××專案
專案背景情況介紹
包括網路結構、軟硬體設施等。
對業務系統進行分析。
極地安全提出的「按需防禦的等級化安全體系」是依據國家資訊保安等級保護制度,根據系統在不同階段的需求、業務特性及應用重點,採用等級化的安全體系設計方法,幫助構建一套覆蓋全面、重點突出、節約成本、持續執行的等級化安全防禦體系。
「等級化」設計方法,是根據需要保護的資訊系統確定不同的安全等級,根據安全等級確定不同等級的安全目標,形成不同等級的安全措施進行保護。等級保護的精髓思想就是「等級化」。等級保護可以把業務系統、資訊資產、安全邊界等進行「等級化」,分而治之,從而實現資訊保安等級保護的「等級保護、適度安全」思想。
整體的安全保障體系包括技術和管理兩大部分,其中技術部分根據《資訊系統安全等級保護基本要求》分為物理安全、網路安全、主機安全、應用安全、資料安全五個方面進行建設;而管理部分根據《資訊系統安全等級保護基本要求》則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。
整個安全保障體系各部分既有機結合,又相互支撐。之間的關係可以理解為「構建安全管理機構,制定完善的安全管理制度及安全策略,由相關人員,利用技術工手段及相關工具,進行系統建設和執行維護。」
根據等級化安全保障體系的設計思路,等級保護的設計與實施通過以下步驟進行:
1. 系統識別與定級:確定保護物件,通過分析系統所屬型別、所屬資訊類別、服務範圍以及業務對系統的依賴程度確定系統的等級。
通過此步驟充分了解系統狀況,包括系統業務流程和功能模組,以及確定系統的等級,為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據。
2. 安全域設計:根據第一步的結果,通過分析系統業務流程、功能模組,根據安全域劃分原則設計系統安全域架構。
通過安全域設計將系統分解為多個層次,為下一步安全保障體系框架設計提供基礎框架。
3. 確定安全域安全要求:參照國家相關等級保護安全要求,設計不同安全域的安全要求。通過安全域適用安全等級選擇方法確定系統各區域等級,明確各安全域所需採用的安全指標。
4. 評估現狀:根據各等級的安全要求確定各等級的評估內容,根據國家相關風險評估方法,對系統各層次安全域進行有針對性的等級風險評估。
並找出系統安全現狀與等級要求的差距,形成完整準確的按需防禦的安全需求。通過等級風險評估,可以明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
5. 安全保障體系方案設計:根據安全域框架,設計系統各個層次的安全保障體系框架以及具體方案。
包括:各層次的安全保障體系框架形成系統整體的安全保障體系框架;詳細安全技術設計、安全管理設計。
6. 安全建設:根據方案設計內容逐步進行安全建設,滿足方案設計做要符合的安全需求,滿足等級保護相應等級的基本要求,實現按需防禦。
7. 持續安全運維:通過安全預警、安全監控、安全加固、安全審計、應急響應等,從事前、事中、事後三個方面進行安全執行維護,確保系統的持續安全,滿足持續性按需防禦的安全需求。
通過如上步驟,系統可以形成整體的等級化的安全保障體系,同時根據安全術建設和安全管理建設,保障系統整體的安全。而應該特別注意的是:等級保護不是乙個專案,它應該是乙個不斷迴圈的過程,所以通過整個安全專案、安全服務的實施,來保證使用者等級保護的建設能夠持續的執行,能夠使整個系統隨著環境的變化達到持續的安全。
● gb/t 21052-2007 資訊保安等級保護資訊系統物理安全技術要求
● 資訊保安技術資訊系統安全等級保護基本要求
● 資訊保安技術資訊系統安全保護等級定級指南(報批中)
● 資訊保安技術資訊保安等級保護實施指南(報批中)
● 資訊保安技術資訊系統安全等級保護測評指南
● gb/t 20271-2006 資訊保安技術資訊系統通用安全技術要求
● gb/t 20270-2006 資訊保安技術網路基礎安全技術要求
● gb/t 20984-2007資訊保安技術資訊保安風險評估規範
● gb/t 20269-2006 資訊保安技術資訊系統安全管理要求
● gb/t 20281-2006 資訊保安技術防火牆技術要求與測試評價方法
