等保整改方案

精選優(yōu)質(zhì)文檔 精選優(yōu)質(zhì)文檔 傾情為你奉上等保整改方案篇一：等保整改與安全建設(shè)方案等級保護(hù)整改與安全建設(shè)方案前言等級保護(hù)保護(hù)整改與安全建設(shè)工作重要性依據(jù)公通字[20xx]43運(yùn)營、使用單位首先要依據(jù)相關(guān)的治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，進(jìn)展信息系統(tǒng)安全建設(shè)或者改建工作。等級保護(hù)整改的核心是依據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的根底上，進(jìn)展重點(diǎn)保護(hù)。整改工作要遵循國家等級保護(hù)相關(guān)要求，將等級保護(hù)要求表到達(dá)方案、產(chǎn)品和安全效勞中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系，將等級保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。等級保護(hù)整改與安全建設(shè)過程等級保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對客戶已定級備案的信息系統(tǒng)、或打算依據(jù)等保要求進(jìn)展安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際狀況，通過一套標(biāo)準(zhǔn)的等保整改正程，幫助客戶進(jìn)展風(fēng)險(xiǎn)評估和等級保護(hù)差距分析，制定完整的安全整改建議方案，并依據(jù)需要幫助客戶對落實(shí)整改實(shí)施方案或進(jìn)展方案的評審、招投標(biāo)、整改監(jiān)理等工作，幫助客戶完成信息系統(tǒng)等級保護(hù)整改和安全建設(shè)工作。等保整改與建設(shè)過程主要包括：等級保護(hù)差距分析、等級保護(hù)整改建議方案、等級保護(hù)整改實(shí)施三個(gè)階段。(一)等級保護(hù)差距分析等級保護(hù)風(fēng)險(xiǎn)評估評估目的對信息系統(tǒng)進(jìn)展安全等級評估是國家推行等級保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對信息系統(tǒng)進(jìn)展安全建設(shè)和治理的重要組成局部。等級評估不同于依據(jù)等級保護(hù)要求進(jìn)展的等保差距分析。風(fēng)險(xiǎn)評估的目標(biāo)是深入、具體地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況，而差距分析則是依據(jù)等保的全部要求進(jìn)展符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度?？梢哉f，風(fēng)險(xiǎn)評估的結(jié)果更能表達(dá)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。風(fēng)險(xiǎn)評估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。通過專業(yè)的等級評估效勞，幫助用戶完成以下的目標(biāo)：了解信息系統(tǒng)的治理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確定可能對資產(chǎn)造成危害的威逼；確定威逼實(shí)施的可能性；對可能受到威逼影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)峻性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；對最重要的、最敏感的資產(chǎn)，確定一旦威逼發(fā)生其潛在的損明晰信息系統(tǒng)的安全治理需求。評估內(nèi)容資產(chǎn)識別與賦值主機(jī)安全性評估數(shù)據(jù)庫安全性評估安全設(shè)備評估現(xiàn)場風(fēng)險(xiǎn)評估用到的主要評估方法包括：漏洞掃描掌握臺審計(jì)技術(shù)訪談評估分析依據(jù)現(xiàn)場收集的信息及對這些信息的分析，評估小組形成定級信息系統(tǒng)的弱點(diǎn)評估報(bào)告、風(fēng)險(xiǎn)評估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的風(fēng)險(xiǎn)，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。等保差距分析通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級要求之間的差距，確定不符合安全項(xiàng)。預(yù)備差距分析表工程組通過預(yù)備好的差距分析表，與客戶確認(rèn)現(xiàn)場溝通的對象〔部門和人員，預(yù)備相應(yīng)的檢查內(nèi)容。在整理差距分析表時(shí)，整改工程組會依據(jù)信息系統(tǒng)的安全等級從根本要求中選擇相應(yīng)等級的根本安全要求，依據(jù)及風(fēng)險(xiǎn)評估的結(jié)果進(jìn)展調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。差距分析表包含以下內(nèi)容：安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)；安全治理差距分析：包括安全治理制度、安全治理機(jī)構(gòu)、人員安全治理、系統(tǒng)建設(shè)治理；系統(tǒng)運(yùn)維差距分析：包括環(huán)境治理、資產(chǎn)治理、介質(zhì)治理、監(jiān)控治理和安全治理中心、網(wǎng)絡(luò)安全治理、系統(tǒng)安全治理、惡意代碼防范治理、密碼治理、變更治理、備份與恢復(fù)治理、安全大事處置；物理安全差距分析：包括物理位置的選擇、物理訪問掌握、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度掌握、電力供給、電磁防護(hù)。不同安全保護(hù)級別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同?，F(xiàn)場差距分析整改工程組依據(jù)差距分析表中的各項(xiàng)安全要求，比照信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確定不符合項(xiàng)。現(xiàn)場工作階段，整改工程組可分為治理檢查組和技術(shù)檢查組兩個(gè)小組。在差距分析階段，可以通過以下方式收集信息，具體了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級的安全要求，需要進(jìn)展哪些方面的整改。查驗(yàn)文檔資料人員訪談現(xiàn)場測試生成差距分析報(bào)告完成現(xiàn)場差距分析之后，整改工程組歸納整理、分析現(xiàn)場記錄，找出目前信息系統(tǒng)與等級保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成《等級保護(hù)差距分析報(bào)告(二)等級保護(hù)整改建議方案整改目標(biāo)溝通確認(rèn)通過與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全治理部門進(jìn)展廣泛的溝通協(xié)商，會依據(jù)風(fēng)險(xiǎn)評估和差距分析的結(jié)果，明確等級保護(hù)整改工作的工作目標(biāo)，提出等級保護(hù)整改建議方案。對臨時(shí)難以進(jìn)展整改的局部內(nèi)容，將在爭論后作為遺留問題，明確列在整改建議方案中?？傮w框架依據(jù)等保安全要求，提出如下的安全整改建議，其中PMOT是信息安全保障總體框架模型。圖信息安全PMOT依據(jù)建議方案的設(shè)計(jì)原則，幫助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級保護(hù)根本要求和安全保護(hù)特別要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全治理體系及安全運(yùn)維體系，具體內(nèi)容包括：建立和完善安全策略：最高層次的安全策略文件，說明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防范、安全通信網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測響應(yīng)體系、冗余與備份以及安全治理中心。