信息系统等级保护安全服务 建设思路.pptVIP

安鼎等保安全服务建设思路 阶段名称 主要工作描述 项目准备阶段 成立项目工作组织 明确安全建设范围和思路 制定工作计划 定级阶段 确定定级对象 摸底调查与分析 摸底调查与分析 定级报告编写 定级汇报评审 定级备案 风险评估阶段 （可选增值服务） 资产评估 现场评估 生成评估报告 等保差距分析阶段 准备差距分析表 现场差距分析 生成差距分析报告 确认差距分析结果 方案设计阶段 建设目标沟通确认 形成等保安全建设方案 方案汇报评审 修订并定稿 安全集成建设阶段 项目管理与质量控制 安全技术体系建设 安全管理体系建设 安全加固 安全培训 （辅助）测评阶段 协助测评前准备 协助现场测评 验收阶段 项目工作成果确认 整体项目终验阶段 安全运维阶段 风险评估 安全加固 安全巡检 应急响应 安全预警和通告 重大节日安全值守 项目可研、立项 协助测评 系统定级 风险评估 差距分析 方案设计 集成实施 等级保护整改和建设阶段 系统定级 风险评估 差距分析 方案设计 项目立项，招标 集成实施 协助测评 ? 项目的可行性研究（内部立项） ? 项目的初步设计，报发改委 （外部立项） ? 立项通过后，需要进行招标 ? 整个项目建设的需要符合国家 发改委的 55 号令 ? 安全建设达标的硬性指标为需 要通过等级保护的测评 风险评估 差距分析 方案设计 项目可研、立项 集成实施 协助测评 系统定级 工作成果： 信息系统定级报告 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 人工检查 评估手段 ? 先进的扫描工具 ? 强大的漏洞分析能力 漏洞扫描 安全访谈 网络架构 分析 ? 检查项的数量超额满足要求 ? 每月更新的检查列表 ? 技术能力强的实施团队 ? 黑白相结合的测试方法 ? 安全漏洞挖掘专家的支持 ? 定制工具能力强 ? 精心设计的问卷 ? 访谈内容覆盖面宽 ? 丰富的经验支持 ? 网络专家支持 ? 丰富经验支持 ? 管理专家参与 ? 参与制定多种管理标准 工作成果： 信息系统风险评估报告 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 工作成果： 信息系统差距分析报告 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 全面、广泛 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 策略和流程 物理环境 网络区域 业务和使命 人和组织 主机和系统 类别 要求 解决方案 物理安全 ? 物理位置的选择 机房选址基本满足要求，对于机房附近的水管线路进 行加固处理 ? 物理访问控制 对机房进行区域管理，设置 过度区域 、安装门禁 ? 防盗窃和防破坏 按照基本要求进行建设 配置光、电等防盗报警系统 ? 防雷击 设置 防雷保安器 ? 防火 消防、耐火、隔离 等措施 ? 防水和防潮 安装防水测试仪器 ? 防静电 安装 防静电地板 ? 温湿度控制 配备 空调系统 ? 电力供应 配备稳压器、 UPS 、 冗余供电系统 ? 电磁防护 本项目暂不需要进行电磁屏蔽 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 网络安全 ? 结构安全 中心网络分为二个区域，分别用一、二两级防火墙进行隔 离，保证重要网段与其他网段之间进行可靠的隔离； 核心交换设备和接入设备采用双机冗余配置方式，同时互 联网出口链路、内部服务域、安全服务域、安全用户域等 主要安全域均采用双机冗余部署； 互联网出口处部署 流量管理系统 ； 重要业务系统服务器部署服务器 负载均衡系统； ? 访问控制 部署 防火墙， 配置包括：端口级的控制粒度；常见应用层 协议命令过滤；会话控制；流量控制；连接数控制；防地 址欺骗等策略 ? 安全审计 在第一区域和第二区域交换机上分别旁路部署 网络安全审 计 系统 部署日志服务器进行审计记录的保存 互联网出口部署 上网行为管理系统 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 网络安全 ? 边界完整性检查 部署 终端安全管理系统 ，在进行非法外联和安全准入 检测的同时要进行有效阻断 ? 入侵防范 区域和第二区域交换机上分别旁路部署 IDS 入侵检测 系统 互联网出口最外侧部署 下一代防火墙 通过 漏洞扫描 进行主动防范 ? 恶意代码防范 在互联网边界处部署 下一代防火墙并开启 AV 模块 ? 网络设备防护 根据基本要求配置网络设备自身的身份鉴别与权限控 制；对网络设备进行安全加固。 项目可研、立项 集成实施 协助测评 系统定级 风险评估 差距分析 方案设计 类别 要求 解决方案 主机安全 ? 身份鉴别