一、概述

1.1、項目背景

XX單位1984年底組建，2003年7月完成工商分開。XX單位專賣、商業系統現有11個市級X單位專賣局(公司)、64個縣級X單位專賣局（分公司），職工總數12000余人?！笆晃濉逼陂g，X煙專賣商業堅持以鄧小平理論和“三個代表”重要思想為指導，深入貫徹落實科學發展觀，各領域工作取得了積極進展：經濟運行較快發展，經濟效益顯著提升；卷煙銷售網絡整體推進、全面提升，省內市場全國化格局初步形成；專賣管理理念和管理方式不斷創新，較好履行了法律賦予的X單位專賣管理監督職能；行業管理體制基本理順，建立起較為規范的母子公司管理模式；管理創新工作全面開展，基礎管理水平得到不斷提高；隊伍素質和企業文化建設大力加強，軟實力顯著增強。通過5年的努力，X煙單箱結構、利潤總額、國標網絡案件數量等幾個關鍵指標均居全國X單位商業企業第一位。

在日新月異的當代社會，信息技術的迅猛發展既為我國企業發展帶來了契機，又使我國企業面臨嚴峻的挑戰。作為X單位行業，X單位是基礎，必須加快X單位信息化建設的步伐，推動X單位全面的管理變革，提高X單位企業整體素質，最終提高企業核心競爭力，保證行業的長期平穩發展。X單位可持續性發展是未來X單位發展的方向和出路，其發展過程必定會遇到很多問題和困難，而X單位信息化是解決X單位可持續發展中的諸多難題的重要途徑之一，沒有信息化就沒有X單位的現代化，伴隨著信息化水平不斷提升，網絡安全問題也愈發嚴重，根據CNCERT/CC國家互聯網應急響應中心統計2013年我國境內被篡改網站數量高達24034個，來自境外的黑客組織頻繁對我國政府發起敵對攻擊行為。

為提升XX單位信息安全防護水平，落實好X單位關于X單位行業信息系統安全等級保護基本要求，結合XX單位公司目前網絡整體運行安全現狀，編寫制定XX單位等級保護建設方案。

1.2、項目設計范圍

XX單位公司信息化系統由X單位外網系統、X單位內網系統兩部分組成，本次信息安全體系建設是緊密圍繞著X單位外網、X單位內網信息系統建設目標和任務，建立健全安全治理、安全管理、安全防護、標準規范、技術支撐隊伍、安全基礎設施等信息化安全保障體系，為信息系統安全可靠運行提供了堅強支撐。

本規劃在對X省X單位公司本部信息化建設現狀分析的基礎上，結合等級保護差距分析和安全評估過程中發現的一些主要問題，制定信息系統安全總體規劃，提出了信息系統安全體系的建設規劃思路和體系架構，規劃內容涉及機房物理環境、邊界、網絡、主機、應用等安全防護建設工程項目，并對規劃年限內對信息系統安全建設投資做出估算。

1.3、設計參考依據

?   GB 17859-1999  計算機信息系統安全保護等級劃分準則

?   GB/T 22239-2008  信息安全技術 信息系統安全等級保護基本要求

?   GB/T 22240-2008  信息安全技術 信息系統安全等級保護定級指南

?   GB/T 25058-2010  信息安全技術 信息系統安全等級保護實施指南

?   YC/T 495-2014X單位行業信息系統安全等級保護實施規范

?   YC/T 389-2011X單位行業信息系統安全等級保護與信息安全事件的定級準則

?   《X單位行業信息系統安全等級保護基本要求》

?   《X單位行業信息安全保障體系建設指南》

二、指導思想、建設原則與目標

2.1、指導思想

信息安全建設，以誰“經營誰負責、誰主管誰負責”原則，以“雙網隔離、分區分域、接入保障、終端可控、傳輸可信、潛伏可查”為建設思路， 結合國家等保方面的合規管理，實現安全保發展，從發展中求安全。

