二级等保建设方案
. .. ..
乌鲁瓦提水利枢纽管理局机房系
统安全建设
解决方案
深信服科技
2019年
目录
1背景概述 (3)
1.1建设背景 (3)
1.2文件要求 (3)
1.3参考依据 (3)
2阀门监控系统安全防护意义 (4)
3安全防护总体要求 (4)
3.1系统性 (4)
3.2动态性 (4)
3.3安全防护的目标及重点 (5)
3.4安全防护总体策略 (5)
3.5综合安全防护要求 (6)
3.5.1安全区划分原则 (6)
3.6综合安全防护基本要求 (7)
3.6.1主机与网络设备加固 (7)
3.6.2入侵检测 (7)
3.6.3安全审计 (7)
3.6.4恶意代码、病毒防 (7)
4需求分析 (8)
4.1安全风险分析 (8)
4.2安全威胁的来源 (9)
5设计方案 (10)
5.1拓扑示意 (11)
5.2安全部署方案 (11)
5.2.1下一代防火墙 (11)
5.2.2终端安全检测响应系统(杀毒) (12)
5.2.3日志审计系统 (14)
5.2.4运维审计系统 (17)
5.2.5安全态势感知系统 (19)
6方案优势与总结 (21)
6.1安全可视 (21)
6.2融合架构 (21)
6.3运维简化 (22)
1背景概述
1.1 建设背景
随着我国信息化的大力发展,信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络,也正是由于网络的接入共享为不法黑客的入侵系统带来机会,严重影响系统的正常稳定运行和输送。
1.2 文件要求
根据《中华人民国网络安全法》,水利相关单位是国家关键信息基础设施和网络安全重点保护单位。监控、数据调度系统网络空间大,涉及单位多,安全隐患分布广,一旦被攻破将直接威胁安全生产。为进一步提高阀门监控系统及调度数据网的安全性,保障阀门监控系统安全,确保安全稳定运行,需满足以下文件要求及原则。
?满足调度数据网已投运设备接入的要求;
?满足生产调度各种业务安全防护的需要;
?满足责任到人、分组管理、联合防护的原则;
?提高信息安全管理水平,降低重要网络应用系统所面临的的安全风险威胁,保证信息系统安全、稳定的运行,使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。
1.3 参考依据
本次网络安全保障体系的建设,除了要满足系统安全可靠运行的需求,还必须符合国家相关法律要求,同时基于系统业务的特点,按照分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》(GB17859-1999)。
2阀门监控系统安全防护意义
目前,随着国际形势的日趋复杂,网络空间已经成为继陆、海、空和太空之后第五作战空间,国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争,为了加大网络安全的落实,国家出台了《网络安全法》进一步明确了业务主体单位或个人的法律责任,并于2017年6月1日开始正式实施。
为加强阀门监控系统安全防护,抵御黑客及恶意代码等对阀门监控系统的恶意破坏和攻击,以及非法操作间接影响到系统的安全稳定运行。作为系统的重要组成部分,其安全与系统安全运行密切相关,积极做好阀门监控系统系统安全防护既有利于配合阀门监控系统安全防护工作的实施,确保整个系统安全防护体系的完整性,也有利于为公司提供安全生产和管理的保障措施。
3安全防护总体要求
系统安全防护具有系统性和动态性的特点。
3.1 系统性
其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。网络采用分层分区的模式实现信息组织和管理。这些因素决定了系统的安全防护是一个系统性的工程。安全防护工作对应做到细致全面,清晰合理;对外应积极配合上级和调度机构的安全管理要求。
3.2 动态性
阀门监控系统安全防护的动态性由两方面决定。一是通信技术、计算机网络技术的不断发展;二是阀门监控系统系统自身涵外延的变化。在新的病毒、恶意代码、网络攻击手段层出不穷的情况下,静止不变的安全防护策略不可能满足阀门监控系统网络信息安全的要求,安全防护体系必须采用实时、动态、主动的防护思想。同时阀门监控系统部也在不断更新、扩充、结合,安全要求也相应改变。
所以安全防护是一个长期的、循环的不断完善适应的过程。如图3-1所示P2DR 模型是阀门监控系统安全防护动态性的形象表示。
图3-1 安全防护P2DR动态模型
3.3 安全防护的目标及重点
阀门监控系统安全防护是系统安全生产的重要组成部分,其目标是:
1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击,尤其是集团式攻击。
2) 防止部未授权用户访问系统或非法获取信息以及重大违规操作。
3) 防护重点是通过各种技术和管理措施,对实时闭环监控系统及调度数据网的安全实施保护,防止阀门监控系统瘫痪和失控,并由此导致系统故障。
3.4 安全防护总体策略
?安全分区
根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区。
?网络专用
安全区边界清晰明确,区根据业务的重要性提出不同安全要求,制定强度不同的安全防护措施。特别强调,为保护生产控制业务应建设调度数据网,实现与
其它数据网络物理隔离,并以技术手段在专网上形成多个相互逻辑隔离的子网,保障上下级各安全区的互联仅在相同安全区进行,避免安全区纵向交叉。
?综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对阀门监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。
