三级等保安全建设方案
目录
三级等保安全设计思路 (2)
1、保护对象框架 (2)
2、整体保障框架 (2)
3 、安全措施框架 (3)
4、安全区域划分 (4)
5、安全措施选择 (5)
6、需求分析 (6)
6.1、系统现状 (6)
6.2、现有措施 (6)
6.3 具体需求 (6)
6.3.1 等级保护技术需求 (6)
6.3.2 等级保护管理需求 (7)
7、安全策略 (7)
7.1 总体安全策略 (7)
7.2 具体安全策略 (8)
8、安全解决方案 (8)
8.1 安全技术体系 (8)
8.1.1 安全防护系统 (8)
8.2 安全管理体系 (8)
9、安全服务 (8)
9.1 风险评估服务 (9)
9.2 管理监控服务 (9)
9.3 管理咨询服务 (9)
9.4 安全培训服务 (9)
9.5 安全集成服务 (9)
10、方案总结 (10)
11、产品选型 (11)
三级等保安全设计思路
1、保护对象框架
保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:
图1. 保护对象框架的示意图
2、整体保障框架
就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。
整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。
整体保障框架的示意图如下:
图2. 整体保障框架的示意图
3 、安全措施框架
安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。
安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管理系统和网络信任系统)。
安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。
安全措施框架示意图如下:
图3. 安全措施框架示意图
4、安全区域划分
不同的信息系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。如何保证系统的安全性是一个巨大的挑战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证系统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
随着安全区域方法的发展,发现力图用一种大一统的方法和结构去描述一个复杂的网络环境是非常困难的,即使描述出来其可操作性也值得怀疑。因此,……提出了“同构性简化的方法”,其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元进行拼接、递归等方式构造出一个大的网络。可以说,结构性简化好像将网络分析成一种单一大分子组成的系统,而同构性简化就是将网络看成一个由几种小分子组成的系统。“3+1同构性简化”的安全域方法就是一个非常典型的例子,此方法是用一种3+1小分子构造来分析venus customer的网络系统。(注:除了3+1构造之外,还存在其他形式的构造。)具体来说信息系统按照其维护的数据类可以分为安全服务域、安全接入域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。
信息系统可以划分为以下四个大的安全域(3+1同构法):
安全接入域:由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全等级与其所能访问的安全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全等级应与这些安全服务域的最高安全等级相同。安全接入域应有明确的边界,以便于进行保护。
安全互联域:连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。主要包括其他域之间的互连设备,域间的边界、域与外界的接口都在此域。安全互联域的安全等级的确定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域:在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的基本依据。根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。
安全管理域:安全系统的监控管理平台都放置在这个区域,为整个IT架构提供集中的安全服务,进行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认证中心、安全运营中心等。
安全区域3+1同构示意图如下:
图4. 安全区域3+1同构示意图
5、安全措施选择
27号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。由此可见,信息系统等级保护可视为一个有参照系的风险管理过程。等级保护是以等级化的保护对象、不同安全要求对应的等级化的安全措施为参照,以风险管理过程为主线,建立并实施等级保护体系的过程。
安全措施的选择首先应依据我国信息系统安全等级划分的要求,设计五个等级的安全措施等级要求(安全措施等级要求是针对五个等级信息系统的基本要求)。不同等级的信息系统在相应级别安全措施等级要求的基础上,进行安全措施的调整、定制和增强,并按照一定的划分方法组成相应的安全措施框架,得到适用于该系统的安全措施。安全措施的调整主要依据综合平衡系统安全要求、系统所面临风险和实施
安全保护措施的成本来进行。信息系统安全措施选择的原理图如下:
图5. 安全措施选择的原理图
6、需求分析
6.1、系统现状
6.2、现有措施
目前,信息系统已经采取了下述的安全措施:
1、在物理层面上,
2、在网络层面上,
3、在系统层面上,
4、在应用层面上,
5、在管理层面上,
6.3 具体需求
6.3.1 等级保护技术需求
要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。
任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有:
图6. 威胁的主要来源视图
威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。
被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。
