等保整改与安全建设方案详细

1、等级保护整改与安全建设方案刖言等级保护保护整改与安全建设工作重要性依据公通字200743号文的要求，信息系统定级工作完成后，运营、使用单位 首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设 或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家等级保护 相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切实结合用户 信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障 体系，将等级保护制

2、度确实落实到企业的信息安全规划、建设、评估、运行和维 护等各个环节，保障企业的信息安全。等级保护整改与安全建设过程等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的 要求，针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信 息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套规范的等 保整改过程，协助客户进行风险评估和等级保护差距分析， 制定完整的安全整改 建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、 整改监理等工作，协助客户完成信息系统等级保护整改和安全建设工作。等保整改与建设过程主要包括：等级保护差距分析、等级保护整改建

3、议方案、等 级保护整改实施三个阶段。（一）等级保护差距分析1. 等级保护风险评估1）评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况，而差距分析则是按照等保的所有要求 进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说， 风险评估的结果更能体现是客户信息系统技术层面的安全现状，比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。 通过专业的等级评估服务，协助用户完成以下的

4、目标： 了解信息系统的管理、网络和系统安全现状；确定可能对资产造成危害的威胁；确定威胁实施的可能性；对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别， 确定哪些资产是最重要的；对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；明确信息系统的已有安全措施的有效性；明晰信息系统的安全管理需求。2）评估内容资产识别与赋值主机安全性评估数据库安全性评估安全设备评估现场风险评估用到的主要评估方法包括：漏洞扫描控制台审计技术访谈3）评估分析根据现场收集的信息及对这些信息的分析，评估小组形成定级信息系统的弱点评 估报告、风险评估报告等文档，使客户充分了解信息系统存在的风险，作为

5、等保 差距分析的一项重要输入，并作为后续整改建设的重要依据。2. 等保差距分析通过差距分析，可以了解客户信息系统的现状，确定当前系统与相应保护等级 要求之间的差距，确定不符合安全项。1）准备差距分析表项目组通过准备好的差距分析表，与客户确认现场沟通的对象（部门和人员）， 准备相应的检查内容。在整理差距分析表时，整改项目组会根据信息系统的安全等级从基本要求中选 择相应等级的基本安全要求，根据及风险评估的结果进行调整，去掉不适用项， 增加不能满足客户信息系统需求的安全要求。差距分析表包含以下内容：安全技术差距分析：包括网络安全、主机安全、 应用安全、数据安全及备份恢 复；安全管理差距分析：包括安全

6、管理制度、安全管理机构、人员安全管理、系统建设管理；系统运维差距分析：包括环境管理、资产管理、 介质管理、监控管理和安全管 理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管 理、备份与恢复管理、安全事件处置；物理安全差距分析：包括物理位置的选择、物理访问控制、防盗窃和防破坏、 防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。不同安全保护级别的系统所使用的差距分析表的内容也不同。2）现场差距分析整改项目组依据差距分析表中的各项安全要求， 对比信息系统现状和安全要求之 间的差距，确定不符合项。现场工作阶段，整改项目组可分为管理检查组和技术检查组两个小组。在差

7、距分析阶段，可以通过以下方式收集信息，详细了解客户信息系统现状，并 通过分析所收集的资料和数据，以确认客户信息系统的建设是否符合该等级的安 全要求，需要进行哪些方面的整改。查验文档资料人员访谈现场测试3）生成差距分析报告完成现场差距分析之后，整改项目组归纳整理、分析现场记录，找出目前信息系 统与等级保护安全要求之间的差距，明确不符合项，生成等级保护差距分析报 告。（二）等级保护整改建议方案1. 整改目标沟通确认通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商，会依据风险评估和差距分析的结果，明确等级保护整改工作的工作目标， 提出等 级保护整改建议方案。对暂时难以进行整改的部

8、分内容， 将在讨论后作为遗留问题，明确列在整改建议 万案中。2. 总体框架根据等保安全要求, 障总体框架模型。Policy策略Management 普理Operation 运细Technology 技术图信息安全PMOT体系模型提出如下的安全整改建议，其中PMOT体系是信息安全保根据建议方案的设计原则，协助客户制定总体安全保障体系架构， 包括制定安全 策略，结合等级保护基本要求和安全保护特殊要求， 来构建客户信息系统的安全 技术体系、安全管理体系及安全运维体系，具体内容包括：建立和完善安全策略：最高层次的安全策略文件，阐明安全工作的使命和意愿， 定义信息安全工作的总体目标。安全技术体系：安全技

9、术的保障包括网络边界防御、安全通信网络、主机和应 用系统安全、检测响应体系、冗余与备份以及安全管理中心。建立和完善安全管理体系：建立安全管理制度，建立信息安全组织，规范人员 管理和系统建议管理。安全运维体系：机房安全，资产及设备安全，网络与系统安全管理、监控和安 全管理等。展开后的等级保护整改与安全建设总体框架如下图所示，从信息安全整体策略Policy、安全管理体系 Man ageme nt、安全技术体系 Tech no logy、安全运维 Operation四个层面落实等级保护安全基本要求。等级保护整改与安全建设总体框架盜产蛙蒂在午网醴反今酋諜安全事件密理主机安全廿理安个技术律家图4等级保护

10、整改与安全建设总体框架3. 方案说明信息安全策略信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个 PMOT 信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作 总体目标，对技术和管理各方面的安全工作具有通用指导性。安全技术体系根据整改目标提出整改方案的安全技术保障体系， 将保障体系框架中要求实现的 网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组 件及其具体规范，并将产品功能特征整理成文档。使得在信息安全产品采购和安 全控制开发阶段具有依据，主要内容包括：网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管

11、理中心。安全管理体系为满足等保基本要求，应建立和完善安全管理体系，包括：完善安全制度体系、 完善安全组织、规范人员管理、规范系统建设管理。安全运维体系为满足等保基本要求，应建立和完善安全运维体系，包括：环境管理、资产管理、 介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意 代码防范、变更管理、信息安全事件管理等。（三）等级保护整改实施为了更好地协助客户落实等保的整改工作，可以作为集成商、咨询方、或者监理 方，协助客户落实整改实施方案，或协助进行整改实施方案的评审、招投标、项 目监理等工作，以完成系统整改和安全建设工作。1. 制定整改实施方案在确定整改实施的承建单位后，会提交相关的工程实施文档，包括参照整改建议 方案而编制的项目实施技术规划等文档，其中涵盖安全建设阶段的各项实施细 节，主要有：项目产品配置清单实施设计方案实施准备工作描述，实施工作步骤实施风险规避方案实施验证方案现场培训方案工程实施文档应经客户方的项目负责人确认后，方可进行实施。2. 整改建设实施承担项目实施的工作，确保落实客户信息系统的安全保护技术措施， 建立健全信 息安全管理制度，全面贯彻落实信息安全等级保护制度。3. 整改实施项目验收整改实施工作完成后，提出验收