信息安全等级保护安全建设策划方案制定与实施教材.pptVIP

网神信息技术（北京）股份有限公司 ;目录;利用三年时间。力争2012前完成。 实现五方面目标： 一是信息系统安全管理水平明显提高； 二是信息系统安全防范能力明显增强； 三是信息系统安全隐患和安全事故明显减少； 四是有效保障信息化健康发展； 五是有效维护国家安全、社会秩序和公共利益。;已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。 新建系统要同步开展安全建设工作。;;;;;《基本要求》主要范围;建设整改工作方法;目录;方案制定与实施流程; ;;应用层; ; ;依据《信息系统安全等级保护基本要求》 参照《信息系统等级保护安全设计技术要求》 引入“安全域”的概念，强化访问控制 安全技术控制策略 安全管理控制策略;; 实施统一的访问控制策略 实施统一的安全控制策略;;按照应用的通信过程划分： 接入区 交换区 用户区 服务器区 管理区 按照业务数据的流转路径划分 存储区 前置区 终端区 传输区 备份区 ;;;;业务风险控制;;;;;业务用户登录界面/帐号/验证;“一个中心、三重防护”为指导思想进行整体设计 强化信息维护和系统维护人员系统的访问控制策略设计 强化安全域之间的边界访问控制策略 逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制 ;信息安全领导小组;方针策略 信息安全工作的纲领性文件。 ;;目录;;;《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号 ……力争在2012年底前完成已定级信息系统安全建设整改工作。……;应用层; 贯彻落实信息系统安全等级保护工作，领导层要重视。 信息系统安全等级保护工作是一个不断推进，循序渐进的过程。 信息系统安全等级保护不仅仅是安全职能部门的工作，是全员的工作。 有效落实等级保护需要与规划设计、工程建设和运维的各个环节相结合。 统一认识，是等级保护工作开展过程中的一个关键。 ;系统建设同期 练好 “内功”