新版等级保护三级管理测评.pdf
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
安全管理机构岗位
设置
1.
应设立信息安全管理工作的职能部门,设立安全主管
人、安全管理各个方面的负责人岗位,定义各负责人的
职责。
访谈,检查。安全主管,安全管理某方
面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗
位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小
组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职
责、分工和技能要求。
人员
配备
5.
应配备一定数量的系统管理员、网络管理员、安全管
理员等。访谈,检查。安全主管,人员配备要求
的相关文档,管理人员名单。
6.应配备专职安全管理员,不可兼任。
7.关键事务岗位应配备多人共同管理。
授权
和审
批
8.
应根据各个部门和岗位的职责明确授权审批事项、审
批部门和批准人等。
访谈,检查。安全主管,关键活动的批
准人,审批事项列表,审批文档。
9.
应针对系统变更、重要操作、物理访问和系统接入等
事项建立审批程序,按照审批程序执行审批过程,对
重要活动建立逐级审批制度。
10.应定期审查审批事项,及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
审批部门和审批人等信息。
11.应记录审批过程并保存审批文档。
沟通和合作12.
应加强各类管理人员之间、组织内部机构之间以及信
息安全职能部门内部的合作与沟通,定期或不定期召
开协调会议,共同协作处理信息安全问题。
访谈,检查。安全主管,安全管理人员,
会议文件,会议记录,外联单位说明文
档。
` 13.
应加强与兄弟单位、公安机关、电信公司的合作与沟
通。
14.
应加强与供应商、业界专家、专业的安全公司、安全
组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作
内容、联系人和联系方式等信息。
16.
应聘请信息安全专家作为常年的安全顾问,指导信息
安全建设,参与安全规划和安全评审等。
审核和检查17.
安全管理员应负责定期进行安全检查,检查内容包括
系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全
检查记录。
18.
应由内部人员或上级单位定期进行全面安全检查,检
查内容包括现有安全技术措施的有效性、安全配置与
安全策略的一致性、安全管理制度的执行情况等。
19.
应制定安全检查表格实施安全检查,汇总安全检查数
据,形成安全检查报告,并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
20.应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
安全管理制度管理
制度
21.
应制定信息安全工作的总体方针和安全策略,说明机
构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政
策性文件和安全策略文件,安全管理制
度清单,操作规程。
22.
应对安全管理活动中的各类管理内容建立安全管理制
度。
23.
应对要求管理人员或操作人员执行的日常管理操作建
立操作规程。
24.
应形成由安全策略、管理制度、操作规程等构成的全
面的信息安全管理制度体系。
制定
和发
布
25.
应指定或授权专门的部门或人员负责安全管理制度的
制定。
访谈,检查。安全主管,制度制定和发
布要求管理文档,评审记录,安全管理
制度。
26.安全管理制度应具有统一的格式,并进行版本控制。
27.
应组织相关人员对制定的安全管理制度进行论证和审
定。
28.安全管理制度应通过正式、有效的方式发布。
29.安全管理制度应注明发布范围,并对收发文进行登记。
评审
和修
订
30.
信息安全领导小组应负责定期组织相关部门和相关人
员对安全管理制度体系的合理性和适用性进行审定。访谈,检查。安全主管,安全管理制度
列表,评审记录。
31.应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
存在不足或需要改进的安全管理制度进行修订。
人员安全管理人员
录用
32.应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人
员,人员录用要求管理文档,人员审查
文档或记录,考核文档或记录,保密
协议。
33.
应严格规范人员录用过程,对被录用人的身份、背景、
专业资格和资质等进行审查,对其所具有的技术技能
进行考核。
34.应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗
位安全协议。
人员
离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有
访问权限。
访谈,检查。安全主管,人事工作人员,
安全处理记录,保密承诺文档。
37.
应取回各种身份证件、钥匙、徽章等以及机构提供的
软硬件设备。
38.
应办理严格的调离手续,关键岗位人员离岗须承诺调
离后的保密义务后方可离开。
人员
考核
39.
应定期对各个岗位的人员进行安全技能及安全认知的
考核。
访谈。安全主管,人事工作人员。
40.
应对关键岗位的人员进行全面、严格的安全审查和技
能考核。
41.应对考核结果进行记录并保存。
安全
意识
42.
应对各类人员进行安全意识教育、岗位技能培训和相
关安全技术培训。
访谈,检查。安全主管,安全员,系统
管理员,网络管理员,培训计划,培训
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
教育和培训43.
应对安全责任和惩戒措施进行书面规定并告知相关人
员,对违反违背安全策略和规定的人员进行惩戒。
记录.
44.
应对定期安全教育和培训进行书面规定,针对不同岗
位制定不同的培训计划,对信息安全基础知识、岗位
操作规程等进行培训。
45.
应对安全教育和培训的情况和结果进行记录并归档保
存。
外部人员访问管理46.
应确保在外部人员访问受控区域前先提出书面申请,
批准后由专人全程陪同或监督,并登记备案。访谈,检查。
安全主管,安全管理人员,
安全责任合同书或保密协议,第三方人
员访问管理文档,登记记录。
47.
对外部人员允许访问的区域、系统、设备、信息等内
容应进行书面的规定,并按照规定执行。
系统运维管理环境
管理
48.
