等保整改和的安全的建設(shè)方案設(shè)計(jì)

1、 .wd. .wd. .wd.等級(jí)保護(hù)整改與安全建設(shè)方案前言等級(jí)保護(hù)保護(hù)整改與安全建設(shè)工作重要性依據(jù)公通字200743號(hào)文的要求，信息系統(tǒng)定級(jí)工作完成后，運(yùn)營(yíng)、使用單位首先要按照相關(guān)的管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展安全建設(shè)和整改，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)展信息系統(tǒng)安全建設(shè)或者改建工作。等級(jí)保護(hù)整改的核心是根據(jù)用戶的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn)，在確定不同系統(tǒng)重要程度的根基上，進(jìn)展重點(diǎn)保護(hù)。整改工作要遵循國家等級(jí)保護(hù)相關(guān)要求，將等級(jí)保護(hù)要求表到達(dá)方案、產(chǎn)品和安全服務(wù)中去，并切實(shí)結(jié)合用戶信息安全建設(shè)的實(shí)際需求，建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保

2、障體系，將等級(jí)保護(hù)制度確實(shí)落實(shí)到企業(yè)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)，保障企業(yè)的信息安全。等級(jí)保護(hù)整改與安全建設(shè)過程等級(jí)保護(hù)整改與安全建設(shè)是基于國家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對(duì)客戶已定級(jí)備案的信息系統(tǒng)、或打算按照等保要求進(jìn)展安全建設(shè)的信息系統(tǒng)，結(jié)合客戶組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)實(shí)際情況，通過一套標(biāo)準(zhǔn)的等保整改正程，協(xié)助客戶進(jìn)展不安全因素評(píng)估和等級(jí)保護(hù)差距分析，制定完整的安全整改建議方案，并根據(jù)需要協(xié)助客戶對(duì)落實(shí)整改實(shí)施方案或進(jìn)展方案的評(píng)審、招投標(biāo)、整改監(jiān)理等工作，協(xié)助客戶完成信息系統(tǒng)等級(jí)保護(hù)整改和安全建設(shè)工作。等保整改與建設(shè)過程主要包括：等級(jí)保護(hù)差距分析、等

3、級(jí)保護(hù)整改建議方案、等級(jí)保護(hù)整改實(shí)施三個(gè)階段。(一)等級(jí)保護(hù)差距分析1.等級(jí)保護(hù)不安全因素評(píng)估1)評(píng)估目的對(duì)信息系統(tǒng)進(jìn)展安全等級(jí)評(píng)估是國家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)展安全建設(shè)和管理的重要組成局部。等級(jí)評(píng)估不同于按照等級(jí)保護(hù)要求進(jìn)展的等保差距分析。不安全因素評(píng)估的目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全不安全因素狀況，而差距分析那么是按照等保的所有要求進(jìn)展符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。可以說，不安全因素評(píng)估的結(jié)果更能表達(dá)是客戶信息系統(tǒng)技術(shù)層面的安全現(xiàn)狀，比差距分析結(jié)果在技術(shù)上更加深入。不安全因素評(píng)估的結(jié)果和差距分析結(jié)果都是整改建議方案的輸入。通過專業(yè)

4、的等級(jí)評(píng)估服務(wù)，協(xié)助用戶完成以下的目標(biāo)： 了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀； 確定可能對(duì)資產(chǎn)造成危害的威脅； 確定威脅實(shí)施的可能性； 對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的； 對(duì)最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞； 明確信息系統(tǒng)的已有安全措施的有效性； 明晰信息系統(tǒng)的安全管理需求。2)評(píng)估內(nèi)容 資產(chǎn)識(shí)別與賦值 主機(jī)安全性評(píng)估 數(shù)據(jù)庫安全性評(píng)估 安全設(shè)備評(píng)估現(xiàn)場(chǎng)不安全因素評(píng)估用到的主要評(píng)估方法包括： 漏洞掃描 控制臺(tái)審計(jì) 技術(shù)訪談3)評(píng)估分析根據(jù)現(xiàn)場(chǎng)收集的信息及對(duì)這些信息的分析，評(píng)估小組形成定級(jí)信息系統(tǒng)的弱點(diǎn)評(píng)估報(bào)

