logo资料库

信息系统信息安全集成等级保护建设设计方案&安全规划.docx

发布时间:2022-06-26 发布人:admin 分类:说明书 资料大小:7.64M 资料格式:docx 举报 版权申诉
第1页 / 共165页
第2页 / 共165页
第3页 / 共165页
第4页 / 共165页
第5页 / 共165页
第6页 / 共165页
第7页 / 共165页
第8页 / 共165页
资料共165页,剩余部分请下载后查看
    信息系统信息安全集成等级保护建设方案&安全规划
    一. 概述
    1.1 项目背景
    1.2 建设目标
    1.3 建设内容
    1.4 建设必要性
    二. 安全建设思路
    2.1 等级保护建设流程
    2.2 参考标准
    三. 安全现状分析
    3.1 网络架构分析
    3.2 系统定级情况
    四. 安全需求分析
    4.1 等级保护技术要求分析
    4.1.1 物理层安全需求
    4.1.2 网络层安全需求
    4.1.3 系统层安全需求
    4.1.4 应用层安全需求
    4.1.5 数据层安全需求
    4.2 等级保护管理要求分析
    4.2.1 安全管理制度
    4.2.2 安全管理机构
    4.2.3 人员安全管理
    4.2.4 系统建设管理
    4.2.5 系统运维管理
    五. 总体设计思路
    5.1 设计目标
    5.2 设计原则
    5.2.1 合规性原则
    5.2.2 先进性原则
    5.2.3 可靠性原则
    5.2.4 可扩展性原则
    5.2.5 开放兼容性原则
    5.2.6 最小授权原则
    5.2.7 经济性原则
    六. 整改建议
    6.1 物理安全
    6.2 网络安全
    6.3 主机安全
    6.3.1 业务系统主机
    6.3.2 数据库主机
    6.4 应用安全
    6.4.1 HIS系统(三级)
    6.4.2 LIS系统(三级)
    6.4.3 PACS系统(三级)
    6.4.4 EMR系统(三级)
    6.4.5 集中平台(三级)
    6.4.6 门户网站系统(二级)
    6.5 数据安全与备份恢复
    6.6 安全管理制度
    6.7 安全管理机构
    6.8 人员安全管理
    6.9 系统建设管理
    6.10 系统运维管理
    七. 总体设计网络拓扑
    7.1 设计拓扑图
    7.2 推荐安全产品目录
    八. 技术体系建设方案
    8.1 外网安全建设
    8.1.1 抗DDos攻击:ADS抗DDos系统
    8.1.1.1 解决方案
    8.1.1.2 产品价值
    8.1.2 边界访问控制:下一代防火墙NF
    8.1.2.1 解决方案
    8.1.2.1.1 云端接入
    8.1.2.1.2 远程运维安全解决方案
    8.1.2.1.3 智能补丁解决方案
    8.1.2.1.4 终端安全检查解决方案
    8.1.2.2 产品价值
    8.1.3 网络入侵防范:网络入侵防御系统NIPS
    8.1.3.1 解决方案
    8.1.3.2 产品价值
    8.1.4 上网行为管理:SAS
    8.1.4.1 解决方案
    8.1.4.1.1 内容审计
    8.1.4.1.2 行为审计
    8.1.4.1.3 流量审计
    8.1.5 APT攻击防护:威胁分析系统TAC
    8.1.5.1 解决方案
    8.1.5.1.1 多种应用层及文件层解码
    8.1.5.1.2 独特的信誉设计
    8.1.5.1.3 集成多种已知威胁检测技术:AV、基于漏洞的静态检测
    8.1.5.1.4 智能ShellCode检测
    8.1.5.1.5 动态沙箱检测(虚拟执行检测)
    8.1.5.1.6 完备的虚拟环境
    8.1.6 Web应用防护:web应用防火墙
    8.1.6.1 解决方案
    8.1.6.1.1 细致高效的规则体系
    8.1.6.1.2 智能自学习白名单
    8.1.6.1.3 智能补丁应急响应
    8.1.6.1.4 安全管家
    8.1.6.1.5 IP信誉
    8.1.6.2 产品价值
    8.2 内外网隔离建设
    8.2.1 解决方案
    8.2.1.1 IDS入侵检测功能
    8.2.1.2 SAT(安全服务器地址映射)
    8.2.1.3 身份认证
    8.2.1.4 安全上网、邮件收发高级认证
    8.2.1.5 安全代理服务
    8.2.1.6 AI安全过滤
    8.2.1.7 防病毒
    8.2.1.8 内容及格式检测
    8.2.1.9 VPN通讯安全
    8.2.1.10 WEB站点保护
    8.3 内网安全建设
    8.3.1 边界防御:下一代防火墙NF
    8.3.2 入侵防御
    8.3.3 防病毒网关
    8.3.3.1 产品功能
    8.3.3.2 蠕虫过滤
    8.3.3.3 病毒过滤
    8.3.3.4 木马行为监测
    8.3.3.5 口令嗅探攻击监测
    8.3.3.6 僵尸网络检测
    8.3.3.7 安全管理方式
    8.3.3.8 特征库自动升级
    8.3.4 APT攻击防护
    8.4 运维管理建设
    8.4.1 运维安全审计:堡垒机
    8.4.1.1 产品功能
    8.4.1.1.1 集中账号管理
    8.4.1.1.2 集中访问控制
    8.4.1.1.3 集中安全审计
    8.4.2 流量审计:网络安全审计-SAS
    8.4.2.1 产品价值
    8.4.2.2 产品功能
    8.4.2.2.1 智能化协议识别与分析
    8.4.2.2.2 智能身份关联与认证用户审计
    8.4.2.2.3 智能URL分类与WEB信誉管理
    8.4.2.2.4 无线热点发现与移动应用审计
    8.4.2.2.5 业界首创“网站内容安全”主动审计
    8.4.3 漏洞扫描:安全评估系统RSAS
    8.4.3.1 产品功能
    8.4.3.1.1 全方位系统脆弱性发现
    8.4.3.1.2 从海量数据中快速定位风险
    8.4.3.1.3 融入并促进安全管理流程
    8.4.3.2 产品价值
    8.4.4 基线核查:配置核查系统BVS
    8.4.4.1 产品功能
    8.4.4.1.1 结合等级保护的安全配置检查
    8.4.4.1.2 结合授权认证系统简化配置检查操作
    8.4.4.1.3 自定义安全配置检查项目
    8.4.5 威胁态势感知
    8.4.5.1 产品功能
    8.4.5.1.1 网络入侵态势感知
    8.4.5.1.2 异常流量态势感知
    8.4.5.1.3 僵木蠕态势感知
    8.4.5.1.4 系统漏洞态势感知
    8.4.5.1.5 网站安全态势感知
    8.4.6 终端安全
    8.4.6.1 产品功能
    8.4.6.1.1 领先的云引擎
    8.4.6.1.2 边界联动防御
    8.4.6.1.3 动态行为分析
    8.4.6.1.4 铠甲防御系统
    8.4.6.1.5 虚拟化支持
    8.4.6.1.6 智能漏洞修复
    8.4.6.1.7 软件管理
    8.4.6.1.8 系统优化
    8.4.6.1.9 垃圾清理
    8.4.7 数据库审计及统方监管
    8.4.7.1 产品功能
    8.4.7.2 全面数据库入侵监控
    8.4.7.3 快速的入库检索
    8.4.7.4 准确的识别定位
    8.4.7.5 节约合规成本
    8.4.8 终端准入
    8.4.8.1 产品功能
    8.4.8.1.1 边界控制管理
    8.4.8.1.2 人员认证管理
    8.4.8.1.3 设备规范管理
    8.4.8.1.4 操作行为管理
    8.4.8.1.5 视角报表管理
    8.4.9 日志审计建设
    8.4.9.1 建设方案
    8.4.9.2 产品介绍
    8.4.9.3 方案效益
    8.5 安全服务
    8.5.1 安全漏洞扫描服务
    8.5.1.1 服务范围
    8.5.1.2 服务内容
    8.5.1.2.1 网络层漏洞识别
    8.5.1.2.2 操作系统层漏洞识别
    8.5.1.2.3 应用层漏洞识别
    8.5.1.3 服务流程
    8.5.1.4 服务报告
    8.5.1.5 服务注意事项及措施
    8.5.2 安全加固服务
    8.5.2.1 服务范围
    8.5.2.2 服务内容
    8.5.2.2.1 网络设备加固内容
    8.5.2.2.2 主机操作系统加固内容
    8.5.2.2.3 数据库加固内容
    8.5.2.2.4 中间件及常见网络服务加固内容
    8.5.2.3 服务流程
    8.5.2.4 服务报告
    8.5.2.5 服务注意事项
    8.5.2.5.1 安全加固中的可能风险步骤
    8.5.2.5.2 安全加固中的风险规避手段
    8.5.3 渗透测试服务
    8.5.3.1 服务范围
    8.5.3.2 服务方式
    8.5.3.2.1 内部测试和外部测试
    8.5.3.2.2 黑盒测试和白盒测试
    8.5.3.3 服务流程
    8.5.3.4 服务报告
    8.5.3.5 服务注意事项
    8.5.3.5.1 时间的控制
    8.5.3.5.2 工具使用
    8.5.3.5.3 技术手段
    8.5.3.5.4 监控措施
    8.5.3.5.5 目标对象的选择
