某国土资源局信息安全等级保护建设方案.doc

《某国土资源局信息安全等级保护建设方案.doc》由会员分享，可在线阅读，更多相关《某国土资源局信息安全等级保护建设方案.doc（30页珍藏版）》请在三一办公上搜索。

1、某市国土资源局核心业务系统信息安全等级保护建设方案 25目录1方案背景12方案编制目的13方案目标24建设方案编制依据35网络与信息安全设计整体原则35.1可靠性35.2实用性45.3先进性45.4安全性45.5可扩展性45.6可管理性46网络设计说明57等级保护基本要求层级结构57.1技术要求67.2管理要求77.3等级保护的安全保障体系框架77.3.1安全策略体系77.3.2安全管理体系87.3.3安全技术体系88信息安全技术体系建设内容109信息系统安全管理体系结构139.1安全管理制度139.1.1确定安全方针139.1.2制定安全策略139.1.3策略审查评估149.2组织管理149

2、.2.1建立交流机制149.2.2安全责任划分159.2.3不同组织间的合作169.3人员管理169.3.1人员安全169.3.2职位与职责设置179.3.3信息安全的教育与培训1810项目清单与预算1811等级保护三级建设成效2312等级保护相关项目成功案例2313XX集成公司等级保护服务优势和特色241 方案背景国土资源信息是国家的基础性、战略性信息，是服务国家经济社会、保证国家可持续发展的重要资源；国土资源信息系统是国土资源信息有效合理利用的重要保障。随着国土资源信息化建设的飞速发展，网络的覆盖面以及应用的范围不断扩展，数据资源越来越丰富，信息系统应用不断深化，信息化技术和管理业务的融合

3、程度越来越高，在国土资源遥感监测“一张图”、电子政务平台、综合监管平台和共享服务平台的框架体系下，将全面实现网上办公、网上审批、网上交易和网上服务。国土资源信息和信息系统的基础性、全局性、战略性的作用日益突显，这对保障国土资源信息和信息系统安全稳定运行提出了急迫的需求和更高的要求。信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法，是促进信息化发展、维护国家信息安全的根本保障。开展国土资源信息安全等级保护工作，是解决国土资源信息安全面临的威胁和存在的主要问题的重要手段，是对非涉密重要信息系统进行安全保障的重大措施，能够有效地保护国土资源信息和信息系统的安全，对促进国土资源信息化健

4、康有序发展有着特别重要意义。2 方案编制目的为贯彻落实国家信息安全等级保护制度，规范和指导国土资源行业开展信息安全等级保护工作，有效保护国土资源信息和信息系统的安全，国土资源部发布了国土资源部信息化工作办公室关于国土资源信息安全等级保护工作的指导意见国土资信办发20126号，根据指导意见，同时依照国家计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息系统安全保护等级定级指南、关于印发国土资源信息系统安全等级保护定级工作方案的通知（国土资信办发200714号）等标准和要求，对某市国土资源局的核心业务系统（如国土资源信息系统、电子政务系统、国土资源门户网站系统涉及矿业权市场、土

5、地交易市场等）进行等级保护定级，按信息系统编制定级报告和定级备案表，并指导某市国土资源局信息人员将定级材料提交当地公安机关备案。同时，根据信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准，制订某市国土资源局信息安全等级保护建设方案，同时力争在2015年底前，完成核心业务系统的安全建设整改和测评工作。3 方案目标通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得某市国土资源局核心业务系统的等级保护建设方案最终既可以满

6、足等级保护的相关要求，又能够全方面为某市国土资源局的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本次等级保护整改建设将完成以下目标：1、 以某市国土资源局的核心业务系统（如国土资源信息系统、电子政务系统、国土资源门户网站系统涉及矿业权市场、土地交易市场等）现有基础设施，建设并完成满足等级保护三级系统基本要求，确保某市国土资源局的整体信息化建设符合相关要求并迈向新的台阶。2、 建立完善的安全技术防护体系。根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。3、 建立安全管理组织机构。成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等

