等级保护建设规划

项目名称等级保护建设规划[文档副标题]公司名称2019-1-1

目录1. 文档介绍 3 文档目的 3 文档范围 3 读者对象 3 相关法规 3 相关标准 4 术语与缩写解释 42. 等级保护建设规划 4 信息系统等级保护 4 信息系统等级保护划分 6 信息系统等级保护基本要求 6 信息系统等级保护安全解决方案 7 等级保护解决方案内容 8

文档介绍文档目的文档范畴读者对象有关法规中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）（“第九条计算机信息系统实施安全等级保护。安全等级的划分原则和安全等级保护的具体方法，由公安部会同有关部门制订”）计算机信息系统安全保护等级划分准则（GB17859-1999）（“第一级：顾客自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：构造化保护级；第五级：访问验证保护级”）国家信息化领导小组有关加强信息安全保障工作的意见（中办发[]27号）有关信息安全等级保护工作的实施意见（公通字[]66号）信息安全等级保护管理方法

（公通字[]43号）有关开展全国重要信息系统安全等级保护定级工作的告知（公信安[]861号）有关开展信息安全等级保护安全建设整治工作的指导意见（公信安[]1429号）中华人民共和国网络安全法（6月1日公布）网络安全等级保护原则体系公布。（5月10日公布，12月1日实施）有关原则计算机信息系统安全等级保护划分准则（GB17859-1999）（基础类原则）信息系统安全等级保护实施指南（GB/T25058-）（基础类原则）信息系统安全保护等级定级指南（GB/T22240-）（应用类定级原则）信息系统安全等级保护基本规定（GB/T22239-）（应用类建设原则）信息系统通用安全技术规定（GB/T20271-）（应用类建设原则）信息系统等级保护安全设计技术规定（GB/T25070-）（应用类建设原则）信息系统安全等级保护测评规定（GB/T28448-）（应用类测评原则）信息系统安全等级保护测评过程指南（GB/T28449-）（应用类测评原则）信息系统安全管理规定（GB/T20269-）（应用类管理原则）信息系统安全工程管理规定（GB/T20282-）（应用类管理原则）术语与缩写解释缩写、术语解释SPP精简并行过程，SimplifiedParallelProcessPIM立项管理，ProjectInitializationManagement…xx项目等级保护建设规划信息系统等级保护现在国内信息安全环境处在十分严峻的形式，随着我国经济的持续发展和国际地位的不停提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传输和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子运用某些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给顾客造成严重损失。随着公司业务不停发展，新业务平台不停上线，信息系统面临安全威胁不停增加。现在互联网新的威胁，新的恶意攻击也在不停涌现，黑色产业链发展快速，造成公司各类信息系统安全事件频繁发生。公司内部安全威胁也在日益增多，病毒、恶意攻击、木马与P2P泛滥等也不停威胁着信息系统正常运行。公司信息系统面临安全风险重要来自下列五个方面：立体防御体系等级保护安全解决方案互联网边界安全风险互联网新兴安全威胁不停增加，新的病毒、蠕虫、木马等恶意软件不停威胁公司各类信息系统，特别是公司的对外门户，在线业务系统等。僵尸网络、DDoS攻击直接威胁公司对外信息系统运行，减少互联网安全威胁风险，已经是公司信息系统等级保护建设首要职责。内网基础设施安全风险公司内部人员安全意识单薄，使得内部基础设施安全风险不停加剧、恶化。内网终端病毒感染、扩散，内部人员违规操作、恶意非法访问，使得内部基础网络，信息系统的安全事、事故经常发生，给公司带来巨大的经济损失。管理与运维安全风险公司内部信息系统运维人员复杂，现有外来维护人员，又有内部运维人员，违规操作、非法操作、错误操作时有发生，使得内部管理与运维安全风险无法减少。如何有效针对内部管理与运维进行有效认证授权，操作审计监控是公司信息系统等级保护安全建设核心。内网服务器侧安全风险业务信息系统本身开发存在局限性，主机操作系统也存在多个安全漏洞，信息系统潜在安全风险是公司无法规避。如何发现各类信息系统，服务器主机的安全漏洞，并及时、有效进行防御、加固方法，减少信息系统本身潜在安全风险可能给公司带来经济损失。外联网边界安全风险业务合作是公司发展必然，随之也带来多个安全风险，外联单位安全威胁，如病毒，蠕虫能够直接扩散公司内部网络，给基础网络设施与信息系统造成破坏，内部各类信息系统也将直接面临来自外联单位非法/恶意入侵、访问。信息系统等级保护划分《信息安全等级保护管理方法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其它组织的正当权益的危害程度等因素拟定。信息系统的安全保护等级分为下列五级，一至五级等级逐级增高：第一级，信息系统受到破坏后，会对公民、法人和其它组织的正当权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运行、使用单位应当根据国家有关管理规范和技术原则进行保护。第二级，信息系统受到破坏后，会对公民、法人和其它组织的正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。信息系统等级保护基本规定信息系统等级保护应根据信息系统的安全保护等级状况，确保它们含有对应等级的基本安全保护能力，不同安全保护等级的信息系统规定含有不同的安全保护能力。