应指定专门的部门或人员定期对机房供配电、空调、
温湿度控制等设施进行维护管理。
访谈,检查。物理安全负责人,机房安
全管理制度,机房进出登记表。
49.
应指定部门负责机房安全,并配备机房安全管理人员,
对机房的出入、服务器的开机或关机等工作进行管理。
50.
应建立机房安全管理制度,对有关机房物理访问,物
品带进、带出机房和机房环境安全等方面的管理作出
规定。
51.
应加强对办公环境的保密性管理,规范办公环境人员
行为,包括工作人员调离办公室应立即交还该办公室
钥匙、不在办公区接待来访人员、工作人员离开座位
应确保终端计算机退出登录状态和桌面上没有包含敏
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
感信息的纸档文件等。
资产管理52.
应编制并保存与信息系统相关的资产清单,包括资产
责任部门、重要程度和所处位置等内容。
访谈,检查。安全主管,资产管理员,
资产清单,资产安全管理制度,设备。
53.
应建立资产安全管理制度,规定信息系统资产管理的
责任人员或责任部门,并规范资产管理和使用的行为。
54.
应根据资产的重要程度对资产进行标识管理,根据资
产的价值选择相应的管理措施。
55.
应对信息分类与标识方法作出规定,并对信息的使用、
传输和存储等进行规范化管理。
介质管理56.
应建立介质安全管理制度,对介质的存放环境、使用、
维护和销毁等方面作出规定。
访谈,检查。资产管理员,介质管理记
录,各类介质。
57.
应确保介质存放在安全的环境中,对各类介质进行
控制和保护,并实行存储环境专人管理。
58.
应对介质在物理传输过程中的人员选择、打包、交付
等情况进行控制,对介质归档和查询等进行登记记录,
并根据存档介质的目录清单定期盘点。
59.
应对存储介质的使用过程、送出维修以及销毁等进行
严格的管理,对带出工作环境的存储介质进行内容加
密和监控管理,对送出维修或销毁的介质应首先清除
介质中的敏感数据,对保密性较高的存储介质未经批
准不得自行销毁。
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
60.应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。
61.应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
设备管理62.
应对信息系统相关的各种设备(包括备份和冗余设
备)、线路等指定专门的部门或人员定期进行维护管理
访谈,检查。资产管理员,系统管理员,
审计员,服务器操作规程,设备审批、
发放管理文档,设备使用管理文档,
服务器操作日志。
63.
应建立基于申报、审批和专人负责的设备安全管理制
度,对信息系统的各种软硬件设备的选型、采购、发
放和领用等过程进行规范化管理。
64.
应建立配套设施、软硬件维护方面的管理制度,对其
维护进行有效的管理,包括明确维护人员的责任、涉
外维修和服务的审批、维修过程的监督控制等。
65.
应对终端计算机、工作站、便携机、系统和网络等设
备的操作和使用进行规范化管理,按操作规程实现主
要设备(包括备份和冗余设备)的启动/停止、加电/
断电等操作。
66.
应确保信息处理设备必须经过审批才能带离机房或办
公地点。
监控管理67.
应对通信线路、主机、网络设备和应用软件的运行状
况、网络流量、用户行为等进行监测和报警,形成记
访谈,检查。
系统运维负责人,监测记录文档,
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
和安全管理中心(G3 )
录并妥善保存。监测分析报告,安全管理中心。
68.
应组织相关人员定期对监测和报警记录进行分析、评
审,发现可疑行为,形成分析报告,并采取必要的应
对措施。
69.
应建立安全管理中心,对设备状态、恶意代码、补丁
升级、安全审计等安全相关事项进行集中管理。
网络安全管理70.
应指定专人对网络进行管理,负责运行日志、网络监
控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理
员,网络漏洞扫描报告,网络安全
管理制度,系统外联授权书,网络
设备备份配置文件,网络审计日志。
71.
应建立网络安全管理制度,对网络安全配置、日志保
存时间、安全策略、升级与打补丁、口令更新周期等
方面作出规定。
72.
应根据厂家提供的软件升级版本对网络设备进行更
新,并在更新前对现有的重要文件进行备份。
73.
应定期对网络系统进行漏洞扫描,对发现的网络系统
安全漏洞进行及时的修补。
74.
应实现设备的最小服务配置,并对配置文件进行定期
离线备份。
75.应保证所有与外部系统的连接均得到授权和批准。
76.
应依据安全策略允许或者拒绝便携式和移动式设备的
网络接入。
77.
应定期检查违反规定拨号上网或其他违反网络安全策
略的行为。
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
系统安全管理78.
应根据业务需求和系统安全分析确定系统的访问控制
策略。
访谈,检查。
安全管理员,系统管理员,系统操
作手册,系统安全管理制度,详细
操作日志,系统审计分析记录,系
统漏洞扫描报告。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进
行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首
先在测试环境中测试通过,并对重要文件进行备份后,
方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配
置、日志管理和日常操作流程等方面作出具体规定。
82.
应指定专人对系统进行管理,划分系统管理员角色,
明确各个角色的权限、责任和风险,权限设定应当遵
循最小授权原则。
83.
