本文摘要
随着信息化建设的不断深入,信息安全等级保护已成为国家信息安全保障的重要工作之一。由于信息安全专业性强,等级保护国家标准繁多复杂(32个),所以用户普遍性难题是难以吃透政策和标准,把握等级保护整改具体设计和实施。
随着信息化建设的不断深入,信息安全等级保护已成为国家信息安全保障的重要工作之一。针对此项工作,自1994年至2009年,在国务院147号令和中办27号文件指导下,按照公通字66号、43号文件、公信安736号、861号、1429号等文件的要求,通过定级、备案、整改、测评等一系列阶段,在全国全面推广、实施。其中,在2009年10月公安部发布的《关于开展信息安全等级保护安全建设整改工作的指导意见》--1429号文中明确提出“力争在2012年底前完成已定级信息系统安全建设整改工作”。截止到目前,全国主要处在等级保护整改通过测评阶段。
由于信息安全专业性强,等级保护国家标准繁多复杂(32个),所以用户普遍性难题是难以吃透政策和标准,把握等级保护整改具体设计和实施。
在满足国家政策要求的同时,信息安全必须为业务和信息系统服务,必须深入理解用户业务信息系统的客观特点,真正实现业务服务和信息系统正常运行,才能达成信息系统的业务使命。
网御星云作为国内领先的信息安全企业代表,凭借多年丰富的实践经验和扎实的理论基础,曾参与了等级保护相关政策和标准的起草编制工作,参与实施广东省、天津市、徐州市等国家级等级保护试点和电子政务信息安全试点工作,以及农业部、科技部、文化部、药监局、北京移动、中国人寿、中国人保、中央电视等各行业等级化安全体系的设计实施工作。
网御星云等级保护咨询和服务,在满足不同类型信息系统和不断变化的信息系统的安全需求的过程中总体包括三个步骤:
第一步:“等级定级,分析定义等级保护整改或建设需求”。通过系统等级评价、定级等服务组件准确确定系统的安全等级,帮助客户顺利进行等级备案,识别系统的等级差距,并找出系统安全现状与等级要求的差距,即差距分析,通过现状数据汇总分析,形成完整准确的等级保护整改或建设的安全需求。
第二步:“体系整改或建设”。通过体系设计制定等级保护整改或建设方案,进行等级保护技术和管理体系建设,满足上阶段形成的安全需求,实现等级保护整改或建设的安全需求。
第三步:“安全运维,确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性等级保护的安全需求。
网御星云公司在等级保护整改过程中根据GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》、 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全等级保护测评要求》(报批稿)、《信息安全技术 信息系统等级保护测评过程指南》(报批稿)、《信息安全技术 信息系统等级保护实施指南》(报批稿)等国家标准,设计研发了基于丰富经验的安全定级知识库、等级测评知识库和安全体系知识库的理论基础。以此组成公司的等级化支撑平台,为等级保护项目的建设过程和管理过程提供工具和知识支持。
以安全体系知识库为例,其以分级分域为核心思想,采用等级化和体系化的方法,保证信息安全体系科学规范。
网御星云公司在实施等级保护整改过程中总结了一些经验供大家参考,也希望与大家共同探讨:
需求分析和总体设计阶段
方案一
在具体实施中,根据需求分析和总体设计(排序不分先后),用户可以通过以下子需求和对应方案(如下表)就可以达到等级保护的要求。
等级评价和比对标准差距分析得到的需求 对应的设计方案
网络与边界安全需求 网络与边界安全方案
主机与终端安全需求 主机与终端安全方案
应用安全建设需求 应用安全建设方案
安全审计需求 安全审计方案
安全管理中心需求 安全管理中心方案
数据备份与恢复需求 数据备份与恢复方案
机房物理安全改造需求 机房物理安全改造
设备加固需求 设备加固方案
安全策略开发需求 安全策略开发方案
安全组织管理整改需求 安全组织管理整改方案
安全培训需求 安全培训方案
等级保护建设咨询需求 等级保护建设咨询方案
安全运维外包需求 安全运维外包方案
等级保护测评需求 等级保护测评咨询方案
…… ……
方案二
除去方案甲以外,也可以采用以下体系的详细方案设计,即可以分为4大部分:
1. 安全技术体系方案:
含整体安全架构设计、安全域划分、各类安全产品方案设计、抗主要攻击方案设计(如DDOS、网页篡改、SQL注入攻击、跨站脚本攻击等)。
2. 安全策略方案:
含信息安全方针、目标、技术和管理制度等。
3.安全组织体系方案:
含安全组织架构、岗位设置和职责、安全培训等。
4.安全运作体系解决方案
含系统建设安全管理、系统安全运维、安全事件处置与应急响应等。
