內(nèi)網(wǎng)綜合布線系統(tǒng)系統(tǒng)設(shè)計(jì)義務(wù)書

1、XXXXXXXXX內(nèi)網(wǎng)綜合布線系統(tǒng)建設(shè)項(xiàng)目XXX大廈XX座X-XX層）計(jì)任務(wù)書1 概述11.1 背景介紹11.2 項(xiàng)目概述31.3 建設(shè)目標(biāo)41.4 建設(shè)原則51.5 需求描述81.5.1 全光網(wǎng)絡(luò)布線系統(tǒng)81.5.1.1 全光網(wǎng)絡(luò)布線結(jié)構(gòu)81.5.1.2 鏈路描述91.5.1.3 前端點(diǎn)位設(shè)置描述111.5.1.4 樓層點(diǎn)位分布描述：122 政策和技術(shù)標(biāo)準(zhǔn)依據(jù)132.1 國家信息安全的標(biāo)準(zhǔn)與規(guī)范132.2 XXX內(nèi)網(wǎng)綜合布線系統(tǒng)信息安全標(biāo)準(zhǔn)與規(guī)范153 安全需求分析163.1 業(yè)務(wù)安全運(yùn)行需求163.2 三級信息系統(tǒng)安全保護(hù)能力要求163.3 物理安全需求173.3.1 保護(hù)具體要求173.

2、3.2 需求分析203.4 數(shù)據(jù)安全及備份恢復(fù)需求203.4.1 保護(hù)具體要求203.4.2 需求分析213.5 安全管理需求213.5.1 保護(hù)具體要求213.5.2 需求分析344 安全技術(shù)體系總體設(shè)計(jì)354.1 設(shè)計(jì)原則354.2 設(shè)計(jì)依據(jù)364.2.1 主要設(shè)計(jì)依據(jù)之間的關(guān)系364.2.2 設(shè)計(jì)參考標(biāo)準(zhǔn)364.3 安全技術(shù)體系總體架構(gòu)385 安全技術(shù)體系詳細(xì)設(shè)計(jì)395.1 安全區(qū)域邊界設(shè)計(jì)395.1.1 區(qū)域邊界訪問控制395.1.2 區(qū)域邊界包過濾405.1.3 區(qū)域邊界安全審計(jì)405.1.4 入侵防范及區(qū)域邊界完整性保護(hù)415.2 安全通信網(wǎng)絡(luò)設(shè)計(jì)425.2.1 通信網(wǎng)絡(luò)安全審計(jì)4

3、25.2.2 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)425.2.3 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)435.2.4 通信網(wǎng)絡(luò)可信接入保護(hù)445.3 物理安全設(shè)計(jì)445.3.1 建設(shè)目標(biāo)455.3.2 目標(biāo)實(shí)現(xiàn)455.3.2.1 物理位置的選擇455.3.2.2 物理訪問控制465.3.2.3 防盜竊和防破壞465.3.2.4 防雷擊475.3.2.5 防火485.3.2.6 防水和防潮485.3.2.7 防靜電495.3.2.8 溫濕度控制495.3.2.9 電力供應(yīng)505.3.2.10 電磁防護(hù)511 概述1.1 背景介紹隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，國家單位開展網(wǎng)絡(luò)化辦公、辦案，政府各部門開展各

4、類管理業(yè)務(wù)的信息化應(yīng)用。胡錦濤總書記在黨的十七大工作報(bào)告中提出了“工業(yè)化、信息化、城鎮(zhèn)化、市場化、國際化”，信息化在全國黨的代表大會工作報(bào)告上第一次提出，充分說明了當(dāng)前信息化在我國發(fā)展中的地位和重要性。隨著信息化的廣泛應(yīng)用，信息安全涉及的行業(yè)、領(lǐng)域、人員范圍越來越大，幾乎所有的國家機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)的都涉及到信息安全問題，部分企事業(yè)單位、科研院所也存在網(wǎng)絡(luò)信息安全的問題。即便是沒有網(wǎng)絡(luò)化辦公，使用個人計(jì)算機(jī)辦公的單位同樣存在信息安全問題。本項(xiàng)目以XXXXXXXXXXXX內(nèi)網(wǎng)綜合布線系統(tǒng)為主，建設(shè)一套安全、穩(wěn)定、性能可靠并且與其他網(wǎng)絡(luò)互相物理隔離的內(nèi)網(wǎng)綜合布線系統(tǒng)。XXX內(nèi)網(wǎng)綜合布線項(xiàng)目委托由XXX