应依据操作手册对系统进行维护,详细记录操作日志,
包括重要的日常操作、运行维护记录、参数的设置和
修改等内容,严禁进行未经授权的操作。
84.
应定期对运行日志和审计数据进行分析,以便及时发
现异常行为。
恶意
代码防范管理85.
应提高所有用户的防病毒意识,及时告知防病毒软件
版本,在读取移动存储设备上的数据以及网络上接收
文件或邮件之前,先进行病毒检查,对外来计算机或
存储设备接入网络系统之前也应进行病毒检查。
访谈,检查。
安全管理员,恶意代码防范管理文
档,恶意代码检测记录,恶意代码
升级记录,恶意代码分析报告。
86.应指定专人对网络和主机进行恶意代码检测并保存检
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
测记录。
87.应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
88.应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
密码管理89.
应建立密码使用管理制度,使用符合国家密码管理规
定的密码技术和产品。
访谈,检查。
安全管理员,密码管理制度。
变更管理90.应确认系统中要发生的变更,并制定变更方案。
访谈,检查。
系统运维负责人,系统变更申请书,
变更方案,变更管理制度,变更申
报和审批程序,变更失败恢复程序
文档,变更方案评审记录,变更过
程记录文档。
91.
应建立变更管理制度,系统发生变更前,向主管领导
申请,变更和变更方案经过评审、审批后方可实施变
更,并在实施后将变更情况向相关人员通告。
92.
应建立变更控制的申报和审批文件化程序,对变更影
响进行分析并文档化,记录变更实施过程,并妥善保
存所有文档和记录。
93.
应建立中止变更并从失败变更中恢复的文件化程序,
明确过程控制方法和人员职责,必要时对恢复过程进
行演练。
备份与恢复管94.
应识别需要定期备份的重要业务信息、系统数据及软
件系统等。
访谈,检查。
系统运维负责人,系统管理员,数
据库管理员,网络管理员,备份和95.应建立备份与恢复管理相关的安全管理制度,对备份
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
理信息的备份方式、备份频度、存储介质和保存期等进行规范。恢复管理制度文档,备份和恢复策略文档,备份和恢复程序文档,备份过程记录文档,检查灾难恢复计划文档
96.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
97.应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存。
98.应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
安全事件处置99.
应报告所发现的安全弱点和可疑事件,但任何情况下
用户均不应尝试验证弱点。
访谈,检查。
系统运维负责人,工作人员,安全
事件报告和处置管理制度,安全事
件定级文档,安全事件记录分析文
档,安全事件报告和处理程序文档。100.
应制定安全事件报告和处置管理制度,明确安全事件
的类型,规定安全事件的现场处理、事件报告和后期
恢复的管理职责。
101.
应根据国家相关管理部门对计算机安全事件等级划分
方法和安全事件对本系统产生的影响,对本系统计算
机安全事件进行等级划分。
102.
应制定安全事件报告和响应处理程序,确定事件的报
告流程,响应和处置的范围、程度,以及处理方法。
103.
应在安全事件报告和响应处理过程中,分析和鉴定事
件产生的原因,收集证据,记录处理过程,总结经验
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。
104.对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程。
应急预案管理105.
应在统一的应急预案框架下制定不同事件的应急预
案,应急预案框架应包括启动应急预案的条件、应急
处理流程、系统恢复流程、事后教育和培训等内容。
访谈,检查。
系统运维负责人,应急响应预案文
档,应急预案培训记录,应急预案
演练记录,应急预案审查记录。106.
应从人力、设备、技术和财务等方面确保应急预案的
执行有足够的资源保障。
107.
应对系统相关的人员进行应急预案培训,应急预案的
培训应至少每年举办一次。
108.
应定期对应急预案进行演练,根据不同的应急恢复内
容,确定演练的周期。
109.
应规定应急预案需要定期审查和根据实际情况更新的
内容,并按照执行。
系统建设管理系统
定级
110.应明确信息系统的边界和安全保护等级。
访谈,检查。
111.
应以书面的形式说明确定信息系统为某个安全保护等
级的方法和理由。
112.
应组织相关部门和有关安全技术专家对信息系统定级
结果的合理性和正确性进行论证和审定。
113.应确保信息系统的定级结果经过相关部门的批准。
安全114.应根据系统的安全保护等级选择基本安全措施,并依访谈,检查。
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
方案设计
据风险分析的结果补充和调整安全措施。
115.
应指定和授权专门的部门对信息系统的安全建设进行
总体规划,制定近期和远期的安全建设工作计划。116.
应根据信息系统的等级划分情况,统一考虑安全保障
体系的总体安全策略、安全技术框架、安全管理策略、
总体建设规划和详细设计方案,并形成配套文件。117.
应组织相关部门和有关安全技术专家对总体安全策
略、安全技术框架、安全管理策略、总体建设规划、
详细设计方案等相关配套文件的合理性和正确性进行
论证和审定,并且经过批准后,才能正式实施。118.
应根据等级测评、安全评估的结果定期调整和修订总
体安全策略、安全技术框架、安全管理策略、总体建
设规划、详细设计方案等相关配套文件。
产品采购和使用119.应确保安全产品采购和使用符合国家的有关规定。
访谈,检查。120.
