信息系统等级保护三级整改示例

三级系统整改例如世博前后的等保目标杜绝由信息平安造成的群体事件关键信息系统不能中断防止办公系统信息泄露等负面事件世博前后的等保对策常态化的信息平安保障，提高自身免疫能力规定动作结合自选动作，全面进行整改加固和应急演练技术要在效劳上深化，管理要在细节上落实建立全市层面的专家团队及技术保障队伍等级保护－－世博信息平安保障Before2005?中华人民共和国计算机信息系统平安保护条例?〔1994年国务院147号令〕?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕?关于信息平安等级保护工作的实施意见?〔公通字[2004]66号〕2007?信息平安等级保护管理方法?〔公通字[2007]43号〕?关于开展全国重要信息系统平安等级保护定级工作的通知?〔公信安[2007]861号〕－－－上海市：沪公发[2007]319号?上海市迎世博信息平安保障两年行动方案?2021?2021年信息平安等级保护工作内容及具体要求?〔公信安[2021]232号〕?关于组织开展2021年度本市重要信息系统等级保护工作的通知?〔沪公发[2021]187号〕－－－沪公发[2021]173号、沪密局[2021]39号、。。。等级保护－－政策推进过程根底类?计算机信息系统平安保护等级划分准那么?GB17859-1999?信息系统平安等级保护实施指南?GB/TCCCC-CCCC报批稿

应用类定级：?信息系统平安保护等级定级指南?GB/T22240-2021建设：?信息系统平安等级保护根本要求?GB/T22239-2021?信息系统通用平安技术要求?GB/T20271-2006?信息系统等级保护平安设计技术要求?测评：?信息系统平安等级保护测评要求?GB/TDDDD-DDDD报批稿?信息系统平安等级保护测评过程指南?管理：?信息系统平安管理要求?GB/T20269-2006?信息系统平安工程管理要求?GB/T20282-2006等级保护－－十大核心标准等级保护－－完全实施过程信息系统定级平安总体规划平安设计与实施平安运行维护信息系统终止平安等级测评信息系统备案平安整改设计等级符合性检查应急预案及演练安全要求整改安全等级整改局部调整等级变更能力、措施和要求平安保护能力根本平安要求等保3级的信息系统根本技术措施根本管理措施具备包含包含满足满足实现等级保护根本平安要求某级系统物理平安技术要求管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理三级系统的控制类及控制项指标类技术/管理层面类数量项数量S类(3级)A类(3级)G类(3级)小计小计安全技术物理安全1181032网络安全106733主机安全313732应用安全522931数据安全21038安全管理安全管理制度N/A311安全管理机构520人员安全管理516系统建设管理1145系统运维管理1360合