5、XXXXX有限公司承擔(dān)系統(tǒng)設(shè)計(jì)任務(wù)。本期項(xiàng)目建設(shè)內(nèi)容：（ 1）制定統(tǒng)一的標(biāo)準(zhǔn)規(guī)范本項(xiàng)目標(biāo)準(zhǔn)規(guī)范要遵照國家和行業(yè)相關(guān)標(biāo)準(zhǔn)，并結(jié)合本項(xiàng)目實(shí)際情況編制，逐步構(gòu)成XXX內(nèi)網(wǎng)綜合布線項(xiàng)目（以下簡稱“布線項(xiàng)目”）設(shè)計(jì)工作。用于規(guī)范、指導(dǎo)XXX內(nèi)網(wǎng)綜合布線項(xiàng)目乃至今后配套的網(wǎng)絡(luò)信息系統(tǒng)建設(shè)，保障系統(tǒng)建設(shè)上下級之間標(biāo)準(zhǔn)一致。標(biāo)準(zhǔn)規(guī)范內(nèi)容包括標(biāo)準(zhǔn)框架及網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、交換、安全等方面的標(biāo)準(zhǔn)規(guī)范。（ 2）設(shè)計(jì)XXX內(nèi)網(wǎng)業(yè)務(wù)專網(wǎng)建設(shè)連接XXX內(nèi)部5個匯聚樓層（3F,8F,12F,13F,17F）匯聚12個樓層的1049（暫定）個前端信息點(diǎn)，對外連接主要通過專線鏈路連接國家發(fā)展和改革委員會網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)IP地址規(guī)劃按

6、照XXX規(guī)定進(jìn)行。（ 3）構(gòu)建連接XXX專網(wǎng)的綜合布線系統(tǒng)平臺建立XXX內(nèi)部XX網(wǎng)絡(luò)綜合布線全光網(wǎng)絡(luò)布線平臺，為與XXX相連接的專用網(wǎng)絡(luò)提供安全、高效的數(shù)據(jù)匯集、存儲、管理、備份的基礎(chǔ)布線平臺。XXX內(nèi)部XX網(wǎng)絡(luò)綜合布線全光網(wǎng)絡(luò)平臺將通過本套布線系統(tǒng)連接樓內(nèi)的前端節(jié)點(diǎn)計(jì)算機(jī)，同時通過網(wǎng)絡(luò)接入交換機(jī)與XXX專網(wǎng)實(shí)現(xiàn)高速數(shù)據(jù)交換和共享；并且為XXX各級用戶提供數(shù)據(jù)服務(wù)，為數(shù)據(jù)連接提供基礎(chǔ)數(shù)據(jù)支撐。（ 4）建設(shè)統(tǒng)一的安全體系建立統(tǒng)一的安全管理體系和管理制度，用以保障XXX內(nèi)部XX網(wǎng)絡(luò)綜合布線全光網(wǎng)絡(luò)建設(shè)項(xiàng)目安全、高效、穩(wěn)定運(yùn)行。建立科學(xué)的、可行的安全工作制度，在內(nèi)部建立安全管理規(guī)范。建立完備與可行的

7、信息系統(tǒng)技術(shù)安全體系，保障信息系統(tǒng)免受各種攻擊、事故的威脅，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制及加密保護(hù)、硬件安全防范、操作系統(tǒng)安全防范、用戶統(tǒng)一身份認(rèn)證控制、數(shù)據(jù)傳輸保護(hù)、安全審計(jì)、病毒防范。（ 5）建設(shè)系統(tǒng)運(yùn)行管理體系為了確保系統(tǒng)的正常運(yùn)行，需要購置和定制開發(fā)系統(tǒng)運(yùn)行管理維護(hù)系統(tǒng)，制定一系列合理的運(yùn)行管理制度，并打造一支技術(shù)過硬的系統(tǒng)運(yùn)行維護(hù)隊(duì)伍。在系統(tǒng)建設(shè)過程中需要對相關(guān)人員進(jìn)行技術(shù)培訓(xùn)，加強(qiáng)對相關(guān)人員的計(jì)算機(jī)基礎(chǔ)知識的技術(shù)培訓(xùn)，制定考核標(biāo)準(zhǔn)與考核制度，確保相關(guān)人員具備必要的計(jì)算機(jī)操作技能和系統(tǒng)維護(hù)技能。1.2項(xiàng)目概述1、項(xiàng)目范圍XXX內(nèi)網(wǎng)綜合布線項(xiàng)目系統(tǒng)設(shè)計(jì)范圍為XXXXXXXXXXXX位于XXX大廈內(nèi)

8、的XXXX層的大樓內(nèi)設(shè)計(jì)全光網(wǎng)絡(luò)綜合布線系統(tǒng)。2、項(xiàng)目主要建設(shè)內(nèi)容設(shè)計(jì)一套符合XXX實(shí)際使用的與其他網(wǎng)絡(luò)相物理隔離的全光網(wǎng)絡(luò)綜合布線系統(tǒng)，使之能夠建立完備與可行的信息系統(tǒng)技術(shù)安全體系，保障信息系統(tǒng)免受各種攻擊、事故的威脅，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制及加密保護(hù)、硬件安全防范、操作系統(tǒng)安全防范、用戶統(tǒng)一身份認(rèn)證控制、數(shù)據(jù)傳輸保護(hù)、安全審計(jì)、病毒防范。1.3建設(shè)目標(biāo)XXX內(nèi)網(wǎng)綜合布線項(xiàng)目信息安全保障體系的建設(shè)是依據(jù)國家相關(guān)政策要求，根據(jù)XX項(xiàng)目業(yè)務(wù)系統(tǒng)的實(shí)際需要，基于現(xiàn)代信息系統(tǒng)安全保障理論，采用現(xiàn)代信息安全保護(hù)技術(shù)，按照一定規(guī)則和體系化的信息安全防護(hù)策略進(jìn)行的整體設(shè)計(jì)。XXXXXX內(nèi)網(wǎng)綜合布線項(xiàng)目信息安全保

