三級(jí)等保安全建設(shè)方案

目錄三級(jí)等保安全設(shè)計(jì)思路 21、

保護(hù)對(duì)象框架 22、

整體保障框架 23

、安全措施框架 34、

安全區(qū)域劃分 45、

安全措施選擇 56、需求分析 66.1、

系統(tǒng)現(xiàn)狀 66.2、

現(xiàn)有措施 66.3

具體需求 66.3.1

等級(jí)保護(hù)技術(shù)需求 66.3.2

等級(jí)保護(hù)管理需求 77、安全策略 77.1

總體安全策略 77.2

具體安全策略 88、

安全解決方案 88.1

安全技術(shù)體系 88.1.1

安全防護(hù)系統(tǒng) 88.2

安全管理體系 89、安全服務(wù) 89.1

風(fēng)險(xiǎn)評(píng)估服務(wù) 99.2

管理監(jiān)控服務(wù) 99.3

管理咨詢服務(wù) 99.4

安全培訓(xùn)服務(wù) 99.5

安全集成服務(wù) 910、

方案總結(jié) 1011、產(chǎn)品選型 11三級(jí)等保安全設(shè)計(jì)思緒1、

保護(hù)對(duì)象框架

保護(hù)對(duì)象是對(duì)信息系統(tǒng)從安全角度抽象后描述方法，是信息系統(tǒng)內(nèi)具備相同安全保護(hù)需求一組信息資產(chǎn)組合。

依據(jù)信息系統(tǒng)功效特征、安全價(jià)值以及面臨威脅相同性，信息系統(tǒng)保護(hù)對(duì)象可分為計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全方法四類。詳細(xì)內(nèi)容略。

建立了各層保護(hù)對(duì)象之后，應(yīng)按照保護(hù)對(duì)象所屬信息系統(tǒng)或子系統(tǒng)安全等級(jí)，對(duì)每一個(gè)保護(hù)對(duì)象明確保護(hù)要求、布署適用保護(hù)方法。

保護(hù)對(duì)象框架示意圖以下：

圖1.

保護(hù)對(duì)象框架示意圖2、

整體保障框架就安全保障技術(shù)而言，在體系框架層次進(jìn)行有效組織，理清保護(hù)范圍、保護(hù)等級(jí)和安全方法關(guān)系，建立合理整體框架結(jié)構(gòu)，是對(duì)制訂詳細(xì)等級(jí)保護(hù)方案主要指導(dǎo)。

依照中辦發(fā)[]27號(hào)文件，“堅(jiān)持主動(dòng)防御、綜合防范方針，全方面提升提升信息安全防護(hù)能力”是國(guó)家信息保障工作總體要求之一。“主動(dòng)防御、綜合防范”是指導(dǎo)等級(jí)保護(hù)整體保障戰(zhàn)略方針。信息安全保障包括技術(shù)和管理兩個(gè)相互緊密關(guān)聯(lián)要素。信息安全不但僅取決于信息安全技術(shù)，技術(shù)只是一個(gè)基礎(chǔ)，安全管理是使安全技術(shù)有效發(fā)揮作用，從而達(dá)成安全保障目標(biāo)主要確保。安全保障不是單個(gè)步驟、單一層面上問(wèn)題處理，必須是全方位地、多層次地從技術(shù)、管理等方面進(jìn)行全方面安全設(shè)計(jì)和建設(shè)，主動(dòng)防御、綜合防范”戰(zhàn)略要求信息系統(tǒng)整體保障綜合采取覆蓋安全保障各個(gè)步驟防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等多個(gè)安全方法和伎倆，對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)、綜合保護(hù)，在攻擊者成功地破壞了某個(gè)保護(hù)方法情況下，其它保護(hù)方法依然能夠有效地對(duì)系統(tǒng)進(jìn)行保護(hù)，以抵抗不停出現(xiàn)安全威脅與風(fēng)險(xiǎn)，確保系統(tǒng)長(zhǎng)久穩(wěn)定可靠運(yùn)行。整體保障框架建設(shè)應(yīng)在國(guó)家和地方、行業(yè)相關(guān)安全政策、法規(guī)、標(biāo)準(zhǔn)、要求指導(dǎo)下，制訂可詳細(xì)操作安全策略，并在充分利用信息安全基礎(chǔ)設(shè)施基礎(chǔ)上，構(gòu)建信息系統(tǒng)安全技術(shù)體系、安全管理體系，形成集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體安全保障體系，從而實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和管理安全，以滿足信息系統(tǒng)全方位安全保護(hù)需求。同時(shí)，因?yàn)榘踩珓?dòng)態(tài)性，還需要建立安全風(fēng)險(xiǎn)評(píng)定機(jī)制，在安全風(fēng)險(xiǎn)評(píng)定基礎(chǔ)上，調(diào)整和完善安全策略，改進(jìn)安全方法，以適應(yīng)新安全需求，滿足安全等級(jí)保護(hù)要求，確保長(zhǎng)久、穩(wěn)定、可靠運(yùn)行。

