啟明星辰公司等級保護三級系統(tǒng)設(shè)計方案

概述工程概況隨著我國信息技術(shù)的快速進展，計算機及信息網(wǎng)絡(luò)對促進國民經(jīng)濟和社會進展發(fā)揮著日益重要的作用。加強對重要領(lǐng)域內(nèi)計算機信息系統(tǒng)安全保護工作的監(jiān)視治理，打擊各類計算機違法犯罪活動，是我國信息化順當(dāng)進展的重要保障。為加大依法治理信息網(wǎng)絡(luò)安全工作的力度，維護國家安全和社會安定，維護信息網(wǎng)絡(luò)安全，使我國計算機信息系統(tǒng)的安全保護工作走上法制化、標準化、制度化治理軌道， 1994年國務(wù)院頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》。條例中規(guī)定：我國的“計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體方法，由公安部會同有關(guān)部門制定。家質(zhì)量技術(shù)監(jiān)視局公布了由公安部提出并組織制定的強制性國家標準全保護等級劃分準則》，為等級保護這一安全國策給出了技術(shù)角度的詮釋。

”19999月國GB17859-1999《計算機信息系統(tǒng)安2023年的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》〔27號文〕中指出：“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的治理方法和技術(shù)指南”。依據(jù)國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和安排，我國將在全國范圍內(nèi)全面開展信息安全等級保護工作。啟明星辰信息技術(shù)在全面表達GB17859-1999的等級化標準思想的根底上，以公安部《信息系統(tǒng)安全保護等級定級指南》和《信息系統(tǒng)安全等級保護測評準則》為主要指導(dǎo)；充分吸取近年來安全領(lǐng)域出現(xiàn)的信息系統(tǒng)安全保障理論模型和技術(shù)框架〔如IATF等〕、信息安全治理標準ISO/IEC17799：2023和ISO/IECTR13335系列標準；依據(jù)我國的信息化進呈現(xiàn)狀和我國特有的行政治理模式，提出了安全等級保護的整體框架和設(shè)計方案，為指導(dǎo)信息系統(tǒng)的建設(shè)和改進，從安全等級保護方案說明本方案是在信息系統(tǒng)經(jīng)過安全定級之后，依據(jù)信息系統(tǒng)安全等級保護的根本要求和安全目標，針對相應(yīng)的安全等級而提出的等級保護系統(tǒng)設(shè)計方案。本方案依靠于對系統(tǒng)及其子系統(tǒng)進展的準確定級，即需要定級結(jié)果作為安全規(guī)劃與設(shè)計的前提與根底。本方案應(yīng)當(dāng)作為進展信息系統(tǒng)等級保護工作部署的指南和依據(jù)?？梢砸罁?jù)本方案對于網(wǎng)絡(luò)架構(gòu)、威逼防護、策略、區(qū)域劃分、系統(tǒng)運維等多方面的安全進展設(shè)計、審查、改進和加強，是進展信息系統(tǒng)等級保護規(guī)劃和建設(shè)的參考性和有用性很強的文檔。本方案的應(yīng)用建議：——在進展某個等級保護的具體工作規(guī)劃時，可以參考方案中各個框架的描述來籌劃安全策略、需求分析、安全措施選擇等各個局部的工作?！诳紤]某一項安全建設(shè)時，可以依據(jù)本方案中對于相關(guān)的技術(shù)和治理的根本要求和安全目標進展分析?！诰唧w的信息系統(tǒng)使用到本方案進展規(guī)劃、設(shè)計和建設(shè)時，也將用作相關(guān)部門進展等級保護測評和備案時的文檔資料。本方案的讀者包括等級保護方案的設(shè)計者、工程的承建方和用戶方、信息系統(tǒng)的網(wǎng)絡(luò)安全治理人員以及項目的評審者、監(jiān)管方。