信息安全等级保护整改方案设计思路

第1篇一、引言随着信息化技术的飞速发展，我国政府高度重视网络安全和信息安全，将网络安全和信息化上升为国家战略。

等级保护是我国网络安全保障体系的重要组成部分，旨在确保关键信息基础设施的安全稳定运行。

然而，在实际运行过程中，部分单位由于种种原因，未能达到等级保护的要求。

为解决这一问题，本文提出一套等级保护整改解决方案，以期为相关单位提供参考。

二、等级保护整改的背景及意义1. 背景根据《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》等法律法规，我国对关键信息基础设施实行动态化、全生命周期的安全管理。

等级保护制度是我国网络安全保障体系的基础，旨在通过分级分类、分阶段实施，确保关键信息基础设施的安全稳定运行。

2. 意义（1）提高关键信息基础设施安全防护能力，保障国家安全和社会稳定；（2）推动网络安全产业健康发展，促进网络安全技术进步；（3）规范网络安全市场秩序，提高网络安全服务水平；（4）提升我国网络安全国际竞争力。

三、等级保护整改的流程1. 自我评估（1）单位应组织专业人员，根据等级保护要求，对信息系统进行全面评估，确定安全等级；（2）评估结果应形成书面报告，并报上级主管部门审核。

2. 制定整改方案（1）根据评估结果，制定详细的整改方案，明确整改目标、时间节点、责任人和所需资源；（2）整改方案应涵盖技术、管理、人员等方面，确保整改措施全面、有效。

3. 实施整改（1）按照整改方案，对信息系统进行整改，包括技术加固、安全管理、人员培训等；（2）整改过程中，应做好记录，确保整改过程可追溯。

4. 验收整改（1）整改完成后，组织专业人员对信息系统进行验收，确保整改效果达到预期目标；（2）验收合格后，将整改情况报上级主管部门备案。

四、等级保护整改解决方案1. 技术层面（1）加强网络安全防护技术：采用防火墙、入侵检测系统、漏洞扫描等网络安全技术，提高信息系统抵御攻击的能力；（2）完善安全防护措施：对信息系统进行安全加固，包括操作系统、数据库、Web 应用等，降低安全风险；（3）加强安全审计：对信息系统进行实时监控，记录操作日志，确保安全事件可追溯；（4）采用安全加密技术：对敏感数据进行加密存储和传输，防止数据泄露。

XX等级保护建设整改解决方案（范文）XXXX高校信息系统等级保护整改方案((模板）I目录一、背景、现状和必要性................................................................... ..................................................................... ...........-3-（一）背景................................................................... ..................................................................... ...............................-3-（二）现状................................................................... ..................................................................... ...............................-3-（三）项目必要性................................................................... ..................................................................... ...................-5-二、差距分析................................................................... ..................................................................... ...............................-6-（一）技术差距分析........................................................................................................................................ ...............-6-（二）管理差距分析................................................................... ..................................................................... ...............-8-三、建设目标................................................................... ..................................................................... ...................................9（一）业务目标................................................................... ..................................................................... ...........................9（二）技术目标................................................................... ..................................................................... ...........................9四、建设方案................................................................... ..................................................................... .................................10（一）建设原则................................................................... ..................................................................... .........................10（二）设计依据................................................................... ..................................................................... .........................11（三）总体建设内容................................................................... ......................................................................................12（四）总体框架................................................................... ..................................................................... .........................13（五）技术方案................................................................... ..................................................................... .........................151、安全技术体系设计................................................................. ..................................................................... .......152、安全管理中心设计（云智）................................................................. ............................................................233、安全制度建设................................................................. ..................................................................... ...............30（六）设备部署说明及关键技术指标................................................................... ..........................................................451、防火墙................................................................. ..................................................................... ...........................46a)部署说明................................................................. ..................................................................... .......................46b)关键指标................................................................. ..................................................................... .......................462、堡垒机................................................................. ..................................................................... ...........................46a)部署说明................................................................. ..................................................................... .......................46b)关键指标................................................................. ..................................................................... .......................473、入侵防御系统(IPS)................................................................. ..................................................................... .....47a)部署说明................................................................. ..................................................................... .......................47b)关键指标................................................................. ..................................................................... .......................484、非法接入/外联监测系统...................................................................................................................................48a) 部署说明................................................................. ..................................................................... .......................48b)关键指标................................................................. ..................................................................... .......................485、漏洞扫描系统................................................................. ..................................................................... ...............49a)部署说明................................................................. ..................................................................... .......................49b)关键指标................................................................. ..................................................................... .......................496、数据库审计系统................................................................. ..................................................................... ...........49a)部署说明................................................................. ..................................................................... .......................49b)关键指标................................................................. ..................................................................... .......................507、Web应用防火墙................................................................. ..................................................................... (50)IIa)部署说明................................................................. ..................................................................... .......................50b)关键指标................................................................. ..................................................................... .......................518、安全管理平台................................................................. ..................................................................... ...............51a)部署说明................................................................. ..................................................................... .......................51b)关键指标................................................................. ...............................................................错误!未定义书签。

