神州數(shù)碼等級保護(hù)解決方案-ssp

信息系統(tǒng)安全等級保護(hù)方案

介、介紹案解決神州數(shù)碼安全解決方案業(yè)務(wù)部信息安全及應(yīng)用交付等級保護(hù)安全運(yùn)維信息安全方案與集成安全整體咨詢、服務(wù)安全產(chǎn)品全線分銷安全平臺應(yīng)用交付等級保護(hù)定級備案等級保護(hù)差距分析等級保護(hù)整改設(shè)計等級保護(hù)整改實施等級保護(hù)測評咨詢安全運(yùn)維平臺安全運(yùn)維隊伍安全運(yùn)維流程安全運(yùn)維制度安全運(yùn)維報告安全運(yùn)維交付神州數(shù)碼-系統(tǒng)科技-安全管理本部云計算安全云IT服務(wù)平臺云計算安全管理云計算環(huán)境管理云計算虛擬交付

1、業(yè)務(wù)概況：安全及系統(tǒng)管理本部作為神州數(shù)碼系統(tǒng)科技戰(zhàn)略本部的核心業(yè)務(wù)單位，承載著神州數(shù)碼在信息安全和應(yīng)用交付領(lǐng)域業(yè)務(wù)發(fā)展的重要戰(zhàn)略職責(zé)。專注于IT應(yīng)用時代的安全管理和系統(tǒng)管理。公司概況2、專業(yè)的服務(wù)能力：60名高級工程師，包括CISP安全工程師、CCIE網(wǎng)絡(luò)專家、F5認(rèn)證安全工程師、BlueCoat認(rèn)證安全工程師、RSA認(rèn)證工程師、CheckPoint認(rèn)證安全工程師以及來自廠商的安全資訊專家，提供從產(chǎn)品交付到解決方案定制，從應(yīng)用集成到整體咨詢的全方位服務(wù)。3、豐富的客戶實踐：擁有在金融（銀行、基金、證券、保險、期貨）、運(yùn)營商（電信、移動、聯(lián)通、廣電、設(shè)備商）、政府（黨政機(jī)關(guān)、公檢法司、工商財稅、國防軍工、海關(guān)、社保、國土資源）、公共事業(yè)（電力、石油石化、醫(yī)療、教育、交通、郵政）、高端制造業(yè)（汽車、鋼鐵、冶煉、機(jī)械電子、食品、煙草等）、傳媒及互聯(lián)網(wǎng)（廣播、電視、紙媒、電子商務(wù)）等豐富的成功客戶經(jīng)驗。我們在對每一個用戶系統(tǒng)深入分析和理解的基礎(chǔ)上，憑借出色的行業(yè)經(jīng)驗和解決方案能力，成為眾多大中型客戶的首選安全解決方案提供商。4、遍布全國的服務(wù)網(wǎng)絡(luò)：直接覆蓋全國15個重點一、二級城市，同時通過戰(zhàn)略合作伙伴全面覆蓋全國20多個三、四級城市。本地化銷售和技術(shù)團(tuán)隊在深入了解客戶需求的基礎(chǔ)上，更快更好的為客戶提供專業(yè)化服務(wù)。公司概況等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4SSP等保安全服務(wù)平臺5目錄等級保護(hù)安全檢查與整改6等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4SSP等保安全服務(wù)平臺5等級保護(hù)安全檢查與整改6等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3目錄

全球網(wǎng)絡(luò)安全形勢嚴(yán)峻，信息安全問題不僅僅是組織自身的事情，也涉及到國家和社會安全。計算機(jī)病毒、黑客攻擊、信息泄露、軟硬件故障等信息安全問題給組織單位造成了極大的風(fēng)險?；ヂ?lián)網(wǎng)空間正日益成為國際競爭的新焦點,在制定本國信息系統(tǒng)安全等級管理標(biāo)準(zhǔn)之外，美國、英國、德國等歐美發(fā)達(dá)國家紛紛制定網(wǎng)絡(luò)安全國家戰(zhàn)略，參與爭奪全球網(wǎng)絡(luò)空間主導(dǎo)權(quán)。美國2009年6月，美軍成立網(wǎng)絡(luò)司令部；日本防衛(wèi)省在2011年度建立一支專門的“網(wǎng)絡(luò)空間防衛(wèi)隊”；韓國在2009年宣布組建“網(wǎng)絡(luò)司令部”，2011年韓國國防部提升為獨(dú)立部隊。全球背景等級保護(hù)背景與必要性

國際信息安全環(huán)境日趨復(fù)雜，西方加緊對我國的網(wǎng)絡(luò)遏制，并加快利用網(wǎng)絡(luò)進(jìn)行意識形態(tài)滲透;另一方面，重要信息系統(tǒng)、工業(yè)控制系統(tǒng)的安全風(fēng)險日益突出，信息安全網(wǎng)絡(luò)監(jiān)管的難度和復(fù)雜性持續(xù)加大。網(wǎng)絡(luò)安全成為關(guān)系經(jīng)濟(jì)平穩(wěn)運(yùn)行和安全的重要因素，國民經(jīng)濟(jì)對信息網(wǎng)絡(luò)和系統(tǒng)的依賴性增強(qiáng)，我國重要信息系統(tǒng)和工業(yè)控制系統(tǒng)多使用國外的技術(shù)和產(chǎn)品，這些技術(shù)和產(chǎn)品的漏洞不可控，使網(wǎng)絡(luò)和系統(tǒng)更易受到攻擊，致使敏感信息泄露、系統(tǒng)停運(yùn)等重大安全事件多發(fā)，安全狀況堪憂。信息安全領(lǐng)域存在多頭管理現(xiàn)象，相關(guān)職能部門涉及多個部委和管理機(jī)構(gòu)，部門之間職責(zé)界定不清晰，管理權(quán)限存在交叉，決策權(quán)分散，各個相關(guān)管理機(jī)構(gòu)之間缺乏充分的溝通和協(xié)調(diào)，部門間作用發(fā)揮不均。國內(nèi)背景等級保護(hù)背景與必要性

2007年，四部委聯(lián)合發(fā)布的《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）2008年，國家發(fā)展和改革委員會、中華人民共和國公安部、國家保密局《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技[2008]2071號）2009年，四部委聯(lián)合發(fā)布《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》，要求2010年底前完成測評體系建設(shè)，完成30%第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作。等級保護(hù)背景與必要性等保發(fā)展?fàn)顩r等級保護(hù)背景與必要性2003年9月中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號2005年9月國信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護(hù)實施指南》的通知》國信辦[2004]25號2007年，公安部、保密局、密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護(hù)管理辦法》，標(biāo)志著我國等級保護(hù)制度的初步形成2005年公安部標(biāo)準(zhǔn)《基本要求》《定級指南》《實施指南》《測評準(zhǔn)則》2004年11月四部委會簽《關(guān)于信息安全等級保護(hù)工作的實施意見》公通字[2004]66號云南云南省人民政府第130號令浙江浙江省人民政府令北京北京政府第9號令國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件地方政策文件

