信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案v10

上傳人：簡*** IP屬地：河北上傳時間：2025-02-17 格式：PDF 頁數(shù)：158 大?。?3.64MB 積分：12 舉報 版權(quán)申訴

信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案v10_第2頁

信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案v10_第3頁

信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案v10_第4頁

信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案v10_第5頁

已閱讀5頁，還剩153頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

spcyvpR|_p

xxxx項目

信息系統(tǒng)等級保護(hù)安全體系建設(shè)

設(shè)計方案

V1.0

(LS-SS-DT-2011-LS-000X)

2012-04-25

網(wǎng)神信息技術(shù)(北京)股份有限公司

運(yùn)籌帷幄，持續(xù)安全

文檔說明

本文的內(nèi)容是XXXX項目信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案。文中的資

料、說明等相關(guān)內(nèi)容歸網(wǎng)神信息技術(shù)（北京）股份有限公司（以下簡稱“網(wǎng)神公司”）

所有。本文中的任何部分未經(jīng)網(wǎng)神許可，不得轉(zhuǎn)印、影印或復(fù)印。

本文中的全部及任何部分內(nèi)容均受密級和擴(kuò)散范圍限制C

XXXX項目信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案

?版權(quán)所有網(wǎng)神信息技術(shù)（北京）股份有限公司

北京海淀區(qū)上地開拓路7號先鋒大廈二段1層

2Section1F,XianfengBuilding,No.7KaituoRoad,HaidianDistrict,Beijing

客服熱線(CustomerHotline)/p>

傳真(Fax)/p>

郵編(PostCode)：100085

文檔控制

文檔名稱XXXX項目信息系統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案

保密級別內(nèi)部公開

擬制韋國文

審核劉敬群

標(biāo)準(zhǔn)化顧鑫

文檔持有者網(wǎng)神XXXX項目、XXXX項目組

版本控制

版本提交日期相關(guān)組織和人員版本描述

V1.02012-04-20網(wǎng)神XXXX項目組創(chuàng)建

V1.020110425網(wǎng)神XXXX項目組架構(gòu)調(diào)整

1項目概述..............................................9

1.1項目背景...................................................9

1.2項目目標(biāo)...................................................9

1.3項目范圍...................................................9

2設(shè)計方案在等保建設(shè)中的意義.............................9

2.1等級保護(hù)的重要性...........................................9

2.2設(shè)計方案的重要意義.........................................9

2.3設(shè)計方案依據(jù)..............................................10

2.4方案設(shè)計目標(biāo)..............................................12

3設(shè)計方案的設(shè)計思路與技術(shù)路線.........................12

3.1設(shè)計思路..................................................12

3.2總體技術(shù)路線..............................................13

3.2.1風(fēng)險管理設(shè)計方法....................................13

3.2.2體系化設(shè)計方法......................................14

3.2.3多重防護(hù)設(shè)計方法....................................14

4信息系統(tǒng)定級及基本情況................................15

4.1XXXX信息系統(tǒng)概況........................................16

4.1.1XXXX信息系統(tǒng).......................................16

4.1.2XXXX信息系統(tǒng).......................................16

4.1.3XXXX信息系統(tǒng).......................................17

4.1.4XXXX信息系統(tǒng).......................................17

4.1.5XXXX信息系統(tǒng).......................................18

5XXXX安全現(xiàn)狀描述....................................18

5.1.1信息安全組織結(jié)構(gòu)現(xiàn)狀................................18

5.1.2信息安全管理現(xiàn)狀....................................18

5.1.3信息安全技術(shù)現(xiàn)狀....................................18

6XXXX安全需求分析...................................20

6.1XXXX安全評估風(fēng)險分析....................................20

6.1.1信息系統(tǒng)風(fēng)險分析....................................20

6.1.2XXXX風(fēng)險綜述......................................25

6.2XXXX等保差距分析........................................25

6.2.1安全技術(shù)要求........................................25

6.2.2安全管理要求........................................40

6.3XXXX安全需求分析........................................51

6.3.1安全技術(shù)需求........................................52

6.3.2安全管理需求........................................54

7安全保障體系框架設(shè)計.................................56

8總體方針策略設(shè)計.....................................58

8.1信息安全方針..............................................58

8.1.1安全使命............................................58

8.1.2安全目標(biāo)............................................58

8.2總體安全策略..............................................59

8.2.1信息安全管理體系總體策略：..........................59

8.2.2信息安全技術(shù)體系總體策略............................59

8.2.3信息安全服務(wù)體系策略................................60

9安全技術(shù)體系設(shè)計.....................................60

9.1物理層安全................................................60

9.1.1落實(shí)等級保護(hù)相關(guān)要求................................61

9.2網(wǎng)絡(luò)層安全................................................61

9.2.1網(wǎng)絡(luò)架構(gòu)............................................61

9.2.2區(qū)域邊界訪問控制....................................64

9.2.3網(wǎng)絡(luò)安全審計........................................71

9.2.4邊界完整性檢查......................................72

9.2.5入侵檢測............................................75

9.2.6網(wǎng)絡(luò)邊界惡意代碼防范................................76

9.2.7基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全....................................78