5、告、不安全因素評(píng)估報(bào)告等文檔，使客戶充分了解信息系統(tǒng)存在的不安全因素，作為等保差距分析的一項(xiàng)重要輸入，并作為后續(xù)整改建設(shè)的重要依據(jù)。2.等保差距分析通過差距分析，可以了解客戶信息系統(tǒng)的現(xiàn)狀，確定當(dāng)前系統(tǒng)與相應(yīng)保護(hù)等級(jí)要求之間的差距，確定不符合安全項(xiàng)。1)準(zhǔn)備差距分析表工程組通過準(zhǔn)備好的差距分析表，與客戶確認(rèn)現(xiàn)場(chǎng)溝通的對(duì)象部門和人員，準(zhǔn)備相應(yīng)的檢查內(nèi)容。在整理差距分析表時(shí)，整改工程組會(huì)根據(jù)信息系統(tǒng)的安全等級(jí)從 基本要求中選擇相應(yīng)等級(jí)的 基本安全要求，根據(jù)及不安全因素評(píng)估的結(jié)果進(jìn)展調(diào)整，去掉不適用項(xiàng)，增加不能滿足客戶信息系統(tǒng)需求的安全要求。差距分析表包含以下內(nèi)容： 安全技術(shù)差距分析：包括網(wǎng)絡(luò)安全、

6、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)； 安全管理差距分析：包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理； 系統(tǒng)運(yùn)維差距分析：包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置； 物理安全差距分析：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。不同安全保護(hù)級(jí)別的系統(tǒng)所使用的差距分析表的內(nèi)容也不同。2)現(xiàn)場(chǎng)差距分析整改工程組依據(jù)差距分析表中的各項(xiàng)安全要求，比照信息系統(tǒng)現(xiàn)狀和安全要求之間 的差距，確定不符合項(xiàng)?，F(xiàn)場(chǎng)

7、工作階段，整改工程組可分為管理檢查組和技術(shù)檢查組兩個(gè)小組。在差距分析階段，可以通過以下方式收集信息，詳細(xì)了解客戶信息系統(tǒng)現(xiàn)狀，并通過分析所收集的資料和數(shù)據(jù)，以確認(rèn)客戶信息系統(tǒng)的建設(shè)是否符合該等級(jí)的安全要求，需要進(jìn)展哪些方面的整改。 查驗(yàn)文檔資料 人員訪談 現(xiàn)場(chǎng)測(cè)試3)生成差距分析報(bào)告完成現(xiàn)場(chǎng)差距分析之后，整改工程組歸納整理、分析現(xiàn)場(chǎng)記錄，找出目前信息系統(tǒng)與等級(jí)保護(hù)安全要求之間的差距，明確不符合項(xiàng)，生成?等級(jí)保護(hù)差距分析報(bào)告?。(二)等級(jí)保護(hù)整改建議方案1.整改目標(biāo)溝通確認(rèn)通過與客戶高層領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門和信息安全管理部門進(jìn)展廣泛的溝通協(xié)商，會(huì)依據(jù)不安全因素評(píng)估和差距分析的結(jié)果，明確等級(jí)保護(hù)整改

8、工作的工作目標(biāo)，提出等級(jí)保護(hù)整改建議方案。對(duì)暫時(shí)難以進(jìn)展整改的局部?jī)?nèi)容，將在討論后作為遺留問題，明確列在整改建議方案中。2.總體框架根據(jù)等保安全要求，提出如下的安全整改建議，其中PMOT體系是信息安全保障總體框架模型。圖 信息安全PMOT體系模型根據(jù)建議方案的設(shè)計(jì)原那么，協(xié)助客戶制定總體安全保障體系架構(gòu)，包括制定安全策略，結(jié)合等級(jí)保護(hù) 基本要求和安全保護(hù)特殊要求，來構(gòu)建客戶信息系統(tǒng)的安全技術(shù)體系、安全管理體系及安全運(yùn)維體系，具體內(nèi)容包括： 建設(shè)和完善安全策略：最高層次的安全策略文件，說明安全工作的使命和意愿，定義信息安全工作的總體目標(biāo)。 安全技術(shù)體系：安全技術(shù)的保障包括網(wǎng)絡(luò)邊界防御、安全通信網(wǎng)

9、絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全、檢測(cè)響應(yīng)體系、冗余與備份以及安全管理中心。 建設(shè)和完善安全管理體系：建設(shè)安全管理制度，建設(shè)信息安全組織，標(biāo)準(zhǔn)人員管理和系統(tǒng)建議管理。 安全運(yùn)維體系：機(jī)房安全，資產(chǎn)及設(shè)備安全，網(wǎng)絡(luò)與系統(tǒng)安全管理、監(jiān)控和安全管理等。展開后的等級(jí)保護(hù)整改與安全建設(shè)總體框架如以以下圖所示，從信息安全整體策略Policy、安全管理體系Management、安全技術(shù)體系Technology、安全運(yùn)維Operation四個(gè)層面落實(shí)等級(jí)保護(hù)安全 基本要求。圖4 等級(jí)保護(hù)整改與安全建設(shè)總體框架3.方案說明 信息安全策略信息安全策略是最高管理層對(duì)信息安全的期望和承諾的表達(dá)，位于整個(gè)PMOT信息安全體系的頂

10、層，也是安全管理體系的最高指導(dǎo)方針，明確了信息安全工作總體目標(biāo)，對(duì)技術(shù)和管理各方面的安全工作具有通用指導(dǎo)性。 安全技術(shù)體系根據(jù)整改目標(biāo)提出整改方案的安全技術(shù)保障體系，將保障體系框架中要求實(shí)現(xiàn)的網(wǎng)絡(luò)、主機(jī)和應(yīng)用安全落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體標(biāo)準(zhǔn)，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)，主要內(nèi)容包括：網(wǎng)絡(luò)邊界護(hù)御、安全通信網(wǎng)絡(luò)、主機(jī)與應(yīng)用防護(hù)體系、檢測(cè)響應(yīng)體系、冗余與備份、信息安全管理中心。 安全管理體系為滿足等保 基本要求，應(yīng)建設(shè)和完善安全管理體系，包括：完善安全制度體系、完善安全組織、標(biāo)準(zhǔn)人員管理、標(biāo)準(zhǔn)系統(tǒng)建設(shè)管理。 安全

11、運(yùn)維體系為滿足等保 基本要求，應(yīng)建設(shè)和完善安全運(yùn)維體系，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)與系統(tǒng)安全管理、系統(tǒng)安全管理、備份與恢復(fù)、惡意代碼防范、變更管理、信息安全事件管理等。(三)等級(jí)保護(hù)整改實(shí)施為了更好地協(xié)助客戶落實(shí)等保的整改工作，可以作為集成商、咨詢方、或者監(jiān)理方，協(xié)助客戶落實(shí)整改實(shí)施方案，或協(xié)助進(jìn)展整改實(shí)施方案的評(píng)審、招投標(biāo)、工程監(jiān)理等工作，以完成系統(tǒng)整改和安全建設(shè)工作。1.制定整改實(shí)施方案在確定整改實(shí)施的承建單位后，會(huì)提交相關(guān)的工程實(shí)施文檔，包括參照整改建議方案而編制的工程實(shí)施技術(shù)規(guī)劃等文檔，其中涵蓋安全建設(shè)階段的各項(xiàng)實(shí)施細(xì)節(jié)，主要有： 工程產(chǎn)品配置清單 實(shí)施設(shè)計(jì)方案 實(shí)施準(zhǔn)備工作描述，實(shí)施工作步驟 實(shí)施不安全因素躲避方案 實(shí)施驗(yàn)證方案 現(xiàn)場(chǎng)培訓(xùn)方案工程實(shí)施文檔應(yīng)經(jīng)客戶方的工程負(fù)責(zé)人確認(rèn)后，方可進(jìn)展實(shí)施。2.整改建設(shè)實(shí)施承擔(dān)工程實(shí)施的工作，確保落實(shí)客戶信息系統(tǒng)的安全保護(hù)技術(shù)措施，建設(shè)健全信息安全管理制度，全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。3.整改實(shí)施工程驗(yàn)收整改實(shí)施工作