等保整改方案

等保整改方案篇一：等保整改与安全建设方案等级保护整改与安全建设方案、八、■前言等级保护保护整改与安全建设工作重要性依据公通字[XX]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求，针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套规范的等保整改过程，协助客户进行风险评估和等级保护差距分析，制定完整的安全整改建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作，协助客户完成信息系统等级保护整改和安全建设工作。等保整改与建设过程主要包括：等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。（一）等级保护差距分析等级保护风险评估1）评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况，而差距分析则是按照等保的所有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说，风险评估的结果更能体现是客户信息系统技术层面的安全现状，比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。通过专业的等级评估服务，协助用户完成以下的目标：•了解信息系统的管理、网络和系统安全现状；•确定可能对资产造成危害的威胁；•确定威胁实施的可能性；•对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；•对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；•明确信息系统的已有安全措施的有效性；•明晰信息系统的安全管理需求。评估内容•资产识别与赋值•主机安全性评估•数据库安全性评估•安全设备评估现场风险评估用到的主要评估方法包括：•漏洞扫描•控制台审计•技术访谈评估分析根据现场收集的信息及对这些信息的分析，评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档，使客户充分了解信息系统存在的风险，作为等保差距分析的一项重要输入，并作为后续整改建设的重要依据。等保差距分析通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级要求之间的差距，确定不符合安全项。1）准备差距分析表项目组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人员），准备相应的检查内容。在整理差距分析表时，整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适用项，增加不能满足客户信息系统需求的安全要求。差距分析表包含以下内容：•安全技术差距分析：包括网络安全、主机安全、应用安全、数据安全及备份恢复；•安全管理差距分析：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理；•系统运维差距分析：包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置；•物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。不同安全保护级别的系统所使用的差距分析表的内容也不同。现场差距分析整改项目组依据差距分析表中的各项安全要求，对比信息系统现状和安全要求之间的差距，确定不符合项。现场工作阶段，整改项目组可分为管理检查组和技术检查组两个小组。在差距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该等级的安全要求，需要进行哪些方面的整改。•查验文档资料•人员访谈•现场测试生成差距分析报告完成现场差距分析之后，整改项目组归纳整理、分析现场记录，找出目前信息系统与等级保护安全要求之间的差距明确不符合项，生成《等级保护差距分析报告》。(二)等级保护整改建议方案整改目标沟通确认通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商，会依据风险评估和差距分析的结果明确等级保护整改工作的工作目标，提出等级保护整改建议方案。对暂时难以进行整改的部分内容，将在讨论后作为遗留问题，明确列在整改建议方案中。总体框架根据等保安全要求，提出如下的安全整改建议，其中PMOT体系是信息安全保障总体框架模型。图信息安全PMOT体系模型根据建议方案的设计原则，协助客户制定总体安全保障体系架构，包括制定安全策略，结合等级保护基本要求和安全保护特殊要求，来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系，具体内容包括：建立和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命和意愿，定义信息安全工作的总体目标安全技术体系：安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。建立和完善安全管理体系：建立安全管理制度，建立信息安全组织，规范人员管理和系统建议管理。安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安全管理等。展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。图4等级保护整改与安全建设总体框架方案说明信息安全策略信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个PMOT信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作总体目标，对技术和管理各方面的安全工作具有通用指导性。安全技术体系根据整改目标提出整改方案的安全技术保障体系，将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安篇二：等保整改一站式解决方案等保三级整改一站式方案一、典型等级保护用户整改参考图（建设目标）二、等保整改方案五步走安全域划分做等级保护的整改，第一步一定是要明确安全域。下面22是经典安全域划分方案：业务服务器域：客户的业务服务器和存储的安全区域用户终端域：用户终端，一些完全不重要的服务器安全管理域：安全管理中心，包括网管系统服务器啊，终端安全管理的服务器等用来做网络和安全运维管理的这些设备互联网出口域：互联网出口的网络和安全设备互联网出口在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载；安全域互访隔离1所有的安全域之间必须通过防火墙才能互联互通；Web安全防护web服务器前部署web防火墙；安全管理中心在安全管理中心要有这些东西：漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、应用性能管理系统、SSLVPN、防病毒系统、运维堡垒主机；以上五个步骤完成，设备整改完成。三、涉及产品列表，红色为我司可提供的产品四、疑难问题解答是不是上面这些设备都部署，才能通过三级等保？回答：不是。上面是比较理想的情况，实际情况根据客户预算和客户实际需求来进行，部署70-80%的设备即可。安全域隔离防火墙，很多客户利用交换机的ACL做，测评中心也认可。回答：对。等保要求进行访问控制，没要求必须用防火墙，交换机ACL也是访问控制手段，但用防火墙是最专业的访问控制设备，其专业性智能型运维容易程度都远远强于交换机ACL，而且交换机ACL损耗交换机性能严重，交换机是交换设备，不是专业的安全设备。是不是做了这些就可以通过等保测评了？回答：设备层面足够了。还需要做一些安全加固和管理制度文档整理。安全加固指的是把服务器、数据库、网络设备、安全设备、业务系统的一些安全策略调整到符合等保的规定，比如你服务器密码都是666，现在开启服务器的密码强度要求这个策略，就是安全加固。文档整理主要是安全管理制度，以及测评申请书。了解到客户情况后，怎么给客户做整改方案？回答：上面整改五步走，每一步都说明了需要什么，缺少的设备就是需要整改的。安全加固和安全制度是肯定需要整改的。3篇三：等级保护整改方案模板（独创版本）密级：商密文档编号：等级保护整改方案-03项目代号：中国XX股份信息安全专项咨询项目等级保护整改方案北京信息安全技术有限公司XX年9月仅供XX股份信息安全专项咨询项目内部使用第1页共32页保密申明这份文件包含了来自XX星辰的可靠、权威的信息，这些信息是作为XX股份正在实施的信息安全专项咨询项目实施专用，接受这份计划书表示同意对其内容保密并且未经XX公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。仅供XX股份信息安全专项咨询项目内部使用第2页共32页文档信息表仅供XX股份信息安全专项咨询项目内部使用第3

页共32页目录密申明保表2文档信息述31概61.11.21.32述概6主要内容6目标读者6系统识别定级72.12.22.3业务信息受到破坏时所侵害客体的确定7信息受到破坏后对侵害客体的侵害程度7系统定级83现状概述93.13.23.3ERP系统9资金系统11OA系统12理4安全管度134.1安全管理制足144.1.1现状的不14管理制度14整改方案144.2安全管理机构154.2.1现状的不足154.2.2整改方案154.3人员安全管理164.3.1现状的不足164.3.2整改方案215215174.4系统建设管理174.4.1现状的不足174.4.2整改方案184.5系统运维管理194.5.1现状的不足194.5.2整改方案2323235.1物理安全234.1.2现状的不足235.1.2整改方案235.2网络安全235.2.1现状的不足仅供XX股份信息安全专项咨询项目内部使用第4

页