信息安全等級(jí)保護(hù)與整體解決方案

信息平安等級(jí)保護(hù)與等級(jí)化平安體系解決方案INDEX網(wǎng)絡(luò)平安與信息平安信息平安等級(jí)保護(hù)等級(jí)化平安體系解決方案網(wǎng)絡(luò)平安與信息平安平安定義平安根本要求平安技術(shù)體系平安模型平安定義防止任何對(duì)數(shù)據(jù)進(jìn)行未授權(quán)訪問(wèn)的措施，或者造成信息有意無(wú)意泄漏、破壞、喪失等問(wèn)題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于威脅的狀態(tài)或特性。網(wǎng)絡(luò)平安：網(wǎng)絡(luò)的組成方式、拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用信息平安：信息的來(lái)源、去向，內(nèi)容的真實(shí)無(wú)誤及保證信息的完整性，信息不會(huì)被非法泄露擴(kuò)散保證信息的保密性平安根本要求完整性：〔Integrity〕擁有的信息是否正確；保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。機(jī)密性：〔Confidentiality〕誰(shuí)能擁有信息，保證國(guó)家秘密和敏感信息僅為授權(quán)者享有可用性：〔Availability〕信息和信息系統(tǒng)是否能夠使用保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供效勞而不被非授權(quán)者濫用。可控性：〔Controllability〕是否能夠監(jiān)控管理信息和系統(tǒng)保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。不可否認(rèn)性：〔Non-repudiation〕為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。平安技術(shù)體系物理平安技術(shù)：環(huán)境平安、設(shè)備平安、媒體平安；系統(tǒng)平安技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的平安性；網(wǎng)絡(luò)平安技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估；應(yīng)用平安技術(shù)：Email平安、Web訪問(wèn)平安、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)平安；數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性；認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證〔例如Kerberos〕、證書認(rèn)證等；訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等；審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證；防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸開(kāi)展成整體防病毒體系；災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份。平安模型—P2DRP2DR模型Protection防護(hù)檢測(cè)Detection響應(yīng)ResponsePolicy策略保護(hù)protect采用一切手段（主要指靜態(tài)防護(hù)手段）保護(hù)信息系統(tǒng)的五大特性。平安模型--PDRR檢測(cè)detect檢測(cè)本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊對(duì)危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對(duì)信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低響應(yīng)react及時(shí)恢復(fù)系統(tǒng)，使其盡快正常對(duì)外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑恢復(fù)restore信息安全保障體系PDRR模型圖INDEX網(wǎng)絡(luò)平安與信息平安信息平安等級(jí)保護(hù)等級(jí)化平安體系解決方案信息平安等級(jí)保護(hù)對(duì)等級(jí)保護(hù)政策的理解信息系統(tǒng)劃分信息系統(tǒng)定級(jí)等級(jí)化平安保障體系設(shè)計(jì)流程等級(jí)化平安保障體系的根本框架對(duì)等級(jí)保護(hù)的理解等級(jí)保護(hù)是我國(guó)信息平安領(lǐng)域的一項(xiàng)根本政策1994年，?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?的發(fā)布1999年，?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859-1999發(fā)布2003年，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?〔中辦發(fā)[2003]27號(hào)文〕2004年，四部委(公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦)聯(lián)合簽發(fā)了?關(guān)于信息平安等級(jí)保護(hù)工作的實(shí)施意見(jiàn)?〔公通字[2004]66號(hào)文〕國(guó)務(wù)院信息化工作辦公室發(fā)布?電子政務(wù)信息平安等級(jí)保護(hù)實(shí)施指南〔試行〕?對(duì)等級(jí)保護(hù)的理解〔續(xù)一〕等級(jí)保護(hù)是我國(guó)信息平安領(lǐng)域的一項(xiàng)根本政策2005年12月，國(guó)家保密局發(fā)布?涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理方法?、?涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求?2005年12月，公安部?信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南?、?