主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。
邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。
分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的的后门或攻击途径。
内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。
6.3.2 等级保护管理需求
安全是不能仅仅靠技术来保证,单纯的技术都无法实现绝对的安全,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行。管理安全是整体安全中重要的组成部分。信息系统安全管理虽然得到了一定的落实,但由于人员编制有限,安全的专业性、复杂性、不可预计性等,在管理机构、管理制度、人员安全、系统建设、系统运维等安全管理方面存在一些安全隐患:
——管理机构方面:
——管理制度方面:
——人员安全方面:
——系统建设方面:
——系统运维方面:
7、安全策略
7.1 总体安全策略
——遵循国家、地方、行业相关法规和标准;
——贯彻等级保护和分域保护的原则;
——管理与技术并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系;
——充分依托已有的信息安全基础设施,加快、加强信息安全保障体系建设。
——第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。
——在技术策略方面:
——在管理策略方面:
7.2 具体安全策略
1、安全域内部策略
2 、安全域边界策略
3 、安全域互联策略
8、安全解决方案
不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
根据威胁分析、安全策略中提出的基本要求和安全目标,在整体保障框架的指导下,本节将就具体的安全技术措施和安全管理措施来设计安全解决方案,以满足相应等级的基本安全保护能力。
8.1 安全技术体系
8.1.1 安全防护系统
边界防护系统
监控检测系统
安全审计系统
应急恢复系统
安全支撑系统
安全运营平台
网络管理系统
网络信任系统
8.2 安全管理体系
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统定级\系统备案\安全方案设计\产品采购\自行软件开发\外包软件开发\工程实施\测试验收\系统交付\安全测评。详细内容略去。
系统运维管理
9、安全服务
技术类的安全要求可以通过在信息系统中部署安全产品来实现,同时需要对网络设备、操作系统、应用软件的安全功能的正确配置,这需要通过安全评估和加固等安全服务来完成;管理类的安全要求需要通过管理咨询服务来完善,以实现IT运维管理标准化和规范化,提高安全管理的水平。
9.1 风险评估服务
安全风险评估服务可以为组织:
——评估和分析在网络上存在的安全技术风险;
——分析业务运作和管理方面存在的安全缺陷;
——调查信息系统的现有安全控制措施,评价组织的业务安全风险承担能力;
——评价风险的优先等级,据此为组织提出建立风险控制安全规划的建议。
具体的评估服务包括如下内容略
9.2 管理监控服务
全面实时的执行对客户信息系统远程监控是M2S安全服务的主要组成部分和特点之一,通过监控来达到安全事件检测、安全事件跟踪、病毒检测、流量检测等等任务,进而通过检测的结果可以动态的调整各个安全设备的安全策略,提高系统的安全防范能力。监控服务完全是一种以人为核心的安全防范过程,通过资深的安全专家对各种安全产品与软件的日志、记录等等的实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议。……的安全监控服务具有两种形式:远程监控服务和专家的现场值守服务。每一种服务都满足了客户一定层面的需求,体现了安全监控服务的灵活性以及可重组性。
9.3 管理咨询服务
……提供的主要安全管理咨询顾问服务包如下。详细内容可参考“……安全管理咨询顾问服务白皮书”。
9.4 安全培训服务
安全实践培训主要是从人员的角度出发来强化的安全知识以及抵御攻击行为的能力,主要包括如下方面的培训建议:
——基本安全知识培训:主要对常规人员提供个人计算机使用的基本安全知识,提高个人计算机系统的防范能力。
——主机安全管理员培训:对安全管理员进行针对于主机系统的安全培训,强化信息系统维护人员的安全技术水平。
——网络安全管理员培训:对安全管理员进行针对于网络系统的安全培训。
——安全管理知识培训:为的主要管理层人员提供,有助于从管理的角度强化信息系统的安全。
——产品培训:为人员能进一步认识各种安全产品而提供的基本培训。
——CISP培训:为培养技术全面的信息安全专家,而提供的具有国家认证资质的培训。“注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP 分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”,英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。
9.5 安全集成服务
价值
——加强IT系统安全保障,提高您的客户的信任,提高竞争力;
——减小IT系统管理的工作量,提高效率,降低运营成本;
——帮助您了解IT系统面临的风险并有效地控制风险;
——帮助您的IT系统符合相关法律、标准与规范,减少诉讼与纷争。
思路
——……安全解决方案从三个层面来考虑客户的信息安全需求,协助客户建设基于“信息安全三观论”的信息安全保障体系;
——在三观论的基础上,基于信息安全三要素模型(资产、威胁与保障措施)提出了……信息安全保障总体框架功能要素模型(VIAF-FEM)。强调以IT资产与业务为核心,针对资产/业务面临的威胁从人、过程、技术三个方面设计全面的信息安全解决方案。
分类
根据具体需求不同,……提供如下表所示的几种安全集成解决方案。
类型满足需求
信息安全整体解决方案IT安全规划
信息安全管理方案安全管理咨询
信息安全技术方案信息安全技术保障体系
信息安全服务方案特定安全服务需求安全服务需求的组合
安全产品解决方案特定安全功能需求安全功能需求的组合
表1. 安全集成解决方案表
特色
