等保整改方案_第1頁
等保整改方案_第2頁
等保整改方案_第3頁
等保整改方案_第4頁
等保整改方案_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

等保整改方案篇一:等保整改與安全建設方案等級保護整改與安全建設方案、八、■前言等級保護保護整改與安全建設工作重要性依據(jù)公通字[XX]43號文的要求,信息系統(tǒng)定級工作完成后,運營、使用單位首先要按照相關(guān)的管理規(guī)范和技術(shù)標準進行安全建設和整改,使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,進行信息系統(tǒng)安全建設或者改建工作。等級保護整改的核心是根據(jù)用戶的實際信息安全需求、業(yè)務特點及應用重點,在確定不同系統(tǒng)重要程度的基礎上,進行重點保護。整改工作要遵循國家等級保護相關(guān)要求,將等級保護要求體現(xiàn)到方案、產(chǎn)品和安全服務中去,并切實結(jié)合用戶信息安全建設的實際需求,建設一套全面保護、重點突出、持續(xù)運行的安全保障體系,將等級保護制度確實落實到企業(yè)的信息安全規(guī)劃、建設、評估、運行和維護等各個環(huán)節(jié),保障企業(yè)的信息安全。等級保護整改與安全建設過程等級保護整改與安全建設是基于國家信息系統(tǒng)安全等級保護相關(guān)標準和文件的要求,針對客戶已定級備案的信息系統(tǒng)、或打算按照等保要求進行安全建設的信息系統(tǒng),結(jié)合客戶組織架構(gòu)、業(yè)務要求、信息系統(tǒng)實際情況,通過一套規(guī)范的等保整改過程,協(xié)助客戶進行風險評估和等級保護差距分析,制定完整的安全整改建議方案,并根據(jù)需要協(xié)助客戶對落實整改實施方案或進行方案的評審、招投標、整改監(jiān)理等工作,協(xié)助客戶完成信息系統(tǒng)等級保護整改和安全建設工作。等保整改與建設過程主要包括:等級保護差距分析、等級保護整改建議方案、等級保護整改實施三個階段。(一)等級保護差距分析等級保護風險評估1)評估目的對信息系統(tǒng)進行安全等級評估是國家推行等級保護制度的一個重要環(huán)節(jié),也是對信息系統(tǒng)進行安全建設和管理的重要組成部分。等級評估不同于按照等級保護要求進行的等保差距分析。風險評估的目標是深入、詳細地檢查信息系統(tǒng)的安全風險狀況,而差距分析則是按照等保的所有要求進行符合性檢查,檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度??梢哉f,風險評估的結(jié)果更能體現(xiàn)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀,比差距分析結(jié)果在技術(shù)上更加深入。風險評估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。通過專業(yè)的等級評估服務,協(xié)助用戶完成以下的目標:?了解信息系統(tǒng)的管理、網(wǎng)絡和系統(tǒng)安全現(xiàn)狀;?確定可能對資產(chǎn)造成危害的威脅;?確定威脅實施的可能性;?對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產(chǎn)是最重要的;?對最重要的、最敏感的資產(chǎn),確定一旦威脅發(fā)生其潛在的損失或破壞;?明確信息系統(tǒng)的已有安全措施的有效性;?明晰信息系統(tǒng)的安全管理需求。評估內(nèi)容?資產(chǎn)識別與賦值?主機安全性評估?數(shù)據(jù)庫安全性評估?安全設備評估現(xiàn)場風險評估用到的主要評估方法包括:?漏洞掃描?控制臺審計?技術(shù)訪談評估分析根據(jù)現(xiàn)場收集的信息及對這些信息的分析,評估小組形成定級信息系統(tǒng)的弱點評估報告、風險評估報告等文檔,使客戶充分了解信息系統(tǒng)存在的風險,作為等保差距分析的一項重要輸入,并作為后續(xù)整改建設的重要依據(jù)。等保差距分析通過差距分析,可以了解客戶信息系統(tǒng)的現(xiàn)狀,確定當前系統(tǒng)與相應保護等級要求之間的差距,確定不符合安全項。1)準備差距分析表項目組通過準備好的差距分析表,與客戶確認現(xiàn)場溝通的對象(部門和人員),準備相應的檢查內(nèi)容。