設(shè)計依據(jù)——公安部《信息安全等級保護治理方法》——公安部《信息系統(tǒng)安全等級保護實施指南》——公安部《信息系統(tǒng)安全等級保護定級指南》——公安部《信息系統(tǒng)安全等級保護根本要求》——公安部《信息系統(tǒng)安全等級保護測評準則》——《北京市黨政機關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全定級指南》——《北京市電子政務(wù)信息安全保障技術(shù)框架》——《北京市公共效勞網(wǎng)絡(luò)與信息系統(tǒng)安全治理規(guī)定》——DB11/T171-2023《黨政機關(guān)信息系統(tǒng)安全測評標準》——ISO/IEC17799信息安全治理標準ISO/IECTR13335系列標準——信息系統(tǒng)安全保障理論模型和技術(shù)框架IATF——《信息安全等級保護治理方法》〔公通字[2023]43號〕

〔市政第163令〕方案總體設(shè)計設(shè)計目標信息安全等級保護，是指對國家隱秘信息、公民、法人和其他組織的專有信息、公開信息及存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級治理，對信息系統(tǒng)中產(chǎn)生的信息安全大事分等級響應(yīng)、處置。本方案側(cè)重于實現(xiàn)對信息、信息系統(tǒng)的分等級安全保護的設(shè)計目標。總體設(shè)計目標：以信息系統(tǒng)的實際狀況和現(xiàn)實問題為根底，遵照國家的法律法規(guī)和標準標準，參照國際的安全標準和最正確實踐，依據(jù)相應(yīng)等級信息系統(tǒng)的根本要求和安全目標，設(shè)計出等級化、符合系統(tǒng)特點、融治理和技術(shù)為一體的整體安全保障體系，指導(dǎo)信息系統(tǒng)的等級保護建設(shè)工作。不同級別的信息系統(tǒng)應(yīng)具備不同的安全保護力量，3級的信息系統(tǒng)應(yīng)具備的根本安全保護力量要求〔具體設(shè)計目標〕如下：應(yīng)具有能夠?qū)箒碜源笮偷?、有組織的團體〔如一個商業(yè)情報組織或犯罪組織等〕，擁有較為豐富資源括人員力量、計算力量等〕的威逼源發(fā)起的惡意攻擊、較為嚴峻的自然災(zāi)難〔災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、掩蓋范圍較廣〔地區(qū)性〕等〕以及其他相當(dāng)危害程度〔內(nèi)部人員的惡意威逼、設(shè)備的較嚴峻故障等〕威逼的力量，并在威逼發(fā)生后，能夠較快恢復(fù)絕大局部功能。上述對3級的信息系統(tǒng)的根本安全保護力量要求是一種整體和抽象的描述。信息系統(tǒng)所應(yīng)當(dāng)具有的根本安全保護力量將通過表達根本安全保護力量的安全目標的提出以及實現(xiàn)安全目標的具體技術(shù)要求和治理要求的描述得到具體化。設(shè)計原則在進展等級保護系統(tǒng)解決方案設(shè)計時將遵循以下設(shè)計原則：清楚定義模型的原則：在設(shè)計信息安全保障體系時，首先要對信息系統(tǒng)進展模型抽象，這樣既能相對準確地描述信息體系的各個方面的內(nèi)容及其安全現(xiàn)狀，又能代表絕大多數(shù)地區(qū)和各種類型的信息系統(tǒng)。把信息系統(tǒng)各個內(nèi)容屬性中與安全相關(guān)的屬性抽取出來，參照 IATF〔美國信息安全保障技術(shù)框架〕，建立“保護對象框架”、“安全措施框架”、“整體保障框架”等安全框架模型，從而相對準確地描述信息系統(tǒng)的安全屬性和等級保護的規(guī)律思維。分域防護、綜合防范的原則：任何安全措施都不是確定安全的，都可能被攻破。為預(yù)防攻破一層或一類保護的攻擊行為無法破壞整個信息系統(tǒng)，需要合理劃分安全域和綜合承受多種有效措施，進展多層和多重保護。需求、風(fēng)險、代價平衡的原則：對任何類型網(wǎng)絡(luò)，確定安全難以到達，也不肯定是必需的，需正確處理需求、風(fēng)險與代價的關(guān)系，等級保護，適度防護，做到安全性與可用性相容，做到技術(shù)上可實現(xiàn)，經(jīng)濟上可執(zhí)行。技術(shù)與治理相結(jié)合原則：信息安全涉及人、技術(shù)、操作等各方面要素，單靠技術(shù)或單靠治理都不行能實現(xiàn)。