3.5 综合安全防护要求
3.5.1安全区划分原则
阀门监控系统系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据阀门监控系统系统的特点、目前状况和安全要求,整个阀门监控系统分为两个大区:监控大区和办公大区。
阀门监控业务区
是指由具有实时监控功能、纵向联接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。
控制区中的业务系统或其功能模块(或子系统)的典型特征为:是生产的重要环节,直接实现对一次系统的实时监控,纵向使用调度数据网络或专用通道,是安全防护的重点与核心。
?办公业务区
办公业务区部在不影响阀门监控业务区安全的前提下,可以根据各企业不同安全要求划分安全区,安全区划分一般规定。
3.6 综合安全防护基本要求
3.6.1主机与网络设备加固
厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通用网关机、Web服务器等,应当使用安全加固的操作系统。加固方式最好采用专用软件强化操作系统访问控制能力以及配置安全的应用程序,其中加固软件需采用通过国家权威部门检测的自主品牌。
非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用调度数字证书,在网络设备和安全设备实现支持HTTPS的纵向安全Web服务,能够对浏览器客户端访问进行身份认证及加密传输。应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。
3.6.2入侵检测
阀门监控业务区需统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
3.6.3安全审计
阀门监控业务区的监控系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。同时可以采用安全审计功能,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。
3.6.4恶意代码、病毒防
应当及时更新特征码,查看查杀记录。恶意代码更新文件的安装应当经
过测试。禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。4需求分析
4.1 安全风险分析
阀门监控系统系统面临的主要风险
优先级风险说明/举例
0 旁路控制(Bypassing Controls)入侵者对发送非法控制命令,导致系统事
故,甚至系统瓦解。
1 完整性破坏(Integrity
Violation)非授权修改控制系统配置、程序、控制命令;非授权修改交易中的敏感数据。
2 违反授权(Authorization
Violation)控制系统工作人员利用授权身份或设备,执行非授权的操作。
3 工作人员的随意行为控制系统工作人员无意识地泄漏口令等敏
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改方案 xxx公司 20xx年x月
工作项目清单 信息安全等级保护安全服务方案
目录 第一章概述 (8) 1.1项目背景 (8) 1.2现状描述 (8) 第二章总体设计 (15) 2.1项目目标 (15) 2.2项目原则 (16) 2.3项目依据 (17) 2.3.1政策法规 (17) 2.3.2标准规范 (17) 2.4实施策略 (18) 2.4.1技术体系分析 (18) 2.4.2管理体系分析 (18) 2.4.3业务系统分析 (19) 2.4.4充分全面的培训 (20) 2.5项目内容 (21) 2.5.1差距分析 (21) 2.5.2整改方案设计 (21) 2.5.3安全优化与调整 (21) 2.5.4等级保护管理制度建设 (21) 第三章差距分析 (23)
3.2工作方式 (23) 3.3工作内容 (25) 3.3.1物理安全 (26) 3.3.2主机安全 (27) 3.3.3网络安全 (31) 3.3.4应用安全 (35) 3.3.5数据安全及备份恢复 (39) 3.3.6安全管理制度 (43) 3.3.7安全管理机构 (47) 3.3.8人员安全管理 (51) 3.3.9系统建设管理 (55) 3.3.10系统运维管理 (59) 3.4提交成果 (63) 第四章等级保护整改方案设计 (64) 4.1工作目的 (64) 4.2工作方式 (65) 4.3工作内容 (65) 4.4提交成果 (68) 第五章系统优化及调整 (68) 5.1工作目的 (68) 5.2工作方式 (68)
5.4工作内容 (70) 5.5提交成果 (71) 第六章等级保护管理制度建设 (71) 6.1工作目的 (71) 6.2工作方式 (72) 6.3工作内容 (72) 6.4工作成果 (74) 第七章培训与验收 (77) 7.1培训内容 (77) 7.1.1等级保护整改培训 (77) 7.1.2信息安全等级保护培训 (78) 7.1.3认证考试 (78) 7.2项目验收 (79) 7.2.1验收依据和标准 (79) 7.2.2验收内容 (80) 第八章项目管理与组织 (82) 8.1项目管理架构 (82) 8.2项目成员 (84) 8.3项目进度 (88) 第九章国都兴业服务特色 (90) 9.1丰富的服务经验 (90) 9.2有保障的服务团队 (90)
等级保护技术方案
信息系统等级保护建设 指导要求