7、级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。4、 建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。5、 持续信息安全意识与培训教育。统一国土资源行业信息安全等级保护标准与要求，加强信息安全意识，提高国土资源信息安全保护能力。应每年至少开展一次信息安全培训，及时了解信息安全发展方向和最新动态，提升全员信息安全防护意识，规范信息安全操作行为，提高信息安全管理人员和技术人员的管理水平和技术能力。6、 制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重

8、要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。4 建设方案编制依据l GB17859-1999 计算机信息系统安全保护等级划分准则l GB/T 22239-2008 信息系统安全等级保护基本要求l GB/T 22240-2008 信息系统安全等级保护定级指南l 信息系统安全等级保护实施指南（国标报批稿） l 信息系统安全等级保护测评要求（国标报批稿）l GB/T 20984-2007 信息安全风险评估规范l 信息安全管理体系要求 ISO/IEC 27001l 信息技术安全技术信息安全管理实践规范ISO/IEC 270

9、02l 关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号l 关于印发国土资源信息系统安全等级保护定级工作方案的通知（国土资信办发200714号）l 国土资源部信息化工作办公室关于国土资源信息安全等级保护工作的指导意见国土资信办发20126号5 网络与信息安全设计整体原则按照“统一规划和统一标准”进行整体性规划，对整个网络和信息安全规划本着可靠性、实用性、先进性、安全性、可扩展性和可管理性方面来考虑。1.2.5.1 可靠性为保证某市国土资源局各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。某市国土资源

10、局业务的提供点和汇聚点一般都在核心层和汇聚层设备上，因此这两个层面设备的稳定性非常重要。整个网络系统应具有很高的安全可靠性，必须满足一年365天24小时连续运行的要求：主用通信线路发生故障时，网络设备可以快速自动地切换到备份链路上；当主用通信线路恢复时，业务又可以及时切换回来；实现核心设备在线冗余备份，确保核心设备单点故障时提供的业务和服务不中断。5.2 实用性采用先进的网络技术以适应更高的数据、多媒体信息的传输需要，但是不过分追求最新技术，取得稳定性、成熟性和新技术的统一，从而保证网络的高可用性。选择采用已经形成的标准，并得到广泛应用的成熟技术，在此基础上尽量选用当前国内外较先进的产品，使系

11、统不于在短期内落后。5.3 先进性采用成熟的技术满足某市国土资源局应用系统的需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息技术发展的需要。5.4 安全性保护某市国土资源局网络系统的可用性，保护网络系统服务的连续性，防范网络资源的非法访问及非授权访问，防范入侵者的恶意攻击与破坏，保护信息通过网上传输过程中的机密性、完整性，防范病毒的侵害；达到“进不来，拿不走，看不懂，改不了，跑不了”的安全目标。信息安全的建设内容将符合银监会相关信息安全的技术要求，保障某市国土资源局核心生产网络及信

12、息系统的安全。5.5 可扩展性选择的软件、硬件和网络产品具有较强的灵活性、可移植性和可扩展性；能够根据集团公司发展的需要，方便的扩展网络覆盖范围，扩大网络容量和提高网络各节点的功能；具备支持多种应用系统的能力，具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。5.6 可管理性由于某市国土资源局网络具有一定的复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重；建立一套全面的网络管理技术体系，采用先进的网络运维管理平台，实现各项管理要求和管理策略的下发执行；实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等；通过合理的管理策略

13、、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、业务系统运行管理提供有力的保障。6 网络设计说明现代的网络发展方向是以应用为导向的服务型网络，即网络系统的应用化。如何在现有网络基础上为各种应用系统提供具有特性化的服务成为某市国土资源局建设网络的指导思想。某市国土资源局网络基础建设将参照标准的双链路三层架构模式，即核心层、汇聚层和接入层，这种网络结构既有利于用汇聚设备分担核心层设备的压力，同时也方便的接入层设备在汇聚层设备下灵活扩展。根据为某市国土资源局业务应用系统建设一个可提供灵活服务的网络基础这一原则，本次网络设计主要任务是解决网络结构和业务应用系统结构之间的对应关系。

