信息系统等级保护建设实施计划方案

. ... .

边界接入平台终端安全保护系统

建设方案

2009年6月5日

文件修改记录

目录

1项目建设的必要性 (5)

1.1政策必要性 (5)

1.2整体安全需要 (5)

1.3合规性需要 (6)

2法规、政策和技术依据 (7)

2.1信息安全等级保护有关法规、政策、文件 (7)

2.1.1《中华人民国计算机信息系统安全保护条例》（国务院147号令） (7)

2.1.2《信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） (7)

2.1.3《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） (8)

2.1.4《信息安全等级保护管理办法》（公通字[2007]43号） (9)

2.1.5信息安全等级保护技术标准体系及其关系 (9)

3终端安全防护系统功能介绍 (14)

3.1终端安全防护系统（前置服务器版）功能介绍 (14)

3.1.1强身份认证功能 (14)

3.1.2多用户强制访问控制 (14)

图3.1.3 用户权限控制示意图 (15)

3.1.3应用系统安全封装 (17)

3.1.4自主访问控制 (17)

图3.1.4 文件保密柜示意图 (17)

3.1.5数据保密性保护 (17)

3.1.6系统完整性保护 (18)

3.1.7行为审计监控 (18)

3.1.8边界保护控制 (18)

3.2终端安全防护系统（PC版）功能介绍 (19)

3.2.1强身份认证功能 (19)

3.2.2强制访问控制 (20)

图3.2.2 用户权限控制示意图 (21)

3.2.3自主访问控制 (22)

图3.2.3 文件保密柜示意图 (22)

3.2.4数据保密性保护 (23)

3.2.5系统完整性保护 (23)

3.2.6行为审计监控 (23)

3.2.7边界保护控制 (24)

4边界接入平台终端安全保护系统实施计划 (25)

4.1统一规划，分步实施 (25)

4.2实施产品列表 (25)

4.3项目实施拓扑示意图 (25)

1项目建设的必要性

1.1政策必要性

随着全球信息化进程的不断推进，我国政府及各行各业也在进行大量的信息系统的建设，这些信息系统已经成为重要的基础设施，因此，信息系统安全问题已经被提升到关系安全和主权的战略性高度，已引起党和领导以及社会各界的关注。随着政府上网、电子商务、电子军事等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎安危，关乎民族兴亡，是民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的安全。

随着信息化的不断推进与当前电子政务的大力建设，信息已经成为最能代表综合国力的战略资源，因此，信息资源的保护、信息化进程的健康是关乎安危、民族兴旺的大事；信息安全是保障主权、政治、经济、国防、社会安全和公民合法权益的重要保证。经党中央和国务院批准，信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

1.2整体安全需要

信息安全遵循“木桶原理”，任何一个不完善的环节都可能成为危及整个系

统安全的“短板”。在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分，终端的安全将直接影响整个信息系统的安全。终端既可能是安全事件的源头，又可能是安全事件的目标。从有关安全权威单位得知，绝大多数的攻击事件都是从终端发起的，也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。因此，必须从终端操作系统平台实施安全防，将不安全因素从终端源头被控制，只有这样才能保证信息系统的整体安全。

1.3合规性需要

XX信息通信网边界接入平台将按照等级保护3级的要求对信息系统进行安全建设和加固。等级保护3级和4级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防、入侵检测等提出了明确要求，而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。为达到等级保护要求，必须对终端进行安全加固。

2法规、政策和技术依据

高度重视信息安全保护工作，为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准，信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。

针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准则》（GB/T20009-2005）、《信息安全技术信息系统安全管理要求》（GB/T20269-2006）等50多个国标、行标以及已报批标准，初步形成了信息安全等级保护标准体系。

2.1信息安全等级保护有关法规、政策、文件

2.1.1《中华人民国计算机信息系统安全保护条例》（国务院147号令）

1994年国务院颁布了第147号令《中华人民国计算机信息系统安全保护条例》（以下简称《条例》），是最早提及信息安全等级保护的法规。

《条例》明确了实行信息安全等级保护制度的有关规定，提出了从整体上、根本上解决信息安全问题的办法，进一步确定了信息安全发展主线、中心任务，提出了总要求。《条例》指出对信息系统实行等级保护是法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。