國家政策、標(biāo)準(zhǔn)應(yīng)用類

產(chǎn)品類

其他類等保安全建設(shè)整改基礎(chǔ)類《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

信息系統(tǒng)定級：《定級指南》GB/T22240-2008等級保護(hù)實施：《實施指南》信安字[2007]10號信息系統(tǒng)安全建設(shè)：《基本要求》GB/T22239-2008

《通用安全技術(shù)要求》GB/T20271-2006

《安全技術(shù)設(shè)計要求》GB/T24856-2009等10個要求和規(guī)范等級測評：《測評要求》報批稿/《測評過程要求》報批稿/

GA/T713-2007風(fēng)險評估：《信息安全風(fēng)險評估規(guī)范》GB/T20984-2007事件管理：《信息安全事件管理指南》GB/Z20985-2007《信息安全事件分類分級指南》GB/Z20986-2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》GB/T20988-2007操作系統(tǒng)數(shù)據(jù)庫網(wǎng)絡(luò)PKI網(wǎng)關(guān)服務(wù)器入侵檢測防火墻路由器交換機(jī)其他產(chǎn)品技術(shù)要求評估準(zhǔn)則測試方法配置指南等級保護(hù)背景與必要性國家政策、標(biāo)準(zhǔn)國家電網(wǎng)公司2011年完成10多個網(wǎng)省的等級保護(hù)整改任務(wù)省市/行業(yè)進(jìn)展《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函【2009】80號）2007年，發(fā)布《稅務(wù)信息系統(tǒng)安全等級保護(hù)定級工作指南》2010年8月25日，國家稅總在上海組織召開了稅務(wù)系統(tǒng)信息安全等級保護(hù)上海試點測評階段總結(jié)會。2010年6月，民政部啟動《民政部信息系統(tǒng)等級保護(hù)整體規(guī)劃建設(shè)方案》2011年6月，國家廣電總局科技司印發(fā)了《關(guān)于開展廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級工作的通知》出臺《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南》和《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基本要求》行業(yè)標(biāo)準(zhǔn)證監(jiān)會教育部民政部稅總廣電總局等級保護(hù)衛(wèi)生部甘肅廣西安徽國家電網(wǎng)等級保護(hù)背景與必要性

2011年8月，《教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知教辦廳函》〔2011〕83號要求各地教育行政部門和學(xué)校要將本單位的信息系統(tǒng)定級結(jié)果報主管部門審批。在2011年12月底前，完成所有信息系統(tǒng)的定級備案。各地教育行政部門和學(xué)校的第二級及以上信息系統(tǒng)，要參照國家和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范，在定級備案后2年內(nèi)完成首次安全建設(shè)整改和等級測評工作。已定級的第三級及以上信息系統(tǒng)要安全整改方案由教育部組織專家審定，在2012年底前完成首次安全建設(shè)整改和等級測評工作。2010年4月教育部教育管理信息中心成立“信息安全測評部”，負(fù)責(zé)信息安全等級保護(hù)測評工作。2009年11月，教育部辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作，并由教育部教育管理信息中心具體組織實施。

教育部等級保護(hù)背景與必要性

2011年11月，衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》通知，通知明確提出衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見，包括工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求等，有力促進(jìn)衛(wèi)生行業(yè)信息安全等級保護(hù)工作的開展。行業(yè)指導(dǎo)，屬地管理：地方各級衛(wèi)生行政部門承擔(dān)本地衛(wèi)生信息安全責(zé)任，信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護(hù)工作。衛(wèi)生部信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)對全國衛(wèi)生行業(yè)信息安全等級保護(hù)工作的組織協(xié)調(diào)、監(jiān)督指導(dǎo)，并組織開展部機(jī)關(guān)信息安全等級保護(hù)工作定級，備案，建設(shè)，整改，定級評測，宣傳，培訓(xùn)，監(jiān)督檢查。

衛(wèi)生部等級保護(hù)背景與必要性

甘肅省四部門印發(fā)信息安全等級保護(hù)安全建設(shè)整改工作的實施意見（2010-09-03）廣西舉辦信息安全等級保護(hù)技術(shù)高級研修班（2010-09-03）安徽省四部門下發(fā)重要信息系統(tǒng)等級保護(hù)安全建設(shè)工作方案（2010-09-03）

甘肅、廣西、安徽等級保護(hù)背景與必要性一級損害二級損害三級損害四級損害信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。五級損害信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。等級保護(hù)背景與必要性損害等級

威脅標(biāo)號威脅描述備注T2-1.

雷擊、地震和臺風(fēng)等自然災(zāi)難

T2-2.

水患和火災(zāi)等災(zāi)害

T2-3.

高溫、低溫、多雨等原因?qū)е聹囟取穸犬惓?/p>

T2-4.

電壓波動

T2-5.

供電系統(tǒng)故障

T2-6.

靜電和外界電磁干擾

T2-7.

通信線路因線纜老化等原因?qū)е聯(lián)p壞或傳輸質(zhì)量下降

T2-8.

重要業(yè)務(wù)信息的介質(zhì)老化或質(zhì)量問題等導(dǎo)致不可用T2-9.

網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時間過長或質(zhì)量

問題等導(dǎo)致硬件故障T2-10.

系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障

T2-11.

系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源

等級保護(hù)背景與必要性信息安全面臨的威脅因素

信息安全面臨的威脅T2-11.

系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源

T2-12.

應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)運(yùn)行中斷

T2-13.

設(shè)施、通信線路、設(shè)備或存儲介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收?/p>

T2-14.

授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用

T2-15.

授權(quán)用戶對系統(tǒng)錯誤配置或更改

T2-16.

攻擊者利用非法手段進(jìn)入機(jī)房內(nèi)部盜竊、破壞等

T2-17.

攻擊者非法物理訪問系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備或存儲介質(zhì)等

T2-18.

攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用

T2-19.

攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)

T2-20.

攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞，越權(quán)訪問文件、數(shù)據(jù)或其他資源

T2-21.

攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊

T2-22.

攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計缺陷旁路安全策略，未授權(quán)訪問網(wǎng)絡(luò)

威脅等級保護(hù)背景與必要性

威脅T2-23.

攻擊者利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì)，訪問網(wǎng)絡(luò)、系統(tǒng)

T2-24.

攻擊者利用偽造客戶端進(jìn)入業(yè)務(wù)系統(tǒng)，進(jìn)行非法訪問T2-25.

攻擊者截獲、讀取、破解介質(zhì)的信息或剩余信息，進(jìn)行敏感信息的竊取T2-26.

攻擊者截獲、讀取、破解通信線路中的信息

T2-27.

由于網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用軟件的故障或雙機(jī)熱備失效，造成業(yè)務(wù)應(yīng)用的中斷T2-28.

數(shù)據(jù)在傳輸和存儲過程中被錯誤修改或丟失T2-29.

攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性

T2-30.

攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布?/p>

T2-31.

攻擊者和內(nèi)部人員否認(rèn)自己的操作行為

T2-32.

