等級(jí)保護(hù)建設(shè)規(guī)劃

項(xiàng)目名稱等級(jí)保護(hù)建設(shè)規(guī)劃[文檔副標(biāo)題]公司名稱2019-1-1

目錄1. 文檔介紹 3 文檔目的 3 文檔范圍 3 讀者對(duì)象 3 相關(guān)法規(guī) 3 相關(guān)標(biāo)準(zhǔn) 4 術(shù)語與縮寫解釋 42. 等級(jí)保護(hù)建設(shè)規(guī)劃 4 信息系統(tǒng)等級(jí)保護(hù) 4 信息系統(tǒng)等級(jí)保護(hù)劃分 6 信息系統(tǒng)等級(jí)保護(hù)基本要求 6 信息系統(tǒng)等級(jí)保護(hù)安全解決方案 7 等級(jí)保護(hù)解決方案內(nèi)容 8

文檔介紹文檔目的文檔范疇讀者對(duì)象有關(guān)法規(guī)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年國務(wù)院147號(hào)令）（“第九條計(jì)算機(jī)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)。安全等級(jí)的劃分原則和安全等級(jí)保護(hù)的具體方法，由公安部會(huì)同有關(guān)部門制訂”）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）（“第一級(jí)：顧客自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：安全標(biāo)記保護(hù)級(jí)；第四級(jí)：構(gòu)造化保護(hù)級(jí)；第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)”）國家信息化領(lǐng)導(dǎo)小組有關(guān)加強(qiáng)信息安全保障工作的意見（中辦發(fā)[]27號(hào)）有關(guān)信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字[]66號(hào)）信息安全等級(jí)保護(hù)管理方法

（公通字[]43號(hào)）有關(guān)開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的告知（公信安[]861號(hào)）有關(guān)開展信息安全等級(jí)保護(hù)安全建設(shè)整治工作的指導(dǎo)意見（公信安[]1429號(hào)）中華人民共和國網(wǎng)絡(luò)安全法（6月1日公布）網(wǎng)絡(luò)安全等級(jí)保護(hù)原則體系公布。（5月10日公布，12月1日實(shí)施）有關(guān)原則計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB17859-1999）（基礎(chǔ)類原則）信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-）（基礎(chǔ)類原則）信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T22240-）（應(yīng)用類定級(jí)原則）信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定（GB/T22239-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)通用安全技術(shù)規(guī)定（GB/T20271-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定（GB/T25070-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)定（GB/T28448-）（應(yīng)用類測(cè)評(píng)原則）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南（GB/T28449-）（應(yīng)用類測(cè)評(píng)原則）信息系統(tǒng)安全管理規(guī)定（GB/T20269-）（應(yīng)用類管理原則）信息系統(tǒng)安全工程管理規(guī)定（GB/T20282-）（應(yīng)用類管理原則）術(shù)語與縮寫解釋縮寫、術(shù)語解釋SPP精簡(jiǎn)并行過程，SimplifiedParallelProcessPIM立項(xiàng)管理，ProjectInitializationManagement…xx項(xiàng)目等級(jí)保護(hù)建設(shè)規(guī)劃信息系統(tǒng)等級(jí)保護(hù)現(xiàn)在國內(nèi)信息安全環(huán)境處在十分嚴(yán)峻的形式，隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展和國際地位的不停提高，我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患比較嚴(yán)重，計(jì)算機(jī)病毒傳輸和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，犯罪分子運(yùn)用某些安全漏洞，使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序等新技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，給顧客造成嚴(yán)重?fù)p失。