1、恩平市人民法院网络安全等级保护三级系统整改加固服务用户需求书目录1 .项目概况11.1. 项目说明11.2. 项目背景11.2. 1.项目目标21.3. 2.项目原则21.4. 3.标准规范41.5. 服务内容61.5.1. 安全管理制度建设服务61.3. 2.协助安全加固服务72 .项目预算表93 .服务对象94 .供应商资质要求10.项目概况1.l.项目说明(1)项目名称:恩平市人民法院网络安全等级保护三级系统整改加固服务。(2)费用预算:本次租赁服务预算最高限价13800元。(3)工期:10天。1.2. 项目背景根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2004年9
2、月联合签发的关于信息安全等级保护工作的实施意见以及2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)等文件明确指出,要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要、基础信息系统。2009年,公安部关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)文指出“开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求。依据信息系统安全等级保护测评要求等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信
3、息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。”2010年,为了落实关于开展信息安全等级保护安全建设整改工作的指导意见精神,公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)文再次指出“督促备案单位开展等级测评工作,为开展等级保护安全建设整改工作奠定基础,使信息系统安全保护状况逐步达到等级保护要求。”贯彻落实国家相关工作部署,恩平市人民法院按照国家要求,聘请符合国家1.3. 要求的测评机构开展信息系统安全等级保护测评工作。经测评,存在关键安全设备/产品不符合相关政策法规
4、要求,应对存在的问题进行安全整改工作,结合具体的网络和应用系统现状,根据恩平市人民法院咨询目前的网络特点及安全整改需求,本着切合实际、保护资产、着眼未来企业信息化动态发展的原则,制订本安全整改加固需求。1.4. 1.项目目标本项目通过对恩平市人民法院的调研,分析恩平市人民法院当前的安全态势及风险情况,对存在的问题进行安全加固,并建立适用于恩平市人民法院的网络安全组织机构和管理体系,提高恩平市人民法院整体的网络安全水平,确保网络安全控制落实到位,保障业务系统的正常运行。1.5. 2.项目原则依照国家、广东省对信息系统安全等级保护的相关建设规划和技术要求,恩平市人民法院网络等级测评整改加固服务项目
5、在其技术方案中应当遵循以下的原则: 适度安全原则任何信息系统都不能做到绝对的安全,在进行恩平市人民法院三级信息系统的安全加固与体系建设中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此在进行技术方案设计的过程中,一方面要严格遵循基本要求,从技术和管理两个层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对恩平市人民法院相关系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。 重点保护原则在方案设计中,应根据信息系统的重
6、要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 技术管理并重原则网络安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为网络安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的网络安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障恩平市人民法院重要系统的整体安全性,形成一个技术和管理并重的技术方案。 分区分域建设原则对信息系统进行安全保护的有效方法之一就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进
7、行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延。当然,分区分域建设还需结合适度安全原则进行综合考虑,对整个架构较为简单的信息系统,需分析分区分域建设的必要性。 标准性原则信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。恩平市人民法院的网络安全工作必须严格按照国家、广东
8、省相关政策、标准来实施,特别是在加固与体系建设方案设计方面,应重点考虑设计架构的合规性、参考依据的合规性、需求分析的合规性、设计思路的合规性、整改内容的合规性和产品选用的合规性。 动态调整原则信息安全问题不是静态的,它总是随着管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要及时跟踪信息系统的变化情况,调整安全保护措施。成熟性原则方案设计中所采用的安全措施和安全产品,在技术和管理上都应是可行、可靠、成熟的,应是被检验确实能够解决安全问题并在很多项目中有成功应用的。客观性原则方案设计应建立在前期完成的信息系统安全调研或差距分析的基础上,设计方应遵循客观性原则对整个信息系统进
