三級等保安全建設(shè)方案

目錄三級等保安全設(shè)計思路 21、

保護(hù)對象框架 22、

整體保障框架 23

、安全方法框架 34、

安全區(qū)域劃分 45、

安全方法選擇 56、需求分析 66.1、

系統(tǒng)現(xiàn)狀 66.2、

現(xiàn)有方法 66.3

具體需求 66.3.1

等級保護(hù)技術(shù)需求 66.3.2

等級保護(hù)管理需求 77、安全方略 77.1

總體安全方略 77.2

具體安全方略 88、

安全解決方案 88.1

安全技術(shù)體系 88.1.1

安全防護(hù)系統(tǒng) 88.2

安全管理體系 89、安全服務(wù) 89.1

風(fēng)險評定服務(wù) 99.2

管理監(jiān)控服務(wù) 99.3

管理咨詢服務(wù) 99.4

安全培訓(xùn)服務(wù) 99.5

安全集成服務(wù) 910、

方案總結(jié) 1011、產(chǎn)品選型 11三級等保安全設(shè)計思路1、

保護(hù)對象框架

保護(hù)對象是對信息系統(tǒng)從安全角度抽象后的描述辦法，是信息系統(tǒng)內(nèi)含有相似安全保護(hù)需求的一組信息資產(chǎn)的組合。

根據(jù)信息系統(tǒng)的功效特性、安全價值以及面臨威脅的相似性，信息系統(tǒng)保護(hù)對象可分為計算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全方法四類。具體內(nèi)容略。

建立了各層的保護(hù)對象之后，應(yīng)按照保護(hù)對象所屬信息系統(tǒng)或子系統(tǒng)的安全等級，對每一種保護(hù)對象明確保護(hù)規(guī)定、布署合用的保護(hù)方法。

保護(hù)對象框架的示意圖以下：

圖1.

保護(hù)對象框架的示意圖2、

整體保障框架就安全保障技術(shù)而言，在體系框架層次進(jìn)行有效的組織，理清保護(hù)范疇、保護(hù)等級和安全方法的關(guān)系，建立合理的整體框架構(gòu)造，是對制訂具體等級保護(hù)方案的重要指導(dǎo)。

根據(jù)中辦發(fā)[]27號文獻(xiàn)，“堅持主動防御、綜合防備的方針，全方面提高提高信息安全防護(hù)能力”是國家信息保障工作的總體規(guī)定之一。“主動防御、綜合防備”是指導(dǎo)等級保護(hù)整體保障的戰(zhàn)略方針。信息安全保障涉及技術(shù)和管理兩個互相緊密關(guān)聯(lián)的要素。信息安全不僅僅取決于信息安全技術(shù)，技術(shù)只是一種基礎(chǔ)，安全管理是使安全技術(shù)有效發(fā)揮作用，從而達(dá)成安全保障目的的重要確保。安全保障不是單個環(huán)節(jié)、單一層面上問題的解決，必須是全方位地、多層次地從技術(shù)、管理等方面進(jìn)行全方面的安全設(shè)計和建設(shè)，主動防御、綜合防備”戰(zhàn)略規(guī)定信息系統(tǒng)整體保障綜合采用覆蓋安全保障各個環(huán)節(jié)的防護(hù)、檢測、響應(yīng)和恢復(fù)等多個安全方法和手段，對系統(tǒng)進(jìn)行動態(tài)的、綜合的保護(hù)，在攻擊者成功地破壞了某個保護(hù)方法的狀況下，其它保護(hù)方法仍然能夠有效地對系統(tǒng)進(jìn)行保護(hù)，以抵抗不停出現(xiàn)的安全威脅與風(fēng)險，確保系統(tǒng)長久穩(wěn)定可靠的運(yùn)行。整體保障框架的建設(shè)應(yīng)在國家和地方、行業(yè)有關(guān)的安全政策、法規(guī)、原則、規(guī)定的指導(dǎo)下，制訂可具體操作的安全方略，并在充足運(yùn)用信息安全基礎(chǔ)設(shè)施的基礎(chǔ)上，構(gòu)建信息系統(tǒng)的安全技術(shù)體系、安全管理體系，形成集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，從而實現(xiàn)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和管理安全，以滿足信息系統(tǒng)全方位的安全保護(hù)需求。同時，由于安全的動態(tài)性，還需要建立安全風(fēng)險評定機(jī)制，在安全風(fēng)險評定的基礎(chǔ)上，調(diào)節(jié)和完善安全方略，改善安全方法，以適應(yīng)新的安全需求，滿足安全等級保護(hù)的規(guī)定，確保長久、穩(wěn)定、可靠運(yùn)行。

整體保障框架的示意圖以下：

圖2.