因此在考慮信息系統(tǒng)信息安全時，必需將各種安全技術(shù)與運行治理機制、人員思想教育、技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。動態(tài)進展和可擴展原則：隨著網(wǎng)絡(luò)攻防技術(shù)的進一步進展，網(wǎng)絡(luò)安全需求會不斷變化，以及環(huán)境、條件、時間的限制，安全防護一步到位，一勞永逸地解決信息安全問題是不現(xiàn)實的。信息安全保障建設(shè)可先保證根本的、必需的安全性和良好的安全可擴展性，今后隨著應(yīng)用和網(wǎng)絡(luò)安全技術(shù)的進展，不斷調(diào)整安全策略，加強安全防護力度，以適應(yīng)的網(wǎng)絡(luò)安全環(huán)境，滿足的信息安全需求。設(shè)計思路保護對象框架保護對象是對信息系統(tǒng)從安全角度抽象后的描述方法，是信息系統(tǒng)內(nèi)具有相像安全保護需求的一組信息資產(chǎn)的組合。依據(jù)信息系統(tǒng)的功能特性、安全價值以及面臨威逼的相像性，信息系統(tǒng)保護對象可分為計算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)根底設(shè)施、安全措施四類。具體內(nèi)容略。保護措施。保護對象框架的示意圖如下：圖1.保護對象框架的示意圖整體保障框架就安全保障技術(shù)而言，在體系框架層次進展有效的組織，理清保護范圍、保護等級和安全措施的關(guān)系，建立合理的整體框架構(gòu)造，是對制定具體等級保護方案的重要指導(dǎo)。依據(jù)中辦發(fā)[2023]27號文件，“堅持樂觀防范、綜合防范的方針，全面提高提高信息安全防護力量”是國家信息保障工作信息安全保障涉及技術(shù)和治理兩個相互嚴密關(guān)聯(lián)的要素。信息安全不僅僅取決于信息安全技術(shù)，技術(shù)只是一個根底，安全治理是使安全技術(shù)有效發(fā)揮作用，從而到達安全保障目標的重要保證。安全保障不是單個環(huán)節(jié)、單一層面上問題的解決，必需是全方位地、多層次地從技術(shù)、治理等方面進展全面的安全設(shè)計和建設(shè)，樂觀防范、綜合防范”戰(zhàn)略要求信息系統(tǒng)整體保障綜合承受掩蓋安全保障各個環(huán)節(jié)的防護、檢測、響應(yīng)和恢復(fù)等多種安全措施和手段，對系統(tǒng)進展動態(tài)的、綜合的保護，在攻擊者成功地破壞了某個保護措施的狀況下，其它保護措施仍舊能夠有效地對系統(tǒng)進展保護，以抵擋不斷消滅的安全威逼與風(fēng)險，保證系統(tǒng)長期穩(wěn)定牢靠的運行。整體保障框架的建設(shè)應(yīng)在國家和地方、行業(yè)相關(guān)的安全政策、法規(guī)、標準、要求的指導(dǎo)下，制訂可具體操作的安全策略，并在充分利用信息安全根底設(shè)施的根底上，構(gòu)建信息系統(tǒng)的安全技術(shù)體系、安全治理體系，形成集防護、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，從而實現(xiàn)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和治理安全，以滿足信息系統(tǒng)全方位的安全保護需求。同時，由于安全的動態(tài)性，還需要建立安全風(fēng)險評估機制，在安全風(fēng)險評估的根底上，調(diào)整和完善安全策略，改進安全措施，以適應(yīng)的安全需求，滿足安全等級保護的要求，保證長期、穩(wěn)定、牢靠運行整體保障框架的示意圖如下：圖2.整體保障框架的示意圖安全措施框架安全措施框架是依據(jù)構(gòu)造化原理描述的安全措施的組合。本方案的安全措施框架是依據(jù)“樂觀防范、綜合防范”的方針，以及“治理與技術(shù)并重”的原則進展設(shè)計的。安全措施框架包括安全技術(shù)措施、安全治理措施兩大局部。安全技術(shù)措施包括安全防護系統(tǒng)〔物理防護、邊界防護、監(jiān)控檢測、安全審計和應(yīng)急恢復(fù)等子系統(tǒng)〕和安全支撐系統(tǒng)〔安全運營平臺、網(wǎng)絡(luò)治理系統(tǒng)和網(wǎng)絡(luò)信任系統(tǒng)〕。