3等级保护安全建设整改
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改方案 xxx公司 20xx年x月
工作项目清单 信息安全等级保护安全服务方案
目录 第一章概述 (8) 1.1项目背景 (8) 1.2现状描述 (8) 第二章总体设计 (15) 2.1项目目标 (15) 2.2项目原则 (16) 2.3项目依据 (17) 2.3.1政策法规 (17) 2.3.2标准规范 (17) 2.4实施策略 (18) 2.4.1技术体系分析 (18) 2.4.2管理体系分析 (18) 2.4.3业务系统分析 (19) 2.4.4充分全面的培训 (20) 2.5项目内容 (21) 2.5.1差距分析 (21) 2.5.2整改方案设计 (21) 2.5.3安全优化与调整 (21) 2.5.4等级保护管理制度建设 (21) 第三章差距分析 (23)
3.2工作方式 (23) 3.3工作内容 (25) 3.3.1物理安全 (26) 3.3.2主机安全 (27) 3.3.3网络安全 (31) 3.3.4应用安全 (35) 3.3.5数据安全及备份恢复 (39) 3.3.6安全管理制度 (43) 3.3.7安全管理机构 (47) 3.3.8人员安全管理 (51) 3.3.9系统建设管理 (55) 3.3.10系统运维管理 (59) 3.4提交成果 (63) 第四章等级保护整改方案设计 (64) 4.1工作目的 (64) 4.2工作方式 (65) 4.3工作内容 (65) 4.4提交成果 (68) 第五章系统优化及调整 (68) 5.1工作目的 (68) 5.2工作方式 (68)
5.4工作内容 (70) 5.5提交成果 (71) 第六章等级保护管理制度建设 (71) 6.1工作目的 (71) 6.2工作方式 (72) 6.3工作内容 (72) 6.4工作成果 (74) 第七章培训与验收 (77) 7.1培训内容 (77) 7.1.1等级保护整改培训 (77) 7.1.2信息安全等级保护培训 (78) 7.1.3认证考试 (78) 7.2项目验收 (79) 7.2.1验收依据和标准 (79) 7.2.2验收内容 (80) 第八章项目管理与组织 (82) 8.1项目管理架构 (82) 8.2项目成员 (84) 8.3项目进度 (88) 第九章国都兴业服务特色 (90) 9.1丰富的服务经验 (90) 9.2有保障的服务团队 (90)
国家电网公司信息安全等级保护工作交流
信息安全等级保护安全建设整改工作培训材料之二 全面规划狠抓落实 信息安全工作再上新台阶 ----国家电网公司信息安全等级保护工作交流 国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。 作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献率达到1%以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企
信息安全等级保护建设方案
信息安全等级保护(二级)建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)
2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)
等级保护技术方案
信息系统等级保护建设 指导要求
目录 1.范围.............................................. 错误!未定义书签。 2.项目背景.......................................... 错误!未定义书签。 2.1.前言 ........................................ 错误!未定义书签。 2.2.开展信息安全等级保护的法规、政策和技术依据 .. 错误!未定义书签。 2.2.1 ............................................................................. 信息安全等级保护有 关法规、政策、文件............................. 错误!未定义书签。 2.2.2 ............................................................................. 信息安全等级保护技 术标准体系及其关系............................. 错误!未定义书签。 3.方案设计要求 (4) 3.1.方案设计思想 (4) 3.1.1 ........................................................................................................ 构 建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2 ........................................................................................................ 建 立科学实用的全程访问控制机制 (4) 3.1.3 ........................................................................................................ 加 强源头控制,实现基础核心层的纵深防御 (5) 3.1.4 ........................................................................................................ 面 向应用,构建安全应用支撑平台 (6) 3.2.建设原则 (6) 3.3.建设内容 (8) 3.3.1 ............................................................................. 信息系统定级整改规 划错误!未定义书签。 3.3.2 ............................................................................. 信息系统安全等级保 护整体架构设计(三级)......................... 错误!未定义书签。 3.4.计算环境安全设计 ............................................ 10 5.1.1 ............................................................................. 用户身份鉴别错 误!未定义书签。 5.1.2 ............................................................................. 强制访问控制错 误!未定义书签。 5.1.3 ........................................................................................................ 系 统安全审计..................................................... 11 5.1.4 ........................................................................................................ 用 户数据完整性保护............................................... 11 5.1.5 ............................................................................. 用户数据机密性保护 错误!未定义书签。 5.1.6 ............................................................................. 客体安全重用错 误!未定义书签。 5.1.7 ............................................................................. 程序可执行保护 错误!未定义书签。 3.5.区域边界安全设计 ............................................
