基于等级保护的信息系统安全防护体系建设方案

1、基于等级保护的安全防护体系建设方案1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体思路4、信息系统安全现状分析3、信息安全等级保护建设目标5、基于等级保护的恶意代码防护体系建设方案信息安全等级保护解释系统根据价值和影响力可以划定安全等级安全保护能力或要求有差别等级匹配信息安全等级保护政策要求计算机信息系统安全等级保护要求和影响程度政策要求：27号文：纲领性文件，信息安全等级保护为安全国策66号文：四部委关于等级保护实施的计划43号文：公安部的信息安全等级保护管理办法1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体思路4、信息系统安全现状分析3、信息安全等级保护建设目标5

2、、基于等级保护的恶意代码防护体系建设方案信息安全体系框架管理体系框架组织体系框架技术体系框架安全防护机制安全监测机制安全响应机制安全风险管理体系安全筹划指导委员会安全风险管理小组信息安全组/信息技术组信息安全基础设施网络防护数据保护物理防护主机防护网络监测应用监测物理监测主机监测预警/报警/审计系统备份与恢复评估安全风险制定安全策略实施安全策略审核策略有效性信息安全等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位

3、培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化信息安全等级保护方案建设阶段 现状评估：分析信息安全现状 差距分析：识别企业目前的安全现状与等级保护之间的差距 需求分析：确定信息安全战略以及相应的信息安全需求 安全规划：规划未来 3-5年内的需要实施的安全项目信息安全等级保护体系设计方法整体安全目标分等级的保护对象框架体系建设和运行组织体系技术体系运作体系策略体系安全要求与对策框架客户的信息资产定级分解国家规定的各等级安全要求定制分等级的安全目标等级化安全

4、体系1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体思路4、信息系统安全现状分析3、信息安全等级保护建设目标5、基于等级保护的恶意代码防护体系建设方案信息安全等级保护建设目标信息安全等级保护建设目标保障基础设施安全保障网络连接安全保障计算环境安全保障应用系统安全安全管理体系保障1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体思路4、信息系统安全现状分析3、信息安全等级保护建设目标5、基于等级保护的恶意代码防护体系建设方案信息系统等级保护基本框架信息系统安全等级保护基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大

5、类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类，技术要求物理安全 物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护网络安全 结构安全和网段划分网络访问控制拨号安全控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护主机系统安全 身份鉴别自主访问控制强制访问控制安全审计可信路径剩余信息保护恶意代码防范入侵防范系统资源控制系统自我保护应用安全 身份鉴别访问控制通信完整性通信保密性安全审计剩余信息保护恶意代码防范抗抵赖资源控制软件容错代码安全数据安全 数据完整性数据保密性安全备份管理要求安全管理制度 管

6、理制度制订和发布评审和修订安全管理机构 岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理 人员录用人员离岗人员考核安全意识教育和培训第三方人员访问管理系统建设管理系统定级安全风险评估安全方案设计产品采购自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择系统备案系统运维管理 系统备案资产管理设备管理介质管理运行维护和监控网络安全管理系统安全管理恶意代码防范变更管理密码管理系统备案备份和恢复备份和恢复应急计划管理1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体思路4、信息系统安全现状分析3、信息安全等级保护建设目标5、基于等级保护的恶意代码防护体系建设方案信息系统

7、安全保护等级准则中对恶意代码的安全防护要求按照不同安全保护等级的要求，分别采用以下安全防护措施：严格管理：严格控制各种外来介质的使用，防止恶意代码通过介质传播；网关防护：要求在所有恶意代码可能入侵的网络连接部位设置防护网关，拦截并清除企图进入系统的恶意代码整体防护：设置恶意代码防护管理中心，通过对全系统的服务器、工作站和客户机，进行恶意代码防护的统一管理，及时发现和清除进入系统内部的恶意代码；防管结合：将恶意代码防护与网络管理相结合，在网管所涉及的重要部位设置恶意代码防护软件，在所有恶意代码能够进入的地方都采取相应的防范措施，防止恶意代码侵袭；多层防御：采用实时扫描、完整性保护和完整性检验等不

8、同层次的防护技术，将恶意代码检测、多层数据保护和集中式管理功能集成起来，提供全面的恶意代码防护功能，检测、发现和消除恶意代码，阻止恶意代码的扩散和传播。 针对恶意代码防护在不同等级中的技术要求级别防护要求达到目标第一级 用户自主保护级严格管理设计和实现恶意代码防护功能第二级 系统审计保护级严格管理和网关防护设计和实现恶意代码防护功能第三级 安全标记保护级严格管理、网关防护和整体防护设计和实现恶意代码防护功能第四级 结构化保护级安全探测机制和安全监控中心严格管理、网关防护、整体防护和防管结合设计和实现信息系统的安全监控功能设计和实现恶意代码防护功能第五级 访问验证保护级安全探测机制和安全监控中心

9、严格管理、网关防护、整体防护、防管结合和多层防御设计和实现信息系统的安全监控功能设计和实现恶意代码防护功能针对恶意代码防护在不同等级中的技术要求安全功能技术要求安全保护等级用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级恶意代码防护a）严格管理b）网关防护c）整体防护d）防管结合e）多层防御*信息系统安全监控a）安全探测机制b）安全监控中心*注：“*”号表示具有该要求。针对恶意代码防护在不同等级中的管理要求恶意代码防护管理基本要求；基于制度化的恶意代码防护管理；基于集中管控的恶意代码防护管理；基于监督检查的恶意代码防护管理；基于集中实施的恶意代码防护管理；信息安全等级保护所

10、需解决方案对应表类别安全建设领域所需解决方案网络安全网络出口边界防护交换机、路由器、防火墙、IDS/IPS域间防护交换机、路由器、防火墙、IDS/IPS网络状态嗅探网络嗅探设备、网络测试仪等网络漏洞扫描网络漏洞扫描工具网络防恶意代码杀毒、内容过滤等网关类安全设备配置和行为审计网络审计工具主机安全主机漏洞扫描主机漏洞扫描工具，配置扫描类工具主机防恶意代码主机查杀工具主机安全加固主机IPS/IDS，补丁、软件、安全策略统一分发主机资源、性能监控主机资源和性能监控平台主机集群冗余软、硬件设备、双机集群软件身份认证统一身份认证、双因子强认证等配置和行为审计主机审计工具终端安全终端防恶意代码终端查杀工具

11、终端安全加固终端 FW/IDS，补丁、软件、安全策略统一分发终端准入终端准入解决方案终端安全状况审计终端安全审计工具数据安全数据备份数据、操作系统、配置、软件代码的归档和备份平台数据防泄露数据防泄露产品数据加密加密类、数据签名类软件数据使用行为监控数据使用审计工具应用安全应用防火墙针对web server、proxy、网络应用等的特殊防火墙网页防篡改网页防篡改解决方案应用、数据库安全审计应用和数据库安全审计工具邮件审计邮件审计工具运维管理统一安全运维平台MOC安全运维平台统一资产管理平台CMDB数据库和运维平台其他制度安全制度制定、流程制定、变更管理、文档管理等物理安全机房、电力、防水、防火、防雷、人员进出等信息安全等级保护解决方案与等级满足情况(基于趋势科技产品）趋势科技安全解决方案等保考量维度满足情况二级三级NVWE、O