安全技術(shù)措施、安全治理措施各局部之間的關(guān)系是人〔安全機構(gòu)和人員〕，依據(jù)規(guī)章〔安全治理制度〕，使用技術(shù)工具〔安全技術(shù)〕進展操作〔系統(tǒng)建設(shè)和系統(tǒng)運維〕。安全措施框架示意圖如下：安全區(qū)域劃分不同的信息系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威逼和風(fēng)險各不一樣。如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對信息系統(tǒng)劃分安全區(qū)域，進展層次化、有重點的保護是有保證系統(tǒng)和信息安全的有效手段。按數(shù)據(jù)分類分區(qū)域分等級保護，就是按數(shù)據(jù)分類進展分級，按數(shù)據(jù)分布進展區(qū)域劃分，依據(jù)區(qū)域中數(shù)據(jù)的分類確定該區(qū)域的安全風(fēng)險等級。目的是把一個大規(guī)模簡單系統(tǒng)的安全問題，分解為更小區(qū)域的安全保護問題。這是實現(xiàn)大規(guī)模簡單信息的系統(tǒng)安全等級保護的有效方法。隨著安全區(qū)域方法的進展，覺察力圖用一種大一統(tǒng)的方法和構(gòu)造去描述一個簡單的網(wǎng)絡(luò)環(huán)境是格外困難的，即使描述出來其可操作性也值得疑心。因此，啟明星辰提出了“同構(gòu)性簡化的方法”，其根本思路是認為一個簡單的網(wǎng)絡(luò)應(yīng)當(dāng)是由一些相通的網(wǎng)絡(luò)構(gòu)造元所組成，這些網(wǎng)絡(luò)構(gòu)造元進展拼接、遞歸等方式構(gòu)造出一個大的網(wǎng)絡(luò)。可以說，構(gòu)造性簡化似乎將網(wǎng)絡(luò)分析成一種單一大分子組成的系統(tǒng)，而同構(gòu)性簡化就是將網(wǎng)絡(luò)看成一個由幾種小分子組成的系統(tǒng)?！?+1同構(gòu)性簡化”的安全域方法3+1venuscustomer的網(wǎng)絡(luò)系統(tǒng)。〔3+1構(gòu)造之外，還存在其他形式的構(gòu)造?！尘唧w來說信息系統(tǒng)依據(jù)其維護的數(shù)據(jù)類可以分為安全效勞域、安全接入域、安全互聯(lián)域以及安全治理域四類。在此根底上確定不同區(qū)域的信息系統(tǒng)安全保護等級。同一區(qū)域內(nèi)的資產(chǎn)實施統(tǒng)一的保護，如進出信息保護機制，訪問掌握，物理安全特性等。信息系統(tǒng)可以劃分為以下四個大的安全域〔3+1同構(gòu)法〕：安全接入域：由訪問同類數(shù)據(jù)的用戶終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以用戶所能訪問的安全服務(wù)域中的數(shù)據(jù)類和用戶計算機所處的物理位置來確定。安全接入域的安全等級與其所能訪問的安全效勞域的安全等級有關(guān)。當(dāng)一個安全接入域中的終端能訪問多個安全效勞域時，該安全接入域的安全等級應(yīng)與這些安全效勞域的最高安全等級一樣。安全接入域應(yīng)有明確的邊界，以便于進展保護。安全互聯(lián)域：連接傳輸共同數(shù)據(jù)的安全效勞域和安全接入域組成的互聯(lián)根底設(shè)施構(gòu)成了安全互聯(lián)域。主要包括其他域之間的互連設(shè)備，域間的邊界、域與外界的接口都在此域。安全互聯(lián)域的安全等級確實定與網(wǎng)絡(luò)所連接的安全接入域和安全效勞域的安全等級有關(guān)。安全效勞域：在局域范圍內(nèi)存儲，傳輸、處理同類數(shù)據(jù)，具有一樣安全等級保護的單一計算機〔主機 /效勞器〕或多個計算機組成了安全效勞域，不同數(shù)據(jù)在計算機的上分布狀況，是確定安全效勞域的根本依據(jù)。依據(jù)數(shù)據(jù)分布，可以有以下安全效勞域：單一計算機單一安全級別效勞域，多計算機單一安全級別效勞域，單一計算機多安全級別綜合效勞域，多計算機多安全級別綜合效勞域。