针对大家困惑的具体解决方案和具体安全措施,为给大家具体体会,网御星云公司通过剖析如下经过相关脱密具体案例中常见的二、三级等级保护建设,我们希望为用户的适度安全带来切实可操作的解决方案和安全控制措施:
1、二级系统等级保护建设案例-安全措施部署
二级等级安全体系
体系建设分类 保护范围 安全措施
安全策略建设 整体组织机构 制定基本的信息安全管理制度和规范
安全策略应正式发布
制定违反安全策略的处罚措施
定期评审安全策略
……
安全组织建设 整体组织机构 设立兼职或专职信息安全管理人员
安全岗位需要明确职责定义
签署保密协议
发现安全事件时有专业机构提供支持
……
安全技术建设 某市单位外网与互联网边界安全防护 防火墙
防病毒网关
入侵检测系统
VPN
安全审计
……
某市单位外网与某市单位内网边界安全防护 防火墙
安全审计
……
某市单位内网与某市单位外联网边界安全防护 防火墙
防病毒
入侵检测系统
安全审计
……
某市单位内网与某省单位网络边界安全防护 防火墙
入侵检测系统
……
决策支持区与应用系统一边界安全防护 防火墙
VLAN
……
应用系统一与行政管理区边界安全防护 防火墙
VLAN
……
应用系统二与外部信息区边界安全防护 防火墙
VLAN
……
应用系统一安全防护 入侵检测系统
安全审计
Windows主机防病毒
……
行政管理区安全防护 安全审计
Windows主机防病毒
……
决策支持区安全防护 安全审计
Windows主机防病毒
……
应用系统二安全防护 应用系统健康性监控
安全审计
Windows主机防病毒
……
安全运维建设 信息中心 对信息资产进行登记
……
机房 机房配置门禁和监控系统,对来访人员进行登记
……
安全管理员 操作程序文档化
应定期进行备份
……
2、三级系统等级保护建设案例-安全措施部署
三级等级保护体系
体系建设分类 保护范围 安全措施
安全策略建设 整体组织机构 建立文档化的完整安全策略体系
对策略文档进行版本控制、分发控制
安全策略应对相关人员进行定期培训
定期检查策略执行情况并绩效考核
定期进行安全策略评审、更新
……
安全组织建设 整体组织机构 成立常设的信息安全工作机构
设立专职的信息安全管理员
关键岗位人员背景审查及轮岗
定期举行安全培训
聘请专家作为常年安全顾问
……
安全技术建设 对外服务区和internet边界安全防护 防火墙双机热备
防毒墙
入侵检测系统
VPN
异常流量管理系统
防火墙安全审计
……
对外服务区和和网络核心区之间的边界安全防护 防火墙
入侵检测系统
防火墙安全审计
……
政务内网与政务专网之间的边界安全防护 安全网闸
防毒墙
异常流量管理系统
入侵检测系统
安全审计
……
核心服务区和网络核心区之间的边界安全防护 防火墙
入侵检测系统
安全审计
……
接入区和网络核心区之间的边界安全防护 防火墙
入侵检测系统
VLAN
安全审计
……
安全管理中心和对外服务区、核心服务区、接入区之间的边界安全防护 防火墙
入侵检测系统
VLAN
安全审计
……
核心服务区安全防护 入侵检测系统
安全审计系统
主机病毒防护
补丁管理系统
文件保密管理系统
应用安全管理系统
……
安全管理中心安全防护 入侵检测系统
安全审计系统
主机病毒防护
……
对外服务区安全防护 安全审计系统
应用安全管理系统
补丁管理系统
主机病毒防护
……
接入区安全防护 入侵检测系统
安全审计系统
应用安全管理系统
终端安全管理
内网安全管理
……
安全运维建设 信息中心 对信息资产进行统一管理
机房 机房配置门禁和监控系统,对来访人员进行登记
……
安全管理员 定期进行风险评估及渗透性测试
定期进行应急响应计划演练
对重要系统的操作进行审计
应定期测试备份介质的有效性
……
网御星云公司以等级安全体系为架构,以安全需求为导向,通过专业安全服务和高性能安全产品,保证安全定级合理准确、体系建设科学规范、安全运维持续稳定,帮助用户全面系统化落实等级保护工作,即完成等级保护定级、备案并进行整改,顺利通过国家测评,并协助用户持续安全运维,保持等级保护要求。网御星云公司也在更多的安全实践中不断积累和总结完善出更先进的服务方案,满足客户不同阶段的实际需求。
由网御星云公司负责咨询和服务的等级保护整改项目均依据信息安全等级保护有关政策和标准,并通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,最终使信息系统安全管理水平明显提高。客户可以较顺利和较快速的达到国家和行业的等级保护要求,安全防范能力明显增强,安全隐患和安全事故明显减少,满足业务信息安全要求,有效保障用户信息化健康发展。
由于信息安全专业性强,等级保护国家标准繁多复杂(32个),所以用户普遍性难题是难以吃透政策和标准,把握等级保护整改具体设计和实施。