整體保障框架的示意圖3

、安全方法框架

安全方法框架是按照構(gòu)造化原理描述的安全方法的組合。本方案的安全方法框架是根據(jù)“主動防御、綜合防備”的方針，以及“管理與技術(shù)并重”的原則進(jìn)行設(shè)計的。安全方法框架涉及安全技術(shù)方法、安全管理方法兩大部分。安全技術(shù)方法涉及安全防護(hù)系統(tǒng)（物理防護(hù)、邊界防護(hù)、監(jiān)控檢測、安全審計和應(yīng)急恢復(fù)等子系統(tǒng)）和安全支撐系統(tǒng)（安全運(yùn)行平臺、網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)信任系統(tǒng)）。安全技術(shù)方法、安全管理方法各部分之間的關(guān)系是人（安全機(jī)構(gòu)和人員），按照規(guī)則（安全管理制度），使用技術(shù)工具（安全技術(shù)）進(jìn)行操作（系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維）。

安全方法框架示意圖以下：

圖3.

安全方法框架示意圖

4、

安全區(qū)域劃分不同的信息系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相似。如何確保系統(tǒng)的安全性是一種巨大的挑戰(zhàn)，對信息系統(tǒng)劃分安全區(qū)域，進(jìn)行層次化、有重點的保護(hù)是有確保系統(tǒng)和信息安全的有效手段。按數(shù)據(jù)分類分區(qū)域分等級保護(hù)，就是按數(shù)據(jù)分類進(jìn)行分級，按數(shù)據(jù)分布進(jìn)行區(qū)域劃分，根據(jù)區(qū)域中數(shù)據(jù)的分類擬定該區(qū)域的安全風(fēng)險等級。目的是把一種大規(guī)模復(fù)雜系統(tǒng)的安全問題，分解為更社區(qū)域的安全保護(hù)問題。這是實現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全等級保護(hù)的有效辦法。隨著安全區(qū)域辦法的發(fā)展，發(fā)現(xiàn)力圖用一種大一統(tǒng)的辦法和構(gòu)造去描述一種復(fù)雜的網(wǎng)絡(luò)環(huán)境是非常困難的，即使描述出來其可操作性也值得懷疑。因此，……提出了“同構(gòu)性簡化的辦法”，其基本思路是認(rèn)為一種復(fù)雜的網(wǎng)絡(luò)應(yīng)當(dāng)是由某些相通的網(wǎng)絡(luò)構(gòu)造元所構(gòu)成，這些網(wǎng)絡(luò)構(gòu)造元進(jìn)行拼接、遞歸等方式構(gòu)造出一種大的網(wǎng)絡(luò)。能夠說，構(gòu)造性簡化仿佛將網(wǎng)絡(luò)分析成一種單一大分子構(gòu)成的系統(tǒng)，而同構(gòu)性簡化就是將網(wǎng)絡(luò)當(dāng)作一種由幾個小分子構(gòu)成的系統(tǒng)?！?+1同構(gòu)性簡化”的安全域辦法就是一種非常典型的例子，此辦法是用一種3+1小分子構(gòu)造來分析venuscustomer的網(wǎng)絡(luò)系統(tǒng)。（注：除了3+1構(gòu)造之外，還存在其它形式的構(gòu)造。）具體來說信息系統(tǒng)按照其維護(hù)的數(shù)據(jù)類能夠分為安全服務(wù)域、安全接入域、安全互聯(lián)域以及安全管理域四類。在此基礎(chǔ)上擬定不同區(qū)域的信息系統(tǒng)安全保護(hù)等級。同一區(qū)域內(nèi)的資產(chǎn)實施統(tǒng)一的保護(hù)，如進(jìn)出信息保護(hù)機(jī)制，訪問控制，物理安全特性等。信息系統(tǒng)能夠劃分為下列四個大的安全域（3+1同構(gòu)法）：安全接入域：由訪問同類數(shù)據(jù)的顧客終端構(gòu)成安全接入域，安全接入域的劃分應(yīng)以顧客所能訪問的安全服務(wù)域中的數(shù)據(jù)類和顧客計算機(jī)所處的物理位置來擬定。安全接入域的安全等級與其所能訪問的安全服務(wù)域的安全等級有關(guān)。當(dāng)一種安全接入域中的終端能訪問多個安全服務(wù)域時，該安全接入域的安全等級應(yīng)與這些安全服務(wù)域的最高安全等級相似。安全接入域應(yīng)有明確的邊界，方便于進(jìn)行保護(hù)。安全互聯(lián)域：連接傳輸共同數(shù)據(jù)的安全服務(wù)域和安全接入域構(gòu)成的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成了安全互聯(lián)域。重要涉及其它域之間的互連設(shè)備，域間的邊界、域與外界的接口都在此域。安全互聯(lián)域的安全等級的擬定與網(wǎng)絡(luò)所連接的安全接入域和安全服務(wù)域的安全等級有關(guān)。安全服務(wù)域：在局域范疇內(nèi)存儲，傳輸、解決同類數(shù)據(jù)，含有相似安全等級保護(hù)的單一計算機(jī)（主機(jī)/服務(wù)器）或多個計算機(jī)構(gòu)成了安全服務(wù)域，不同數(shù)據(jù)在計算機(jī)的上分布狀況，是擬定安全服務(wù)域的基本根據(jù)。根據(jù)數(shù)據(jù)分布，能夠有下列安全服務(wù)域：單一計算機(jī)單一安全級別服務(wù)域，多計算機(jī)單一安全級別服務(wù)域，單一計算機(jī)多安全級別綜合服務(wù)域，多計算機(jī)多安全級別綜合服務(wù)域。安全管理域：安全系統(tǒng)的監(jiān)控管理平臺都放置在這個區(qū)域，為整個IT架構(gòu)提供集中的安全服務(wù)，進(jìn)行集中的安全管理和監(jiān)控以及響應(yīng)。具體來說可能涉及以下內(nèi)容：病毒監(jiān)控中心、認(rèn)證中心、安全運(yùn)行中心等。安全區(qū)域3+1同構(gòu)示意圖以下：