计73（类）290（项）三级系统平安保护要求—物理平安物理平安主要涉及的方面包括环境平安〔防火、防水、防雷击等〕设备和介质的防盗窃防破坏等方面。物理平安具体包括：10个控制点物理位置的选择〔G〕、物理访问控制〔G〕、防盗窃和防破坏〔G〕、防雷击〔G)、防火〔G〕、防水和防潮〔G〕、防静电〔G〕、温湿度控制〔G〕、电力供给〔A〕、电磁防护〔S〕物理位置的选择根本防护能力高层、地下室物理访问控制根本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供给稳定电压、短期供给主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制物理平安的整改要点物理位置选择物理访问控制防盗窃和防破坏防雷击、防火、防水和防潮、防静电、温湿度控制电力供给电磁防护不做硬性要求三级系统平安保护要求—网络平安网络平安主要关注的方面包括：网络结构、网络边界以及网络设备自身平安等。网络平安具体包括：7个控制点结构平安(G)、访问控制(G)、平安审计(G)、边界完整性检查(A)、入侵防范(G)、恶意代码防范(G)、网络设备防护(G)结构平安关键设备冗余空间主要设备冗余空间访问控制访问控制设备〔用户、网段〕应用层协议过滤拨号访问限制会话终止平安审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联网络平安的整改要点子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护根本的登录鉴别组合鉴别技术特权用户的权限别离结构平安访问控制平安审计增加违规外联检测阻断产品边界完整性检查入侵防范增加网关型防毒墙产品恶意代码防范网络设备特别配置效劳网络设备防护增加网络平安审计产品三级系统平安保护要求—主机平安主机系统平安是包括效劳器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的平安。主机平安具体包括：7个控制点身份鉴别(S)、访问控制(S)、平安审计(G)、剩余信息保护(S)、入侵防范(G)、恶意代码防范(G)、资源控制(A)身份鉴别根本的身份鉴别访问控制平安策略管理用户的权限别离特权用户的权限别离平安审计效劳器根本运行情况审计审计报表剩余信息保护空间释放及信息去除主机平安的整改要点组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原那么重要效劳器：检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要效劳器最小效劳水平的检测及报警重要客户端的审计升级效劳器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别访问控制平安审计增加身份认证系统剩余信息保护入侵防范访问控制策略配置效劳比较超前较难实现主机入侵防范策略配置效劳恶意代码防范资源控制网管软件和主机配置效劳三级系统平安保护要求—应用平安应用系统的平安就是保护系统的各种应用程序平安运行。包括根本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。应用平安具体包括：9个控制点身份鉴别〔S〕、访问控制〔S〕、平安审计〔G〕、剩余信息保护〔S〕、通信完整性〔S〕、通信保密性〔S〕、抗抵赖〔G〕、软件容错〔A〕、资源控制〔A〕身份鉴别根本的身份鉴别访问控制平安策略最小授权原那么平安审计运行情况审计〔用户级〕审计报表剩余信息保护空间释放及信息去除应用平安的整改要点组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错自动保护功能资源控制资源分配限制、资源分配优先级最小效劳水平的检测及报警数据有效性检验、局部运行保护对用户会话数及系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖身份鉴别访问控制平安审计应用软件本身配置或升级剩余信息保护通信完整性访问控制策略配置效劳通信保密性抗抵赖软件容错资源控制系统审计配置效劳比较超前较难实现增加通讯加密手段建立统一的CA中心比较超前较难实现可通过配置效劳到达局部要求三级系统平安保护要求—数据平安与备份恢复数据平安主要是保护用户数据、系统数据、业务数据的保护。将对数据造成的损害降至最小。备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。数据平安和备份恢复具体包括：3个控制点数据完整性〔S〕、数据保密性〔S〕、备份和恢复〔A〕数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份数据平安及备份恢复的整改要点各类数据传输及存储异地备份网络冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放数据完整性数据保密性备份与恢复建立统一的CA中心增加通讯加密手段仅世博相关单位管理要求方面的整改24管理制度管理机构人员管理系统建设管理系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和平安管理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、平安事件处置、应急预案管理信息系统三级系统平安保护要求—平安管理制度平安管理制度包括信息平安工作的总体方针、策略、标准各种平安管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。平安管理制度具体包括：3个控制点管理制度、制定和发布、评审和修订整改要点：形成信息平安管理制度体系、统一发布、定期修订等三级系统平安保护要求—平安管理机构平安管理机构主要是在单位的内部结构上建立一整套从单位最高管理层〔董事会〕到执行管理层以及业务运营层的管理结构来约束和保证各项平安管理措施的执行。平安管理机构具体包括：5个控制点岗位设置、人员配备、授权和审批、沟通和合作、审核和检查整改要点：信息平安领导小组与职能部门、专职平安员、定期全面平安检查、定期协调会议、外部沟通与合作等三级系统平安保护要求—人员平安管理对人员平安的管理，主要涉及两方面：对内部人员的平安管理和对外部人员的平安管理。人员平安管理具体包括：5个控制点人员录用、人员离岗、人员考核、平安意识教育及培训、外部人员访问管理整改要点：全员保密协议、关键岗位人员管理、针对不同岗位的培训方案、外部人员访问管理三级系统平安保护要求—系统建设管理系统建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项平安管理活动。系统建设管理具体包括：11个控制点系统定级、平安方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、平安效劳商选择整改要点：系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实施制度化、第三方委托测试、运行起30天内备案、每年进行1次等级测评、平安效劳商的选择三级系统平安保护要求—系统运维管理系统运维管理涉及日常管理、变更管理、制度化管理、平安事件处置、应急预案管理和安管中心等。系统运维管理具体包括：13个控制点环境管理