信息系统等级保护安全服务--建设思路绪论.pptx

安鼎等保安全服务建设思路 阶段名称 主要工作描述 项目准备阶段 成立项目工作组织 明确安全建设范围和思路 制定工作计划 定级阶段 确定定级对象 摸底调查与分析 摸底调查与分析 定级报告编写 ? 定级汇报评审 定级备案 风险评估阶段（可选增值服务） 资产评估 现场评估 ? 生成评估报告 等保差距分析阶段 准备差距分析表 现场差距分析 生成差距分析报告 确认差距分析结果 方案设计阶段 建设目标沟通确认 形成等保安全建设方案 方案汇报评审 ? 修订并定稿 安全集成建设阶段 项目管理与质量控制 安全技术体系建设 安全管理体系建设 安全加固 安全培训 （辅助）测评阶段 协助测评前准备 协助现场测评 验收阶段 项目工作成果确认 ? 整体项目终验阶段 安全运维阶段 风险评估 安全加固?? 安全巡检 应急响应 安全预警和通告 重大节日安全值守 项目可研、立项 协助测评 系统定级 风险评估 差距分析 方案设计 集成实施 等级保护整改和建设阶段 系统定级 风险评估差距分析 方案设计 项目立项，招标 集成实施 协助测评 项目的可行性研究（内部立项） 项目的初步设计，报发改委（外部立项） 立项通过后，需要进行招标 整个项目建设的需要符合国家发改委的55号令 安全建设达标的硬性指标为需要通过等级保护的测评 风险评估差距分析 方案设计 项目可研、立项 集成实施 协助测评 系统定级 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 人工检查 渗透测试 管理评估 评估手段 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 全面、广泛 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 策略和流程 物理环境 网络区域 业务和使命 人和组织 主机和系统 类别 要求 解决方案 物理安全 物理位置的选择 机房选址基本满足要求，对于机房附近的水管线路进行加固处理 物理访问控制 对机房进行区域管理，设置过度区域、安装门禁 防盗窃和防破坏 按照基本要求进行建设配置光、电等防盗报警系统 防雷击 设置防雷保安器 防火 消防、耐火、隔离等措施 防水和防潮 安装防水测试仪器 防静电 安装防静电地板 温湿度控制 配备空调系统 电力供应 配备稳压器、UPS、冗余供电系统 电磁防护 本项目暂不需要进行电磁屏蔽 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 网络安全 结构安全 中心网络分为二个区域，分别用一、二两级防火墙进行隔离，保证重要网段与其他网段之间进行可靠的隔离； 核心交换设备和接入设备采用双机冗余配置方式，同时互联网出口链路、内部服务域、安全服务域、安全用户域等主要安全域均采用双机冗余部署； 互联网出口处部署流量管理系统； 重要业务系统服务器部署服务器负载均衡系统； 访问控制 部署防火墙，配置包括：端口级的控制粒度；常见应用层协议命令过滤；会话控制；流量控制；连接数控制；防地址欺骗等策略 安全审计 在第一区域和第二区域交换机上分别旁路部署网络安全审计系统 部署日志服务器进行审计记录的保存 互联网出口部署上网行为管理系统 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 网络安全 边界完整性检查 部署终端安全管理系统，在进行非法外联和安全准入检测的同时要进行有效阻断 入侵防范 区域和第二区域交换机上分别旁路部署IDS入侵检测系统 互联网出口最外侧部署下一代防火墙 通过漏洞扫描进行主动防范 恶意代码防范 在互联网边界处部署下一代防火墙并开启AV模块 网络设备防护 根据基本要求配置网络设备自身的身份鉴别与权限控制；对网络设备进行安全加固。 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 主机安全 身份鉴别 安全加固配置 访问控制 管理员进行分级权限控制，重要设定访问控制策略进行访问控制 安全审计 部署终端安全管理系统，进行主机审计 剩余信息保护 通过对操作系统及数据库系统进行安全加固配置，及时清除剩余信息的存储空间 部署vsp虚拟安全桌面，实现虚拟桌面退出时及时清除剩余信息 入侵防范 部署终端安全管理系统进行补丁及时分发 恶意代码防范 部署终端防恶意代码软件 资源控制 进行安全加固配置，进行资源监控、检测报警 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案