等级保护整改方案

等级保护整改方案

篇一：中软华泰等级保护整改解决方案

中软华泰等级保护整改解决方案

1、等保方案设计背景

随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度，已引起党和国家领导同志和社会各界的关注。

由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多，建设起来困难重重，信息系统安全一直停留在网络完全的建设，但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。

信息安全是国家主权、政治(原文来自：小草范文网:等级保护整改方案)、经济、国防、社会安全和公民合法权益保障的重要保证，经党中央和国务院批准，国家信息化领导小组决定加强信息安全保

障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。对

信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

等保解决方案依据法律法规：如下图

等级保护解决方案依据技术标准：如下图

《基本要求》是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一，是现阶段五个级别的信息系统的基本安全保护技术和管理要求，提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施，该标准需与《设计技术要求》、《信息安全技术网络基础安全技术要求》等其它标准配套使用。

2、信息系统安全需求分析

具体定级定级情况：根据客体被侵害的程度所造成的影响大小对系统进行划分级别，根据GB17859-1999按照安全性由低到高的顺序，规定了计算机系统安全保护能力的五个等级，即：

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

我国XX年开展了全国范围的信息系统等级保护定级工作，所有的信息系统也根据其重要性分别被评定了级别，并在公安部办理了相关的备案手续。中软华泰在信息系统安全需求分析时，要对客户的现有信息系统定级情况、现状描述、安全现状、定级信息系统安全防护能力的要求与信息《基本要求》对比进行差异性分析，研进行下一步的科学的设计。需求分析流程如下图：

3、信息系统安全等级保护总体设计

方案设计原则：在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。

总体技术框架：信息系统等级保护安全建设的思路是根据分级分域的原则，按照一个中心下的三重防御体系，建设具有自己特色的信息安全等级保护深度防御体系。

一个中心和三重防护体系：按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。

站系统安全架构设计：根据现有系统情况根据设计技术要求进行架构设计物理安全建设：依据《基本要求》中对物理安全的要求，信息系统的物理安全建设从环境安全、设备

安全和介质安全三个方面实施。

安全管理建设：“三分技术、七分管理”，安全管理和技术相辅相成。以《基本要求》为标准，结合目前、信息系统安全管理体系的现状，对信息系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。

灾难与应急响应：为提高网络安全应急响应能力，对可能发生的信息网络系统的突发安全事件进行快速反应和恢复，最大限度地控制和减轻事件所带来的影响，确保业务的持续运行，需要制定应急响应预案。

篇二：《信息安全等级保护安全建设整改工作指南》附件2

信息安全等级保护安全

建设整改工作指南

中华人民共和国公安部

二〇〇九年十月

前言

为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了《信息安全等级保护安全建设整改工作指南》，供参考。本指南包括总则、安全管理制度建设、安全技术措施建设三个部分，附录是信息安全等级保护主要标准简要说明。

由于时间仓促，经验不足，不妥之处，敬请批评指正。

目录

1 总则 (1)

1.1 工作目标 (1)

1.2 工作内容 (1)

1.3 工作流程 (2)

1.4 标准应用 (3)

1.5 安全保护能力目标………………………………………………………(5) 2 安全管理制度建设………………………………………………………………

(6)

2.1 落实信息安全责任制 (7)

2.2 信息系统安全管理现状分析 (7)

2.3 确定安全管理策略，制定安全管理制度 (8)

2.4 落实安全管理措施 (8)

2.4.1 人员安全管理 (8)

2.4.2 系统运维管理 (8)

环境和资产安全管理……………………………………

(8)

设备和介质安全管理……………………………………

(9)

日常运行维护……………………………………………

(9)

集中安全管理……………………………………………

(9)

事件处臵与应急响应……………………………………

(9)