信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)要求?、?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?、?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)那么?〔GB送審稿陸續(xù)出臺(tái)〕2006年3月開(kāi)始實(shí)施的公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦四部委〔局辦〕發(fā)布7號(hào)文?等級(jí)保護(hù)管理方法?對(duì)等級(jí)保護(hù)的理解〔續(xù)二〕等級(jí)保護(hù)的核心是將傳統(tǒng)的定性設(shè)計(jì)逐步進(jìn)化為定量的平安保障設(shè)計(jì)對(duì)信息系統(tǒng)實(shí)施不同等級(jí)的平安保護(hù)對(duì)信息系統(tǒng)中使用的平安產(chǎn)品實(shí)施分等級(jí)管理對(duì)信息系統(tǒng)發(fā)生的平安事件分等級(jí)響應(yīng)和處置對(duì)等級(jí)保護(hù)的理解〔續(xù)三〕等級(jí)保護(hù)表達(dá)了差異化的平安保障思想由系統(tǒng)使命決定系統(tǒng)的等級(jí)，充分考慮業(yè)務(wù)信息平安性和業(yè)務(wù)效勞保證性結(jié)合根本要求，并依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)平安保護(hù)措施進(jìn)行調(diào)整對(duì)3級(jí)及以上系統(tǒng)實(shí)施相應(yīng)的監(jiān)督和管理對(duì)涉及國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)重點(diǎn)保護(hù)對(duì)于涉及國(guó)家秘密的信息系統(tǒng)標(biāo)準(zhǔn)定密，準(zhǔn)確定級(jí)；依據(jù)標(biāo)準(zhǔn)，同步建設(shè)；突出重點(diǎn)，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督涉及國(guó)家秘密的信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高劃分為秘密級(jí)、機(jī)密級(jí)(一般和增強(qiáng))和絕密級(jí)三個(gè)級(jí)別，其總體防護(hù)水平分別不低于三級(jí)、四級(jí)、五級(jí)的要求信息系統(tǒng)的劃分信息系統(tǒng)的概念有大有小，在工程實(shí)踐中，過(guò)大的劃分不利于對(duì)信息進(jìn)行有針對(duì)性的保護(hù)，因此需要對(duì)信息系統(tǒng)進(jìn)行有效的劃分信息系統(tǒng)的劃分原那么是相同的管理機(jī)構(gòu)、相同的業(yè)務(wù)類型、相同的物理位置或相似的運(yùn)行環(huán)境【公安部?信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南?】信息系統(tǒng)的劃分〔續(xù)一〕信息系統(tǒng)的劃分可以從平安區(qū)域、業(yè)務(wù)系統(tǒng)和保護(hù)對(duì)象三個(gè)不同角度進(jìn)行：平安區(qū)域側(cè)重從物理區(qū)域進(jìn)行劃分，比方核心區(qū)、接入?yún)^(qū)；用戶區(qū)、管理區(qū)；外網(wǎng)、接入網(wǎng)、內(nèi)網(wǎng)等，其優(yōu)點(diǎn)是劃分相對(duì)容易，缺點(diǎn)是粒度較粗業(yè)務(wù)系統(tǒng)側(cè)重從應(yīng)用系統(tǒng)進(jìn)行劃分，優(yōu)點(diǎn)是粒度較細(xì)，缺點(diǎn)是實(shí)際操作比較困難，當(dāng)然也可以考慮幾個(gè)業(yè)務(wù)系統(tǒng)的組合保護(hù)對(duì)象那么綜合了平安區(qū)域和業(yè)務(wù)系統(tǒng)兩種方法的優(yōu)點(diǎn)，既考慮了信息系統(tǒng)的信息流向、業(yè)務(wù)流程,也考慮了信息系統(tǒng)的物理歸屬信息系統(tǒng)的劃分〔續(xù)二〕保護(hù)對(duì)象實(shí)質(zhì)是風(fēng)險(xiǎn)評(píng)估的資產(chǎn)劃分模型；平安區(qū)域?qū)嵸|(zhì)是具有類似平安要求的物理位置劃分模型；保護(hù)對(duì)象側(cè)重在風(fēng)險(xiǎn)評(píng)估；平安區(qū)域側(cè)重在邊界防護(hù)；風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)的根底組成局部；邊界保護(hù)相反只是措施而已；保護(hù)對(duì)象與平安域并不矛盾，它們是兩種不同的分類法，在具體的操作時(shí)，原那么是：已有系統(tǒng)采用保護(hù)對(duì)象設(shè)計(jì)方法；新建系統(tǒng)采用平安區(qū)域設(shè)計(jì)方法。新建系統(tǒng)－先網(wǎng)絡(luò)后應(yīng)用；已有系統(tǒng)－先應(yīng)用后網(wǎng)絡(luò)；信息系統(tǒng)的劃分〔續(xù)三〕政務(wù)專網(wǎng)互聯(lián)網(wǎng)核心數(shù)據(jù)區(qū)業(yè)務(wù)效勞器區(qū)網(wǎng)絡(luò)管理區(qū)辦公效勞器區(qū)機(jī)關(guān)辦公區(qū)WEB效勞區(qū)機(jī)關(guān)工作區(qū)政務(wù)專網(wǎng)政務(wù)外網(wǎng)計(jì)算區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施信息系統(tǒng)的定級(jí)信息系統(tǒng)所屬類型業(yè)務(wù)信息類型信息系統(tǒng)效勞范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息平安性取值業(yè)務(wù)效勞保證性取值業(yè)務(wù)效勞保證性等級(jí)1.賦值選擇調(diào)節(jié)因子業(yè)務(wù)子系統(tǒng)平安保護(hù)等級(jí)2.確定兩個(gè)指標(biāo)等級(jí)業(yè)務(wù)信息平安性等級(jí)3確定業(yè)務(wù)子系統(tǒng)等級(jí)信息系統(tǒng)平安保護(hù)等級(jí)4.確定信息系統(tǒng)等級(jí)其它業(yè)務(wù)子系統(tǒng)來(lái)源?