整體保障框架示意圖以下：

圖2.

整體保障框架示意圖3

、安全方法框架

安全方法框架是按照結(jié)構(gòu)化原理描述安全方法組合。本方案安全方法框架是依據(jù)“主動(dòng)防御、綜合防范”方針，以及“管理與技術(shù)并重”標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。安全方法框架包含安全技術(shù)方法、安全管理方法兩大部分。安全技術(shù)方法包含安全防護(hù)系統(tǒng)（物理防護(hù)、邊界防護(hù)、監(jiān)控檢測(cè)、安全審計(jì)和應(yīng)急恢復(fù)等子系統(tǒng)）和安全支撐系統(tǒng)（安全運(yùn)行平臺(tái)、網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)信任系統(tǒng)）。安全技術(shù)方法、安全管理方法各部分之間關(guān)系是人（安全機(jī)構(gòu)和人員），按照規(guī)則（安全管理制度），使用技術(shù)工具（安全技術(shù)）進(jìn)行操作（系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維）。

安全方法框架示意圖以下：

圖3.

安全方法框架示意圖

4、

安全區(qū)域劃分不一樣信息系統(tǒng)業(yè)務(wù)特征、安全需求和等級(jí)、使用對(duì)象、面正確威脅和風(fēng)險(xiǎn)各不相同。怎樣確保系統(tǒng)安全性是一個(gè)巨大挑戰(zhàn)，對(duì)信息系統(tǒng)劃分安全區(qū)域，進(jìn)行層次化、有重點(diǎn)保護(hù)是有確保系統(tǒng)和信息安全有效伎倆。按數(shù)據(jù)分類分區(qū)域分等級(jí)保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級(jí)，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，依照區(qū)域中數(shù)據(jù)分類確定該區(qū)域安全風(fēng)險(xiǎn)等級(jí)。目標(biāo)是把一個(gè)大規(guī)模復(fù)雜系統(tǒng)安全問(wèn)題，分解為更小區(qū)域安全保護(hù)問(wèn)題。這是實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級(jí)保護(hù)有效方法。伴隨安全區(qū)域方法發(fā)展，發(fā)覺力圖用一個(gè)大一統(tǒng)方法和結(jié)構(gòu)去描述一個(gè)復(fù)雜網(wǎng)絡(luò)環(huán)境是非常困難，即使描述出來(lái)其可操作性也值得懷疑。所以，……提出了“同構(gòu)性簡(jiǎn)化方法”，其基本思緒是認(rèn)為一個(gè)復(fù)雜網(wǎng)絡(luò)應(yīng)該是由一些相通網(wǎng)絡(luò)結(jié)構(gòu)元所組成，這些網(wǎng)絡(luò)結(jié)構(gòu)元進(jìn)行拼接、遞歸等方式結(jié)構(gòu)出一個(gè)大網(wǎng)絡(luò)。能夠說(shuō)，結(jié)構(gòu)性簡(jiǎn)化好像將網(wǎng)絡(luò)分析成一個(gè)單一大分子組成系統(tǒng)，而同構(gòu)性簡(jiǎn)化就是將網(wǎng)絡(luò)看成一個(gè)由幾個(gè)小分子組成系統(tǒng)?！?