为有力保证事情或工作开展的水平质量,预先制定方案是必不可少的,方案是有很强可操作性的书面计划。方案书写有哪些要求呢?我们怎样才能写好一篇方案呢?接下来小编就给大家介绍一下方案应该怎么去写,我们一起来了解一下吧。
电力系统建设方案篇一
一、指导思想
为贯彻落实国家及省市《中长期教育改革和发展规划纲要》,不断优化学校管理,丰富办学内涵,提升学校品味,满足家庭和社会对优质教育的需求,不断培育、提炼、彰显学校办学特色,进一步提高学校核心竞争力,制定学校特色建设指导方案。
二、特色建设目标
今后的五年,挖掘学校发展潜力,拓展学校发展空间,在名师队伍、教科研、班级文化建设及课程开发商有新突破,并彰显出学校特色。
三、具体目标及主要举措
第一,名师队伍要进一步扩大到各个学科,各个部门,形成精业务、善研究、有特色的骨干教师群体。
1.加强师德建设。全方位开展师德教育活动,让每位教师成为学生健康成长的指导者。坚持师德考核和业务考核并重,把师德考核结果作为教师聘用、评优评先的重要依据。
2.加强教师培训,促进教师专业化发展。学校将以“每人一绝”、“教材解读”为突破口,提升全体教师的专业素质,坚持高起点、高标准、高质量、高水平,对“一绝”训练力求找准优势,加大训练力度,力争每人保证一绝。继续采取“多点联动、研培一体、骨干辐射、全面推进”的校本研修模式,以课堂实践为基本点、专业习练为着眼点、系列培训为积淀点、教科研为提升点、骨干教师为引领点,多渠道开展校本研修活动。
3.做好名师培养工作。建立名优骨干教师培养规划,完善名师培养制度,通过定机制、定任务、定目标、给机会、给平台、给空间,充分培训骨干教师,尤其是抓好第二、第三梯队建设,发挥骨干作用,带动和引领一大批教师快速成长。
第二,构建有特色的教研文化,逐步建立学习型组织。通过学科论坛、同课异构、案例交流、分层教学等方式引导教师树立“问题即课题”、“教学即研究”的思想,使教师都能以研究者的眼光审视、分析和解决在教学实践中遇到的问题,开展有效教学的深入研究。在主题教研、集体备课、教研模式上进行有益探讨,形成优势,形成特色。让教学研究逐渐成为广大教师学习与工作的一种习惯。
第三,将班级特色文化建设打造为学校的精品工程,使每个班级都形成富有个性的班级文化。
通过建设有特色的班级文化,给全体班主任一个展示创新能力与个人才华的“舞台”,给全体学生一个“我们的天地我们做主”的广阔空间,班主任及任课教师要不断创新班级管理方法,拓宽育人渠道,在全校班级推广、升级班级博客这一新型的网络育人平台,建立师生互动、家校联动新通道,拓宽了班级文化建设的辐射面,逐渐形成“一班一品”的班级文化格局。
第四,构建满足学生个性发展需要的特色课程体系。在选修活动课和语文素养提高工程上进行卓有成效的探索实践。
1.发挥学校优势和教师专长,将开设电脑机器人创意、电脑绘画、拼贴艺术、剪纸、版画及各类声乐器乐、语言艺术等选修课,并通过科学设置内容,精心组织活动,实时展示成果,实现创造潜能向现实能力的转换,让每个学生都能体验到成功的快乐。
2.在大阅读特色课程基础上,营造书香氛围,启动语文素养提高工程,通过早读、课前三分钟、写字课、语文素养课等形式,将语文知识积累贯穿于日常的学习过程中,从而让每个孩子都能达到“字写得好,话说得好,文作得好”。
3.通过科技艺术节、读书节等活动为为学生生搭建不同的展现个性特长及创新成果的舞台。
特色学校建设是一个长期的过程,我校将根据学校发展的需要和新的教育形势的要求,继续充实完善特色学校建设的策略和措施,不断把特色学校建设推向新的高度。
电力系统建设方案篇二
首先,继续加强法庭建设,自筹资金40万元,为四个基层法庭的审判庭购买审判台及旁听桌椅,并设计背景墙,铺设地板。
其次,完成机房、审委会以及多功能会议室的改造。进行楼体综合布线,并且完成四个基层法庭和本院的监控系统建设,并对接。实现四级语音联网。
再次,狠抓制度建设,落实奖惩措施。制度是管理的基础,也是管理流程的制定依据。要把现行管理规范和网络运行程序有机结合起来,建章立制,对信息化建设运用规范化,从制度层面对操作运用提出明确要求,为确保当前信息化建设的顺利推进,把各部门和干警支持、协助法院信息化建设作为重要的考核指标,纳入各庭室的年终目标考核,并实行“一票否决”。信息化网络建成后,将建立完善案件立案、审理、执行期限和审判监督,后勤管理、车辆管理、人事管理、业务协作、社会服务等各项具体考核指标,按照平常个人业绩录入的基本数据,从流程管理中考核、考评干警中的成绩或错误等数据,进行量化考核,并记录到个人档案。
根据讷河市委政法委信息化建设的总要求,结合审判管理工作的实际,对现代化信息管理,最终实现“无纸化办案”,讷河市法院有一个初步构想。即:依托一个平台,围绕一个中心,实现四大目标,结合讷河市法院的大工作特色,把信访、执行、审判无缝式连接,力争通过一年的努力实现上述目标,使讷河市法院的信息化水平达到全省一流。
电力系统建设方案篇三
(2)建成xx省领先、xx地区具引领和示范效应的“生物科学”师范专业;
(5)构建科学管理、高效运转的基础实验平台、技术实验平台和综合实验平台;
(7)建立10个以上稳定的教育实习和专业实习基地;
(8)建立完善的教学质量评估体系和学校—用人单位信息反馈机制。
电力系统建设方案篇四
;等保2.0网络安全建设方案
*
