等級(jí)保護(hù)建設(shè)整改咨詢服務(wù)方案

等級(jí)保護(hù)咨詢服務(wù)方案2023/6/61等級(jí)保護(hù)介紹2023/6/6國(guó)家等級(jí)保護(hù)制度的概述和發(fā)展歷程信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)。國(guó)務(wù)院147號(hào)令第一次提出等級(jí)保護(hù)的概念，要求對(duì)信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)。19941999GB17859國(guó)家強(qiáng)制標(biāo)準(zhǔn)發(fā)布，信息系統(tǒng)等級(jí)保護(hù)建設(shè)必須遵循的法規(guī)。2005公安部四大標(biāo)準(zhǔn)《基本要求》《定級(jí)指南》《實(shí)施指南》《測(cè)評(píng)準(zhǔn)則》2007公通字［2007］43號(hào)等級(jí)保護(hù)管理辦法發(fā)布，明確如何建設(shè)、如何監(jiān)管和如何選擇服務(wù)商等。2015工作要點(diǎn)中央網(wǎng)信領(lǐng)導(dǎo)小組2015年工作要點(diǎn)：落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度。2023/6/6等級(jí)保護(hù)建設(shè)整改項(xiàng)目流程在等級(jí)保護(hù)建設(shè)整改過(guò)程中，涉及到五個(gè)不同的角色，分別是：用戶單位、公安機(jī)關(guān)、等級(jí)保護(hù)建設(shè)整改服務(wù)商、測(cè)評(píng)機(jī)構(gòu)、安全產(chǎn)品供貨商。系統(tǒng)定級(jí)編寫定級(jí)報(bào)告、填寫定級(jí)備案表，完成在公安機(jī)關(guān)的定級(jí)備案。差距評(píng)估采用技術(shù)手段和管理手段發(fā)現(xiàn)系統(tǒng)安全現(xiàn)狀與國(guó)家要求之間的差距。方案設(shè)計(jì)依照國(guó)家相關(guān)標(biāo)準(zhǔn)，完成等級(jí)保護(hù)建設(shè)整改方案設(shè)計(jì)。建設(shè)整改完成設(shè)備采購(gòu)、策略配置、安全加固、管理制度整理等。系統(tǒng)測(cè)評(píng)請(qǐng)測(cè)評(píng)中心完成系統(tǒng)測(cè)評(píng)，獲得測(cè)評(píng)報(bào)告。用戶單位公安機(jī)關(guān)建設(shè)服務(wù)商用戶單位建設(shè)服務(wù)商用戶單位建設(shè)服務(wù)商用戶單位建設(shè)服務(wù)商用戶單位公安機(jī)關(guān)測(cè)評(píng)機(jī)構(gòu)建設(shè)服務(wù)商2023/6/6測(cè)評(píng)中心在等級(jí)保護(hù)項(xiàng)目中的角色扮演測(cè)評(píng)中心VS體檢中心共同點(diǎn)：判斷系統(tǒng)（人體）是否健康，符合要求。測(cè)評(píng)（體檢）后，發(fā)放測(cè)評(píng)報(bào)告（體檢報(bào)告），對(duì)于合格和基本合格的，可以準(zhǔn)許上線運(yùn)行（入職）。2023/6/6等級(jí)保護(hù)建設(shè)服務(wù)商的角色扮演等級(jí)保護(hù)建設(shè)服務(wù)商VS醫(yī)院系統(tǒng)（身體）有問(wèn)題，需要整改（治療），要找等級(jí)保護(hù)建設(shè)整改服務(wù)商（醫(yī)院），主要工作：建設(shè)整改設(shè)計(jì)方案編寫（處方）策略設(shè)計(jì)（藥品如何服用）安全加固（通過(guò)飲食治療）安全管理制度（告知病人生活注意事項(xiàng)）2023/6/6安全設(shè)備提供商在等級(jí)保護(hù)項(xiàng)目中的角色扮演安全設(shè)備VS藥品根據(jù)建設(shè)整改設(shè)計(jì)方案（處方），要采購(gòu)相應(yīng)的安全設(shè)備（藥），才能解決安全隱患（?。?。