14、结合某市国土资源局业务发展规划，本期建设的网络区域有：1) 数据中心区 三级业务域 二级业务域2) 外联单位区3) 核心交换区4) 互联网接入区5) 运维管理区6) 终端接入区7 等级保护基本要求层级结构通过分析国家信息系统安全保护等级基本要求中三级的相关标准，对等级保护的安全层级划分为安全技术与安全管理两大部分，对于某市国土资源局的安全建设也将从这两个方面进行着手。7.1 技术要求技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全几个层面。物理安全：主要是针对某市国土资源局的核心业务系统所部署的机房和场地的相关要求。包括：机房场地的选择；机房或重要区域的物理访问控制；防盗窃和防破坏

15、；防雷击；防火；防水和防潮；防静电；温湿度控制；电力供应；电磁防护等。网络安全：主要是针对某市国土资源局核心业务系统的网络设备、网络安全域的相关安全要求。包括：网络安全结构；不同安全域间的访问控制；网络安全审计；边界完整性检查；网络入侵防范和恶意代码防范；网络设备防护等。主机安全：主要是针对某市国土资源局的服务器群主机系统（操作系统、数据库系统）和重要资源的相关安全要求。包括：用户身份鉴别；操作访问控制；安全审计；剩余信息保护；主机入侵防范和恶意代码防范等。应用安全：主要是针对某市国土资源局核心业务系统的相关安全要求。包括：用户身份鉴别；操作访问控制；安全审计；剩余信息保护；通信完整性和保密性

16、；抗抵赖；软件容错；资源控制等。数据安全：主要是针对某市国土资源局的动态网络数据与系统管理数据、鉴别信息和重要业务静态数据的机密性与完整性；备份与恢复、异地容灾以及硬件冗余等。7.2 管理要求管理要求包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面。安全管理机构：包括职能部门岗位设置；系统管理员、网络管理员、安全管理员的人员配备；授权和审批；管理人员、内部机构和职能部门间的沟通和合作；定期的安全审核和安全检查。安全管理制度：包括安全策略、安全制度、操作规程等的管理制度；管理制度的制定和发布；管理制度的评审和修订。人员安全管理：包括人员录用；人员离岗；人员考核；安

17、全意识教育和培训；外部人员访问管理。系统建设管理：包括系统定级；安全方案设计；产品采购和使用；自行软件开发；外包软件开发；工程实施；测试验收；系统交付；系统备案；等级测评；安全服务商选择。系统运维管理：包括机房环境管理；信息资产管理；介质管理；设备管理；监控管理和安全管理中心；网络安全管理；系统安全管理；恶意代码防范管理；密码管理；变更管理；备份与恢复管理；安全事件处置；应急预案管理。7.3 等级保护的安全保障体系框架7.3.1 安全策略体系安全策略体系框架如下图所示：7.3.2 安全管理体系安全管理体系框架如下图所示：7.3.3 安全技术体系安全技术体系如下图所示：8 信息安全技术体系建设内

18、容安全域划分与安全防护示意图为了方便管理以及安全策略的定义，在本次建设项目中将某市国土资源局安全区域共划分为外联单位接入区、DMZ区、核心交换区、互联网接入区、广域网接入区、业务服务器区(三级域与二级域)、运维管理区和终端接入区等6个安全区域。1. 核心交换机和服务器区汇聚交换机，需要采用设备和链路冗余模式，避免关键节点存在单点故障，保证核心业务系统的高可用性。2. 在业务服务器区边界的访问必须通过安全设备如防火墙和安全网关进行访问控制、入侵防范。原则上要采用最小允许的访问控制策略，并且在会话处于非活跃一定时间或会话结束后终止网络连接。3. 在互联网接入区、外联单位接入区，边界的访问必须通过安

19、全设备如防火墙和安全网关进行访问控制、入侵防范，同时应在互联网出口和安全网关之间部署上网行为管理系统，该系统着重是为了符合公安部 82号令，同时加强互联网应用管理，实现上网行为的审计与流量控制。4. 在DMZ区，针对市国土资源局门户系统前端部署WAF防火墙，以提供针对HTTP应用的Web应用防护、专业级网页防篡改及DDoS等防护。5. 在核心交换机部署1台多监听口的网络审计系统, 网络审计系统设备可直接接入交换机上设置的镜像端口，对进入数据中心安全区域的网络流量进行全面审计、分析和监控，及时发现内部网络违规行为，便于安全事件进行定位分析，事后追查取证。6. 在核心交换机或服务器汇聚交换机上部署

