收藏
下载资源

等级保护技术方案二级

上传人:人*** 文档编号:504330686 上传时间:2023-03-20 格式:DOC 页数:79 大小:908.50KB
返回 下载 相关 举报
等级保护技术方案二级_第1页
第1页 / 共79页
等级保护技术方案二级_第2页
第2页 / 共79页
等级保护技术方案二级_第3页
第3页 / 共79页
等级保护技术方案二级_第4页
第4页 / 共79页
等级保护技术方案二级_第5页
第5页 / 共79页
点击查看更多>>
资源描述

《等级保护技术方案二级》由会员分享,可在线阅读,更多相关《等级保护技术方案二级(79页珍藏版)》请在金锄头文库上搜索。

1、项目 等级爱护方案 目 录1工程项目背景52系统分析62.1网络结构分析62.2业务系统分析63等级爱护建设流程74方案参照标准95平安区域框架106平安等级划分11定级流程11定级结果137平安风险及需求分析147.1平安技术需求分析14物理平安风险及需求分析14计算环境平安风险及需求分析14区域边界平安风险及需求分析17通信网络平安风险及需求分析177.2平安管理需求分析198技术体系方案设计208.1方案设计目标208.2方案设计框架208.3平安技术体系设计22物理平安设计22计算环境平安设计23身份鉴别23访问限制24系统平安审计25入侵防范26主机恶意代码防范27软件容错27数据完

2、整性及保密性27备份及复原29资源限制30区域边界平安设计30边界访问限制30边界完整性检查32边界入侵防范32边界平安审计33通信网络平安设计34网络结构平安34网络平安审计34网络设备防护34通信完整性35通信保密性35平安管理中心设计36系统管理36审计管理37不同等级系统互联互通389平安管理体系设计3910平安运维服务设计4010.1平安扫描4010.2人工检查4110.3平安加固41流程42内容42风险规避4410.4日志分析45流程45内容4610.5补丁管理46流程47内容4710.6平安监控48流程48内容4910.7平安通告4910.8应急响应50入侵调查51主机、网络异样

3、响应51其他紧急事务51响应流程5210.9平安运维服务的客户价值5311整体配置方案5312方案合规性分析5312.1技术部分5312.2管理部分6513附录:7513.1等级划分标准7513.2技术要求组合确定7613.3平安域划分方法781 工程项目背景项目背景状况介绍2 系统分析2.1 网络结构分析包括网络结构、软硬件设施等。2.2 业务系统分析对业务系统进行分析。3 等级爱护建设流程极地平安提出的“按需防卫的等级化平安体系”是依据国家信息平安等级爱护制度,依据系统在不同阶段的需求、业务特性及应用重点,采纳等级化的平安体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等

4、级化平安防卫体系。“等级化”设计方法,是依据须要爱护的信息系统确定不同的平安等级,依据平安等级确定不同等级的平安目标,形成不同等级的平安措施进行爱护。等级爱护的精髓思想就是“等级化”。等级爱护可以把业务系统、信息资产、平安边界等进行“等级化”,分而治之,从而实现信息平安等级爱护的“等级爱护、适度平安”思想。整体的平安保障体系包括技术和管理两大部分,其中技术部分依据信息系统平安等级爱护基本要求分为物理平安、网络平安、主机平安、应用平安、数据平安五个方面进行建设;而管理部分依据信息系统平安等级爱护基本要求则分为平安管理制度、平安管理机构、人员平安管理、系统建设管理、系统运维管理五个方面。整个平安保

5、障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建平安管理机构,制定完善的平安管理制度及平安策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”依据等级化平安保障体系的设计思路,等级爱护的设计及实施通过以下步骤进行:1. 系统识别及定级:确定爱护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依靠程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步平安域设计、平安保障体系框架设计、平安要求选择以及平安措施选择供应依据。2. 平安域设计:依据第一步的结果,通过分析系统业务流程、功能模块,依据平安域

6、划分原则设计系统平安域架构。通过平安域设计将系统分解为多个层次,为下一步平安保障体系框架设计供应基础框架。3. 确定平安域平安要求:参照国家相关等级爱护平安要求,设计不同平安域的平安要求。通过平安域适用平安等级选择方法确定系统各区域等级,明确各平安域所需采纳的平安指标。4. 评估现状:依据各等级的平安要求确定各等级的评估内容,依据国家相关风险评估方法,对系统各层次平安域进行有针对性的等级风险评估。并找出系统平安现状及等级要求的差距,形成完整精确的按需防卫的平安需求。通过等级风险评估,可以明确各层次平安域相应等级的平安差距,为下一步平安技术解决方案设计和平安管理建设供应依据。5. 平安保障体系方

7、案设计:依据平安域框架,设计系统各个层次的平安保障体系框架以及具体方案。包括:各层次的平安保障体系框架形成系统整体的平安保障体系框架;具体平安技术设计、平安管理设计。6. 平安建设:依据方案设计内容逐步进行平安建设,满意方案设计做要符合的平安需求,满意等级爱护相应等级的基本要求,实现按需防卫。7. 持续平安运维:通过平安预警、平安监控、平安加固、平安审计、应急响应等,从事前、事中、事后三个方面进行平安运行维护,确保系统的持续平安,满意持续性按需防卫的平安需求。通过如上步骤,系统可以形成整体的等级化的平安保障体系,同时依据平安术建设和平安管理建设,保障系统整体的平安。而应当特殊留意的是:等级爱护