在整理差距分析表時,整改項目組會根據(jù)信息系統(tǒng)的安全等級從基本要求中選擇相應等級的基本安全要求,根據(jù)及風險評估的結(jié)果進行調(diào)整,去掉不適用項,增加不能滿足客戶信息系統(tǒng)需求的安全要求。差距分析表包含以下內(nèi)容:?安全技術(shù)差距分析:包括網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復;?安全管理差距分析:包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理;?系統(tǒng)運維差距分析:包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置;?物理安全差距分析:包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。不同安全保護級別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同?,F(xiàn)場差距分析整改項目組依據(jù)差距分析表中的各項安全要求,對比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距,確定不符合項?,F(xiàn)場工作階段,整改項目組可分為管理檢查組和技術(shù)檢查組兩個小組。在差距分析階段,可以通過以下方式收集信息,詳細了解客戶信息系統(tǒng)現(xiàn)狀,并通過分析所收集的資料和數(shù)據(jù),以確認客戶信息系統(tǒng)的建設是否符合該等級的安全要求,需要進行哪些方面的整改。?查驗文檔資料?人員訪談?現(xiàn)場測試生成差距分析報告完成現(xiàn)場差距分析之后,整改項目組歸納整理、分析現(xiàn)場記錄,找出目前信息系統(tǒng)與等級保護安全要求之間的差距明確不符合項,生成《等級保護差距分析報告》。(二)等級保護整改建議方案整改目標溝通確認通過與客戶高層領導、相關(guān)業(yè)務部門和信息安全管理部門進行廣泛的溝通協(xié)商,會依據(jù)風險評估和差距分析的結(jié)果明確等級保護整改工作的工作目標,提出等級保護整改建議方案。對暫時難以進行整改的部分內(nèi)容,將在討論后作為遺留問題,明確列在整改建議方案中??傮w框架根據(jù)等保安全要求,提出如下的安全整改建議,其中PMOT體系是信息安全保障總體框架模型。圖信息安全PMOT體系模型根據(jù)建議方案的設計原則,協(xié)助客戶制定總體安全保障體系架構(gòu),包括制定安全策略,結(jié)合等級保護基本要求和安全保護特殊要求,來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運維體系,具體內(nèi)容包括:建立和完善安全策略:最高層次的安全策略文件,闡明安全工作的使命和意愿,定義信息安全工作的總體目標安全技術(shù)體系:安全技術(shù)的保障包括網(wǎng)絡邊界防御、安全通信網(wǎng)絡、主機和應用系統(tǒng)安全、檢測響應體系、冗余與備份以及安全管理中心。建立和完善安全管理體系:建立安全管理制度,建立信息安全組織,規(guī)范人員管理和系統(tǒng)建議管理。安全運維體系:機房安全,資產(chǎn)及設備安全,網(wǎng)絡與系統(tǒng)安全管理、監(jiān)控和安全管理等。展開后的等級保護整改與安全建設總體框架如下圖所示,從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運維Operation四個層面落實等級保護安全基本要求。圖4等級保護整改與安全建設總體框架方案說明信息安全策略信息安全策略是最高管理層對信息安全的期望和承諾的表達,位于整個PMOT信息安全體系的頂層,也是安全管理體系的最高指導方針,明確了信息安全工作總體目標,對技術(shù)和管理各方面的安全工作具有通用指導性。安全技術(shù)體系根據(jù)整改目標提出整改方案的安全技術(shù)保障體系,將保障體系框架中要求實現(xiàn)的網(wǎng)絡、主機和應用安全落實到產(chǎn)品功能或物理形態(tài)上,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安篇二:等保整改一站式解決方案等保三級整改一站式方案一、典型等級保護用戶整改參考圖(建設目標)二、等保整改方案五步走安全域劃分做等級保護的整改,第一步一定是要明確安全域。