    8.5.3.5.6 操作记录
    8.5.3.5.7 沟通
    8.5.4 应急演练服务
    8.5.4.1 服务范围
    8.5.4.2 演练形式
    8.5.4.3 演练场景选择
    8.5.4.3.1 安全事件入口点
    8.5.4.3.2 演练场景分类
    8.5.4.4 演练流程
    8.5.4.4.1 演练准备
    8.5.4.4.2 演练实施
    8.5.4.4.3 演练收尾
    8.5.4.5 服务报告
    8.5.5 重要时期安全保障服务
    8.5.5.1 服务范围
    8.5.5.2 服务方式
    8.5.5.3 服务内容
    8.5.5.3.1 信息安全通告
    8.5.5.3.2 信息安全咨询
    8.5.5.3.3 对外服务检查
    8.5.5.3.4 WEB站点渗透测试
    8.5.5.3.5 安全漏洞扫描
    8.5.5.3.6 主机安全检查
    8.5.5.3.7 网站安全监测服务
    8.5.5.3.8 安全值守服务
    8.5.5.3.9 安全日志分析
    8.5.5.3.10 应急响应服务
    8.5.5.4 服务流程
    8.5.5.5 服务交付
    8.5.6 安全巡检服务
    8.5.6.1 服务范围
    8.5.6.2 服务内容
    8.5.6.2.1 安全设备状态检查
    8.5.6.2.2 安全漏洞扫描
    8.5.6.2.3 安全日志分析
    8.5.6.2.4 补丁管理
    8.5.6.3 服务流程
    8.5.6.4 服务特点
    8.5.6.5 服务报告
    8.5.7 网络架构分析服务
    8.5.7.1 服务范围
    8.5.7.2 服务内容
    8.5.7.2.1 网络架构整体分析
    8.5.7.2.2 网络建设规范性
    8.5.7.2.3 网络边界安全
    8.5.7.2.4 网络协议分析
    8.5.7.2.5 网络流量分析
    8.5.7.2.6 网络设备安全
    8.5.7.2.7 网络管理
    8.5.7.3 服务流程
    8.5.7.4 服务特点
    8.5.7.5 服务依据
    8.5.7.6 服务报告
    8.5.8 日志分析服务
    8.5.8.1 服务范围
    8.5.8.2 服务内容
    8.5.8.3 服务方式
    8.5.8.4 服务流程
    8.5.8.5 服务特点
    8.5.8.6 服务报告
    8.5.9 应急响应服务
    8.5.9.1 服务范围
    8.5.9.2 服务方式
    8.5.9.2.1 现场服务和远程服务
    8.5.9.2.2 单次服务和年度服务
    8.5.9.3 服务流程
    8.5.9.3.1 事件优先级定义
    8.5.9.3.2 事件处理流程
    8.5.9.3.3 事件升级流程
    8.5.9.4 服务特点
    8.5.9.5 服务报告
    8.5.10 恶意代码排查服务
    8.5.10.1 服务范围
    8.5.10.2 服务内容
    8.5.10.3 服务流程
    8.5.10.4 服务报告
    九. 管理体系建设方案
    9.1 安全制度建设
    9.1.1 总体方针、策略
    9.1.1.1 技术标准和规范
    9.1.1.2 管理制度和规定
    9.1.1.3 组织机构和人员职责
    9.1.2 制定和发布
    9.1.3 评审和修订
    9.2 安全管理机构
    9.2.1 岗位设置
    9.2.2 人员配备
    9.2.3 授权和审批
    9.2.4 沟通和合作
    9.2.5 审核和检查
    9.3 人员安全管理
    9.4 系统建设管理
    9.5 系统运维管理
    9.5.1 环境管理
    9.5.2 资产管理
    9.5.3 介质管理
    9.5.4 设备管理
    9.5.5 监控管理和安全管理中心
    9.5.6 网络安全管理
    9.5.7 系统安全管理
    9.5.8 恶意代码防范管理
    9.5.9 密码管理
    9.5.10 变更管理
    9.5.11 备份与恢复管理
    9.5.12 安全事件处置
    9.5.13 应急预案管理
    信息系统信息安全集成等级保护建设 方案&安全规划 © 2022 目录
    一. 概述........................................................................................................................................................2 1.1 项目背景 ............................................................................................................................................2 1.2 建设目标 ............................................................................................................................................3 1.3 建设内容 ............................................................................................................................................3 1.4 建设必要性........................................................................................................................................4 二. 安全建设思路 ........................................................................................................................................5 2.1 等级保护建设流程 ............................................................................................................................5 2.2 参考标准 ............................................................................................................................................6 三. 安全现状分析 ........................................................................................................................................7 3.1 网络架构分析....................................................................................................................................7 3.2 系统定级情况....................................................................................................................................7 四. 安全需求分析 ........................................................................................................................................8 4.1 等级保护技术要求分析 ....................................................................................................................8 4.1.1 物理层安全需求 ........................................................................................................................ 8 4.1.2 网络层安全需求 ........................................................................................................................ 9 4.1.3 系统层安全需求 ...................................................................................................................... 