信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南?信息系統(tǒng)定級(jí)(電子政務(wù))安全等級(jí)電子政務(wù)安全等級(jí)描述保密性完整性可用性1對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。對(duì)電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問(wèn)的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。2對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響。對(duì)電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問(wèn)的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響。3對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的負(fù)面影響，對(duì)國(guó)家安全造成一定程度的損害。對(duì)電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的負(fù)面影響，對(duì)國(guó)家安全造成一定程度的損害。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問(wèn)的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的負(fù)面影響，對(duì)國(guó)家安全造成一定程度的損害。4對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。對(duì)電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問(wèn)的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。5對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。對(duì)電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問(wèn)的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。信息系統(tǒng)定級(jí)(電子政務(wù))某個(gè)電子政務(wù)系統(tǒng)〔假設(shè)其名稱為A〕的平安等級(jí)可以表示為：平安等級(jí)(A)＝Max{(系統(tǒng)保密性等級(jí)),(系統(tǒng)完整性等級(jí)),(系統(tǒng)可用性等級(jí))}其中：系統(tǒng)保密性等級(jí)＝Max{(各信息或效勞的保密性等級(jí))}系統(tǒng)完整性等級(jí)＝Max{(各信息或效勞的完整性等級(jí))}系統(tǒng)可用性等級(jí)＝Max{(各信息或效勞的可用性等級(jí))}信息系統(tǒng)的定級(jí)〔續(xù)〕安全等級(jí)等級(jí)名稱基本描述安全保護(hù)要求第一級(jí)自主保護(hù)級(jí)適用于一般的電子政務(wù)系統(tǒng)，系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。參照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)第二級(jí)指導(dǎo)保護(hù)級(jí)適用于處理日常政務(wù)信息和提供一般政務(wù)服務(wù)的電子政務(wù)系統(tǒng)，系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響。在主管部門的指導(dǎo)下，按照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。第三級(jí)監(jiān)督保護(hù)級(jí)適用于處理重要政務(wù)信息和提供重要政務(wù)服務(wù)的電子政務(wù)系統(tǒng)，系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的負(fù)面影響，對(duì)國(guó)家安全造成一定程度的損害。在主管部門的監(jiān)督下，按國(guó)家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)保護(hù)措施進(jìn)行保護(hù)第四級(jí)強(qiáng)制保護(hù)級(jí)適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要電子政務(wù)系統(tǒng)，系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。在主管部門的強(qiáng)制監(jiān)督和檢查下，按國(guó)家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)措施進(jìn)行保護(hù)。第五級(jí)?？乇Ｗo(hù)級(jí)適用于關(guān)系國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的的核心系統(tǒng)，系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。根據(jù)安全需求，由主管部門和運(yùn)營(yíng)單位對(duì)電子政務(wù)系統(tǒng)進(jìn)行專門控制和保護(hù)。信息系統(tǒng)的平安保護(hù)等級(jí)劃分信息系統(tǒng)的定級(jí)〔續(xù)一〕信息平安等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)對(duì)照表等級(jí)保護(hù)分級(jí)保護(hù)保護(hù)對(duì)象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)管理體系不同公安機(jī)關(guān)國(guó)家保密工作部門標(biāo)準(zhǔn)體系不同國(guó)家標(biāo)準(zhǔn)（GB、GB/T）國(guó)家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）級(jí)別劃分不同第一級(jí)：用戶自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：安全標(biāo)記保護(hù)級(jí)；第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。