20、2台多监听口的入侵检测系统, 对进入核心业务安全区域的网络流量进行全面分析和监控，及时发现和阻断内部或外部的网络入侵和攻击行为。在服务器汇聚交换机部署一台数据库审计系统，它可以有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件，并实时告警、记录，从而实现安全事件的定位分析，事后追查取证，以此保障数据库安全。7. 在运维管理区，部署一台XX集成公司NetEye安全审计堡垒机。堡垒机架设在用户终端与核心业务系统之间，以协议代理的方式为用户提供服务，并能将所有代理的信息记录下来，支持Telnet、FTP、SSH、RDP（Windows Terminal）、Xwin

21、dows、VNC等协议的记录和回放。同时提供统一账号管理、单点登录、资源授权、访问控制等功能。丰富和完善网络的内控审计功能。8. 在运维管理区，部署一台安全监控与管理平台(SOC)，整合各类信息资产进行安全系统的建设，应将各种安全防护设备整合到一个综合运维管理平台上，进行统一的管理和部署。安全产品平台上的管理系统能够集成多厂家的安全设备、软件，简洁直观，能实现网络设备和主机设备的性能管理、故障管理，在此的基础上，结合资源信息和使用者信息，达到资源管理和运维管理的目的。9. 在运维管理区，部署统一身份管控系统，实现市国土资源局各类B/S和C/S应用系统的帐号管理（ Account ）、认证管理（

22、Authentication） 、授权管理(Authorization)、综合审计(Audit)等。实现集中的接入访问控制，实现一次登录，全网漫游，无需再记住众多繁杂的密码，提高安全性。10. 接入某市国土资源局的终端主机要根据内部部门进行安全区域设计，一般性的办公区域之间可以采用VLAN进行隔离，VLAN隔离可以通过核心交换机三层引擎的ACL功能实现。同时有效利用交换机的控制策略，限制蠕虫病毒在骨干网络中的传播，提高整体网络的稳定性。11. 在终端接入区，需要在终端主机上分别部署桌面安全管理系统以实现补丁分发、远程协助、网络准入、非法外联检测等功能，保证主机安全。12. 在终端接入区，需要在

23、终端主机上分别部署网络版防病毒软件系统以实现全网病毒软件部署、防毒策略防护，保证主机安全。13. 以及广域网接入区，以分局为单位的实现安全域隔离与入侵防范，需要在分局网络边界必须通过安全设备如防火墙和安全网关进行访问控制、入侵防范。原则上要采用最小允许的访问控制策略，并且在会话处于非活跃一定时间或会话结束后终止网络连接。14. 在信息安全服务方面，要面向核心业务系统进行安全风险评估、安全加固渗透测试等保三级辅助测评、等保三级信息安全管理制度梳理等；并对定为三级的业务系统进行信息安全等级保护三级评测(由具备等保测评资质单位出具等保三级测评报告）。9 信息系统安全管理体系结构9.1 安全管理制度管

24、理层要形成信息系统机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和关键信息系统安全保护要求，构建机构信息系统的安全技术体系结构和安全管理体系结构。9.1.1 确定安全方针形成某市国土资源局最高层次的安全方针文件，阐明安全工作的使命和意愿，定义信息安全的总体目标，规定信息安全责任机构和职责，建立安全工作运行模式等。9.1.2 制定安全策略形成某市国土资源局高层次的安全策略文件，说明安全工作的主要策略，包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略、备份与恢复策略、应急计划和响应策略、运行管理策略、身份鉴别策略、信息

25、完整性策略、系统性能安全检测策略、安全审计策略等。管理层应把制定的相关信息安全策略整个组织中发布和维护，表明自己对信息安全的支持和保护责任。策略文档应该由管理层批准，根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责任，并制定组织的管理信息安全的步骤。至少应包括以下指导原则： 1. 信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性；2. 陈述信息安全的管理意图、支持目标以及指导原则；3. 简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组织非常重要，例如：n 符合法律和合约的要求；n 安全教育的要求；n 防止并检测威胁；n 业务连续性管理；n 违反