在满足国家政策要求的同时,信息安全必须为业务和信息系统服务,必须深入理解用户业务信息系统的客观特点,真正实现业务服务和信息系统正常运行,才能达成信息系统的业务使命。
网御星云作为国内领先的信息安全企业代表,凭借多年丰富的实践经验和扎实的理论基础,曾参与了等级保护相关政策和标准的起草编制工作,参与实施广东省、天津市、徐州市等国家级等级保护试点和电子政务信息安全试点工作,以及农业部、科技部、文化部、药监局、北京移动、中国人寿、中国人保、中央电视等各行业等级化安全体系的设计实施工作。
网御星云等级保护咨询和服务,在满足不同类型信息系统和不断变化的信息系统的安全需求的过程中总体包括三个步骤:
第一步:“等级定级,分析定义等级保护整改或建设需求”。通过系统等级评价、定级等服务组件准确确定系统的安全等级,帮助客户顺利进行等级备案,识别系统的等级差距,并找出系统安全现状与等级要求的差距,即差距分析,通过现状数据汇总分析,形成完整准确的等级保护整改或建设的安全需求。
第二步:“体系整改或建设”。通过体系设计制定等级保护整改或建设方案,进行等级保护技术和管理体系建设,满足上阶段形成的安全需求,实现等级保护整改或建设的安全需求。
第三步:“安全运维,确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性等级保护的安全需求。
网御星云公司在等级保护整改过程中根据GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》、 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全等级保护测评要求》(报批稿)、《信息安全技术 信息系统等级保护测评过程指南》(报批稿)、《信息安全技术 信息系统等级保护实施指南》(报批稿)等国家标准,设计研发了基于丰富经验的安全定级知识库、等级测评知识库和安全体系知识库的理论基础。以此组成公司的等级化支撑平台,为等级保护项目的建设过程和管理过程提供工具和知识支持。
以安全体系知识库为例,其以分级分域为核心思想,采用等级化和体系化的方法,保证信息安全体系科学规范。
网御星云公司在实施等级保护整改过程中总结了一些经验供大家参考,也希望与大家共同探讨:
需求分析和总体设计阶段
方案一
在具体实施中,根据需求分析和总体设计(排序不分先后),用户可以通过以下子需求和对应方案(如下表)就可以达到等级保护的要求。
等级评价和比对标准差距分析得到的需求 对应的设计方案
网络与边界安全需求 网络与边界安全方案
主机与终端安全需求 主机与终端安全方案
应用安全建设需求 应用安全建设方案
安全审计需求 安全审计方案
安全管理中心需求 安全管理中心方案
数据备份与恢复需求 数据备份与恢复方案
机房物理安全改造需求 机房物理安全改造
设备加固需求 设备加固方案
安全策略开发需求 安全策略开发方案
安全组织管理整改需求 安全组织管理整改方案
安全培训需求 安全培训方案
等级保护建设咨询需求 等级保护建设咨询方案
安全运维外包需求 安全运维外包方案
等级保护测评需求 等级保护测评咨询方案
…… ……
方案二
除去方案甲以外,也可以采用以下体系的详细方案设计,即可以分为4大部分:
1. 安全技术体系方案:
含整体安全架构设计、安全域划分、各类安全产品方案设计、抗主要攻击方案设计(如DDOS、网页篡改、SQL注入攻击、跨站脚本攻击等)。
2. 安全策略方案:
含信息安全方针、目标、技术和管理制度等。
3.安全组织体系方案:
含安全组织架构、岗位设置和职责、安全培训等。
4.安全运作体系解决方案
含系统建设安全管理、系统安全运维、安全事件处置与应急响应等。
针对大家困惑的具体解决方案和具体安全措施,为给大家具体体会,网御星云公司通过剖析如下经过相关脱密具体案例中常见的二、三级等级保护建设,我们希望为用户的适度安全带来切实可操作的解决方案和安全控制措施:
1、二级系统等级保护建设案例-安全措施部署
二级等级安全体系
体系建设分类 保护范围 安全措施
安全策略建设 整体组织机构 制定基本的信息安全管理制度和规范
安全策略应正式发布
制定违反安全策略的处罚措施
定期评审安全策略
……
安全组织建设 整体组织机构 设立兼职或专职信息安全管理人员
安全岗位需要明确职责定义
签署保密协议
发现安全事件时有专业机构提供支持
……
安全技术建设 某市单位外网与互联网边界安全防护 防火墙
防病毒网关
入侵检测系统
VPN
安全审计
……
某市单位外网与某市单位内网边界安全防护 防火墙
安全审计
……
某市单位内网与某市单位外联网边界安全防护 防火墙
防病毒
入侵检测系统
安全审计
……
某市单位内网与某省单位网络边界安全防护 防火墙
入侵检测系统
……
决策支持区与应用系统一边界安全防护 防火墙
VLAN
……