应确保密码产品采购和使用符合国家密码主管部门的
要求。
121.应指定或授权专门的部门负责产品的采购。
122.
应预先对产品进行选型测试,确定产品的候选范围,
并定期审定和更新候选产品名单。
自行软件开发123.
应确保开发环境与实际运行环境物理分开,开发人员
和测试人员分离,测试数据和测试结果受到控制。访谈,检查。124.应制定软件开发管理制度,明确说明开发过程的控制
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
方法和人员行为准则。
125.应制定代码编写安全规范,要求开发人员参照规范编写代码。
126.应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
127.应确保对程序资源库的修改、更新、发布进行授权和批准。
外包软件开发128.应根据开发需求检测软件质量。
访谈,检查。129.应根据开发需求检测软件质量。
130.应要求开发单位提供软件设计的相关文档和使用指南
131.
应要求开发单位提供软件源代码,并审查软件中可能
存在的后门。
工程实施132.
应指定或授权专门的部门或人员负责工程实施过程的
管理。
访谈,检查。133.
应制定详细的工程实施方案控制实施过程,并要求工
程实施单位能正式地执行安全工程过程。
134.
应制定工程实施方面的管理制度,明确说明实施过程
的控制方法和人员行为准则。
测试验收135.
应委托公正的第三方测试单位对系统进行安全性测
试,并出具安全性测试报告。
访谈,检查。136.
在测试验收前应根据设计方案或合同要求等制订测试
验收方案,在测试验收过程中应详细记录测试验收结
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
果,并形成测试验收报告。
137.应对系统测试验收的控制方法和人员行为准则进行书面规定。
138.应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作。
139.应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
系统交付140.
应制定详细的系统交付清单,并根据交付清单对所交
接的设备、软件和文档等进行清点。
访谈,检查。141.
应对负责系统运行维护的技术人员进行相应的技能培
训。
142.
应确保提供系统建设过程中的文档和指导用户进行系
统运行维护的文档。
143.
应对系统交付的控制方法和人员行为准则进行书面规
定。
144.
应指定或授权专门的部门负责系统交付的管理工作,
并按照管理规定的要求完成系统交付工作。
系统备案145.
应指定或授权专门的部门负责系统交付的管理工作,
并按照管理规定的要求完成系统交付工作。
访谈,检查。146.应将系统等级及相关材料报系统主管部门备案。
147.应将系统等级及相关材料报系统主管部门备案。
等级148.在系统运行过程中,应至少每年对系统进行一次等级访谈,检查。
等级保护三级管理类测评控制点(S3A3G3)
类别序号测评内容测评方法结果记录符合情况
Y N O
测评测评,发现不符合相应等级保护标准要求的及时整改。
149.应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
150.应选择具有国家相关技术资质和安全资质的测评单位进行等级测评。
151.应指定或授权专门的部门或人员负责等级测评的管理。
安全服务商选择152.应确保安全服务商的选择符合国家的有关规定。
访谈,检查。153.
应与选定的安全服务商签订与安全相关的协议,明确
约定相关责任。
154.
应确保选定的安全服务商提供技术培训和服务承诺,
必要的与其签订服务合同。
深信服等级保护(三级)建设方案
朔州市交警队 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2017年8月
目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)
1项目概述 随着信息化的发展,朔州市交警队的业务开展也越来越依托于网络平台,但纵观当前的安全形势,各种安全事件层出不穷,而朔州市交警队目前的网络中,安全设备较少,以前买的安全设备由于网络带宽升级,使用耗损等,其性能也渐渐不能满足朔州市交警队目前的网络安全需求,严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设,以实现电子办公,执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得单位信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展。
等级保护三级信息系统规章制度应用清单
信息系统 信息安全等级保护-管理部分2015年12月14日
注:以下所提供的材料包括制度、文档和记录清单。
目录 1 安全管理制度 (5) 1.1 安全管理 (5) 1.2 制定和发布 (5) 1.3 评审和修订 (6) 2 安全管理机构 (7) 2.1 岗位职责文件 (7) 2.2 人员配备 (7) 2.3 授权和审批 (8) 2.4 沟通和合作 (9) 2.5 安全检查 (9) 3 人员安全管理 ............................................................................................................................. 11 11 3.1 人员录用 ......................................................................................................................... 12 3.2 人员离岗 ......................................................................................................................... 12 3.3 人员考核 ......................................................................................................................... 3.4 安全意识教育和培训 (13) 3.5 外部人员访问管理 (13) 14 4 系统建设管理 ............................................................................................................................. 4.1 系统定级 ......................................................................................................................... 14 15 4.2 安全方案设计................................................................................................................. 4.3 产品采购和使用 (16)
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改方案 xxx公司 20xx年x月
工作项目清单 信息安全等级保护安全服务方案
目录 第一章概述 (8) 1.1项目背景 (8) 1.2现状描述 (8) 第二章总体设计 (15) 2.1项目目标 (15) 2.2项目原则 (16) 2.3项目依据 (17) 2.3.1政策法规 (17) 2.3.2标准规范 (17) 2.4实施策略 (18) 2.4.1技术体系分析 (18) 2.4.2管理体系分析 (18) 2.4.3业务系统分析 (19) 2.4.4充分全面的培训 (20) 2.5项目内容 (21) 2.5.1差距分析 (21) 2.5.2整改方案设计 (21) 2.5.3安全优化与调整 (21) 2.5.4等级保护管理制度建设 (21) 第三章差距分析 (23)