+1同構(gòu)性簡(jiǎn)化”安全域方法就是一個(gè)非常經(jīng)典例子，此方法是用一個(gè)3+1小分子結(jié)構(gòu)來(lái)分析venuscustomer網(wǎng)絡(luò)系統(tǒng)。（注：除了3+1結(jié)構(gòu)之外，還存在其余形式結(jié)構(gòu)。）詳細(xì)來(lái)說(shuō)信息系統(tǒng)按照其維護(hù)數(shù)據(jù)類能夠分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全管理域四類。在此基礎(chǔ)上確定不一樣區(qū)域信息系統(tǒng)安全保護(hù)等級(jí)。同一區(qū)域內(nèi)資產(chǎn)實(shí)施統(tǒng)一保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問(wèn)控制，物理安全特征等。信息系統(tǒng)能夠劃分為以下四個(gè)大安全域（3+1同構(gòu)法）：安全接入域：由訪問(wèn)同類數(shù)據(jù)用戶終端組成安全接入域，安全接入域劃分應(yīng)以用戶所能訪問(wèn)安全服務(wù)域中數(shù)據(jù)類和用戶計(jì)算機(jī)所處物理位置來(lái)確定。安全接入域安全等級(jí)與其所能訪問(wèn)安全服務(wù)域安全等級(jí)關(guān)于。當(dāng)一個(gè)安全接入域中終端能訪問(wèn)多個(gè)安全服務(wù)域時(shí)，該安全接入域安全等級(jí)應(yīng)與這些安全服務(wù)域最高安全等級(jí)相同。安全接入域應(yīng)有明確邊界，方便于進(jìn)行保護(hù)。安全互聯(lián)域：連接傳輸共同數(shù)據(jù)安全服務(wù)域和安全接入域組成互聯(lián)基礎(chǔ)設(shè)施組成了安全互聯(lián)域。主要包含其余域之間互連設(shè)備，域間邊界、域與外界接口都在此域。安全互聯(lián)域安全等級(jí)確實(shí)定與網(wǎng)絡(luò)所連接安全接入域和安全服務(wù)域安全等級(jí)關(guān)于。安全服務(wù)域：在局域范圍內(nèi)存放，傳輸、處理同類數(shù)據(jù)，具備相同安全等級(jí)保護(hù)單一計(jì)算機(jī)（主機(jī)/服務(wù)器）或多個(gè)計(jì)算機(jī)組成了安全服務(wù)域，不一樣數(shù)據(jù)在計(jì)算機(jī)上分布情況，是確定安全服務(wù)域基本依據(jù)。依照數(shù)據(jù)分布，能夠有以下安全服務(wù)域：?jiǎn)我挥?jì)算機(jī)單一安全級(jí)別服務(wù)域，多計(jì)算機(jī)單一安全級(jí)別服務(wù)域，單一計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域，多計(jì)算機(jī)多安全級(jí)別綜合服務(wù)域。安全管理域：安全系統(tǒng)監(jiān)控管理平臺(tái)都放置在這個(gè)區(qū)域，為整個(gè)IT架構(gòu)提供集中安全服務(wù)，進(jìn)行集中安全管理和監(jiān)控以及響應(yīng)。詳細(xì)來(lái)說(shuō)可能包含以下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、安全運(yùn)行中心等。安全區(qū)域3+1同構(gòu)示意圖以下：

圖4.