网站系统信息安全等级保护建设整改方案--4（5篇模版）第一篇：网站系统信息安全等级保护建设整改方案--4随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。

网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。

根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。

通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。

网站系统安全需求根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下：1、业务流程安全需求针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。

2、软件安全需求网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。

接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

信息安全等级保护工作方案一、背景与目标：随着信息技术的快速发展，信息安全问题日益突显。

为了保护信息资产的安全，提高信息系统的可用性、完整性和保密性，确保信息的准确性、真实性、及时性和完备性，本方案旨在建立信息安全等级保护工作机制，为组织提供全方位的信息安全保护。

二、工作原则：1. 法律合规性：遵守相关法律法规，确保信息处理活动的合法性和合规性。

2. 需求驱动性：根据实际需求确定信息安全等级保护工作重点。

3. 细化管理：对信息资产进行分类，分级保护。

4. 风险导向：以风险评估为基础，制定相应的安全响应措施。

5. 全员参与：建立信息安全意识，促使全体员工参与信息安全保护工作。

6. 持续改进：根据实际情况，不断完善、优化信息安全等级保护工作机制。

三、工作内容：1. 信息资产清单：制定信息资产清单，明确各项重要信息资产的价值、所属部门、责任人等信息。

2. 信息分类与分级保护：根据信息的敏感程度和重要程度，对信息进行分类和分级，制定不同级别的保护措施。

3. 风险评估与管控：通过风险评估，识别和评估信息安全风险，并采取相应的风险管控措施。

4. 安全策略与规范：制定信息安全策略和规范，确保人员、设备和网络的安全性。

5. 权限控制与访问控制：建立和完善权限管理与访问控制机制，限制对敏感数据和系统的访问权限。

6. 加密与解密：采用加密技术对敏感数据进行保护，确保数据在传输和存储过程中的安全性。

7. 防火墙与入侵检测：使用防火墙等安全设备来保障网络安全，及时发现并阻止入侵行为。

8. 安全审计与监控：建立安全审计与监控机制，及时发现安全事件并采取相应的处理措施。

9. 数据备份与恢复：建立完善的数据备份与恢复机制，确保数据的可用性和完整性。

10. 安全意识培训与教育：定期开展信息安全意识培训与教育活动，提升员工的安全意识和技能。

11. 事件响应与处置：制定信息安全事件响应和处置流程，及时应对和处置安全事件。

12. 安全评估与验证：定期进行安全评估与验证，检查信息安全工作的有效性和合规性。

等级保护整改方案（3）等级保护整改方案等级测评工作重点分为两部分：选择等级测评机构和完成等级测评工作。

选择等级测评机构工作必须严格按照相关的规定进行，否则测评工作将得不到公安机关的认可。

等级测评机构除了拥有相关信息安全服务资质并在本地公安机关备案外，还需要向公安机关提供《承诺书》，承诺不承担信息系统安全建设、整改、集成工作，不将等级测评任务分包、外包。

上述要求，确保等级测评机构与信息安全建设整改机构呼吸之间的独立性，保证了等级测评工作的公正性，所以等级测评机构也称为第三方测评机构。

按照《信息系统安全等级保护测评过程指南》，等级测评工作分为单元测评和整体测评两个阶段。

单元测评阶段是针对等级保护标准逐条进行符合性检查，得出“符合”、“部分符合”以及“不符合”的结论；整体测评阶段是针对单项测评结果的“部分符合”和“不符合”项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。

所以单元测评不符合的项目，如果站在整体角度看与其他测评项有关联关系并且这个关联关系能够“弥补”该测评项的不足，那么系统的整体测评结果也能够通过。

2.4. 系统备案按照要求，定级为二级及以上的信息系统均应到本地地市级以上公安机关办理备案手续，第三级及以上的信息系统备案前，备案材料还要通过上级主管部门的审核，第一级的信息系统可以由运行（使用）单位自行决定是否进行备案。

备案工作的重点是填写备案登记表格和编写系统定级报告，每个系统一份，经盖单位公章后递交公安机关，公安机关将对备案材料进行审核，认为系统定级无误之后会对每个定级系统颁发一份定级证书。