攻擊者和內(nèi)部人員利用網(wǎng)絡(luò)擴(kuò)散病毒

T2-33.

內(nèi)部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒

T2-34.

內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò)（如Internet）

T2-35.

內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序T2-36.

內(nèi)部人員未授權(quán)訪問敏感信息，將信息帶出或通過網(wǎng)絡(luò)傳出，導(dǎo)致信息泄露等級保護(hù)背景與必要性信息安全面臨的威脅目錄等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4SSP等保安全服務(wù)平臺5等級保護(hù)安全檢查與整改6

等保實施過程系統(tǒng)定級安全規(guī)劃設(shè)計安全實施安全運(yùn)行定期檢查局部調(diào)整重大變更等級保護(hù)安全等級劃分一級：自主保護(hù)二級：指導(dǎo)保護(hù)三級：監(jiān)督保護(hù)四級：強(qiáng)制保護(hù)第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級五級：專控保護(hù)第五級：訪問驗證保護(hù)級《信息安全等級保護(hù)劃分準(zhǔn)則》GB17859-1999-規(guī)定了計算機(jī)信息系統(tǒng)安全保護(hù)能力的五個級別《信息安全等級保護(hù)管理辦法》規(guī)定的五級要求等級保護(hù)安全等級劃分一級二級三級四級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。五級信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。等級保護(hù)安全等級劃分《信息安全等級保護(hù)管理辦法》規(guī)定的五級要求

定級流程1．系統(tǒng)識別和描述識別基本信息識別管理框架識別業(yè)務(wù)種類和業(yè)務(wù)流程識別信息資產(chǎn)識別網(wǎng)絡(luò)結(jié)構(gòu)識別軟硬件設(shè)備，用戶類型和分布描述單位信息系統(tǒng)2．信息系統(tǒng)劃分分析安全管理責(zé)任，確定管理邊界分析網(wǎng)絡(luò)結(jié)構(gòu)和已有內(nèi)外部邊界分析業(yè)務(wù)流程和業(yè)務(wù)間關(guān)系初步劃定信息系統(tǒng)，確定定級對象各信息系統(tǒng)描述4．產(chǎn)生定級報告完成定級報告初稿定級報告評審定級報告批準(zhǔn)3．安全等級確定為定級四要素賦值確定業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級確定信息系統(tǒng)安全保護(hù)等級等級保護(hù)安全等級劃分

等級保護(hù)安全等級劃分定級方法

等級保護(hù)對象：信息安全等級保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：1、具有唯一確定的安全責(zé)任單位2、具有信息系統(tǒng)的基本要素3、承載相對獨(dú)立的業(yè)務(wù)應(yīng)用客體：受法律保護(hù)的、等級保護(hù)對象受到破壞時所侵害的社會關(guān)系，如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。系統(tǒng)服務(wù)

：信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。侵害程度綜合判定：1、系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定。2、業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。定級關(guān)鍵詞等級保護(hù)安全等級劃分

定級建議參考一級信息系統(tǒng)：公民個人的單機(jī)系統(tǒng)，小型集體、民營企業(yè)所屬的信息系統(tǒng)，中、小學(xué)校的信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)，其他小型組織的信息系統(tǒng)。二級信息系統(tǒng)：縣級、地市級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財務(wù)、財政、金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的信息系統(tǒng)，中型集體、民營企業(yè)、小型國有企業(yè)所屬的信息系統(tǒng)，縣級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)，普通高等院校和科研機(jī)構(gòu)的信息系統(tǒng)，其他中型組織的信息系統(tǒng)。三級信息系統(tǒng)：省級和副省級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的重要信息系統(tǒng)，大型集體、民營企業(yè)、大中型國有企業(yè)所屬的重要信息系統(tǒng)，地市級黨政機(jī)關(guān)、事業(yè)單位的重要信息系統(tǒng)，重點高等院校和科研機(jī)構(gòu)的重要信息系統(tǒng)，其他大中型組織的信息系統(tǒng)。等級保護(hù)安全等級劃分

定級建議參考四級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險等行業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng)，特大型國有企業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng)，省級黨政機(jī)關(guān)、事業(yè)單位所屬的重要信息系統(tǒng)，重點科研機(jī)構(gòu)的重要信息系統(tǒng)。五級信息系統(tǒng)：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險等重要信息系統(tǒng)中的核心子系統(tǒng)，涉及國防、重大外交、航天航空、核能源、尖端科學(xué)技術(shù)等重要信息系統(tǒng)中的核心子系統(tǒng)，國家級黨政機(jī)關(guān)重要信息系統(tǒng)中的核心子系統(tǒng)。

定級原則：從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級。等級保護(hù)安全等級劃分

定級建議參考稅務(wù)系統(tǒng)等級定義參考等級保護(hù)安全等級劃分稅務(wù)系統(tǒng)各單位定級工作參照以下定級原則：（1）稅務(wù)總局負(fù)責(zé)設(shè)計、開發(fā)、推廣、運(yùn)行維護(hù)，全國范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)確定安全保護(hù)等級為三級，核心數(shù)據(jù)庫系統(tǒng)可定為四級(全國使用的，稅務(wù)總局集中的)，其他信息系統(tǒng)可定為二級；（2）省國稅局和省地稅局負(fù)責(zé)設(shè)計、開發(fā)、推廣、運(yùn)行維護(hù)，全省范圍使用，為納稅人提供網(wǎng)上辦稅業(yè)務(wù)的信息系統(tǒng)安全保護(hù)等級最高定為三級，其他信息系統(tǒng)可定為二級；（3）市國稅局和市地稅局的信息系統(tǒng)安全保護(hù)等級定為二級；（4）稅務(wù)總局機(jī)關(guān)內(nèi)部使用的信息系統(tǒng)安全保護(hù)等級原則定為二級；（5）省國稅局和省地稅局機(jī)關(guān)內(nèi)部使用的信息系統(tǒng)安全保護(hù)等級最高定為二級。

定級建議參考衛(wèi)生系統(tǒng)等級定義參考等級保護(hù)安全等級劃分《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》規(guī)定以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級原則上不低于第三級：

（1）衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；

（2）國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；

（3）三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)；

（4）衛(wèi)生部網(wǎng)站系統(tǒng)；

（5）其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上（含第三級）的信息系統(tǒng)。

定級建議參考系統(tǒng)類別系統(tǒng)名稱范圍建議等級備注公共衛(wèi)生信息系統(tǒng)血液信息管理系統(tǒng)衛(wèi)生監(jiān)督管理系統(tǒng)精神衛(wèi)生管理信息系統(tǒng)……國家，省，市三級S3醫(yī)療機(jī)構(gòu)信息系統(tǒng)HIS系統(tǒng)本單位三級S3LIS系統(tǒng)本單位三級S3PACS系統(tǒng)本單位三級S3醫(yī)院網(wǎng)站本單位二級S2OA系統(tǒng)本單位二級S2A2G2衛(wèi)生系統(tǒng)等級定義參考等級保護(hù)安全等級劃分等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4等級保護(hù)安全檢查與整改5目錄

