等級保護建設(shè)規(guī)劃

項目名稱等級保護建設(shè)規(guī)劃[文檔副標(biāo)題]公司名稱2019-1-1

目錄1. 文檔介紹 3 文檔目的 3 文檔范圍 3 讀者對象 3 相關(guān)法規(guī) 3 相關(guān)標(biāo)準(zhǔn) 4 術(shù)語與縮寫解釋 42. 等級保護建設(shè)規(guī)劃 4 信息系統(tǒng)等級保護 4 信息系統(tǒng)等級保護劃分 6 信息系統(tǒng)等級保護基本要求 6 信息系統(tǒng)等級保護安全解決方案 7 等級保護解決方案內(nèi)容 8

文檔介紹文檔目的文檔范疇讀者對象有關(guān)法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年國務(wù)院147號令）（“第九條計算機信息系統(tǒng)實施安全等級保護。安全等級的劃分原則和安全等級保護的具體方法，由公安部會同有關(guān)部門制訂”）計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999）（“第一級：顧客自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標(biāo)記保護級；第四級：構(gòu)造化保護級；第五級：訪問驗證保護級”）國家信息化領(lǐng)導(dǎo)小組有關(guān)加強信息安全保障工作的意見（中辦發(fā)[]27號）有關(guān)信息安全等級保護工作的實施意見（公通字[]66號）信息安全等級保護管理方法

（公通字[]43號）有關(guān)開展全國重要信息系統(tǒng)安全等級保護定級工作的告知（公信安[]861號）有關(guān)開展信息安全等級保護安全建設(shè)整治工作的指導(dǎo)意見（公信安[]1429號）中華人民共和國網(wǎng)絡(luò)安全法（6月1日公布）網(wǎng)絡(luò)安全等級保護原則體系公布。（5月10日公布，12月1日實施）有關(guān)原則計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則（GB17859-1999）（基礎(chǔ)類原則）信息系統(tǒng)安全等級保護實施指南（GB/T25058-）（基礎(chǔ)類原則）信息系統(tǒng)安全保護等級定級指南（GB/T22240-）（應(yīng)用類定級原則）信息系統(tǒng)安全等級保護基本規(guī)定（GB/T22239-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)通用安全技術(shù)規(guī)定（GB/T20271-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)等級保護安全設(shè)計技術(shù)規(guī)定（GB/T25070-）（應(yīng)用類建設(shè)原則）信息系統(tǒng)安全等級保護測評規(guī)定（GB/T28448-）（應(yīng)用類測評原則）信息系統(tǒng)安全等級保護測評過程指南（GB/T28449-）（應(yīng)用類測評原則）信息系統(tǒng)安全管理規(guī)定（GB/T20269-）（應(yīng)用類管理原則）信息系統(tǒng)安全工程管理規(guī)定（GB/T20282-）（應(yīng)用類管理原則）術(shù)語與縮寫解釋縮寫、術(shù)語解釋SPP精簡并行過程，SimplifiedParallelProcessPIM立項管理，ProjectInitializationManagement…xx項目等級保護建設(shè)規(guī)劃信息系統(tǒng)等級保護現(xiàn)在國內(nèi)信息安全環(huán)境處在十分嚴峻的形式，隨著我國經(jīng)濟的持續(xù)發(fā)展和國際地位的不停提高，我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患比較嚴重，計算機病毒傳輸和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，犯罪分子運用某些安全漏洞，使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序等新技術(shù)進行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，給顧客造成嚴重損失。