9.2.8落實(shí)等級保護(hù)相關(guān)要求................................79

93主機(jī)層安全................................................80

9.3.1操作系統(tǒng)安全........................................80

9.3.2安全監(jiān)控和審計......................................84

9.3.3惡意代碼防范........................................85

9.3.4其它保護(hù)控制........................................86

9.3.5主機(jī)層安全設(shè)計實(shí)現(xiàn)..................................87

9.3.6落實(shí)等級保護(hù)相關(guān)要求................................91

9.4應(yīng)用層安全................................................91

9.4.1軟件架構(gòu)安全........................................91

9.4.2安全功能............................................92

9.4.3程序控制安全........................................94

9.4.4應(yīng)用層安全設(shè)計實(shí)現(xiàn)..................................96

9.4.5落實(shí)等級保護(hù)相關(guān)要求................................97

9.5數(shù)據(jù)層安全................................................98

9.5.1數(shù)據(jù)完整性..........................................98

9.5.2數(shù)據(jù)保密性..........................................99

9.5.3備份和恢復(fù).........................................100

9.5.4落實(shí)等級保護(hù)相關(guān)要求...............................100

9.6安全管理平臺.............................................101

9.6.1信息資產(chǎn)集中管理...................................101

9.6.2設(shè)備狀態(tài)實(shí)時監(jiān)控...................................101

9.6.3異常狀況及時預(yù)警...................................102

9.6.4故障根源快速定位...................................102

9.6.5安全事件統(tǒng)一存儲、監(jiān)控分析.........................102

10安全管理體系設(shè)計....................................103

10.1安全組織結(jié)構(gòu)............................................103

10.1.1信息安全組織成員職責(zé)............................103

10.1.2相關(guān)崗位信息安全職責(zé)............................104

10.1.3XXXX崗位設(shè)置與人員編制........................107

10.1.4專家顧問與外部協(xié)作..............................107

10.2安全管理制度............................................107

10.2.1安全管理策略....................................107

10.2.2安全管理制度體系文件管理........................110

10.3人員安全管理............................................111

10.3.1內(nèi)部人員安全管理................................112

10.3.2外部人員安全管理................................112

10.4系統(tǒng)建設(shè)管理............................................113

10.4.1信息系統(tǒng)建設(shè)安全管理............................113

10.4.2系統(tǒng)備案和系統(tǒng)測評..............................114

10.5日常運(yùn)維管理.............................................114

10.5.1環(huán)境管理........................................114

10.5.2資產(chǎn)管理........................................115

10.5.3網(wǎng)絡(luò)安全管理....................................115

10.5.4系統(tǒng)安全管理....................................115

10.5.5防病毒管理......................................116

10.5.6監(jiān)控管理........................................116

10.5.7密碼管理........................................117

10.5.8變更管理........................................117

10.5.9備份與恢復(fù)管理..................................117

10.6安全事件管理和應(yīng)急響應(yīng)..................................117

11安全服務(wù)體系設(shè)計....................................118

11.1風(fēng)險評估服務(wù).............................................118

11.1.1風(fēng)險評估模型....................................118