安全治理域：安全系統(tǒng)的監(jiān)控治理平臺都放置在這個區(qū)域，為整個IT架構(gòu)供給集中的安全效勞，進展集中的安全治理和監(jiān)控以及響應(yīng)。具體來說可能包括如下內(nèi)容：病毒監(jiān)控中心、認證中心、安全運營中心等。安全區(qū)域3+1同構(gòu)示意圖如下：4.3+1同構(gòu)示意圖安全措施選擇27號文件指出，實行信息安全等級保護時“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威逼、薄弱環(huán)節(jié)、防護措施等進展分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進展相應(yīng)等級的安全建設(shè)和治理”。由此可見，信息系統(tǒng)等級保護可視為一個有參照系的風(fēng)險治理過程。等級保護是以等級化的保護對象、不同安全措施的選擇首先應(yīng)依據(jù)我國信息系統(tǒng)安全等級劃分的要求，設(shè)計五個等級的安全措施等級要求〔安全措施等級要求是針對五個等級信息系統(tǒng)的根本要求〕。不同等級的信息系統(tǒng)在相應(yīng)級別安全措施等級要求的根底上，進展安全措施的調(diào)整、定制和增加，并依據(jù)肯定的劃分方法組成相應(yīng)的安全措施框架，得到適用于該系統(tǒng)的安全措施。安全措施的調(diào)整主要依據(jù)綜合平衡系統(tǒng)安全要求、系統(tǒng)所面臨風(fēng)險和實施安全保護措施的成原來進展。信息系統(tǒng)安全措施選擇的原理圖如下：圖5.安全措施選擇的原理圖需求分析系統(tǒng)現(xiàn)狀現(xiàn)有措施目前，信息系統(tǒng)已經(jīng)實行了下述的安全措施：1、在物理層面上，2、在網(wǎng)絡(luò)層面上，3、在系統(tǒng)層面上，4、在應(yīng)用層面上，5、在治理層面上，具體需求等級保護技術(shù)需求要保證信息系統(tǒng)的安全牢靠，必需全面了解信息系統(tǒng)可能面臨的全部安全威逼和風(fēng)險。威逼是指可能對信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在緣由；威逼雖然有各種各樣的存在形式，但其結(jié)果是全都的，都將導(dǎo)致對信息或資源的破壞，影響信息系統(tǒng)的正常運行，破壞供給效勞的有效性、牢靠性和權(quán)威性。任何可能對信息系統(tǒng)造成危害的因素，都是對系統(tǒng)的安全威逼。威逼不僅來來自人為的破壞，也來自自然環(huán)境，包括各種人員、機構(gòu)出于各自目的的攻擊行為，系統(tǒng)自身的安全缺陷以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威逼的主要來源有：威逼發(fā)生的可能性與信息系統(tǒng)資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化為酬勞的簡潔程度、威逼的技術(shù)含量、薄弱點被利用的難易程度等因素親熱相關(guān)。被動攻擊威逼與風(fēng)險：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。主動攻擊威逼與風(fēng)險：掃描目標主機、拒絕效勞攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼〔如：特洛依木馬、病毒、后門等〕、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。鄰近攻擊威逼與風(fēng)險：毀壞設(shè)備和線路、竊取存儲介質(zhì)、偷窺口令等。分發(fā)攻擊威逼與風(fēng)險：在設(shè)備制造、安裝、維護過程中，在設(shè)備上設(shè)置隱蔽的的后門或攻擊途徑。內(nèi)部攻擊威逼與風(fēng)險：惡意修改數(shù)據(jù)和安全機制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。安全是不能僅僅靠技術(shù)來保證，單純的技術(shù)都無法實現(xiàn)確定的安全，必需要有相應(yīng)的組織治理體制協(xié)作、支撐，才能確保信息系統(tǒng)安全、穩(wěn)定運行。