3.2工作方式 (23) 3.3工作内容 (25) 3.3.1物理安全 (26) 3.3.2主机安全 (27) 3.3.3网络安全 (31) 3.3.4应用安全 (35) 3.3.5数据安全及备份恢复 (39) 3.3.6安全管理制度 (43) 3.3.7安全管理机构 (47) 3.3.8人员安全管理 (51) 3.3.9系统建设管理 (55) 3.3.10系统运维管理 (59) 3.4提交成果 (63) 第四章等级保护整改方案设计 (64) 4.1工作目的 (64) 4.2工作方式 (65) 4.3工作内容 (65) 4.4提交成果 (68) 第五章系统优化及调整 (68) 5.1工作目的 (68) 5.2工作方式 (68)
5.4工作内容 (70) 5.5提交成果 (71) 第六章等级保护管理制度建设 (71) 6.1工作目的 (71) 6.2工作方式 (72) 6.3工作内容 (72) 6.4工作成果 (74) 第七章培训与验收 (77) 7.1培训内容 (77) 7.1.1等级保护整改培训 (77) 7.1.2信息安全等级保护培训 (78) 7.1.3认证考试 (78) 7.2项目验收 (79) 7.2.1验收依据和标准 (79) 7.2.2验收内容 (80) 第八章项目管理与组织 (82) 8.1项目管理架构 (82) 8.2项目成员 (84) 8.3项目进度 (88) 第九章国都兴业服务特色 (90) 9.1丰富的服务经验 (90) 9.2有保障的服务团队 (90)
三级系统等级保护技术项目建议书
华为三级等级保护建设技术建议书 目录 1概述 (4) 2等级保护实施概述 (5) 2.1 参照标准 (5) 2.2 基本原则 (5) 2.3 角色和职责 (7) 2.4 实施的基本流程 (9) 3信息系统安全定级 (10) 3.1 参照标准 (10) 3.2 定级原理 (10) 3.2.1 信息系统安全保护级别 (10) 3.2.2 信息系统安全保护等级的定级要素 (10) 3.3 信息系统定级阶段的工作流程 (12) 4信息系统详细设计方案 (14) 4.1 安全建设需求分析 (14) 4.1.1 网络结构安全 (14) 4.1.2 边界安全风险与需求分析 (14) 4.1.3 运维风险需求分析 (15) 4.1.4 关键服务器管理风险分析 (15) 4.1.5 关键服务器用户操作管理风险分析 (18)
4.1.6 数据库敏感数据运维风险分析 (19) 4.1.7 “人机”运维操作行为风险综合分析 (20) 4.2 安全管理需求分析 (21) 4.3 整改建议 (22) 4.4 安全保障体系总体建设 (24) 4.5 安全技术体系建设 (27) 4.5.1 建设方案设计原则 (27) 4.5.2 外网安全设计 (29) 4.5.3 内网安全设计 (31) 4.5.4 主机安全体系建设 (35) 4.5.5 应用通信安全体系 (35) 4.5.6 应用数据安全 (36) 5整改建议(依据项目增加内容) (37) 5.1.1 整改后拓扑 (37) 5.1.2 软硬件新增设备清单 (37) 5.1.3 软硬件产品介绍 (37) 6三级等级保护基本要求点对点应答 (37) 6.1 技术要求 (37) 6.1.1 物理安全 (37) 6.1.2 网络安全 (41) 6.1.3 主机安全 (44)
等级保护技术方案
信息系统等级保护建设 指导要求
目录 1.范围.............................................. 错误!未定义书签。 2.项目背景.......................................... 错误!未定义书签。 2.1.前言 ........................................ 错误!未定义书签。 2.2.开展信息安全等级保护的法规、政策和技术依据 .. 错误!未定义书签。 2.2.1 ............................................................................. 信息安全等级保护有 关法规、政策、文件............................. 错误!未定义书签。 2.2.2 ............................................................................. 信息安全等级保护技 术标准体系及其关系............................. 错误!未定义书签。 3.方案设计要求 (4) 3.1.方案设计思想 (4) 3.1.1 ........................................................................................................ 构 建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2 ........................................................................................................ 建 立科学实用的全程访问控制机制 (4) 3.1.3 ........................................................................................................ 加 强源头控制,实现基础核心层的纵深防御 (5) 3.1.4 ........................................................................................................ 面 向应用,构建安全应用支撑平台 (6) 3.2.建设原则 (6) 3.3.建设内容 (8) 3.3.1 ............................................................................. 信息系统定级整改规 划错误!未定义书签。 3.3.2 ............................................................................. 信息系统安全等级保 护整体架构设计(三级)......................... 错误!未定义书签。 3.4.计算环境安全设计 ............................................ 10 5.1.1 ............................................................................. 用户身份鉴别错 误!未定义书签。 5.1.2 ............................................................................. 强制访问控制错 误!未定义书签。 5.1.3 ........................................................................................................ 系 统安全审计..................................................... 11 5.1.4 ........................................................................................................ 用 户数据完整性保护............................................... 11 5.1.5 ............................................................................. 用户数据机密性保护 错误!未定义书签。 5.1.6 ............................................................................. 客体安全重用错 误!未定义书签。 5.1.7 ............................................................................. 程序可执行保护 错误!未定义书签。 3.5.区域边界安全设计 ............................................