遵守所有适用的版权法律是用户的责任。在不对版权法所规定的权利加以限制的情况下,如未得到xxx明确的书面许可,不得为任何目的、以任何形式或手段复制、传播本文的任何部分,也不得将其存储或引入到检索系统中。xxx拥有本文档主题涉及到的专利、专利申请、商标、版权或其他知识产权。除非在xxx的任何书面许可协议中明确表述,否则获得本文档不代表您将同时获得这些专利、商标、版权或其它知识产权的许可证。
目录
目录 (3)
1 安全建设思路 (1)
1.1建设流程 (1)
1.2参考标准 (1)
2 安全现状分析及建设目标 (2)
2.1网络安全现状 (2)
2.2系统定级情况 (3)
2.3安全建设目标 (3)
3 安全需求分析 (3)
3.1网络和系统自身安全需求 (3)
3.1.1边界安全需求 (3)
3.1.2入侵防御安全需求 (4)
3.1.3应用与数据安全需求 (4)
3.1.4其他安全需求(云计算扩展) (5)
3.2网络安全等级保护需求分析 (5)
3.2.1网络安全等级保护安全通用要求 (5)
3.2.1.1 安全物理环境需求 (5)
3.2.1.2 安全通信网络需求 (6)
3.2.1.3 安全区域边界需求 (6)
3.2.1.4 安全计算环境需求 (7)
3.2.1.5 安全管理中心需求 (7)
3.2.2云计算安全扩展需求 (8)
3.2.2.1 安全物理环境需求 (8)
3.2.2.2 安全通信网络需求 (8)
3.2.2.3 安全区域边界需求 (8)
3.2.2.4 安全计算环境需求 (8)
3.2.2.5 安全管理中心需求 (8)
3.2.2.6 安全建设管理需求 (9)
3.2.2.7 安全运维管理需求 (9)
4 总体方案设计 (9)
4.1方案设计目标 (9)
4.2方案设计原则 (9)
4.2.1合规性原则 (9)
4.2.2先进性原则 (10)
4.2.3可靠性原则 (10)
4.2.4可扩展性原则 (10)
4.2.5开放兼容性原则 (10)
4.2.6最小授权原则 (10)
4.2.7经济性原则 (10)
4.3总体设计网络拓扑 (11)
4.3.1安全分区分域设计 (11)
4.3.2安全域的定义 (11)
4.3.2.1 划分原则 (12)
4.3.3安全域划分情况 (13)
4.3.4部署说明 (14)
5 安全通用要求建设方案 (15)
5.1安全物理环境建设 (15)
5.2安全通信网络及区域边界建设 (15)
5.2.1边界防护建设方案 (15)
5.2.1.3 符合性分析 (17)
5.2.2入侵防范建设方案 (18)
5.2.2.1 建设方案 (18)
5.2.2.2 产品介绍 (19)
5.2.2.3 符合性分析 (20)
5.2.3安全审计建设方案 (21)
5.2.3.1 建设方案 (21)
5.2.3.2 产品介绍 (21)
5.2.3.3 符合性分析 (22)
5.3安全计算环境建设 (22)
5.3.1访问控制及安全审计建设方案 (22)
5.3.1.1 建设方案 (22)
5.3.1.2 产品介绍 (23)
5.3.1.3 符合性分析 (23)
5.3.2入侵防范建设方案 (24)
5.3.2.1 建设方案 (24)
5.3.2.2 产品介绍 (25)
5.3.2.3 符合性分析 (26)
5.3.3数据安全建设方案 (27)
5.3.3.1 建设方案 (27)
5.3.3.2 产品介绍 (27)
5.3.3.3 符合性分析 (28)
5.4安全管理中心建设 (28)
5.4.1.1 建设方案 (28)
5.4.1.2 产品介绍 (29)
5.4.1.3 符合性分析 (31)
5.5安全管理制度建设 (32)
5.5.1安全策略 (32)
5.5.2管理制度 (32)
5.5.2.1 技术标准和规范 (32)
5.5.2.2 管理制度和规定 (32)
5.5.2.3 组织机构和人员职责 (33)
5.5.3制定和发布 (33)
5.5.4评审和修订 (33)
5.6安全管理机构 (34)
5.6.1岗位设置 (34)
5.6.2人员配备 (34)
5.6.3授权和审批 (35)
5.6.4沟通和合作 (35)
5.6.5审核和核查 (35)
5.7安全管理人员 (35)
5.7.1人员录用 (35)
5.7.2人员离岗 (36)
5.7.3安全意识教育和培训 (36)
5.7.4外部人员访问管理 (36)
5.8安全建设管理 (36)
5.9安全运维管理 (36)
5.9.1环境管理 (36)
5.9.2资产管理 (37)
5.9.3介质管理 (37)
5.9.4设备维护管理 (37)
5.9.5漏洞和风险管理 (37)
5.9.6网络和系统安全管理 (38)
5.9.7恶意代码防范管理 (38)
5.9.8配置管理 (38)
5.9.9密码管理 (38)
5.9.12安全事件处置 (39)
5.9.13应急预案管理 (39)
5.9.14外包运维管理 (40)
6 云计算安全扩展建设方案 (40)
6.1安全物理环境建设 (40)
6.2安全通信网络建设 (40)
6.3安全计算环境建设 (41)
6.4安全管理中心建设 (42)
6.5安全建设管理建设 (42)
6.5.1云服务商选择 (42)
6.5.2供应链管理 (42)
6.6安全运维管理建设 (42)
7 产品清单 (43)
1 安全建设思路
1.1 建设流程
对xxx卫健委实施等级保护的设计与实施通过以下步骤进行:
