信息安全等級(jí)保護(hù)安全建設(shè)方案制定與實(shí)施

目錄信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理信息安全等級(jí)保護(hù)建設(shè)整改以安全保發(fā)展發(fā)展中求安全

工具掃描人工分析滲透測(cè)試調(diào)研訪談?wù){(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距電力供應(yīng)電磁防護(hù)互聯(lián)網(wǎng)區(qū)應(yīng)用存儲(chǔ)區(qū)辦公網(wǎng)區(qū)辦公終端應(yīng)用存儲(chǔ)服務(wù)器互聯(lián)網(wǎng)服務(wù)器安全審計(jì)身份鑒別訪問控制結(jié)構(gòu)安全訪問控制身份鑒別安全審計(jì)訪問控制入侵防范存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)備份和恢復(fù)完整性保密性調(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距應(yīng)用層主機(jī)層網(wǎng)絡(luò)層物理層數(shù)據(jù)層計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)通信安全管理調(diào)查現(xiàn)狀，分析風(fēng)險(xiǎn)和差距確定框架，制定整改方案依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》參照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》引入“安全域”的概念，強(qiáng)化訪問控制安全技術(shù)控制策略安全管理控制策略總體方案-要點(diǎn)關(guān)鍵點(diǎn)：安全技術(shù)+安全管理實(shí)施統(tǒng)一的訪問控制策略實(shí)施統(tǒng)一的安全控制策略關(guān)鍵點(diǎn)：劃分安全域分析訪問，合理設(shè)計(jì)安全策略梳理各個(gè)應(yīng)用系統(tǒng)連接及訪問用戶業(yè)務(wù)安全分析-用戶、操作和數(shù)據(jù)業(yè)務(wù)風(fēng)險(xiǎn)控制業(yè)務(wù)應(yīng)用主機(jī)組件應(yīng)用平臺(tái)網(wǎng)絡(luò)業(yè)務(wù)安全需求安全功能實(shí)現(xiàn)數(shù)據(jù)庫

功能組件支撐安全功能實(shí)現(xiàn)安全軟件環(huán)境安全邊界安全傳輸通道程序安全組件安全主機(jī)安全網(wǎng)絡(luò)安全“業(yè)務(wù)+系統(tǒng)”安全=整體安全策略結(jié)合實(shí)際，部署實(shí)施安全措施技術(shù)策略技術(shù)框架3G安全I(xiàn)PSec……日志采集審計(jì)分析令牌技術(shù)認(rèn)證協(xié)議強(qiáng)制訪問控制ACL網(wǎng)絡(luò)流量控制數(shù)據(jù)防泄漏匿名技術(shù)數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)補(bǔ)丁管理威脅檢測(cè)對(duì)稱密碼技術(shù)非對(duì)稱密碼技術(shù)實(shí)現(xiàn)實(shí)現(xiàn)實(shí)現(xiàn)選擇和目標(biāo)一致的安全產(chǎn)品三級(jí)：73個(gè)控制點(diǎn)290控制項(xiàng)參考安全產(chǎn)品對(duì)照（參考）參考安全產(chǎn)品對(duì)照（參考）業(yè)務(wù)用戶登錄界面/帳號(hào)/驗(yàn)證數(shù)據(jù)庫帳號(hào)/驗(yàn)證組件調(diào)用協(xié)議/帳號(hào)/驗(yàn)證系統(tǒng)運(yùn)行服務(wù)帳號(hào)/驗(yàn)證網(wǎng)絡(luò)訪問控制落實(shí)控制策略-縱深防御管理員登錄界面/帳號(hào)/驗(yàn)證“一個(gè)中心、三重防護(hù)”為指導(dǎo)思想進(jìn)行整體設(shè)計(jì)強(qiáng)化信息維護(hù)和系統(tǒng)維護(hù)人員系統(tǒng)的訪問控制策略設(shè)計(jì)強(qiáng)化安全域之間的邊界訪問控制策略逐步實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)的系統(tǒng)審計(jì)機(jī)制強(qiáng)化訪問控制策略信息安全領(lǐng)導(dǎo)小組信息安全主管（部門）安全管理員安全審計(jì)員系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員決策、監(jiān)督應(yīng)用系統(tǒng)管理員管理執(zhí)行落實(shí)信息安全責(zé)任制建立安全組織（舉例）方針策略信息安全工作的綱領(lǐng)性文件。

