高校安全服务方案.docx

高校信息系统

安全服务方案

V1.0（初稿）

1 概述

需求分析

随着高校网络安全事件的不断增加，安全意识的不断提高，如何有效地选择安全措施，如何使安全产品发挥应有的作用，如何快速经济地提升系统的安全状况成为客户关心的问题。大家已不再满足于单纯地购买安全产品，开始寻找全面的、系统的解决方法。在这种环镜下，安全服务逐渐被大家接受，成为贯穿安全工作各个阶段、渗透各个方面的重要措施。

IT安全服务是信息系统安全体系中不可或缺的一部分，是整个IT环境成熟度的一个衡量指标，当整个产业的IT基础设施建设到一定程度后，在规避安全风险，控制安全成本及商业持续性保降需求的压力之下，就需要开始考虑如何制定符合自身的安全策略并使之与业务结合，这就是安全服务产生的基础。完整的安全服务不仅能帮助客户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。

为响应国家信息安全等级保护的要求和高校自身对信息安全的重视，全面的了解自身信息安全隐患，从物理、网络、系统、应用及管理儿个层面分析可能存在的风险，判断高校自身所面临的网络安全态势，以态势规划系统的下一步建设，特进行此次安全服务项目。

项目建设目标

通过本服务了解高校自身信息系统从物理层到应用层所存在的安全漏洞、风

险隐患。通过对信息系统的安全分析，掌握当前系统的安全态势。建立起一套实时有效的信息安全服务体系，能根据安全要求的不断发展，升级和完善相关安全防护功能。

具体来讲，本项安全服务能帮客户解决以下几个方面问题：

完善安全管理制度

建立信息安全管理框架

了解自身信息安全状况

指导未来的信息安全建设和投入

加固信息系统

任务安保期间信息系统安全保障

2 安全服务相关标准

相关标准与规范

在整个服务过程中，我们将参照最新和最权威的信息安全标准，作为安全服务的基本原则。这些安全标准包括：

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T22239-2008《信息系统安全等级保护基本要求》

GB/T28448-2012《信息系统安全等级保护测评要求》

GB/T18336《信息技术-安全技术-信息技术安全性评估准则》

CVE:通用脆弱性标准。CVE是个行业标准，为每个漏洞和弱点确定了惟一的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。

IS027001:Codeofpracticeforinformationsecuritymanagement,信息安全管理

纲要

IS013335:Informationtechnology-GuidelinesforthemanagementofITSecurity，信息技术－安全技术－IT安全管理指南

3 安全服务

安全管理制度梳理服务

以信息系统安全等级保护管理要求为依据，结合高校自身管理要求，对高校现有的安全管理制度进行梳理，协助客户建全安全管理制度，交付客户安全管理制度建议报告。

安全管理制度

安全管理制度是安全管理体系的核心，依据国家等级保护政策的要求，分五个步骤（落实安全责任、管理现状分析、制度安全策略和制度、落实安全管理措施、安全自检与调整）实现安全管理制度建设。

落实信息安全责任制

明确领导机构和责任部门，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的责任和人文，落实安全管理责任制。

信息系统安全管理现状分析

通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。

依据等级保护基本要求的标准，采取对照检查、风险评估、等级测评等方法，分析判断目前采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的时间或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求并论证。

制定安全管理策略和制度

根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管

理活动，制定人员安全管理制度，明确人员录用、离岗、考核、培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容；制度定期检查制度，明确检查内容、方法、要求等，检查各项制度、措施的落实情况，并不断完善。规范安全管理人员或操作人员的操作规程等，形成安全管理体系。

安全管理体系安全管理方针和安全策略

安全管理体系

安全管理方针和安全策略

面向中高层管理层

各类安全管理制度

面向安全管理人员

各