信息安全等級保護(hù)是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進(jìn)行管理和保護(hù)；

對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行分級保護(hù)。對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。等級保護(hù)的建設(shè)模型等保制度內(nèi)容

第三級基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級基本要求第二級基本要求第四級基本要求第五級基本要求數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級保護(hù)框架內(nèi)容等級保護(hù)的建設(shè)模型

每一等級信息系統(tǒng)安全保護(hù)能力技術(shù)措施管理措施包含具備基本安全要求滿足包含滿足實現(xiàn)等級保護(hù)要求模型《基本要求》的描述模型等級保護(hù)的建設(shè)模型

-PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法能使任何一項活動按照工作程序有效進(jìn)行策劃實施檢查處置周而復(fù)始，不斷循環(huán)PDCA模型PDCA整改策劃實施檢查等級保護(hù)的建設(shè)模型

PDCA模型信息安全等級保護(hù)工作最明顯的就是采用了過程方法和PDCA模型思想-系統(tǒng)規(guī)劃設(shè)計（P）-建設(shè)實施（D）-測評檢查（C）-問題整改（A）基于過程的概念，不同過程之間相互關(guān)聯(lián)，過程包含子過程等級保護(hù)的建設(shè)模型等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4SSP等保安全服務(wù)平臺5等級保護(hù)安全檢查與整改6等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3目錄信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析開展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計工程實施及驗收等級測評不符合標(biāo)準(zhǔn)要求開展建設(shè)整改技術(shù)方案論證和評審確定安全策略，開展建設(shè)整改技術(shù)方案總體設(shè)計通信網(wǎng)絡(luò)安全物理安全。。。。應(yīng)用系統(tǒng)安全區(qū)域邊界安全主機(jī)系統(tǒng)安全備份和恢復(fù)建設(shè)并落實安全技術(shù)措施信息系統(tǒng)安全技術(shù)建設(shè)整改工作流程等級保護(hù)整改方案設(shè)計——之概要信息系統(tǒng)安全建設(shè)整改主要內(nèi)容等級保護(hù)整改方案設(shè)計---《信息安全等級保護(hù)安全建設(shè)整改工作指南》——之概要等級保護(hù)整改方案設(shè)計整改依據(jù)標(biāo)準(zhǔn)間的關(guān)系（一）---《信息安全等級保護(hù)安全建設(shè)整改工作指南》——之依據(jù)標(biāo)準(zhǔn)等級保護(hù)整改方案設(shè)計整改依據(jù)標(biāo)準(zhǔn)間的關(guān)系（二）---《信息安全等級保護(hù)安全建設(shè)整改工作指南》——之依據(jù)標(biāo)準(zhǔn)信息系統(tǒng)主要是由實現(xiàn)計算任務(wù)的局域計算環(huán)境，實現(xiàn)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)，以及用戶/用戶群組成。安全的信息系統(tǒng)由以下部分組成：

——安全的局域計算環(huán)境；

——局域計算環(huán)境的邊界防護(hù)；

——安全用戶環(huán)境（獨(dú)立用戶/用戶群及）其邊界防護(hù)；

——安全的網(wǎng)絡(luò)系統(tǒng)；

——信息系統(tǒng)安全管理中心。分析等級保護(hù)信息系統(tǒng)組成等級保護(hù)整改方案設(shè)計——之總體設(shè)計《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本模型》GA/T709－2007三級安全信息系統(tǒng)的組成與相互關(guān)系如果信息系統(tǒng)僅由一個局域計算環(huán)境組成，則不涉及網(wǎng)絡(luò)系統(tǒng)的安全問題?！?到n個具有一級安全的局域計算環(huán)境及其邊界防護(hù)設(shè)施；——0到n個具有二級安全的局域計算環(huán)境及其邊界防護(hù)設(shè)施；——1到n個具有三級安全的局域計算環(huán)境及其邊界防護(hù)設(shè)施；——0到n個具有一級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；——0到n個具有二級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；——1到n個具有三級安全的獨(dú)立用戶或用戶群及其邊界防護(hù)設(shè)施；——具有一級安全的網(wǎng)絡(luò)系統(tǒng)；——具有二級安全的網(wǎng)絡(luò)系統(tǒng)；——具有三級安全的網(wǎng)絡(luò)系統(tǒng)；——具有三級安全的信息系統(tǒng)安全管理中心。信息系統(tǒng)安全等級保護(hù)基本模型等級保護(hù)整改方案設(shè)計——之總體設(shè)計《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本模型》GA/T709－2007等級保護(hù)體系安全體系框架設(shè)計等級保護(hù)整改方案設(shè)計——之總體設(shè)計等級保護(hù)身份認(rèn)證訪問控制安全域劃分防病毒、惡意代碼入侵檢測與保護(hù)網(wǎng)絡(luò)安全審計終端安全管理數(shù)據(jù)備份與容災(zāi)安全技術(shù)體系安全管理安全技術(shù)安全機(jī)構(gòu)組織安全人員職責(zé)人員教育培訓(xùn)人員安全安全服務(wù)組織應(yīng)急響應(yīng)隊伍安全組織體系安全策略規(guī)劃與制訂安全管理制度技術(shù)規(guī)范、標(biāo)準(zhǔn)安全系統(tǒng)工程建設(shè)安全系統(tǒng)建設(shè)管理組織職責(zé)安全策略體系網(wǎng)絡(luò)運(yùn)維監(jiān)控網(wǎng)絡(luò)安全管理系統(tǒng)及網(wǎng)絡(luò)加固資產(chǎn)、介質(zhì)管理惡意代碼防范管漏洞掃描、補(bǔ)丁升級數(shù)據(jù)備份與恢復(fù)安全事件響應(yīng)、處置應(yīng)急預(yù)案發(fā)布與管理安全運(yùn)維體系PDCA等級保護(hù)體系安全體系框架審設(shè)計等級保護(hù)整改方案設(shè)計——之總體設(shè)計信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計框架——《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T24856-2009）等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計安全通信網(wǎng)絡(luò)

安全計算環(huán)境安全管理中心安全區(qū)域邊界等級保護(hù)1）用戶身份鑒別2）自主訪問控制3）標(biāo)記和強(qiáng)制訪問控制4）系統(tǒng)安全審計5）用戶數(shù)據(jù)完整性保護(hù)6）用戶數(shù)據(jù)保密性保護(hù)7）客體安全重用8）程序可信執(zhí)行保護(hù)1）區(qū)域邊界訪問控制2）區(qū)域邊界包過濾3）區(qū)域邊界安全審計4）區(qū)域邊界完整性保護(hù)1）系統(tǒng)管理2）安全管理3）審計管理1)通信網(wǎng)絡(luò)安全審計2)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)3)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)4)通信網(wǎng)絡(luò)可信接入保護(hù)信息系統(tǒng)等級保護(hù)三級安全技術(shù)設(shè)計等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計——《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T24856-2009）