圖4.

安全區(qū)域3+1同構(gòu)示意圖5、

安全方法選擇

27號文獻(xiàn)指出，實施信息安全等級保護(hù)時“要重視信息安全風(fēng)險評定工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、單薄環(huán)節(jié)、防護(hù)方法等進(jìn)行分析評定，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行對應(yīng)等級的安全建設(shè)和管理”。由此可見，信息系統(tǒng)等級保護(hù)可視為一種有參考系的風(fēng)險管理過程。等級保護(hù)是以等級化的保護(hù)對象、不同安全規(guī)定對應(yīng)的等級化的安全方法為參考，以風(fēng)險管理過程為根本，建立并實施等級保護(hù)體系的過程。安全方法的選擇首先應(yīng)根據(jù)我國信息系統(tǒng)安全等級劃分的規(guī)定，設(shè)計五個等級的安全方法等級規(guī)定（安全方法等級規(guī)定是針對五個等級信息系統(tǒng)的基本規(guī)定）。不同等級的信息系統(tǒng)在對應(yīng)級別安全方法等級規(guī)定的基礎(chǔ)上，進(jìn)行安全方法的調(diào)節(jié)、定制和增強(qiáng)，并按照一定的劃分辦法構(gòu)成對應(yīng)的安全方法框架，得到合用于該系統(tǒng)的安全方法。安全方法的調(diào)節(jié)重要根據(jù)綜合平衡系統(tǒng)安全規(guī)定、系統(tǒng)所面臨風(fēng)險和實施安全保護(hù)方法的成原來進(jìn)行。信息系統(tǒng)安全方法選擇的原理圖以下：

圖5.

