xxxx等级保护安全集成建设项目信息安全子系统投标文件技术标书_培训部分

xxxx等级保护安全集成建设项目信息安全子系统投标文件技术标书_培训部分内容摘要：

可能存在不确定性；备份过程得不到控制。  应急预案管理 在应急预案管理方面存在如下差异： 1) 应急响应预案文档：尚未覆盖 启动预案的条件、应急处理流程、系统恢复流程、事后教育等内容； 2) 应急预案培训记录、演练记录和审查记录：无以下记录：应急预案培训记录、应急预案演练记录、应急预案审查记录。 这种差异带来的风险是：难以对安全事件进行有效处理，被攻击等几天都处理不好的现象；应急处理不熟练，责任难以理清。 XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 18 安全 需求 分析 符合等级保护技术要求的需求 系统定级为 3 级，且等级保护要求选择为 S3A2G3，查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择，以及差异性需求包括。 防护层面 要求选择 差异性需求 物理安全 JS_REQ_G3_PHY_1 机房建设（应按照 3 级机房标准或达到 GB93611988《计算机场地安全要求》中的 A 类机房的指标进行建设） JS_REQ_G3_PHY_2 JS_REQ_G3_PHY_3 JS_REQ_G3_PHY_4 JS_REQ_G3_PHY_5 JS_REQ_G3_PHY_6 JS_REQ_G3_PHY_7 JS_REQ_G3_PHY_8 JS_REQ_A2_PHY_9 JS_REQ_S3_PHY_10 网络安全 JS_REQ_G3_NET_1 应实现网络层面的加固，确保网络能够更好地支撑应用系统的运行 JS_REQ_G3_NET_2 目前已利用防火墙实现了基于网络 IP 地址、协议、端口的强访问控制，并支持针对用户的访问控制 JS_REQ_G3_NET_3 应实现对网络设备的运行状况日志审计、流量审计等，应实现对日志信息的集中记录 JS_REQ_S3_NET_4 应防范非法的内联和外联 JS_REQ_G3_NET_5 应实现有效的网络入侵防范 JS_REQ_G3_NET_6 应采用病毒过滤网关实现在网络层面的病毒过滤 JS_REQ_G3_NET_7 网络设备应采取加固措施，应实现双因素身份认证 主机安全 JS_REQ_S3_PC_1 操作系统和数据库应采取加固技术，应针对操作系统XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 19 和数据库管理员实现双因素身份认证 JS_REQ_S3_PC_2 操作系统和数据库应进行加固，应支持基于标记的强制访问控制，对系统使用的 ORACLE 数据库选用安全模块进行加固实现基于标记的强制访问控制 JS_REQ_G3_PC_3 应对关键的服务器配置日志审计措施。 JS_REQ_G3_PC_5 实现主机入侵防护 JS_REQ_G3_PC_6 实现基于主机的防病毒 JS_REQ_A2_PC_7 实现对主机资源的限制和保护 应用安全 JS_REQ_S3_APP_1 应实现高强度的身份认证技术 JS_REQ_S3_APP_2 应实现针对应用系统的授权和严格的访问控制 JS_REQ_G3_APP_3 应对应用系统实现有效安全审计，并采取集中的审计措施防范以防范审计记录被非法修改和删除 JS_REQ_S3_APP_4 应用系统应当对缓存信息和临时信息进行有效保护，在注销当前用户时应当进行有效清除 JS_REQ_A2_APP_8 应用软件对错误的输入有控制 JS_REQ_A2_APP_9 应针对应用服务器进行连接数的限制 数据安全 JS_REQ_S3_DATA_1 应当保障业务数据在存储和传输过程中的保密性 JS_REQ_S3_DATA_2 应当保障业务数据在存储和传输过程中的完整性 JS_REQ_A2_DATA_3 磁盘备份（数据备份），关键网络设备、通信线路和数据处理系统应有冗余设计，目前应当重点加强关键网络设备的冗余设计 符合等级管理技术要求的需求 防护层面 要求选择 差异性需求 管理机构 GL_REQ_G3_GLJG_1 应补充设置安全管理员、安全审计员职位；并定义其岗位的工作职责和技术能力要求。 GL_REQ_G3_GLJG_2 应配备专职安全管理员，不可兼任。 GL_REQ_G3_GLJG_3 建立健全授权和审批程序，对系统变更、物理访问、XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 20 系统接入、补丁升级等事件，均须经过授权和审批方可执行；同时，根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 安全管理工作组应该定期审查审批事项，及时对审批事件进行更新。 审核和授权须保存书面文档。 GL_REQ_G3_GLJG_4 应定 期召开安全工作会议，对前一阶段安全工作的总结，提出问题，在下一阶段的安全工作中予以改进；通过等级保护备案，与公安机关建立安全工作的联系； GL_REQ_G3_GLJG_5 应针对现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等，制定安全检查表格实施安全检查，组织信息管理部及信息安全相关人员进行周期性检查汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。 安全制度 GL_REQ_G3_GLZD_1 制度体系应包含信息安全总体策略、信息安全标准与规范、信息安全指 南和细则三个层面。 通过信息安全策略、信息安全标准与规范、信息安全指南和细则将信息安全战略逐步细化、落实 GL_REQ_G3_GLZD_2 安全策略系列文档制定后，必须采取有效手段和途径发布和执行。 发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段。 GL_REQ_G3_GLZD_3 应每年对制度体系内的文档进行审核和修行，包括：  网络与信息安全策略；  网络与信息安全标准中。 网络与信息安全标准不需要全部更新，可以仅对因系统变更而受影响的部分进行更新。  安全管理组织机构和人员的安全职责；  操作流程；  各类管理规定、管理办法和暂行规定； XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 21  用户协议。 