平安、主机平安、应用平安 和数据平安五个层面上的平安控制合规性评估；平安管理包括：平安管理机构、安 全管理制度、人员平安管理、系统建设管理和系统运维管理五个方面的平安控制合 规性评估。根据信息系统平安等级保护基本要求，平安控制合规性评估的主要内容如下:1 .物理环境测评：包括位置、访问控制、防盗窃防破坏、防雷击、防火、防 水和防潮、防静电、温湿度控制、电磁防护等内容。2 .网络系统测评：包括网络架构、网络访问控制、网络平安审计、边界完整 性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。3 .主机与数据库测评：主机与数据库身份鉴别、主机与数据库访问控制、主 机与数据库平安审计、主机与数据库入侵防范、主机恶意代码防范、信 息资源平安、资源控制等内容。4 .应用系统测评：包括应用系统身份鉴别、应用系统访问控制、应用系统安 全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、 资源控制等内容。5 .数据及备份恢复测评：包括数据完整性、数据保密性、备份和恢复等内容。6 .平安管理测评：涵盖管理制度、管理机构、人员管理、系统建设、系统运 维等方面。系统整体合规性评估涉及到信息系统的整体拓扑、局部结构，也关系到信息系 统的具体平安功能实现和平安控制配置，与特定信息系统的实际情况紧密相关，内 容复杂且充满系统个性。因此，全面地给出系统整体评估要求的完整内容、具体实 施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情 况，结合基本要求，确定系统整体评估的具体内容，在平安控制测评的基础上， 重点考虑平安控制间、层面间以及区域间的相互关联关系，测评平安控制间、层面 间和区域间是否存在平安功能上的增强、补充和削弱作用以及信息系统整体结构安 全性、不同信息系统之间整体平安性等。具体见下列图:平安控M黑评信息系统平安安级保护海谭系统整体器评物理平安忤理黑理技术/W平安特理机构统设理 系itn平安冲粘间I层闿间区域间不冏信里系线之间的整体平安性系线结构平安在平安等级测评过程中，每个工作阶段、流程、内容、及成果交付严格遵循信 息平安技术信息系统平安等级保护测评要求(GB/T 28448-2012)和信息平安技 术信息系统平安等级保护测评过程指南(GB/T 28449-2012)文件，根据本工程信 息系统已完成的定级备案平安等级，开展相应级别的平安等级测评工作，根据评估 结果出具相应的单项和整体测评报告，测评报告需得到工程单位确实认，并报请省 公安厅主管部门审核、批复。测评报告编制的内容及格式严格遵照信息平安等级 保护测评报告模版(2015年版)进行。交付成果：(1)工程阶段各阶段的测评过程文档(2)交付成果工程阶段交付成果测评准备活动工程计划书被测系统基本情况分析报告方案编制活动测评指导书信息系统平安测评方案现场测评活动测评结果记录测评中发现的问题汇总分析与报告编制活动单项测评结果汇总分析整体测评结果汇总分析风险分析和评估 等级测评结论信息系统平安等级测评报告> 教务综合系统测评报告;> 网站综合系统测评报告；> 一卡通系统测评报告；> 办公自动化系统测评报告；> 人力资源管理系统测评报告；（四）整改建议要求依照信息平安等级保护平安建设整改工作指导意见（公信安2009L429号）, 严格遵循信息平安等级保护平安建设整改工作指南各项要求，在系统符合性评 估工作的基础上，对信息系统总体信息平安管理和技术方面现状进行全面的分析， 制订信息平安等级保护平安建设整改方案，方案内容包含但不限于：信息平安背景、 政策与技术标准依据、当前风险分析、平安需求分析、总体平安策略、平安建设整 改技术方案设计、平安建设整改管理体系设计、信息系统平安产品选型及技术指标 建议、平安建设整改工程实施计划、工程预算，整改后可能存在的其他问题。主要 包含内容见下表：方案分项详细内容及要求等级化平安保障建议方案内容应包括但不限于以下方面：1、平安区域和等级划分；2、平安体系框架设计；3、等级化平安指标体系报告。平安体系建设建议方案内容应包括但不限于以下方面：1、网络面临风险分析；2、针对性措施建议。相关网络平安管理制度内容应包括但不限于以下方面：1、机房平安管理制度；2、网络故障应急预案及应急方案流程制度；3、客户端管理制度；4、数据备份及恢复制度；5、灾难恢复策略及制度。