信息安全等級保護安全建設方案制定與實施

目錄信息系統(tǒng)安全管理建設信息系統(tǒng)安全技術建設開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全保護現(xiàn)狀分析信息系統(tǒng)安全建設整改工作規(guī)劃和工作部署確定安全策略，制定安全建設整改方案物理安全網絡安全主機安全應用安全數(shù)據(jù)安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理信息安全等級保護建設整改以安全保發(fā)展發(fā)展中求安全

工具掃描人工分析滲透測試調研訪談調查現(xiàn)狀，分析風險和差距電力供應電磁防護互聯(lián)網區(qū)應用存儲區(qū)辦公網區(qū)辦公終端應用存儲服務器互聯(lián)網服務器安全審計身份鑒別訪問控制結構安全訪問控制身份鑒別安全審計訪問控制入侵防范存儲數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)備份和恢復完整性保密性調查現(xiàn)狀，分析風險和差距應用層主機層網絡層物理層數(shù)據(jù)層計算環(huán)境區(qū)域邊界網絡通信安全管理調查現(xiàn)狀，分析風險和差距確定框架，制定整改方案依據(jù)《信息系統(tǒng)安全等級保護基本要求》參照《信息系統(tǒng)等級保護安全設計技術要求》引入“安全域”的概念，強化訪問控制安全技術控制策略安全管理控制策略總體方案-要點關鍵點：安全技術+安全管理實施統(tǒng)一的訪問控制策略實施統(tǒng)一的安全控制策略關鍵點：劃分安全域分析訪問，合理設計安全策略梳理各個應用系統(tǒng)連接及訪問用戶業(yè)務安全分析-用戶、操作和數(shù)據(jù)業(yè)務風險控制業(yè)務應用主機組件應用平臺網絡業(yè)務安全需求安全功能實現(xiàn)數(shù)據(jù)庫

功能組件支撐安全功能實現(xiàn)安全軟件環(huán)境安全邊界安全傳輸通道程序安全組件安全主機安全網絡安全“業(yè)務+系統(tǒng)”安全=整體安全策略結合實際，部署實施安全措施技術策略技術框架3G安全IPSec……日志采集審計分析令牌技術認證協(xié)議強制訪問控制ACL網絡流量控制數(shù)據(jù)防泄漏匿名技術數(shù)據(jù)系統(tǒng)網絡補丁管理威脅檢測對稱密碼技術非對稱密碼技術實現(xiàn)實現(xiàn)實現(xiàn)選擇和目標一致的安全產品三級：73個控制點290控制項參考安全產品對照（參考）參考安全產品對照（參考）業(yè)務用戶登錄界面/帳號/驗證數(shù)據(jù)庫帳號/驗證組件調用協(xié)議/帳號/驗證系統(tǒng)運行服務帳號/驗證網絡訪問控制落實控制策略-縱深防御管理員登錄界面/帳號/驗證“一個中心、三重防護”為指導思想進行整體設計強化信息維護和系統(tǒng)維護人員系統(tǒng)的訪問控制策略設計強化安全域之間的邊界訪問控制策略逐步實現(xiàn)基于安全策略模型和標記的強制訪問控制以及增強的系統(tǒng)審計機制強化訪問控制策略信息安全領導小組信息安全主管（部門）安全管理員安全審計員系統(tǒng)管理員網絡管理員數(shù)據(jù)庫管理員決策、監(jiān)督應用系統(tǒng)管理員管理執(zhí)行落實信息安全責任制建立安全組織（舉例）方針策略信息安全工作的綱領性文件。

制度辦法在安全策略的指導下，制定的各項安全管理和技術制度、辦法和準則，用來規(guī)范各部門處室安全管理工作。流程細則細化的實施細則、管理技術標準等內容，用來支撐第二層對應的制度與管理辦法的有效實施。記錄表單記錄活動實行以符合等級1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結果或提供完成活動的證據(jù)運行記錄方針策略實施細則與流程制度與管理辦法編寫安全管理制度目錄整改方案的技術路線信息安全體系框架信息安全管理體系信息安全技術體系信息安全運行體系人員安全制度標準弱點加固備份恢復決策-管理-執(zhí)行-監(jiān)督資源管理狀態(tài)檢測防惡技術物理技術意識-技能-職稱-培訓-考核方針策略-制度規(guī)范-流程表單監(jiān)控監(jiān)測內容安全日常運行管理配置管理變更管理問題管理事件管理風險管理監(jiān)督檢查介質管理環(huán)境管理應急響應運行監(jiān)控審計安全管理中心物理網絡主機應用數(shù)據(jù)系統(tǒng)建設安全計算環(huán)境安全區(qū)域邊界安全網絡通信安全保護對象定級備案設計開發(fā)實施測試驗收交付服務商信息安全體系安全目標、總體安全策略弱點加固狀態(tài)檢測防惡技術監(jiān)控監(jiān)測內容安全測評檢查系統(tǒng)管理安全管理審計管理《關于開展信息安全等級保護安全建設整改工作的指導意見》公信安[2009]1429號……力爭在2012年底前完成已定級信息系統(tǒng)安全建設整改工作。……《公安機關信息安全等級保護檢查工作規(guī)范》公信安[2008]736號……第三條信息安全等級保護檢查工作由市（地）級以上公安機關公共信息網絡安全監(jiān)察部門負責實施?！谑龡l檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求，具有下列情形之一的，應當通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》（以下簡稱《整改通知》，見附件3）。逾期不改正的，給予警告，并向其上級主管部門通報（通報書見附件4）：……《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》公信安[2010]303號……督促備案單位開展信息系統(tǒng)等級測評工作，確保安全建設整改工作的順利開展。督促信息系統(tǒng)備案單位盡快委托測評機構開展等級測評，2010年底前完成測評體系建設，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設整改工作?！蛾P于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號）該文件要求非涉密國家電子政務項目開展等級測評和信息安全風險評估要按照《信息安全等級保護管理辦法》進行，明確了項目驗收條件：公安機關頒發(fā)