2.2、基本原則

“全面保障”原則：信息安全風險的控制需要多角度、多層次，從各個環節入手，全面的保障。

“整體規劃，分步實施”原則：對信息安全建設進行整體規劃，分步實施，逐步建立完善的信息安全體系。

“同步規劃、同步建設、同步運行”原則：安全建設應與業務系統同步規劃、同步建設、同步運行，在任何一個環節的疏忽都可能給業務系統帶來危害。

“適度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。

“內外并重”原則：安全工作需要做到內外并重，在防范外部威脅的同時，加強規范內部人員行為和訪問控制、監控和審計能力。

“標準化”原則：管理要規范化、標準化，以保證在能源行業龐大而多層次的組織體系中有效的控制風險。

“技術與管理并重”原則：網絡與信息安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。

2.3、建設目標

依托等級保護建設要求、理清信息安全建設方面的不足，逐步構建信息安全技術體系、信息安全管理體系，完善機構構架、明確各組織、部門職責。

三、系統定級與備案

3.1、定級流程

確定信息系統安全保護等級的一般流程如下(參考GB/T 2240-2008)：

l   識別單位基本信息

了解單位基本信息有助于判斷單位的職能特點，單位所在行業及單位在行業所處的地位和所用，由此判斷單位主要信息系統的宏觀定位。

l   識別業務種類、流程和服務

應重點了解定級對象信息系統中不同業務系統提供的服務在影響履行單位職能方面具體方式和程度，影響的區域范圍、用戶人數、業務量的具體數據以及對本單位以外機構或個人的影響等方面。這些具體數據即可以為主管部門制定定級指導意見提供參照，也可以作為主管部門審批定級結果的重要依據。

l   識別信息

調查了解定級對象信息系統所處理的信息，了解單位對信息的三個安全屬性的需求，了解不同業務數據在其保密性、完整性和可用性被破壞后在單位職能、單位資金、單位信譽、人身安全等方面可能對國家、社會、本單位造成的影響，對影響程度的描述應盡可能量化。

l   識別網絡結構和邊界

調查了解定級對象信息系統所在單位的整體網絡狀況、安全防護和外部連接情況，目的是了解信息系統所處的單位內部網絡環境和外部環境特點，以及該信息系統的網絡安全保護與單位內部網絡環境的安全保護的關系。識別主要的軟硬件設備

調查了解與定級對象信息系統相關的服務器、網絡、終端、存儲設備以及安全設備等，設備所在網段，在系統中的功能和作用。調查設備的位置和作用主要就是發現不同信息系統在設備使用方面的共用程度。

l   識別用戶類型和分布

調查了解各系統的管理用戶和一般用戶，內部用戶和外部用戶，本地用戶和遠程用戶等類型，了解用戶或用戶群的數量分布，判斷系統服務中斷或系統信息被破壞可能影響的范圍和程度。

根據信息安全等級矩陣表，形成定級結果

業務信息安全等級矩陣表

業務信息安全被破壞時所侵害的客體

對相應客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第二級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

系統服務安全等級矩陣表

系統服務安全被破壞時所侵害的客體

對相應客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第二級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

3.2、等級矩陣表

序

號

系統名稱

系統對主要業務的

影響程度(業務信息)

系統對社會公眾的

影響程度(系統服務)

高

中

低

高

中

低

1

專賣管理信息系統

√

√

2

綜合辦公及檔案系統

√

√

3

人力資源信息系統

√

√

4

財務管理系統

√

√

5

X單位信息管理基礎軟件系統

√

√

6

卷煙生產經營管理決策系統（子系統）

√

√

7

投資項目管理系統

√

√

8

營銷管理系統

√

√

3.3、定級結果

按行業等級保護工作要求，全省系統報備了7個三級信息系統，1個二級信息系統。各應用系統均為數據庫、應用、中間件三層架構，其中專賣管理、卷煙生產經營管理決策系統、營銷管理系統，綜合辦公及檔案系統為省、市二級部署，人力資源、財務、X單位、投資管理信息系統為省集中方式部署。

定級工作

辦事部門

信息中心

部門負責人

姓 名

李XX

備注

聯系電話

010-8822XXXX

信息系統

總 數

8

第一級

0個

第二級

1個

第三級

7個

第四級

0個

信息系統名稱

信息系統描述

主管單位

使用人員

服務范圍

保護等級

專賣管理信息系統

專賣管理、內管分析

專賣處

內管處

內部人員

本省

三級

變更

綜合辦公及檔案系統

公文流轉、內外網門戶、檔案存儲、檢索、歸類

辦公室

內部人員及社會公眾

行業內外

二級

變更

人力資源信息系統

人員進行業務操作、信息綜合、研究分析。

人事處

內部人員

本省

三級

財務管理系統

統一核算、全面預算。

財務處

內部人員

本省

三級

變更

X單位信息管理基礎軟件系統

收購管理、生產管理、基地單元管理。

X單位處

內部人員

本省

三級

變更

卷煙生產經營管理決策系統（子系統）

一號工程數據采集。

計劃處

內部人員

行業內

三級

行業統一

新商盟網上訂煙系統

投資項目規范化管理

投資管理處

內部人員及社會公眾

本省

三級

新定

營銷管理系統

卷煙分銷、呼叫中心、網上訂貨、客戶關系管理等

銷售處

內部人員及社會公眾

行業內外

三級

變更

四、信息系統現狀

4.1、物理與機房環境現狀

4.1.1、機房裝修

X省X單位公司信息主機房面積約200平方米，共分為主機房區、UPS配電區。其中主主機房區面積為100平方米、UPS配電區面積約50平方米、消防間約50平方米。目前各區域裝修情況如下：