11.1.2風(fēng)險評估方法....................................121

11.1.3風(fēng)險評估工具....................................122

11.1.4信息安全風(fēng)險評估實(shí)施流程........................124

11.2安全加固服務(wù)............................................134

11.2.1安全加固模型....................................134

11.2.2安全加固流程....................................136

11.3應(yīng)急響應(yīng)服務(wù)............................................138

11.4安全培訓(xùn)服務(wù)............................................138

12安全產(chǎn)品部署及安全建設(shè)步驟..........................139

12.1安全產(chǎn)品部署示意圖......................................140

12.2安全產(chǎn)品部署列表........................................147

12.3安全建設(shè)步驟............................................147

12.3.1一期建設(shè)任務(wù)...................................148

12.3.2二期建設(shè)任務(wù)...................................148

12.3.3三期建設(shè)任務(wù)...................................149

13等級保護(hù)基本要求實(shí)現(xiàn)情況說明........................150

13.1安全技術(shù)要求實(shí)現(xiàn)情況....................................150

13.2安全管理要求實(shí)現(xiàn)情況....................................154

14遺留風(fēng)險............................................155

15網(wǎng)神設(shè)計方案的優(yōu)點(diǎn)說明.............................156

圖示目錄

圖2-1信息系統(tǒng)安全等級保護(hù)實(shí)施的基本流程........................10

圖3-1信息安全風(fēng)險評估模型......................................14

圖3-2防御體系模型...............................................15

圖6-1風(fēng)險評估實(shí)施流程...........................................21

圖7-1：安全保障體系框架........................................57

圖9-1：安全區(qū)域劃分示意圖.......................................62

圖9-2：網(wǎng)絡(luò)架構(gòu)設(shè)計示意圖.......................................64

圖9-3：生產(chǎn)網(wǎng)邊界防火墻部署示意.................................68

圖9-4：辦公網(wǎng)防火墻部署示意.....................................70

圖9-5：災(zāi)備網(wǎng)防火墻部署示意.....................................71

圖9-6：桌面終端管理系統(tǒng)部署示意.................................74

圖9-7：網(wǎng)絡(luò)入侵檢測系統(tǒng)部署示意.................................76

圖9-8：防病毒網(wǎng)關(guān)部署示意.......................................77

圖9-9：漏洞掃描系統(tǒng)部署示意.....................................87

圖9-10：桌面終端管理系統(tǒng)部署示意................................88

圖9-11：主機(jī)安全加固系統(tǒng)部署示意................................90

圖9-12：數(shù)據(jù)庫審計系統(tǒng)部署示意..................................96

圖9-13SSLVPN部署示意.........................................97

圖9-14：安全管理中心部署示意...................................101

圖10-1：安全管理策略體系圖.....................................108

圖10-2：人員安全管理框架圖.....................................111

圖11?1：信息安全風(fēng)險評估流程圖.................................119

圖11-2：風(fēng)險分析示意圖.........................................120

圖11?3：風(fēng)險評估流程...........................................125

圖11-4：系統(tǒng)安全加固模型.......................................135

圖11-5：系統(tǒng)安全加固與風(fēng)險控制.................................135

圖11-6：安全加固流程...........................................137

圖12-1：安全產(chǎn)品部署示意.......................................140

表格目錄

表格3-2：網(wǎng)絡(luò)設(shè)備資產(chǎn)清單.......................................19

表格3-3：安全設(shè)備資產(chǎn)清單.......................................19

表格3-4：主機(jī)設(shè)備資產(chǎn)清單.......................................19

