浅析等级保护方案设计中的几个问题.docVIP

浅析等级保护方案设计中的几个问题 　　摘要：从等保思想的理解，通过对等保基本要求的具体内容分析，从等保的技术核心、终端的保护及安全部署等方面进行了探讨，并形成了设计建设等保方案的思路、步骤及需要关注的地方。 　　关键词：等级保护；方案；设计 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01 　　Several Issues of the Level Protection Design 　　Qian Weixing 　　(Peoples Bank of China Branch in Suzhou City,Suzhou215011,China) 　　Abstract:The idea of understanding and other insurance,through insurance and other basic requirements of the specific content analysis,and other security technologies from the core,the terminal protection and security arrangements and other aspects were discussed,and the formation of a building security program design ideas,steps and areas of concern. 　　Keywords:Level protection;Program;Design 　　引言：人民银行作为央行，负责协调和指导金融业信息安全，正在开展有关符合金融业的等保标准的制订及自身等保的设计和实施，并且在信息安全的指导和监管过程中引用等报作为相关依据已经势在必行。因此，作为基层央行的科技部门，在实际工作中，如何编写一个适合本单位实际情况又符合等保要求的解决方案，我觉得应该特别关注以下几点。 　　一、等保的核心思想是不同业务系统分等级进行保护 　　它根据信息系统的重要性和受破坏后的危害性，将信息系统划分成不同的等级，不同等级有着不同的保护要求。系统越重要，受破坏后危害越大，则系统的安全等级就越高，保护的要求也就越高。等保不是“二级系统要有防火墙，三级系统要有IPS，四级系统要加密。” 　　等保涵盖了信息安全的方方面面，希望通过一次性安全建设就可以实现等保合规是不现实的。一次性的安全建设只能为等保合规提供基本的条件，彻底的等保合规需要在系统日常运维等方面做大量认真细致的工作。因此，笔者觉得应该从等保的思想来源和基本要求入手，结合行业特点深入分析以后，找到等保建设的要点，以等保建设要点为基础，形成全局视角，然后在全局视角下形成方案框架，并最终形成建设方案。 　　二、等保内容可以分为管理要求和技术要求 　　在等保基本要求中，网络安全、主机安全和应用安全等部分都提出了类似的安全要求（如访问控制）。但是，对不同层次的类似要求是分别实现，还是在一个安全设备上统一实现，又或者结合安全设备和服务器以及应用系统的策略配置来综合实现，并没有做具体的规定。这需要结合实际，具体分析而定。 　　因此，笔者以为，除了物理安全是个相对独立的部分，可以单独设计外，应着眼实现等保合规的统一安全技术框架，在此框架之上，通过各种安全策略配置或者其它安全管理手段实现各种安全目标，核心就是将安全策略与设备部署分开，一个设备可能需要实现很多种不同目的的安全策略，而一个具体的安全策略也可能会在不同的设备上实现。 　　三、等保的核心思想是不同业务系统分等级保护 　　其基本要求的内容是对某一个具体的业务系统的安全要求，而实际网络中不可能只有一个业务系统，对于多个业务系统，会有不同的安全级别，完全的独立保护是不现实的。一方面，业务系统之间必然存在数据共享和交互，否则就是一个一个的信息孤岛，与信息化建设的基本目标背道而驰。另一方面，各自独立保护所需要付出的代价也是巨大的，远远超出了实际承受能力。 　　解决这一矛盾的手段是分域保护，除安全级别特别高的业务系统需要与其他系统进行物理隔离，单独保护之外，可以将其它不同的业务系统划分在不同的安全域中分别保护。安全域应采用纵向结构，应包含某一业务所需要的终端、网路、服务器、存储等全部内容。不同的安全域之间进行逻辑上的隔离，分别予以保护。同时，各个安全域共享统一的基础网络架构，以实现互联互通并降低整体投资。 　　每个逻辑网络都应该具有独立的资源、网络带宽与QoS保证等。同时，需要设计共享MPLS VPN等手段，以保证业务系统之间的互联互通。 　　根据终端需要同时处理多业务的特性，最佳的处理方式应