建立和完善安全治理體系：建立安全治理制度，建立信息安全組織，標(biāo)準(zhǔn)人員治理和系統(tǒng)建議治理。安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全治理、監(jiān)控和安全治理等。開放后的等級保護(hù)整改與安全建設(shè)總體框架如以下圖所示，從信息安全整體策略Policy、安全治理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation要求。4等級保護(hù)整改與安全建設(shè)總體框架方案說明信息安全策略信息安全策略是最高治理層對信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT方針，明確了信息安全工作總體目標(biāo)，對技術(shù)和治理各方面的安全工作具有通用指導(dǎo)性。安全技術(shù)體系依據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體標(biāo)準(zhǔn)，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品選購和安篇二：等保整改一站式解決方案等保三級整改一站式方案一、典型等級保護(hù)用戶整改參考圖〔建設(shè)目標(biāo)〕二、五步走安全域劃分做等級保護(hù)的整改，第一步肯定是要明確安全域。下面是經(jīng)典安全域劃分方案：業(yè)務(wù)效勞器域：客戶的業(yè)務(wù)效勞器和存儲的安全區(qū)域用戶終端域：用戶終端，一些完全不重要的效勞器安全治理域：安全治理中心，包括網(wǎng)管系統(tǒng)效勞器啊，終端安全治理的效勞器等用來做網(wǎng)絡(luò)和安全運(yùn)維治理的這些設(shè)備互聯(lián)網(wǎng)出口域：互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)和安全設(shè)備互聯(lián)網(wǎng)出口在互聯(lián)網(wǎng)出口部署防火墻、入侵防范、病毒過濾、上網(wǎng)行為治理、鏈路負(fù)載；安全域互訪隔離1全部的安全域之間必需通過防火墻才能互聯(lián)互通；Webwebweb安全治理中心在安全治理中心要有這些東西：漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、終端安全治理系統(tǒng)、網(wǎng)管系統(tǒng)、應(yīng)用性能治理系統(tǒng)、SSLVPN、防病毒系統(tǒng)、運(yùn)維堡壘主機(jī)；以上五個(gè)步驟完成，設(shè)備整改完成。三、涉及產(chǎn)品列表，紅色為我司可供給的產(chǎn)品2四、疑難問題解答是不是上面這些設(shè)備都部署，才能通過三級等保？答復(fù)：不是。上面是比較抱負(fù)的狀況，實(shí)際狀況依據(jù)客戶預(yù)算70-80%的設(shè)備即可。安全域隔離防火墻，很多客戶利用交換機(jī)的ACL心也認(rèn)可。答復(fù)：對。等保要求進(jìn)展訪問掌握，沒要求必需用防火墻，交換機(jī)ACL備，其專業(yè)性智能型運(yùn)維簡潔程度都遠(yuǎn)遠(yuǎn)強(qiáng)于交換機(jī)ACL，而且交換機(jī)ACL全設(shè)備。是不是做了這些就可以通過等保測評了？答復(fù)：設(shè)備層面足夠了。還需要做一些安全加固和治理制度文檔整理。安全加固指的是把效勞器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)的一些安全策略調(diào)整到符合等保的規(guī)定，比方你效勞器密碼666，現(xiàn)在開啟效勞器的密碼強(qiáng)度要求這個(gè)策略，就是安全加固。文檔整理主要是安全治理制度，以及測評申請書。了解到客戶狀況后，怎么給客戶做整改方案？答復(fù)：上面整改五步走，每一步都說明白需要什么，缺少的設(shè)備就是需要整改的。安全加固和安全制度是確定需要整改的。3文檔編號：等級保護(hù)整改方案-03工程代號：北京信息安全技術(shù)20xx9僅供××股份信息安全專項(xiàng)詢問工程內(nèi)部使用第1頁共32頁保密申明這份文件包含了來自××星辰的牢靠、權(quán)威的信息，這些信息是作為××股份正在實(shí)施的信息安全專項(xiàng)詢問工程實(shí)施專用，承受這份打算書表示同意對其內(nèi)容保密并且未經(jīng)××公司書面懇求和書面認(rèn)可，不得復(fù)制，泄露或散布這份文件。假設(shè)你不是有意承受者，請留意對這份工程實(shí)施打算書內(nèi)容的任何形式的泄露、復(fù)制或散布都是被制止的。僅供××股份信息安全專項(xiàng)詢問工程內(nèi)部使用232頁文檔信息表僅供××股份信息安全專項(xiàng)詢問工程內(nèi)部使用第3頁共32頁目錄明...........................................................................................................................................2表.......................................................................................................................................31概述...........................................................................................................................................61.11.21.32概述.........................................................................................................................................6o.................................................................................................................................6者.................................................................................................................................6系統(tǒng)識別定級............................................................................................................................72.12.22.3業(yè)務(wù)信息受到破壞時(shí)所侵害客體確實(shí)定..............................................................................7信息受到破壞后對侵害客體的侵害程度..............................................................................7級.................................................................................................................................8現(xiàn)狀概述...................................................................................................................................93.13.23.3ERP統(tǒng)..................................................................................................................................9統(tǒng)...............................................................................................................................11OA統(tǒng).................................................................................................................................12安全管理.................................................................................................................................134.1安全治理制度.......................................................................................................................144.1.1足...................................................................................................................14治理制度.........................................................................................................................................14整改方案.......................................................................................................................144.2構(gòu).......................................................................................................................154.2.1足...................................................................................................................154.2.2案.......................................................................................................................154.3理.......................................................................................................................164.3.1足...................................................................................................................164.3.2案.......................................................................................................................174.4理.......................................................................................................................174.4.1足...................................................................................................................174.4.2案.......................................................................................................................184.5理.......................................................................................................................194.5.1足...................................................................................................................194.5.2案.......................................................................................................................215安全技術(shù).................................................................................................................................235.1物理安全...............................................................................................................................234.1.2現(xiàn)狀的不足...................................................................................................................235.1.2案.......................................................................................................................235.2全...............................................................................................................................235.2.1足...................................................................................................................23僅供××股份信息安全專項(xiàng)詢問工程內(nèi)部使用第4頁共32頁5.1.1整改方案.......................................................................................................................245.3全...............................................................................................................................255.3.1足...................................................................................................................255.3.2案.......................................................................................................................265.4全...............................................................................................................................275.4.1足...................................................................................................................275.4.2案.......................................................................................................................275.5復(fù)..................................................................................