隨著公司業(yè)務(wù)不停發(fā)展，新業(yè)務(wù)平臺不停上線，信息系統(tǒng)面臨安全威脅不停增加?，F(xiàn)在互聯(lián)網(wǎng)新的威脅，新的惡意攻擊也在不停涌現(xiàn)，黑色產(chǎn)業(yè)鏈發(fā)展快速，造成公司各類信息系統(tǒng)安全事件頻繁發(fā)生。公司內(nèi)部安全威脅也在日益增多，病毒、惡意攻擊、木馬與P2P泛濫等也不停威脅著信息系統(tǒng)正常運行。公司信息系統(tǒng)面臨安全風(fēng)險重要來自下列五個方面：立體防御體系等級保護安全解決方案互聯(lián)網(wǎng)邊界安全風(fēng)險互聯(lián)網(wǎng)新興安全威脅不停增加，新的病毒、蠕蟲、木馬等惡意軟件不停威脅公司各類信息系統(tǒng)，特別是公司的對外門戶，在線業(yè)務(wù)系統(tǒng)等。僵尸網(wǎng)絡(luò)、DDoS攻擊直接威脅公司對外信息系統(tǒng)運行，減少互聯(lián)網(wǎng)安全威脅風(fēng)險，已經(jīng)是公司信息系統(tǒng)等級保護建設(shè)首要職責(zé)。內(nèi)網(wǎng)基礎(chǔ)設(shè)施安全風(fēng)險公司內(nèi)部人員安全意識單薄，使得內(nèi)部基礎(chǔ)設(shè)施安全風(fēng)險不停加劇、惡化。內(nèi)網(wǎng)終端病毒感染、擴散，內(nèi)部人員違規(guī)操作、惡意非法訪問，使得內(nèi)部基礎(chǔ)網(wǎng)絡(luò)，信息系統(tǒng)的安全事、事故經(jīng)常發(fā)生，給公司帶來巨大的經(jīng)濟損失。管理與運維安全風(fēng)險公司內(nèi)部信息系統(tǒng)運維人員復(fù)雜，現(xiàn)有外來維護人員，又有內(nèi)部運維人員，違規(guī)操作、非法操作、錯誤操作時有發(fā)生，使得內(nèi)部管理與運維安全風(fēng)險無法減少。如何有效針對內(nèi)部管理與運維進行有效認證授權(quán)，操作審計監(jiān)控是公司信息系統(tǒng)等級保護安全建設(shè)核心。內(nèi)網(wǎng)服務(wù)器側(cè)安全風(fēng)險業(yè)務(wù)信息系統(tǒng)本身開發(fā)存在局限性，主機操作系統(tǒng)也存在多個安全漏洞，信息系統(tǒng)潛在安全風(fēng)險是公司無法規(guī)避。如何發(fā)現(xiàn)各類信息系統(tǒng)，服務(wù)器主機的安全漏洞，并及時、有效進行防御、加固方法，減少信息系統(tǒng)本身潛在安全風(fēng)險可能給公司帶來經(jīng)濟損失。外聯(lián)網(wǎng)邊界安全風(fēng)險業(yè)務(wù)合作是公司發(fā)展必然，隨之也帶來多個安全風(fēng)險，外聯(lián)單位安全威脅，如病毒，蠕蟲能夠直接擴散公司內(nèi)部網(wǎng)絡(luò)，給基礎(chǔ)網(wǎng)絡(luò)設(shè)施與信息系統(tǒng)造成破壞，內(nèi)部各類信息系統(tǒng)也將直接面臨來自外聯(lián)單位非法/惡意入侵、訪問。信息系統(tǒng)等級保護劃分《信息安全等級保護管理方法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其它組織的正當(dāng)權(quán)益的危害程度等因素擬定。信息系統(tǒng)的安全保護等級分為下列五級，一至五級等級逐級增高：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其它組織的正當(dāng)權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運行、使用單位應(yīng)當(dāng)根據(jù)國家有關(guān)管理規(guī)范和技術(shù)原則進行保護。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其它組織的正當(dāng)權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。信息系統(tǒng)等級保護基本規(guī)定信息系統(tǒng)等級保護應(yīng)根據(jù)信息系統(tǒng)的安全保護等級狀況，確保它們含有對應(yīng)等級的基本安全保護能力，不同安全保護等級的信息系統(tǒng)規(guī)定含有不同的安全保護能力。基本安全規(guī)定是針對不同安全保護等級信息系統(tǒng)應(yīng)當(dāng)含有的基本安全保護能力提出的安全規(guī)定，根據(jù)實現(xiàn)方式的不同，基本安全規(guī)定分為基本技術(shù)規(guī)定和基本管理規(guī)定兩大類?