治理安全是整體安全中重要的組成局部。信息系統(tǒng)安全治理雖然得到了肯定的落實，但由于人員編等級保護治理需求制有限，安全的專業(yè)性、簡單性、不行估量性等，在治理機構(gòu)、治理制度、人員安全、系統(tǒng)建設(shè)、系統(tǒng)運維等安全治理方面存在一些安全隱患：——治理機構(gòu)方面:——治理制度方面:——人員安全方面:——系統(tǒng)建設(shè)方面:——系統(tǒng)運維方面:安全策略總體安全策略——遵循國家、地方、行業(yè)相關(guān)法規(guī)和標準；——貫徹等級保護和分域保護的原則；——治理與技術(shù)并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防范體系；——充分依托已有的信息安全根底設(shè)施，加快、加強信息安全保障體系建設(shè)。——第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進展基于安全策略強制的安全保護力量?！诩夹g(shù)策略方面：——在治理策略方面:具體安全策略安全域內(nèi)部策略略安全域邊界策略略略安全域互聯(lián)策略安全解決方案不同的安全等級要求具有不同的根本安全保護力量，實現(xiàn)根本安全保護力量將通過選用適宜的安全措施或安全掌握來保證，可以使用的安全措施或安全掌握表現(xiàn)為安全根本要求，依據(jù)實現(xiàn)方式的不同，信息系統(tǒng)等級保護的安全根本要求分為技術(shù)要求和治理要求兩大類。技術(shù)類安全要求通常與信息系統(tǒng)供給的技術(shù)安全機制有關(guān)，主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；治理類安全要求通常與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要是通過掌握各種角色的活動，從政策、制度、標準、流程以及記錄等方面做出規(guī)定來實現(xiàn)。依據(jù)威逼分析、安全策略中提出的根本要求和安全目標，在整體保障框架的指導(dǎo)下，本節(jié)將就具體的安全技術(shù)措施和安全治理措施來設(shè)計安全解決方案，以滿足相應(yīng)等級的根本安全保護力量。安全技術(shù)體系安全防護系統(tǒng)邊界防護系統(tǒng)略監(jiān)控檢測系統(tǒng)略安全審計系統(tǒng)略應(yīng)急恢復(fù)系統(tǒng)略安全支撐系統(tǒng)安全運營平臺略網(wǎng)絡(luò)治理系統(tǒng)略網(wǎng)絡(luò)信任系統(tǒng)略安全治理體系安全治理機構(gòu)略安全治理制度略人員安全治理略系統(tǒng)建設(shè)治理系統(tǒng)定級系統(tǒng)備案安全方案設(shè)計產(chǎn)品選購自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全測評。具體內(nèi)容略去。系統(tǒng)運維治理略安全效勞技術(shù)類的安全要求可以通過在信息系統(tǒng)中部署安全產(chǎn)品來實現(xiàn)，同時需要對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件的安全功能的正確配置，這需要通過安全評估和加固等安全效勞來完成；治理類的安全要求需要通過管理詢問效勞來完善，以實現(xiàn)IT運維治理標準化和標準化，提高安全治理的水平。風(fēng)險評估效勞安全風(fēng)險評估效勞可以為組織：——評估和分析在網(wǎng)絡(luò)上存在的安全技術(shù)風(fēng)險；——分析業(yè)務(wù)運作和治理方面存在的安全缺陷；——調(diào)查信息系統(tǒng)的現(xiàn)有安全掌握措施，評價組織的業(yè)務(wù)安全風(fēng)險擔(dān)當(dāng)力量；——評價風(fēng)險的優(yōu)先等級，據(jù)此為組織提出建立風(fēng)險掌握安全規(guī)劃的建議。