9、行客观、直接的评价。因此网络安全加固与体系建设方案所设计的安全措施和安全策略一方面能够符合国家、广东省信息系统等级保护的相关要求,另一方面又能够很好地解决恩平市人民法院重要信息系统中真实存在的各类安全问题,满足其特性需求。1.2. 3.标准规范由于参考的政策标准文件较多,包括国家部委及广东省公安厅印发的各类政策文件以及国家、行业、国际技术标准,其中选择技术标准时,优先考虑国家标准,其次考虑行业标准,最后才考虑国际标准,具体如下: 信息安全等级保护管理办法 计算机信息系统安全保护等级划分准则-GB17859-1999信息安全技术网络安全等级保护基本要求-GB/T22239-2019 信息安全技术
10、信息系统安全等级保护定级指南-GB/T22240-2020 信息安全技术网络安全等级保护实施指南-GB/T25058-2019 信息安全技术网络安全等级保护安全管理中心技术要求-GB/T36958-2018 信息安全技术网络安全等级保护安全设计技术要求-GB/T25070-2019 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 (发改高技20082071号)广东省深化信息安全等级保护工作方案(粤公通字200945号)信息安全技术网络安全等级保护测评过程指南-GB/T28449-2018信息安全技术网络基础安全技术要求(GB/T20270-2006)信息安全技术操作系统安全技术要求
11、GB/T20272-2006)信息安全技术数据库管理系统安全技术要求(GB/T20273-2006)信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006)1.3. 服务内容1.4. 1.安全管理制度建设服务1. 3.LL服务概述1.3. 协助恩平市人民法院制定可落地的管理制度,规范信息安全管理流程,完善信息安全管理记录,提升信息安全管理能力。1.4. 1.2.服务内容依照等级保护第三级的要求,恩平市人民法院应根据等级保护中针对安全管理的相关要求,通过各种手段强化恩平市人民法院的安全管理能力,规范处理流程,建立完善的安全管理制度,做到技术与管理并重。依照测评机构对恩平市人民法院
12、综合测评结果分析和安全风险分析,恩平市人民法院应建立一套完善的安全管理制度集,以消除在管理制度方面与等级保护第三级要求之间的差距:此套安全管理制度集包含但不限于以下部分:机房安全管理制度网络安全管理制度系统运行维护管理制度系统安全风险管理制度数据及信息安全管理制度资产、介质、设备管理制度用户登记与用户管理制度备份与恢复管理制度密码管理制度安全责任制度安全审计管理制度A岗位与人员管理制度技术差距测评管理制度信息安全产品采购、使用管理制度安全事件报告和处置管理制度A信息系统安全应急处置预案安全教育培训制度网络安全漏洞检测和系统升级管理制度操作权限管理制度信息安全保密管理制度1.3.L3.成果输出义
13、信息安全管理制度集1.3.2.协助安全加固服务1. 3.2.1.服务概述参考国内权威的系统安全配置标准,并结合恩平市人民法院的实际业务需求和脆弱点发现情况,对操作系统、数据库、中间件、安全设备、网络设备等进行安全配置加固和网络架构安全调优。1.3. 2.2.服务内容 主机安全加固根据恩平市人民法院实际情况和业务使用情况,针对操作系统、数据库、中间件等组件进行安全加固。操作系统安全加固包括账户安全、密码安全、主机防病毒安全、日志审计安全、访问控制安全、安全防护安全;数据库安全加固包括账户安全、密码安全、日志审计安全、访问控制安全;中间件安全加固包括账户安全、密码安全、日志审计安全、访问控制安全。
14、 网络设备加固根据恩平市人民法院实际情况和设备使用情况,针对网络设备安全配置进行安全加固,安全配置加固包括密码安全、账户安全、日志审计安全、运维管理安全、访问控制安全。 安全设备加固根据恩平市人民法院实际情况和设备使用情况,针对安全设备安全配置和网络架构等进行安全加固,安全配置加固密码安全、账户安全、日志审计安全、运维管理安全、访问控制安全;网络架构安全加固包括访问控制安全、安全防护安全、加固安全。1.3.2.3.服务流程为了保证恩平市人民法院信息系统的可用性,安全加固服务会按照科学、合理的流程实施,依据安全检查和漏洞扫描结果和安全建议,结合信息系统的实际运行情况,写出具有实际可操作性、可行的
15、安全加固方案。具体加固方案和加固实施,会反复进行多次评估其可行性,不会对原有系统的稳定性造成影响,方可实施加固。在保障可用性的基础上,尽可能的提高系统的安全性,逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤,必要时会在实验环境的条件下,进行加固实验,把握最小影响原则、规范性原则、整体性原则。在具体实施过程中,一旦出现异常,则进行回退操作。最后会进行加固项的统计,对不能加固的项,则采取其他措施来实现安全互补,或者默认接受并记录在案。具体安全加固服务工作流程如下:准备阶段4.安全配置检查报告工安全加固实施方案上安全加固报告2 .项目预算表序号服务类别服务内容数量1网
16、络安全等级保护三级系统整改加固服务等保咨询辅导服务:.提供等保咨询辅导服务:包含人员指导、制度建设、人员辅导,协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划,并且配合测评机构完成登记保护验收工作。1项人工安全加固服务:严格按照国家等级保护三级标准要求,对各个网络设备和网络安全设备进行全面扫描和系统配置优化;协助对信息系统的主机根据等保要求进行加固;协助对信息系统的应用环境根据等保要求进行加固。1项安全制度建设服务:.针对等级保护制度要求,建立一套完善的安全管理制度集,使其制度能够满足等级保护要求。1套3 .服务对象序号服务对象系统等级备注1庭审与档案系统三级系统4 .供应商资质要求供应商需具备中国网络安全审查技术与认证中心颁发的CCRC信息安全服务资质证书并加盖公章;
免费区 