提交成果> 教务综合系统平安整改建议；> 网站综合系统平安整改建议；> 一卡通系统平安整改建议；> 办公自动化系统平安整改建议；> 人力资源管理系统平安整改建议;（四）备案证明要求向市网安部门提交教务综合系统测评报告、网站综合系统测评报告、0A 系统测评报告、一卡通系统测评报告、办公自动化系统测评报告、人力资源 管理系统测评报告等材料，并协助应答提出的疑问，最终取得:> 教务综合系统平安等级保护备案证明；> 网站综合系统平安等级保护备案证明；> 一卡通系统平安等级保护备案证明；> 办公自动化系统平安等级保护备案证明；> 人力资源管理系统平安等级保护备案证明；四、工程清单标段一：重要信息系统等保测评服务（二级）序号工程名称单价数量总价备注1教务综合系统安 全等级测评1次（一）根据中华人民共和国网络平安法、 信息平安等级保护管理方法（公通字 【2007】43号）、河南省教育厅、河南省公 安厅联合下发关于深入开展教育行业信息 系统平安等级保护工作的通知（教科技（2015） 710号）文件要求开展等级测评工 作（二）参照国家公布的信息平安技术 信 息系统平安等级保护基本要求、信息平安 技术信息系统平安等级保护测评要求（GB/T 28448-2012）和信息平安技术信 息系统平安等级保护测评过程指南（GB/T 28449-2012）等技术标准开展等级测评工 作。2网站综合系统安 全等级测评1次3一卡通系统平安 等级测评1次4办公自动化系统 平安等级测评1次5人力资源管理系 统平安等级测评1次7巡检服务/季度4次第二年等级保护平安巡检服务费，每一季度 一次。合计：标段二：防火墙（所选产品确保符合二级等级保护测评要求）序号设备名称配置参数数量单价1出口防火墙（推荐：山石 SG-6000-E5660）三年质保。硬件参数：2U, 4个GE接口和4个SFP接口， 4个万兆接口，双交流电源；性能参数：吞吐量25G, VPN吞吐量15G,并 发连接数1000万，每秒新建40万。附件：4个千兆光模块，4个万兆光模块。万 兆跳线4根（上联、下联）1台2数据中心防火墙 （推荐：山石 SG-6000-E3965）三年质保。硬件参数：2U, 4个GE接口和4个SFP接口、2个SFP+接口；双交流电源性能参数：吞吐量10G, VPN吞吐量6G,并发 连接数600万，每秒新建17万。开通防病毒，入侵防御模块。附件：4个千兆光模块，2个万兆光模块。千兆跳线4根，万兆跳线2根。1台合计：标段三：堡垒机和日志审计（所选产品确保符合二级等级保护测评要求）序号产品名称规格配置数量单价1堡垒机（推荐：PLDSECSMS 3500ST）标准机1U机架式设备管理设备数量：100个（可扩展）；并发数：500个字符并发，100个图形并发； 支持Unix、Linux、Windows等各类主机,网络 设备，平安设备，数据库；支持HA双机热备，存储1T空间，4个千兆电口； 独立电源支持 SSH、TELNET、SFTP、FTP、RDP、XII、VNC； Oracle： PLSQL. TOAD、SQLPLUS. SQLDEVELOPER. Mysql： MYSQLFRONT. HIDESQL. Sqlserver： SQLServer （2000-2012） 、 WEB： HTTP、 HTTPS 其它应用：REALVNC等以上协议及客户端工具； 支持图形传输控制、命令控制、访问控制、IP 控制；支持命令记录、命令分析、SQL解析、离线回放、 在线监控等；支持radius、AD域、本地认证、动态令牌等双 因素认证；1台2日志审计(推荐： LEADSINO DbXper t -iLOG 3650ST)规格：标准1U设备 日志吞吐量：6500条/秒； 动态缓存量：600万条； 日志存储量：6亿条； 硬盘：1T日专存储容量； 网口： 4个千兆以太网电口；1台日志采集：对不同日志源（包括Windows系统, Unix/Linux系统，应用程序，路由器，防火墙 等）所产生的日志进行收集，实现日志的集中管 理和存储；支持解析任意格式、任意来源的日 志；使用无代理的方式收集日志。不限制审计 节点数。日志搜索：提供强大的日志搜索引擎，可进行 基本搜索和高级搜索，从而帮助管理人员从海 量的日志数据中检索出所需的信息。日志归档：对提供的日志数据（包括从Windows 系统收集到的Eventlog数据、从Linux/Unix 及路由器/交换机收集到的Syslog数据、以及 其它设备提供的Syslog数据）进行自动归档处 理，以实现日志数据的长久保存。存储的日志 数据，用于取证分析、性能检测、使用统计等 方面。支持自定义合规性报表。合计: