基于等級(jí)保護(hù)的信息系統(tǒng)安全防護(hù)體系建設(shè)方案

1、基于等級(jí)保護(hù)的安全防護(hù)體系建設(shè)方案1、信息安全等級(jí)保護(hù)政策要求2、信息安全等級(jí)保護(hù)設(shè)計(jì)方案整體思路4、信息系統(tǒng)安全現(xiàn)狀分析3、信息安全等級(jí)保護(hù)建設(shè)目標(biāo)5、基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案信息安全等級(jí)保護(hù)解釋系統(tǒng)根據(jù)價(jià)值和影響力可以劃定安全等級(jí)安全保護(hù)能力或要求有差別等級(jí)匹配信息安全等級(jí)保護(hù)政策要求計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求和影響程度政策要求：27號(hào)文：綱領(lǐng)性文件，信息安全等級(jí)保護(hù)為安全國(guó)策66號(hào)文：四部委關(guān)于等級(jí)保護(hù)實(shí)施的計(jì)劃43號(hào)文：公安部的信息安全等級(jí)保護(hù)管理辦法1、信息安全等級(jí)保護(hù)政策要求2、信息安全等級(jí)保護(hù)設(shè)計(jì)方案整體思路4、信息系統(tǒng)安全現(xiàn)狀分析3、信息安全等級(jí)保護(hù)建設(shè)目標(biāo)5

2、、基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案信息安全體系框架管理體系框架組織體系框架技術(shù)體系框架安全防護(hù)機(jī)制安全監(jiān)測(cè)機(jī)制安全響應(yīng)機(jī)制安全風(fēng)險(xiǎn)管理體系安全籌劃指導(dǎo)委員會(huì)安全風(fēng)險(xiǎn)管理小組信息安全組/信息技術(shù)組信息安全基礎(chǔ)設(shè)施網(wǎng)絡(luò)防護(hù)數(shù)據(jù)保護(hù)物理防護(hù)主機(jī)防護(hù)網(wǎng)絡(luò)監(jiān)測(cè)應(yīng)用監(jiān)測(cè)物理監(jiān)測(cè)主機(jī)監(jiān)測(cè)預(yù)警/報(bào)警/審計(jì)系統(tǒng)備份與恢復(fù)評(píng)估安全風(fēng)險(xiǎn)制定安全策略實(shí)施安全策略審核策略有效性信息安全等級(jí)保護(hù)的生命周期信息系統(tǒng)等級(jí)保護(hù)實(shí)施生命周期內(nèi)的主要活動(dòng)規(guī)劃設(shè)計(jì)階段安全實(shí)施/實(shí)現(xiàn)階段安全運(yùn)行管理階段等級(jí)化風(fēng)險(xiǎn)評(píng)估安全總體設(shè)計(jì)安全建設(shè)規(guī)劃安全方案設(shè)計(jì) 安全產(chǎn)品采購(gòu)安全控制集成測(cè)試與驗(yàn)收管理機(jī)構(gòu)的設(shè)置管理制度的建設(shè)人員配置和崗位

3、培訓(xùn)安全建設(shè)過程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應(yīng)急預(yù)案安全評(píng)估和持續(xù)改進(jìn)監(jiān)督檢查定級(jí)階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級(jí)確定定級(jí)結(jié)果文檔化信息安全等級(jí)保護(hù)方案建設(shè)階段 現(xiàn)狀評(píng)估：分析信息安全現(xiàn)狀 差距分析：識(shí)別企業(yè)目前的安全現(xiàn)狀與等級(jí)保護(hù)之間的差距 需求分析：確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求 安全規(guī)劃：規(guī)劃未來(lái) 3-5年內(nèi)的需要實(shí)施的安全項(xiàng)目信息安全等級(jí)保護(hù)體系設(shè)計(jì)方法整體安全目標(biāo)分等級(jí)的保護(hù)對(duì)象框架體系建設(shè)和運(yùn)行組織體系技術(shù)體系運(yùn)作體系策略體系安全要求與對(duì)策框架客戶的信息資產(chǎn)定級(jí)分解國(guó)家規(guī)定的各等級(jí)安全要求定制分等級(jí)的安全目標(biāo)等級(jí)化安全

4、體系1、信息安全等級(jí)保護(hù)政策要求2、信息安全等級(jí)保護(hù)設(shè)計(jì)方案整體思路4、信息系統(tǒng)安全現(xiàn)狀分析3、信息安全等級(jí)保護(hù)建設(shè)目標(biāo)5、基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案信息安全等級(jí)保護(hù)建設(shè)目標(biāo)信息安全等級(jí)保護(hù)建設(shè)目標(biāo)保障基礎(chǔ)設(shè)施安全保障網(wǎng)絡(luò)連接安全保障計(jì)算環(huán)境安全保障應(yīng)用系統(tǒng)安全安全管理體系保障1、信息安全等級(jí)保護(hù)政策要求2、信息安全等級(jí)保護(hù)設(shè)計(jì)方案整體思路4、信息系統(tǒng)安全現(xiàn)狀分析3、信息安全等級(jí)保護(hù)建設(shè)目標(biāo)5、基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案信息系統(tǒng)等級(jí)保護(hù)基本框架信息系統(tǒng)安全等級(jí)保護(hù)基本要求在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大

5、類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，技術(shù)要求物理安全 物理位置選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)安全 結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)訪問控制撥號(hào)安全控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測(cè)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)主機(jī)系統(tǒng)安全 身份鑒別自主訪問控制強(qiáng)制訪問控制安全審計(jì)可信路徑剩余信息保護(hù)惡意代碼防范入侵防范系統(tǒng)資源控制系統(tǒng)自我保護(hù)應(yīng)用安全 身份鑒別訪問控制通信完整性通信保密性安全審計(jì)剩余信息保護(hù)惡意代碼防范抗抵賴資源控制軟件容錯(cuò)代碼安全數(shù)據(jù)安全 數(shù)據(jù)完整性數(shù)據(jù)保密性安全備份管理要求安全管理制度 管

6、理制度制訂和發(fā)布評(píng)審和修訂安全管理機(jī)構(gòu) 崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員安全管理 人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)第三方人員訪問管理系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全風(fēng)險(xiǎn)評(píng)估安全方案設(shè)計(jì)產(chǎn)品采購(gòu)自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案系統(tǒng)運(yùn)維管理 系統(tǒng)備案資產(chǎn)管理設(shè)備管理介質(zhì)管理運(yùn)行維護(hù)和監(jiān)控網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范變更管理密碼管理系統(tǒng)備案?jìng)浞莺突謴?fù)備份和恢復(fù)應(yīng)急計(jì)劃管理1、信息安全等級(jí)保護(hù)政策要求2、信息安全等級(jí)保護(hù)設(shè)計(jì)方案整體思路4、信息系統(tǒng)安全現(xiàn)狀分析3、信息安全等級(jí)保護(hù)建設(shè)目標(biāo)5、基于等級(jí)保護(hù)的惡意代碼防護(hù)體系建設(shè)方案信息系統(tǒng)

7、安全保護(hù)等級(jí)準(zhǔn)則中對(duì)惡意代碼的安全防護(hù)要求按照不同安全保護(hù)等級(jí)的要求，分別采用以下安全防護(hù)措施：嚴(yán)格管理：嚴(yán)格控制各種外來(lái)介質(zhì)的使用，防止惡意代碼通過介質(zhì)傳播；網(wǎng)關(guān)防護(hù)：要求在所有惡意代碼可能入侵的網(wǎng)絡(luò)連接部位設(shè)置防護(hù)網(wǎng)關(guān)，攔截并清除企圖進(jìn)入系統(tǒng)的惡意代碼整體防護(hù)：設(shè)置惡意代碼防護(hù)管理中心，通過對(duì)全系統(tǒng)的服務(wù)器、工作站和客戶機(jī)，進(jìn)行惡意代碼防護(hù)的統(tǒng)一管理，及時(shí)發(fā)現(xiàn)和清除進(jìn)入系統(tǒng)內(nèi)部的惡意代碼；防管結(jié)合：將惡意代碼防護(hù)與網(wǎng)絡(luò)管理相結(jié)合，在網(wǎng)管所涉及的重要部位設(shè)置惡意代碼防護(hù)軟件，在所有惡意代碼能夠進(jìn)入的地方都采取相應(yīng)的防范措施，防止惡意代碼侵襲；多層防御：采用實(shí)時(shí)掃描、完整性保護(hù)和完整性檢驗(yàn)等不

8、同層次的防護(hù)技術(shù)，將惡意代碼檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來(lái)，提供全面的惡意代碼防護(hù)功能，檢測(cè)、發(fā)現(xiàn)和消除惡意代碼，阻止惡意代碼的擴(kuò)散和傳播。 針對(duì)惡意代碼防護(hù)在不同等級(jí)中的技術(shù)要求級(jí)別防護(hù)要求達(dá)到目標(biāo)第一級(jí) 用戶自主保護(hù)級(jí)嚴(yán)格管理設(shè)計(jì)和實(shí)現(xiàn)惡意代碼防護(hù)功能第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)嚴(yán)格管理和網(wǎng)關(guān)防護(hù)設(shè)計(jì)和實(shí)現(xiàn)惡意代碼防護(hù)功能第三級(jí) 安全標(biāo)記保護(hù)級(jí)嚴(yán)格管理、網(wǎng)關(guān)防護(hù)和整體防護(hù)設(shè)計(jì)和實(shí)現(xiàn)惡意代碼防護(hù)功能第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí)安全探測(cè)機(jī)制和安全監(jiān)控中心嚴(yán)格管理、網(wǎng)關(guān)防護(hù)、整體防護(hù)和防管結(jié)合設(shè)計(jì)和實(shí)現(xiàn)信息系統(tǒng)的安全監(jiān)控功能設(shè)計(jì)和實(shí)現(xiàn)惡意代碼防護(hù)功能第五級(jí) 訪問驗(yàn)證保護(hù)級(jí)安全探測(cè)機(jī)制和安全監(jiān)控中心

9、嚴(yán)格管理、網(wǎng)關(guān)防護(hù)、整體防護(hù)、防管結(jié)合和多層防御設(shè)計(jì)和實(shí)現(xiàn)信息系統(tǒng)的安全監(jiān)控功能設(shè)計(jì)和實(shí)現(xiàn)惡意代碼防護(hù)功能針對(duì)惡意代碼防護(hù)在不同等級(jí)中的技術(shù)要求安全功能技術(shù)要求安全保護(hù)等級(jí)用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問驗(yàn)證保護(hù)級(jí)惡意代碼防護(hù)a）嚴(yán)格管理b）網(wǎng)關(guān)防護(hù)c）整體防護(hù)d）防管結(jié)合e）多層防御*信息系統(tǒng)安全監(jiān)控a）安全探測(cè)機(jī)制b）安全監(jiān)控中心*注：“*”號(hào)表示具有該要求。針對(duì)惡意代碼防護(hù)在不同等級(jí)中的管理要求惡意代碼防護(hù)管理基本要求；基于制度化的惡意代碼防護(hù)管理；基于集中管控的惡意代碼防護(hù)管理；基于監(jiān)督檢查的惡意代碼防護(hù)管理；基于集中實(shí)施的惡意代碼防護(hù)管理；信息安全等級(jí)保護(hù)所

10、需解決方案對(duì)應(yīng)表類別安全建設(shè)領(lǐng)域所需解決方案網(wǎng)絡(luò)安全網(wǎng)絡(luò)出口邊界防護(hù)交換機(jī)、路由器、防火墻、IDS/IPS域間防護(hù)交換機(jī)、路由器、防火墻、IDS/IPS網(wǎng)絡(luò)狀態(tài)嗅探網(wǎng)絡(luò)嗅探設(shè)備、網(wǎng)絡(luò)測(cè)試儀等網(wǎng)絡(luò)漏洞掃描網(wǎng)絡(luò)漏洞掃描工具網(wǎng)絡(luò)防惡意代碼殺毒、內(nèi)容過濾等網(wǎng)關(guān)類安全設(shè)備配置和行為審計(jì)網(wǎng)絡(luò)審計(jì)工具主機(jī)安全主機(jī)漏洞掃描主機(jī)漏洞掃描工具，配置掃描類工具主機(jī)防惡意代碼主機(jī)查殺工具主機(jī)安全加固主機(jī)IPS/IDS，補(bǔ)丁、軟件、安全策略統(tǒng)一分發(fā)主機(jī)資源、性能監(jiān)控主機(jī)資源和性能監(jiān)控平臺(tái)主機(jī)集群冗余軟、硬件設(shè)備、雙機(jī)集群軟件身份認(rèn)證統(tǒng)一身份認(rèn)證、雙因子強(qiáng)認(rèn)證等配置和行為審計(jì)主機(jī)審計(jì)工具終端安全終端防惡意代碼終端查殺工具

11、終端安全加固終端 FW/IDS，補(bǔ)丁、軟件、安全策略統(tǒng)一分發(fā)終端準(zhǔn)入終端準(zhǔn)入解決方案終端安全狀況審計(jì)終端安全審計(jì)工具數(shù)據(jù)安全數(shù)據(jù)備份數(shù)據(jù)、操作系統(tǒng)、配置、軟件代碼的歸檔和備份平臺(tái)數(shù)據(jù)防泄露數(shù)據(jù)防泄露產(chǎn)品數(shù)據(jù)加密加密類、數(shù)據(jù)簽名類軟件數(shù)據(jù)使用行為監(jiān)控?cái)?shù)據(jù)使用審計(jì)工具應(yīng)用安全應(yīng)用防火墻針對(duì)web server、proxy、網(wǎng)絡(luò)應(yīng)用等的特殊防火墻網(wǎng)頁(yè)防篡改網(wǎng)頁(yè)防篡改解決方案應(yīng)用、數(shù)據(jù)庫(kù)安全審計(jì)應(yīng)用和數(shù)據(jù)庫(kù)安全審計(jì)工具郵件審計(jì)郵件審計(jì)工具運(yùn)維管理統(tǒng)一安全運(yùn)維平臺(tái)MOC安全運(yùn)維平臺(tái)統(tǒng)一資產(chǎn)管理平臺(tái)CMDB數(shù)據(jù)庫(kù)和運(yùn)維平臺(tái)其他制度安全制度制定、流程制定、變更管理、文檔管理等物理安全機(jī)房、電力、防水、防火、防雷、人員進(jìn)出等信息安全等級(jí)保護(hù)解決方案與等級(jí)滿足情況(基于趨勢(shì)科技產(chǎn)品）趨勢(shì)科技安全解決方案等?？剂烤S度滿足情況二級(jí)三級(jí)NVWE、O