基于网络安全法的等级保护规划
基于网络安全法的等级保护规划 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面,结合网络安全法相关要求进行了解读说明。 关键词:等级保护;网络安全法;信息安全
目录 1. 定级备案 (3) 2. 建设整改 (4) 3. 等级测评 (7) 4. 结语 (8)
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作 要求。 1.定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)(以下简称《定级指南》)分析业务信息和系统服务遭到破坏后,所 侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出,关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在3级及以上。所以,作为关键信息基础设施,其安全保护 等级不得低于3级。 网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体以及对相应客体的侵害程度,准确定级[1]。网络运营者在初步确定网络安全保护等级后,应 当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
三级等保安全建设方案
目录 三级等保安全设计思路 (2) 1、保护对象框架 (2) 2、整体保障框架 (2) 3 、安全措施框架 (3) 4、安全区域划分 (4) 5、安全措施选择 (5) 6、需求分析 (6) 6.1、系统现状 (6) 6.2、现有措施 (6) 6.3 具体需求 (6) 6.3.1 等级保护技术需求 (6) 6.3.2 等级保护管理需求 (7) 7、安全策略 (7) 7.1 总体安全策略 (7) 7.2 具体安全策略 (8) 8、安全解决方案 (8) 8.1 安全技术体系 (8) 8.1.1 安全防护系统 (8) 8.2 安全管理体系 (8) 9、安全服务 (8) 9.1 风险评估服务 (9) 9.2 管理监控服务 (9) 9.3 管理咨询服务 (9) 9.4 安全培训服务 (9) 9.5 安全集成服务 (9) 10、方案总结 (10) 11、产品选型 (11)
三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下: 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击者成功
等保测评整改-汇聚层交换机安全策略检查及加固报告
密级:秘密 文档编号: 项目代号: XXX网站系统 汇聚层交换机安全策略检查及加固报告 XXX 2012年 10月12日
目录 一.安全检查概述 (4) 1.1检查目标 (4) 1.2检查范围 (4) 1.3检查流程 (5) 二.设备信息 (5) 三.检查内容记录 (6) 四.安全加固项 (7) 4.1关闭未使用的端口 (7) 4.2设置Telnet访问ACL限制 (7) 4.3设置系统登录信息警告 (8) 4.4设置syslog日志服务器(可选) (8)
文档信息表
一.安全检查概述 为了保障XXX网站系统的网络安全、通畅和高效的运营,XXX针对XXX 数据中心汇聚层交换机的安全策略进行安全检查,并根据检查结果给出相应的加固建议。 1.1检查目标 本次汇聚层交换机安全策略检查服务,主要通过完整详细的采集交换机设备的基本信息与运行状态数据,再对本次交换机安全策略检查采集的数据进行系统的整理与分析,然后对XXX网络安全提出相关建议报告。对现有网络存在的问题记录;及时的反馈。 ?采集汇聚层交换机设备的运行参数,通过系统整理与分析,判断设备的运行状态。 ?检查汇聚层交换机的运行环境,分析和判断交换机设备运行环境是否满足当前安全运行的必要条件。 ?检查安全设备、配置的冗余性,确保网络系统具有抵御设备故障的能力和高可用性。 ?检查交换机的log日志记录,调查前期交换机设备运行状态情况,寻找故障隐患。 1.2检查范围 本次XXX网站系统汇聚层交换机安全策略检查的范围主要包括: ?设备运行状况及账户安全策略设置; ?检查日志记录情况和存储设置; ?检查路由协议安全状况; ?检查设备冗余情况及设备配置备份策略; ?检查访问控制安全策略设置和各种服务运行状况。
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改 方案
xxx 公司
20xx 年x 月 3
工作项目清单 (可根据实际情况完成该表.)