——行业化:……凭借在电信、金融、政府、教育、能源等行业多年的信息安全实战经验,提供行业化的解决方案。——面向业务:……从客户业务安全的角度出发解决实际安全问题,由功能需求导出面向业务的解决方案。
——体系完整:……凭借自身的专业安全队伍以及阵容强大的外部专家支持,基于完整的安全体系提供解决方案。——理念先进:……秉承“一米宽,一公里深”的理念,及时跟踪国际先进安全理念,以此为基础开发安全的最佳实践,成功应用于客户化的解决方案中。
10、方案总结
本等级保护设计方案具有以下特点:
1、体现了等级防护的思想。本方案根据3级信息系统的基本要求和安全目标,提出了具体的安全等级保护的设计和实施办法,明确3级信息系统的主要防护策略和防护重点。
2、体现了框架指导的思想。本方案将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型,利于在众多安全因素中理清等级保护的主线。
3、体现了分域防护的思想。本方案根据信息系统的访问控制要求,针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略,实现安全域之间的访问控制;在不同的安全域内实施不同级别的安全保护策略;针对不同等级的安全域之间的互联也要实现相应的保护。
4、体现了深度防御的思想。本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。
5、体现了多角度对应的思想。本方案从威胁出发引出保护基本需求,从基本要求引出安全策略和目标,在需求分析和安全策略之间分层相互对应;在总体策略里提出各层面的总体保护要求,在具体策略里提出各层面的具体保护要求,各层相互对应;在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。
6、体现了动态发展的思想。本方案在满足信息系统目前基本的、必须的安全需求的基础上,要求随着应用和网络安全技术的发展,不断调整安全策略,应对不断变化的网络安全环境。
11、产品选型
三级等保安全建设方案
目录 三级等保安全设计思路 (2) 1、保护对象框架 (2) 2、整体保障框架 (2) 3 、安全措施框架 (3) 4、安全区域划分 (4) 5、安全措施选择 (5) 6、需求分析 (6) 6.1、系统现状 (6) 6.2、现有措施 (6) 6.3 具体需求 (6) 6.3.1 等级保护技术需求 (6) 6.3.2 等级保护管理需求 (7) 7、安全策略 (7) 7.1 总体安全策略 (7) 7.2 具体安全策略 (8) 8、安全解决方案 (8) 8.1 安全技术体系 (8) 8.1.1 安全防护系统 (8) 8.2 安全管理体系 (8) 9、安全服务 (8) 9.1 风险评估服务 (9) 9.2 管理监控服务 (9) 9.3 管理咨询服务 (9) 9.4 安全培训服务 (9) 9.5 安全集成服务 (9) 10、方案总结 (10) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
深信服等级保护(三级)建设方案
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
信息安全等级保护(三级)建设方案
信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
某单位信息安全等级保护建设方案
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息 本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (5) 1.2.1法律要求 (6) 1.2.2政策要求 (7) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 现状概述 (9) 2.1.1信息系统现状 (9) 现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (17) 2.2.3主机安全现状与差距分析 (26) 2.2.4应用安全现状与差距分析 (34) 2.2.5数据安全现状与差距分析 (41) 2.2.6安全管理现状与差距分析 (44) 综合整改建议 (49)
2.3.1技术措施综合整改建议 (49) 2.3.2安全管理综合整改建议 (58) 第三章安全建设目标 (60) 第四章安全整体规划 (62) 建设指导 (62) 4.1.1指导原则 (62) 4.1.2安全防护体系设计整体架构 (63) 安全技术规划 (65) 4.2.1安全建设规划拓朴图 (65) 4.2.2安全设备功能 (66) 建设目标规划 (71) 第五章工程建设 (73) 工程一期建设 (73) 5.1.1区域划分 (73) 5.1.2网络环境改造 (73) 5.1.3网络边界安全加固 (74) 5.1.4网络及安全设备部署 (75) 5.1.5安全管理体系建设服务 (104) 5.1.6安全加固服务 (120) 5.1.7应急预案和应急演练 (127) 5.1.8安全等保认证协助服务 (128)
xx项目等级保护(三级)建设方案
××项目 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2019年12月
目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误!未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)
信息安全-三级等保安全建设方案
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。 整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。 整体保障框架的示意图如下: 图2. 整体保障框架的示意图 3 、安全措施框架 安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。 安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管理系统和网络信任系统)。 安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。
安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
等级保护技术方案