放入機房CAD圖

地面：主機房運行區及配電區，現采用防塵漆對地面做潔凈化處理，輔設100mm×200mm×300mm全鋼有邊抗靜電活動地板，地板架空高度30cm。由于機房地板使用時間很長，部分地板邊線已破損,機房出入口踏步損壞，不但影響觀感，而且影響進出機房操作人中的安全，因此急需全部更換全部地板，因此。鋼瓶間為水泥地面，用于存放機房二氧化碳鋼瓶。

墻面：整個機房區域全部墻面采用立邦仿瓷乳膠漆處理，隨著4-5年時使用、在機房極度干燥的情況下，機房內墻面極易起塵，嚴重影響設備的運行安全，因此急需要對墻面進行無塵化處理，即采用防火采鋼板。

照明:整個機房區域照明系統全部采用600*1200MM格柵燈，經過5年的使用已有部分燈管損壞，因此需要部分更換已損壞的燈管。

吊頂工程：機房主機運行區及配電區吊頂全部安裝了鋁合金微孔吸音吊頂板（燃燒性能A級），規格為200×200×0.7mm，板面顏色為乳白色,經過幾次機房空調改造及3年的使用，部分微孔金屬板存在嚴重變型，板上部分吸音防塵紙已出現脫落的情況，因此急需整體改造。

門窗：主機運行區及配電區窗戶設置2層玻璃窗，1層為鋼化玻璃窗，另一層為雙層中空玻璃鋁合金窗,2層窗戶起到了良好的隔熱效果,機房主出入口門為雙層防火木門。

以上情況據實填寫。

4.1.2、機房綜合布線

機房綜合布線系統由機房分區及總配線管理子系統（IPatch系統）、工作區子系統（包含機柜、配線架）、水平子系統（包含橋架；線纜敷設、端接、橋架）組成。

根據實際情況針對各子系統、工作區系統進行分述。

4.1.3、UPS電源

機房分別安裝有兩臺艾默生HIPULSE U/160/S/6P 160KVA UPS電源主機。

(UPS電源部署圖)

4.1.4、空調及溫濕度控制

機房溫濕度控制主要通過空調系統進行控制，主機房中央空調系統為水冷型空調，一般廈季開制冷，冬際為制熱，機房全部選用的民用級別的空調，其無法滿足機房恒溫恒濕的要求，因此在條件許可的情況下考慮采用精密空調。

(根據實際情況說明)

4.1.5、電子門禁與監控

機房環境監控系統采用了南京亞奧數碼技術有限公司的監控產品，門禁產品采用科松產品，并配置了松本智能對講系統。

門禁系統，采用科松（CSS）產品，系統由網絡工作站、門禁控制器、IC卡讀感器、數據通信轉換器、電控磁力鎖、電鎖電源、出門按鈕、非接觸式IC卡、可視對講器及門禁管理軟件組成，其中門禁管理軟件為Link Work4.6動力設備、環境及圖像集中監控系統是對分布各種機房的電源、空調、油機、蓄電池、高低壓配電等多種設備和環境、圖像的各種參數進行遙測、遙信和遙控，實時監測其運行參數，診斷和處理故障，記錄和分析相關數據，從而實現機房少人或無人值守的目的，并對設備進行集中監控、集中維護和集中管理。

(根據實際情況說明)

4.1.6、消防設施

機房消防設施主要采用高壓二氧化碳有管網氣體滅火系統了和七氟丙烷滅火系統。

(根據實際情況說明)

4.1.7、防雷接地措施

主要涉及防雷及接地系統，直擊雷的防護已由大樓整體考慮。電源的感應雷防護在大樓已做了一級防雷，機房接地系統主要涉及機房安全保護地，接地總引下線采用銅排直接與26弱電豎井內銅排對接，實現與大樓地的對接。

(根據實際情況說明)

4.2、網絡與通信現狀

XX單位公司網絡分為“X單位內網”和“X單位外網”， “X單位內網”和“X單位外網”之間采取邏輯隔離。X單位外網網絡中心節點在X單位公司大樓4樓A區，X單位外網采用光纖技術、雙星型網絡結構，利用4M SDH與X單位總局互聯、2M SDH下聯11個地市分公司；X單位內網網絡中心節點在X單位