表格4-1：系統(tǒng)漏洞掃描脆弱風(fēng)險分析結(jié)果...........................22

表格4-2：滲透測試評估結(jié)果.......................................23

表格4-3：物理安全差距分析表.....................................26

表格4-4：網(wǎng)絡(luò)安全差距分析表.....................................28

表格4-5：主機(jī)安全差距分析表.....................................33

表格4-6：應(yīng)用安全差距分析表.....................................36

表格4-7：數(shù)據(jù)安全差距分析表.....................................39

表格4-8：安全管理制度分析表.....................................40

表格4-9：安全管理機(jī)構(gòu)分析表.....................................41

表格4-10：人員安全管理分析表....................................43

表格4-11：系統(tǒng)建設(shè)管理分析表....................................44

表格4-12：系統(tǒng)運(yùn)維管理分析表....................................47

表格6-1：生產(chǎn)網(wǎng)安全區(qū)域功能說明.................................63

表格6-2：辦公網(wǎng)安全區(qū)域功能說明.................................63

表格6-3：災(zāi)備網(wǎng)安全區(qū)域功能說明.................................63

表格6-4：生產(chǎn)網(wǎng)各區(qū)域訪問控制關(guān)系...............................66

表格6-5：辦公網(wǎng)各區(qū)域訪問控制關(guān)系...............................67

表格6-6：災(zāi)備網(wǎng)各區(qū)域訪問控制關(guān)系...............................67

表格7-1：崗位設(shè)置與人員編制對應(yīng)關(guān)系表..........................107

表格7-2：安全管理制度列表......................................109

表格2：脆弱性評估內(nèi)容..........................................127

表格3：脆弱性賦值..............................................129

表格4：威脅評估內(nèi)容............................................130

表格5：威脅來源和威脅類型對應(yīng)表................................130

表格6：威脅賦值................................................131

表格7：風(fēng)險等級定義............................................133

表格8-1：周期性培訓(xùn)計劃........................................138

表格8-2：階段性培訓(xùn)計劃........................................139

表格9-1：安全產(chǎn)品部署列表......................................147

表格9-2：2011年等級保護(hù)三級信息安全建設(shè)內(nèi)容...................148

表格9-3：2012年等級保護(hù)三級信息安全建設(shè)內(nèi)容...................149

表9-1：安全技術(shù)要求實(shí)現(xiàn)情況說明.................................150

表9-2：安全管理要求實(shí)現(xiàn)情況說明..................錯誤!未定義書簽。

表格101遺留風(fēng)險情況說明表.....................錯誤味定義書簽。

1項目概述

1.1項目背景

1.2項目目標(biāo)

13項目范圍

2設(shè)計方案在等保建設(shè)中的意義

2.1等級保護(hù)的重要性

信息安全等級保護(hù)制度是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信

息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化

建設(shè)健康發(fā)展的一項基本制度。實(shí)行信息安全等級保護(hù)制度，能夠充分調(diào)動國家、

法人和其他組織及公民的積極性，發(fā)揮各方面的積極作用，達(dá)到有效保護(hù)的目的，

增強(qiáng)安全保護(hù)的整體性、針對性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)

一規(guī)范、科學(xué)合理，對促進(jìn)我國信息安全的發(fā)展起到重要的推動作用。

為推進(jìn)信息安全等級保護(hù)工作的開展，公安部根據(jù)《中華人民共和國計算機(jī)信

息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）的授權(quán)，會同國家相關(guān)部門共同推出了

一系列指導(dǎo)等級保護(hù)具體工作開展的指導(dǎo)意見和規(guī)范，共同構(gòu)成了信息安全等級保

護(hù)政策體系。

2.2設(shè)計方案的重要意義

《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）利《關(guān)于印發(fā)

〈信息安全定級保護(hù)管理辦法〉的通知》（公通字[2007]43號〕確定了實(shí)施信息安全

等級保護(hù)制度的原則、工作職責(zé)劃分、實(shí)施要求和實(shí)施計劃，明確了開展信息安全

等級保護(hù)T作的基本內(nèi)容、T作流程、T作方法等"并且在《信息安全技術(shù)信息系

統(tǒng)安全等級保護(hù)實(shí)施指南》(GB/T25058-2010)中指明了信息系統(tǒng)安全等級保護(hù)建

設(shè)實(shí)施的基本流程包括：信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實(shí)施、安全運(yùn)