信息系统等级保护建设 指导要求 (三级)
目录 1. 范围............................................................................................................错误!未定义书签。 2. 项目背景....................................................................................................错误!未定义书签。 2.1. 前言................................................................................................错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据 ....................错误!未定义书签。 2.2.1信息安全等级保护有关法规、政策、文件...........................错误!未定义书签。 2.2.2信息安全等级保护技术标准体系及其关系...........................错误!未定义书签。 3. 方案设计要求 (4) 3.1. 方案设计思想 (4) 3.1.1构建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2建立科学实用的全程访问控制机制 (4) 3.1.3加强源头控制,实现基础核心层的纵深防御 (5) 3.1.4面向应用,构建安全应用支撑平台 (6) 3.2. 建设原则 (6) 3.3. 建设内容 (8) 3.3.1信息系统定级整改规划...........................................................错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)...................错误!未定义书签。 3.4. 计算环境安全设计 (10) 5.1.1用户身份鉴别...........................................................................错误!未定义书签。 5.1.2强制访问控制...........................................................................错误!未定义书签。 5.1.3系统安全审计 (11) 5.1.4用户数据完整性保护 (11) 5.1.5用户数据机密性保护...............................................................错误!未定义书签。 5.1.6客体安全重用...........................................................................错误!未定义书签。 5.1.7程序可执行保护.......................................................................错误!未定义书签。 3.5. 区域边界安全设计 (11) 5.2.1区域边界访问控制 (11) 5.2.2区域边界包过滤 (14) 5.2.3区域边界安全审计 (14) 5.2.4区域边界完整性保护...............................................................错误!未定义书签。 3.6. 安全通信网络设计 (16) 3.7. 安全管理中心设计........................................................................错误!未定义书签。 4. 物理安全要求............................................................................................错误!未定义书签。 4.1. 信息系统中心机房安全现状........................................................错误!未定义书签。 4.2. 信息系统物理安全方面提出的要求............................................错误!未定义书签。 4.3. 信息系统物理安全建设................................................................错误!未定义书签。 5.3.1环境安全...................................................................................错误!未定义书签。 5.3.2设备安全...................................................................................错误!未定义书签。 5.3.3介质安全...................................................................................错误!未定义书签。 5. 管理安全要求............................................................................................错误!未定义书签。 5.1. 信息系统安全管理的要求............................................................错误!未定义书签。 5.2. 信息系统安全管理建设设计........................................................错误!未定义书签。 6.2.1安全管理建设原则...................................................................错误!未定义书签。
某市医院三级等保建设方案
某市三院医疗信息系统安全三级等保建设方案 2012-09-25