安全區(qū)域3+1同構(gòu)示意圖5、

安全方法選擇

27號(hào)文件指出，實(shí)施信息安全等級(jí)保護(hù)時(shí)“要重視信息安全風(fēng)險(xiǎn)評(píng)定工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、微弱步驟、防護(hù)方法等進(jìn)行分析評(píng)定，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)主要性、涉密程度和面臨信息安全風(fēng)險(xiǎn)等原因，進(jìn)行對(duì)應(yīng)等級(jí)安全建設(shè)和管理”。由此可見，信息系統(tǒng)等級(jí)保護(hù)可視為一個(gè)有參考系風(fēng)險(xiǎn)管理過(guò)程。等級(jí)保護(hù)是以等級(jí)化保護(hù)對(duì)象、不一樣安全要求對(duì)應(yīng)等級(jí)化安全方法為參考，以風(fēng)險(xiǎn)管理過(guò)程為根本，建立并實(shí)施等級(jí)保護(hù)體系過(guò)程。安全方法選擇首先應(yīng)依據(jù)我國(guó)信息系統(tǒng)安全等級(jí)劃分要求，設(shè)計(jì)五個(gè)等級(jí)安全方法等級(jí)要求（安全方法等級(jí)要求是針對(duì)五個(gè)等級(jí)信息系統(tǒng)基本要求）。不一樣等級(jí)信息系統(tǒng)在對(duì)應(yīng)級(jí)別安全方法等級(jí)要求基礎(chǔ)上，進(jìn)行安全方法調(diào)整、定制和增強(qiáng)，并按照一定劃分方法組成對(duì)應(yīng)安全方法框架，得到適適用于該系統(tǒng)安全方法。安全方法調(diào)整主要依據(jù)綜合平衡系統(tǒng)安全要求、系統(tǒng)所面臨風(fēng)險(xiǎn)和實(shí)施安全保護(hù)方法成原來(lái)進(jìn)行。信息系統(tǒng)安全方法選擇原理圖以下：

圖5.

安全方法選擇原理圖6、需求分析6.1、

系統(tǒng)現(xiàn)實(shí)狀況6.2、

現(xiàn)有方法現(xiàn)在，信息系統(tǒng)已經(jīng)采取了下述安全方法：1、在物理層面上，

2、在網(wǎng)絡(luò)層面上，

3、在系統(tǒng)層面上，

4、在應(yīng)用層面上，

5、在管理層面上，

6.3

詳細(xì)需求

6.3.1

等級(jí)保護(hù)技術(shù)需求

要確保信息系統(tǒng)安全可靠，必須全方面了解信息系統(tǒng)可能面臨全部安全威脅和風(fēng)險(xiǎn)。威脅是指可能對(duì)信息系統(tǒng)資產(chǎn)或所在組織造成損害事故潛在原因；威脅即使有各種各樣存在形式，但其結(jié)果是一致，都將造成對(duì)信息或資源破壞，影響信息系統(tǒng)正常運(yùn)行，破壞提供服務(wù)有效性、可靠性和權(quán)威性。任何可能對(duì)信息系統(tǒng)造成危害原因，都是對(duì)系統(tǒng)安全威脅。威脅不但來(lái)來(lái)自人為破壞，也來(lái)自自然環(huán)境，包含各種人員、機(jī)構(gòu)出于各自目標(biāo)攻擊行為，系統(tǒng)本身安全缺點(diǎn)以及自然災(zāi)難等。信息系統(tǒng)可能面臨威脅主要起源有：

圖6.

威脅主要起源視圖

威脅發(fā)生可能性與信息系統(tǒng)資產(chǎn)吸引力、資產(chǎn)轉(zhuǎn)化為酬勞輕易程度、威脅技術(shù)含量、微弱點(diǎn)被利用難易程度等原因親密相關(guān)。被動(dòng)攻擊威脅與風(fēng)險(xiǎn)：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。主動(dòng)攻擊威脅與風(fēng)險(xiǎn)：掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門等）、越權(quán)訪問(wèn)、篡改數(shù)據(jù)、偽裝、重放所截獲數(shù)據(jù)等。鄰近攻擊威脅與風(fēng)險(xiǎn)：毀壞設(shè)備和線路、竊取存放介質(zhì)、偷窺口令等。分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過(guò)程中，在設(shè)備上設(shè)置隱藏后門或攻擊路徑。內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意物理?yè)p壞和破壞、無(wú)意數(shù)據(jù)損壞和破壞。6.3.2