9、障體系覆蓋范圍包括：XXX內(nèi)主要業(yè)務(wù)應(yīng)用系統(tǒng)；XXX信息系統(tǒng)；XXX內(nèi)服務(wù)應(yīng)用系統(tǒng)；樓層部門信息系統(tǒng)以及上述各系統(tǒng)相連接的骨干網(wǎng)絡(luò)。從信息系統(tǒng)結(jié)構(gòu)角度看，安全體系總體方案設(shè)計(jì)覆蓋范圍包括：信息系統(tǒng)的物理布線、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)保護(hù)、運(yùn)行管理等多個層面。制定XXX內(nèi)網(wǎng)綜合布線項(xiàng)目項(xiàng)目統(tǒng)一的信息安全規(guī)范，并據(jù)此建立覆蓋整個系統(tǒng)的信息安全保障體系，包括技術(shù)、管理和運(yùn)行等內(nèi)容建立符合國家和國際標(biāo)準(zhǔn)的信息安全保障體系建設(shè)完成XXX內(nèi)網(wǎng)綜合布線項(xiàng)目系統(tǒng)的網(wǎng)絡(luò)信息安全保障體系1.4建設(shè)原則內(nèi)網(wǎng)綜合布線系統(tǒng)建設(shè)的指導(dǎo)思想是，“基礎(chǔ)建設(shè)，立足長遠(yuǎn)，應(yīng)用系統(tǒng)滿足近期需要”。凡是與大樓裝

10、修、配套設(shè)備安裝相關(guān)聯(lián)的系統(tǒng)都是基礎(chǔ)建設(shè)。如本次進(jìn)行的大樓內(nèi)的內(nèi)網(wǎng)綜合布線、布線橋架、管道等都是基礎(chǔ)建設(shè)，這些系統(tǒng)一旦建成很難改變，因此要做到一次投資長期收益。作為基礎(chǔ)建設(shè)不僅要滿足現(xiàn)在的需要，還要考慮今后發(fā)展的需要。不僅要考慮非XX網(wǎng)絡(luò)的需要，還要考慮網(wǎng)絡(luò)安全需要。這就是我們所說的“基礎(chǔ)建設(shè)，立足長遠(yuǎn)”。（ 1）同步建設(shè)原則在信息系統(tǒng)建設(shè)時應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。（ 2）綜合防范、適度安全在進(jìn)行網(wǎng)絡(luò)建設(shè)時，必須充分考慮來自網(wǎng)絡(luò)的各種威脅，采取適當(dāng)?shù)陌踩胧?，進(jìn)行綜合防范。同時，以應(yīng)用為主導(dǎo)，充分分析應(yīng)用系統(tǒng)的功能，在有效

11、保證應(yīng)用的前提下，安全建設(shè)經(jīng)濟(jì)適用、適度安全、易于使用。3）重點(diǎn)保護(hù)原則根據(jù)XXX數(shù)據(jù)信息和應(yīng)用系統(tǒng)的重要程度和業(yè)務(wù)特點(diǎn)，通過劃分不同安全等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。（ 4）分區(qū)域、分階段保護(hù)原則根據(jù)XXX的實(shí)際情況和各系統(tǒng)的重要程度業(yè)務(wù)特點(diǎn)和不同發(fā)展水平，分類分級分階段進(jìn)行實(shí)施，通過劃分不同的安全區(qū)域，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。（ 5）急用先上、突出重點(diǎn)原則根據(jù)XXX的實(shí)際安全需求，對迫切需要滿足的基本安全需求有針對性的采取急用先實(shí)施的策略，并依據(jù)關(guān)鍵業(yè)務(wù)的安全需求，突出保護(hù)重點(diǎn)，將主要資源配置在需要重點(diǎn)保護(hù)的業(yè)務(wù)系統(tǒng)上。（ 6

12、）技術(shù)與管理并重原則信息安全不是單純的技術(shù)問題，技術(shù)是手段，管理是保障。（ 7）避免重復(fù)建設(shè)原則需要佰能對設(shè)計(jì)規(guī)劃思路要考慮到前期安全建設(shè)情況和后期3-5年的發(fā)展?fàn)顩r，積極充分利用已有資源和部署，減少系統(tǒng)中的重復(fù)建設(shè)情況。8）可擴(kuò)展原則針對本次內(nèi)網(wǎng)綜合布線系統(tǒng)設(shè)計(jì)方案要依照系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃建設(shè)規(guī)模情況，具有可擴(kuò)展性。（9）標(biāo)準(zhǔn)化、易操作原則本次規(guī)劃應(yīng)遵照分級保護(hù)相關(guān)標(biāo)準(zhǔn)，通過明確的管理規(guī)范、制度和標(biāo)準(zhǔn)體系，使信息安全工作有據(jù)可依，確保對信息安全風(fēng)險(xiǎn)的有效控制。1.5需求描述1.5.1 全光網(wǎng)絡(luò)布線系統(tǒng)1.5.1.1 全光網(wǎng)絡(luò)布線結(jié)構(gòu)17F3M 古 Dmn-祝才槌15Fg15F14FI津” K和