維與維護(hù)、信息系統(tǒng)終止等五個基本流程。如下圖：

等級變更

局部調(diào)整

圖2-1信息系統(tǒng)安全等級保護(hù)實(shí)施的基本流程

可以看到在五個基本流程中安全設(shè)計與實(shí)施對信息系統(tǒng)等級保護(hù)建設(shè)起到了承

上啟下的關(guān)鍵作用，既是總體安全規(guī)劃的具體描述，也是安全運(yùn)行與維護(hù)的依賴基

礎(chǔ)。有效的做好安全設(shè)計與實(shí)施環(huán)節(jié)的工作，是保障信息系統(tǒng)合規(guī)性建設(shè)的至關(guān)重

要的任務(wù)。

按照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》(GB/T25058—2010)

中對于安全設(shè)計與實(shí)施環(huán)節(jié)的工作規(guī)劃，安全設(shè)計方案對整體的安全設(shè)計與實(shí)施環(huán)

節(jié)起到了綱領(lǐng)性作用?？梢哉f安全設(shè)計方案是安全設(shè)計與實(shí)施環(huán)節(jié)中，有效把握信

息系統(tǒng)安全體系整體建設(shè)，制定信息系統(tǒng)的安全策略，落實(shí)安全體系建設(shè)的防護(hù)手

段，控制項目建設(shè)投資與保障建設(shè)成果的關(guān)鍵依據(jù)。

因此，可以將安全設(shè)計方案視為信息系統(tǒng)等級保護(hù)建設(shè)工作中的靈魂，為安全

體系的建設(shè)與落實(shí)規(guī)劃出明確的方向與方法，為信息系統(tǒng)運(yùn)維工作的開展奠定了堅

厚的基礎(chǔ)。

2.3設(shè)計方案依據(jù)

網(wǎng)神信息技術(shù)(北京)股份有限公司(以下簡稱“網(wǎng)神公司”)在開展《信息系

統(tǒng)等級保護(hù)安全體系建設(shè)設(shè)計方案》的設(shè)計過程中將嚴(yán)格按照國家的相關(guān)法律標(biāo)準(zhǔn)

展開，為用戶提供符合自身實(shí)際需求及滿足等級保護(hù)建設(shè)規(guī)范的優(yōu)質(zhì)方案，主要依

據(jù)的標(biāo)準(zhǔn)文件包含如下：

國家信息安全相關(guān)文件：

?《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）

?《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)

[2003]27號）

?《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）

?《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）

?《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安

[2007]861號）

?《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范》（公信安[2008]736號）

?《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安

[2009]1429號）

?《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》

（公信安[2010]303號）

?以及其他相關(guān)文件。

國信安標(biāo)委組織制定的國家標(biāo)準(zhǔn)：

?GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

?GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南

?GB/T25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南

?GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

?GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)管理要求

?GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

?GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

?GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求

?GB/T21082-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求

?GBT25070-2010-信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求（報批稿）

?國標(biāo)報批稿信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南

?國標(biāo)報批稿信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求

2.4方案設(shè)計目標(biāo)