卫健委定级:通过对分析xxx卫健委的包括行业特征、主管机构、业务范围等在内的基本情况,系统管理框架情况,网络及设备部署情况,业务种类及特性情况,处理的信息资产情况,用户范围及用户类别等相关情况,从而了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为总体安全规划提供依据。
2.总体安全规划:此步骤的目标是根据xxx卫健委的系统定级、划分以及业务承载情况,通过分析明确该系统的安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定安全实施计划,以指导后续的该系统安全建设工程实施。在此步骤中分为三个主要工作流程:安全需求分析、总体安全设计、安全建设项目规划。
3.安全设计与实施:此步骤的目的是按照xxx卫健委安全总体方案的要求,结合安全建设项目计划,分期分步落实安全措施。在此步骤中,工作流程主要分为安全方案管理措施、技术措施的详细设计以及管理措施、技术措施的落实。
4.安全运行与维护:安全运行与维护是等级保护实施过程中确保xxx卫健委的系统正常运行的必要环节,涉及的内容包括安全运行与维护机制的建立,环境、资产、设备、介质的管理,系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。在此对上述管理过程不做赘述。
5.信息系统终止:此步骤是等级保护实施过程中的最后环节,当系统转移、废弃或终止时正确处理系统内的敏感信息对于确保机构信息资产是至关重要的。主要过程包括:信息转移、暂存和清除,设备迁移或废弃;存储介质的清除或销毁。
关于以上实施步骤详细信息请参阅《网络安全等级保护实施指南》。
1.2 参考标准
xxx卫健委第三级等级保护建设严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求,紧紧围绕国家信息安全发展战略进行规划设计。下列所参考相关标准文件对于本方案的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本方案。
国家相关文件及法律政策:
《网络安全等级保护条例》
《中华人民共和国网络安全法》
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发[2015]5号)
《国务院关于印发“十三五”国家信息化规划的通知》(国发[2016]73号)
《国务院关于加强质量认证体系建设促进全面质量管理的意见》(国发[2018]3号)
《“健康中国2030”规划纲要》
《“十三五”深化医药卫生体制改革规划》
《“十三五”全国人口健康信息化发展规划》
《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》
《国务院办公厅关于促进”互联网+医疗健康“发展的意见》
安徽省相关文件及法律政策:
《安徽省人民政府关于印发安徽省“十三五”卫生与健康规划的通知》
《安徽省人民政府办公厅关于全面推进县域医疗共同体建设的意见》
《2018年全省卫生计生规划与信息工作要点》
《安徽省人民政府办公厅关于促进“互联网+医疗健康”发展的实施意见》
国信安标委组织制定的国家标准:
国际标准
iso17799/bs7799:《信息安全管理惯例》
iso/iec 27000 系列
iatf:《信息保障技术框架》
iso/iec 15408(cc):《信息技术安全评估准则》
2 安全现状分析及建设目标
2.1 网络安全现状
不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。对被定义成国家关键信息基础设施的网络、业务系统等安全性提出了更高的要求,其依据是《网络安全法》,xxx卫健委单位需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,积极改进。
2.2 系统定级情况
依据《信息安全技术网络安全等级保护基本要求》(gb/t22239-2019)(即等保 2.0)相关定级要素以作为参照,结合xxx卫健委网络现状、业务运营状况,在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,安全等级也定为三级,需要分别进行相应等级的安全防护建设。
2.3 安全建设目标
加强网络安全建设的信息安全风险评估和测评工作机制、信息安全通报和检查机制、信息安全应急处理协调机制、信息安全综合管理和监督机制的四项安全保障机制的建设。坚持积极防御、综合防范,科学、有效、适中地实现信息系统的安全,确保系统安全、稳定、可靠运行,能够提抵御较强恶意攻击,为实现总体目标提供安全保障。
3 安全需求分析
3.1 网络和系统自身安全需求
3.1.1 边界安全需求
随着网络技术的不断发展,网络边界作为不同区域间的“围墙”,其安全性极其重要,需要对其进行有效的管理和控制。如果恶意用户通过非法手段获取到某个区域的主机操作权限,就可能威胁到同一区域中所有服务器存储的数据安全,甚至会威胁到整网的网络安全。因此,需要采取一定的技术手段实现不同区域间的安全访问控制,把可能的安全风险控制在相对独立的区域内,避免安全风险向整网扩散。