已建在用的系统与新建系统，本阶段的工作有所不同。

已建在用的系统，在定级之后30日内，到所在地的市级以上公安机关办理备案手续，而新建的系统则在系统通过等保测评并投入运行30日内到所在地的市级以上公安机关办理备案手续。

2.5. 系统运行信息系统的运行阶段占了系统生命阶段的70%-80%。

信息安全等保测评整改方案解读技术创新，变革未来安全整改的目的依据国家有关规定和标准规范要求，开展信息系统安全的建设整改工作，通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。

安全整改-需求分析满足政策要求满足标准要求满足用户自身要求安全现状基本要求需求物理安全网络安全主机安全应用安全数据安全与备份恢复安全整改-整改措施分类1、如果系统需重新考虑设计网络拓扑结构，包括安全产品或安全组件的部署位置、连线方式、IP地址分配等。

根据网络调整的图示方案对原有网络进行调整。

针对安全管理方面的整体策略问题，机构需重新定位安全管理策略、方针，明确机构的信息安全管理工作方向。

2、将未实现的安全技术要求转化为相关安全产品的功能/性能指标要求，在适当的物理/逻辑位置对安全产品进行部署。

3、正确配置产品的相关功能（安全加固），使其发挥作用。

4、完善配套的管理制度，建立、完善、落实信息安全管理体系。

物理位置的选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供应稳定电压、短期供应主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备（用户、网段）应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术特权用户的权限分离身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则重要服务器：检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别基本的身份鉴别访问控制安全策略最小授权原则安全审计运行情况审计（用户级）审计报表剩余信息保护空间释放及信息清除组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错自动保护功能资源控制资源分配限制、资源分配优先级最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存储异地备份网络冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放管理要求方面的整改要点❝落实信息安全责任制：成立信息安全工作领导机构，明确信息安全工作的主管领导。

2023年信息安全等级保护工作实施方案____年信息安全等级保护工作实施方案一、背景随着互联网的快速发展，信息安全问题日趋严峻。

网络攻击、数据泄露等事件频繁发生，给社会经济发展和个人信息安全带来了极大的风险。

为了保护国家和个人的信息安全，建立健全信息安全等级保护体系势在必行。

二、目标本方案的目标是建立一个完善的信息安全等级保护工作体系，通过国家政府机构、企事业单位和个人的共同努力，确保信息系统的安全可靠，维护国家安全和个人权益。

三、任务与措施1.建立信息安全等级划分标准制定信息安全等级划分标准，按照信息系统的重要性和风险程度，将信息系统划分为不同的等级。

制定相应的技术要求和管理规范，确保每个等级的信息系统都能得到相应的保护。

2.推动信息安全技术创新加大对信息安全技术的研发和创新力度，引导企事业单位加强自身信息安全能力的提升。

积极推动密码技术、安全通信技术、网络安全技术等领域的创新，提高信息安全的保障水平。

3.加强信息安全人才培养加大对信息安全人才培养的投入，建立健全信息安全人才培养体系。

通过培训、研讨会和奖励制度等手段，吸引更多的人才从事信息安全工作，培养一支高素质的信息安全专业人才队伍。

4.加强信息安全监管和评估加强信息安全监管和评估工作，推动各类信息系统实施安全等级保护。

建立健全信息安全监管机构，加强对关键信息基础设施、网络运营商和互联网企业的监管，引导和监督其加强信息安全保护。

5.加强信息安全宣传和教育加大对信息安全的宣传和教育力度，提高公众对信息安全的认识和知识水平。

通过宣传活动、媒体报道和教育培训等方式，普及信息安全知识，增强公众的责任意识和防范意识。

6.加强国际合作与交流加强与国际信息安全组织和专家的合作与交流，共同应对全球化的信息安全威胁。

积极参与国际信息安全标准制定和资源共享，加强与其他国家的合作，形成信息安全共同防线。

四、实施步骤1.制定信息安全等级划分标准和技术规范依托国家相关标准制定机构，制定信息安全等级划分标准和技术规范。

信息安全等级保护与解决方案篇一：信息安全等级保护工作实施方案白鲁础九年制学校信息安全等级保护工作实施方案为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。