目录 1.范围.............................................. 错误!未定义书签。 2.项目背景.......................................... 错误!未定义书签。 2.1.前言 ........................................ 错误!未定义书签。 2.2.开展信息安全等级保护的法规、政策和技术依据 .. 错误!未定义书签。 2.2.1 ............................................................................. 信息安全等级保护有 关法规、政策、文件............................. 错误!未定义书签。 2.2.2 ............................................................................. 信息安全等级保护技 术标准体系及其关系............................. 错误!未定义书签。 3.方案设计要求 (4) 3.1.方案设计思想 (4) 3.1.1 ........................................................................................................ 构 建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2 ........................................................................................................ 建 立科学实用的全程访问控制机制 (4) 3.1.3 ........................................................................................................ 加 强源头控制,实现基础核心层的纵深防御 (5) 3.1.4 ........................................................................................................ 面 向应用,构建安全应用支撑平台 (6) 3.2.建设原则 (6) 3.3.建设内容 (8) 3.3.1 ............................................................................. 信息系统定级整改规 划错误!未定义书签。 3.3.2 ............................................................................. 信息系统安全等级保 护整体架构设计(三级)......................... 错误!未定义书签。 3.4.计算环境安全设计 ............................................ 10 5.1.1 ............................................................................. 用户身份鉴别错 误!未定义书签。 5.1.2 ............................................................................. 强制访问控制错 误!未定义书签。 5.1.3 ........................................................................................................ 系 统安全审计..................................................... 11 5.1.4 ........................................................................................................ 用 户数据完整性保护............................................... 11 5.1.5 ............................................................................. 用户数据机密性保护 错误!未定义书签。 5.1.6 ............................................................................. 客体安全重用错 误!未定义书签。 5.1.7 ............................................................................. 程序可执行保护 错误!未定义书签。 3.5.区域边界安全设计 ............................................
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改 方案
xxx 公司
20xx 年x 月 3
工作项目清单 (可根据实际情况完成该表.)