制度辦法在安全策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來規(guī)范各部門處室安全管理工作。流程細(xì)則細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來支撐第二層對(duì)應(yīng)的制度與管理辦法的有效實(shí)施。記錄表單記錄活動(dòng)實(shí)行以符合等級(jí)1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動(dòng)的證據(jù)運(yùn)行記錄方針策略實(shí)施細(xì)則與流程制度與管理辦法編寫安全管理制度目錄整改方案的技術(shù)路線信息安全體系框架信息安全管理體系信息安全技術(shù)體系信息安全運(yùn)行體系人員安全制度標(biāo)準(zhǔn)弱點(diǎn)加固備份恢復(fù)決策-管理-執(zhí)行-監(jiān)督資源管理狀態(tài)檢測(cè)防惡技術(shù)物理技術(shù)意識(shí)-技能-職稱-培訓(xùn)-考核方針策略-制度規(guī)范-流程表單監(jiān)控監(jiān)測(cè)內(nèi)容安全日常運(yùn)行管理配置管理變更管理問題管理事件管理風(fēng)險(xiǎn)管理監(jiān)督檢查介質(zhì)管理環(huán)境管理應(yīng)急響應(yīng)運(yùn)行監(jiān)控審計(jì)安全管理中心物理網(wǎng)絡(luò)主機(jī)應(yīng)用數(shù)據(jù)系統(tǒng)建設(shè)安全計(jì)算環(huán)境安全區(qū)域邊界安全網(wǎng)絡(luò)通信安全保護(hù)對(duì)象定級(jí)備案設(shè)計(jì)開發(fā)實(shí)施測(cè)試驗(yàn)收交付服務(wù)商信息安全體系安全目標(biāo)、總體安全策略弱點(diǎn)加固狀態(tài)檢測(cè)防惡技術(shù)監(jiān)控監(jiān)測(cè)內(nèi)容安全測(cè)評(píng)檢查系統(tǒng)管理安全管理審計(jì)管理《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》公信安[2009]1429號(hào)……力爭(zhēng)在2012年底前完成已定級(jí)信息系統(tǒng)安全建設(shè)整改工作?！豆矙C(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》公信安[2008]736號(hào)……第三條信息安全等級(jí)保護(hù)檢查工作由市（地）級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)實(shí)施?！谑龡l檢查時(shí)，發(fā)現(xiàn)不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，具有下列情形之一的，應(yīng)當(dāng)通知其運(yùn)營(yíng)使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書》（以下簡(jiǎn)稱《整改通知》，見附件3）。逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)（通報(bào)書見附件4）：……《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》公信安[2010]303號(hào)……督促備案單位開展信息系統(tǒng)等級(jí)測(cè)評(píng)工作，確保安全建設(shè)整改工作的順利開展。督促信息系統(tǒng)備案單位盡快委托測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)，2010年底前完成測(cè)評(píng)體系建設(shè)，并完成30%第三級(jí)（含）以上信息系統(tǒng)的測(cè)評(píng)工作，2011年底前完成第三級(jí)（含）以上信息系統(tǒng)的測(cè)評(píng)工作，2012年底之前完成第三級(jí)（含）以上信息系統(tǒng)的安全建設(shè)整改工作?！蛾P(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）該文件要求非涉密國(guó)家電子政務(wù)項(xiàng)目開展等級(jí)測(cè)評(píng)和信息安全風(fēng)險(xiǎn)評(píng)估要按照《信息安全等級(jí)保護(hù)管理辦法》進(jìn)行，明確了項(xiàng)目驗(yàn)收條件：公安機(jī)關(guān)頒發(fā)