信息安全等级保护安全服务方案 3
目录 第一章概述 (9) 1.1 项目背景 (9) 1.2 现状描述 (9) 第二章总体设计 .................................................................... 1..6 2.1 项目目标 .................................................................... 1..6 2.2 项目原则 .................................................................... 1..7 2.3 项目依据 .................................................................... 1..8 2.3.1 政策法规 ............................................................... 1..8 2.3.2 标准规范 ............................................................... 1..8 2.4 实施策略 .................................................................... 1..9 2.4.1 技术体系分析 ........................................................... 1..9 2.4.2 管理体系分析 ........................................................... 1..9 2.4.3 业务系统分析 ........................................................... 2..0 2.4.4 充分全面的培训 ......................................................... 2..1 2.5 项目内容 .................................................................... 2..2 2.5.1 差距分析 ............................................................... 2..2 2.5.2 整改方案设计 ........................................................... 2..2 2.5.3 安全优化与调整 ......................................................... 2..2 2.5.4 等级保护管理制度建设 ................................................... 2.2 第三章差距分析 .................................................................... 2..4 3.1 工作目的 2..4
等级保护整改方案
XXX系统 等级保护整改方案 单位名称: 日期:年月日
目录 一、概述 (3) 二、系统现状 (3) 1. 系统描述 (3) 2. 系统拓扑图 (3) 3. 系统构成 (3) 4. 系统测评结论 (3) 三、整改依据 (3) 四、整改内容 (4) 4.1物理安全 (4) 4.11相关要求及依据 (4) 4.1.2 安全现状及整改措施 (4) 4.2网络安全 (4) 4.2.1相关要求及依据 (4) 4.2.2 安全现状及整改措施 (4) 4.3主机安全 (4) 4.3.1相关要求及依据 (4) 4.3.2 安全现状及整改措施 (4) 4.4应用安全 (4) 4.4.1相关要求及依据 (4) 4.4.2 安全现状及整改措施 (4) 4.5数据安全及备份恢复 (5) 4.5.1相关要求及依据 (5) 4.5.2 安全现状及整改措施 (5) 4.6安全管理制度 (5) 4.6.1相关要求及依据 (5) 4.6.2 安全现状及整改措施 (5) 4.7安全管理机构 (5) 4.7.1相关要求及依据 (5) 4.7.2 安全现状及整改措施 (5) 4.8人员安全管理 (5) 4.8.1相关要求及依据 (5) 4.8.2 安全现状及整改措施 (5) 4.9系统建设管理 (5) 4.9.1相关要求及依据 (6) 4.9.2 安全现状及整改措施 (6) 4.10系统运维管理 (6) 4.10.1相关要求及依据 (6) 4.10.2 安全现状及整改措施 (6) 五、方案总结 (6) 附件一:设备清单汇总 (7) 附件二:管理制度及表单条目清单 (8)
一、概述 。。。项目介绍 二、系统现状 1.系统描述 系统情况描述 2.系统拓扑图 3.系统构成 4.系统测评结论 三、整改依据 1)GB 17859-1999 信息安全技术计算机信息系统安全保护等级划分准则; 2)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; 3)《信息系统安全等级保护测评要求》(送审稿); 4)《XXX安全等级保护定级报告》; 5)《XXX安全等级保护测评报告》。
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
某单位信息安全等级保护建设方案
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)
v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台(soc) (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)
如何结合网络安全法开展等级保护工作
如何结合网络安全法开展等级保护工作 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。 2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。 1. 定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》 (GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。
信息安全等级保护安全建设项目方案
信息系统安全等级保护安全建设项目 技术方案
目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)
4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)
网络安全等级保护(安全通用要求)建设方案
网络安全等级保护建设方案 (安全通用要求) 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月