通過詳細(xì)設(shè)計方案設(shè)計工作實(shí)現(xiàn)以下目標(biāo)：

1、使安全體系的設(shè)計可以符合XXXX實(shí)際安全需求，指導(dǎo)解決XXXX乃至

XXXX組織、人員、制度和技術(shù)各個方面的信息安全問題，符合XXXX特點(diǎn)的整

體信息安全保障體系。

2、指導(dǎo)XXXX進(jìn)行整體等級保護(hù)整改工作，促進(jìn)安全體系的建設(shè)成果通過國

家權(quán)威測評機(jī)構(gòu)測評，最終通過公安部的備案認(rèn)可。

兩個目標(biāo)在本質(zhì)上是一致的，符合等級保護(hù)政策是外在動力，提升信息安全管

理水平是內(nèi)在需求，都是在為安全保護(hù)體系的建設(shè)做好規(guī)劃加設(shè)計工作。

3設(shè)計方案的設(shè)計思路與技術(shù)路線

3.1設(shè)計思路

網(wǎng)神公司在進(jìn)行安全體系的方案設(shè)計中，將根據(jù)國家信息安全等級保護(hù)相關(guān)要

求，通過分析待建系統(tǒng)的實(shí)際安全需求，結(jié)合其業(yè)務(wù)信息的實(shí)際特性，并依據(jù)及參

照相關(guān)政策標(biāo)準(zhǔn)，建立了符合待建系統(tǒng)的信息安仝保障體系框架，設(shè)計安仝保障體

系方案，綜合提升信息系統(tǒng)的安全保障能力和防護(hù)水平，確保信息系統(tǒng)的安全穩(wěn)定

運(yùn)行。具體設(shè)計將遵循以下思路開展：

1.合規(guī)性建設(shè)與業(yè)務(wù)風(fēng)險結(jié)合分析的思路

通過對信息系統(tǒng)現(xiàn)狀進(jìn)行實(shí)際調(diào)研，利用差距分析的方法與《信息安全技術(shù)信

息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)(以下簡稱“《基本要求》”)的

控制項進(jìn)行符合度比對分析，掌握系統(tǒng)防護(hù)現(xiàn)狀與基線要求間的實(shí)際差距。并采用

信息安全風(fēng)險評估的方法，對信息系統(tǒng)進(jìn)行全面的資產(chǎn)、脆弱性、威脅和業(yè)務(wù)風(fēng)險

等方面系統(tǒng)化的測評分析，發(fā)現(xiàn)基于業(yè)務(wù)的安全風(fēng)險問題。將差距分析結(jié)果與風(fēng)險

評估結(jié)果進(jìn)行充分結(jié)合與提煉，綜合形成能夠符合等級保護(hù)建設(shè)要求并充分保障業(yè)

務(wù)安全的建設(shè)需求。

2.安全保障體系框架設(shè)計思路

設(shè)計方案將遵循《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T

25070-2010)(以下簡稱”《安全設(shè)計技術(shù)要求》。結(jié)合《信息保障技術(shù)框架》(IATF),

落實(shí)《基本要求》與建設(shè)需求，從宏觀層面為信息系統(tǒng)構(gòu)建符合縱深防御戰(zhàn)略思想

的多重防御體系框架，充分保證建立的安全保障體系的合規(guī)性、完整性、先進(jìn)性與

高可用性。

3.基于應(yīng)用的安全策略設(shè)計思路

以安全保障體系框架為主體，深入開展基于系統(tǒng)應(yīng)用的流程分析與策略梳理，

通過對信息系統(tǒng)安全建模，將信息系統(tǒng)每一層面的安全控制有效落實(shí)至安全保障體

系框架的各層防護(hù)之中,實(shí)現(xiàn)安全保障體系建設(shè)的高靈活性、高符合性與高適應(yīng)性。

4.統(tǒng)一規(guī)劃、分步實(shí)施的思路

方案設(shè)計過程中，將立足于信息化的長期發(fā)展規(guī)劃，從宏觀戰(zhàn)略層面制定完整

統(tǒng)一的安全保障體系規(guī)劃。并且充分考慮信息化建設(shè)每一階段的切實(shí)的安全需求，

制定符合信息系統(tǒng)發(fā)展需求的階段性安全規(guī)劃。保證信息化安全建設(shè)的合理性與可

持續(xù)性。

3.2總體技術(shù)路線

網(wǎng)神公司將根據(jù)目前國內(nèi)外安全理論和標(biāo)準(zhǔn)的發(fā)展，在設(shè)計和建設(shè)信息安全保

障體系中主要采用如下技術(shù)方法：

3.2.1風(fēng)險管理設(shè)計方法

風(fēng)險管理(RiskManagement)旨在對潛在機(jī)會和不利影響進(jìn)行有效管理的文

化、程序和結(jié)構(gòu)。風(fēng)險管理是良好管理的一個組成部分，它用一種將損失減小到最

低程度而使商業(yè)機(jī)會達(dá)到最大限度的方式，對與機(jī)構(gòu)的任何活動、功能和過程相關(guān)

的風(fēng)險進(jìn)行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。風(fēng)險管理既是