因此,需要设计和部署防火墙等网络安全防护措施,为系统的基础网络和通信网络安全提供技术保障。在防护措施上我们采用可信网络连接机制,对检验连接到通信网络的设备进行可信,以防止非法接入设备。基础网络安全设备性能要满足与网络相匹配的性能的需求,可以实现随着业务发展需要,灵活的扩减防火墙、入侵防御等安全功能,实现安全和网络设备高度融合。
虚拟化技术是云计算的关键技术,云计算通过虚拟化技术将分布式的物理和数字资源进行虚拟化,统一存放在数据中心,同时服务器虚拟化,终端用户数量非常庞大,共享的数据存放分散,无法像传统网络那样清楚的定义安全边界和保护措施。
如果恶意用户通过非法手段获取到虚拟机的操作权限,就可能威胁到同一台物理服务器中所有虚拟机中存储数据的安全。因此,需要采取一定的技术实现同一物理主机各虚拟机之间以及不同物理机之间的有效隔离是不可或缺的。
同时,由于云服务器分布于各个地区,通过网络进行连接,云平台必然会面临较大的网络风险,对此,需要设计和部署防火墙等网络安全防护措施,为系统的基础网络和通信网络安全提供技术保障。
在防护措施上我们采用可信网络连接机制,对检验连接到通信网络的设备进行可信,以防止非法接入设备。基础网络安全设备性能要满足与网络相匹配的性能的需求,可以实现随着业务发展需要,灵活的扩减防火墙、入侵防御等安全功能,实现安全和网络设备高度融合。
3.1.2 入侵防御安全需求
很多业务系统集中了用户、信息资源等一些重要信息,所以极易成为黑客攻击的目标。近几年来,世界各国也频频出现黑客攻击各大公司和政府机关的平台,盗取信息和篡改安全信息的事件发生,黑客通过一系列攻击手段窃取用户信息,用于不法之途,极大的损害了用户的利益。然而传统的特征库判别法的杀毒软件已无法有效确保业务系统的安全,因此入侵防御以及入侵检测显得更加重要。
在防护措施上可以通过入侵防御模块,实现对应用层的防御,能够阻止蠕虫、木马、病毒、拒绝服务供给、间谍软件、voip攻击以及点到点应用滥用。通过深达第七层的流量侦测,发生损失之前阻断恶意流量,保证业务系统内部的应用层免受外部攻击。
3.1.3 应用与数据安全需求
对xxx卫健委来讲,运行在网络上的各种网络服务器构成了最重要的信息资产之一,如何确保这些重要的网络服务器能够稳定、可靠、安全地运行,是保证各项业务正常开展的基础。一般来讲,网络服务器所面临的主要安全风险包括非法访问、合法用户误用、滥用、数据泄露、篡改等。在数据传输的过程中面临着以下问题:
1.在数据传输过程中,由于数据加密不严或者其它原因被第三方窃取或者篡改;
2.数据在存储时,如何通过合理的访问权限分配,保证用户访问的合法性,同时还需要保证能够随时对这些数据进行高效、安全的访问。
针对xxx卫健委面临的数据风险,可以通过数据加密、备份等机制保证数据传输和存储的安全性以及可靠性。
3.1.4 其他安全需求(云计算扩展)
在安全物理环境需求方面,针对云计算平台面临的人员风险和基础设施风险,通过部署物理防护措施,并结合一定的安全管理机制,提高云计算平台的物理安全防护能力。
基于云计算的虚拟化特性,云计算数据中心内部的建设,采用vxlan和分布式虚拟交换机等技术,通过虚拟化实例间的逻辑划分,实现不同用户系统、网络和数据的安全隔离。虚拟化技术作为实现云计算服务的基础技术,在应用虚拟化技术的过程中,需要全面监控、调度和隔离物理服务器以及同一物理服务器中的各虚拟服务器,降低虚拟化风险对数据安全的影响。采用虚拟防火墙和虚拟设备管理软件为虚拟机环境部署安全防护策略,采用防恶意软件,建立补丁管理和版本管理机制,及时防范因虚拟化带来的潜在安全隐患。
在运维管理安全需求方面,为实现用户分级管理和用户鉴权管理。每个虚拟设备都应具备独立的管理员权限,实现用户的分级管理,不同的级别具有不同的管理权限和访问权限。支持用户标识和用户鉴别,采用受安全管理中心控制的令牌、口令及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份的鉴别,对鉴别数据进行保密性和完整性保护。
3.2 网络安全等级保护需求分析
尽管云平台中引入了虚拟化等新兴技术,其运营模式也从出租机房进化到出租虚拟资源、乃至出租服务,但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维,此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发。从技术和管理两个层面全方位保护云计算中心的信息安全,全生命周期保证云计算中心的安全建设符合等保要求,将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求。做到等保成果的可视化,做到安全工作的持久化。
3.2.1 网络安全等级保护安全通用要求
3.2.1.1 安全物理环境需求
破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。
物理层考虑因素包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境。该层为上层提供了一个生成、处理、存储和传输数据的物理媒体。物理和环境安全主要考虑如下方面的内容:
?物理位置的选择
?物理访问控制
?防盗窃和防破坏
?防雷击
?防火
?防水和防潮
?防静电
?温湿度控制
?电力供应
?电磁防护
3.2.1.2 安全通信网络需求