目录 1 、某市三院医疗信息系统现状分析 (3) 1.1拓扑图 (3) 1.2网站/BS应用现状................................. 错误!未定义书签。 1.3漏洞扫描........................................ 错误!未定义书签。 1.4边界入侵保护.................................... 错误!未定义书签。 1.5安全配置加固.................................... 错误!未定义书签。 1.6密码账号统一管理................................ 错误!未定义书签。 1.7数据库审计、行为审计............................ 错误!未定义书签。 1.8上网行为管理.................................... 错误!未定义书签。 2 、某市三院医疗信息系统潜在风险 (4) 2.1黑客入侵造成的破坏和数据泄露 (4) 2.2医疗信息系统漏洞问题 (4) 2.3数据库安全审计问题 (5) 2.4平台系统安全配置问题 (6) 2.5平台虚拟化、云化带来的新威胁.................... 错误!未定义书签。 3、某市三院医疗信息系统安全需求分析 (6) 3.1医疗信息系统建设安全要求 (6) 3.2医疗等级保护要求分析 (7) 3.3系统安全分层需求分析 (11) 3.4虚拟化、云计算带来的安全问题分析 (16) 4、医疗信息系统安全保障体系设计 (20) 4.1安全策略设计 (20) 4.2安全设计原则 (21) 4.3等级保护模型 (22) 4.4系统建设依据 (23) 4.5遵循的标准和规范 (23) 5、安全管理体系方案设计 (24) 5.1组织体系建设建议 (24) 5.2管理体系建设建议 (25) 6、安全服务体系方案设计 (26) 6.1预警通告 (26) 6.2技术风险评估 (27) 6.3新上线系统评估 (27) 6.4渗透测试 (27) 6.5安全加固 (28) 6.6虚拟化安全加固服务 (28) 6.7应急响应 (29) 7、安全技术体系方案设计 (30) 7.1物理层安全 (30)
信息安全等保三级(等保2.0)系统建设整体解决方案
信息安全等保三级(等保2.0)系统建设整体解决方案 2020年2月 某单位信息安全等级保护(三级) 建 设 方 案
目录 第一章项目概述 (4) 1.1项目概述 (4) 1.2项目建设背景 (4) 1.2.1法律要求 (5) 1.2.2政策要求 (7) 1.3项目建设目标及内容 (7) 1.3.1项目建设目标 (7) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 2.1现状概述 (9) 2.1.1信息系统现状 (9) 2.2现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (20) 2.2.3主机安全现状与差距分析 (33) 2.2.4应用安全现状与差距分析 (45) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (60) 2.3综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (82)
第三章安全建设目标 (84) 第四章安全整体规划 (86) 4.1建设指导 (86) 4.1.1指导原则 (86) 4.1.2安全防护体系设计整体架构 (87) 4.2安全技术规划 (89) 4.2.1安全建设规划拓朴图 (89) 4.2.2安全设备功能 (90) 4.3建设目标规划 (96) 第五章工程建设 (99) 5.1工程一期建设 (99) 5.1.1区域划分 (99) 5.1.2网络环境改造 (100) 5.1.3网络边界安全加固 (100) 5.1.4网络及安全设备部署 (101) 5.1.5安全管理体系建设服务 (136) 5.1.6安全加固服务 (154) 5.1.7应急预案和应急演练 (162) 5.1.8安全等保认证协助服务 (162) 5.2工程二期建设 (163) 5.2.1安全运维管理平台(soc) (163) 5.2.2APT高级威胁分析平台 (167) 第六章方案预估效果 (169)
单位信息安全等级保护建设方案V完整版
单位信息安全等级保护 建设方案V HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
x x x x x x 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 ................................................. 1.1 项目概述 ................................................. 1.2 项目建设背景 ............................................. 1.2.1 法律要求 .......................................... 1.2.2 政策要求 .......................................... 1.3 项目建设目标及内容 ....................................... 1.3.1 项目建设目标 ...................................... 1.3.2 建设内容 .......................................... 第二章现状与差距分析 ........................................... 2.1 现状概述 ................................................. 2.1.1 信息系统现状 ...................................... 2.2 现状与差距分析 ........................................... 2.2.1 物理安全现状与差距分析 ............................ 2.2.2 网络安全现状与差距分析 ............................