秘密機(jī)密級(jí)絕密級(jí)信息系統(tǒng)的定級(jí)〔續(xù)二〕非涉密信息系統(tǒng)的定級(jí)按照?信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南?進(jìn)行級(jí)別劃分根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦四部委〔局辦〕7號(hào)文第17條“涉及國(guó)家秘密的信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高劃分為秘密級(jí)、機(jī)密級(jí)和絕密級(jí)三個(gè)級(jí)別，其總體防護(hù)水平分別不低于三級(jí)、四級(jí)、五級(jí)的要求〞可以得出一個(gè)信息系統(tǒng)的級(jí)別至少應(yīng)該為3級(jí)以上，才能稱得上是一個(gè)涉密系統(tǒng)。然后根據(jù)信息的平安屬性確定屬于秘密、機(jī)密和絕密中的哪一種。同時(shí)依據(jù)?涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求?中的方法進(jìn)行等級(jí)確定和平安措施確實(shí)定等級(jí)化平安保障體系設(shè)計(jì)流程信息系統(tǒng)的劃分與定級(jí)平安需求平安保障體系平安解決方案風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)政策、標(biāo)準(zhǔn)、指南平安規(guī)劃平安產(chǎn)品分級(jí)平安事件分級(jí)系統(tǒng)運(yùn)行影響等級(jí)根本平安要求等級(jí)化平安保障體系的根本框架INDEX網(wǎng)絡(luò)平安與信息平安信息平安等級(jí)保護(hù)等級(jí)化平安體系解決方案等級(jí)化平安體系解決方案平安體系規(guī)劃平安解決方案設(shè)計(jì)等級(jí)保護(hù)平安措施的實(shí)施運(yùn)行的監(jiān)控與改進(jìn)等級(jí)化平安體系設(shè)計(jì)流程等級(jí)化平安體系解決方案平安體系規(guī)劃平安需求分析平安現(xiàn)狀和等級(jí)要求之間的差距平安工程規(guī)劃對(duì)平安工程的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序平安工作規(guī)劃確定平安工作的宗旨、遠(yuǎn)期平安工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險(xiǎn)和障礙、所需的資源和預(yù)算進(jìn)行實(shí)施策略選擇，確定當(dāng)年的平安工作方案和等級(jí)保護(hù)工程建設(shè)方案以此來(lái)讓等級(jí)保護(hù)的建設(shè)和運(yùn)行能夠融入到日常的平安管理和運(yùn)維工作當(dāng)中去，來(lái)確保等級(jí)保護(hù)工作落到實(shí)處。平安解決方案設(shè)計(jì)與用戶實(shí)際需求的交流平安分層網(wǎng)絡(luò)平安設(shè)計(jì)方案要點(diǎn)與用戶實(shí)際需求的交流1.用戶的組織機(jī)構(gòu)，信息化的現(xiàn)狀，現(xiàn)有的硬件設(shè)備、網(wǎng)絡(luò)情況、正在使用的軟件系統(tǒng)情況；2.新系統(tǒng)的規(guī)劃、目標(biāo)、規(guī)模，要求等，包括用戶對(duì)系統(tǒng)的平安性、可靠性、易用性、擴(kuò)展性的要求；3.業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程系統(tǒng)的現(xiàn)狀，軟件功能需求；4.平臺(tái)和數(shù)據(jù)庫(kù)的選型；5.信息平安、存儲(chǔ)的需求；6.對(duì)軟件開(kāi)發(fā)機(jī)制的認(rèn)識(shí)；7.用戶感興趣的熱點(diǎn)技術(shù)；平安分層數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性；認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等；用戶安全系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性；應(yīng)用安全技術(shù)：Email安全、Web訪問(wèn)安全、內(nèi)容過(guò)濾、應(yīng)用系統(tǒng)安全；應(yīng)用安全應(yīng)用平臺(tái)安全應(yīng)用程序安全審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證；災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份。信息安全傳輸安全存儲(chǔ)安全信息審計(jì)訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等；網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)估；防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系；網(wǎng)絡(luò)安全鏈路安全物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全；物理安全環(huán)境安全設(shè)備安全媒體審計(jì)網(wǎng)絡(luò)平安設(shè)計(jì)方案要點(diǎn)公司背景簡(jiǎn)介平安風(fēng)險(xiǎn)分析解決方案實(shí)施方案技術(shù)支持和效勞承諾產(chǎn)品報(bào)價(jià)產(chǎn)品介紹第三方檢測(cè)報(bào)告平安技術(shù)培訓(xùn)等級(jí)保護(hù)平安措施的實(shí)施依據(jù)平安解決方案進(jìn)行工程實(shí)施包括平安管理措施建設(shè)和平安技術(shù)措施建設(shè)平安管理措施建設(shè)平安技術(shù)措施建設(shè)平安措施的實(shí)施平安解決方案運(yùn)行的監(jiān)控與改進(jìn)持續(xù)監(jiān)控平安措施改進(jìn)系統(tǒng)重新定級(jí)系統(tǒng)變化風(fēng)險(xiǎn)變化等級(jí)保護(hù)