等級(jí)保護(hù)管理需求安全是不能僅僅靠技術(shù)來(lái)確保，單純技術(shù)都無(wú)法實(shí)現(xiàn)絕正確安全，必須要有對(duì)應(yīng)組織管理體制配合、支撐，才能確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行。管理安全是整體安全中主要組成部分。信息系統(tǒng)安全管理即使得到了一定落實(shí)，但因?yàn)槿藛T編制有限，安全專業(yè)性、復(fù)雜性、不可預(yù)計(jì)性等，在管理機(jī)構(gòu)、管理制度、人員安全、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等安全管理方面存在一些安全隱患：——管理機(jī)構(gòu)方面:——管理制度方面:——人員安全方面:——系統(tǒng)建設(shè)方面:——系統(tǒng)運(yùn)維方面:7、安全策略7.1

總體安全策略

——

遵照國(guó)家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準(zhǔn)；

——落實(shí)等級(jí)保護(hù)和分域保護(hù)標(biāo)準(zhǔn)；

——管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效綜合防范體系；

——充分依靠已經(jīng)有信息安全基礎(chǔ)設(shè)施，加緊、加強(qiáng)信息安全保障體系建設(shè)。

——第三級(jí)安全信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制安全保護(hù)能力。

——在技術(shù)策略方面：

——在管理策略方面:7.2

詳細(xì)安全策略1、安全域內(nèi)部策略2

、安全域邊界策略3

、安全域互聯(lián)策略8、

安全處理方案

不一樣安全等級(jí)要求具備不一樣基本安全保護(hù)能力，實(shí)現(xiàn)基本安全保護(hù)能力將經(jīng)過(guò)選取適宜安全方法或安全控制來(lái)確保，能夠使用安全方法或安全控制表現(xiàn)為安全基本要求，依據(jù)實(shí)現(xiàn)方式不一樣，信息系統(tǒng)等級(jí)保護(hù)安全基本要求分為技術(shù)要求和管理要求兩大類。技術(shù)類安全要求通常與信息系統(tǒng)提供技術(shù)安全機(jī)制關(guān)于，主要是經(jīng)過(guò)在信息系統(tǒng)中布署軟硬件并正確配置其安全功效來(lái)實(shí)現(xiàn)；管理類安全要求通常與信息系統(tǒng)中各種角色參加活動(dòng)關(guān)于，主要是經(jīng)過(guò)控制各種角色活動(dòng)，從政策、制度、規(guī)范、流程以及統(tǒng)計(jì)等方面做出要求來(lái)實(shí)現(xiàn)。依照威脅分析、安全策略中提出基本要求和安全目標(biāo)，在整體保障框架指導(dǎo)下，本節(jié)將就詳細(xì)安全技術(shù)方法和安全管理方法來(lái)設(shè)計(jì)安全處理方案，以滿足對(duì)應(yīng)等級(jí)基本安全保護(hù)能力。8.1

安全技術(shù)體系8.1.1

安全防護(hù)系統(tǒng)邊界防護(hù)系統(tǒng)監(jiān)控檢測(cè)系統(tǒng)安全審計(jì)系統(tǒng)應(yīng)急恢復(fù)系統(tǒng)安全支撐系統(tǒng)安全運(yùn)行平臺(tái)網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)信任系統(tǒng)8.2