8、不是一个项目,它应当是一个不断循环的过程,所以通过整个平安项目、平安服务的实施,来保证用户等级爱护的建设能够持续的运行,能够使整个系统随着环境的变更达到持续的平安。4 方案参照标准l GB/T 21052-2007 信息平安等级爱护 信息系统物理平安技术要求l 信息平安技术 信息系统平安等级爱护基本要求l 信息平安技术 信息系统平安爱护等级定级指南(报批中) l 信息平安技术信息平安等级爱护实施指南(报批中)l 信息平安技术 信息系统平安等级爱护测评指南l GB/T 20271-2006 信息平安技术 信息系统通用平安技术要求l GB/T 20270-2006 信息平安技术 网络基础平安技术要

9、求l GB/T 20984-2007信息平安技术 信息平安风险评估规范l GB/T 20269-2006 信息平安技术 信息系统平安管理要求l GB/T 20281-2006 信息平安技术 防火墙技术要求及测试评价方法l GB/T 20275-2006 信息平安技术 入侵检测系统技术要求和测试评价方法l GB/T 20278-2006 信息平安技术 网络脆弱性扫描产品技术要求l GB/T 20277-2006 信息平安技术 网络脆弱性扫描产品测试评价方法l GB/T 20279-2006 信息平安技术 网络端设备隔离部件技术要求l GB/T 20280-2006 信息平安技术 网络端设备隔离部

10、件测试评价方法等。5 平安区域框架XX网络的平安建设核心内容是将网络进行全方位的平安防护,不是对整个系统进行同一等级的爱护,而是针对系统内部的不同业务区域进行不同等级的爱护。因此,平安域划分是进行信息平安等级爱护的首要步骤。须要通过合理的划分网络平安域,针对各自的特点而实行不同的技术及管理手段。从而构建一整套有针对性的安防体系。而选择这些措施的主要依据是依据等级爱护相关的要求。平安域是具有相同或相像平安要求和策略的IT要素的集合,是同一系统内依据信息的性质、运用主体、平安目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的平安爱护需求,具有相同的平安访问限制和边界限制策略,

11、区域间具有相互信任关系,而且相同的网络平安域共享同样的平安策略。经过梳理后的XX网络信息系统平安区域划分如下图(样图)所示:6 平安等级划分6.1.1 定级流程确定信息系统平安爱护等级的一般流程如下:l 确定作为定级对象的信息系统;l 确定业务信息平安受到破坏时所侵害的客体;l 依据不同的受侵害客体,从多个方面综合评定业务信息平安被破坏对客体的侵害程度;l 依据业务信息平安等级矩阵表得到业务信息平安等级;l 确定系统服务平安受到破坏时所侵害的客体;l 依据不同的受侵害客体,从多个方面综合评定系统服务平安被破坏对客体的侵害程度;l 依据系统服务平安等级矩阵表得到系统服务平安等级;l 由业务信息平

12、安等级和系统服务平安等级的较高者确定定级对象的平安爱护等级。上述步骤如下图流程所示。3、综合评定对客体的侵害程度2、确定业务信息平安受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务平安受到破坏时所侵害的客体7、系统服务平安等级4、业务信息平安等级8、定级对象的平安爱护等级矩阵表矩阵表1、确定定级对象业务信息平安等级矩阵表业务信息平安被破坏时所侵害的客体对相应客体的侵害程度一般损害严峻损害特殊严峻损害公民、法人和其他组织的合法权益第一级其次级其次级社会秩序、公共利益其次级第三级第四级国家平安第三级第四级第五级系统服务平安等级矩阵表系统服务平安被破坏时所侵害的客体对相应客体的侵害

13、程度一般损害严峻损害特殊严峻损害公民、法人和其他组织的合法权益第一级其次级其次级社会秩序、公共利益其次级第三级第四级国家平安第三级第四级第五级6.1.2 定级结果依据上述定级流程,XX用户各主要系统定级结果为:序号部署环境系统名称爱护等级定级结果组合1.XX网络XX系统2可能的组合为:S1A2G2,S2A2G2,S2A1G2,依据实际状况进行选择。2.7 平安风险及需求分析风险及需求分析部分依据物理、网络、主机、应用、数据五个层面进行,可依据实际状况进行修改;同时依据平安域划分的结果,在分析过程中将不同的平安域所面临的风险及需求分析予以对应说明。7.1 平安技术需求分析7.1.1 物理平安风险

14、及需求分析物理平安风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不行运用,从而会造成网络系统的不行运用,甚至导致整个网络的瘫痪。它是整个网络系统平安的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。例如:l 机房缺乏限制,人员随意出入带来的风险;l 网络设备被盗、被毁坏;l 线路老化或是有意、无意的破坏线路;l 设备在非预料状况下发生故障、停电等;l 自然灾难如地震、水灾、火灾、雷击等;l 电磁干扰等。因此,在通盘考虑平安风险时,应优先考虑物理平安风险。保证网络正常运行的前提是将物理层平安风险降到最低或是尽量考虑在非正常状况下物理层出现风险问题时的应对方案。7.1.2 计算环境平安风险及需求分析计算环境的平安主要指主机以及应用层面的平安风险及需求分析,包括:身份鉴别、访问限制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性及保密性、备份及复原、资源合理限制等方面。l 身份鉴别身份鉴别包

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号