26、安全策略的后果；4. 确定信息安全管理的一般责任和具体责任，包括报告安全事故；9.1.3 策略审查评估每个策略应该有一个负责人，他根据明确规定的审查程序对策略进行维护和审查。审查过程应该确保在发生影响最初风险评估的基础的变化（如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更）时，对策略进行相应的审查。还应该进行以下预定的、阶段性的审查：1. 检查策略的有效性，通过所记录的安全事故的性质、数量以及影响反映出来；2. 控制措施的成本及其业务效率的影响；3. 技术变化带来的影响。9.2 组织管理应该建立某市国土资源局管理框架，在某市国土资源局内部开展和控制信息安全的管理实施。应该建立有

27、管理领导层参加的管理交流机制，以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。根据需要，应该建立专家提出信息安全建议的渠道，并供整个某市国土资源局使用。建立与某市国土资源局外部的安全专家的联系，保持与业界的潮流、监视标准和评估方法同步，并在处理安全事故时吸收他们的观点。应该鼓励采用跨学科跨范围的信息安全方法，例如，让管理人员、员工、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作，让他们参与保险和风险管理的工作。9.2.1 建立交流机制信息安全是一种由安全管理团队所有成员共同承担的业务责任。应该建立一个安全的团队交流机制，确保团队成员可以及时沟通并对安全措施有一个明

28、确的方向并得到管理层的实际支持。交流机制应通过合理的责任分配和有效的资源管理促进组织内部安全。该机制可以作为目前管理机构的一个日常工作。通常，交流机制有以下作用：1. 审查和核准信息安全策略以及总体责任；2. 当信息资产暴露受到严重威胁时，监视重大变化；3. 审查和监控安全事故；4. 审核加强信息安全的重要活动。在某市国土资源局内部，需要建立一个与组织规模相宜的跨部门交流机制，由组织有关部门的管理代表参与，通过交流机制协调信息安全控制措施的实施情况。通常，可以：1. 就整个组织的信息安全的作用和责任达成一致；2. 就信息安全的特定方法和处理过程达成一致，如风险评估、安全分类系统；3. 就整个组

29、织的信息安全活动达成一致并提供支持，例如安全警报程序；4. 确保将安全作为制定信息计划的一个部分；5. 对控制措施是否完善进行评估，并协调新系统或新服务的特定信息安全控制措施的实施情况；6. 审查信息安全事故；7. 在整个组织中增加对信息安全工作支持的力度。9.2.2 安全责任划分应该明确组织内部信息资产和执行具体安全程序步骤的责任。提供在组织内分配安全任务和责任的一般指导原则。应明确说明对各个实际信息资产以及业务连续性的保护责任。在组织中，指定信息安全管理员负责开展和实施安全保护，并帮助确定控制措施。但是，资源管理以及实施控制措施仍由各个管理人员负责。一种常用的方法是为每项涉密信息指定一个所

30、有者，并由他负责日常安全问题。涉密信息的所有者将其所承担的安全责任委托给各个管理人员或服务提供商。尽管所有者仍对该涉密信息的安全负有最终责任，但可以确定被委托的人是否正确履行了责任。一定要明确说明各个管理人员所负责的范围；特别是要明确以下范围。1. 必须确定并明确说明由谁负责各种信息资产和与每个系统相关的安全进程。2. 应该确定负责各个信息系统资源和安全进程的管理人员，并记录责任的具体落实情况。3. 应明确规定授权级别并进行备案。9.2.3 不同组织间的合作与监管单位、直属管理单位、信息服务提供商和通信运营商等等签署的合同应保证：在发生安全事故时，能迅速采取行动并获得建议。同样的，也应该考虑加

31、入安全组织和业界的交流机制。应严格限制对安全信息的交换，以确保组织的保密信息没有传播给未经授权的人。9.3 人员管理9.3.1 人员安全1. 人事招聘安全管理l 检查申请人的简历（是否完整及准确）；l 确认所提交的学历及职业资格；l 独立的身份检查。如果某岗位（第一次职位分派或升职）需要某人进行信息的处理，特别是要处理敏感信息（如财务信息或特别的机要信息等），相关部门应检查这名员工的信誉。至于具有授权权限的员工，应采取定期检查机制。合约及临时人员也要经过同样的过滤过程。当这些员工是由非本单位的人事公司提供，应与人事公司签署相关合同，指明人事公司对人员的过滤职责，以及如果过滤不完整或结果有可疑时