隨著公司業(yè)務(wù)不停發(fā)展，新業(yè)務(wù)平臺(tái)不停上線，信息系統(tǒng)面臨安全威脅不停增加?，F(xiàn)在互聯(lián)網(wǎng)新的威脅，新的惡意攻擊也在不停涌現(xiàn)，黑色產(chǎn)業(yè)鏈發(fā)展快速，造成公司各類信息系統(tǒng)安全事件頻繁發(fā)生。公司內(nèi)部安全威脅也在日益增多，病毒、惡意攻擊、木馬與P2P泛濫等也不停威脅著信息系統(tǒng)正常運(yùn)行。公司信息系統(tǒng)面臨安全風(fēng)險(xiǎn)重要來自下列五個(gè)方面：立體防御體系等級(jí)保護(hù)安全解決方案互聯(lián)網(wǎng)邊界安全風(fēng)險(xiǎn)互聯(lián)網(wǎng)新興安全威脅不停增加，新的病毒、蠕蟲、木馬等惡意軟件不停威脅公司各類信息系統(tǒng)，特別是公司的對(duì)外門戶，在線業(yè)務(wù)系統(tǒng)等。僵尸網(wǎng)絡(luò)、DDoS攻擊直接威脅公司對(duì)外信息系統(tǒng)運(yùn)行，減少互聯(lián)網(wǎng)安全威脅風(fēng)險(xiǎn)，已經(jīng)是公司信息系統(tǒng)等級(jí)保護(hù)建設(shè)首要職責(zé)。內(nèi)網(wǎng)基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)公司內(nèi)部人員安全意識(shí)單薄，使得內(nèi)部基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)不停加劇、惡化。內(nèi)網(wǎng)終端病毒感染、擴(kuò)散，內(nèi)部人員違規(guī)操作、惡意非法訪問，使得內(nèi)部基礎(chǔ)網(wǎng)絡(luò)，信息系統(tǒng)的安全事、事故經(jīng)常發(fā)生，給公司帶來巨大的經(jīng)濟(jì)損失。管理與運(yùn)維安全風(fēng)險(xiǎn)公司內(nèi)部信息系統(tǒng)運(yùn)維人員復(fù)雜，現(xiàn)有外來維護(hù)人員，又有內(nèi)部運(yùn)維人員，違規(guī)操作、非法操作、錯(cuò)誤操作時(shí)有發(fā)生，使得內(nèi)部管理與運(yùn)維安全風(fēng)險(xiǎn)無法減少。如何有效針對(duì)內(nèi)部管理與運(yùn)維進(jìn)行有效認(rèn)證授權(quán)，操作審計(jì)監(jiān)控是公司信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)核心。內(nèi)網(wǎng)服務(wù)器側(cè)安全風(fēng)險(xiǎn)業(yè)務(wù)信息系統(tǒng)本身開發(fā)存在局限性，主機(jī)操作系統(tǒng)也存在多個(gè)安全漏洞，信息系統(tǒng)潛在安全風(fēng)險(xiǎn)是公司無法規(guī)避。如何發(fā)現(xiàn)各類信息系統(tǒng)，服務(wù)器主機(jī)的安全漏洞，并及時(shí)、有效進(jìn)行防御、加固方法，減少信息系統(tǒng)本身潛在安全風(fēng)險(xiǎn)可能給公司帶來經(jīng)濟(jì)損失。外聯(lián)網(wǎng)邊界安全風(fēng)險(xiǎn)業(yè)務(wù)合作是公司發(fā)展必然，隨之也帶來多個(gè)安全風(fēng)險(xiǎn)，外聯(lián)單位安全威脅，如病毒，蠕蟲能夠直接擴(kuò)散公司內(nèi)部網(wǎng)絡(luò)，給基礎(chǔ)網(wǎng)絡(luò)設(shè)施與信息系統(tǒng)造成破壞，內(nèi)部各類信息系統(tǒng)也將直接面臨來自外聯(lián)單位非法/惡意入侵、訪問。信息系統(tǒng)等級(jí)保護(hù)劃分《信息安全等級(jí)保護(hù)管理方法》規(guī)定，國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其它組織的正當(dāng)權(quán)益的危害程度等因素?cái)M定。信息系統(tǒng)的安全保護(hù)等級(jí)分為下列五級(jí)，一至五級(jí)等級(jí)逐級(jí)增高：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其它組織的正當(dāng)權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)行、使用單位應(yīng)當(dāng)根據(jù)國家有關(guān)管理規(guī)范和技術(shù)原則進(jìn)行保護(hù)。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其它組織的正當(dāng)權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。信息系統(tǒng)等級(jí)保護(hù)基本規(guī)定信息系統(tǒng)等級(jí)保護(hù)應(yīng)根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)狀況，確保它們含有對(duì)應(yīng)等級(jí)的基本安全保護(hù)能力，不同安全保護(hù)等級(jí)的信息系統(tǒng)規(guī)定含有不同的安全保護(hù)能力?；景踩?guī)定是針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)應(yīng)當(dāng)含有的基本安全保護(hù)能力提出的安全規(guī)定，根據(jù)實(shí)現(xiàn)方式的不同，基本安全規(guī)定分為基本技術(shù)規(guī)定和基本管理規(guī)定兩大類?