10 4.1.4 应用层安全需求 ...................................................................................................................... 10 4.1.5 数据层安全需求 ...................................................................................................................... 11 4.2 等级保护管理要求分析 ..................................................................................................................11 4.2.1 安全管理制度.......................................................................................................................... 11 4.2.2 安全管理机构.......................................................................................................................... 12 4.2.3 人员安全管理.......................................................................................................................... 12 4.2.4 系统建设管理.......................................................................................................................... 13 4.2.5 系统运维管理.......................................................................................................................... 13 五. 总体设计思路 ......................................................................................................................................14 5.1 设计目标 ..........................................................................................................................................14 5.2 设计原则 ..........................................................................................................................................15 5.2.1 合规性原则 .............................................................................................................................. 15 5.2.2 先进性原则 .............................................................................................................................. 15 5.2.3 可靠性原则 .............................................................................................................................. 15 5.2.4 可扩展性原则.......................................................................................................................... 15 5.2.5 开放兼容性原则 ...................................................................................................................... 16 5.2.6 最小授权原则.......................................................................................................................... 16 5.2.7 经济性原则 .............................................................................................................................. 16 六. 整改建议 ..............................................................................................................................................16 6.1 物理安全 ..........................................................................................................................................16 6.2 网络安全 ..........................................................................................................................................17 6.3 主机安全 ..........................................................................................................................................19 - II -
    6.3.1 业务系统主机.......................................................................................................................... 19 6.3.2 数据库主机 .............................................................................................................................. 21 6.4 应用安全 ..........................................................................................................................................22 6.4.1 HIS 系统(三级) ..................................................................................................................... 22 6.4.2 LIS 系统(三级)......................................................................................................................24 6.4.3 PACS 系统(三级).................................................................................................................. 26 6.4.4 EMR 系统(三级)...................................................................................................................27 6.4.5 集中平台(三级) .................................................................................................................. 29 6.4.6 门户网站系统(二级) .......................................................................................................... 