网络层指利用路由器、交换机和相关网络设备建成的、可以用于在本地或远程传输数据的网络环境,是应用安全运行的基础设施之一,是保证应用安全运行的关键,也是实现内部纵向交互、与其它单位横向交流的重要保证。
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。现有的大部分攻击行为,包括病毒、蠕虫、远程溢出、口令猜测等攻击行为,都可以通过网络实现。通信网络安全主要考虑如下方面的内容:
?网络架构
?通信传输
?可信验证
3.2.1.3 安全区域边界需求
?访问控制
?入侵防范
?恶意代码和垃圾邮件防范
?安全审计
?可信验证
3.2.1.4 安全计算环境需求
计算环境安全包括各类服务器、终端和其他办公设备操作系统层面的安全风险以及数据所面临的安全威胁。计算环境面临的安全风险主要来自两个方面,一方面来自系统本身的脆弱性,另一方面来自对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发的可能;对于用户而言,数据才是真正至关重要的。数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。计算环境安全主要考虑如下方面的内容:
?身份鉴别
?访问控制
?安全审计
?入侵防范
?恶意代码防范
?可信验证
?数据完整性
?数据保密性
?数据备份恢复
?剩余信息保护
?个人信息保护
3.2.1.5 安全管理中心需求
在网络安全建设中部署了大量的防火墙、入侵防御、漏扫等安全设备后,并没有达到大幅度提升安全防护能力的目的。大量的安全警告、漏报、误报、简答而意义表达不清的告警等,这样的问题依然会困扰着用户。这就衍生出了管理中心,通过一个产品或体系,能够综合管理所有的安全产品,融入到统一的管理界面,统一所有的安全告警信息进行集中处理。对于管理中心的安全,主要考虑以下四个方面:
?系统管理
?审计管理
?安全管理
?集中管控
3.2.2 云计算安全扩展需求
3.2.2.1 安全物理环境需求
应确保云计算基础设施位于中国境内。
3.2.2.2 安全通信网络需求
由于云平台内部运行的是虚拟化网络,而且在云平台上承载着对多个云服务客户多种业务应用系统,因此,对云平台的虚拟网络的以及云平台提供的服务的安全能力也做出了要求。
3.2.2.3 安全区域边界需求
同一个平云台,需要服务的云服务客户有多个,而一个云服务客户可能会有多个业务系统运行在云端,因此对云平台的边界安全提出了新的要求:
?访问控制
?入侵防范
?安全审计
3.2.2.4 安全计算环境需求
云平台自身提供虚拟计算、虚拟存储以及系统镜像等功能;在云平台上除了考虑传统的数据保密性、完整性等安全需求之外,还得结合虚机迁移、虚机新建/销毁等场景下的应用和数据安全,考虑这些虚拟环境背景下对如下方面的安全需求:
?身份鉴别
?访问控制
?入侵防范
?镜像和快照保护
?数据完整性和保密性
?数据备份恢复
?剩余信息保护
3.2.2.5 安全管理中心需求
在云环境下,资源池管理技术主要实现对物理资源、虚拟资源的统一管理,并根据云服务客户需求实现虚拟资源(虚拟机、虚拟存储空间、虚拟安全设备等)的自动化生成、分配、回收和迁移,用以支持用户对资源弹性需求。同时,虚拟化环境中各类资产往往由同一管理员负责,可能导致管理员权限过于集中的风险,因此对于管理员的操作审计和行为规范都提出了很高的要求。
3.2.2.6 安全建设管理需求
云平台的建设涉及云服务商的选择和供应链的管理,故对云服务商和供应链有一定要求。
3.2.2.7 安全运维管理需求
云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。
4 总体方案设计
4.1 方案设计目标
落实等保2.0安全建设要求,在安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
在技术层面通过满足网络和业务系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求进行技术体系建设;让网络和业务系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面提供业务服务,形成立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
在管理层面通过满足安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的基本要求进行管理体系建设,提高用户信息安全意识以及信息安全管理水平,增强组织抵御灾难性事件的能力,将大大提高信息管理工作的安全性和可靠性,有效提高对信息安全风险的管控能力。
4.2 方案设计原则
4.2.1 合规性原则
2016年11月7日全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,其中第二十一条规定“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度的重要举措,并于2017年6月1日起正式实施。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和政府行业信息安全体系建设有效结合,设计一套符合需求的信息安全保障体系,是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。
