信息化系统建设安全建设方案
系统安全体系设计
安全体系概述
建设目标
从系统结构角度看，安全系统设计覆盖范围包括：系统的物理环境、网络、操作系统和数据库系统、业务应用、数据保护、运行管理等多个层面。
制定符合本项目系统安全要求的信息安全规范，并据此建立覆盖整个系统的信息中心安全保障体系，包括技术、管理、审计、服务等内容。
建立符合国家和国际标准的信息安全保障体系。
建设符合本项目系统要求的网络信息安全保障体系。
建设原则
1、同步建设原则
在新建改建扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。
2、重点保护原则
根据数据信息和应用系统的重要程度和业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。
3、分区域、分阶段保护原则
根据不同业务的实际情况和各系统的重要程度业务特点和不同发展水平，分类分级分阶段进行实施，通过划分不同的安全区域，实现不同强度的安全保护。
4、节省投资原则
通过多种方案的设计比较，在确保安全的前提下，优先选择节省投资的方案。
5、避免重复建设原则
规划思路要考虑到前期安全建设情况和后期3-5年的发展状况，积极充分利用已有资源和部署，减少系统中的重复建设情况。
6、可扩展原则
针对所有规划方案要依照系统和网络的建设规模情况，具有可扩展性。
7、可实施性强的原则
本次规划立足于可实施的目标，针对所有安全控制措施的部署，一方面要满足安全保护，同时要与实际情况相结合。
信息安全等级保护
建议等保级别定为二级，系统验收时需要提供专业软件安全测评机构出具的测评报告。
根据《中华人民共和国计算机信息系统安全保护条例》对信息系统受到黑客攻击后可能造成的潜在危害的信息安全等级分类标准，我们建议本系统建成后委托专业的信息安全等级保护测评机构对系统进行等级保护。
信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
政策文件
1、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）；
2、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）；
3、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发〔2009〕28号）；
4、《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔2008〕17号）；
5、《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》（国办函〔2008〕168号）。
安全体系总体架构
根据国家安全及项目自身安全要求，对系统设定安全等级，进行安全域的划分，以此为基础深入制定项目安全体系，系统安全规划要求和系统设计同步实施，系统建设过程中考虑系统安全等级保护的要求，需要满足信息安全等级保护2级标准，避免项目建好后出现重大安全隐患及整改情况，参考的整体安全架构如下图所示：

安全措施
物理安全
物理安全由云计算平台提供，不纳入本次建设内容，这里只是做描述。
防火墙
防火墙能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。防火墙不但可以提供基础网络安全功