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改 方案
xxx 公司
20xx 年x 月 3
工作项目清单 (可根据实际情况完成该表.)
信息安全等级保护安全服务方案 3
目录 第一章概述 (9) 1.1 项目背景 (9) 1.2 现状描述 (9) 第二章总体设计 .................................................................... 1..6 2.1 项目目标 .................................................................... 1..6 2.2 项目原则 .................................................................... 1..7 2.3 项目依据 .................................................................... 1..8 2.3.1 政策法规 ............................................................... 1..8 2.3.2 标准规范 ............................................................... 1..8 2.4 实施策略 .................................................................... 1..9 2.4.1 技术体系分析 ........................................................... 1..9 2.4.2 管理体系分析 ........................................................... 1..9 2.4.3 业务系统分析 ........................................................... 2..0 2.4.4 充分全面的培训 ......................................................... 2..1 2.5 项目内容 .................................................................... 2..2 2.5.1 差距分析 ............................................................... 2..2 2.5.2 整改方案设计 ........................................................... 2..2 2.5.3 安全优化与调整 ......................................................... 2..2 2.5.4 等级保护管理制度建设 ................................................... 2.2 第三章差距分析 .................................................................... 2..4 3.1 工作目的 2..4
xx项目等级保护(三级)建设方案
××项目 等级保护(三级)建设方案 深信服科技(深圳)有限公司 2019年12月
目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误!未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)
7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
信息安全等级保护(三级)建设方案
信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
等级保护整改方案
XXX系统 等级保护整改方案 单位名称: 日期:年月日
目录 一、概述 (3) 二、系统现状 (3) 1. 系统描述 (3) 2. 系统拓扑图 (3) 3. 系统构成 (3) 4. 系统测评结论 (3) 三、整改依据 (3) 四、整改内容 (4) 4.1物理安全 (4) 4.11相关要求及依据 (4) 4.1.2 安全现状及整改措施 (4) 4.2网络安全 (4) 4.2.1相关要求及依据 (4) 4.2.2 安全现状及整改措施 (4) 4.3主机安全 (4) 4.3.1相关要求及依据 (4) 4.3.2 安全现状及整改措施 (4) 4.4应用安全 (4) 4.4.1相关要求及依据 (4) 4.4.2 安全现状及整改措施 (4) 4.5数据安全及备份恢复 (5) 4.5.1相关要求及依据 (5) 4.5.2 安全现状及整改措施 (5) 4.6安全管理制度 (5) 4.6.1相关要求及依据 (5) 4.6.2 安全现状及整改措施 (5) 4.7安全管理机构 (5) 4.7.1相关要求及依据 (5) 4.7.2 安全现状及整改措施 (5) 4.8人员安全管理 (5) 4.8.1相关要求及依据 (5) 4.8.2 安全现状及整改措施 (5) 4.9系统建设管理 (5) 4.9.1相关要求及依据 (6) 4.9.2 安全现状及整改措施 (6) 4.10系统运维管理 (6) 4.10.1相关要求及依据 (6) 4.10.2 安全现状及整改措施 (6) 五、方案总结 (6) 附件一:设备清单汇总 (7) 附件二:管理制度及表单条目清单 (8)
一、概述 。。。项目介绍 二、系统现状 1.系统描述 系统情况描述 2.系统拓扑图 3.系统构成 4.系统测评结论 三、整改依据 1)GB 17859-1999 信息安全技术计算机信息系统安全保护等级划分准则; 2)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; 3)《信息系统安全等级保护测评要求》(送审稿); 4)《XXX安全等级保护定级报告》; 5)《XXX安全等级保护测评报告》。
审计局投资审计管理系统三级等级保护建设整改及测评采购招投标书范本
三、采购需求 (以下采购需求部分由采购人:广德县审计局提供并负责解释) 一、采购内容: 广德县审计局投资审计管理系统三级等级保护建设整改及测评 二、服务范围: 按照信息系统等级保护的要求,完成广德县审计局信息系统的信息安全整改及测评工作,提高信息系统的安全保障与运维能力,减少信息安全风险和降低信息安全事件发生的概率。。 三、采购需求: 广德县审计局信息系统三级等级保护建设项目配置预算清单
