三级等保安全解决方案

《三级等保安全解决方案》由会员分享，可在线阅读，更多相关《三级等保安全解决方案（53页珍藏版）》请在金锄头文库上搜索。

1、 安全整体解决方案三级等保整体解决方案北京aa软件股份有限公司2017年 - 54目 录第一章 前言41.1 公司简介41.2 适用范围41.3 规划目标与依据51.3.1 建设目标51.3.2 规划原则61.3.3 规划依据71.3.4 安全框架8第二章 系统定级与安全域102.1 系统定级102.1.1 不同等级的安全保护能力102.1.2 重要信息系统112.1.3 定级参考122.2 安全域定义122.2.1 安全域定义方法122.2.2 安全域等级描述12第三章 实施方案设计143.1 三级等保要求153.2 基本要求的详细技术要求173.2.1 物理安全173.2.2 网络安全20

2、3.2.3 主机安全253.2.4 应用安全283.2.5 数据安全与备份恢复313.3 基本要求的详细管理要求323.3.1 安全管理制度323.3.2 安全管理机构333.3.3 人员安全管理353.3.4 系统建设管理363.3.5 系统运维管理393.4 网络安全产品部署453.5 信息安全服务45第四章 安全防护体系建设规划474.1 第一期项目投资估算表494.2 工程分期预期效果494.2.1 工程预期效果494.3 各产品功能解释504.3.1 网闸504.3.2 入侵检测系统504.3.3 入侵防御系统504.3.4 内网安全管理系统504.3.5 aa智能运维管理系统514

3、.3.6 aa数据库审计系统514.3.7 aa操作系统安全增强系统524.3.8 aa一体化运维管理系统524.3.9 aa漏洞扫描系统534.3.10 aa下一代防火墙53第一章 前言1.1 公司简介北京aa软件股份有限公司成立于2009年，是新三板上市公司，股票简称aa软件，股票代码:430208。公司的愿景是成为“中国信息安全第一品牌，全球信息安全行业最有价值企业之一”；公司的使命是“科技报国、感恩客户、优秀品质、炫丽世界”；公司的价值观是“专注、激情、创新、共享”。在当今大数据时代，我们与北京大学信息安全实验室合作，专注于信息安全领域，为数据安全、管理、挖掘提供卓越的产品、服务及全方

4、位的解决方案，公司获得了高新技术和双软企业认证，推出了针对用户核心数据安全的系列产品（Uxsino Rock Solid CDPS），用户遍布金融、政府、军工、教育、医疗、能源、电力等领域。公司自成立以来，吸纳了一大批具有丰富IT经验的专家、精英成为技术骨干和高级管理人员，已为众多用户成功的完成了从技术咨询、方案论证、系统集成、设备选型到安装调试、培训等一系列服务，受到用户的普遍好评。通过多年的IT信息系统建设，我们积累了丰富的设计经验，具有针对不同行业的信息安全解决方案。同时，公司内部建立了一整套管理规范和服务体系，为与广大用户建立长期的合作伙伴关系奠定了良好的基础。在网络安全与信息化建设成

5、为国家安全战略的今天，我们将一如既往的把aa的理念、产品、技术和服务奉献给广大用户，为国家安全贡献科技的力量。1.2 适用范围本文档为安全整体解决方案建议稿，并可以作为系统等级保护体系建设提供依据。1.3 规划目标与依据1.3.1 建设目标息系统网络安全建设的目的，是依照国家有关信息安全建设的一系列法规和政策，建立体系完整、安全功能强健、系统性能优良的网络安全系统，从而有效保障各项信息业务的正常运行，保护网络内敏感数据信息的安全。通过计算机及网络技术、现代通信技术、现代管理技术和决策分析技术为手段，建立一个技术领先、功能强、效率高、使用方便的安全的网络系统，在尽量减少对现有网络影响的前提下，最

6、大限度的提升内网安全性能。1.3.2 规划原则基本指导原则：针对电台信息系统安全的具体现状，本规划方案以“统一规划、重点明确、合理建设、逐步强化”为基本指导原则。总体原则：不影响用户业务系统的正常运营，确保网络安全，根据电台网络系统不同信息的重要性调整保护策略，不欠保护也不过度保护，采取“缺什么补什么”的方针。规划原则：n 全面规划，逐步实施原则进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统建设。n 分域分级保护原则将整个业务系统按照等级保护第三级基本要求的策略，在确保安全的前提下，大

7、幅度降低电台业务系统安全体系建设成本和管理成本。n 技术与管理相结合原则在考虑技术解决方案的同时，充分考虑法律、法规、管理等方面的制约和调控作用，坚持技术和管理相结合。n 先进性原则确保系统能够符合当前网络技术、信息技术发展的趋势，具有明显的先进性，在未来3至5年内能充分满足电台的实际需要。n 可靠性原则安全系统的实施不能影响业务系统的正常运行与性能，同时所有安全子系统的数据传输和自身系统也应当是安全可靠的。1.3.3 规划依据为保证网络安全系统的规范性、安全性、可行性，在本规划方案内容编写过程中，以“信息系统安全等级保护测评准则”第三级安全控制评测技术要求为依据，严格遵守下述国家相关法律法规

