信息安全等级保护安全建设方案制定与实施

卢青2012年6月信息安全等级保护

安全建设方案制定与实施一、安全建设方案制定与实施二、案例分享目录信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息安全等级保护建设整改以安全保发展发展中求安全分析现状编写方案设计策略实施措施分析现状编写方案设计策略实施措施

选择基本安全措施评估特殊风险

安全保

护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5工具扫描人工分析渗透测试调研访谈调查现状，分析风险和差距电力供应电磁防护物理机房Internet互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据传输数据处理数据备份和恢复完整性保密性调查现状，分析风险和差距应用层SQL注入身份冒用溢出攻击数据窃取传输窃听数据重放主机层弱口令系统漏洞病毒入侵资源占用黑客攻击网络层带宽资源滥用非法接入非法外联区域混乱协议攻击中间人攻击信息泄露物理层断电物理攻击非法进出盗窃火灾数据层篡改非法访问丢失泄露不可用计算环境区域边界网络通信安全管理缺乏组织缺乏流程人员安全意识不足缺乏过程控制缺乏专业技能缺乏安全监控管理不到位调查现状，分析风险和差距分析现状编写方案设计策略实施措施方案概述背景、编写依据、定位和目标、设计思路、技术路线信息系统定级及基本情况信息系统情况、等级情况、网络及安全措施情况信息与网络安全需求分析风险分析、等保差距分析、总体安全需求安全保障体系框架保护对象与安全域、安全保障体系框架总体安全方针和策略信息安全方针、总体安全策略安全管理体系设计组织、制度、人员安全建设安全技术体系设计物理、安全区域边界、安全网络通信、安全计算环境安全运行体系设计建设安全管理、运维安全管理安全管理中心设计安全工作管理、安全运维管理、统一技术管理、三员管理项目实施总体计划第一阶段、第二阶段、本期实施产品及总体拓扑确定框架，制定整改方案依据《信息系统安全等级保护基本要求》参照《信息系统等级保护安全设计技术要求》引入“安全域”的概念，强化访问控制安全技术控制策略安全管理控制策略总体方案-要点关键点：安全技术+安全管理计算环境安全基础设施安全区域边界安全网络通信安全安全管理中心安全方针策略安全管理制度安全规范和流程安全记录单实施统一的访问控制策略实施统一的安全控制策略关键点：划分安全域分析现状编写方案设计策略实施措施分析访问，合理设计安全策略梳理业务系统的访问关系：重点是用户、应用、组件和数据库之间的数据流向，为纵深防御奠定基础梳理各个应用系统连接及访问用户用户部内用户部本级省级地县以下直属单位公众用户部外专家用户社会公众操作系统维护业务管理审核/审批上报发布信息浏览数据申报材料帐户/验证信息订单交易数据发帖留言公开信息重要业务安全分析-用户、操作和数据业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能实现数据库

功能组件支撑安全功能实现安全软件环境安全边界安全传输通道业务风险保护策略信息系统保护策略整体保护策略程序安全组件安全主机安全网络安全“业务+系统”安全=整体安全策略分析现状编写方案设计策略实施措施结合实际，部署实施安全措施机密性完整性可用性可核查性抗抵赖USBkeyIDS……IDM密码机防病毒……安全产品安全目标冗余备份威胁检测漏洞加固通信安全身份认证访问控制密码技术数据安全物理安全技术策略技术框架3G安全IPSec……日志采集审计分析令牌技术认证协议强制访问控制ACL网络流量控制数据防泄漏匿名技术数据系统网络补丁管理威胁检测对称密码技术非对称密码技术安全功能实现实现实现安全技术选择和目标一致的安全产品等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制物理安全位置、物理访问控制、防盗、防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护门禁监控报警系统避雷装置消防水敏感检测仪防静电设施双路供电电磁屏蔽机房建设物理安全策略网络安全结构安全带宽管理、SSLVPN/IPSecVPN路由器、交换机、负载均衡

网络、安全集成

安全域网络安全策略

网络安全配置实施（限制IP地址）访问控制防火墙、IPS/IDS安全审计网络安全审计日志审计边界完整性检查终端安全管理

入侵防范IDS

恶意代码防范防病毒系统、防病毒网关

网络设备防护

网络设备安全配置三级：73个控制点290控制项参考安全产品对照（参考）等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制主机安全身份鉴别主机核心防护

包括数据库安全访问控制主机核心防护主机、数据库安全加固安全审计

终端、服务器、数据审计系统

剩余信息保护数据库审计系统（NBA）入侵防范

主机核心防护、主机入侵检测

恶意代码防范

防病毒资源控制网管系统应用安全身份鉴别动态令牌、CA应用开发编码规范、安全编码应用安全功能

安全审计应用系统日志审计访问控制、剩余信息保护通信完整性、通信保密性、抗抵赖、软件容错、资源控制主要功能需要应用系统开发商解决数据与备份安全数据完整性网页防篡改异地备份和恢复策略数据保密性

