信息安全等級保護安全建設(shè)方案制定與實施

目錄信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全保護現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物理安全網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理信息安全等級保護建設(shè)整改以安全保發(fā)展發(fā)展中求安全

工具掃描人工分析滲透測試調(diào)研訪談?wù){(diào)查現(xiàn)狀，分析風(fēng)險和差距電力供應(yīng)電磁防護互聯(lián)網(wǎng)區(qū)應(yīng)用存儲區(qū)辦公網(wǎng)區(qū)辦公終端應(yīng)用存儲服務(wù)器互聯(lián)網(wǎng)服務(wù)器安全審計身份鑒別訪問控制結(jié)構(gòu)安全訪問控制身份鑒別安全審計訪問控制入侵防范存儲數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)備份和恢復(fù)完整性保密性調(diào)查現(xiàn)狀，分析風(fēng)險和差距應(yīng)用層主機層網(wǎng)絡(luò)層物理層數(shù)據(jù)層計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)通信安全管理調(diào)查現(xiàn)狀，分析風(fēng)險和差距確定框架，制定整改方案依據(jù)《信息系統(tǒng)安全等級保護基本要求》參照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》引入“安全域”的概念，強化訪問控制安全技術(shù)控制策略安全管理控制策略總體方案-要點關(guān)鍵點：安全技術(shù)+安全管理實施統(tǒng)一的訪問控制策略實施統(tǒng)一的安全控制策略關(guān)鍵點：劃分安全域分析訪問，合理設(shè)計安全策略梳理各個應(yīng)用系統(tǒng)連接及訪問用戶業(yè)務(wù)安全分析-用戶、操作和數(shù)據(jù)業(yè)務(wù)風(fēng)險控制業(yè)務(wù)應(yīng)用主機組件應(yīng)用平臺網(wǎng)絡(luò)業(yè)務(wù)安全需求安全功能實現(xiàn)數(shù)據(jù)庫

功能組件支撐安全功能實現(xiàn)安全軟件環(huán)境安全邊界安全傳輸通道程序安全組件安全主機安全網(wǎng)絡(luò)安全“業(yè)務(wù)+系統(tǒng)”安全=整體安全策略結(jié)合實際，部署實施安全措施技術(shù)策略技術(shù)框架3G安全IPSec……日志采集審計分析令牌技術(shù)認證協(xié)議強制訪問控制ACL網(wǎng)絡(luò)流量控制數(shù)據(jù)防泄漏匿名技術(shù)數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)補丁管理威脅檢測對稱密碼技術(shù)非對稱密碼技術(shù)實現(xiàn)實現(xiàn)實現(xiàn)選擇和目標一致的安全產(chǎn)品三級：73個控制點290控制項參考安全產(chǎn)品對照（參考）參考安全產(chǎn)品對照（參考）業(yè)務(wù)用戶登錄界面/帳號/驗證數(shù)據(jù)庫帳號/驗證組件調(diào)用協(xié)議/帳號/驗證系統(tǒng)運行服務(wù)帳號/驗證網(wǎng)絡(luò)訪問控制落實控制策略-縱深防御管理員登錄界面/帳號/驗證“一個中心、三重防護”為指導(dǎo)思想進行整體設(shè)計強化信息維護和系統(tǒng)維護人員系統(tǒng)的訪問控制策略設(shè)計強化安全域之間的邊界訪問控制策略逐步實現(xiàn)基于安全策略模型和標記的強制訪問控制以及增強的系統(tǒng)審計機制強化訪問控制策略信息安全領(lǐng)導(dǎo)小組信息安全主管（部門）安全管理員安全審計員系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員決策、監(jiān)督應(yīng)用系統(tǒng)管理員管理執(zhí)行落實信息安全責(zé)任制建立安全組織（舉例）方針策略信息安全工作的綱領(lǐng)性文件。

制度辦法在安全策略的指導(dǎo)下，制定的各項安全管理和技術(shù)制度、辦法和準則，用來規(guī)范各部門處室安全管理工作。流程細則細化的實施細則、管理技術(shù)標準等內(nèi)容，用來支撐第二層對應(yīng)的制度與管理辦法的有效實施。記錄表單記錄活動實行以符合等級1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動的證據(jù)運行記錄方針策略實施細則與流程制度與管理辦法編寫安全管理制度目錄整改方案的技術(shù)路線信息安全體系框架信息安全管理體系信息安全技術(shù)體系信息安全運行體系人員安全制度標準弱點加固備份恢復(fù)決策-管理-執(zhí)行-監(jiān)督資源管理狀態(tài)檢測防惡技術(shù)物理技術(shù)意識-技能-職稱-培訓(xùn)-考核方針策略-制度規(guī)范-流程表單監(jiān)控監(jiān)測內(nèi)容安全日常運行管理配置管理變更管理問題管理事件管理風(fēng)險管理監(jiān)督檢查介質(zhì)管理環(huán)境管理應(yīng)急響應(yīng)運行監(jiān)控審計安全管理中心物理網(wǎng)絡(luò)主機應(yīng)用數(shù)據(jù)系統(tǒng)建設(shè)安全計算環(huán)境安全區(qū)域邊界安全網(wǎng)絡(luò)通信安全保護對象定級備案設(shè)計開發(fā)實施測試驗收交付服務(wù)商信息安全體系安全目標、總體安全策略弱點加固狀態(tài)檢測防惡技術(shù)監(jiān)控監(jiān)測內(nèi)容安全測評檢查系統(tǒng)管理安全管理審計管理《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》公信安[2009]1429號……力爭在2012年底前完成已定級信息系統(tǒng)安全建設(shè)整改工作?！豆矙C關(guān)信息安全等級保護檢查工作規(guī)范》公信安[2008]736號……第三條信息安全等級保護檢查工作由市（地）級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負責(zé)實施?！谑龡l檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準要求，具有下列情形之一的，應(yīng)當通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》（以下簡稱《整改通知》，見附件3）。逾期不改正的，給予警告，并向其上級主管部門通報（通報書見附件4）：……《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》公信安[2010]303號……督促備案單位開展信息系統(tǒng)等級測評工作，確保安全建設(shè)整改工作的順利開展。督促信息系統(tǒng)備案單位盡快委托測評機構(gòu)開展等級測評，2010年底前完成測評體系建設(shè)，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作?！蛾P(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技[2008]2071號）該文件要求非涉密國家電子政務(wù)項目開展等級測評和信息安全風(fēng)險評估要按照《信息安全等級保護管理辦法》進行，明確了項目驗收條件：公安機關(guān)頒發(fā)