等级保护(三级)方案模板
××项目
等级保护方案
北京极地信息技术有限公司
2022 年 6 月
1
等级保护(三级)方案模板
目 录
1
2
3
4
5
6
工程项目背景........................................................................................................... 6
系统分析................................................................................................................... 7
2.1 网络结构分析 ............................................................................................................. 7
2.2 业务系统分析 ............................................................................................................. 7
等级保护建设流程....................................................................................................8
方案参照标准..........................................................................................................10
安全区域框架..........................................................................................................11
安全等级划分..........................................................................................................13
6.1.1 定级流程..........................................................................................................13
6.1.2 定级结果..........................................................................................................15
7
安全风险与需求分析..............................................................................................16
7.1 安全技术需求分析 ................................................................................................... 16
7.1.1 物理安全风险与需求分析..............................................................................16
7.1.2 计算环境安全风险与需求分析......................................................................17
7.1.3 区域边界安全风险与需求分析......................................................................19
7.1.4 通信网络安全风险与需求分析......................................................................20
7.2 安全管理需求分析 ................................................................................................... 22
8
技术体系方案设计..................................................................................................23
8.1 方案设计目标 ........................................................................................................... 23
8.2 方案设计框架 ........................................................................................................... 23
8.3 安全技术体系设计 ................................................................................................... 25
8.3.1 物理安全设计..................................................................................................25
2
等级保护(三级)方案模板
8.3.2 计算环境安全设计..........................................................................................27
8.3.2.1 身份鉴别 ..................................................................................................... 27
8.3.2.2 访问控制 ..................................................................................................... 28
8.3.2.3 系统安全审计 ............................................................................................. 29
8.3.2.4 入侵防范 ..................................................................................................... 30
8.3.2.5 主机恶意代码防范 ..................................................................................... 31
8.3.2.6 软件容错 ..................................................................................................... 31
8.3.2.7 数据完整性与保密性................................................................................. 32
8.3.2.8 备份与恢复................................................................................................. 34
8.3.2.9 资源控制 ..................................................................................................... 34
8.3.2.10 客体安全重用 ............................................................................................. 35
8.3.2.11 抗抵赖......................................................................................................... 36
8.3.3 区域边界安全设计..........................................................................................36
8.3.3.1 边界访问控制 ............................................................................................. 36
8.3.3.2 边界完整性检查......................................................................................... 38
8.3.3.3 边界入侵防范 ............................................................................................. 38
8.3.3.4 边界安全审计 ............................................................................................. 39
8.3.3.5 边界恶意代码防范 ..................................................................................... 40
8.3.4 通信网络安全设计..........................................................................................41
8.3.4.1 网络结构安全 ............................................................................................. 41
8.3.4.2 网络安全审计 ............................................................................................. 41
8.3.4.3 网络设备防护 ............................................................................................. 42
8.3.4.4 通信完整性................................................................................................. 42
8.3.4.5 通信保密性................................................................................................. 43
8.3.4.6 网络可信接入 ............................................................................................. 43
8.3.5 安全管理中心设计..........................................................................................44
8.3.5.1 系统管理 ..................................................................................................... 45
3
等级保护(三级)方案模板
8.3.5.2 审计管理 ..................................................................................................... 46
8.3.5.3 安全管理 ..................................................................................................... 47
8.3.6 不同等级系统互联互通..................................................................................48
9
安全管理体系设计..................................................................................................48
10 安全运维服务设计..................................................................................................50
10.1 安全扫描 ...............................................................................................................50
10.2 人工检查 ...............................................................................................................51
10.3 安全加固 ...............................................................................................................51
10.3.1 流程.................................................................................................................. 52
10.3.2 内容.................................................................................................................. 53
10.3.3 风险规避..........................................................................................................54
10.4 日志分析 ...............................................................................................................56
10.4.1 流程.................................................................................................................. 56
10.4.2 内容.................................................................................................................. 57
10.5 补丁管理 ...............................................................................................................57
10.5.1 流程.................................................................................................................. 58
10.5.2 内容.................................................................................................................. 58
10.6 安全监控 ...............................................................................................................59
10.6.1 流程.................................................................................................................. 59
10.6.2 内容.................................................................................................................. 60
10.7 安全通告 ...............................................................................................................60
10.8 应急响应 ...............................................................................................................61
10.8.1 入侵调查..........................................................................................................62
10.8.2 主机、网络异常响应......................................................................................62
10.8.3 其他紧急事件..................................................................................................62
10.8.4 响应流程..........................................................................................................63
4
等级保护(三级)方案模板
10.9 安全运维服务的客户价值.................................................................................. 64
11 整体配置方案..........................................................................................................64
12 方案合规性分析......................................................................................................64
12.1 技术部分 ...............................................................................................................64
12.2 管理部分 ...............................................................................................................83
13 附录:.....................................................................................................................98
13.1 等级划分标准 .......................................................................................................98
13.2 技术要求组合确定 ............................................................................................ 100
13.3 安全域划分方法................................................................................................ 101
5
等级保护(三级)方案模板
1 工程项目背景
项目背景情况介绍
6
等级保护(三级)方案模板
2 系统分析
2.1 网络结构分析
包括网络结构、软硬件设施等。
2.2 业务系统分析
对业务系统进行分析。
7
等级保护(三级)方案模板
3 等级保护建设流程
极地安全提出的“按需防御的等级化安全体系”是依据国家信息安全等级保
护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全
体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级
化安全防御体系。
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据
安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保
护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界
等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度
安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系
统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数
据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》
则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维
管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为
“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用
技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤
进行:
1. 系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类
别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤
充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等
级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及
安全措施选择提供依据。
8