31 6.5 数据安全与备份恢复......................................................................................................................32 6.6 安全管理制度..................................................................................................................................33 6.7 安全管理机构..................................................................................................................................33 6.8 人员安全管理..................................................................................................................................34 6.9 系统建设管理..................................................................................................................................34 6.10 系统运维管理................................................................................................................................35 七. 总体设计网络拓扑 ..............................................................................................................................38 7.1 设计拓扑图......................................................................................................................................38 7.2 推荐安全产品目录 ..........................................................................................................................39 八. 技术体系建设方案 ..............................................................................................................................41 8.1 外网安全建设..................................................................................................................................41 8.1.1 抗 DDos 攻击:ADS 抗 DDos 系统..........................................................................................41 8.1.2 边界访问控制:下一代防火墙 NF.........................................................................................42 8.1.3 网络入侵防范:网络入侵防御系统 NIPS..............................................................................46 8.1.4 上网行为管理:SAS................................................................................................................ 48 8.1.5 APT 攻击防护:威胁分析系统 TAC .........................................................................................49 8.1.6 Web 应用防护:web 应用防火墙 ...........................................................................................54 8.2 内外网隔离建设 ..............................................................................................................................58 8.2.1 解决方案 .................................................................................................................................. 58 8.3 内网安全建设..................................................................................................................................61 8.3.1 边界防御:下一代防火墙 NF.................................................................................................61 8.3.2 入侵防御 .................................................................................................................................. 62 8.3.3 防病毒网关 .............................................................................................................................. 63 8.3.4 APT 攻击防护............................................................................................................................ 66 8.4 运维管理建设..................................................................................................................................67 8.4.1 运维安全审计:堡垒机 .......................................................................................................... 67 8.4.2 流量审计:网络安全审计-SAS............................................................................................... 69 8.4.3 漏洞扫描:安全评估系统 RSAS ............................................................................................. 74 8.4.4 基线核查:配置核查系统 BVS ............................................................................................... 76 8.4.5 威胁态势感知.......................................................................................................................... 79 8.4.6 终端安全 .................................................................................................................................. 82 8.4.7 数据库审计及统方监管 .......................................................................................................... 85 - III -