人员安全 GL_REQ_G3_RYGL_1 信息安全关键岗位的人员，应从内部人员中选拔，并与之签署岗位安全协议。 GL_REQ_G3_RYGL_2 规范人员离岗过程，即时收回离岗人员的各类权限，要求离岗人员履行保密义务。 GL_REQ_G3_RYGL_3 应定期对各个岗位人员进行安全知识和技能的考核，并对关键岗位人员进行安全审计。 GL_REQ_G3_RYGL_4 应定期的针对不同岗位 职责的员工，邀请内部人员和外部专家进行有针对性的安全教育和培训。 发布新的安全管理策略体系时，应对全体员工进行制度的培训。 所有培训均需保存培训记录。 GL_REQ_G3_RYGL_5 应该针对外部人员访问制定相应的管理规定，执行正规的申请审批和记录，访问过程中须由专人陪同和监督。 系统建设 GL_REQ_G3_XTJS_1  举行专家论证会。 补充系统定级专家论证文档。  将定级结果送到相关部门报批。 获得批准盖章。  制定《系统定级管理制度》 GL_REQ_G3_XTJS_2  补充系统安全建 设计划。  明确系统近期安全建设计划  明确了系统远期安全建设计划  为各系统制定总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件，并得到管理层批准。  举行安全方案专家论证会，获得论证意见文档。  制定并落实《安全方案管理制度》，对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件进行维护并记录修订情况如修订版本等。 GL_REQ_G3_XTJS_4 补充《代码编写安全规范》，增加出规范中已经明确XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 22 代码编写的流程和风格之外的编码安全 内容。  制定《程序资源库管理制度》，对程序资源库的修改、更新、发布进行授权和审批，落实批准人签字制度并形成文档或记录。  制定《系统软件开发文档管理制度》，对系统软件开发相关文档（软件设计和开发程序文件、测试数据、测试结果、维护手册等）的使用进行控制并记录。 GL_REQ_G3_XTJS_5 制定《软件源代码审查制度》 ，要求在合同中必须存在“ 外包开发商必须确保没有后门，并提供软件所有源代码 ”，在必要时申请第三方机构对软件源代码进行审查以确保对可能存在后门进行审查，并记录审查详细结果及结论。 GL_REQ_G3_XTJS_6 制定《工程实施管理制度》 GL_REQ_G3_XTJS_7  .制定《系统测试验收规范》 ，按照被测信息系统安全建设工程测试方案进行验收：  对参与测试部门、人员、现场操作过程等进行要求  测试记录详细记录测试时间、人员、操作过程、测试结果等方面内容  对《被测信息系统安全测试报告》进行规范：  安全性测试报告提出存在问题及改进意见  必须由第三方测试机构进行签字或盖章  对系统验收测试的过程控制、参与人员的行为等进行规定。 安全运维 GL_REQ_G3_XTYW_1  制定《机房安全管理制度》 ：覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。  制定《办公环境管理制度》 ：  对工作人员离开座位后的保密行为（如清理XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 23 桌面文件和屏幕锁定等）进行规范；  对人员调离办公室后的行为等方面进行规定 GL_REQ_G3_XTYW_2  制定《资产信息分类管理制度》 ：  规定资产分类标识的原则和方法（如根据信息的重要程度、敏感程度或用途不同进行分类） GL_REQ_G3_XTYW_3  制定《介质管理制度》 ：必须记录介质的存储、归档、借用等 情况。  覆盖介质的存放环境、使用、维护和销毁等方面。  对介质进行分类并进行标识  由专人负责介质安全  确保介质本地存放地的实际环境条件是安全的  由专人对存放地进行管理。 GL_REQ_G3_XTYW_4  修订《设备安全管理制度》 ：  覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面。  管理制度覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面。  覆盖服务器如何启动、停止、加电、断电等操作。  整理设备维护记录和主要设备操作日志。  形成 设备维护记录文档  形成主要设备操作日志文档 GL_REQ_G3_XTYW_5 制定《监控管理制度》 ：记录监控对象、监控内容、监控的异常现象处理等方面。 GL_REQ_G3_XTYW_6  《网络安全管理制度》要对网络漏洞扫描报告进行规范，要求覆盖网络存在的漏洞、严重级别、原因分析、改进意见等方面。  制定《网络安全管理制度》，对网络审计日志的保XXXX 等级保护安全集成建设项目 信息安全子系统 投标文件 技术部分 169。 2020 北京天融信 科技 有限 公司 24 存时间范围进行规定。 GL_REQ_G3_XTYW_7  制定《系统安全管理制度》，覆盖以下具体内容：系统安全策略、安全配置、日志管理、日常操作流程。  要求记录详细操作日志：重要的日常操作、运行维护记录、参数的设置和修改。  要求对运行日志和审计结果进行定期分析并提供定期分析报告。 分析报告能够记录帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件。  由专人管理运行日志和审计记录。  要求系统漏洞扫描报告覆盖系统存在的漏洞、严重级别、原因分析、改进意见等方面。  审计日志以及配置文件的生成、备份、变更审批、符合性检查等方面进行控制。 GL_REQ_G3_XTYW_8  修订《恶意代码防范管 理制度》 ：覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等，在《安全管理制度》中同步修改。  要求保留恶意代码检测记录、恶意代码库升级记录和分析报告。  升级记录记录升级时间、升级版本等内容  分析报告描述恶意代码的特征、修补措施等内容 建立恶意代码集中防范管理中心。 GL_REQ_G3_XTYW _11  制定《系统备份管理制度》 ，规定备份方式、备份频度、存储介质、保存期等内容。  制定。