安全管理體系安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)\系統(tǒng)立案\安全方案設(shè)計(jì)\產(chǎn)品采購(gòu)\自行軟件開發(fā)\外包軟件開發(fā)\工程實(shí)施\測(cè)試驗(yàn)收\(chéng)系統(tǒng)交付\安全測(cè)評(píng)。詳細(xì)內(nèi)容略去。系統(tǒng)運(yùn)維管理9、安全服務(wù)技術(shù)類安全要求能夠經(jīng)過(guò)在信息系統(tǒng)中布署安全產(chǎn)品來(lái)實(shí)現(xiàn)，同時(shí)需要對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件安全功效正確配置，這需要經(jīng)過(guò)安全評(píng)定和加固等安全服務(wù)來(lái)完成；管理類安全要求需要經(jīng)過(guò)管理咨詢服務(wù)來(lái)完善，以實(shí)現(xiàn)IT運(yùn)維管理標(biāo)準(zhǔn)化和規(guī)范化，提升安全管理水平。9.1

風(fēng)險(xiǎn)評(píng)定服務(wù)安全風(fēng)險(xiǎn)評(píng)定服務(wù)能夠?yàn)榻M織：

——評(píng)定和分析在網(wǎng)絡(luò)上存在安全技術(shù)風(fēng)險(xiǎn)；——分析業(yè)務(wù)運(yùn)作和管理方面存在安全缺點(diǎn)；——調(diào)查信息系統(tǒng)現(xiàn)有安全控制方法，評(píng)價(jià)組織業(yè)務(wù)安全風(fēng)險(xiǎn)負(fù)擔(dān)能力；——評(píng)價(jià)風(fēng)險(xiǎn)優(yōu)先等級(jí)，據(jù)此為組織提出建立風(fēng)險(xiǎn)控制安全規(guī)劃提議。詳細(xì)評(píng)定服務(wù)包含以下內(nèi)容略9.2

管理監(jiān)控服務(wù)

全方面實(shí)時(shí)執(zhí)行對(duì)客戶信息系統(tǒng)遠(yuǎn)程監(jiān)控是M2S安全服務(wù)主要組成部分和特點(diǎn)之一，經(jīng)過(guò)監(jiān)控來(lái)達(dá)成安全事件檢測(cè)、安全事件跟蹤、病毒檢測(cè)、流量檢測(cè)等等任務(wù)，進(jìn)而經(jīng)過(guò)檢測(cè)結(jié)果能夠動(dòng)態(tài)調(diào)整各個(gè)安全設(shè)備安全策略，提升系統(tǒng)安全防范能力。監(jiān)控服務(wù)完全是一個(gè)以人為關(guān)鍵安全防范過(guò)程，經(jīng)過(guò)資深安全教授對(duì)各種安全產(chǎn)品與軟件日志、統(tǒng)計(jì)等等實(shí)時(shí)監(jiān)控與分析，發(fā)覺各種潛在危險(xiǎn)，并提供及時(shí)修補(bǔ)和防御方法提議?！踩O(jiān)控服務(wù)具備兩種形式：遠(yuǎn)程監(jiān)控服務(wù)和教授現(xiàn)場(chǎng)值守服務(wù)。每一個(gè)服務(wù)都滿足了客戶一定層面需求，表現(xiàn)了安全監(jiān)控服務(wù)靈活性以及可重組性。

9.3

管理咨詢服務(wù)

……提供主要安全管理咨詢顧問(wèn)服務(wù)包以下。詳細(xì)內(nèi)容可參考“……安全管理咨詢顧問(wèn)服務(wù)白皮書”。

9.4

安全培訓(xùn)服務(wù)安全實(shí)踐培訓(xùn)主要是從人員角度出發(fā)來(lái)強(qiáng)化安全知識(shí)以及抵抗攻擊行為能力，主要包含以下方面培訓(xùn)提議：

——基本安全知識(shí)培訓(xùn)：主要對(duì)常規(guī)人員提供個(gè)人計(jì)算機(jī)使用基本安全知識(shí)，提升個(gè)人計(jì)算機(jī)系統(tǒng)防范能力。

——主機(jī)安全管理員培訓(xùn)：對(duì)安全管理員進(jìn)行針對(duì)于主機(jī)系統(tǒng)安全培訓(xùn)，強(qiáng)化信息系統(tǒng)維護(hù)人員安全技術(shù)水平。