具體的評估效勞包括如下內(nèi)容略治理監(jiān)控效勞全面實時的執(zhí)行對客戶信息系統(tǒng)遠程監(jiān)控是M2S安全效勞的主要組成局部和特點之一，通過監(jiān)控來到達安全大事檢測、安全大事跟蹤、病毒檢測、流量檢測等等任務(wù)，進而通過檢測的結(jié)果可以動態(tài)的調(diào)整各個安全設(shè)備的安全策略，提高系統(tǒng)的安全防范力量。監(jiān)控效勞完全是一種以人為核心的安全防范過程，通過資深的安全專家對各種安全產(chǎn)品與軟件的日志、記錄等等的實時監(jiān)控與分析，覺察各種潛在的危急，并供給準時的修補和防范措施建議。啟明星辰的安全監(jiān)控效勞具有兩種形式：遠程監(jiān)控效勞和專家的現(xiàn)場值守服務(wù)。每一種效勞都滿足了客戶肯定層面的需求，表達了安全監(jiān)控效勞的敏捷性以及可重組性。治理詢問效勞啟明星辰供給的主要安全治理詢問參謀效勞包如下。具體內(nèi)容可參考“啟明星辰安全治理詢問參謀效勞白皮書”。安全培訓(xùn)效勞安全實踐培訓(xùn)主要是從人員的角度動身來強化的安全學(xué)問以及抵擋攻擊行為的力量，主要包括如下方面的培訓(xùn)建議：——根本安全學(xué)問培訓(xùn)：主要對常規(guī)人員供給個人計算機使用的根本安全學(xué)問，提高個人計算機系統(tǒng)的防范力量。——主機安全治理員培訓(xùn)：對安全治理員進展針對于主機系統(tǒng)的安全培訓(xùn)，強化信息系統(tǒng)維護人員的安全技術(shù)水平?！W(wǎng)絡(luò)安全治理員培訓(xùn)：對安全治理員進展針對于網(wǎng)絡(luò)系統(tǒng)的安全培訓(xùn)?！踩卫韺W(xué)問培訓(xùn)：為的主要治理層人員供給，有助于從治理的角度強化信息系統(tǒng)的安全?！a(chǎn)品培訓(xùn)：為人員能進一步生疏各種安全產(chǎn)品而供給的根本培訓(xùn)。——CISP培訓(xùn)：為培育技術(shù)全面的信息安全專家，而供給的具有國家認證資質(zhì)的培訓(xùn)?！白孕畔踩珜I(yè)人員”，英文為CertifiedInformationSecurityProfessional〔 簡稱CISP〕，依據(jù)實際崗位工作需要，CISP,CertifiedInformationSecurityEngineer〔CISE〕;安全治理人員”，英文為CertifiedInformationSecurityOfficer〔簡稱CISO〕，“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor〔CISA〕。價值——加強IT系統(tǒng)安全保障，提高您的客戶的信任，提高競爭力；——減小IT系統(tǒng)治理的工作量，提高效率，降低運營本錢；——幫助您了解IT系統(tǒng)面臨的風(fēng)險并有效地掌握風(fēng)險；安全集成效勞——幫助您的IT系統(tǒng)符合相關(guān)法律、標準與標準，削減訴訟與紛爭。思路——啟明星辰安全解決方案從三個層面來考慮客戶的信息安全需求，幫助客戶建設(shè)基于“信息安全三觀論的信息安全保障體系；——在三觀論的根底上，基于信息安全三要素模型(資產(chǎn)、威逼與保障措施)提出了啟明星辰信息安全保障總體框架功能要素模型(VIAF-FEM)。強調(diào)以IT資產(chǎn)與業(yè)務(wù)為核心，針對資產(chǎn)/業(yè)務(wù)面臨的威逼從人、過程、技術(shù)三個方面設(shè)計全面的信息安全解決方案。分類依據(jù)具體需求不同，啟明星辰供給如下表所示的幾種安全集成解決方案。類型類型滿足需求信息安全整體解決方案IT安全規(guī)劃信息安全治理方案安全治理詢問信息安全技術(shù)方案信息安全技術(shù)保障體系信息安全效勞方案 特定安全效勞需求安全效勞需求的組合安全產(chǎn)品解決方案 特定安全功能需求安全功能需求的組合1.安全集成解決方案表特色——行業(yè)化：啟明星辰憑借在電信、金融、政府、教育、能源等行業(yè)多年的信息安全實戰(zhàn)閱歷，供給行業(yè)化的解決方案?！鎸I(yè)務(wù)：啟明星辰從客戶業(yè)務(wù)安全的角度動身解決實際安全問題，由功能需求導(dǎo)出面對業(yè)務(wù)的解決方案?！w系完整：啟明星辰憑借自身的專業(yè)安全隊伍以及陣容強大的