13、3M:俄用澳13F鼬個曰懿H!息百12F然方麟小U岫9F8F7F6F5F4F理3治始犯一出10對稗注HE3F鼬個郴c聯(lián)叱ir!Jtlr!Hi，舊步型*F*如 式上*HAU旦 | W+HMAfU岫日的個酎眈斗2釉MiflUrt砌10舌工R ”2M多修也- 'J |酬"桀“IitRMMl11F|朗卡也題如法，E"號1 OF植曦淳仙處累助個機(jī)任U克宣m純 HI圖1布線系統(tǒng)邏輯結(jié)構(gòu)圖XXX內(nèi)網(wǎng)綜合布線系統(tǒng)是一個為滿足目前XXX內(nèi)部受控網(wǎng)絡(luò)交換需要，覆蓋整個XXX目前12層大樓的一個內(nèi)網(wǎng)綜合布線系統(tǒng)。其中垂直布線系統(tǒng)由主機(jī)房至每個匯聚弱電間按照每個樓層信息點(diǎn)設(shè)置使用多根48芯

14、50/125um多模室內(nèi)緊套光纜作為主要連接線路。水平子系統(tǒng)使用4芯50/125um多模光纜至前端連接用戶端子系統(tǒng)的光纖尾纖和耦合器及信息面板構(gòu)成。1.5.1.2 鏈路描述1、 上聯(lián)XXX鏈路（由XXX到XXX鏈路）XXX到XXX的鏈路采用依托國家電子政務(wù)外網(wǎng)方式組網(wǎng)，采用MSTP/SDH專線進(jìn)行廣域網(wǎng)的連接。鏈路使用現(xiàn)有由XXX專用網(wǎng)絡(luò)至XXX現(xiàn)有屏蔽機(jī)房的外線光纜至內(nèi)網(wǎng)核心交換機(jī)實(shí)現(xiàn)。2、 XXX內(nèi)部屏蔽主機(jī)房到每個樓層弱電間鏈路XXX樓內(nèi)有12個涉及機(jī)密信息的信息點(diǎn)的樓層，自屏蔽機(jī)房到其中5個弱電間鏈路使用合計(jì)44根48芯50/125um多模室內(nèi)緊套光纜鏈路進(jìn)行連接。3、 XXX每個樓層

15、弱電間現(xiàn)有XX交換機(jī)線路連接XXX樓內(nèi)12個樓層弱電間內(nèi)，在8F、12F、13F、17F設(shè)置4個非屏蔽無源定制可鎖42U落地式配線機(jī)柜，在3F設(shè)置1個非屏蔽無源定制可鎖10U墻掛式配線機(jī)柜。由于XXX原有弱電間橋架已經(jīng)存在，并正在使用，本次設(shè)計(jì)使用在非屏蔽專用機(jī)柜內(nèi)通過前端和垂直干線光纜跳接方式實(shí)現(xiàn)線路傳輸至主機(jī)房，使用全光纜布線系統(tǒng)，不受其他老的布線系統(tǒng)和橋架間距的影響。在每層的無源非屏蔽機(jī)柜內(nèi)使用光纖跳線連接至前端信息接入點(diǎn)的光纖信息面板的配線架端口實(shí)現(xiàn)靈活切換和系統(tǒng)調(diào)整功能。4、樓層弱電間無源非屏蔽機(jī)柜到前端接入信息面板的鏈路XXX樓層匯聚弱電間通過4芯室內(nèi)50/125um多模光纖連接到

16、每個對應(yīng)樓層內(nèi)的墻面信息面板的光纖耦合器。5、用戶端設(shè)備連接鏈路XXX每個XX信息點(diǎn)的網(wǎng)絡(luò)設(shè)備（電腦、打印機(jī)等）均設(shè)計(jì)通過光纖收發(fā)器與弱電間的光線收發(fā)器配對連接來實(shí)現(xiàn)用戶端設(shè)備的連接。通過光纖50/125um多模跳線連接墻面光纖信息面板LC耦合器和相應(yīng)光網(wǎng)絡(luò)接收器的跳線來連接需要聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備。1.5.1.3前端點(diǎn)位設(shè)置描述建設(shè)連接XXX內(nèi)部5個匯聚樓層(3F,8F,12F,13F,17F)匯聚12個樓層的1049(暫定)個前端信息點(diǎn)，信息點(diǎn)設(shè)置如下表：樓層信息點(diǎn)數(shù)量布點(diǎn)規(guī)則備注3F35根據(jù)平面圖設(shè)計(jì)圖書館6F0無信息點(diǎn)機(jī)房層7F92小房間4個，大房間8個8F92小房間4個，大房間8個9F92

