等级保护建设规划.docx

 项目名称 等级保护建设规划 [文档副标题] 公司名称 2019-1-1  目录 1. 文档介绍 3 1.1 文档目的 3 1.2 文档范围 3 1.3 读者对象 3 1.4 相关法规 3 1.5 相关标准 4 1.6 术语与缩写解释 4 2. 等级保护建设规划 4 2.1 信息系统等级保护 4 2.2 信息系统等级保护划分 6 2.3 信息系统等级保护基本要求 6 2.4 信息系统等级保护安全解决方案 7 2.5 等级保护解决方案内容  PAGEREF _Toc14808035 \h 8   文档介绍 文档目的 文档范围 读者对象 相关法规 中华人民共和国计算机信息系统安全保护条例 （1994年国务院147号令） （“第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”） 计算机信息系统安全保护等级划分准则 （GB 17859-1999） （“第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级”） 国家信息化领导小组关于加强信息安全保障工作的意见 （中办发[2003]27号） 关于信息安全等级保护工作的实施意见 （公通字[2004]66号） 信息安全等级保护管理办法 （公通字[2007]43号） 关于开展全国重要信息系统安全等级保护定级工作的通知 （公信安[2007]861号） 关于开展信息安全等级保护安全建设整改工作的指导意见 （公信安[2009]1429号） 中华人民共和国网络安全法（2017年6月1日发布） 网络安全等级保护标准体系发布。（2019年5月10日发布，2019年12月1日实施） 相关标准 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准） 信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准） 信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准） 信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准） 信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准） 信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准） 信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准） 信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 术语与缩写解释 缩写、术语 解 释 SPP 精简并行过程，Simplified Parallel Process PIM 立项管理，Project Initialization Management … xx项目等级保护建设规划 信息系统等级保护 当前国内信息安全环境处于十分严峻的形式，随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给用户造成严重损失。 随着企业业务不断发展，新业务平台不断上线，信息系统面临安全威胁不断增长。当前互联网新的威胁，新的恶意攻击也在不断涌现，黑色产业链发展迅速，导致企业各类信息系统安全事件频繁发生。企业内部安全威胁也在日益增多，病毒、恶意攻击、木马与P2P泛滥等也不断威胁着信息系统正常运行。企业信息系统面临安全风险主要来自以下五个方面： 立体防御体系 等级保护安全解决方案 互联网边界安全风险 互联网新兴安全威胁不断增加，新的病毒、蠕虫、木马等恶意软件不断威胁企业各类信息系统，特别是企业的对外门户，在线业务系统等。僵尸网络、DDoS攻击直接威胁企业对外信息系统运营，降低互联网安全威胁风险，已经是企业信息系统等级保护建设首要职责。 内网基础设施安全风险 企业内部人员安全意识薄弱，使得内部基础设施安全风险不断加剧、恶化。内网终端病毒感染、扩散，内部人员违规操作、恶意非法访问，使得内部基础网络，信息系统的安全事、事故经常发生，给企业带来巨大的经济损失。 管理与运维安全风险 企业内部信息系统运维人员复杂，既有外来维护人员，又有内部运维人员，违规操作、非法操作、错误操作时有发生，使得内部管理与运维安全风险无法降低。如何有效针对内部管理与运维进行有效认证授权，操作审计监控是企业信息系统等级保护安全建设关键。 内网服务器侧安全风险 业务信息系统本身开发存在不足，主机操作系统也存在各种安全漏洞，信息系统潜在安全风险是企业无法规避。如何发现各类信息系统，服务器主机的安全漏洞，并及时、有效进行防御、加固措施，降低信息系统本身潜在安全风险可能给企业带来经济损失。 外联网边界安全风险 业务合作是企业发展必然，随之也带来各种安全风险，外联单位安全威胁，如病毒，蠕虫可以直接扩散企业内部网络，给基础网络设施与信息系统造成破坏，内部各类信息系统也将直接面临来自外联单位非法/恶意入侵、访问。 信息系统等级保护划分 《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为以下五级，一至五级等级逐级增高： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。 信息系统等级保护基本要求 信息系统等级保护应依据信息系统的安全保护等级情况，保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。 基本技术要求从物理安全、主机安全、网络安全、应用安全和数据安全五个层面提出，基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面提出。 技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。 网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。 信息系统等级保护安全解决方案 信息系统等级保护安全解决方案技术设计包括各级系统安全环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中