；炯夹g(shù)規(guī)定從物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全五個層面提出，基本管理規(guī)定從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面提出。技術(shù)類安全規(guī)定與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，重要通過在信息系統(tǒng)中布署軟硬件并對的的配備其安全功效來實現(xiàn)；管理類安全規(guī)定與信息系統(tǒng)中多個角色參加的活動有關(guān)，重要通過控制多個角色的活動，從政策、制度、規(guī)范、流程以及統(tǒng)計等方面做出規(guī)定來實現(xiàn)。網(wǎng)絡(luò)安全等級保護工作涉及定級、備案、建設(shè)整治、等級測評、監(jiān)督檢查五個階段。定級對象建設(shè)完畢后，運行、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的測評機構(gòu)，根據(jù)《網(wǎng)絡(luò)安全等級保護測評規(guī)定》等技術(shù)原則，定時對定級對象安全等級狀況開展等級測評。信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)與否滿足對應(yīng)安全保護等級的評定過程。信息安全等級保護規(guī)定不同安全等級的信息系統(tǒng)應(yīng)含有不同的安全保護能力，首先通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另首先分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等互有關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功效，使信息系統(tǒng)的整體安全功效與信息系統(tǒng)的構(gòu)造以及安全控制間、層面間和區(qū)域間的互有關(guān)聯(lián)關(guān)系親密有關(guān)。因此，信息系統(tǒng)安全等級測評在安全控制測評的基礎(chǔ)上，還要涉及系統(tǒng)整體測評。信息系統(tǒng)等級保護安全解決方案信息系統(tǒng)等級保護安全解決方案技術(shù)設(shè)計涉及各級系統(tǒng)安全環(huán)境的設(shè)計及其安全互聯(lián)的設(shè)計，各級系統(tǒng)安全保護環(huán)境由對應(yīng)級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成。定級系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心構(gòu)成。信息系統(tǒng)等級保護普通考慮三個維度，一是基本規(guī)定，重要保障信息系統(tǒng)滿足通用類規(guī)定，應(yīng)用保障類規(guī)定，以及信息安全類規(guī)定；二是等級保護實施過程，需要從信息系統(tǒng)的定級，規(guī)劃，設(shè)計與實施，以及到背面信息系統(tǒng)運行，維護，直到信息系統(tǒng)終止；三是等級保護框架體系，針對技術(shù)，管理框架體系設(shè)計，這是實現(xiàn)基本規(guī)定的保障。信息系統(tǒng)等級保護設(shè)計辦法需要遵從以保護對象為核心，以系統(tǒng)定級為基準(zhǔn)，以安全規(guī)定為度量，以安全方法為手段，以安全保障為目的，循序漸進，穩(wěn)定運行，持續(xù)改善。我公司依靠數(shù)年從事信息安全的經(jīng)驗，從客戶角度出發(fā)，理解客戶業(yè)務(wù)，響應(yīng)客戶信息系統(tǒng)等級保護安全訴求，以產(chǎn)品方案和咨詢服務(wù)緊密結(jié)合為基礎(chǔ)；從主機安全防護，網(wǎng)絡(luò)安全防護，數(shù)據(jù)與應(yīng)用安全防護，以及統(tǒng)一安全管理與審計四個維度，為公司客戶打造全方位信息系統(tǒng)等級保護安全解決方案。