17、小房間4個，大房間8個10F68小房間4個，大房間8個11F92小房間4個，大房間8個12F92小房間4個，大房間8個13F92小房間4個，大房間8個14F92小房間4個，大房間8個15F92小房間4個，大房間8個16F105小房間5個，大房間8個17F105小房間5個，大房間8個合計(jì)10491.5.1,4樓層點(diǎn)位分布描述:2政策和技術(shù)標(biāo)準(zhǔn)依據(jù)XXX內(nèi)網(wǎng)綜合布線系統(tǒng)項(xiàng)目信息系統(tǒng)安全建設(shè)涉及的各個應(yīng)用系統(tǒng)均是關(guān)系國計(jì)民生的國家重要信息系統(tǒng)，在相關(guān)的XXX系列文件要求中，這樣的系統(tǒng)應(yīng)納入保護(hù)體系。2.1 國家信息安全的標(biāo)準(zhǔn)與規(guī)范XXX內(nèi)網(wǎng)綜合布線系統(tǒng)項(xiàng)目信息系統(tǒng)安全建設(shè)方案需依據(jù)以下標(biāo)準(zhǔn)與規(guī)范進(jìn)行

18、設(shè)計(jì)：（ 1）基礎(chǔ)性標(biāo)準(zhǔn)綜合布線系統(tǒng)安裝設(shè)計(jì)規(guī)范；GB50312-2007涉及國家XX的信息系統(tǒng)分級保護(hù)技術(shù)要求XXX17-2007（ 2）系統(tǒng)實(shí)施指導(dǎo)類標(biāo)準(zhǔn)涉及國家XX的信息系統(tǒng)分級保護(hù)方案設(shè)計(jì)指南XXX23-2008XX的信息系統(tǒng)分級保護(hù)評測指南XXX22-20073)系統(tǒng)設(shè)計(jì)指導(dǎo)類標(biāo)準(zhǔn)XX的信息系統(tǒng)分級保護(hù)管理規(guī)范XXX20-20074)系統(tǒng)和分系統(tǒng)安全技術(shù)要求類標(biāo)準(zhǔn)(GB/T20271-2006)(GB/T20270-2006)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052-2007)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-20

19、06)5)安全管理要求類標(biāo)準(zhǔn)(GB/T20269-2006)(GB/T20282-2006)6)其他專項(xiàng)標(biāo)準(zhǔn)計(jì)算機(jī)場地安全要求(GB9361-1988)電子計(jì)算機(jī)機(jī)房建設(shè)規(guī)范(GB2887-1989)信息技術(shù)設(shè)備的無線電干擾極限值和測量方法(GB9254-1998)2.2XXX內(nèi)網(wǎng)綜合布線系統(tǒng)信息安全標(biāo)準(zhǔn)與規(guī)范XXX內(nèi)網(wǎng)綜合布線系統(tǒng)項(xiàng)目設(shè)計(jì)方案需依據(jù)以下標(biāo)準(zhǔn)與規(guī)范進(jìn)行設(shè)計(jì)：涉及國家XX的信息系統(tǒng)分級保護(hù)方案設(shè)計(jì)指南XXX23-2008涉及國家XX的信息系統(tǒng)分級保護(hù)技術(shù)要求XXX17-2007綜合布線系統(tǒng)信息系統(tǒng)安全技術(shù)規(guī)范；GB50312-20073安全需求分析3.1 業(yè)務(wù)安全運(yùn)行需求XXX內(nèi)

20、網(wǎng)綜合布線系統(tǒng)項(xiàng)目以實(shí)現(xiàn)“十二五”期間重點(diǎn)目標(biāo)指標(biāo)為緊要任務(wù)，是國家重要建設(shè)項(xiàng)目之一。本次涉及XXX內(nèi)網(wǎng)綜合布線系統(tǒng)工作相關(guān)業(yè)務(wù)個各個應(yīng)用系統(tǒng)。各個應(yīng)用系統(tǒng)作為國家整體建設(shè)XXX內(nèi)網(wǎng)綜合布線系統(tǒng)工程的重要建設(shè)項(xiàng)目內(nèi)容，涉及整個XXX內(nèi)的所有XX信息設(shè)備和系統(tǒng)連接，因此，按照國家要求和業(yè)務(wù)重要性，本次設(shè)計(jì)需要按照一定的安全等級進(jìn)行設(shè)計(jì)是必要的。3.2 三級信息系統(tǒng)安全保護(hù)能力要求需要具有安全的信息系統(tǒng)，一般是運(yùn)行于計(jì)算機(jī)網(wǎng)絡(luò)平臺上的信息系統(tǒng)，需要依照國家相關(guān)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，在信息安全監(jiān)管職能部門的監(jiān)督、檢查、指導(dǎo)下進(jìn)行較嚴(yán)格的安全控制，防止來自內(nèi)部和外部的攻擊。技術(shù)方面的安全控制包括采用必