四、投标人资格要求: 、符合《中华人民共和国政府采购法》第二十二条的规定。 、具备合法有效的营业执照,且具有本项目所采购产品的生产能力或经营能力(营业执照须包含此方面内容)。 、本项目不接受联合体投标。 五、投标人必须提交的证明文件: 、营业执照。 、参加开标的法定代表人的法人资格证明书(或其委托代理人的法人授权委托书)和本人身份证。 、其他采购需求中要求提供的证明文件等 六、合同主要条款: 、付款方式:所供设备全部运送至采购人指定地点,安装调试完成经验收合格,并获得备案证书之后支付合同金额的%,余款%作为质量保证金,三年质保期满后无质量问题一次性付清。 、履约保证金:中标价的% 、合同争议处理:采购合同在履行过程中发生的争议,由双方当事人协商解决,协商解决不成的,提交广德仲裁委员会仲裁。 七、运输、调试、培训、上下车费等:由中标企业负责承担。 八、商检、计量、检测、验收费用:包含在投标总价中。 九、交货地点及供货要求:
广德县审计局。 十、交货及提供服务时间要求: 合同签订后日历天完成系统设备调试并后期维护需满一年。 十一、售后服务: 、质保期:三年,质保期内出现质量问题,各投标人应在投标书中承诺及时无偿提供保修服务或相关措施。 、维修响应:一旦接到保修电话后,应立刻作出响应,在小时内派遣有经验的维修工程师赴现场进行故障处理。如小时内未能到达用户指定地点的,用户有权另行指定维修单位,相关费用在质保金内扣除。 十二、其他要求 中标人须在供货前向采购人提供与所投产品型号、参数完全一致的全新的、包装齐全的新产品;设备到场后,采购人将组织专家对设备进行功能参数符合性认证测试以及性能测试,若测试结果不符合招标文件要求,或不能按期供货,将视为虚假响应并上报县公管局严肃处理,成交供应商承担由此产生的一切相关责任。测试费用及与此相关所产生的一切费用均由成交供应商承担。
信息系统安全等级保护基本要求三级要求
信息系统安全等级保护基本要求 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 1 三级基本要求 1.1技术要求 1.1.1物理安全 1.1.1.1物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应米取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
等级保护技术方案范本
等级保护技术方案
信息系统等级保护建设 指导要求 (三级)
目录 1. 范围.......................................................................... 错误!未定义书签。 2. 项目背景 .................................................................. 错误!未定义书签。 2.1. 前言 ................................................................. 错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据错误!未定义 书签。 2.2.1信息安全等级保护有关法规、政策、文件错误!未定义书 签。 2.2.2信息安全等级保护技术标准体系及其关系错误!未定义书 签。 3. 方案设计要求 .......................................................... 错误!未定义书签。 3.1. 方案设计思想.................................................. 错误!未定义书签。 3.1.1构建符合信息系统等级保护要求的安全体系结构错误! 未定义书签。 3.1.2建立科学实用的全程访问控制机制 ....... 错误!未定义书签。 3.1.3加强源头控制,实现基础核心层的纵深防御错误!未定义 书签。 3.1.4面向应用,构建安全应用支撑平台 ....... 错误!未定义书签。 3.2. 建设原则.......................................................... 错误!未定义书签。 3.3. 建设内容.......................................................... 错误!未定义书签。 3.3.1信息系统定级整改规划........................... 错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)错误!未 定义书签。
业务内网等级保护三级整改建设案例1背景
业务内网等级保护三级整改建设案例 1背景 某政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,该单位按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段,该单位信息中心对自身业务系统的安全状况,邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审,该单位等级保护工作正式进入整改建设阶段。 2安全需求 该单位定级了若干重要信息系统如XXX规划信息管理系统、XXX监测预警系统、XXX 培训管理系统、XXX办公自动化系统、XXX收费管理系统等诸多信息系统。 所有信息系统全部是内网互联,不与互联网直接连接。内网有办公人员、运维人员及第三方开发人员。 根据等级保护建设前期调研、评估过程,依据《GB17859-1999信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下: 1.业务内网现有网络架构都是单节点部署同时没有划分安全域,需要优化设计。 2.各个网络区域边界没有访问控制措施。 3.提高安全维护人员对入侵行为的检测能力。 4.建立符合等级保护要求的内部审计机制。 5.构建基于用户身份的网络准入控制体系。 6.从业务角度出发,强化应用安全、保护隐私数据。