3.區(qū)域邊界安全

2.通訊網(wǎng)絡(luò)安全

4.主機(jī)系統(tǒng)安全

5.應(yīng)用系統(tǒng)安全

6.備份和恢復(fù)安全

1.物理安全從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對信息系統(tǒng)所涉及到的主機(jī)房、輔助機(jī)房和辦公環(huán)境等進(jìn)行物理安全設(shè)計。對信息系統(tǒng)所涉及的區(qū)域網(wǎng)絡(luò)邊界進(jìn)行安全設(shè)計涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施。對信息系統(tǒng)涉及到的服務(wù)器和工作站進(jìn)行系統(tǒng)安全設(shè)計。對信息系統(tǒng)所涉及的通信網(wǎng)絡(luò)，包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)（租用線路）等進(jìn)行安全設(shè)計。對信息系統(tǒng)涉及到的應(yīng)用系統(tǒng)軟件（含應(yīng)用/中間件平臺）進(jìn)行安全設(shè)計。針對信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)計。安全技術(shù)方案詳細(xì)設(shè)計等級保護(hù)整改方案設(shè)計---《信息安全等級保護(hù)安全建設(shè)整改工作指南》——之技術(shù)設(shè)計注意：《整改指南》設(shè)計同GB/T24856-2009的不同之處，前者是在參考后者基礎(chǔ)上做出的詳細(xì)設(shè)計。等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計安全域劃分：針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)安全域劃分是進(jìn)行信息安全等級保護(hù)的首要步驟類別要求二級解決方案三級解決方案差異分析物理安全物理位置的選擇機(jī)房和辦公場地應(yīng)選擇具有防震、防風(fēng)和防雨等能力應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁三級要求進(jìn)行樓層的選擇物理訪問控制按照基本要求進(jìn)行人員配備，制定管理制度同時對機(jī)房進(jìn)行區(qū)域管理，設(shè)置過渡區(qū)域、安裝門禁三級要求加強(qiáng)對區(qū)域的管理和重要區(qū)域控制力度。防盜竊和防破壞按照基本要求進(jìn)行建設(shè)。制定防盜竊防破壞相關(guān)管理制度按照基本要求進(jìn)行建設(shè)配置光、電等防盜報警系統(tǒng)三級根據(jù)要求進(jìn)行光、電技術(shù)防盜報警系統(tǒng)的配備。防雷擊按照基本要求進(jìn)行建設(shè)設(shè)置防雷保安器三級根據(jù)要求設(shè)置防雷保安器，防止感應(yīng)雷防火設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)消防、耐火、隔離等措施三級根據(jù)要求進(jìn)行消防、耐火、隔離等措施等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析物理安全防水和防潮采取措施防止雨水滲透、機(jī)房內(nèi)水蒸氣安裝防水測試儀器三級根據(jù)要求進(jìn)行防水檢測儀表的安裝使用防靜電采用必要的接地防靜電安裝防靜電地板三級根據(jù)要求安裝防靜電地板溫濕度控制配備空調(diào)系統(tǒng)配備空調(diào)系統(tǒng)無電力供應(yīng)配備穩(wěn)壓器和過電壓保護(hù)設(shè)備；配備UPS系統(tǒng)配備穩(wěn)壓器、UPS、冗余供電系統(tǒng)三級根據(jù)要求設(shè)置冗余或并行的電力電纜線路，建立備用供電系統(tǒng)電磁保護(hù)電源線和通信線纜隔離鋪設(shè)接地、關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽三級根據(jù)要求進(jìn)行接地，關(guān)鍵設(shè)備和介質(zhì)的電磁屏蔽等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析網(wǎng)絡(luò)安全結(jié)構(gòu)安全關(guān)鍵設(shè)備選擇高端設(shè)備，處理能力具備冗余空間，合理組網(wǎng)，繪制詳細(xì)網(wǎng)絡(luò)拓?fù)鋱D在二級基礎(chǔ)上，合理規(guī)劃路由，避免將重要網(wǎng)段直接連接外部系統(tǒng)，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級管理三級根據(jù)要求在以下方面進(jìn)行加強(qiáng)設(shè)計；主要網(wǎng)絡(luò)設(shè)備的處理能力滿足高峰需求，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、重要網(wǎng)段配置ACL策略帶寬優(yōu)先級訪問控制防火墻，制定相應(yīng)的ACL策略防火墻配置包括：端口級的控制力度；常見應(yīng)用層協(xié)議命令過濾；會話控制；流量控制；連接數(shù)控制；防地址欺騙等策略三級在配置防火墻設(shè)備的策略時提出了更高的要求安全審計部署網(wǎng)絡(luò)安全審計系統(tǒng)部署網(wǎng)絡(luò)安全審計系統(tǒng)，部署日志服務(wù)器進(jìn)行審計記錄的保存三級對審計日志保存提出更高要求，需要采用日志服務(wù)器進(jìn)行審計記錄的保存等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析網(wǎng)絡(luò)安全邊界完整性檢查部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能部署終端安全管理系統(tǒng)，在進(jìn)行非法外聯(lián)和安全準(zhǔn)入檢測的同時要進(jìn)行有效阻斷三級相對二級要求在檢測的同時要進(jìn)行有效阻斷入侵防范部署入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)，配置入侵檢測系統(tǒng)的日志模塊三級相隊二級要求配置入侵檢測系統(tǒng)的日志模塊，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等相關(guān)信息，并通過一定的方式進(jìn)行告警惡意代碼防范無要求部署UTM或AV、IPS三級系統(tǒng)要求具備網(wǎng)關(guān)處惡意代碼的檢測與清除并定期升級惡意代碼庫等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備保護(hù)配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制對主要網(wǎng)絡(luò)設(shè)備實施雙因素認(rèn)證手段進(jìn)行身份鑒別三級對登陸網(wǎng)絡(luò)設(shè)備的身份認(rèn)證提出了更高要求，需要實施雙因素認(rèn)證，設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級的配置主機(jī)安全身份鑒別對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)配置高強(qiáng)度用戶名/口令啟用登陸失敗處理、傳輸加密等措施對主機(jī)管理員登陸時進(jìn)行雙因素身份鑒別（USBkey+密碼）三級要求采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別訪問控制根據(jù)基本要求進(jìn)行主機(jī)訪問控制的配置管理員進(jìn)行分級權(quán)限控制，重要設(shè)定訪問控制策略進(jìn)行訪問控制三級根據(jù)要求對管理員進(jìn)行分級權(quán)限控制，對重要信息（文件、數(shù)據(jù)庫等）進(jìn)行標(biāo)記等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析主機(jī)安全安全審計部署主機(jī)審計系統(tǒng)部署主機(jī)審計系統(tǒng)審計范圍擴(kuò)大到重要客戶端；同時能夠生成審計報表三級要求能將審計范圍擴(kuò)大到重要客戶端；同時能夠生成審計報表剩余信息保護(hù)無要求通過對操作系統(tǒng)及數(shù)據(jù)庫進(jìn)行安全加固配置，及時清除剩余信息的存儲空間三級要求對剩余信息進(jìn)行保護(hù)，通過安全服務(wù)方式進(jìn)行入侵防范部署網(wǎng)絡(luò)入侵檢測系統(tǒng)部署終端安全管理系統(tǒng)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)部署主機(jī)入侵檢測系統(tǒng)部署終端安全管理系統(tǒng)進(jìn)行補(bǔ)丁及時分發(fā)三級要求對重要服務(wù)器進(jìn)行入侵的行為，對重要程序進(jìn)行代碼審查，去除漏洞，配置主機(jī)入侵檢測以及終端管理軟件進(jìn)行完整性檢測惡意代碼防范部署終端防惡意代碼軟件部署終端防惡意代碼軟件三級要求終端防惡意代碼軟件與邊界處的網(wǎng)關(guān)設(shè)備進(jìn)行異構(gòu)部署等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析主機(jī)安全資源控制部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控、檢測報警三級要求通過安全加固對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，對系統(tǒng)服務(wù)相關(guān)閥值進(jìn)行檢測告警應(yīng)用安全身份鑒別根據(jù)基本要求配置高強(qiáng)度用戶名/口令進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別三級根據(jù)要求進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別訪問控制根據(jù)基本要求提供訪問控制功能通過安全加固措施制定嚴(yán)格用戶權(quán)限策略，保證帳號、口令等符合安全策略三級根據(jù)要求根據(jù)系統(tǒng)重要資源的標(biāo)記以及定義的安全策略進(jìn)行嚴(yán)格的訪問控制等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析應(yīng)用安全安全審計應(yīng)用系統(tǒng)開發(fā)應(yīng)用審計功能部署數(shù)據(jù)庫審計系統(tǒng)應(yīng)用系統(tǒng)開發(fā)應(yīng)用審計功能部署數(shù)據(jù)庫審計系統(tǒng)三級要求不僅生成審計記錄，還要對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表剩余信息保護(hù)無要求通過對操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進(jìn)行安全加固配置，及時清除剩余信息的存儲空間二級無要求通信完整性采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性采用PKI體系中的完整性校驗功能進(jìn)行完整性檢查，保障通信完整性三級要求密碼技術(shù)通信保密性應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能采用VPN或PKI體系的加密功能應(yīng)用系統(tǒng)自身開發(fā)數(shù)據(jù)加密功能；采用VPN或PKI體系的加密功能保障通信保密性三級要求對整個報文或會話過程進(jìn)行加密等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析應(yīng)用安全抗抵賴無要求PKI系統(tǒng)二級無要求軟件容錯代碼審核代碼審核三級根據(jù)要求系統(tǒng)具備自動保護(hù)功能設(shè)計，故障后可以恢復(fù)資源控制部署應(yīng)用安全管理系統(tǒng)部署應(yīng)用安全管理系統(tǒng)三級要求細(xì)化加固措施，對并發(fā)連接、資源配額、系統(tǒng)服務(wù)相關(guān)閥值、系統(tǒng)服務(wù)優(yōu)先級等進(jìn)行限制和管理數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)校驗傳輸采用VPN配置存儲系統(tǒng)傳輸采用VPN三級要求在傳輸過程增加對系統(tǒng)管理數(shù)據(jù)的檢測與恢復(fù)，配置存儲系統(tǒng)等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計類別要求二級解決方案三級解決方案差異分析數(shù)據(jù)安全數(shù)據(jù)保密性應(yīng)用系統(tǒng)針對鑒別信息的存儲開發(fā)加密功能應(yīng)用系統(tǒng)針對存儲開發(fā)加密功能，利用VPN實現(xiàn)傳輸保密性三級要求實現(xiàn)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸過程的保密性備份與恢復(fù)重要信息進(jìn)行定期備份關(guān)鍵設(shè)備線路冗余本地備份與異地備份關(guān)鍵設(shè)備線路冗余設(shè)計三級要求進(jìn)行每天數(shù)據(jù)備份且要求實現(xiàn)異地備份；等級保護(hù)整改方案設(shè)計——之技術(shù)設(shè)計