SSH、VPN、MD5等备份和恢复

异地备份参考安全产品对照（参考）业务用户登录界面/帐号/验证数据库帐号/验证组件调用协议/帐号/验证系统运行服务帐号/验证网络访问控制落实控制策略-纵深防御管理员登录界面/帐号/验证“一个中心、三重防护”为指导思想进行整体设计强化信息维护和系统维护人员系统的访问控制策略设计强化安全域之间的边界访问控制策略逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制强化访问控制策略信息安全领导小组信息安全主管（部门）安全管理员安全审计员系统管理员网络管理员数据库管理员决策、监督应用系统管理员管理执行落实信息安全责任制建立安全组织（举例）方针策略信息安全工作的纲领性文件。

制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范各部门处室安全管理工作。流程细则细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。记录表单记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据运行记录方针策略实施细则与流程制度与管理办法编写安全管理制度

一级二级三级四级安全管理机构岗位说明书岗位说明书岗位说明书岗位说明书

安全组织体系文件安全组织体系文件

安全检查管理规定安全检查管理规定安全管理制度

安全方针安全方针

安全策略安全策略

安全管理制度体系文件安全管理制度体系文件

安全管理制度编写及维护规范安全管理制度编写及维护规范

保密安全管理规定人员安全人员安全管理规定人员安全管理规定人员安全管理规定人员安全管理规定

安全考核管理规定安全考核管理规定

安全培训教育管理规定安全培训教育管理规定安全培训教育管理规定

第三人员安全管理规定第三人员安全管理规定第三人员安全管理规定系统建设管理等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范风险评估管理规范风险评估管理规范风险评估管理规范风险评估管理规范软件开发管理规定软件开发管理规定软件开发管理规定软件开发管理规定IT外包管理规定IT外包管理规定IT外包管理规定IT外包管理规定

工程安全管理规定工程安全管理规定

产品采购安全管理规定产品采购安全管理规定产品采购安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定运维管理机房管理制度机房管理制度机房管理制度机房管理制度

办公环境安全管理规定办公环境安全管理规定办公环境安全管理规定

资产安全管理制度资产安全管理制度资产安全管理制度设备安全管理规定设备安全管理规定设备安全管理规定设备安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范网络安全管理规定网络安全管理规定网络安全管理规定网络安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定密码使用管理制度密码使用管理制度密码使用管理制度密码使用管理制度变更管理制度变更管理制度变更管理制度变更管理制度备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定安全事件管理制度安全事件管理制度安全事件管理制度安全事件管理制度

应急预案管理制度应急预案管理制度应急预案管理制度一、安全建设方案制定与实施二、案例分享目录“三个体系、一个中心、三重防护”风险分析体系化等级化整改方案的技术路线信息安全体系框架信息安全管理体系信息安全技术体系信息安全运行体系组织机构人员安全制度标准抗抵赖标识鉴别审计访问控制通信保护威胁检测弱点加固备份恢复数据保护密码技术决策-管理-执行-监督资源管理状态检测防恶技术物理技术意识-技能-职称-培训-考核方针策略-制度规范-流程表单监控监测内容安全日常运行管理配置管理变更管理问题管理事件管理风险管理监督检查介质管理环境管理应急响应运行监控审计安全管理中心制定发布评审修订录用离岗考核教育人员授权沟通检查岗位物理网络主机应用数据系统建设系统运维安全计算环境安全区域边界安全网络通信安全工作管理安全保护对象定级备案设计开发实施测试验收交付服务商信息安全体系安全目标、总体安全策略抗抵赖标识鉴别弱点加固密码技术状态检测防恶技术监控监测内容安全测评检查统一技术管理安全运维管理系统管理安全管理审计管理《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号……力争在2012年底前完成已定级信息系统安全建设整改工作。……《公安机关信息安全等级保护检查工作规范》公信安[2008]736号……第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。……第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》，见附件3）。逾期不改正的，给予警告，并向其上级主管部门通报（通报书见附件4）：……《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安[2010]303号……督促备案单位开展信息系统等级测评工作，确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评，2010年底前完成测评体系建设，并完成30%第三级（含）以上信息系统的测评工作，2011年底前完成第三级（含）以上信息系统的测评工作，2012年底之前完成第三级（含）以上信息系统的安全建设整改工作。……《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。小结—符合政策要求序号标准编号标准分类名称1GB17859-1999信息安全技术计算机信息系统安全保护等级划分准则2GB/T22240-2008信息安全技术信息系统安全保护等级定级指南3GB/T22239-2008信息安全技术信息系统安全等级保护基本要求4GB/TXXXXX-2008信息安全技术信息系统安全等级保护安全设计技术要求5GB/TXXXXX-2008信息安