4.2.2 先进性原则
安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
4.2.3 可靠性原则
网络是信息化发展的基础,其稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。
4.2.4 可扩展性原则
信息网络处在不断发展完善的阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全域的新增以及原有安全域扩充等要求具有良好的支持。
4.2.5 开放兼容性原则
网络安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
4.2.6 最小授权原则
网络安全策略管理必须遵从最小授权原则,即不同安全域内的主机只能访问属于相应的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
4.2.7 经济性原则
项目设计和建设过程中,将充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。
4.3 总体设计网络拓扑
图4.1整体网络拓扑(根据实际情况修改)
4.3.1 安全分区分域设计
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。在安全防护领域,对网络系统进行分区分域进行防护是常规的做法。
4.3.2 安全域的定义
安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的it要素的集合。
对安全域的划分应注意以下要点:
安全域由一组it要素组成。这些it要素包括但不限于物理环境、网络设备/区域、主机、终端、系统、数据/信息、业务、流程、策略、人员/组织等等。从技术角度上看,这些it要素可表现为物理层、网络层、应用层通信实体,如设备、主机、系统、应用程序、进程等;从管理角度上看,这些it要素可表现为人员、组织等。
工作环境是指it要素所在的内部和外部环境,这一工作环境可以是但不限于物理环境、信息系统、具体的业务数据流程、会话、进程等等。
机密性、完整性、可用性等等安全属性的要求,保障it要素关联行为可控性、可稽核性、可用性、机密性、完整性等等安全属性的要求。安全保护需求的内容可来自标准规范、法律法规、业务要求、安全风险评估等方面,且服从于信息系统的安全保护目的和目标。it要素的安全保护需求会因其在信息系统或者安全体系架构中的位置、承担的业务功能、作用的不同而有所区别。保护策略是指为降低和控制it要素及其关联行为所面临的信息安全风险所采取的风险处置方法、控制要求、控制目标、控制措施等综合体。单位组织对风险的控制包括多个方面,如物理访问、网络访问、系统管理维护、系统开发、测量评价、监控审计等等。属于同一个安全域的it 要素具有相同或相似的安全保护需求和安全保护策略。从安全域的角度可以将保护策略分为安全域的内部保护策略和边界保护策略。
在同一安全域内的it要素应是互相信任的。信任指it要素相互作用并保持其应有的(根据it要素的安全要求和安全保护策略而应具备的)机密性、完整性、可用性、可控性、可稽核性等安全属性的能力。如果具有相同安全要求和安全保护策略,并能够保持各it要素完整性、机密性、可用性、可控性、可稽核性等安全属性的能力,则这些it要素应属于同一个安全域。
在同一安全域内的it要素是相互作用、相互关联的,是具有内部本质联系的,是结构化,而不是松散地结合在一起的。
4.3.2.1 划分原则
在按照安全域设计指导思想和安全域的设计原理进行安全域划分时,为了保证安全域划分的简单、实用、实效,应遵循以下原则:
?基于并优化系统结构原则
安全域的划分应基于系统结构,与系统的系统架构、应用结构、网络结构相适应、相匹配,但又不局限于系统结构,是系统结构现状的基础上对系统架构、应用结构、网络结构的简化、优化和规范。
?保障性能和有效隔离原则
安全域划分应以不影响或损害业务信息系统的业务功能、性能为首先原则,在保证业务的性能的基础上对系统进行安全域划分、进行有效地隔离和安全防护。
?简洁并规范原则
安全域划分的简洁把握三个方面:一个安全域功能和边界通信的简洁,二是安全域之间关系(相连互通或隔离)的间接,三是系统安全域整体结构的简洁。这就要求安全域不可分的太细,也不可分的太粗,要适度,要保持整体上的简洁。
同时,安全域的划分应科学、规范,不仅要方法和过程规范,而且要结果规范。
?最小影响原则
网络、应用进行大量的改动,最小化对系统的影响。
?系统性和整体性原则
对于安全域划分,不仅要关注本系统自身,而且要关注系统地外部环境,采用系统性、整体性的观点的看待本系统与外部环境。即关注本系统内部的数据流和数据处理活动的安全,又关注系统的外部用户、公共用户及跨越系统边界的数据流和数据处理活动的安全。
安全域的划分结果应是结构化的,应是有机联系的一个整体,易于构成纵深的安全防护技术体系,保障系统整体业务的安全。
?与组织管理架构相适应的原则
安全域的划分应与信息系统的管理组织架构相适应,原则由一个机构管理的信息系统部分应为一个或几个安全域。另外,一个安全域应由一个部门来管理,而不应涉及两个部门。
?与系统发展相适应的原则