    8.4.8 终端准入 .................................................................................................................................. 88 8.4.9 日志审计建设.......................................................................................................................... 96 8.5 安全服务 ..........................................................................................................................................99 8.5.1 安全漏洞扫描服务 .................................................................................................................. 99 8.5.2 安全加固服务........................................................................................................................ 104 8.5.3 渗透测试服务........................................................................................................................ 112 8.5.4 应急演练服务........................................................................................................................ 116 8.5.5 重要时期安全保障服务 ........................................................................................................ 123 8.5.6 安全巡检服务........................................................................................................................ 132 8.5.7 网络架构分析服务 ................................................................................................................ 135 8.5.8 日志分析服务........................................................................................................................ 142 8.5.9 应急响应服务........................................................................................................................ 144 8.5.10 恶意代码排查服务 .............................................................................................................. 149 九. 管理体系建设方案 ............................................................................................................................151 9.1 安全制度建设................................................................................................................................151 9.1.1 总体方针、策略 .................................................................................................................... 152 9.1.2 制定和发布 ............................................................................................................................ 154 9.1.3 评审和修订 ............................................................................................................................ 154 9.2 安全管理机构................................................................................................................................155 9.2.1 岗位设置 ................................................................................................................................ 155 9.2.2 人员配备 ................................................................................................................................ 156 9.2.3 授权和审批 ............................................................................................................................ 156 9.2.4 沟通和合作 ............................................................................................................................ 156 9.2.5 审核和检查 ............................................................................................................................ 157 9.3 人员安全管理................................................................................................................................157 9.4 系统建设管理................................................................................................................................158 9.5 系统运维管理................................................................................................................................158 9.5.1 环境管理 ................................................................................................................................ 158 9.5.2 资产管理 ................................................................................................................................ 158 9.5.3 介质管理 ................................................................................................................................ 159 9.5.4 设备管理 ................................................................................................................................ 159 9.5.5 监控管理和安全管理中心 .................................................................................................... 