信息安全等级保护安全服务方案 3
目录 第一章概述 (9) 1.1 项目背景 (9) 1.2 现状描述 (9) 第二章总体设计 .................................................................... 1..6 2.1 项目目标 .................................................................... 1..6 2.2 项目原则 .................................................................... 1..7 2.3 项目依据 .................................................................... 1..8 2.3.1 政策法规 ............................................................... 1..8 2.3.2 标准规范 ............................................................... 1..8 2.4 实施策略 .................................................................... 1..9 2.4.1 技术体系分析 ........................................................... 1..9 2.4.2 管理体系分析 ........................................................... 1..9 2.4.3 业务系统分析 ........................................................... 2..0 2.4.4 充分全面的培训 ......................................................... 2..1 2.5 项目内容 .................................................................... 2..2 2.5.1 差距分析 ............................................................... 2..2 2.5.2 整改方案设计 ........................................................... 2..2 2.5.3 安全优化与调整 ......................................................... 2..2 2.5.4 等级保护管理制度建设 ................................................... 2.2 第三章差距分析 .................................................................... 2..4 3.1 工作目的 2..4
等级保护整改方案
XXX系统 等级保护整改方案 单位名称: 日期:年月日
目录 一、概述 (3) 二、系统现状 (3) 1. 系统描述 (3) 2. 系统拓扑图 (3) 3. 系统构成 (3) 4. 系统测评结论 (3) 三、整改依据 (3) 四、整改内容 (4) 4.1物理安全 (4) 4.11相关要求及依据 (4) 4.1.2 安全现状及整改措施 (4) 4.2网络安全 (4) 4.2.1相关要求及依据 (4) 4.2.2 安全现状及整改措施 (4) 4.3主机安全 (4) 4.3.1相关要求及依据 (4) 4.3.2 安全现状及整改措施 (4) 4.4应用安全 (4) 4.4.1相关要求及依据 (4) 4.4.2 安全现状及整改措施 (4) 4.5数据安全及备份恢复 (5) 4.5.1相关要求及依据 (5) 4.5.2 安全现状及整改措施 (5) 4.6安全管理制度 (5) 4.6.1相关要求及依据 (5) 4.6.2 安全现状及整改措施 (5) 4.7安全管理机构 (5) 4.7.1相关要求及依据 (5) 4.7.2 安全现状及整改措施 (5) 4.8人员安全管理 (5) 4.8.1相关要求及依据 (5) 4.8.2 安全现状及整改措施 (5) 4.9系统建设管理 (5) 4.9.1相关要求及依据 (6) 4.9.2 安全现状及整改措施 (6) 4.10系统运维管理 (6) 4.10.1相关要求及依据 (6) 4.10.2 安全现状及整改措施 (6) 五、方案总结 (6) 附件一:设备清单汇总 (7) 附件二:管理制度及表单条目清单 (8)
一、概述 。。。项目介绍 二、系统现状 1.系统描述 系统情况描述 2.系统拓扑图 3.系统构成 4.系统测评结论 三、整改依据 1)GB 17859-1999 信息安全技术计算机信息系统安全保护等级划分准则; 2)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; 3)《信息系统安全等级保护测评要求》(送审稿); 4)《XXX安全等级保护定级报告》; 5)《XXX安全等级保护测评报告》。
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
大型制造企业等级保护安全建设整改方案
大型制造企业等级保护安全建设整改方案
第1章项目概述 1.1 项目目标 1.2 项目范围 1.3 整改依据 第 2 章安全整改原则 第 3 章系统现状分析 3.1 系统定级情况说明 3.2 业务系统说明 3.3 安全定级情况 第 4 章现网安全风险分析4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构 4.1.2 缺少安全防护功能 4.1.3 弱资源控制 4.1.4 弱设备安全 4.1.5 弱安全审计 4.1.6 缺少安全管理中心 4.2 主机安全风险 4.2.1 存在高风险安全漏洞 4.2.2 弱身份鉴别能力 4.2.3 弱访问控制能力 4.2.4 弱安全审计能力
4.2.5 缺少入侵防范能力 4.2.6 缺少恶意代码防范能力 4.2.7 缺少资源控制能力 4.3 应用安全风险 4.3.1 存在高风险安全漏洞 4.3.2 弱身份鉴别能力 4.3.3 未进行传输加密 4.3.4 缺少资源控制能力 4.4 数据安全和备份恢复风险 4.4.1 缺少数据完整性和数据保密性能力4.5管理安全风险 4.5.1 缺少维护手册和用户操作规程 4.5.2 缺少执行记录和审批记录文件 4.5.3 缺少管理体系评审和修订 4.5.4 缺少总体建设规划和详细设计方案 4.5.5 工程验收和交付缺少部分环节 4.5.6 未定期进行应急演练 4.5.7 未定期进行安全评估和安全加固 4.5.8 缺少安全管理中心 第 5 章安全需求分析 5.1 安全计算环境需求分析 5.2 安全区域边界需求分析
5.3 安全通信网络需求分析 5.4 安全管理中心需求分析 第 6 章总体安全设计 6.1 总体设计目标 6.2 总体安全体系设计 6.3 安全域划分说明 第 7 章详细方案技术设计7.1 物理和环境安全保障 7.1.1、供配电系统 7.1.2、防雷接地 7.1.3、消防报警及自动灭火 7.1.4、门禁 7.1.5、保安监控 7.1.6、一体化的安保系统集成 7.2 网络边界安全管控 7.2.1网络安全域设计 7.2.2 制定访问控制策略 7.2.3 网络安全防护管理 7.3 终端主机安全管理 7.4 核心应用系统安全保护 7.5 数据安全建设 第 8 章详细方案管理设计
