某市国土资源局核心业务系统信息安全等级保护建设方案目录1方案背景 (1)2方案编制目的 (1)3方案目标 (2)4建设方案编制依据 (3)5网络与信息安全设计整体原则 (3)5.1可靠性 (3)5.2实用性 (4)5.3先进性 (4)5.4安全性 (4)5.5可扩展性 (4)5.6可管理性 (4)6网络设计说明 (5)7等级保护基本要求层级结构 (5)7.1技术要求 (6)7.2管理要求 (7)7.3等级保护的安全保障体系框架 (7)7.3.1安全策略体系 (7)7.3.2安全管理体系 (8)7.3.3安全技术体系 (8)8信息安全技术体系建设内容 (10)9信息系统安全管理体系结构 (13)9.1安全管理制度 (13)9.1.1确定安全方针 (13)9.1.2制定安全策略 (13)9.1.3策略审查评估 (14)9.2组织管理 (14)9.2.1建立交流机制 (14)9.2.2安全责任划分 (15)9.2.3不同组织间的合作 (16)9.3人员管理 (16)9.3.1人员安全 (16)9.3.2职位与职责设置 (17)9.3.3信息安全的教育与培训 (18)10项目清单与预算 (18)11等级保护三级建设成效 (23)12等级保护相关项目成功案例 (23)13XX集成公司等级保护服务优势和特色 (24)1方案背景国土资源信息是国家的基础性、战略性信息，是服务国家经济社会、保证国家可持续发展的重要资源；国土资源信息系统是国土资源信息有效合理利用的重要保障。

随着国土资源信息化建设的飞速发展，网络的覆盖面以及应用的范围不断扩展，数据资源越来越丰富，信息系统应用不断深化，信息化技术和管理业务的融合程度越来越高，在国土资源遥感监测“一张图”、电子政务平台、综合监管平台和共享服务平台的框架体系下，将全面实现网上办公、网上审批、网上交易和网上服务。

国土资源信息和信息系统的基础性、全局性、战略性的作用日益突显，这对保障国土资源信息和信息系统安全稳定运行提出了急迫的需求和更高的要求。

信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法，是促进信息化发展、维护国家信息安全的根本保障。

开展国土资源信息安全等级保护工作，是解决国土资源信息安全面临的威胁和存在的主要问题的重要手段，是对非涉密重要信息系统进行安全保障的重大措施，能够有效地保护国土资源信息和信息系统的安全，对促进国土资源信息化健康有序发展有着特别重要意义。

2方案编制目的为贯彻落实国家信息安全等级保护制度，规范和指导国土资源行业开展信息安全等级保护工作，有效保护国土资源信息和信息系统的安全，国土资源部发布了《国土资源部信息化工作办公室关于国土资源信息安全等级保护工作的指导意见》国土资信办发〔2012〕6号，根据指导意见，同时依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》、《关于印发〈国土资源信息系统安全等级保护定级工作方案〉的通知》（国土资信办发〔2007〕14号）等标准和要求，对某市国土资源局的核心业务系统（如国土资源信息系统、电子政务系统、国土资源门户网站系统涉及矿业权市场、土地交易市场等）进行等级保护定级，按信息系统编制定级报告和定级备案表，并指导某市国土资源局信息人员将定级材料提交当地公安机关备案。

同时，根据《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准，制订某市国土资源局信息安全等级保护建设方案，同时力争在2015年底前，完成核心业务系统的安全建设整改和测评工作。

3方案目标通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。

使得某市国土资源局核心业务系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为某市国土资源局的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

本次等级保护整改建设将完成以下目标：1、以某市国土资源局的核心业务系统（如国土资源信息系统、电子政务系统、国土资源门户网站系统涉及矿业权市场、土地交易市场等）现有基础设施，建设并完成满足等级保护三级系统基本要求，确保某市国土资源局的整体信息化建设符合相关要求并迈向新的台阶。

2、建立完善的安全技术防护体系。

根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。

3、建立安全管理组织机构。

成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

4、建立健全信息系统安全管理制度。

根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

5、持续信息安全意识与培训教育。

统一国土资源行业信息安全等级保护标准与要求，加强信息安全意识，提高国土资源信息安全保护能力。

应每年至少开展一次信息安全培训，及时了解信息安全发展方向和最新动态，提升全员信息安全防护意识，规范信息安全操作行为，提高信息安全管理人员和技术人员的管理水平和技术能力。