32、所要进行的告知流程。管理层应该评估新的和没有经验的员工访问敏感系统所需的授权，是否需要监督。2. 保密协议保密协议是用来告知信息是机密的或秘密的。员工应签署这样的协议，作为进入机构的雇佣协议的条款。对于第三方用户，应在允许对方进入信息处理区前签订保密协议。保密协议应在更改雇佣条款或合同时检查，特别是当员工快要离开机构或合同快到期时。3. 用工条款用工条款应说明员工信息安全的责任。如适当，这些责任应在任职期满后连续性一段时间，还应包括员工如果不领会安全要求所要采取的行动。员工的法律责任及权利，例如关于版权法律或数据保护条例，应说明清楚及包括在用工协议的条款中，也应包括网络数据的分类及管理的责任。

33、9.3.2 职位与职责设置应成立信息安全管理委员会，该委员会是信息安全工作的最高权力机构，全面负责信息安全管理工作,并依托现有的组织架构，建立信息安全管理体系，明确各部门在维护和保障单位信息安全管理工作中的职责和流程，保障系统安全。信息安全管理体系的最高机构是信息安全管理委员会，该委员会主任建议由单位负责人担任，他可授权信息安全委员会的某位成员代理其行使信息安全管理的日常活动，作为执行副主任，委员会成员建议包括部门层面各位领导。信息安全管理体系相关职责主要包括：1. 信息安全管理委员会职责如下：l 决策单位信息安全整体发展规划；l 审批和下发单位信息安全制度；l 对各单位信息安全进行监督、质询

34、、评价；l 对各单位以及员工在信息安全管理工作中的表现做出奖励或处罚决定；l 审查并监督信息安全事件的评定和处置；l 对外部侵权行为采取维权措施；l 其它与信息安全管理工作相关的决策权力。2. 信息管理部门职责单位指定信息管理部门为信息安全日常活动的执行机构，负责单位信息安全的日常维护管理和审计工作，其主要职责如下：l 制定单位信息安全整体发展规划和建议方案；l 制定、修改单位信息安全制度；l 制定信息安全管理的具体办法和流程；l 组织、推动信息安全工作的开展，协调各单位以及合作者之间的关系；l 组织实施日常的监督、检查和审计工作；l 评定信息安全事件，协助进行技术处理，并将事件处理结果及时上

35、报；l 定期进行信息安全培训和教育；l 单位高层领导授予的其它工作内容。3. 各单位部门和下属单位职责各部门和分单位应明确一名主要负责人员（以下简称“主管负责人”）作为本单位信息安全工作的第一责任人，全面负责本部门或本分单位的信息安全工作的执行和落实，主管负责人应该向单位总经理报告本单位信息安全管理工作的相关情况。业务管理部负责对各部门和分单位信息安全管理工作的考核；人力资源部负责对相关人员和单位的奖惩。4. 部门信息专员及下属单位信息主管职责各部门和下属单位应指定专人负责本单位息安全管理，该人员可由相关人员兼任，在各自主管负责人的领导下，在各自的工作范围内，管理本单位的信息安全工作，并向本单

36、位主管负责人报告当前单位信息安全工作的实际执行情况以及各种问题工作汇报。其主要工作职责如下：l 全面关注信息安全管理制度的执行状况，并组织实施内部的日常检查工作，发现问题，提出建议，向信息管理部出具报告；l 协助组织、推动信息安全工作的开展，协助本单位主管负责人制定本单位信息安全控制措施；l 负责维护本单位信息相关资产清单；审核确定本单位涉密岗位、涉密信息内容、密级和有权接触该等级保密信息的人员范围，并按照单位信息安全政策的要求设立各种保密措施并检查其有效性；l 发生或可能发生危及本单位信息安全事件时采取临时控制措施或力所能及的补救措施，并将此类安全事件及时通报信息管理部；l 定期组织本单位内