安全方法選擇的原理圖6、需求分析6.1、

系統(tǒng)現(xiàn)狀6.2、

現(xiàn)有方法現(xiàn)在，信息系統(tǒng)已經(jīng)采用了下述的安全方法：1、在物理層面上，

2、在網(wǎng)絡(luò)層面上，

3、在系統(tǒng)層面上，

4、在應(yīng)用層面上，

5、在管理層面上，

6.3

具體需求

6.3.1

等級保護(hù)技術(shù)需求

要確保信息系統(tǒng)的安全可靠，必須全方面理解信息系統(tǒng)可能面臨的全部安全威脅和風(fēng)險。威脅是指可能對信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在因素；威脅即使有多個各樣的存在形式，但其成果是一致的，都將造成對信息或資源的破壞，影響信息系統(tǒng)的正常運(yùn)行，破壞提供服務(wù)的有效性、可靠性和權(quán)威性。任何可能對信息系統(tǒng)造成危害的因素，都是對系統(tǒng)的安全威脅。威脅不僅來來自人為的破壞，也來自自然環(huán)境，涉及多個人員、機(jī)構(gòu)出于各自目的的攻擊行為，系統(tǒng)本身的安全缺點以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威脅的重要來源有：

圖6.

威脅的重要來源視圖

威脅發(fā)生的可能性與信息系統(tǒng)資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化為酬勞的容易程度、威脅的技術(shù)含量、單薄點被運(yùn)用的難易程度等因素親密有關(guān)。被動攻擊威脅與風(fēng)險：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。主動攻擊威脅與風(fēng)險：掃描目的主機(jī)、回絕服務(wù)攻擊、運(yùn)用合同、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門等）、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。鄰近攻擊威脅與風(fēng)險：毀壞設(shè)備和線路、竊取存儲介質(zhì)、偷窺口令等。分發(fā)攻擊威脅與風(fēng)險：在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備上設(shè)立隱藏的的后門或攻擊途徑。內(nèi)部攻擊威脅與風(fēng)險：惡意修改數(shù)據(jù)和安全機(jī)制配備參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。6.3.2

等級保護(hù)管理需求安全是不能僅僅靠技術(shù)來確保，單純的技術(shù)都無法實現(xiàn)絕對的安全，必須要有對應(yīng)的組織管理體制配合、支撐，才干確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行。管理安全是整體安全中重要的構(gòu)成部分。信息系統(tǒng)安全管理即使得到了一定的貫徹，但由于人員編制有限，安全的專業(yè)性、復(fù)雜性、不可預(yù)計性等，在管理機(jī)構(gòu)、管理制度、人員安全、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等安全管理方面存在某些安全隱患：——管理機(jī)構(gòu)方面:——管理制度方面:——人員安全方面:——系統(tǒng)建設(shè)方面:——系統(tǒng)運(yùn)維方面:7、安全方略7.1

總體安全方略

——

遵照國家、地方、行業(yè)有關(guān)法規(guī)和原則；

——貫徹等級保護(hù)和分域保護(hù)的原則；

——管理與技術(shù)并重，互為支撐，互為補(bǔ)充，互相協(xié)同，形成有效的綜合防備體系；

——充足依靠已有的信息安全基礎(chǔ)設(shè)施，加緊、加強(qiáng)信息安全保障體系建設(shè)。

——第三級安全的信息系統(tǒng)含有對信息和系統(tǒng)進(jìn)行基于安全方略強(qiáng)制的安全保護(hù)能力。

——在技術(shù)方略方面：

——在管理方略方面:7.2

具體安全方略1、安全域內(nèi)部方略2

、安全域邊界方略3

、安全域互聯(lián)方略8、

安全解決方案

不同的安全等級規(guī)定含有不同的基本安全保護(hù)能力，實現(xiàn)基本安全保護(hù)能力將通過選用適宜的安全方法或安全控制來確保，能夠使用的安全方法或安全控制體現(xiàn)為安全基本規(guī)定，根據(jù)實現(xiàn)方式的不同，信息系統(tǒng)等級保護(hù)的安全基本規(guī)定分為技術(shù)規(guī)定和管理規(guī)定兩大類。技術(shù)類安全規(guī)定普通與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，重要是通過在信息系統(tǒng)中布署軟硬件并對的的配備其安全功效來實現(xiàn)；管理類安全規(guī)定普通與信息系統(tǒng)中多個角色參加的活動有關(guān)，重要是通過控制多個角色的活動，從政策、制度、規(guī)范、流程以及統(tǒng)計等方面做出規(guī)定來實現(xiàn)。根據(jù)威脅分析、安全方略中提出的基本規(guī)定和安全目的，在整體保障框架的指導(dǎo)下，本節(jié)將就具體的安全技術(shù)方法和安全管理方法來設(shè)計安全解決方案，以滿足對應(yīng)等級的基本安全保護(hù)能力。8.1