下面22是經(jīng)典安全域劃分方案:業(yè)務服務器域:客戶的業(yè)務服務器和存儲的安全區(qū)域用戶終端域:用戶終端,一些完全不重要的服務器安全管理域:安全管理中心,包括網(wǎng)管系統(tǒng)服務器啊,終端安全管理的服務器等用來做網(wǎng)絡和安全運維管理的這些設備互聯(lián)網(wǎng)出口域:互聯(lián)網(wǎng)出口的網(wǎng)絡和安全設備互聯(lián)網(wǎng)出口在互聯(lián)網(wǎng)出口部署防火墻、入侵防御、病毒過濾、上網(wǎng)行為管理、鏈路負載;安全域互訪隔離1所有的安全域之間必須通過防火墻才能互聯(lián)互通;Web安全防護web服務器前部署web防火墻;安全管理中心在安全管理中心要有這些東西:漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、終端安全管理系統(tǒng)、網(wǎng)管系統(tǒng)、應用性能管理系統(tǒng)、SSLVPN、防病毒系統(tǒng)、運維堡壘主機;以上五個步驟完成,設備整改完成。三、涉及產(chǎn)品列表,紅色為我司可提供的產(chǎn)品四、疑難問題解答是不是上面這些設備都部署,才能通過三級等保?回答:不是。上面是比較理想的情況,實際情況根據(jù)客戶預算和客戶實際需求來進行,部署70-80%的設備即可。安全域隔離防火墻,很多客戶利用交換機的ACL做,測評中心也認可?;卮穑簩?。等保要求進行訪問控制,沒要求必須用防火墻,交換機ACL也是訪問控制手段,但用防火墻是最專業(yè)的訪問控制設備,其專業(yè)性智能型運維容易程度都遠遠強于交換機ACL,而且交換機ACL損耗交換機性能嚴重,交換機是交換設備,不是專業(yè)的安全設備。是不是做了這些就可以通過等保測評了?回答:設備層面足夠了。還需要做一些安全加固和管理制度文檔整理。安全加固指的是把服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、業(yè)務系統(tǒng)的一些安全策略調(diào)整到符合等保的規(guī)定,比如你服務器密碼都是666,現(xiàn)在開啟服務器的密碼強度要求這個策略,就是安全加固。文檔整理主要是安全管理制度,以及測評申請書。了解到客戶情況后,怎么給客戶做整改方案?回答:上面整改五步走,每一步都說明了需要什么,缺少的設備就是需要整改的。安全加固和安全制度是肯定需要整改的。3篇三:等級保護整改方案模板(獨創(chuàng)版本)密級:商密文檔編號:等級保護整改方案-03項目代號:中國XX股份信息安全專項咨詢項目等級保護整改方案北京信息安全技術(shù)有限公司XX年9月僅供XX股份信息安全專項咨詢項目內(nèi)部使用第1頁共32頁保密申明這份文件包含了來自XX星辰的可靠、權(quán)威的信息,這些信息是作為XX股份正在實施的信息安全專項咨詢項目實施專用,接受這份計劃書表示同意對其內(nèi)容保密并且未經(jīng)XX公司書面請求和書面認可,不得復制,泄露或散布這份文件。如果你不是有意接受者,請注意對這份項目實施計劃書內(nèi)容的任何形式的泄露、復制或散布都是被禁止的。僅供XX股份信息安全專項咨詢項目內(nèi)部使用第2頁共32頁文檔信息表僅供XX股份信息安全專項咨詢項目內(nèi)部使用第3

頁共32頁目錄密申明保表2文檔信息述31概61.11.21.32述概6主要內(nèi)容6目標讀者6系統(tǒng)識別定級72.12.22.3業(yè)務信息受到破壞時所侵害客體的確定7信息受到破壞后對侵害客體的侵害程度7系統(tǒng)定級83現(xiàn)狀概述93.13.23.3ERP系統(tǒng)9資金系統(tǒng)11OA系統(tǒng)12理4安全管度134.1安全管理制足144.1.1現(xiàn)狀的不14管理制度14整改方案144.2安全管理機構(gòu)154.2.1現(xiàn)狀的不足154.2.2整改方案154.3人員安全管理164.3.1現(xiàn)狀的不足164.3.2整改方案215215174.4系統(tǒng)建設管理174.4.1現(xiàn)狀的不足174.4.2整改方案184.5系統(tǒng)運維管理194.5.1現(xiàn)狀的不足194.5.2整改方案2323235.1物理安全234.1.2現(xiàn)狀的不足235.1.2整改方案235.2網(wǎng)絡安全235.2.1現(xiàn)狀的不足僅供XX股份信息安全專項咨詢項目內(nèi)部使用第4

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論