160 9.5.6 网络安全管理........................................................................................................................ 160 9.5.7 系统安全管理........................................................................................................................ 160 9.5.8 恶意代码防范管理 ................................................................................................................ 161 9.5.9 密码管理 ................................................................................................................................ 161 9.5.10 变更管理 .............................................................................................................................. 161 9.5.11 备份与恢复管理 .................................................................................................................. 161 9.5.12 安全事件处置...................................................................................................................... 162 9.5.13 应急预案管理...................................................................................................................... 162 - IV -
    一. 概述 1.1 项目背景 随着医院信息化建设的逐步深入,网上业务由单一到多元化,各类应用系统数十个,信 息系统承受的压力日益增长,医院信息系统已经成为医院正常运行不可或缺的支撑环境和工 作平台,因此按照信息系统等级保护的基本要求,通过建立合理可靠的技术平台,细致的日 常管理与及时的故障处理应急预案,将信息系统等级保护措施落实到实处,确保信息系统不 间断运行,只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。 从医院角度依据信息安全等级保护的要求,通过对医院核心信息系统的建设。充分发挥 网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台,加强安全防护对策。 强调了保障网络和信息系统安全,让安全稳定的网络支撑医院走上可持续发展之路。核心业 务是医院信息化建设的基础,是医院信息系统运行的平台,对医院运行效率和管理水平都有 重要作用,因此创造良好信息系统安全运营环境是医院信息安全的最终目。 医疗信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对 于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全 具有重要意义。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业医疗机构 信息安全等级保护工作,卫生部办公厅印发了关于三级甲等医院信息安全等级保护建设的相 关通知,具体如: 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 建设和整改要求: 1.对三级甲等医院已确定安全保护等级的第三级信息系统,应当按照国家信息安全等级保 护工作规范和《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级 保护三级测评技术要求项》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信 息安全等级保护标准之间的差距,确定安全需求。 © 2022 - 2 -
    2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本 要求》、《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护 三级测评技术要求项》等国家标准,制订信息系统安全等级保护建设整改方案。三级卫生信 息系统安全建设整改方案应当经信息安全技术专家委员会论证,完善安全保护设施,建立安 全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保 障医院信息系统安全。 1.2 建设目标 依据国家相关政策要求,依据***医院信息系统的实际需要,基于现代信息系统安全保障 理论,采用现代信息安全保护技术,按照一定规则和体系化的信息安全防护策略进行的整体 设计。建设目标覆盖以下内容  完善基础安全防护整体架构,开展并完成信息系统等保工作,使之基本达到(符合) 行业等级保护基本要求。  加强信息安全管理工作,制订科学合理的信息安全工作方针、政策,进一步完善信 息安全管理制度体系,实现管理制度的标准化、规范化和流程化。  建立科学、完备的信息安全运维管理体系,实现信息安全事件的全程全周期管理, 切实保障信息系统安全、稳定运行。 1.3 建设内容 依据国家相关政策要求,对***医院的信息系统进行安全建设,覆盖信息安全的管理体系、 技术体系和运维体系三个方面,建设内容覆盖以下各个层面  物理层面  网络层面  主机层面  应用层面  数据层面  管理层面 © 2022 - 3 -
    1.4 建设必要性 通过近几年的信息化建设,***医院已建成基本稳定的信息系统软、硬件平台,在信息安 全方面也进行了基础性的部分建设,使系统有了一定的防护能力。但由于病毒攻击、恶意攻 击泛滥,应用软件漏洞层出不穷,***医院的信息安全方面仍面临较大的挑战。另一方面,*** 医院安全措施比较薄弱,安全防护意识有待加强,安全制度还有待完善。随着信息技术的飞 速发展,如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上,需要部署 完善的、基于保护操作系统、数据、网络和应用的安全防护体系。 从等级保护安全要求来看,安全建设的必要性主要体现在两个方面:  安全管理现状与等级保护要求的差距 ***医院自身信息系统建设及运维基础上,建立了一套满足并能够促进网络运维的安全管 理体系,但同等级保护的安全管理要求相比较,现有管理制度不论在涉及方面的健全性,还 是具体内容的完善性,都存在差距。主要包括:建立信息安全总体策略、完善各个方面的信 息安全管理制度、以及落实各类制度需要的表单。  安全技术现状与等级保护要求的差距 整体设计方面的问题,即某些差距项的不满足是由于该系统在整体的安全策略设计上存 在问题。同事缺乏相应产品实现安全控制,未能通过对产品的正确选择、部署和恰当配置满 足相应要求。另外,由于使用者技术能力、安全意识的原因,或出于对系统运行性能影响的 考虑等原因,产品没有得到正确的配置,从而使其相关安全功能没有得到发挥。 © 2022 - 4 -
    二. 安全建设思路 2.1 等级保护建设流程 等级保护的设计与实施通过以下步骤进行: 1. 系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统 的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功 能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全 要求选择以及安全措施选择提供依据。 2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划 分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全 保障体系框架设计提供基础框架。 3. 安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包 括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障 体系框架。 4. 确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。通过 安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指 标。 5. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方 法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明 确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建 设提供依据。 6. 安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结 果,设计系统安全技术解决方案。 7. 安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行 © 2022 - 5 -
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料