8、及安全保密规范：1. 国家信息安全等级保护相关标准和政策；2. 国家涉密信息系统分级保护相关标准和规范；3. ISO27000系列安全管理体系建设标准；4. ISO20000系列IT系统运行维护服务标准；5. COBIT信息系统内控建设标准；6. SOX法案；根据单位性质和信息系统的实际情况，本方案对以上标准和相关政策做一定的融合和本地化。1、 安全管理体系和安全组织体系建设参考ISO27000系列标准；2、 安全运维体系建设参考ISO2000（ITIL）标准；3、 安全技术体系建设参考国家等级保护相关要求和系统风险评估的结果；4、 审计体系参考COBIT标准、SOX法案和国家的相关要求；1.

9、3.4 安全框架基于国内外信息安全的最佳实践，结合XXX信息化总体规划和信息安全现状，提出安全总体框架，主要包括以下五部分内容。图表1 信息安全总体框架示意图 信息安全战略：识别安全的主要驱动因素，明确安全的愿景、使命、目标以及工作过程中需要遵循的基本原则；为未来电台信息安全建设指明方向； 信息安全治理与组织：明确信息安全的关键决策、治理结构和运作内容，提出电台未来安全组织架构及关键角色/职责；是信息安全战略实现的有效保障； 信息安全管理体系：明确了在电台建立信息安全方针和目标，以及完成这些目标所用的方法和体系；是信息安全工作开展的规范； 信息安全运行：明确了日常信息安全工作的主要过程和内容；

10、是信息安全规范要求和控制措施的具体落实。 信息安全技术：明确了安全建设过程中所需的技术手段；是信息安全工作开展的有力支撑；具体建设的内容如下图所示。图表 2 信息安全详细构建示意图第二章 系统定级与安全域2.1 系统定级根据相关要求，综合业务网络系统安全保护等级原则上不低于第三级，故信息系统安全保护等级为第三级。2.1.1 不同等级的安全保护能力根据国家标准“GB/T 222392008：信息安全技术信息系统安全等级保护基本要求”，对不同等级的信息系统应具备的基本安全保护能力要求如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他

11、相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全 漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能第四级安全保护能力：应能够在

12、统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有 丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。第五级安全保护能力：（略）。2.1.2 重要信息系统电台重要的系统通常有如下系统：1、 存储系统：提供各种资料的存储、FTP服务等：2、 采编系统：采访、稿件、节目等的存储、编辑、排单系统。3、 综合业务系统：4、 一站式服务的信息门户：门户将根据权限动态导出不同子系统并将界面展现给用户2.1.3 定级参考参考计算机信息系统安全保护等级划分准则（GB17859-1999）、信息

13、系统安全等级保护定级指南，可以结合下表对电台的信息系统进行定级：被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级由以上，我们根据电台信息系统的被侵害后影响的客体，可以整理如下表，电台系统定级可参照：系统名称影响客体侵害程度拟定等级保护级别内部办公系统电台利益严重损害2级综合业务系统社会秩序严重损害3级基础支撑系统公共利益严重损害3级2.2 安全域定义2.2.1 安全域定义方法在业务系统的安全域的划分上是按照以下方法：n 处理信息的重要性-将系统中重要的信息划分在一个

14、安全域中n 行政级别-将系统中级别相同的部门划分在一个安全域中n 功能区-将系统中处理重要数据的功能区划分在一个安全域中2.2.2 安全域等级描述根据国家信息安全等级保护标准中的技术要求，对于大型复杂的信息系统，按照业务系统重要性的不同进行分区域的监管和防护。根据系统的实际情况，我们可以分为计算环境、网络环境和运维管理环境三个安全域类别。其中：1、 计算环境按照面临风险的不同，可以分为对“外服务域”、“核心计算域”、“终端域”三个安全域，其中“核心计算域”又可以按照重要性的不同分为“重要服务器区”和“一般服务器区”两个子域，“终端域”可以按照能否访问互联网分为“终端公网区”和“终端内网区”两个子域；2、 网络环境按照面临的风险的不同，可以分为“互联网接口域”和“核心交换域”两个安全域；3、 运维管理环境按照功能的不同，可以分为“灾备服务器域”和“安全运维域”两个安全域；第三章 实施方案设计本方案将依照国家有关信息安全建设的一系列法规和政策，为电台建立体系完整、安全功能强健、系统性能优良的网络安全系统。以“统一规划、重点明确、合理建设、逐步强化”为基本指导原则。根据电台网络系统不同信息的重要性调整保护策略，不欠保护也不过度保护，采取“缺什么补什么”的方针进行规划。为保证网络安全系统