安全技術(shù)體系8.1.1

安全防護(hù)系統(tǒng)邊界防護(hù)系統(tǒng)監(jiān)控檢測系統(tǒng)安全審計系統(tǒng)應(yīng)急恢復(fù)系統(tǒng)安全支撐系統(tǒng)安全運(yùn)行平臺網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)信任系統(tǒng)8.2

安全管理體系安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)定級\系統(tǒng)備案\安全方案設(shè)計\產(chǎn)品采購\自行軟件開發(fā)\外包軟件開發(fā)\工程實施\測實驗收\系統(tǒng)交付\安全測評。具體內(nèi)容略去。系統(tǒng)運(yùn)維管理9、安全服務(wù)技術(shù)類的安全規(guī)定能夠通過在信息系統(tǒng)中布署安全產(chǎn)品來實現(xiàn)，同時需要對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件的安全功效的對的配備，這需要通過安全評定和加固等安全服務(wù)來完畢；管理類的安全規(guī)定需要通過管理咨詢服務(wù)來完善，以實現(xiàn)IT運(yùn)維管理原則化和規(guī)范化，提高安全管理的水平。9.1

風(fēng)險評定服務(wù)安全風(fēng)險評定服務(wù)可覺得組織：

——評定和分析在網(wǎng)絡(luò)上存在的安全技術(shù)風(fēng)險；——分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺點；——調(diào)查信息系統(tǒng)的現(xiàn)有安全控制方法，評價組織的業(yè)務(wù)安全風(fēng)險承當(dāng)能力；——評價風(fēng)險的優(yōu)先等級，據(jù)此為組織提出建立風(fēng)險控制安全規(guī)劃的建議。具體的評定服務(wù)涉及以下內(nèi)容略9.2

管理監(jiān)控服務(wù)

全方面實時的執(zhí)行對客戶信息系統(tǒng)遠(yuǎn)程監(jiān)控是M2S安全服務(wù)的重要構(gòu)成部分和特點之一，通過監(jiān)控來達(dá)成安全事件檢測、安全事件跟蹤、病毒檢測、流量檢測等等任務(wù)，進(jìn)而通過檢測的成果能夠動態(tài)的調(diào)節(jié)各個安全設(shè)備的安全方略，提高系統(tǒng)的安全防備能力。監(jiān)控服務(wù)完全是一種以人為核心的安全防備過程，通過資深的安全專家對多個安全產(chǎn)品與軟件的日志、統(tǒng)計等等的實時監(jiān)控與分析，發(fā)現(xiàn)多個潛在的危險，并提供及時的修補(bǔ)和防御方法建議。……的安全監(jiān)控服務(wù)含有兩種形式：遠(yuǎn)程監(jiān)控服務(wù)和專家的現(xiàn)場值守服務(wù)。每一種服務(wù)都滿足了客戶一定層面的需求，體現(xiàn)了安全監(jiān)控服務(wù)的靈活性以及可重組性。

9.3

管理咨詢服務(wù)

……提供的重要安全管理咨詢顧問服務(wù)包以下。具體內(nèi)容可參考“……安全管理咨詢顧問服務(wù)白皮書”。

9.4

安全培訓(xùn)服務(wù)安全實踐培訓(xùn)重要是從人員的角度出發(fā)來強(qiáng)化的安全知識以及抵抗攻擊行為的能力，重要涉及以下方面的培訓(xùn)建議：

——基本安全知識培訓(xùn)：重要對常規(guī)人員提供個人計算機(jī)使用的基本安全知識，提高個人計算機(jī)系統(tǒng)的防備能力。

——主機(jī)安全管理員培訓(xùn)：對安全管理員進(jìn)行針對于主機(jī)系統(tǒng)的安全培訓(xùn)，強(qiáng)化信息系統(tǒng)維護(hù)人員的安全技術(shù)水平。