● gb/t 20275-2006 資訊保安技術入侵檢測系統技術要求和測試評價方法
● gb/t 20278-2006 資訊保安技術網路脆弱性掃瞄產品技術要求
● gb/t 20277-2006 資訊保安技術網路脆弱性掃瞄產品測試評價方法
● gb/t 20279-2006 資訊保安技術網路端裝置隔離部件技術要求
● gb/t 20280-2006 資訊保安技術網路端裝置隔離部件測試評價方法
等。xx網路的安全建設核心內容是將網路進行全方位的安全防護,不是對整個系統進行同一等級的保護,而是針對系統內部的不同業務區域進行不同等級的保護。因此,安全域劃分是進行資訊保安等級保護的首要步驟。
需要通過合理的劃分網路安全域,針對各自的特點而採取不同的技術及管理手段。從而構建一整套有針對性的安防體系。而選擇這些措施的主要依據是按照等級保護相關的要求。
安全域是具有相同或相似安全要求和策略的it要素的集合,是同一系統內根據資訊的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網或網路,每乙個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關係,而且相同的網路安全域共享同樣的安全策略。
經過梳理後的xx網路資訊系統安全區域劃分如下圖(樣圖)所示:
確定資訊系統安全保護等級的一般流程如下:
● 確定作為定級物件的資訊系統;
● 確定業務資訊保安受到破壞時所侵害的客體;
● 根據不同的受侵害客體,從多個方面綜合評定業務資訊保安被破壞對客體的侵害程度;
● 根據業務資訊保安等級矩陣表得到業務資訊保安等級;
● 確定系統服務安全受到破壞時所侵害的客體;
● 根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;
● 根據系統服務安全等級矩陣表得到系統服務安全等級;
● 由業務資訊保安等級和系統服務安全等級的較高者確定定級物件的安全保護等級。
上述步驟如下圖流程所示。
業務資訊保安等級矩陣表
系統服務安全等級矩陣表
根據上述定級流程,xx使用者各主要系統定級結果為:
風險與需求分析部分按照物理、網路、主機、應用、資料五個層面進行,可根據實際情況進行修改;同時根據安全域劃分的結果,在分析過程中將不同的安全域所面臨的風險與需求分析予以對應說明。
物理安全風險主要是指網路周邊的環境和物理特性引起的網路裝置和線路的不可使用,從而會造成網路系統的不可使用,甚至導致整個網路的癱瘓。它是整個網路系統安全的前提和基礎,只***了物理層的可用性,才能使得整個網路的可用性,進而提高整個網路的抗破壞力。例如:
● 機房缺乏控制,人員隨意出入帶來的風險;
● 網路裝置被盜、被毀壞;
● 線路老化或是有意、無意的破壞線路;
● 裝置在非**情況下發生故障、停電等;
● 自然災害如**、水災、火災、雷擊等;
● 電磁干擾等。
因此,在通盤考慮安全風險時,應優先考慮物理安全風險。。
機房建設等級保護二級要求
依據國家等級保護要求,等級保護二級的機房環境應滿足以下要求 1 機房和辦公場地應選擇在具有防震 防風和防雨等能力的建築內。2 具備防盜竊和防破壞能力 a 主要裝置放置在機房內,並將裝置或主要部件進行固定,設定明顯的不易除去 的標記 b 通訊線纜鋪設在隱蔽處,可鋪設在地下或管道中 c 主機房應安裝必要...
資訊保安等級保護二級系統相關工作準備清單
技術準備清單 2級系統 1.總體準備 系統網路拓撲圖,要求與實際系統一致,及時更新 上機檢查 抽查 核心網路裝置 交換機 路由 防火牆 伺服器主機 2.檢查重點 身份鑑別 複雜度,唯一性,非法登入次數,超時處理措施 訪問控制 網路邊界部署訪問控制裝置,控制粒度 網段級 單個使用者,修改預設賬戶,刪除...
等級保護整改方案
系統 單位名稱 日期年月日 目錄一 概述 3 二 系統現狀 3 1.系統描述 3 2.系統拓撲圖 3 3.系統構成 3 4.系統測評結論 3 三 整改依據 3 四 整改內容 4 4.1 物理安全 4 4.11 相關要求及依據 4 4.1.2 安全現狀及整改措施 4 4.2網路安全 4 4.2.1相關...