；炯夹g(shù)規(guī)定從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面提出，基本管理規(guī)定從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面提出。技術(shù)類安全規(guī)定與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，重要通過在信息系統(tǒng)中布署軟硬件并對(duì)的的配備其安全功效來實(shí)現(xiàn)；管理類安全規(guī)定與信息系統(tǒng)中多個(gè)角色參加的活動(dòng)有關(guān)，重要通過控制多個(gè)角色的活動(dòng)，從政策、制度、規(guī)范、流程以及統(tǒng)計(jì)等方面做出規(guī)定來實(shí)現(xiàn)。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作涉及定級(jí)、備案、建設(shè)整治、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段。定級(jí)對(duì)象建設(shè)完畢后，運(yùn)行、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的測(cè)評(píng)機(jī)構(gòu)，根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)定》等技術(shù)原則，定時(shí)對(duì)定級(jí)對(duì)象安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)與否滿足對(duì)應(yīng)安全保護(hù)等級(jí)的評(píng)定過程。信息安全等級(jí)保護(hù)規(guī)定不同安全等級(jí)的信息系統(tǒng)應(yīng)含有不同的安全保護(hù)能力，首先通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)；另首先分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等互有關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功效，使信息系統(tǒng)的整體安全功效與信息系統(tǒng)的構(gòu)造以及安全控制間、層面間和區(qū)域間的互有關(guān)聯(lián)關(guān)系親密有關(guān)。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的基礎(chǔ)上，還要涉及系統(tǒng)整體測(cè)評(píng)。信息系統(tǒng)等級(jí)保護(hù)安全解決方案信息系統(tǒng)等級(jí)保護(hù)安全解決方案技術(shù)設(shè)計(jì)涉及各級(jí)系統(tǒng)安全環(huán)境的設(shè)計(jì)及其安全互聯(lián)的設(shè)計(jì)，各級(jí)系統(tǒng)安全保護(hù)環(huán)境由對(duì)應(yīng)級(jí)別的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成。定級(jí)系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級(jí)系統(tǒng)安全管理中心構(gòu)成。信息系統(tǒng)等級(jí)保護(hù)普通考慮三個(gè)維度，一是基本規(guī)定，重要保障信息系統(tǒng)滿足通用類規(guī)定，應(yīng)用保障類規(guī)定，以及信息安全類規(guī)定；二是等級(jí)保護(hù)實(shí)施過程，需要從信息系統(tǒng)的定級(jí)，規(guī)劃，設(shè)計(jì)與實(shí)施，以及到背面信息系統(tǒng)運(yùn)行，維護(hù)，直到信息系統(tǒng)終止；三是等級(jí)保護(hù)框架體系，針對(duì)技術(shù)，管理框架體系設(shè)計(jì)，這是實(shí)現(xiàn)基本規(guī)定的保障。信息系統(tǒng)等級(jí)保護(hù)設(shè)計(jì)辦法需要遵從以保護(hù)對(duì)象為核心，以系統(tǒng)定級(jí)為基準(zhǔn)，以安全規(guī)定為度量，以安全方法為手段，以安全保障為目的，循序漸進(jìn)，穩(wěn)定運(yùn)行，持續(xù)改善。我公司依靠數(shù)年從事信息安全的經(jīng)驗(yàn)，從客戶角度出發(fā)，理解客戶業(yè)務(wù)，響應(yīng)客戶信息系統(tǒng)等級(jí)保護(hù)安全訴求，以產(chǎn)品方案和咨詢服務(wù)緊密結(jié)合為基礎(chǔ)；從主機(jī)安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)，數(shù)據(jù)與應(yīng)用安全防護(hù)，以及統(tǒng)一安全管理與審計(jì)四個(gè)維度，為公司客戶打造全方位信息系統(tǒng)等級(jí)保護(hù)安全解決方案。