等级保护技术方案
信息系统等级保护建设 指导要求 (三级)
目录 1. 范围............................................................................................................错误!未定义书签。 2. 项目背景....................................................................................................错误!未定义书签。 2.1. 前言................................................................................................错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据 ....................错误!未定义书签。 2.2.1信息安全等级保护有关法规、政策、文件...........................错误!未定义书签。 2.2.2信息安全等级保护技术标准体系及其关系...........................错误!未定义书签。 3. 方案设计要求 (4) 3.1. 方案设计思想 (4) 3.1.1构建符合信息系统等级保护要求的安全体系结构 (4) 3.1.2建立科学实用的全程访问控制机制 (4) 3.1.3加强源头控制,实现基础核心层的纵深防御 (5) 3.1.4面向应用,构建安全应用支撑平台 (6) 3.2. 建设原则 (6) 3.3. 建设内容 (8) 3.3.1信息系统定级整改规划...........................................................错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计(三级)...................错误!未定义书签。 3.4. 计算环境安全设计 (10) 5.1.1用户身份鉴别...........................................................................错误!未定义书签。 5.1.2强制访问控制...........................................................................错误!未定义书签。 5.1.3系统安全审计 (11) 5.1.4用户数据完整性保护 (11) 5.1.5用户数据机密性保护...............................................................错误!未定义书签。 5.1.6客体安全重用...........................................................................错误!未定义书签。 5.1.7程序可执行保护.......................................................................错误!未定义书签。 3.5. 区域边界安全设计 (11) 5.2.1区域边界访问控制 (11) 5.2.2区域边界包过滤 (14) 5.2.3区域边界安全审计 (14) 5.2.4区域边界完整性保护...............................................................错误!未定义书签。 3.6. 安全通信网络设计 (16) 3.7. 安全管理中心设计........................................................................错误!未定义书签。 4. 物理安全要求............................................................................................错误!未定义书签。 4.1. 信息系统中心机房安全现状........................................................错误!未定义书签。 4.2. 信息系统物理安全方面提出的要求............................................错误!未定义书签。 4.3. 信息系统物理安全建设................................................................错误!未定义书签。 5.3.1环境安全...................................................................................错误!未定义书签。 5.3.2设备安全...................................................................................错误!未定义书签。 5.3.3介质安全...................................................................................错误!未定义书签。 5. 管理安全要求............................................................................................错误!未定义书签。 5.1. 信息系统安全管理的要求............................................................错误!未定义书签。 5.2. 信息系统安全管理建设设计........................................................错误!未定义书签。 6.2.1安全管理建设原则...................................................................错误!未定义书签。
业务内网等级保护三级整改建设案例1背景
业务内网等级保护三级整改建设案例 1背景 某政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,该单位按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。 在项目推进的前期准备阶段,该单位信息中心对自身业务系统的安全状况,邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审,该单位等级保护工作正式进入整改建设阶段。 2安全需求 该单位定级了若干重要信息系统如XXX规划信息管理系统、XXX监测预警系统、XXX 培训管理系统、XXX办公自动化系统、XXX收费管理系统等诸多信息系统。 所有信息系统全部是内网互联,不与互联网直接连接。内网有办公人员、运维人员及第三方开发人员。 根据等级保护建设前期调研、评估过程,依据《GB17859-1999信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下: 1.业务内网现有网络架构都是单节点部署同时没有划分安全域,需要优化设计。 2.各个网络区域边界没有访问控制措施。 3.提高安全维护人员对入侵行为的检测能力。 4.建立符合等级保护要求的内部审计机制。 5.构建基于用户身份的网络准入控制体系。 6.从业务角度出发,强化应用安全、保护隐私数据。