7.建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为。 3方案设计 通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图: 安全技术层面: 物理安全:机房要满足等保三级基础要求; 网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;所有安全区域边界位置部署NGAF,开启FW、IDS、WAF、AV模块;核心区域部署AC,实现网络行为审计功能。 主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装必要的终端安全管理系统;进行人工干预的安全加固工作。 应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署AD实现ssl卸载;业务服务器前端部署AD实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞。
某单位信息安全等级保护建设方案
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息 本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (5) 1.2.1法律要求 (6) 1.2.2政策要求 (7) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (8) 第二章现状与差距分析 (9) 现状概述 (9) 2.1.1信息系统现状 (9) 现状与差距分析 (11) 2.2.1物理安全现状与差距分析 (11) 2.2.2网络安全现状与差距分析 (17) 2.2.3主机安全现状与差距分析 (26) 2.2.4应用安全现状与差距分析 (34) 2.2.5数据安全现状与差距分析 (41) 2.2.6安全管理现状与差距分析 (44) 综合整改建议 (49)
2.3.1技术措施综合整改建议 (49) 2.3.2安全管理综合整改建议 (58) 第三章安全建设目标 (60) 第四章安全整体规划 (62) 建设指导 (62) 4.1.1指导原则 (62) 4.1.2安全防护体系设计整体架构 (63) 安全技术规划 (65) 4.2.1安全建设规划拓朴图 (65) 4.2.2安全设备功能 (66) 建设目标规划 (71) 第五章工程建设 (73) 工程一期建设 (73) 5.1.1区域划分 (73) 5.1.2网络环境改造 (73) 5.1.3网络边界安全加固 (74) 5.1.4网络及安全设备部署 (75) 5.1.5安全管理体系建设服务 (104) 5.1.6安全加固服务 (120) 5.1.7应急预案和应急演练 (127) 5.1.8安全等保认证协助服务 (128)
大型制造企业等级保护安全建设整改方案
大型制造企业等级保护安全建设整改方案
第1章项目概述 1.1 项目目标 1.2 项目范围 1.3 整改依据 第 2 章安全整改原则 第 3 章系统现状分析 3.1 系统定级情况说明 3.2 业务系统说明 3.3 安全定级情况 第 4 章现网安全风险分析4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构 4.1.2 缺少安全防护功能 4.1.3 弱资源控制 4.1.4 弱设备安全 4.1.5 弱安全审计 4.1.6 缺少安全管理中心 4.2 主机安全风险 4.2.1 存在高风险安全漏洞 4.2.2 弱身份鉴别能力 4.2.3 弱访问控制能力 4.2.4 弱安全审计能力
4.2.5 缺少入侵防范能力 4.2.6 缺少恶意代码防范能力 4.2.7 缺少资源控制能力 4.3 应用安全风险 4.3.1 存在高风险安全漏洞 4.3.2 弱身份鉴别能力 4.3.3 未进行传输加密 4.3.4 缺少资源控制能力 4.4 数据安全和备份恢复风险 4.4.1 缺少数据完整性和数据保密性能力4.5管理安全风险 4.5.1 缺少维护手册和用户操作规程 4.5.2 缺少执行记录和审批记录文件 4.5.3 缺少管理体系评审和修订 4.5.4 缺少总体建设规划和详细设计方案 4.5.5 工程验收和交付缺少部分环节 4.5.6 未定期进行应急演练 4.5.7 未定期进行安全评估和安全加固 4.5.8 缺少安全管理中心 第 5 章安全需求分析 5.1 安全计算环境需求分析 5.2 安全区域边界需求分析
5.3 安全通信网络需求分析 5.4 安全管理中心需求分析 第 6 章总体安全设计 6.1 总体设计目标 6.2 总体安全体系设计 6.3 安全域划分说明 第 7 章详细方案技术设计7.1 物理和环境安全保障 7.1.1、供配电系统 7.1.2、防雷接地 7.1.3、消防报警及自动灭火 7.1.4、门禁 7.1.5、保安监控 7.1.6、一体化的安保系统集成 7.2 网络边界安全管控 7.2.1网络安全域设计 7.2.2 制定访问控制策略 7.2.3 网络安全防护管理 7.3 终端主机安全管理 7.4 核心应用系统安全保护 7.5 数据安全建设 第 8 章详细方案管理设计
中级人民法院(本级)网络系统安全等保整改项目项目的招投标书范本
绍兴市中级人民法院 网络系统安全三级等保整改项目 公 开 招 标 文 件 招标编号:YH- 采购单位:绍兴市中级人民法院 采购代理机构:耀华建设管理有限公司 监督单位:绍兴市财政局 二一八年九月
目录 第一部分招标公告 第二部分投标须知 第三部分招标项目范围及要求第四部分合同的主要条款 第五部分评标方法及标准 第六部分投标文件及其附件格式
第一部分招标公告 根据《中华人民共和国政府采购法》的有关法律规定,经绍兴市政府采购管理部门批准,耀华建设管理有限公司受绍兴市中级人民法院委托,就下列项目进行公开招标,特邀请国内合格的投标人前来投标,现将有关事项公告如下: 一、招标编号:YH- 采购组织类型:分散委托代理 二、招标项目名称及数量(详见招标文件) 标项 标段名称及数量 (详见招标文件) 预算金额或上 限价(单位:人 民币元) 投标保证金 (单位:人民 币元) 网络系统安全三级等保整改项目¥¥ 三、供应商的资格要求 .符合政府采购法第二十二条之供应商资格规定; .本次招标不接受联合体投标。 四、资格审查方式: .资格后审。 .法定代表人的被授权委托人必须是投标单位职工。需在投标响应文件技术部分内提供由社保机构出具的该授权代表的社保证明(.如该授权代表为离退休返聘人员的,投标响应文件技术部分内需提供退休证明及单位聘用证明;.如由第三方代理社保事项的,则需提供加盖投标人公章的委托代理协议复印件)。 五、报名: .报名:年月日至年月日上午:-:时整;下午:-:时整(双休日及法定节假日除外)在耀华建设管理有限公司绍兴迪荡分公司(绍兴市越城区阳明北路号滨江大厦C楼楼/号)受理。(不接受电话报名)。 .网上在线报名。网上报名网站为浙江政府采购云平台,网址https://www.360docs.net/doc/4e2137435.html,/。 .招标文件售价:每份元,售后不退。。 .报名联系电话:-。 六、投标截止时间及地点:投标人应于年月日:时整以前将投标文件密封送交到耀华建设管理有限公司绍兴迪荡分公司(绍兴市越城区阳明北路号滨江大