2023/6/62深信服等保建設(shè)整改咨詢服務(wù)內(nèi)容等級(jí)保護(hù)建設(shè)整改項(xiàng)目流程在等級(jí)保護(hù)建設(shè)整改過(guò)程中，可以劃分為以下五個(gè)階段。每個(gè)階段都有相關(guān)工作任務(wù)。系統(tǒng)定級(jí)編寫定級(jí)報(bào)告、填寫定級(jí)備案表，完成在公安機(jī)關(guān)的定級(jí)備案。差距評(píng)估采用技術(shù)手段和管理手段發(fā)現(xiàn)系統(tǒng)安全現(xiàn)狀與國(guó)家要求之間的差距。方案設(shè)計(jì)依照國(guó)家相關(guān)標(biāo)準(zhǔn)，完成等級(jí)保護(hù)建設(shè)整改方案設(shè)計(jì)。建設(shè)整改完成設(shè)備采購(gòu)、策略配置、安全加固、管理制度整理等。系統(tǒng)測(cè)評(píng)請(qǐng)測(cè)評(píng)中心完成系統(tǒng)測(cè)評(píng)，獲得測(cè)評(píng)報(bào)告。2023/6/6系統(tǒng)定級(jí)備案階段成果：定級(jí)報(bào)告、定級(jí)備案表、定級(jí)備案證明2023/6/6差距評(píng)估的方法人工檢查策略配置核查；版本補(bǔ)丁檢查；安全基線檢查；木馬檢查；漏洞掃描主機(jī)漏洞掃描；應(yīng)用漏洞掃描；源代碼掃描；云平臺(tái)掃描；滲透測(cè)試黑白結(jié)合安全漏洞專家定制工具多網(wǎng)絡(luò)架構(gòu)分析網(wǎng)絡(luò)專家支持豐富經(jīng)驗(yàn)支持安全訪談精心設(shè)計(jì)的問(wèn)卷訪談內(nèi)容覆蓋面寬豐富的經(jīng)驗(yàn)支持管理制度評(píng)估管理制度專家參與管理標(biāo)準(zhǔn)制度流程模板2023/6/6差距評(píng)估的記錄階段成果：差距評(píng)估記錄表、差距評(píng)估報(bào)告2023/6/6建設(shè)整改方案設(shè)計(jì)：一個(gè)中心三重防護(hù)安全通信網(wǎng)絡(luò)設(shè)計(jì)通信完整性和保密性流量管理控制邊界隔離邊界訪問(wèn)控制邊界入侵防范邊界惡意代碼過(guò)濾邊界完整性保護(hù)邊界安全審計(jì)主機(jī)安全加固身份鑒別數(shù)據(jù)庫(kù)審計(jì)權(quán)限管理主機(jī)防病毒應(yīng)用系統(tǒng)安全主機(jī)安全審計(jì)資源控制剩余信息保護(hù)數(shù)據(jù)備份與恢復(fù)抗抵賴技術(shù)安全計(jì)算環(huán)境設(shè)計(jì)安全區(qū)域邊界設(shè)計(jì)安全管理中心設(shè)計(jì)統(tǒng)一監(jiān)控統(tǒng)一審計(jì)統(tǒng)一管理階段成果：等級(jí)保護(hù)整改設(shè)計(jì)方案2023/6/6等級(jí)保護(hù)建設(shè)整改安全服務(wù)安全策略配置20%35%30%15%針對(duì)用戶單位實(shí)際情況和等級(jí)保護(hù)要求，制定相關(guān)設(shè)備的安全策略要求，并合理配置。安全加固針對(duì)差距評(píng)估中自身安全策略配置不當(dāng)和版本補(bǔ)丁問(wèn)題進(jìn)行處理，包括調(diào)整自身安全策略、升級(jí)版本和打補(bǔ)丁。安全管理制度整理根據(jù)差距評(píng)估的結(jié)果，針對(duì)用戶單位目前缺少的安全管理制度進(jìn)行補(bǔ)充，并編寫過(guò)程模板。安全設(shè)備采購(gòu)部署根據(jù)設(shè)計(jì)方案內(nèi)容，協(xié)助用戶單位完成安全設(shè)備的采購(gòu)和部署。階段成果：安全管理制度匯編、安全加固報(bào)告2023/6/6測(cè)評(píng)和進(jìn)入運(yùn)維階段系統(tǒng)測(cè)評(píng)自查整改后，提交測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)，根據(jù)最新測(cè)評(píng)要求，測(cè)評(píng)報(bào)告可通過(guò)分?jǐn)?shù)顯示每年的變化。自查整改執(zhí)行差距評(píng)估的工作，并根據(jù)差距評(píng)估進(jìn)行整改方案編寫，依照整改方案進(jìn)行