三 级 等 保 安 全 建 设 方 案
三级等保安全建设方案 XXXXXXXXXX公司
目录 三级等保安全设计思路 (3) 1、保护对象框架 (3) 2、整体保障框架 (3) 3 、安全措施框架 (4) 4、安全区域划分 (5) 5、安全措施选择 (6) 6、需求分析 (7) 6.1、系统现状 (7) 6.2、现有措施 (7) 6.3 具体需求 (7) 6.3.1 等级保护技术需求 (7) 6.3.2 等级保护管理需求 (8) 7、安全策略 (8) 7.1 总体安全策略 (8) 7.2 具体安全策略 (9) 8、安全解决方案 (9) 8.1 安全技术体系 (9) 8.1.1 安全防护系统 (9) 8.2 安全管理体系 (9) 9、安全服务 (9) 9.1 风险评估服务 (10) 9.2 管理监控服务 (10) 9.3安全集成服务 (10) 10、方案总结 (11) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
某市医院三级等保建设方案
某市三院医疗信息系统安全 三级等保建设方案 2012-09-25 目录 1、某市三院医疗信息系统现状分析 (4) 1.1拓扑图 (4) 1.2网站/BS应用现状 (4) 1.3漏洞扫描 (5) 1.4边界入侵保护 (5) 1.5安全配置加固 (5) 1.6密码账号统一管理 (6) 1.7数据库审计、行为审计 (6) 1.8上网行为管理 (6) 2、某市三院医疗信息系统潜在风险 (6) 2.1黑客入侵造成的破坏和数据泄露 (6) 2.2医疗信息系统漏洞问题 (7) 2.3数据库安全审计问题 (8) 2.4平台系统安全配置问题 (8) 2.5平台虚拟化、云化带来的新威胁 (9) 3、某市三院医疗信息系统安全需求分析 (10) 3.1医疗信息系统建设安全要求 (10) 3.2医疗等级保护要求分析 (11) 3.3系统安全分层需求分析 (16) 3.4虚拟化、云计算带来的安全问题分析 (22) 4、医疗信息系统安全保障体系设计 (25) 4.1安全策略设计 (25) 4.2安全设计原则 (26) 4.3等级保护模型 (27) 4.4系统建设依据 (28) 4.5遵循的标准和规范 (29) 5、安全管理体系方案设计 (29) 5.1组织体系建设建议 (29) 5.2管理体系建设建议 (30) 6、安全服务体系方案设计 (32) 6.1预警通告 (32) 6.2技术风险评估 (32) 6.3新上线系统评估 (33) 6.4渗透测试 (33) 6.5安全加固 (33) 6.6虚拟化安全加固服务 (34)
6.7应急响应 (35) 7、安全技术体系方案设计 (35) 7.1物理层安全 (35) 7.2网络层安全 (36) 7.3主机层安全 (40) 7.4应用层安全 (43) 7.5数据层安全 (46) 7.6虚拟化、云计算安全解决方案 (48) 8、平台安全建设方案小结 (49) 8.1安全产品汇总 (50) 8.2产品及服务选型 (53) 1、某市三院医疗信息系统现状分析 1.1系统现状 某市第三人民医院(以下简称某三院)作为三级甲等医院,已经建成全院网络覆盖,医院内网已覆盖行政楼、老病房1/2F、门诊一期、门诊二期以及门诊一期中心机房,医院外网与新农合、市社保机构互联。医院内网采用“核心-接入”二层交换架构,行政楼、病房、门诊通过接入交换机连接至中心机房核心交换机。HIS、LIS系统作为三院核心业务系统直接部署在中心机房,系统服务器直接挂载在中心机房核心交换机上。近期三院将在中心机房区域部署一套电子病历系统已完善三院医疗信息系统。在出口方向,医院有两条出口与外网互联,一条通过防火墙完成与新农合、市医保机构的互联,另一条通过ISA服务器接入互联网。 2、某市三院医疗信息系统潜在风险 2.1黑客入侵造成的破坏和数据泄露 随着医疗信息化的普及,个人信息逐渐以电子健康档案、电子病历和电子处方为载体,其中包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病历等个人信息。其中个人医疗健康信息的秘密处于隐私权的核心部位,而保障病人的隐私安全是医院和医护人员的职责。 某市三院医疗信息系统某市三院中心机房汇集了大量的病人隐私信息,而这些数据在传输过程中极易被窃取或监听。同时基于电子健康档案和电子病历大量集中存储的情况,一旦系统被黑客控制,可能导致病人隐私外泄,数据恶意删除