1、落實安全管理機(jī)構(gòu)及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃2、開發(fā)安全策略3、實施風(fēng)險管理4、制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃5、選擇與實施安全措施8、進(jìn)行安全審計9、保證維護(hù)支持7、保證配置、變更的正確與安全10、進(jìn)行監(jiān)控、檢查，處理安全事件11、安全意識安全教育信息安全管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計6、人員安全管理信息系統(tǒng)安全管理是對一個組織機(jī)構(gòu)中信息系統(tǒng)的生存周期全過程實施符合安全等級責(zé)任要求的管理。安全管理內(nèi)容等級保護(hù)整改方案設(shè)計——之管理設(shè)計信息安全管理原則a）基于安全需求b）主要領(lǐng)導(dǎo)負(fù)責(zé)c)全員參與d）系統(tǒng)方法i）分級保護(hù)j）管理與技術(shù)并重k）自保護(hù)和國家監(jiān)管結(jié)合e）持續(xù)改進(jìn)f）依法管理g）分權(quán)和授權(quán)H）選用成熟技術(shù)明確主管領(lǐng)導(dǎo)、落實責(zé)任部門落實安全崗位和人員信息系統(tǒng)安全管理現(xiàn)狀分析&項目實施方案詳細(xì)設(shè)計確定安全管理策略、制定安全管理制度安全自查和調(diào)整系統(tǒng)建設(shè)管理落實安全管理措施人員安全管理環(huán)境和資產(chǎn)管理設(shè)備和介質(zhì)管理日常運(yùn)行維護(hù)集中安全管理事件處置和應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測……系統(tǒng)運(yùn)維管理管理建設(shè)流程等級保護(hù)整改方案設(shè)計——之管理設(shè)計

等級保護(hù)整改方案設(shè)計——之管理設(shè)計管理建設(shè)流程

策略與制度文檔管理基本較完整體系化強(qiáng)制保護(hù)?？乇Ｗo(hù)信息安全管理策略安全管理規(guī)章制度策略與制度文檔的評審和修訂策略與制度文檔的保管安全管理目標(biāo)與范圍總體安全管理策略安全管理策略的制定安全管理策略的發(fā)布

安全管理規(guī)章制度內(nèi)容安全管理規(guī)章制度的制定策略和制度(第一級第二級第三極第四級第五級)等級保護(hù)整改方案設(shè)計——之管理設(shè)計