為了適應(yīng)公司信息系統(tǒng)等級(jí)保護(hù)建設(shè)，我們整合本身信息安全研發(fā)，以及安全服務(wù)能力優(yōu)勢(shì)資源，在完善已有信息系統(tǒng)的訪問控制，以及內(nèi)容安全防御能力的同時(shí)，在信息系統(tǒng)的身份認(rèn)證與授權(quán)，以及應(yīng)急響應(yīng)等領(lǐng)域?qū)崿F(xiàn)新的突破，從整體角度，為信息系統(tǒng)等級(jí)保護(hù)建設(shè)，提供整體安全解決方案技術(shù)框架。等級(jí)保護(hù)解決方案內(nèi)容主機(jī)安全防護(hù)方案信息系統(tǒng)等級(jí)保護(hù)中，計(jì)算環(huán)境重要是指對(duì)承載公司信息系統(tǒng)的服務(wù)器，以及訪問信息系統(tǒng)的各類終端，等級(jí)保護(hù)首先要保障終端，服務(wù)器等主機(jī)安全；通過布署華為終端安全管理系統(tǒng)（TSM），準(zhǔn)入認(rèn)證網(wǎng)關(guān)（SACG），以及專業(yè)主機(jī)安全加固服務(wù)，實(shí)現(xiàn)等級(jí)保護(hù)對(duì)主機(jī)安全防護(hù)規(guī)定。網(wǎng)絡(luò)安全防護(hù)解決方案信息系統(tǒng)等級(jí)保護(hù)中，網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護(hù)重點(diǎn)是確保網(wǎng)絡(luò)之間正當(dāng)訪問，檢測(cè)，制止內(nèi)部，外部惡意攻擊。通過布署華為統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測(cè)/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為正當(dāng)?shù)念櫩吞峁┱?dāng)網(wǎng)絡(luò)訪問，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。應(yīng)用與數(shù)據(jù)安全防護(hù)方案信息系統(tǒng)等級(jí)保護(hù)中，針對(duì)信息系統(tǒng)的應(yīng)用與數(shù)據(jù)安全重要是考慮制止病毒，惡意攻擊對(duì)應(yīng)用業(yè)務(wù)系統(tǒng)破壞，保障信息系統(tǒng)訪問過程中數(shù)據(jù)傳輸安全以及提供有效數(shù)據(jù)存儲(chǔ)。布署華為的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計(jì)UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過華為安全網(wǎng)關(guān)USG實(shí)現(xiàn)數(shù)據(jù)鏈路傳輸IPSecVPN加密，數(shù)據(jù)災(zāi)備實(shí)現(xiàn)公司信息系統(tǒng)數(shù)據(jù)防護(hù)，減少數(shù)據(jù)因意外事故，或者丟失給造成危害。統(tǒng)一安全管理與審計(jì)方案華為提供統(tǒng)一身份管理，基于數(shù)據(jù)庫合規(guī)審計(jì)，針對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)，服務(wù)器，設(shè)備統(tǒng)一運(yùn)維審計(jì)產(chǎn)品，協(xié)助客戶滿足三級(jí)信息系統(tǒng)的合規(guī)審計(jì)規(guī)定。對(duì)全部信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機(jī)的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)規(guī)定安全事件審計(jì)報(bào)告，制訂原則安全事件應(yīng)急響應(yīng)工單流程；協(xié)助公司構(gòu)架統(tǒng)一信息安全管理體系。等級(jí)保護(hù)方案產(chǎn)品與服務(wù)風(fēng)險(xiǎn)評(píng)定：根據(jù)《GB/T20984-信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)定規(guī)范》，通過風(fēng)險(xiǎn)評(píng)定項(xiàng)目的實(shí)施，對(duì)信息系統(tǒng)的重要資產(chǎn)、資產(chǎn)所面臨的威脅、資產(chǎn)存在的脆弱性、已采用的防護(hù)方法等進(jìn)行分析，對(duì)所采用的安全控制方法的有效性進(jìn)行檢測(cè)，綜合分析、判斷安全事件發(fā)生的概率以及可能造成的損失，判斷信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)管理建議，為系統(tǒng)安全保護(hù)方法的改善提供參考。滲入測(cè)試：在客戶授權(quán)條件下，運(yùn)用工具結(jié)合手工方式，采用可控的、不造成較大影響的黑客入侵手法，模擬對(duì)網(wǎng)站發(fā)起入侵嘗試，獲取網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫的重要資源，尋找系統(tǒng)深層次的漏洞，最后提出更精確、更有效的解決建議，協(xié)助公司在業(yè)務(wù)運(yùn)行與信息安全風(fēng)險(xiǎn)控制之間獲得更加好的效益平衡。安全加固：信息系統(tǒng)安全加固是客戶信息系統(tǒng)安全的核心環(huán)節(jié)。通過優(yōu)化和修改系統(tǒng)配備，提高系統(tǒng)的安全性和抗攻擊能力，減少安全事件的發(fā)生，西安將來國際安全加固服務(wù)旨在客戶信息系統(tǒng)的網(wǎng)