37、部员工进行信息安全培训和教育；l 根据员工在信息安全工作中的表现，提请本单位主管负责人对员工进行奖励或处罚；l 根据与合作者签订的保密协议或合作者的特殊要求对来源于合作者或其它第三方的涉密信息采取特别保密措施；l 本单位主管负责人安排的与信息安全相关的其他工作。9.3.3 信息安全的教育与培训教育是完善的信息安全管理的重要组件之一。教育过程使员工成为信息安全管理的组成部分。在讨论意识教育时，实际是在讨论教育的3个部分：l 员工意识；l 技术教育；l 持续信息；1. 员工意识员工意识教育以全体员工为对象。组织需要确定形成组织文化的最好方法，因而反馈机制对教育程序的有效性非常重要。员工意识教育应在

38、内部培训和人力资源部门的帮助和协助下建立和开展。另外，针对法规遵从和审计，应安置正式的机制以追踪员工都参加了什么教育培训。2. 技术教育员工意识教育被设计用于向员工传递信息，而技术教育以负责安全或特定系统管理职责的员工为对象。目的是增加员工的知识水平以使他们为组织提供更安全的系统和日常过程。l 安全事故报告培训应该建立一套正式的报告安全事故的步骤以及一套安全事故的响应步骤，后者应规定在收到安全事故报告后，应该采取的行动。所有组织成员都应该了解报告安全事故的程序步骤，并根据要求，尽快报告安全事故。应该建立适当的反馈渠道，以保证安全事故处理完毕后，报告人能知道该事件的处理结果。在进行用户警报培训时

39、，可以将这些事件作为示例，向用户讲解可能发生什么事件、如何对这些事件进行处理以及今后如何避免这类事件发生。l 安全漏洞报告培训应该要求信息服务用户在发现或怀疑系统或服务出现安全漏洞或受到威胁时，立即进行记录并汇报。他们应该将这些事件尽快报告给管理层，或直接报告给服务提供商。应该告诉用户，在任何情况下，也不要试图证明一个可疑安全漏洞。这也是为了保护他们自己，这是因为在您测试某个漏洞时，很可能会导致对系统的错误使用。l 软件故障报告培训应建立报告软件故障的程序步骤。应考虑采取以下措施。n 将问题的征兆和屏幕上显示的消息记录下来。n 应将该计算机隔离，如果可能，停止使用该计算机。立刻向合适的联系人报

40、警。如果要检修设备，在重新接通该设备的电源前，应将其从公司的网络中断开。不要将磁盘拿到其它计算机上使用。n 立刻将问题报告给信息安全管理人员。除非得到授权，用户不要试图删除可疑的软件。应由经过培训富有经验员工执行恢复工作。l 从事故中吸取教训应该采用一种机制，将事故和故障的类型、规模和损失进行量化和监控。用这些信息来确定重复发生的或影响很大的事故或故障。这需要使用功能更强的或其它的控制措施，以降低事故发生的频率、损失，或在修订安全策略的过程中，将这一因素考虑在内。l 纪律检查程序培训应该建立正式的处分流程，处罚那些违反组织安全策略和规定的员工。对那些无视安全工作步骤的员工来说，这种方法就是一种

41、威慑。另外，如果怀疑某些员工有严重或长期违反组织安全的行为，这一方法能保证对他们的处罚是正确和公平的。3. 持续教育教育也是一个持续过程。一次课或训练可向员工提供信息，但为了更安全的组织，安全管理过程必须成为员工的自觉行动。可通过海报、通讯文章、邮件提醒和小册子等形式向员工持续提供安全信息。这些机制有助于提醒员工注意问题并意识到每个员工都是组织信息安全管理的关键成员。组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。这包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训，如登录的步骤、软件包的使用方法等等。当然在此之前，必须授予

42、其访问信息或服务的权限。10 项目清单与预算序号安全系统及设备名称型号数量性能要求单价(万元)小计(万元)应用范围1安全网关系统NISG6K-G-ACR11U机架式结构；标配6个10/100/1000 Base-T铜口；4个千兆多模光口；虚拟系统数8个；具备基本的URL过滤、反垃圾邮件功能；并发连接数100万；交流冗余电源；防火墙吞吐量为8Gbps；入侵防御吞吐量为3Gbps；防病毒吞吐量为2Gbps；含三年IPS、AV规则库升级；市国土资源局跟互联网连接处2上网行为管理系统NIBC6000-S521011U机架式结构，标配6个10/100/1000 Base-T铜口；具备1个扩展槽位；具备3