21、要的信息安全技術(shù)，對信息系統(tǒng)的運(yùn)行進(jìn)行較嚴(yán)格的控制和對信息系統(tǒng)中存儲、傳輸和處理的信息進(jìn)行較嚴(yán)格的安全控制，以提供系統(tǒng)和信息的較高強(qiáng)度保密性、完整性和可用性；管理方面的安全控制包括從人員、法規(guī)、機(jī)構(gòu)、制度、規(guī)程等方面采取較嚴(yán)格的管理措施，確保技術(shù)的安全控制達(dá)到預(yù)期的目標(biāo)。按照GB17859-1999中的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進(jìn)行安全控制，既保護(hù)系統(tǒng)安全性，又保護(hù)信息的安全性。在第二級安全的基礎(chǔ)上，該級增加了標(biāo)記和強(qiáng)制訪問控制要求，從保密性保護(hù)和完整性保護(hù)兩方面實(shí)施強(qiáng)制訪問控制安全策略，增強(qiáng)了特權(quán)用戶管理，要求對系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員的權(quán)限進(jìn)行分離和限制。同時，

22、對身份鑒別、審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性和可用性等安全功能均有更進(jìn)一步的要求。要求使用完整性敏感標(biāo)記，確保信息在網(wǎng)絡(luò)傳輸中的完整性。在系統(tǒng)安全方面，要求有較高程度的系統(tǒng)安全運(yùn)行保證，以提供必要的系統(tǒng)服務(wù)。在信息安全方面，對數(shù)據(jù)信息和系統(tǒng)信息在保密性、完整性和可用性方面均有較高的安全保護(hù)，應(yīng)有較高強(qiáng)度的密碼支持的保密性、完整性和可用性機(jī)制。在安全性保證方面，要求安全機(jī)制具有較高程度的自身安全保護(hù)，以及對安全功能的設(shè)計(jì)、實(shí)現(xiàn)及管理的較嚴(yán)格要求。在安全管理方面，要求具有較嚴(yán)格的安全管理措施，設(shè)置安全管理中心，建立必要的安全管理機(jī)構(gòu)，按要求配備各類管理人員，健全各項(xiàng)安全管理的規(guī)章制度，對各類人員進(jìn)行不

23、同層次要求的安全培訓(xùn)等，確保系統(tǒng)所設(shè)置的各種安全功能發(fā)揮其應(yīng)有的作用。3.3 物理安全需求3.3.1 保護(hù)具體要求物理安全的相關(guān)要求如下表：（其中加深部分為三級要求，未加深部分為二級要求）表1物理安全基本要求分類基本要求1.1.1物理安全1.1.1.1物理位置的選擇（G3）a）機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b）機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。1.1.1.2物理訪問控制（G3）a）機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b）需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；c）應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)

24、域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；d）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。1.1.1.3防盜竊和防破壞（G3）a）應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)；b）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d）應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；e）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；f）應(yīng)對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。1.1.1.4防雷擊(G3)a）機(jī)房建筑應(yīng)設(shè)置避雷裝置；b）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；c）機(jī)房應(yīng)設(shè)置交流電源地線。1.1.1.5防火(G3)a）機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)

25、，能夠自動檢測火情、自動報(bào)警，并自動滅火；b）機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；c）機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。1.1.1.6防水和防潮（G3）a）水管安裝，不得穿過機(jī)房屋頂和活動地板下；b）應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；c）應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d）應(yīng)安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報(bào)警。1.1.1.7防靜電(G3)a）主要設(shè)備應(yīng)采用必要的接地防靜電措施；b）機(jī)房應(yīng)采用防靜電地板。1.1.1.8溫濕度控制（G3）機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行

26、所允許的范圍之內(nèi)。1.1.1.9電力供應(yīng)（A3）a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；b）應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；c）應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；d）應(yīng)建立備用供電系統(tǒng)。1.1.1.10電磁防護(hù)（S3）a）應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；b）電源線和通信線纜業(yè)隔圖鋪設(shè)，避免互相干擾；c）應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。3.3.2 需求分析XXX內(nèi)網(wǎng)綜合布線系統(tǒng)通過原有屏蔽機(jī)房來滿足物理安全三級保護(hù)要求；樓層弱電間使用無源可鎖非屏蔽配線機(jī)柜（全光布線無設(shè)備）來完成物理需求和電磁防護(hù)的準(zhǔn)備工作，滿足相

27、關(guān)保護(hù)要求。3.4 數(shù)據(jù)安全及備份恢復(fù)需求3.4.1 保護(hù)具體要求關(guān)于數(shù)據(jù)安全的相關(guān)要求如下表：（其中加深部分為三級要求，未加深部分為二級要求）表2數(shù)據(jù)安全及備份恢復(fù)基本要求分類基本要求1.1.5數(shù)據(jù)安全及備份恢復(fù)1.1.5.1數(shù)據(jù)完整性(S3)a）應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；b）應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。1.1.5.2數(shù)據(jù)保密性(S3)a）應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性

