浙江海事局是交通运输部直属的正厅级海事机构,在中华人民共和国海事局(交通运输部海事局)的领导下,负责辖区水上安全监督和防止船舶污染等行政执法工作,履行水上交通安全监督管理的工作职能。高速信息化的发展,使得浙江海事局的日常工作越来越依赖于其核心信息系统的正常运转,因此信息系统的安全可靠运行显得尤为重要。 为了贯彻落实国家及交通运输部的信息安全工作部署,满足信息系统对信息安全现阶段的使用需求及未来发展,浙江海事局需建立信息系统安全防护技术体系和管理体系,使其信息系统的防护水平能够达到国家信息系统安全等级保护基本要求,同时也需要一套安全防护体系对其网络的正常运行保驾护航。为此,浙江海事局依据当下安全现状,建立全面完善的、有针对性的、贴合其业务需求的信息系统安全防护措施。最终实现满足国家等级保护安全标准,并满足当下及未来一个周期内的安全需求的安全体系,实现信息系统的安全、稳定、可靠运行,以支撑浙江海事局日常工作的正常开展。
..................................................................................................................................................................................................................................................................
基于目前严峻的网络安全大环境,安全建设基于专业安全产品结合相对应的安全服务,并根据浙江海事局信息系统等级保护定级及部署特点,从网络、主机、应用、数据、物理等层面,建立统一的安全技术保护体系,并构建统一的信息系统安全管理平台,实现信息安全的集中监控和审计,统一管理和运维;同时,根据浙江海事局信息系统定级及管理特性,从制度、机构、人员、建设、运维等方面,构建完善的安全管理体系。
建设内容主要从以下方面展开:
> 网络安全 - 对信息专网、公众信息服务网网络的安全域进行划分,加强局机关网络边界访问控制,加强局机关安全域边界访问控制和核心的访问控制、抗攻击、病毒检测、入侵防御能力,建立起符合信息安全等级保护要求的基础支撑网络。
> 应用安全 - 对浙江海事局2个二级系统,1个三级系统进行安全应用整改及建设,通过web应用防护产品结合风险评估、安全加固、安全扫描、网站云防护、网站监测、web业务审计系统,以及应急响应、安全培训等服务,建设满足合规要求及安全需求的应用系统。
> 主机安全 - 对信息系统的服务器和计算机终端安全进行系统加固、加强漏洞扫描和病毒防护,采用终端安全管理系统实现对计算机终端的非法外联和接入进行控制。采用上网行为管理系统对单位有线和无线网络的上网行为、应用、流量、数据进行全方位的统一管理。
> 数据安全 - 对核心数据库流量进行镜像全审计,辅以人工加固方式,提高数据存储环境的安全性。
> 物理安全 - 对机房访问控制、防盗和防破坏、防雷击、防火和防潮、防静电、温湿度控制、电力控制及电磁防护等方面对照等级保护要求,针对差距加强机房建设。
> 运维安全 - 从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等五个方面对单位信息安全管理制度与规范提出完善要求,搭建信息安全管理体系架构。
..................................................................................................................................................................................................................................................................
网络安全问题长期存在并且日趋严峻,已引起国家层面的高度重视,《网络安全法》把网络安全问题提升到了一个新的高度,在此背景下,政府和企事业单位更加需要贯彻和落实国家对网络安全层面的政策要求
本安全方案从浙江海事局现有的防护措施及安全需求出发,遵从国家信息安全等级保护建设原则,从网络安全、应用安全、主机安全、数据安全、物理安全等方面进行展开,形成符合业务特点的纵深防御体系,进行分层次的、由外而内的,从网络边界、内部网络、核心服务器乃至桌面pc各个层面进行安全防御功能的建设,使浙江海事局重要信息系统安全建设满足gbt22239-2008《信息系统安全等级保护基本要求》,最大限度提升系统安全性,降低被攻击、被入侵的可能性,间接的保障了浙江海事局日常工作的正常开展,也将避免因网站被黑等攻击事件导致的单位声誉受损,以及有悖于国家权威性事件的发生