目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)
3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)
业务内网等级保护三级整改建设案例1背景
业务内网等级保护三级整改建设案例 1背景 某政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,该单位按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段,该单位信息中心对自身业务系统的安全状况,邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审,该单位等级保护工作正式进入整改建设阶段。 2安全需求 该单位定级了若干重要信息系统如XXX规划信息管理系统、XXX监测预警系统、XXX 培训管理系统、XXX办公自动化系统、XXX收费管理系统等诸多信息系统。 所有信息系统全部是内网互联,不与互联网直接连接。内网有办公人员、运维人员及第三方开发人员。 根据等级保护建设前期调研、评估过程,依据《GB17859-1999信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下: 1.业务内网现有网络架构都是单节点部署同时没有划分安全域,需要优化设计。 2.各个网络区域边界没有访问控制措施。 3.提高安全维护人员对入侵行为的检测能力。 4.建立符合等级保护要求的内部审计机制。 5.构建基于用户身份的网络准入控制体系。 6.从业务角度出发,强化应用安全、保护隐私数据。
7.建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为。 3方案设计 通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图: 安全技术层面: 物理安全:机房要满足等保三级基础要求; 网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;所有安全区域边界位置部署NGAF,开启FW、IDS、WAF、AV模块;核心区域部署AC,实现网络行为审计功能。 主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装必要的终端安全管理系统;进行人工干预的安全加固工作。 应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署AD实现ssl卸载;业务服务器前端部署AD实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞。
大型制造企业等级保护安全建设整改方案
大型制造企业等级保护安全建设整改方案
第1章项目概述 1.1 项目目标 1.2 项目范围 1.3 整改依据 第 2 章安全整改原则 第 3 章系统现状分析 3.1 系统定级情况说明 3.2 业务系统说明 3.3 安全定级情况 第 4 章现网安全风险分析4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构 4.1.2 缺少安全防护功能 4.1.3 弱资源控制 4.1.4 弱设备安全 4.1.5 弱安全审计 4.1.6 缺少安全管理中心 4.2 主机安全风险 4.2.1 存在高风险安全漏洞 4.2.2 弱身份鉴别能力 4.2.3 弱访问控制能力 4.2.4 弱安全审计能力
4.2.5 缺少入侵防范能力 4.2.6 缺少恶意代码防范能力 4.2.7 缺少资源控制能力 4.3 应用安全风险 4.3.1 存在高风险安全漏洞 4.3.2 弱身份鉴别能力 4.3.3 未进行传输加密 4.3.4 缺少资源控制能力 4.4 数据安全和备份恢复风险 4.4.1 缺少数据完整性和数据保密性能力4.5管理安全风险 4.5.1 缺少维护手册和用户操作规程 4.5.2 缺少执行记录和审批记录文件 4.5.3 缺少管理体系评审和修订 4.5.4 缺少总体建设规划和详细设计方案 4.5.5 工程验收和交付缺少部分环节 4.5.6 未定期进行应急演练 4.5.7 未定期进行安全评估和安全加固 4.5.8 缺少安全管理中心 第 5 章安全需求分析 5.1 安全计算环境需求分析 5.2 安全区域边界需求分析
5.3 安全通信网络需求分析 5.4 安全管理中心需求分析 第 6 章总体安全设计 6.1 总体设计目标 6.2 总体安全体系设计 6.3 安全域划分说明 第 7 章详细方案技术设计7.1 物理和环境安全保障 7.1.1、供配电系统 7.1.2、防雷接地 7.1.3、消防报警及自动灭火 7.1.4、门禁 7.1.5、保安监控 7.1.6、一体化的安保系统集成 7.2 网络边界安全管控 7.2.1网络安全域设计 7.2.2 制定访问控制策略 7.2.3 网络安全防护管理 7.3 终端主机安全管理 7.4 核心应用系统安全保护 7.5 数据安全建设 第 8 章详细方案管理设计
信息安全等级保护建设方案
信息安全等级保护 建设方案 1 2020年4月19日
信息安全等级保护(二级)建设方案 3月 目录 1.项目概述错误!未定义书签。 1.1.项目建设目标 2 2020年4月19日
1.2.项目参考标准 错误!未定义书签。 1.3.方案设计原则 错误!未定义书签。 2. 系统现状分析........................................ 错误!未定义书签。 2.1.系统定级情况说明 错误!未定义书签。 2.2.业务系统说明 错误!未定义书签。 2.3.网络结构说明 错误!未定义书签。 3. 安全需求分析........................................ 错误!未定义书签。 3.1.物理安全需求分析 错误!未定义书签。 3.2.网络安全需求分析 错误!未定义书签。 3.3.主机安全需求分析 错误!未定义书签。 3.4.应用安全需求分析 错误!未定义书签。 3.5.数据安全需求分析 错误!未定义书签。 3.6.安全管理制度需求分析 3 2020年4月19日
4. 总体方案设计........................................ 错误!未定义书签。 4.1.总体设计目标 错误!未定义书签。 4.2.总体安全体系设计 错误!未定义书签。 4.3.总体网络架构设计 错误!未定义书签。 4.4.安全域划分说明 错误!未定义书签。 5. 详细方案设计技术部分................................ 错误!未定义书签。 5.1.物理安全 错误!未定义书签。 5.2.网络安全 错误!未定义书签。 5.2.1.安全域边界隔离技术 错误!未定义书签。 5.2.2.入侵防范技术 错误!未定义书签。 5.2.3.网页防篡改技术 错误!未定义书签。 5.2.4.链路负载均衡技术 错误!未定义书签。 5.2.5.网络安全审计 4 2020年4月19日