信息安全等级保护建设项目方案书
目录 1 项目背景 (3) 2 建设目标 (4) 3 信息安全等级保护综合管理系统 (4) 3.1 信息安全等级保护综合管理系统概述 (4) 3.2 系统架构 (7) 3.3 系统功能 (9) 3.3.1 定级备案管理 (9) 3.3.2 建设整改管理 (10) 3.3.3 等级测评管理 (11) 3.3.4 安全检查管理 (12) 3.3.5 风险评估管理 (13) 3.3.6 风险评估测评 (13) 3.3.7 风险评估管理 (14) 3.3.8 日常办公管理 (15) 3.3.9 统计分析 (16) 3.3.10 基础数据管理 (16) 3.3.11 分级管理 (18) 3.3.12 系统接口 (18) 3.4 系统安全性 (19) 3.5 系统部署 (20) 3.6 系统配置要求 (20)
4 网安全管理系统 (21) 4.1 网安全管理系统概述 (21) 4.2 产品架构 (21) 4.2.1 终端监控引擎 (22) 4.2.2 总控中心 (22) 4.2.3 管理控制台 (22) 4.2.4 系统数据库 (22) 4.3 产品功能 (23) 4.3.1 终端运维管理 (23) 4.3.2 终端安全加固 (24) 4.3.3 终端安全审计 (25) 4.3.4 网络准入控制 (25) 4.3.5 移动存储管理 (26) 4.4 产品性能 (26) 4.4.1 终端引擎性能 (26) 4.4.2 总控性能 (26) 4.4.3 产品性能指标 (27) 4.5 产品规 (27) 4.6 产品部署 (27) 5 控管理平台(堡垒主机) (29) 5.1 堡垒主机概述 (29) 5.2 产品功能 (29)
三级等保方案
三级等保建设方案
目录 1 概述 (2) 1.1 项目概况 (2) 1.2 方案说明 (3) 1.3 设计依据 (4) 2 方案总体设计 (4) 2.1 设计目标 (4) 2.2 设计原则 (6) 2.3 设计思路 (7) 3 需求分析 (15) 3.1 系统现状 (16) 3.2 现有措施 (16) 3.3 具体需求 (16) 4 安全策略 (18) 4.1 总体安全策略 (18) 4.2 具体安全策略 (19) 5 安全解决方案 (19) 5.1 安全技术体系 (20) 5.1.1区域边界 (20) 5.1.2通信网络 (21) 5.1.3计算环境 (22) 5.2 安全管理体系 (24) 5.3 安全运维体系 (27) 6 方案总结 (28)
1 概述 1.1 项目概况 随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB 17859-1999《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。 2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安
网络安全等级保护(安全通用要求)建设方案
网络安全等级保护建设方案(安全通用要求) 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月
目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (4) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (7) 2.方案设计说明 (7) 2.1.设计依据 (7) 2.2.设计原则 (8) 2.2.1.分区分域防护原则 (8) 2.2.2.均衡性保护原则 (8) 2.2.3.技管并重原则 (8) 2.2.4.动态调整原则 (8) 2.2.5.三同步原则 (9) 2.3.设计思路 (9) 2.4.设计框架 (10) 3.安全现状及需求分析 (10)