28、；b）應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。1.1.5.3a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介備份和質(zhì)場外存放；恢復(fù)b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備(A3)用場地；c）應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的局可用性。3.4.2 需求分析數(shù)據(jù)安全對應(yīng)用系統(tǒng)來說尤其重要，如果政府業(yè)務(wù)敏感信息在存儲、處理過程中被非法復(fù)制或破壞，或在傳輸過程中被非法竊聽或篡改，將給政府和社會帶來不同程度的影響和危害。如果缺乏足夠的

29、保障措施，將會導(dǎo)致政府敏感信息失泄密事件的發(fā)生。根據(jù)對數(shù)據(jù)安全的具體技術(shù)要求，數(shù)據(jù)傳輸應(yīng)采用加密手段。需建立數(shù)據(jù)存儲和備份恢復(fù)機(jī)制，完善異地?cái)?shù)據(jù)存儲和備份恢復(fù)技術(shù)措施。3.5 安全管理需求3.5.1 保護(hù)具體要求表3安全管理基本要求分類基本要求1.2.1安全1.2.1.1管理制a）應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；管理制度度（G3）b）應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度；c）應(yīng)對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d）應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。1.2.1.2制

30、定和發(fā)布(G3)a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；b）安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；c）應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；d）安全管理制度應(yīng)通過正式、有效的方式發(fā)布；e）安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。1.2.1.3評審和修訂(G3)a）信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；b）應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。1.2.2安全管理機(jī)構(gòu)1.2.2.1崗位設(shè)置（G3）a）應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全

31、管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)；c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。1.2.2.2a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；人員配備（G3）b）應(yīng)配備專職安全管理員，/、可兼任；c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。1.2.2.3授權(quán)和審批(G3)a）應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等；b）應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建

32、立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；c）應(yīng)定期審查審批事項(xiàng)，及時更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息；d）應(yīng)記錄審批過程并保存審批文檔。1.2.2.4溝通和合作(G3)a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；c）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e）應(yīng)聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建

33、設(shè)，參與安全規(guī)劃和安全評審等。1.2.2.5審核和檢查(G3)a）安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b）應(yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c）應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對安全檢查結(jié)果進(jìn)行通報(bào)；d）應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動。1.2.3人員安全管理1.2.3.1人員錄用（G3）a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；b）應(yīng)嚴(yán)格規(guī)

34、范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；c）應(yīng)簽署保密協(xié)議；d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。1.2.3.2人員離崗（G3）a）應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時終止離商員工的所有訪問權(quán)限；b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離同須承諾調(diào)離后的保密義務(wù)后方口離開。1.2.3.3人員考核（G3）a）應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；b）應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；c）應(yīng)對考核結(jié)果進(jìn)行記錄并保存。1.2.3.4安全

35、意識教育和培訓(xùn)（G3）a）應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b）應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c）應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計(jì)劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)；d）應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。1.2.3.5外部人員訪問管理（G3）a）應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，批準(zhǔn)后曲專人全程陪同或監(jiān)督，并登記備案；b）對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行。1.2.4系統(tǒng)建設(shè)管理1.2.4.

36、1系統(tǒng)定級（G3）a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級；b）應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由；c）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定；d）應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。1.2.4.2安全方案設(shè)計(jì)（G3）a）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b）應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；c）應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并

37、形成配套義件；d）應(yīng)組織相關(guān)部門和有美安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；e）應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。1.2.4.3產(chǎn)品采購和使用（G3）a）應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；b）應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購；d）應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。1.2.4

38、.4自行軟件開發(fā)（G3）a）應(yīng)確保開發(fā)XX與實(shí)際運(yùn)行XX物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制；b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；e）應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。1.2.4.5外包軟件開發(fā)（G3）a）應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量；b）應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；c）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；d）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。1.

39、2.4.6工程實(shí)施（G3）a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；c）應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。1.2.4.7測試驗(yàn)收（G3）a）應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告；b）在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，并形成測試驗(yàn)收報(bào)告；c）應(yīng)對系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；d）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理規(guī)定的要求完成

40、系統(tǒng)測試驗(yàn)收工作；e）應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定，并簽字確認(rèn)。1.2.4.8系統(tǒng)交付（G3）a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；b）應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c）應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；d）應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。1.2.4.9系統(tǒng)備案（G3）a）應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用；b）應(yīng)將系統(tǒng)等級及相關(guān)材料報(bào)系統(tǒng)

41、主管部門備案；c）應(yīng)將系統(tǒng)等級及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。1.2.4.10a）在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合等級測評（G3）相應(yīng)分級保護(hù)標(biāo)準(zhǔn)要求的及時整改；b）應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)分級保護(hù)標(biāo)準(zhǔn)要求的及時整改；c）應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評；d）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。1.2.4.11安全服務(wù)商選擇（G3）a）應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c