為了發(fā)現(xiàn)商業(yè)機(jī)會，同樣也是為了避免或減輕損失。風(fēng)險管理過程(Risk

ManagementProcess)是指系統(tǒng)地將管理方針、程序和實(shí)施應(yīng)用于風(fēng)險的環(huán)境建

立、鑒定、分析、評價、處理、監(jiān)控和信息交流等任務(wù)。

網(wǎng)神公司將采用《安全風(fēng)險評估規(guī)范》中的信息安全風(fēng)險評估模型，并提取其

中的關(guān)鍵要素建立風(fēng)險分析的最終方法，如下圖所示：

圖3-1信息安全風(fēng)險評估模型

網(wǎng)神公司在完成基于資產(chǎn)風(fēng)險分析的基礎(chǔ)上，結(jié)合前期信息系統(tǒng)業(yè)務(wù)梳理的成

果，將資產(chǎn)風(fēng)險有效地與業(yè)務(wù)流程相關(guān)聯(lián)，分析資產(chǎn)風(fēng)險對業(yè)務(wù)流程產(chǎn)生的風(fēng)險隱

患，確認(rèn)信息系統(tǒng)的整體業(yè)務(wù)流程風(fēng)險。

3.2.2體系化設(shè)計方法

一個完整的信息安全體系應(yīng)該是安全管理和安全技術(shù)實(shí)施的結(jié)合，兩者缺一不

可。為了實(shí)現(xiàn)對信息系統(tǒng)的多層保護(hù)，真正達(dá)到信息安全保障的目標(biāo)，國內(nèi)外安全

保障理論也在不斷的發(fā)展之中，根據(jù)等級保護(hù)安全技術(shù)和安全管理的整體框架，并

根據(jù)信息系統(tǒng)的實(shí)際情況，參照國際安全控制框架的有關(guān)標(biāo)準(zhǔn)，形成符合信息系統(tǒng)

的安全保障體系框架。在方案設(shè)計中選定安全技術(shù)、安全管理和安全運(yùn)行為最后的

整體安全保障體系框架結(jié)構(gòu)。

3.2.3多重防護(hù)設(shè)計方法

信息系統(tǒng)安全體系建設(shè)的思路是根據(jù)分區(qū)分域防護(hù)的原則，按照一個中心三重

防護(hù)的思想，建設(shè)信息系統(tǒng)安全等級保護(hù)深度防御體系。

安全計算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)

/i■算節(jié)點(diǎn)N/外.

數(shù)據(jù)傳[7域

輸機(jī)密

性保護(hù)

信

數(shù)據(jù)傳控

徜完整制

性保護(hù)

邊界安全

◎

圖3-2防御體系模型

按照信息系統(tǒng)業(yè)務(wù)處理過程將系統(tǒng)劃分成安全計算環(huán)境、安全區(qū)域邊界和安全

通信網(wǎng)絡(luò)三部分，以計算節(jié)點(diǎn)為基礎(chǔ)對這三部分實(shí)施保護(hù)，構(gòu)成由安全管理中心支

撐下的計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全所組成的“一個中心，三重防

護(hù)”結(jié)構(gòu)。

4信息系統(tǒng)定級及基本情況

為貫徹落實(shí)《關(guān)于印發(fā)V信息安全定級保護(hù)管理辦法〉的通知》（公通字[2007]43

號）和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安

[2007]861號），XXXX于XXXX年XXXX月初組織開展了XXXX行業(yè)信息系統(tǒng)安全

等級保護(hù)定級工作，目前定級工作已基本完成。XXXX共有X個信息系統(tǒng)。

本次項目建設(shè)的信息系統(tǒng)范圍是X個三級系統(tǒng)和X個二級系統(tǒng)，如下表所示:

表4-1XXXX信息系統(tǒng)定級備案情況表

系統(tǒng)服務(wù)范圍表

定級

編號信息系統(tǒng)責(zé)任部門業(yè)務(wù)信系統(tǒng)服保護(hù)等備案單位

息務(wù)級

1333公安部

2333公安部

3333公安部

4333公安部

5333公安部

4.1XXXX信息系統(tǒng)概況

4.1.1XXXX信息系統(tǒng)

信息系統(tǒng)概述

此段主要描述定級系統(tǒng)WE述，在定級報告里面有，復(fù)制拷貝即可

信息系統(tǒng)定級