根据商教发【XX】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导（一）工作分工。

定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。

学校办公室负责定级工作的部门间协调。

安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。

督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。

做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

XXXX大学信息安全等级保护整改方案目录一、项目概述 (4)1.1方案提供 (4)1.2项目建设背景 (4)1.3项目建设目标 (4)1.4项目参考标准 (5)二、测评内容与实施 (6)2.1物理安全测评 (7)2.1.1测评内容 (7)2.1.2测评实施 (8)2.2网络安全 (8)2.2.1、测评内容 (8)2.2.2、测评实施 (9)2.3、主机系统安全 (9)2.3.1、测评内容 (9)2.3.2、测评实施 (10)2.4、应用系统安全 (10)2.4.1、测评内容 (10)2.4.2、测评实施 (11)2.5、数据安全及备份恢复 (11)2.5.1、测评内容 (11)2.5.2、测评实施 (12)2.6、安全管理制度 (12)2.6.1、测评内容 (12)2.6.2、测评实施 (13)2.7、安全管理机构 (13)2.7.1、测评内容 (13)2.7.2、测评实施 (14)2.8、人员安全管理 (14)2.8.1、测评内容 (14)2.8.2、测评实施 (15)2.9、系统建设管理 (15)2.9.1、测评内容 (15)2.9.2、测评实施 (16)2.10、系统运维管理 (17)2.10.1、测评内容 (17)2.10.2、测评实施 (18)三、现状及需求分析 (19)3.1需求分析 (19)3.2安全体系现状 (19)3.3差距分析 (20)3.3.1物理安全问题 (20)3.3.2网络安全问题 (21)3.3.3主机安全问题 (21)3.3.4应用安全问题 (23)3.3.5数据安全与备份恢复安全问题 (25)3.3.6管理安全问题 (25)四、整改方案 (26)4.1安全建设需求分析 (26)4.2整改后拓扑 (27)4.3技术整改详细描述 (27)4.3.1分域保护安全需求 (27)4.3.2部署及功能说明 (28)4.4安全管理体系建设 (32)4.4.1安全管理制度 (32)4.4.2安全管理机构 (32)4.4.3人员安全管理 (32)4.4.4系统建设管理 (32)4.4.5系统运维管理 (33)五、信息安全建设设备清单 (33)一、项目概述1.1方案提供为解决XXXX大学的等保问题，此次特地整合多产品形成整体解决方案协助XXXX大学顺利开展等级保护建设工作。

第1篇随着信息技术的飞速发展，信息安全已经成为国家安全、社会稳定和经济发展的重要保障。

等级保护是我国信息安全保障体系的重要组成部分，旨在通过建立信息安全等级保护制度，提高信息安全防护能力，防范和应对信息安全风险。

本文将针对等级保护问题，提出一系列解决方案。

一、等级保护概述等级保护是指根据信息系统的重要性和安全风险等级，采取相应的安全保护措施，确保信息系统安全、稳定、可靠运行的一种安全保护机制。

等级保护分为五个等级，从低到高依次为：一级保护、二级保护、三级保护、四级保护和五级保护。

二、等级保护面临的问题1. 等级保护意识不强部分单位对等级保护的重要性认识不足，没有将等级保护纳入日常工作中，导致等级保护工作难以落实。

2. 等级保护制度不完善我国等级保护制度尚处于起步阶段，制度体系不完善，政策法规滞后，难以满足实际需求。

3. 技术手段不足等级保护工作需要依赖先进的技术手段，但目前我国在信息安全技术方面仍存在一定差距，难以满足等级保护要求。

4. 人才队伍建设滞后等级保护工作需要大量专业人才，但目前我国信息安全人才队伍建设滞后，难以满足等级保护需求。

三、等级保护解决方案1. 提高等级保护意识（1）加强宣传培训：通过举办培训班、讲座等形式，提高广大干部职工对等级保护的认识。

（2）制定考核机制：将等级保护工作纳入年度考核，督促各单位落实等级保护责任。

2. 完善等级保护制度（1）制定政策法规：加快制定和完善等级保护相关法律法规，明确各级政府和企业的责任。

（2）建立标准体系：制定信息安全等级保护标准，规范等级保护工作。

3. 加强技术手段建设（1）引进先进技术：积极引进国际先进的网络安全技术，提高我国信息安全防护能力。

（2）自主研发：加大信息安全技术研发投入，提高我国自主创新能力。

4. 加强人才队伍建设（1）培养专业人才：通过校企合作、人才引进等方式，培养一批具备信息安全专业知识和技能的人才。

（2）提高人员素质：加强信息安全人员的职业道德教育，提高其业务水平。

信息安全等级保护与解决方案篇一：信息安全等级保护工作实施方案白鲁础九年制学校信息安全等级保护工作实施方案为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。

根据商教发【XX】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导（一）工作分工。

定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。

学校办公室负责定级工作的部门间协调。

安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。

督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。

做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

信息安全等级保护（二级）建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期（等保二级基本要求） (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。