安全域的划分应考虑到业务未来发展需要,在保持系统安全域模型相对稳定的前提下,能够顺利地进行调整、扩展和提升。
4.3.3 安全域划分情况
建议用户单位对整个网络采用分区分域的模块化架构设计方法,清晰定义和区分不同的功能区域,将基础网络平台划分为不同的功能区域,部署不同的应用,使网络架构具有可扩展性、灵活性、高可用性和高安全性。
每一个功能区域按照网络分层设计方法进行层次化、结构化设计,保障各区域网络在每个层次上的平滑扩展,实现各个区域在服务功能、网络规模上的扩展能力。并且分区分域后,每个功能区域都可以根据自己业务的特点部署针对性的安全措施,可以有效提升区域安全度,从而根本上提升整个网络的网络安全等级,满足等保三级对网络安全方面的要求。
在本方案中将用户内网域按照等保三级要求,结合信息系统安全现状,划分为四个安全域,即:边界接入域、网络基础设施域、计算环境域以及支撑性设施域。在每个安全域分别划分对应分区:边界接入域包括互联网接入区、dmz接入区、外联网接入区、内联网接入区、内部网接入区;网络基础设施域包括接入层、分布层、核心区;计算环境域设有一般服务区、重要服务区、核心服务区以及云平台应用区;支撑性设施域包括安全系统、网关系统、其他支撑系统。
图4.3安全域划分(根据实际情况修改)
4.3.4 部署说明
根据总体设计网络拓扑图所示,为了满足三级等保定级需求,具体部署方式如下:
?网络基础设施域:
融合交换网关2台:作为核心交换机(配置端口镜像);
入侵防御板卡2块:插卡形态部署在融合交换网关上,并开启防病毒功能;
web应用防护板卡2块:插卡形态部署在融合交换网关上;
?边界接入域:
网络防病毒软件:部署在主机终端上;
终端安全管理系统1套,软件平台;
?支撑性建设域:
堡垒机1台:旁路部署在汇聚交换机上(核心交换机配置acl);
漏洞扫描1台:在安全管理区部署,进行全网漏洞检查和管理;
计。
?计算环境域:
防火墙2台:透明串联部署边界处,对来自内网各区域的访问和流量进行控制;
入侵防御2台:透明串联部署边界处,并开启防病毒功能。
5 安全通用要求建设方案
5.1 安全物理环境建设
安全物理环境的建设可分为技术和管理两个方面。在技术层面,应采取电子门禁、监控报警系统等技术措施,在管理层面,应在专业安全厂商的指导下,制定机房维护管理、出入登记申报等制度。技术措施主要包括如下几个方面:
?重要区域配置电子门禁系统,从物理层面实现访问控制
?在条件允许的情况下,配备光、电等机房防盗报警系统
?在条件允许的情况下,机房、设备配备相应防雷击措施
?对重要设备采取区域隔离防火措施,并与其他设备在物理上隔离开
?安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
?主要设备采用必要的接地防静电措施,如防静电手环或防静电工作服等
?设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内
综上所述,物理安全建设需要考虑物理物理环境安全评估、机房安全设施补足、物理安全管理咨询等相关工作。机房安全设施补足可通过设备采购项目予以完善,安全评估、咨询工作可通过专业安全厂商的安全服务项目予以执行。
5.2 安全通信网络及区域边界建设
5.2.1 边界防护建设方案
5.2.1.1 建设方案
网络通信
在网络中通过路由器、防火墙等设备实现网络区域的划分,实现对不同区域的分区分域管理,实现安全隔离。通过在互联网出口部署vpn设备,通过ipsec等加密技术及校验技术,实现分支或移动人员在访问公司资源时,数据传输过程中的保密性及完整性。此外,网络设备需要具有高性能的特性,满足业务高峰期需求,关键计算设备需要硬件冗余,保证系统的可靠性。
应具备且不限于以下功能:
?基于端口/协议/子网和mac的vlan划分
?支持ipsec、ssl、l2tp、gre等多种vpn技术,支持国密算法
边界防护完整性防护
在接入层通过对接入的终端进行身份验证,对接入内网的非授权的终端进行检查和限制,终端类型应包括电脑、手机等智能终端,以及摄像头、打印机等哑终端。通过检测设备,对非授权的终端非法访问互联网的行为进行检查和限制,并且,在专网中能够检测出具备访问互联网能力但还未访问互联网的设备。综上,对非法终端和非法行为应能精准溯源,责任到人。
应具备且不限于以下功能:
5.2.1.2 产品介绍
防火墙
?可根据数据包的源地址、目标地址、安全区域、协议类型、源mac地址、目的mac地址等元素对数据包进行访问控制。
?支持双机状态热备、静默双机、vrrp多主等多种模式,关键部件冗余及热插拔
?支持ipv4/ipv6,支持nat66、nat64、nat46
?支持静态路由、策略路由、rip v1/2、ospf、bgp等多种路由协议
?支持路由模式、透明模式、混合模式等部署方式
慧眼安全检测平台
?漏洞自动化验证:模拟人工渗透方式对漏洞进行验证,自动判断漏洞的真实性
预防出现跨网信息交互事件
智能安全网关(vpn1000)
?支持集中管控功能,对分支机构vpn设备统一管理
?支持ipsec、ssl、l2tp、gre等多种vpn技术,支持国密算法
?支持高密接口、poe、3g/4g上网,集成无线控制器
?支持负载均衡功能,提升多链路资源的带宽利用率
se自安全交换机+inac自安全控制器
?支持基于ip、用户、用户组的权限管理
?可智能识别网络种的摄像头、打印机等终端并提供安全防护