——網(wǎng)絡(luò)安全管理員培訓(xùn)：對(duì)安全管理員進(jìn)行針對(duì)于網(wǎng)絡(luò)系統(tǒng)安全培訓(xùn)。

——安全管理知識(shí)培訓(xùn)：為主要管理層人員提供，有利于從管理角度強(qiáng)化信息系統(tǒng)安全。

——產(chǎn)品培訓(xùn)：為人員能深入認(rèn)識(shí)各種安全產(chǎn)品而提供基本培訓(xùn)。

——CISP培訓(xùn)：為培養(yǎng)技術(shù)全方面信息安全教授，而提供具備國(guó)家認(rèn)證資質(zhì)培訓(xùn)?！白?cè)信息安全專業(yè)人員”，英文為CertifiedInformationSecurityProfessional(簡(jiǎn)稱CISP)，依照實(shí)際崗位工作需要，CISP分為三類,分別是“注冊(cè)信息安全工程師”,英文為CertifiedInformationSecurityEngineer（簡(jiǎn)稱CISE）;“注冊(cè)信息安全管理人員”，英文為CertifiedInformationSecurity

Officer(簡(jiǎn)稱CISO)，“注冊(cè)信息安全審核員”英文為CertifiedInformationSecurityAuditor(簡(jiǎn)稱CISA)。9.5

安全集成服務(wù)

價(jià)值

——加強(qiáng)IT系統(tǒng)安全保障，提升您客戶信任，提升競(jìng)爭(zhēng)力；

——減小IT系統(tǒng)管理工作量，提升效率，降低運(yùn)行成本；

——幫助您了解IT系統(tǒng)面臨風(fēng)險(xiǎn)并有效地控制風(fēng)險(xiǎn)；

——幫助您IT系統(tǒng)符合相關(guān)法律、標(biāo)準(zhǔn)與規(guī)范，降低訴訟與紛爭(zhēng)。思緒

——……安全處理方案從三個(gè)層面來(lái)考慮客戶信息安全需求，幫助客戶建設(shè)基于“信息安全三觀論”信息安全保障體系；

——在三觀論基礎(chǔ)上，基于信息安全三要素模型（資產(chǎn)、威脅與保障方法）提出了……信息安全保障總體框架功效要素模型（VIAF-FEM）。強(qiáng)調(diào)以IT資產(chǎn)與業(yè)務(wù)為關(guān)鍵，針對(duì)資產(chǎn)/業(yè)務(wù)面臨威脅從人、過(guò)程、技術(shù)三個(gè)方面設(shè)計(jì)全方面信息安全處理方案。分類

依照詳細(xì)需求不一樣，……提供以下表所表示幾個(gè)安全集成處理方案。

類型滿足需求信息安全整體處理方案IT安全規(guī)劃信息安全管理方案安全管理咨詢信息安全技術(shù)方案信息安全技術(shù)保障體系信息安全服務(wù)方案特定安全服務(wù)需求安全服務(wù)需求組合安全產(chǎn)品處理方案特定安全功效需求安全功效需求組合

表1.

安全集成處理方案表

特色

——行業(yè)化：……憑借在電信、金融、政府、教育、能源等行業(yè)多年信息安全實(shí)戰(zhàn)經(jīng)驗(yàn)，提供行業(yè)化處理方案。

——面向業(yè)務(wù)：……從客戶業(yè)務(wù)安全角度出發(fā)處理實(shí)際安全問(wèn)題，由功效需求導(dǎo)出面向業(yè)務(wù)處理方案。

——體系完整：……憑借本身專業(yè)安全隊(duì)伍以及陣容強(qiáng)大外部教授支持，基于完整安全體系提供處理方案。

——理念先進(jìn)：……秉承“一米寬，一公里深”理念，及時(shí)跟蹤國(guó)際先進(jìn)安全理念，以此為基礎(chǔ)開發(fā)安全最好實(shí)踐，成功應(yīng)用于客戶化處理方案中。10、

方案總結(jié)

本等級(jí)保護(hù)設(shè)計(jì)方案具備以下