安全管理人員配備關(guān)鍵崗位人員管理人員錄用管理人員離崗人員考核與審查第三方人員管理信息安全教育信息安全專家建立安全管理機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組信息安全職能部門設(shè)置集中管理機(jī)構(gòu)集中管理機(jī)構(gòu)職能機(jī)構(gòu)和人員管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計人員管理教育和培訓(xùn)安全管理機(jī)構(gòu)安全機(jī)制集中管理機(jī)構(gòu)(第一級第二級第三極第四級第五級)主管領(lǐng)導(dǎo)（主管安全）領(lǐng)導(dǎo)小組組長信息安全領(lǐng)導(dǎo)小組業(yè)務(wù)部門負(fù)責(zé)人成員安全部門負(fù)責(zé)人工作組組長管理部門負(fù)責(zé)人成員部門安全管理員成員部門安全管理員成員安全辦公室負(fù)責(zé)人負(fù)責(zé)人安全管理員安全技術(shù)員信息安全工作組信息安全辦公室等級保護(hù)整改方案設(shè)計——之管理設(shè)計風(fēng)險控制)基于風(fēng)險的決策風(fēng)險管理要求和策略風(fēng)險分析和評估基于安全等級標(biāo)準(zhǔn)選擇控制措施基于風(fēng)險評估選擇控制措施基于風(fēng)險評估形成防護(hù)控制系統(tǒng)安全確認(rèn)：殘余風(fēng)險接受、殘余風(fēng)險監(jiān)視、安全風(fēng)險再評估信息系統(tǒng)運(yùn)行決策：運(yùn)行決定、受控運(yùn)行風(fēng)險管理要求：基本風(fēng)險管理-定期風(fēng)險評估-規(guī)范風(fēng)險評估-獨(dú)立審計的風(fēng)險管-全面風(fēng)險管理風(fēng)險管理策略：基本的風(fēng)險管理策略-風(fēng)險管理的監(jiān)督機(jī)制-風(fēng)險評估的重新啟動資產(chǎn)識別和分析威脅識別和分析脆弱性識別和分析風(fēng)險分析和評估要求風(fēng)險管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計(第一級第二級第三極第四級第五級)風(fēng)險評估的管理評估機(jī)構(gòu)的選擇評估機(jī)構(gòu)保密要求評估信息的管理技術(shù)測試過程管理風(fēng)險評估內(nèi)容管理層面技術(shù)層面物理安全機(jī)房等重點IT設(shè)施環(huán)境網(wǎng)絡(luò)安全網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備主機(jī)安全服務(wù)器、PC終端應(yīng)用安全應(yīng)用業(yè)務(wù)系統(tǒng)、Web應(yīng)用數(shù)據(jù)安全數(shù)據(jù)通信安全、存儲安全及備份安全管理機(jī)構(gòu)崗位設(shè)置、人員配備…安全管理制度制定發(fā)布，評審修訂…系統(tǒng)建設(shè)管理定級、安全方案設(shè)計…系統(tǒng)運(yùn)維管理環(huán)境管理、資產(chǎn)管理…人員錄用，人員離崗…人員安全管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計環(huán)境安全管理資源管理

環(huán)境安全管理要求機(jī)房安全管理要求辦公環(huán)境安全管理要求資產(chǎn)清單管理資產(chǎn)的分類與標(biāo)識要求介質(zhì)管理設(shè)備管理要求環(huán)境和資源管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計(第一級第二級第三極第四級第五級)運(yùn)行維護(hù)管理)用戶管理運(yùn)行操作管理運(yùn)行和維護(hù)管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計(第一級第二級第三極第四級第五級)外包服務(wù)管理安全機(jī)制集中控管安全信息集中管理安全機(jī)制整合要求安全機(jī)制整合的處理方式身份鑒別機(jī)制訪問控制機(jī)制系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)安全病毒防護(hù)密碼外包服務(wù)合同外包服務(wù)商外包服務(wù)的運(yùn)行管理日常運(yùn)行安全運(yùn)行狀況監(jiān)控軟件硬件維護(hù)外部服務(wù)方訪問服務(wù)器操作終端計算機(jī)便攜機(jī)網(wǎng)絡(luò)及安全設(shè)備業(yè)務(wù)應(yīng)用變更控制和重用管理信息交換管理用戶分類管理系統(tǒng)用戶要求普通用戶要求機(jī)構(gòu)外部用戶要求臨時用戶要求安全機(jī)制保障（管理要求）安全集中管理應(yīng)急處理備份與恢復(fù)安全事件處理應(yīng)急處理和災(zāi)難恢復(fù)應(yīng)急計劃應(yīng)急計劃的實施保障數(shù)據(jù)備份和恢復(fù)設(shè)備和系統(tǒng)的備份與冗余安全事件劃分安全事件報告和響應(yīng)業(yè)務(wù)連續(xù)性管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計(第一級第二級第三極第四級第五級)

審計及監(jiān)管控制責(zé)任認(rèn)定符合法律要求依從性檢查審計控制監(jiān)管控制審計結(jié)果的責(zé)任認(rèn)定審計及監(jiān)管者責(zé)任的認(rèn)定知曉適用的法律知識產(chǎn)權(quán)管理保護(hù)證據(jù)記錄檢查和改進(jìn)安全策略依從性檢查技術(shù)依從性檢查監(jiān)督和檢查管理等級保護(hù)整改方案設(shè)計——之管理設(shè)計(第一級第二級第三極第四級第五級)

方案論證將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)整改方案。組織專家對安全建設(shè)整改方案進(jìn)行評審論證，形成評審意見。第三級（含）以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報公安機(jī)關(guān)備案，并組織實施安全建設(shè)整改工程。等級保護(hù)整改方案設(shè)計——之管理設(shè)計等級保護(hù)背景與必要性1等級保護(hù)整改方案設(shè)計4SSP等保安全服務(wù)平臺5等級保護(hù)安全檢查與整改6等級保護(hù)安全等級劃分2等級保護(hù)安全建設(shè)模型3目錄安全服務(wù)平臺的構(gòu)成一套流程一套系統(tǒng)一套隊伍收集安全事件統(tǒng)一格式規(guī)則制定關(guān)聯(lián)分析案例庫統(tǒng)一規(guī)范的監(jiān)控標(biāo)準(zhǔn)保證服務(wù)水平大于個人能力服務(wù)過程的可重復(fù)、可審計確保服務(wù)的效果、效率和適用性7*24小時不間斷實時監(jiān)控CISSP，ITIL認(rèn)證人員專業(yè)性的深入分析全面的知識庫SSP等保安全服務(wù)平臺SSP等保安全服務(wù)平臺安全服務(wù)平臺-安全運(yùn)營中心推出7*24小時安全服務(wù)平臺為客戶提供安全服務(wù)平臺建設(shè)服務(wù)技術(shù)培訓(xùn)服務(wù)安全服務(wù)平臺實現(xiàn)的功能信息資產(chǎn)管理信息資產(chǎn)訪問監(jiān)控管理脆弱性管理安全狀態(tài)監(jiān)控異常事件管理安全預(yù)警與響應(yīng)體系與國家等級保護(hù)政策、BS7799、SOX法案保持一致業(yè)務(wù)與應(yīng)用群組SSP等保安全服務(wù)平臺SSP等保安全服務(wù)平臺等保技術(shù)要求等保管理要求神州數(shù)碼SSP人員系統(tǒng)流程安全預(yù)警安管中心ITIL運(yùn)維SupportSupport安全響應(yīng)制度執(zhí)行安全服務(wù)環(huán)境和資產(chǎn)安全管理設(shè)備和介質(zhì)安全管理日常運(yùn)行維護(hù)集中安全管理事件處置與應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測其他安全管理物理安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全主機(jī)系統(tǒng)安全應(yīng)用系統(tǒng)安全備份和恢復(fù)安全事件分析安全審計設(shè)備監(jiān)控日志分析可視化管理信息綜合處理安全服務(wù)平臺與等保SSP部署總部SSP分支1SSP代理分支2SSP代理分支3SSP代理將安全設(shè)備／服務(wù)器的狀態(tài)和日志統(tǒng)一集中到一個SSP上，使管理人員從一臺監(jiān)控端上就能查看、關(guān)聯(lián)、分析不同的狀態(tài)和日志，有效評估現(xiàn)有安全狀態(tài)，為管理層信息化投資決策提供適當(dāng)報告和依據(jù)。SSP體系結(jié)構(gòu)SSP等保安全服務(wù)平臺安全儀表盤（Dashboard）