?支持横向流量的白名单控制及纵向流量的黑名单控制
?支持基于流量模型、行为模型的异常行为识别的告警和阻断
?整网用户身份随行,支持接入终端识别、精确用户位置定位、实现用户行为的整网回溯
5.2.1.3 符合性分析
按照《网络安全等级保护基本要求》进行整改,使系统达到访问控制等相关要求。
节和相关要求项,具体内容见以下图表所示:
对应等级保护中的控制点:
5.2.2 入侵防范建设方案
5.2.2.1 建设方案
在网络关键节点处(节点包括网络边界、接入层、汇聚层等),通过网络安全设备对内部/外部发起的攻击行为进行检测、组织或限制,并能够对新型的网络攻击行为进行分析,记录攻击源ip、攻击类型、攻击目标,攻击时间等信息。
应具备且不限于以下功能:
?在网络边界处对恶意代码进行检测和清除
?应维护恶意代码库的升级和检测系统的更新
?无论攻击是从内部还是外部发起,都应能够检测并及时阻断
5.2.2.2 产品介绍
入侵防御系统
?支持对缓冲溢出攻击、蠕虫、木马、病毒sql注入、恶意代码、网络钓鱼、暴力破解、弱口令
电力系统建设方案篇五
按照360学时的总课时设置如下课程:
(一)教育教学理论学习与研修(120课时)
1、现代教育理念:学习和讨论现代教育理念的基本观点,现代教育理念与传统教育理念的区别,怎样用现代教育理念来指导教育教学实践等问题。
2、基础教育课程改革的目标与特色:学习和讨论基础教育课程改革的核心理念、具体目标、主要特色和新课程与教师专业发展的关系。
4、教师成长与教师专业发展:教师成长的动力、阶段、过程和影响因素以及教师专业发展的内涵、意义和历史进程。
5、师德修养概论:师德修养的内涵、形成过程和师德修养在教书育人中的重要作用。
6、教育政策与教育法规:对重要的教育政策和教育法规的解读,重点解读《教师法》和重新修订的《义务教育法》。
7、教学设计与教学反思:教学设计的涵义、特征、层次和不同的教学设计观以及教学反思的涵义、过程、成分和方法。
8、师生健康心态与心理调适:开展教师职业倦怠感和学生心理问题方面的心理健康知识专题讲座。
9、教育科学研究方法:教育科学研究的对象、类别和方法,教育科学研究的选题、设计与实施,如何开展教育调查研究、教育实验研究和教育行动研究。
10、班主任与学生工作:班主任职责,班级管理与活动设计,留守学生教育,学校、家庭、社会教育力量整合与家庭教育指导。
电力系统建设方案篇六
(1)积极与政府商务局、发改委、开发区等相关部门加强联系,及时了解招商引资情况,提前介入,做好工商登记法律、法规的宣传咨询。
(2)对签约落户的项目,指定专人负责办理审批中的法律法规咨询、协调联系、材料审核等事宜,积极协助投资者办理企业注册登记。
( 3)对有特殊要求的重大项目,只要主要材料符合要求的,可实行急事急办、特事特办,允许先行颁发执照,再行补充其他资料。
(4)对登记时有特殊需求的重大产业项目,实行“5+2”工作日制度,不论节假日均可通过“创业服务热线”实行预约登记服务。
(5)放宽企业名称登记条件,允许企业在名称中直接使用“国际贸易”、“国际技术贸易”、“对外进出口”等行业用语。对政府重点招商项目,允许企业使用不含“字号”的企业名称。支持具有较大规模的农民专业合作社冠省名,由当地登记机关受理后报省工商局核准。知名企业以控股形式来宜投资的,允许新办企业名称前冠以控股企业行政区划和字号。
(6)积极支持企业组建集团,只要核心企业注册资本达到1000万元,有3家子公司,母子公司的合并注册资本3000 万元,要求办理集团登记的,即可及时提供上门服务。
(7)支持外商投资企业增加注册资本,新增注册资本后的非货币财产出资比例可以不受限制。
(8)按照《股权出资登记管理办法》的规定,对企业以股权出资,再行设立配套企业,及时提供帮助,支持企业做大做强。
(9)允许公司债权转股权登记,公司股东及拟转股方只要同意,均可将享有的公司债权转作股权作为对公司的出资。
(10)根据《工商行政管理机关股权出质登记办法》,免费为企业办理股权出质登记,为企业贷款融资拓宽渠道。
电力系统建设方案篇七
幼儿园进行信息技术与课堂教学整合,形成新技术、新媒体在课堂教学中的应用案例,推广在课堂教学过程中有效应用信息技术的成功经验。
(二)信息技术支持下的教师专业发展
教师积极开展集体备课、观课评课、专题讨论、专题报告等研修活动,利用多媒体技术开展说课标、说教材、说课、评选应用新星等研修活动。
(三)学校管理信息化
实现无纸化办公,提高工作效率,树立学校形象。
电力系统建设方案篇八
1、我校现有多媒体教室2个,多媒体移动电教车9部,信息技术教室2个,电子备课室1个。学校现已实现无线网络覆盖。各教室没有固定的多媒体教学设备。
2、学校初步建立了一系列的信息化管理制度,如:《天津市第六十六中学信息技术教室管理制度》、《天津市第六十六中学多媒体教室管理制度》、《天津市第六十六中学多媒体设备登记使用制度》。
3、学校的办公自动化建设已经全面启动,正在努力形成体系完备、管理科学、资源共享的教育教学资源库。
电力系统建设方案篇九
随着经济的发展,流动人口大大增加,免疫接种的管理难度越来越大,尤其是各接种点之间的资料无法共享,儿童异地接种不便,接种门诊儿童接种数据的登记、报表的统计汇总,监督考核的各项管理工作全面滞后。改革目前的儿童免疫接种管理模式,利用先进的计算机管理软件和网络技术,免疫接种档案信息实行网络管理已势在必行。