启明星辰公司等级保护三级系统设计方案.pdfVIP

精品文档 1 概述 1.1 项目概况 随着我国信息技术的快速发展，计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加 强对重要领域内计算机信息系统安全保护工作的监督管理，打击各类计算机违法犯罪活动，是我国信息化 顺利发展的重要保障。为加大依法管理信息网络安全工作的力度，维护国家安全和社会安定，维护信息网 络安全，使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道， 1994 年国务院颁 布了《中华人民共和国计算机信息系统安全保护条例》。条例中规定：我国的 计算机信息系统实行安全等“ 级保护。 安全等级的划分标准和安全等级保护的具体办法， 由公安部会同有关部门制定。 ”1999 年 9 月国家 质量技术监督局发布了由公安部提出并组织制定的强制性国家标准 GB 17859-1999 《计算机信息系统安全 保护等级划分准则》，为等级保护这一安全国策给出了技术角度的诠释。 2003 年的《国家信息化领导小组关于加强信息安全保障工作的意见》（ 27 号文）中指出： 要重点保护基“ 础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制 度，制定信息安全等级保护的管理办法和技术指南 ”。根据国家信息化领导小组的统一部署和安排，我国将 在全国范围内全面开展信息安全等级保护工作。 启明星辰信息技术有限公司在全面体现 GB17859-1999 的等级化标准思想的基础上， 以公安部 《信息系统安 全保护等级定级指南》和《信息系统安全等级保护测评准则》为主要指导；充分吸收近年来安全领域出现 的信息系统安全保障理论模型和技术框架 （如IATF 等）、信息安全管理标准 ISO/IEC 17799：2000 和 ISO/IEC TR 13335 系列标准；根据我国的信息化发展现状和我国特有的行政管理模式，提出了安全等级保护的整体 框架和设计方案，为指导信息系统的建设和改进，从安全等级保护技术体系和安全等级保护管理体系两个 方面分别给出了等级化的解决建议。 1.2 方案说明 本方案是在信息系统经过安全定级之后，根据信息系统安全等级保护的基本要求和安全目标，针对相应的 安全等级而提出的等级保护系统设计方案。 本方案依赖于对系统及其子系统进行的准确定级，即需要定级结果作为安全规划与设计的前提与基础。 本方案应当作为进行信息系统等级保护工作部署的指南和依据。 可以根据本方案对于网络架构、 威胁防护、 策略、区域划分、系统运维等多方面的安全进行设计、审查、改进和加强，是进行信息系统等级保护规划 和建设的参考性和实用性很强的文档。 本方案的应用建议： —— 在进行某个等级保护的具体工作规划时， 可以参考方案中各个框架的描述来策划安全策略、 需求分析、 安全措施选择等各个部分的工作。 —— 在考虑某一项安全建设时， 可以依据本方案中对于相关的技术和管理的基本要求和安全目标进行分析。 。 1 欢迎下载 精品文档 —— 在具体的信息系统使用到本方案进行规划、设计和建设时，也将用作相关部门进行等级保护测评和备 案时的文档资料。 本方案的读者包括等级保护方案的设计者、项目的承建方和用户方、信息系统的网络安全管理人员以及项 目的评审者、监管方。 1.3 设计依据 —— 公安部《信息安全等级保护管理办法》 —— 公安部《信息系统安全等级保护实施指南》 —— 公安部《信息系统安全等级保护定级指南》 —— 公安部《信息系统安全等级保护基本要求》 —— 公安部《信息系统安全等级保护测评准则》 —— 《北京市党政机关网络与信息系统安全定级指南》 —— 《北京市电子政务信息安全保障技术框架》 —— 《北京市公共服务网络与信息系统安全管理规定》 ( 市政第 163