從宏觀的角度，向管理員展示了全局的安全態(tài)勢。事件統(tǒng)計告警統(tǒng)計設(shè)備狀態(tài)攻擊呈現(xiàn)威脅監(jiān)視實時報表SSP等保安全服務(wù)平臺設(shè)備狀態(tài)監(jiān)控列表實時監(jiān)視關(guān)鍵狀態(tài)異常問題顏色報警監(jiān)視內(nèi)容處理器內(nèi)存磁盤網(wǎng)絡(luò)接口連接狀態(tài)SSP等保安全服務(wù)平臺安全信息綜合處理3條事件風(fēng)險管理分類20000條事件1200條事件110條事件10條事件融合關(guān)聯(lián)歸一結(jié)果SSP等保安全服務(wù)平臺事件歸一化歸一化引擎統(tǒng)一格式的事件輸出SSP等保安全服務(wù)平臺資產(chǎn)價值脆弱性安全事件關(guān)聯(lián)引擎綁定規(guī)則自定義規(guī)則基于規(guī)則的關(guān)聯(lián)源目的地址工具方式攻擊時間網(wǎng)絡(luò)服務(wù)類型基于統(tǒng)計的關(guān)聯(lián)基于漏洞的關(guān)聯(lián)主動威脅按嚴(yán)重程度建的索引事件關(guān)聯(lián)SSP等保安全服務(wù)平臺事件可視化安全事件統(tǒng)計

安全事件報表

入侵防護(hù)類 流量報表

……TOP事件統(tǒng)計

入侵共計TOP10

流量TOP10

用戶訪問TOP10

安全事件分類

SSP等保安全服務(wù)平臺知識庫管理為運(yùn)維管理提供技術(shù)支撐為管理員提供問題解決指導(dǎo)關(guān)聯(lián)規(guī)則庫、漏洞知識庫、安全文檔庫、安全經(jīng)驗庫…SSP等保安全服務(wù)平臺運(yùn)維服務(wù)支撐機(jī)房管理制度獎懲制度人員安全意識與技能培訓(xùn)值班制度職責(zé)監(jiān)督角色輪換人員變更管理流程實現(xiàn)的基礎(chǔ)是制度SSP等保安全服務(wù)平臺運(yùn)維服務(wù)流程值班監(jiān)控流程事件處理流程問題管理節(jié)假日應(yīng)急預(yù)案備份流程系統(tǒng)變更管理參觀訪問申請安全服務(wù)平臺流程SSP等保安全服務(wù)平臺值班流程SSP等保安全服務(wù)平臺序號服務(wù)名稱服務(wù)清單詳細(xì)服務(wù)內(nèi)容1安全評估服務(wù)漏洞掃描WEB掃描口令強(qiáng)度檢查

邊界完整性檢查非法外聯(lián)檢查補(bǔ)丁檢查服務(wù)描述：一次性安全評估服務(wù)。安全評估服務(wù)包括掃描評估和人工評估兩部分進(jìn)行，并根據(jù)兩個部分的評估結(jié)果向客戶出具評估報告和相應(yīng)得解決方法。漏洞掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡(luò)安全掃描工具對信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，對被評估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，能較真實地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅。人工評估是對漏洞掃描力所不能及的一種互補(bǔ)，通過安全專家直接登錄系統(tǒng)，對系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)系統(tǒng)的安全性其豐富的經(jīng)驗進(jìn)行更加細(xì)?；娘L(fēng)險、威脅查找分析。服務(wù)方式：安全工程師現(xiàn)場提供服務(wù)服務(wù)目標(biāo)：評估所有設(shè)備的安全漏洞和安全威脅。SSP等保安全服務(wù)平臺——之安全服務(wù)安全服務(wù)項介紹序號服務(wù)名稱服務(wù)清單詳細(xì)服務(wù)內(nèi)容2安全加固服務(wù)打補(bǔ)丁修改安全配置增加安全機(jī)制系統(tǒng)優(yōu)化更新惡意代碼庫更新病毒庫終端安全加固服務(wù)描述：一次性安全加固服務(wù)。安全加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)優(yōu)化方案，針對不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。服務(wù)方式：安全工程師現(xiàn)場提供服務(wù)服務(wù)目標(biāo)：通過加固盡可能解決所有設(shè)備的安全漏洞和安全威脅。SSP等保安全服務(wù)平臺——之安全服務(wù)序號服務(wù)名稱服務(wù)清單詳細(xì)服務(wù)內(nèi)容3安全事件監(jiān)控服務(wù)網(wǎng)絡(luò)設(shè)備事件監(jiān)控網(wǎng)絡(luò)安全設(shè)備事件監(jiān)控主機(jī)事件監(jiān)控應(yīng)用事件監(jiān)控數(shù)據(jù)庫事件監(jiān)控中間件事件監(jiān)控服務(wù)描述：實時收集客戶設(shè)備和系統(tǒng)的安全事件信息，提供安全監(jiān)視面板，安全事件查詢，安全報警信息等。通過安全管理平臺，對客戶部署在網(wǎng)絡(luò)中的不同型號的服務(wù)器、防火墻、入侵監(jiān)測、防病毒等安全設(shè)備、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行集中的監(jiān)控分析，對于設(shè)備的安全事件統(tǒng)計分析，安全報警等情況，提供基于web的圖形化的監(jiān)視儀表板等。服務(wù)方式：遠(yuǎn)程采集數(shù)據(jù)，提供客戶Web入口服務(wù)目標(biāo)：提供實時事件監(jiān)視，事件查詢，報警查詢等。服務(wù)時間：1)5×82)7×24SSP等保安全服務(wù)平臺——之安全服務(wù)序號服務(wù)名稱服務(wù)清單詳細(xì)服務(wù)內(nèi)容4網(wǎng)絡(luò)狀態(tài)監(jiān)控服務(wù)網(wǎng)絡(luò)設(shè)備狀態(tài)監(jiān)控網(wǎng)絡(luò)安全設(shè)備狀態(tài)監(jiān)控主機(jī)狀態(tài)監(jiān)控應(yīng)用狀態(tài)監(jiān)控數(shù)據(jù)庫狀態(tài)監(jiān)控中間件狀態(tài)監(jiān)控