43、对硬件Bypass接口，1T存储介质，交流冗余电源（220V）；内置专用操作系统和上网行为管理标准软件，包含3年软件升级服务（系统软件、应用特征库、URL特征库、安全客户端）。网络吞吐量4Gbps；不限用户数；市国土资源局跟互联网连接处；公安部82令合规性，上网行为审计与流量管理.3WEB网站防火墙WAF7000-S53101标准1U机架式设备，交流单电源；设备标配2个USB口，6个千兆电口，默认支持2路Bypass，支持一个扩展槽位；默认配置1TB存储介质； 系统软件具备Web应用防护功能、专业级网页防篡改及DDoS防护功能，默认包含三年系统软件和特征库升级服务。设备整机吞吐量6Gbps；h

44、ttp吞吐量3Gbps；并发连接数100万；HTTP最大并发数300000市国土资源局WEB防护；4安全网关系统NISG6K-G-ACR11U机架式结构；标配6个10/100/1000 Base-T铜口；4个千兆多模光口；虚拟系统数8个；具备基本的URL过滤、反垃圾邮件功能；并发连接数100万；交流冗余电源；防火墙吞吐量为8Gbps；入侵防御吞吐量为3Gbps；防病毒吞吐量为2Gbps；含三年IPS、AV规则库升级；13.313.3市国土资源局与省国土资源厅网络连接处5安全网关系统NISG5K-R-M-ACR61U机架式结构；标配1个10/100 Base-T铜口，5个10/100/1000

45、Base-T铜口；具备1个扩展槽位；虚拟系统数2个；具备URL过滤、反垃圾邮件、防病毒、IPS、应用识别与控制；包含一年UTM模块服务升级；具备IPsec VPN功能，默认隧道数1000、默认客户端数1000，提供VPN客户端软件安装盘一套；具备SSLVPN功能，默认隧道数1000、默认客户端数1000；并发连接数100万；具备2对硬件bypass接口；1+1交流冗余电源；防火墙吞吐量为2Gbps；入侵防御吞吐量为800Mbps；防病毒吞吐量为700Mbps；含三年IPS、AV规则库升级；424市国土资源局与分局国土资源厅网络连接处6安全网关系统NISG6K-V-ACR21U机架式结构；标配8

46、个10/100/1000 Base-T铜口；4个千兆多模光口；4个SFP接口；2个扩展插槽(可扩展4个万兆接口模块）；虚拟系统数16个；具备基本的URL过滤、反垃圾邮件功能；并发连接数500万；交流冗余电源；防火墙吞吐量为40Gbps；入侵防御吞吐量为8Gbps；防病毒吞吐量为5Gbps；含三年IPS、AV规则库升级；2448市国土资源局三级业务系统边界7入侵检测系统NetEye IDS 22ACR22U机架式结构；标配4个10/100/1000 Base-T铜口（其中含1个可用管理接口）、2个SFP槽；配置3个检测引擎授权许可(最大支持5路监听)；交流冗余电源；入侵检测规则库5300条；存储

47、容量500G；入侵检测吞吐量为6Gbps;最大并发连接数为100万；1122部署在网络旁路，在核心交换上做镜像端口，监听所有通过防火墙的流量信息，与防火墙实现联动功能，通知防火墙处理有危险的数据和非法的访问。8入侵检测系统NetEye IDS 20ACR61U机架式结构；标配4个10/100/1000 Base-T铜口（其中含1个可用管理接口）、2个SFP槽；配置1个检测引擎授权许可(最大支持5路监听)；交流冗余电源；入侵检测规则库5300条；存储容量500G；入侵检测吞吐量为1Gbps;最大并发连接数为50万；424部署在各分局网络旁路，在交换上做镜像端口，监听所有通过防火墙的流量信息，与防火墙实现联动功能，通知防火墙处理有危险的数据和非法的访问。9安全