三级系统等级保护技术建议书

《三级系统等级保护技术建议书》由会员分享，可在线阅读，更多相关《三级系统等级保护技术建议书（60页珍藏版）》请在金锄头文库上搜索。

1、 专业 专注 华为华为三级级等级级保护护建设设技术术建议书议书 专业 专注 专业 专注 目 录录 1概概述 3 2等级级保护实护实施概概述 4 2 1参照标准 4 2 2基本原则 4 2 3角色和职责 5 2 4实施的基本流程 6 3信息系统统安全定级级 8 3 1参照标准 8 3 2定级原理 8 3 2 1信息系统安全保护级别 8 3 2 2信息系统安全保护等级的定级要素 8 3 3信息系统定级阶段的工作流程 9 4信息系统详细设计统详细设计方案 11 4 1安全建设需求分析 11 4 1 1网络结构安全 11 4 1 2边界安全风险与需求分析 11 4 1 3运维风险需求分析 12 4 1

2、 4关键服务器管理风险分析 12 4 1 5关键服务器用户操作管理风险分析 13 4 1 6数据库敏感数据运维风险分析 14 专业 专注 4 1 7 人机 运维操作行为风险综合分析 14 4 2安全管理需求分析 15 4 3整改建议 15 4 4安全保障体系总体建设 16 4 5安全技术体系建设 18 4 5 1建设方案设计原则 18 4 5 2外网安全设计 20 4 5 3内网安全设计 22 4 5 4主机安全体系建设 23 4 5 5应用通信安全体系 24 4 5 6应用数据安全 24 5整改建议议 依据项项目增加内内容 25 5 1 1整改后拓扑 25 5 1 2软硬件新增设备清单 25

3、 5 1 3软硬件产品介绍 25 6三级级等级级保护护基本要求点对对点应应答 25 6 1技术要求 25 6 1 1物理安全 25 6 1 2网络安全 28 6 1 3主机安全 31 6 1 4应用安全 33 专业 专注 6 1 5数据安全 35 7信息系统统安全等级测评级测评 37 7 1参照标准 37 7 2等级测评概述 37 7 3等级测评执行主体 38 7 4等级测评内容 38 7 5等级测评过程 39 7 5 1测评准备活动 40 7 5 2方案编制活动 41 7 5 3现场测评活动 42 7 5 4分析与报告编制活动 43 8信息系统备统备案履行 46 8 1信息安全等级保护备案实

4、施细则 46 专业 专注 1 概概述 需要补充 专业 专注 2 等级级保护实护实施概概述 2 1参参照标标准 等级保护实施过程主要参见 信息安全技术 信息系统安全等级保护实施指 南 其它标准参见国家及行业统一标准 在信息系统总体安全规划 安全设计 与实施 安全运行与维护和信息系统终止等阶段 应按照 GB17859 1999 GB T 22239 2008 GB T20269 2006 GB T20270 2006 和 GB T20271 2006 等技术标准 设计 建设符合信息安全等级保护要求的信息 系统 开展信息系统的运行维护管理工作 计算机信息系统安全保护等级划分准则 信息安全技术 信息系

5、统安全等级保护定级指南 信息安全技术 信息系统安全等级保护基本要求 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评要求 信息安全技术 信息系统安全等级保护测评过程指南 2 2基本原则则 信息系统安全等级保护的核心是对信息系统分等级 按标准进行建设 管 专业 专注 理和监督 信息系统安全等级保护实施过程中应遵循以下基本原则 a 自主保护护原则则 信息系统运营 使用单位及其主管部门按照国家相关法规和标准 自主确 定信息系统的安全保护等级 自行组织实施安全保护 b 重点保护护原则则 根据信息系统的重要程度 业务特点 通过划分不同安全保护等级的信息 系统 实现不同强