6、制定保障医疗活动不中断的应急预案。

应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4建设方案编制依据●《GB17859-1999 计算机信息系统安全保护等级划分准则》●《GB/T 22239-2008 信息系统安全等级保护基本要求》●《GB/T 22240-2008 信息系统安全等级保护定级指南》●《信息系统安全等级保护实施指南（国标报批稿）》●《信息系统安全等级保护测评要求（国标报批稿）》●《GB/T 20984-2007 信息安全风险评估规范》●《信息安全管理体系要求ISO/IEC 27001》●《信息技术—安全技术—信息安全管理实践规范ISO/IEC 27002》●《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号●《关于印发〈国土资源信息系统安全等级保护定级工作方案〉的通知》（国土资信办发〔2007〕14号）●《国土资源部信息化工作办公室关于国土资源信息安全等级保护工作的指导意见》国土资信办发〔2012〕6号5网络与信息安全设计整体原则按照“统一规划和统一标准”进行整体性规划，对整个网络和信息安全规划本着可靠性、实用性、先进性、安全性、可扩展性和可管理性方面来考虑。

5.1可靠性为保证某市国土资源局各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。

要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。

某市国土资源局业务的提供点和汇聚点一般都在核心层和汇聚层设备上，因此这两个层面设备的稳定性非常重要。

整个网络系统应具有很高的安全可靠性，必须满足一年365天24小时连续运行的要求：主用通信线路发生故障时，网络设备可以快速自动地切换到备份链路上；当主用通信线路恢复时，业务又可以及时切换回来；实现核心设备在线冗余备份，确保核心设备单点故障时提供的业务和服务不中断。

5.2实用性采用先进的网络技术以适应更高的数据、多媒体信息的传输需要，但是不过分追求最新技术，取得稳定性、成熟性和新技术的统一，从而保证网络的高可用性。

选择采用已经形成的标准，并得到广泛应用的成熟技术，在此基础上尽量选用当前国内外较先进的产品，使系统不于在短期内落后。

5.3先进性采用成熟的技术满足某市国土资源局应用系统的需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息技术发展的需要。

5.4安全性保护某市国土资源局网络系统的可用性，保护网络系统服务的连续性，防范网络资源的非法访问及非授权访问，防范入侵者的恶意攻击与破坏，保护信息通过网上传输过程中的机密性、完整性，防范病毒的侵害；达到“进不来，拿不走，看不懂，改不了，跑不了”的安全目标。

信息安全的建设内容将符合银监会相关信息安全的技术要求，保障某市国土资源局核心生产网络及信息系统的安全。

5.5可扩展性选择的软件、硬件和网络产品具有较强的灵活性、可移植性和可扩展性；能够根据集团公司发展的需要，方便的扩展网络覆盖范围，扩大网络容量和提高网络各节点的功能；具备支持多种应用系统的能力，具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。

5.6可管理性由于某市国土资源局网络具有一定的复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重；建立一套全面的网络管理技术体系，采用先进的网络运维管理平台，实现各项管理要求和管理策略的下发执行；实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等；通过合理的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、业务系统运行管理提供有力的保障。

6网络设计说明现代的网络发展方向是以应用为导向的服务型网络，即网络系统的应用化。

如何在现有网络基础上为各种应用系统提供具有特性化的服务成为某市国土资源局建设网络的指导思想。

某市国土资源局网络基础建设将参照标准的双链路三层架构模式，即核心层、汇聚层和接入层，这种网络结构既有利于用汇聚设备分担核心层设备的压力，同时也方便的接入层设备在汇聚层设备下灵活扩展。

根据为某市国土资源局业务应用系统建设一个可提供灵活服务的网络基础这一原则，本次网络设计主要任务是解决网络结构和业务应用系统结构之间的对应关系。

结合某市国土资源局业务发展规划，本期建设的网络区域有：1)数据中心区➢三级业务域➢二级业务域2)外联单位区3)核心交换区4)互联网接入区5)运维管理区6)终端接入区7等级保护基本要求层级结构通过分析国家《信息系统安全保护等级基本要求》中三级的相关标准，对等级保护的安全层级划分为安全技术与安全管理两大部分，对于某市国土资源局的安全建设也将从这两个方面进行着手。

技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全几个层面。

物理安全：主要是针对某市国土资源局的核心业务系统所部署的机房和场地的相关要求。

包括：机房场地的选择；机房或重要区域的物理访问控制；防盗窃和防破坏；防雷击；防火；防水和防潮；防静电；温湿度控制；电力供应；电磁防护等。

网络安全：主要是针对某市国土资源局核心业务系统的网络设备、网络安全域的相关安全要求。

包括：网络安全结构；不同安全域间的访问控制；网络安全审计；边界完整性检查；网络入侵防范和恶意代码防范；网络设备防护等。