42、）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。1.2.5系統(tǒng)運(yùn)維管理1.2.5.1XX管理（G3）a）應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；b）應(yīng)指定部門負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理；c）應(yīng)建立機(jī)房安全管理制度，對有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房XX安全等方面的管理作出規(guī)定；d）應(yīng)加強(qiáng)對辦公XX的保密性管理，規(guī)范辦公XX人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息

43、的紙檔文件等。1.2.5.2資產(chǎn)管a）應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；理（G3）b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定缶息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；c）應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；d）應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理。1.2.5.3介質(zhì)管理（G3）a）應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放XX、使用、維護(hù)和銷毀等方面作出規(guī)定；b）應(yīng)確保介質(zhì)存放在安全的XX中，對各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲XX專人管理；c）應(yīng)對介質(zhì)在物理傳輸

44、過程中的人員選擇、打包、交付等情況進(jìn)行控制，對介質(zhì)歸檔和查詢等進(jìn)行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；d）應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對帶出工作XX的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀；e）應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實(shí)行異地存儲，存儲地的XX要求和管理方法應(yīng)與本地相同；f）應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理。1.2.5.4設(shè)備管a）應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或

45、人員定期進(jìn)行維護(hù)管理；理（G3）b）應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對缶息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理；c）應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等；d）應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作；e）應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。1.2.5.5監(jiān)控管理和安全管理中心（G3）a）應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)

46、行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警，形成記錄并妥善保存；b）應(yīng)組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報(bào)告，并采取必要的應(yīng)對措施；c）應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。1.2.5.6網(wǎng)絡(luò)安全管理（G3）a）應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；c）應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份；d）應(yīng)定期對網(wǎng)絡(luò)

47、系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)；e）應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對配置文件進(jìn)行定期離線備份；f）應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；g）應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；h）應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。1.2.5.7系統(tǒng)安全管理（G3）a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；b）應(yīng)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進(jìn)行修補(bǔ)；c）應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試XX中測試通過，并對重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；d）應(yīng)建立系統(tǒng)安全管理制度，對系統(tǒng)安全策

48、略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；e）應(yīng)指定專人對系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；f）應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；g）應(yīng)定期對運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。1.2.5.8惡意代碼防范管理（G3）a）應(yīng)提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對外來計(jì)算機(jī)或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；b）應(yīng)指定專人

49、對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；c）應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等作出明確規(guī)定;d）應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。1.2.5.9密碼管理（G3）應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。1.2.5.10變更管理（G3）a）應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定義更方家；b）應(yīng)建立變更管埋制度，系統(tǒng)發(fā)生變更前，向主君領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)

50、人員通告；c）應(yīng)建立變更控制的申報(bào)和審批文件化程序，對變更影響進(jìn)行分析并文檔化，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄；d）應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練。1.2.5.11備份與恢復(fù)管理（G3）a）應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進(jìn)行規(guī)范；c）應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?；d）應(yīng)建立

51、控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；e）應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。1.2.5.12安全事件處置（G3）a）應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；b）應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；c）應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分；d）應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以

52、及處理方法等；e）應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；f）對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。1.2.5.13應(yīng)急預(yù)案管理（G3）a）應(yīng)在紜-的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b）應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c）應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d）應(yīng)定期對應(yīng)急預(yù)案進(jìn)

53、行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照執(zhí)行。3.5.2 需求分析管理是安全得到保證的重要組成部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。XXX內(nèi)網(wǎng)綜合布線系統(tǒng)安全建設(shè)中目前在安全管理方面，目前不具備完善的安全管理制度和設(shè)備管理制度，需要建立起一整套符合分級保護(hù)要求并適合XXX內(nèi)部實(shí)際情況的信息安全管理體系。因此，如何根據(jù)國家相關(guān)政策，建立起適合自身政府特點(diǎn)和管理運(yùn)作方式的信息安全管理職能部門，來負(fù)責(zé)協(xié)調(diào)、管理整個行業(yè)的業(yè)務(wù)網(wǎng)絡(luò)的安全，也是此次安全建設(shè)的重要組成。在此基礎(chǔ)上，由在對現(xiàn)有業(yè)務(wù)流程和管理制度做充分調(diào)研的基礎(chǔ)上，根據(jù)國家信息安全分級保護(hù)相關(guān)政策，制定一套操作性強(qiáng)的安全管理和策略，用以指導(dǎo)各個業(yè)務(wù)單位日常的信息安全工作，是十分必要的。4 安全技術(shù)體系總體設(shè)計(jì)4.1 設(shè)計(jì)原則（ 1）風(fēng)險(xiǎn)（需求）、成本（投入）及效果（收益）相平衡原則對于任何信息系統(tǒng)，絕對安全難以達(dá)到。信息安全技術(shù)體系建設(shè)的最高原則是風(fēng)險(xiǎn)、成本及效果三原則相平衡的結(jié)果。安全方案的設(shè)計(jì)，應(yīng)根據(jù)XX業(yè)務(wù)自身的實(shí)際情況來進(jìn)行規(guī)劃。（ 2）綜合性、整體性、一致