6、度的安全保护 集中资源优先保护涉及核心业务或关键信息 资产的信息系统 c 同步建设设原则则 信息系统在新建 改建 扩建时应当同步规划和设计安全方案 投入一定 比例的资金建设信息安全设施 保障信息安全与信息化建设相适应 d 动态调动态调整原则则 要跟踪信息系统的变化情况 调整安全保护措施 由于信息系统的应用类 型 范围等条件的变化及其他原因 安全保护等级需要变更的 应当根据等级 保护的管理规范和技术标准的要求 重新确定信息系统的安全保护等级 根据 信息系统安全保护等级的调整情况 重新实施安全保护 2 3角色和职责职责 信息系统安全等级保护实施过程中涉及的各类角色和职责如下 国国家管理部门门 公安

7、机关负责信息安全等级保护工作的监督 检查 指导 国家保密工作 专业 专注 部门负责等级保护工作中有关保密工作的监督 检查 指导 国家密码管理部 门负责等级保护工作中有关密码工作的监督 检查 指导 涉及其他职能部门 管辖范围的事项 由有关职能部门依照国家法律法规的规定进行管理 国务院 信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间 协调 信息系统统主管部门门 负责依照国家信息安全等级保护的管理规范和技术标准 督促 检查和指 导本行业 本部门或者本地区信息系统运营 使用单位的信息安全等级保护工 作 信息系统统运运营营 使用单单位 负责依照国家信息安全等级保护的管理规范和技术标

8、准 确定其信息系统 的安全保护等级 有主管部门的 应当报其主管部门审核批准 根据已经确定 的安全保护等级 到公安机关办理备案手续 按照国家信息安全等级保护管理 规范和技术标准 进行信息系统安全保护的规划设计 使用符合国家有关规定 满足信息系统安全保护等级需求的信息技术产品和信息安全产品 开展信息系 统安全建设或者改建工作 制定 落实各项安全管理制度 定期对信息系统的 安全状况 安全保护制度及措施的落实情况进行自查 选择符合国家相关规定 的等级测评机构 定期进行等级测评 制定不同等级信息安全事件的响应 处 置预案 对信息系统的信息安全事件分等级进行应急处置 信息安全服务务机构构 负责根据信息系统

9、运营 使用单位的委托 依照国家信息安全等级保护的 专业 专注 管理规范和技术标准 协助信息系统运营 使用单位完成等级保护的相关工作 包括确定其信息系统的安全保护等级 进行安全需求分析 安全总体规划 实 施安全建设和安全改造等 信息安全等级测评级测评机构构 负责根据信息系统运营 使用单位的委托或根据国家管理部门的授权 协 助信息系统运营 使用单位或国家管理部门 按照国家信息安全等级保护的管 理规范和技术标准 对已经完成等级保护建设的信息系统进行等级测评 对信 息安全产品供应商提供的信息安全产品进行安全测评 信息安全产产品供应应商 负责按照国家信息安全等级保护的管理规范和技术标准 开发符合等级保

10、护相关要求的信息安全产品 接受安全测评 按照等级保护相关要求销售信息 安全产品并提供相关服务 2 4实实施的基本流程 信息系统实施等级保护的基本流程参见下图 专业 专注 在安全运行与维护阶段 信息系统因需求变化等原因导致局部调整 而系 统的安全保护等级并未改变 应从安全运行与维护阶段进入安全设计与实施阶 段 重新设计 调整和实施安全措施 确保满足等级保护的要求 但信息系统 发生重大变更导致系统安全保护等级变化时 应从安全运行与维护阶段进入信 息系统定级阶段 重新开始一轮信息安全等级保护的实施过程 专业 专注 3 信息系统统安全定级级 3 1参参照标标准 计算机信息系统安全保护等级划分准则 GB

11、17859 3 2定级级原理 3 2 1 信息系统统安全保护级别护级别 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造 成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产 生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损 害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 3 2 2 信息系统统安全保护护等级级的定