基本安全规定是针对不同安全保护等级信息系统应当含有的基本安全保护能力提出的安全规定，根据实现方式的不同，基本安全规定分为基本技术规定和基本管理规定两大类。基本技术规定从物理安全、主机安全、网络安全、应用安全和数据安全五个层面提出，基本管理规定从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面提出。技术类安全规定与信息系统提供的技术安全机制有关，重要通过在信息系统中布署软硬件并对的的配备其安全功效来实现；管理类安全规定与信息系统中多个角色参加的活动有关，重要通过控制多个角色的活动，从政策、制度、规范、流程以及统计等方面做出规定来实现。网络安全等级保护工作涉及定级、备案、建设整治、等级测评、监督检查五个阶段。定级对象建设完毕后，运行、使用单位或者其主管部门应当选择符合国家规定的测评机构，根据《网络安全等级保护测评规定》等技术原则，定时对定级对象安全等级状况开展等级测评。信息系统安全等级测评是验证信息系统与否满足对应安全保护等级的评定过程。信息安全等级保护规定不同安全等级的信息系统应含有不同的安全保护能力，首先通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另首先分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等互有关联关系，共同作用于信息系统的安全功效，使信息系统的整体安全功效与信息系统的构造以及安全控制间、层面间和区域间的互有关联关系亲密有关。因此，信息系统安全等级测评在安全控制测评的基础上，还要涉及系统整体测评。信息系统等级保护安全解决方案信息系统等级保护安全解决方案技术设计涉及各级系统安全环境的设计及其安全互联的设计，各级系统安全保护环境由对应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成。定级系统互联由安全互联部件和跨定级系统安全管理中心构成。信息系统等级保护普通考虑三个维度，一是基本规定，重要保障信息系统满足通用类规定，应用保障类规定，以及信息安全类规定；二是等级保护实施过程，需要从信息系统的定级，规划，设计与实施，以及到背面信息系统运行，维护，直到信息系统终止；三是等级保护框架体系，针对技术，管理框架体系设计，这是实现基本规定的保障。信息系统等级保护设计办法需要遵从以保护对象为核心，以系统定级为基准，以安全规定为度量，以安全方法为手段，以安全保障为目的，循序渐进，稳定运行，持续改善。我公司依靠数年从事信息安全的经验，从客户角度出发，理解客户业务，响应客户信息系统等级保护安全诉求，以产品方案和咨询服务紧密结合为基础；从主机安全防护，网络安全防护，数据与应用安全防护，以及统一安全管理与审计四个维度，为公司客户打造全方位信息系统等级保护安全解决方案。为了适应公司信息系统等级保护建设，我们整合本身信息安全研发，以及安全服务能力优势资源，在完善已有信息系统的访问控制，以及内容安全防御能力的同时，在信息系统的身份认证与授权，以及应急响应等领域实现新的突破，从整体角度，为信息系统等级保护建设，提供整体安全解决方案技术框架。等级保护解决方案内容主机安全防护方案信息系统等级保护中，计算环境重要是指对承载公司信息系统的服务器，以及访问信息系统的各类终端，等级保护首先要保障终端，服务器等主机安全；通过布署华为终端安全管理系统（TSM），准入认证网关（SACG），以及专业主机安全加固服务，实现等级保护对主机安全防护规定。网络安全防护解决方案信息系统等级保护中，网络是保障信息系统互联互通基础，网络安全防护重点是确保网络之间正当访问，检测，制止内部，外部恶意攻击。通过布署华为统一威胁管理网关USG系列，入侵检测/防御系统NIP，Anti-DDoS等网络安全产品，为正当的顾客提供正当网络访问，及时发现网络内部恶意攻击安全威胁。应用与数据安全防护方案信息系统等级保护中，针对信息系统的应用与数据安全重要是考虑制止病毒，恶意攻击对应用业务系统破坏，保障信息系统访问过程中数据传输安全以及提供有效数据存储。布署华为的文档安全管理系统（DSM），数据库审计UMA-DB，防病毒网关AVE等产品。并且通过华为安全网关USG实现数据链路传输IPSecVPN加密，数据灾备实现公司信息系统数据防护，减少数据因意外事故，或者丢失给造成危害。统一安全管理与审计方案华为提供统一身份管理，基于数据库合规审计，针对内部业务系统，服务器，设备统一运维审计产品，协助客户满足三级信息系统的合规审计规定。对全部信息系统，网络设备，安全设备，服务器，终端机的安全事件日志统一采集，分析，输出各类法规规定安全事件审计报告，制订原则安全事件应急响应工单流程；协助公司构架统一信息安全管理体系。等级保护方案产品与服务风险评定：根据《GB/T20984-信息安全技术信息安全风险评定规范》，通过风险评定项目的实施，对信息系统的重要资产、资产所面临的威胁、资产存在的脆弱性、已采用的防护方法等进行分析，对所采用的安全控制方法的有效性进行检测，综合分析、判断安全事件发生的概率以及可能造成的损失，判断信息系统面临的安全风险，提出风险管理建议，为系统安全保护方法的改善提供参考。渗入测试：在客户授权条件下，运用工具结合手工方式，采用可控的、不造成较大影响的黑客入侵手法，模拟对网站发起入侵尝试，获取网络、应用、数据库的重要资源，寻找系统深层次的漏洞，最后提出更精确、更有效的解决建议，协助公司在业务运行与信息安全风险控制之间获得更加好的效益平衡。安全加固：信息系统安全加固是客户信息系统安全的核心环节。通过优化和修改系统配备，提高系统的安全性和抗攻击能力，减少安全事件的发生，西安将来国际安全加固服务旨在客户信息系统的网