3.1.安全现状概述 (10) 3.2.安全需求分析 (11) 3.2.1.物理环境安全需求 (11) 3.2.2.通信网络安全需求 (12) 3.2.3.区域边界安全需求 (13) 3.2.4.计算环境安全需求 (14) 3.2.5.安全管理中心安全需求 (15) 3.2.6.安全管理制度需求 (15) 3.2.7.安全管理机构需求 (15) 3.2.8.安全管理人员需求 (16) 3.2.9.安全建设管理需求 (16) 3.2.10.安全运维管理需求 (17) 3.3.合规差距分析 (18) 4.技术体系设计方案 (18) 4.1.技术体系设计目标 (18) 4.2.技术体系设计框架 (19) 4.3.安全技术防护体系设计 (19) 4.3.1.安全计算环境防护设计 (19) 4.3.2.安全区域边界防护设计 (23) 4.3.3.安全通信网络防护设计 (25) 4.3.4.安全管理中心设计 (28)
三院医疗信息系统安全三级等保建设方案
三院医疗信息系统安全三级等保建设方案
目录 1、某市三院医疗信息系统现状分析 (4) 1.1拓扑图 (4) 1.2网站/BS应用现状................................................................... 错误!未定义书签。 1.3漏洞扫描.................................................................................. 错误!未定义书签。 1.4边界入侵保护.......................................................................... 错误!未定义书签。 1.5安全配置加固.......................................................................... 错误!未定义书签。 1.6密码账号统一管理.................................................................. 错误!未定义书签。 1.7数据库审计、行为审计.......................................................... 错误!未定义书签。 1.8上网行为管理.......................................................................... 错误!未定义书签。 2、某市三院医疗信息系统潜在风险 (4) 2.1黑客入侵造成的破坏和数据泄露 (4) 2.2医疗信息系统漏洞问题 (5) 2.3数据库安全审计问题 (5) 2.4平台系统安全配置问题 (6) 2.5平台虚拟化、云化带来的新威胁.......................................... 错误!未定义书签。 3、某市三院医疗信息系统安全需求分析 (6) 3.1医疗信息系统建设安全要求 (6) 3.2医疗等级保护要求分析 (7) 3.3系统安全分层需求分析 (11) 3.4虚拟化、云计算带来的安全问题分析 (17) 4、医疗信息系统安全保障体系设计 (20) 4.1安全策略设计 (20) 4.2安全设计原则 (21) 4.3等级保护模型 (22) 4.4系统建设依据 (23) 4.5遵循的标准和规范 (24) 5、安全管理体系方案设计 (24) 5.1组织体系建设建议 (24) 5.2管理体系建设建议 (25) 6、安全服务体系方案设计 (27) 6.1预警通告 (27) 6.2技术风险评估 (27) 6.3新上线系统评估 (28) 6.4渗透测试 (28) 6.5安全加固 (28) 6.6虚拟化安全加固服务 (29) 6.7应急响应 (29) 7、安全技术体系方案设计 (30) 7.1物理层安全 (30)