7.建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为。 3方案设计 通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图: 安全技术层面: 物理安全:机房要满足等保三级基础要求; 网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;所有安全区域边界位置部署NGAF,开启FW、IDS、WAF、AV模块;核心区域部署AC,实现网络行为审计功能。 主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装必要的终端安全管理系统;进行人工干预的安全加固工作。 应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署AD实现ssl卸载;业务服务器前端部署AD实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞。
(完整word版)安全等级保护建设方案
Xx 信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
等级保护整改方案
XXX系统 等级保护整改方案单位名称: 日期:年月日
目录 一、概述............................... 错误!未指定书签。 二、系统现状........................... 错误!未指定书签。 1.系统描述........................... 错误!未指定书签。 2.系统拓扑图......................... 错误!未指定书签。 3.系统构成........................... 错误!未指定书签。 4.系统测评结论....................... 错误!未指定书签。 三、整改依据........................... 错误!未指定书签。 四、整改内容........................... 错误!未指定书签。 4.1物理安全 ......................... 错误!未指定书签。 4.11相关要求及依据............... 错误!未指定书签。 4.1.2安全现状及整改措施........... 错误!未指定书签。 4.2网络安全.......................... 错误!未指定书签。 4.2.1相关要求及依据............... 错误!未指定书签。 4.2.2安全现状及整改措施........... 错误!未指定书签。 4.3主机安全.......................... 错误!未指定书签。 4.3.1相关要求及依据............... 错误!未指定书签。 4.3.2安全现状及整改措施........... 错误!未指定书签。 4.4应用安全.......................... 错误!未指定书签。 4.4.1相关要求及依据............... 错误!未指定书签。 4.4.2安全现状及整改措施........... 错误!未指定书签。 4.5数据安全及备份恢复................ 错误!未指定书签。
等级保护整改方案模板(独创版本)
密级:商密 文档编号:等级保护整改方案-03 项目代号: 中国××股份 信息安全专项咨询项目 等级保护整改方案 北京信息安全技术有限公司 2009年9月
保密申明 这份文件包含了来自××星辰的可靠、权威的信息,这些信息是作为××股份正在实施的信息安全专项咨询项目实施专用,接受这份计划书表示同意对其内容保密并且未经××公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你不是有意接受者,请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
目录 保密申明 (2) 文档信息表 (3) 1.................................................................概述 6 1.1.............................................................. 概述 6 1.2........................................................... 主要内容 6 1.3........................................................... 目标读者 6 2......................................................... 系统识别定级 7 2.1................................... 业务信息受到破坏时所侵害客体的确定 7 2.2................................... 信息受到破坏后对侵害客体的侵害程度 7 2.3........................................................... 系统定级 7 3............................................................. 现状概述 9 3.1........................................................... ERP系统 9 3.2........................................................... 资金系统 11 3.3............................................................ OA系统 12 4............................................................. 安全管理 13 4.1....................................................... 安全管理制度 14 4.1.1..................................................... 现状的不足 14 管理制度 (14) 4.1.2....................................................... 整改方案 14 4.2....................................................... 安全管理机构 15
电网企业等级保护建设整改方案
