信息安全等级保护安全建设方案制定与实施

目录信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息安全等级保护建设整改以安全保发展发展中求安全

工具扫描人工分析渗透测试调研访谈调查现状，分析风险和差距电力供应电磁防护互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据传输数据处理数据备份和恢复完整性保密性调查现状，分析风险和差距应用层主机层网络层物理层数据层计算环境区域边界网络通信安全管理调查现状，分析风险和差距确定框架，制定整改方案依据《信息系统安全等级保护基本要求》参照《信息系统等级保护安全设计技术要求》引入“安全域”的概念，强化访问控制安全技术控制策略安全管理控制策略总体方案-要点关键点：安全技术+安全管理实施统一的访问控制策略实施统一的安全控制策略关键点：划分安全域分析访问，合理设计安全策略梳理各个应用系统连接及访问用户业务安全分析-用户、操作和数据业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能实现数据库

功能组件支撑安全功能实现安全软件环境安全边界安全传输通道程序安全组件安全主机安全网络安全“业务+系统”安全=整体安全策略结合实际，部署实施安全措施技术策略技术框架3G安全IPSec……日志采集审计分析令牌技术认证协议强制访问控制ACL网络流量控制数据防泄漏匿名技术数据系统网络补丁管理威胁检测对称密码技术非对称密码技术实现实现实现选择和目标一致的安全产品三级：73个控制点290控制项参考安全产品对照（参考）参考安全产品对照（参考）业务用户登录界面/帐号/验证数据库帐号/验证组件调用协议/帐号/验证系统运行服务帐号/验证网络访问控制落实控制策略-纵深防御管理员登录界面/帐号/验证“一个中心、三重防护”为指导思想进行整体设计强化信息维护和系统维护人员系统的访问控制策略设计强化安全域之间的边界访问控制策略逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制强化访问控制策略信息安全领导小组信息安全主管（部门）安全管理员安全审计员系统管理员网络管理员数据库管理员决策、监督应用系统管理员管理执行落实信息安全责任制建立安全组织（举例）方针策略信息安全工作的纲领性文件。

制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范各部门处室安全管理工作。流程细则细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。记录表单记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据运行记录方针策略实施细则与流程制度与管理办法编写安全管理制度目录整改方案的技术路线信息安全体系框架信息安全管理体系信息安全技术体系信息安全运行体系人员安全制度标准弱点加固备份恢复决策-管理-执行-监督资源管理状态检测防恶技术物理技术意识-技能-职称-培训-考核方针策略-制度规范-流程表单监控监测内容安全日常运行管理配置管理变更管理问题管理事件管理风险管理监督检查介质管理环境管理应急响应运行监控审计安全管理中心物理网络主机应用数据系统建设安全计算环境安全区域边界安全网络通信安全保护对象定级备案设计开发实施测试验收交付服务商信息安全体系安全目标、总体安全策略弱点加固状态检测防恶技术监控监测内容安全测评检查系统管理安全管理审计管理《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号……力争在2012年底前完成已定级信息系统安全建设整改工作。……《公安机关信息安全等级保护检查工作规范》公信安[2008]736号……第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。……第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》，见附件3）。逾期不改正的，给予警告，并向其上级主管部门通报（通报书见附件4）：……《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安[2010]303号……督促备案单位开展信息系统等级测评工作，确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评，2010年底前完成测评体系建设，并完成30%第三级（含）以上信息系统的测评工作，2011年底前完成第三级（含）以上信息系统的测评工作，2012年底之前完成第三级（含）以上信息系统的安全建设整改工作。……《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发