為了適應(yīng)公司信息系統(tǒng)等級保護建設(shè)，我們整合本身信息安全研發(fā)，以及安全服務(wù)能力優(yōu)勢資源，在完善已有信息系統(tǒng)的訪問控制，以及內(nèi)容安全防御能力的同時，在信息系統(tǒng)的身份認證與授權(quán)，以及應(yīng)急響應(yīng)等領(lǐng)域?qū)崿F(xiàn)新的突破，從整體角度，為信息系統(tǒng)等級保護建設(shè)，提供整體安全解決方案技術(shù)框架。等級保護解決方案內(nèi)容主機安全防護方案信息系統(tǒng)等級保護中，計算環(huán)境重要是指對承載公司信息系統(tǒng)的服務(wù)器，以及訪問信息系統(tǒng)的各類終端，等級保護首先要保障終端，服務(wù)器等主機安全；通過布署華為終端安全管理系統(tǒng)（TSM），準(zhǔn)入認證網(wǎng)關(guān)（SACG），以及專業(yè)主機安全加固服務(wù)，實現(xiàn)等級保護對主機安全防護規(guī)定。網(wǎng)絡(luò)安全防護解決方案信息系統(tǒng)等級保護中，網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護重點是確保網(wǎng)絡(luò)之間正當(dāng)訪問，檢測，制止內(nèi)部，外部惡意攻擊。通過布署華為統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為正當(dāng)?shù)念櫩吞峁┱?dāng)網(wǎng)絡(luò)訪問，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。應(yīng)用與數(shù)據(jù)安全防護方案信息系統(tǒng)等級保護中，針對信息系統(tǒng)的應(yīng)用與數(shù)據(jù)安全重要是考慮制止病毒，惡意攻擊對應(yīng)用業(yè)務(wù)系統(tǒng)破壞，保障信息系統(tǒng)訪問過程中數(shù)據(jù)傳輸安全以及提供有效數(shù)據(jù)存儲。布署華為的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過華為安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSecVPN加密，數(shù)據(jù)災(zāi)備實現(xiàn)公司信息系統(tǒng)數(shù)據(jù)防護，減少數(shù)據(jù)因意外事故，或者丟失給造成危害。統(tǒng)一安全管理與審計方案華為提供統(tǒng)一身份管理，基于數(shù)據(jù)庫合規(guī)審計，針對內(nèi)部業(yè)務(wù)系統(tǒng)，服務(wù)器，設(shè)備統(tǒng)一運維審計產(chǎn)品，協(xié)助客戶滿足三級信息系統(tǒng)的合規(guī)審計規(guī)定。對全部信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)規(guī)定安全事件審計報告，制訂原則安全事件應(yīng)急響應(yīng)工單流程；協(xié)助公司構(gòu)架統(tǒng)一信息安全管理體系。等級保護方案產(chǎn)品與服務(wù)風(fēng)險評定：根據(jù)《GB/T20984-信息安全技術(shù)信息安全風(fēng)險評定規(guī)范》，通過風(fēng)險評定項目的實施，對信息系統(tǒng)的重要資產(chǎn)、資產(chǎn)所面臨的威脅、資產(chǎn)存在的脆弱性、已采用的防護方法等進行分析，對所采用的安全控制方法的有效性進行檢測，綜合分析、判斷安全事件發(fā)生的概率以及可能造成的損失，判斷信息系統(tǒng)面臨的安全風(fēng)險，提出風(fēng)險管理建議，為系統(tǒng)安全保護方法的改善提供參考。滲入測試：在客戶授權(quán)條件下，運用工具結(jié)合手工方式，采用可控的、不造成較大影響的黑客入侵手法，模擬對網(wǎng)站發(fā)起入侵嘗試，獲取網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫的重要資源，尋找系統(tǒng)深層次的漏洞，最后提出更精確、更有效的解決建議，協(xié)助公司在業(yè)務(wù)運行與信息安全風(fēng)險控制之間獲得更加好的效益平衡。安全加固：信息系統(tǒng)安全加固是客戶信息系統(tǒng)安全的核心環(huán)節(jié)。通過優(yōu)化和修改系統(tǒng)配備，提高系統(tǒng)的安全性和抗攻擊能力，減少安全事件的發(fā)生，西安將來國際安全加固服務(wù)旨在客戶信息系統(tǒng)的網(wǎng)