电网企业等级保护建设整改方案 黄敬志 (广东电网公司,广州市东风东路757号 510600) 摘要:本文结合国家信息安全等级保护的有关规定和标准,对电网企业实施信息系统安全等级保护工作的内容和步骤进行了详细介绍,为同行业的相关工作提供参考。 关键字:电网企业;信息安全等级保护 Enterprise of Electric Power Grid Enforces the Security Classification Protection for Information System Abstract:This paper combine with the country’s regulations and standards of security classification protection, introduces the contents and steps of the enterprise of electric power grid enforces the security classification protection for information system, this introduction in order to provides the reference for the trade to do the similar work. Key words:the enterprise of electric power grid;security classification protection 0.概述 公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于2007年6月联合发布了《信息安全等级保护管理办法》,标志着信息安全等级保护工作在全国范围全面推进[1]。 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,是国家层面制定的信息安全工作标准。目前,信息安全等级保护工作在国内尚处于刚起步的阶段,如何落实具体的工作,是各重点企业工作面临的问题。电网企业作为关系国计民生的重要国有企业,在信息安全等级保护工作方面积极探索,并根据行业的特点制定了适合电网企业的规范、标准和实施指南,指导各单位全面落实国家的有关要求。 1.信息安全等级保护的要求及标准 信息安全等级保护指的是:对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展。 信息系统的运行(或使用)单位根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的
2、等级保护工作各环节服务方案
等级保护工作开展参考资料文档说明 1 ) 目标对象: 客户单位的信息主管/计算机信息系统运维管理人员 2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法 一.等级保护整体服务方案 图1等级保护整体服务方案工作流程图 等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安 全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等 级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系保驾护航 测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括: 1)等级保护定级备案 对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级, 评服务方将 协助用户完成保护等级的备案工作。 2)等级保护差距分析 通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信 息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息 等级确定后测等保定级备案 1)分析信息系统特点 2)对重要信息系统进 行摸底调查,确定定级 对象 3)完成〈〈定级报告》 4)协助专家评审和审 批 5)完成定级备案工作 等保整改与安全建设 1)明确整改思路 2)进行风险评估 3)通过现场访谈、现 场测试等方式,完成 〈〈差距分析报告》 4)形成等保整改和安 全建设方案 5)进行等保整改建设 等保测评 1)制定测评咨询工作 计划 2)准备等保测评所需 要的文档和资料 3)配合测评机构的现 场测评工作 等保检查 1)开展自查 2)进行行业检查 3)准备检查所需要的 文档和资料 4)配合公安机关的现 场检查工作
等级保护整改方案模板
等级保护整改方案模板 XXX系统 等级保护整改方案 单位名称: 日期: 年月日 第 1 页共 8 页 整改方案 目录 一、概 述 ..................................................................... .. (3) 二、系统现 状 ..................................................................... (3) 1. 系统描 述 ..................................................................... (3) 2. 系统拓扑 图 ..................................................................... .. (3) 3. 系统构 成 ..................................................................... (3)
4. 系统测评结 论 ..................................................................... .............................................. 3 三、整改依 据 ..................................................................... ...................................................... 3 四、整改内 容 ..................................................................... (4) 4.1 物理安全...................................................................... . (4) 4.11 相关要求及依 据 ..................................................................... .. (4) 4.1.2 安全现状及整改措 施 ..................................................................... . (4) 4.2网络安 全 ..................................................................... (4) 4.2.1相关要求及依据...................................................................... (4)