应用系统一与行政管理区边界安全防护 防火墙
VLAN
……
应用系统二与外部信息区边界安全防护 防火墙
VLAN
……
应用系统一安全防护 入侵检测系统
安全审计
Windows主机防病毒
……
行政管理区安全防护 安全审计
Windows主机防病毒
……
决策支持区安全防护 安全审计
Windows主机防病毒
……
应用系统二安全防护 应用系统健康性监控
安全审计
Windows主机防病毒
……
安全运维建设 信息中心 对信息资产进行登记
……
机房 机房配置门禁和监控系统,对来访人员进行登记
……
安全管理员 操作程序文档化
应定期进行备份
……
2、三级系统等级保护建设案例-安全措施部署
三级等级保护体系
体系建设分类 保护范围 安全措施
安全策略建设 整体组织机构 建立文档化的完整安全策略体系
对策略文档进行版本控制、分发控制
安全策略应对相关人员进行定期培训
定期检查策略执行情况并绩效考核
定期进行安全策略评审、更新
……
安全组织建设 整体组织机构 成立常设的信息安全工作机构
设立专职的信息安全管理员
关键岗位人员背景审查及轮岗
定期举行安全培训
聘请专家作为常年安全顾问
……
安全技术建设 对外服务区和internet边界安全防护 防火墙双机热备
防毒墙
入侵检测系统
VPN
异常流量管理系统
防火墙安全审计
……
对外服务区和和网络核心区之间的边界安全防护 防火墙
入侵检测系统
防火墙安全审计
……
政务内网与政务专网之间的边界安全防护 安全网闸
防毒墙
异常流量管理系统
入侵检测系统
安全审计
……
核心服务区和网络核心区之间的边界安全防护 防火墙
入侵检测系统
安全审计
……
接入区和网络核心区之间的边界安全防护 防火墙
入侵检测系统
VLAN
安全审计
……
安全管理中心和对外服务区、核心服务区、接入区之间的边界安全防护 防火墙
入侵检测系统
VLAN
安全审计
……
核心服务区安全防护 入侵检测系统
安全审计系统
主机病毒防护
补丁管理系统
文件保密管理系统
应用安全管理系统
……
安全管理中心安全防护 入侵检测系统
安全审计系统
主机病毒防护
……
对外服务区安全防护 安全审计系统
应用安全管理系统
补丁管理系统
主机病毒防护
……
接入区安全防护 入侵检测系统
安全审计系统
应用安全管理系统
终端安全管理
内网安全管理
……
安全运维建设 信息中心 对信息资产进行统一管理
机房 机房配置门禁和监控系统,对来访人员进行登记
……
安全管理员 定期进行风险评估及渗透性测试
定期进行应急响应计划演练
对重要系统的操作进行审计
应定期测试备份介质的有效性
……
网御星云公司以等级安全体系为架构,以安全需求为导向,通过专业安全服务和高性能安全产品,保证安全定级合理准确、体系建设科学规范、安全运维持续稳定,帮助用户全面系统化落实等级保护工作,即完成等级保护定级、备案并进行整改,顺利通过国家测评,并协助用户持续安全运维,保持等级保护要求。网御星云公司也在更多的安全实践中不断积累和总结完善出更先进的服务方案,满足客户不同阶段的实际需求。
由网御星云公司负责咨询和服务的等级保护整改项目均依据信息安全等级保护有关政策和标准,并通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,最终使信息系统安全管理水平明显提高。客户可以较顺利和较快速的达到国家和行业的等级保护要求,安全防范能力明显增强,安全隐患和安全事故明显减少,满足业务信息安全要求,有效保障用户信息化健康发展。
看完文章,我有话想说...本文导航
腾讯微博
豆瓣
推荐文章
-
Boost、维京移动联手推升级版Galaxy S3 支持LTE
尽管三星上一代旗舰Android设备Galaxy S3在最新Galaxy S4的光芒下显得有些黯然失色,但下个月,S3将加入Spr
信息安全相关随笔
-
趋势科技认证信息安全专员(TCSP) 开创中国信息安全教育先河http://securi...
------ 至顶牛
-
如何让领导认识到信息安全的重要性http://security.zdnet.com.cn/security_...
------ 至顶牛
-
制造业信息安全 特殊时期更需呵护http://www.cnetnews.com.cn/2012/0802/21...
------ 至顶牛
-
制造业信息安全 特殊时期更需呵护http://security.zdnet.com.cn/security_z...
------ 至顶牛
-
信息安全产业发展升温 网神等保优势爆发http://www.cnetnews.com.cn/2012/0...
------ 至顶牛
信息安全相关讨论组
信息安全相关投票
信息安全相关用户
推荐词条
京公网安备 11010802021500号