如何建设符合信息安全等级保护要求的信息系统-福建软件应用.PPT

* * * * * * 首要环节，开始环节，但不是核心环节 不同级别的信息系统按照基本要求进行保护后， 信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 * 更加贴切的保护可以通过需求分析对基本要求进行补充。 以贯彻落实党中央、国务院关于节能减排工作部署为指导，以实现“十一五”期间重点污染物减排的目标指标为紧要任务，围绕建立与完善“减排指标体系、监测体系、考核体系”的要求，加强数据传输、数据共享、数据应用能力、业务应用支撑能力和统计基础能力等环保信息化能力的建设，为实现“十一五”节能减排和环境保护工作目标奠定基础。 * （1）省级 省环境保护厅业务专网：三级保护区域 省环境监测机构：二级保护区域 省环境监察机构：二级保护区域 省环境评估管理机构：二级保护区域 （3）地市级 省各地市环境保护局业务专网：二级保护区域 省各地市环境监测机构：二级保护区域 省各地市环境监察机构：二级保护区域 （4）县级 省各区县环境保护局业务专网：一级保护区域 * 在省环境保护厅核心网络区域，通过防火墙设备分别隔离不同的安全区域，部署漏洞扫描系统、网络入侵检测系统、网络与数据库审计系统；在连接下级地市的防火墙出口处部署防病毒网关；在网控中心部署安全管理中心服务器、防病毒服务器、日志管理服务器；在RA中心部署RA注册服务器、目录服务器、认证网关和管理终端。 在市环境保护局核心网络区域，通过防火墙设备分别隔离不同的安全区域，部署防病毒系统、网络入侵检测系统、网络与数据库审计系统；在连接下级区县的防火墙出口处部署防病毒网关。 在县环境保护局局网络区域，部署防病毒服务器，并通过VPN安全网关接入地市环境保护局。 * * 。 * * * * * 安全管理要求 -人员安全管理 序号 安全关注点 一级 二级 三级 四级 1 人员录用 2 3+ 4+ 4 2 人员离岗 2 3 3+ 3+ 3 人员考核 0 1 3 4 4 安全意识教育和培训 2 3+ 4 4 5 外部人员访问管理 1 1 2 3 合计 7 11 16 18 安全管理要求-系统建设安全管理 系统建设管理是指加强系统建设过程的管理。制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施 安全管理要求-系统建设安全管理 序号 安全关注点 一级 二级 三级 四级 1 系统定级 3 3 4 4 2 安全方案设计 3 4 5 5 3 产品采购 1 3 4 5 4 自行软件开发 2 3 5 6 5 外包软件开发 3 4 4 4 6 工程实施 1 2 3+ 4 7 测试验收 2 3 4+ 4 8 系统交付 2 3 5 5 9 系统备案 0 0 3 3 10 安全测评 0 0 4 4+ 11 安全服务商选择 2 3 3 3 合计 20 28 45 48 安全管理要求-系统运维安全管理 系统运维管理是指加强系统运维过程的管理。制定系统运维相关的管理制度，明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施 安全管理要求-系统运维安全管理 序号 安全关注点 一级 二级 三级 四级 1 环境管理 3 4 4 5 2 资产管理 1 2 4 4 3 介质管理 2 4 6+ 6+ 4 设备管理 2 4 5 5 5 安全管理中心 0 0 3 3 6 网络安全管理 2 6 8 9 7 系统安全管理 3 6 7 8 8 恶意代码防范 1 3 4 4 9 密码管理 0 1 1+ 1 10 变更管理 0 2 4 5 11 备份与恢复管理 2 3 5 6 12 安全事件处置 2 4 6 8 13 应急预案管理 0 2 5 6 合计 18 41 62 70 谢 谢 毕马宁 010 * * * * * * * * * * * * * * * * * * * * * * * * * * 分省建设目标 （1）在项目实施过程中贯彻落实工程标准规范； （2）建设省环境保护厅（局）到地市环境保护局，地市环境保护局到区县环境保护局，以及省环境保护厅（局）到省直属机构、市环境保护局到市直属机构的网络系统，并通过国家电子政务外网实现与环境保护部的连通；（直辖市为市、区县两级网络）； （3）组织落实本省（直辖市、自治区）范围内网络安全体系的建设和省级 CA系统的建设； （4）组织所辖各级机构接收部里统一下发的环境统计专项设备，保证专项专用； （5）准备机房环境，组织所辖各级机构接收并配合部署部里统一采