某单位等级保护三级建设规划方案.docx

XXXX等级保护三级建设规划方案xxx公司2014-01目 录1项目概述62等级保护建设流程83方案参照标准104安全区域框架115安全等级划分115.1.1定级流程115.1.2定级结果136安全风险与需求分析146.1安全技术需求分析146.1.1物理安全风险与需求分析146.1.2计算环境安全风险与需求分析146.1.3区域边界安全风险与需求分析176.1.4通信网络安全风险与需求分析186.2安全管理需求分析207技术体系方案设计217.1方案设计目标217.2方案设计框架217.3安全技术体系设计237.3.1物理安全设计237.3.2计算环境安全设计2身份鉴别2访问控制2系统安全审计2入侵防范2主机恶意代码防范2软件容错30数据完整性与保密性30备份与恢复3资源控制30客体安全重用31抗抵赖347.3.3区域边界安全设计3边界访问控制3边界完整性检查3边界入侵防范3边界安全审计3边界恶意代码防范387.3.4通信网络安全设计3网络结构安全3网络安全审计3网络设备防护40通信完整性40通信保密性4网络可信接入417.3.5安全管理中心设计4系统管理4审计管理4安全管理458安全管理体系设计479安全运维服务设计489.1安全扫描499.2人工检查499.3安全加固509.3.1流程509.3.2内容519.3.3风险规避529.4日志分析549.4.1流程549.4.2内容559.5补丁管理559.5.1流程569.5.2内容569.6安全监控579.6.1流程589.6.2内容589.7安全通告599.8应急响应609.8.1入侵调查609.8.2主机、网络异常响应609.8.3其他紧急事件619.8.4响应流程619.9安全运维服务的客户价值6210方案合规性分析6310.1技术部分6310.2管理部分8211附录：9711.1等级划分标准9711.2技术要求组合确定9811.3安全域划分方法100项目概述XXXX是……（略）国家信息化领导小组为了加强对各行业信息安全保障工作的指导，制定并实行了信息安全等级保护制度，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。根据国家对相关金融行业重要系统的定级要求，XXXX应用系统按安全等级三级的标准进行保护。下面将按照安全等级保护制度三级的标准对XXXX项目的应用体系进行设计。该阶段的总体目标是：根据前期调研的结果，分析XXXX的现状与《信息安全技术信息系统安全等级保护基本要求》-3级要求在信息安全管理和信息安全技术方面存在的差距，并提供改进建议。该阶段的主要任务是：根据《信息安全技术信息系统安全等级保护基本要求》-3级、ISO17799IATF等国家及国际标准，提出XXXX在信息资产保护技术方面的差距，并从信息的机密性、完整性及可用性等方面提出改进建议；依据根据国际标准ISO17799/ISO27001和国家等级保护三级要求，提出XXXX在信息资产保护管理制度方面的缺陷，提出改进建议。等级保护建设流程 “按需防御的等级化安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。“等级化”设计方法，是根据需要保护的信息系统确定不同的安全等级，根据安全等级确定不同等级的安全目标，形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”，分而治之，从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分，其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设；而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运行维护。”根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行： 系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依