——網(wǎng)絡(luò)安全管理員培訓(xùn)：對安全管理員進(jìn)行針對于網(wǎng)絡(luò)系統(tǒng)的安全培訓(xùn)。

——安全管理知識培訓(xùn)：為的重要管理層人員提供，有助于從管理的角度強(qiáng)化信息系統(tǒng)的安全。

——產(chǎn)品培訓(xùn)：為人員能進(jìn)一步認(rèn)識多個安全產(chǎn)品而提供的基本培訓(xùn)。

——CISP培訓(xùn)：為培養(yǎng)技術(shù)全方面的信息安全專家，而提供的含有國家認(rèn)證資質(zhì)的培訓(xùn)。“注冊信息安全專業(yè)人員”，英文為CertifiedInformationSecurityProfessional(簡稱CISP)，根據(jù)實際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”,英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊信息安全管理人員”，英文為CertifiedInformationSecurity

Officer(簡稱CISO)，“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor(簡稱CISA)。9.5

安全集成服務(wù)

價值

——加強(qiáng)IT系統(tǒng)安全保障，提高您的客戶的信任，提高競爭力；

——減小IT系統(tǒng)管理的工作量，提高效率，減少運(yùn)行成本；

——協(xié)助您理解IT系統(tǒng)面臨的風(fēng)險并有效地控制風(fēng)險；

——協(xié)助您的IT系統(tǒng)符合有關(guān)法律、原則與規(guī)范，減少訴訟與紛爭。思路

——……安全解決方案從三個層面來考慮客戶的信息安全需求，協(xié)助客戶建設(shè)基于“信息安全三觀論”的信息安全保障體系；

——在三觀論的基礎(chǔ)上，基于信息安全三要素模型（資產(chǎn)、威脅與保障方法）提出了……信息安全保障總體框架功效要素模型（VIAF-FEM）。強(qiáng)調(diào)以IT資產(chǎn)與業(yè)務(wù)為核心，針對資產(chǎn)/業(yè)務(wù)面臨的威脅從人、過程、技術(shù)三個方面設(shè)計全方面的信息安全解決方案。分類

根據(jù)具體需求不同，……提供以下表所示的幾個安全集成解決方案。

類型滿足需求信息安全整體解決方案IT安全規(guī)劃信息安全管理方案安全管理咨詢信息安全技術(shù)方案信息安全技術(shù)保障體系信息安全服務(wù)方案特定安全服務(wù)需求安全服務(wù)需求的組合安全產(chǎn)品解決方案特定安全功效需求安全功效需求的組合

表1.

安全集成解決方案表

特色

——行業(yè)化：……憑借在電信、金融、政府、教育、能源等行業(yè)數(shù)年的信息安全實戰(zhàn)經(jīng)驗，提供行業(yè)化的解決方案。

——面對業(yè)務(wù)：……從客戶業(yè)務(wù)安全的角度出發(fā)解決實際安全問題，由功效需求導(dǎo)出面對業(yè)務(wù)的解決方案。

——體系完整：……憑借本身的專業(yè)安全隊伍以及陣容強(qiáng)大的外部專家支持，基于完整的安全體系提供解決方案。

——理念先進(jìn)：……秉承“一米寬，一公里深”的理念，及時跟蹤國際先進(jìn)安全理念，以此為基礎(chǔ)開發(fā)安全的最佳實踐，成功應(yīng)用于客戶化的解決方案中。10、

方案總結(jié)

本等級保護(hù)設(shè)計方案含有下列特點：

1、體現(xiàn)了等級防護(hù)的思想。本方案根據(jù)3級信息系統(tǒng)的基本規(guī)定和安全目的，提出了具體的安全等級保護(hù)的設(shè)計和實施方法，明確3級信息系統(tǒng)的重要防護(hù)方略和防護(hù)重點。

2、體現(xiàn)了框架指導(dǎo)的思想。本方案將安全方法、保護(hù)對象、整體保障等幾個等級保護(hù)的核心部分和內(nèi)容分別整頓歸納為框架模型，利于在眾多安全因素中理