12、级级要素 信息系统的安全保护等级由两个定级要素决定 等级保护对象受到破坏时 所侵害的客体和对客体造成侵害的程度 专业 专注 3 2 2 1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面 a 公民 法人和其他组织的合法权益 b 社会秩序 公共利益 c 国家安全 3 2 2 2 对对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定 由于对客体的侵 害是通过对等级保护对象的破坏实现的 因此 对客体的侵害外在表现为对等 级保护对象的破坏 通过危害方式 危害后果和危害程度加以描述 等级保护 对象受到破坏后对客体造成侵害的程度归结为以下三种 a 造成一般损害 b 造成严

13、重损害 c 造成特别严重损害 3 2 2 3 定级级要素与与等级级的关关系 专业 专注 3 3信息系统统定级阶级阶段的工作流程 信息系统定级阶段的目标是信息系统运营 使用单位按照国家有关管理规 范和 GB T 22240 2008 确定信息系统的安全保护等级 信息系统运营 使 用单位有主管部门的 应当经主管部门审核批准 信息系统定级要先确定好定级对象 然后再根据其系统对国家安全 社会 秩序和公共利益 公民 法人和其他组织的合法权益的危害程度等进行分析 来确定定级对象的安全保护等级 并出具信息系统定级报告 专业 专注 4 信息系统详细设计统详细设计方案 4 1安全建设设需求分析 4 1 1网网络

14、结络结构构安全 网络结构是否合理直接影响着是否能够有效的承载业务需要 因此网络结 构需要具备一定的冗余性 带宽能够满足业务高峰时期数据交换需求 并合理 的划分网段和 VLAN 4 1 2边边界安全风险风险与与需求分析 边界的安全主要包括 边界访问控制 边界入侵防范 边界恶意代码防范方面 4 1 2 1边边界访问访问控制 对于各类边界最基本的安全需求就是访问控制 对进出安全区域边界的数 据信息进行控制 阻止非授权及越权访问 边界的完整性如被破坏则所有控制规则将失去效力 因此需要对内部网络 中出现的内部用户未通过准许私自联到外部网络的行为进行检查 维护边界完 整性 4 1 2 2入侵攻击风险击风险

15、分析 各类网络攻击行为既可能来自于大家公认的互联网等外部网络 在内部也 同样存在 通过安全措施 要实现主动阻断针对信息系统的各种攻击 如病毒 专业 专注 木马 间谍软件 可疑代码 端口扫描 DoS DDoS 等 实现对网络层以及业 务系统的安全防护 保护核心信息资产的免受攻击危害 4 1 2 3恶恶意代码码攻击风险击风险分析 现今 病毒的发展呈现出以下趋势 病毒与黑客程序相结合 蠕虫病毒更加泛滥 目 前计算机病毒的传播途径与过去相比已经发生了很大的变化 更多的以网络 包括 Internet 广域网 局域网 形态进行传播 因此为了安全的防护手段也需以变应变 迫切 需要网关型产品在网络层面对病毒予

16、以查杀 4 1 3运运维风险维风险需求分析 在各种网络信息应用中 服务器都充当了极其重要的角色 如何管理和维护好服务器 如何保证服务器的安全等就成了首先需要解决的问题 面对系统和网络安全性 IT 运维管 理和 IT 内控外审的挑战 管理人员需要有效的技术手段 按照行业标准进行精确管理 事 后追溯审计 实时监控和警报 如何提高系统运维管理水平 满足相关标准要求 防止黑 客的入侵和恶意访问 跟踪服务器上用户行为 降低运维成本 提供控制和审计依据 已 经成为越来越困扰这些企业的问题 4 1 4关关键键服务务器管理风险风险分析 关键服务器所面临的安全风险是多方面的 主要有以下几种现象值得关注 对对服务务器构构成的安全风险风险中 有近 80 是发发生在系统统内内部 服务器的应用相当复杂 维护起来非常困难 当然服务器操作系统也是一样的复杂 配置和管理都需要充足的专业知识 而企业中众多的服务器管理人员的技术水平参差不齐 在管理和维护的过程中 难免会有不当的操作 或是给服务器的安全留下隐患 或是对服 务器运行造成影响 更可怕的还有商业间谍可能伪装成第三方厂商维护人员 从而轻易的 专业 专注 从系统内部