等级保护关键技术专项方案.docVIP

信息系统等级保护建设 指导要求 （三级） 目录 TOC \o 1-3 \h \z \u 1. 范围 - 1 - 2. 项目背景 - 2 - 2.1. 序言 - 2 - 2.2. 开展信息安全等级保护法规、政策和技术依据 - 3 - 2.2.1信息安全等级保护相关法规、政策、文件 - 6 - 2.2.2信息安全等级保护技术标准体系及其关系 - 9 - 3. 方案设计要求 - 17 - 3.1. 方案设计思想 - 17 - 3.1.1构建符合信息系统等级保护要求安全体系结构 - 17 - 3.1.2建立科学实用全程访问控制机制 - 17 - 3.1.3加强源头控制，实现基础关键层纵深防御 - 18 - 3.1.4面向应用，构建安全应用支撑平台 - 19 - 3.2. 建设标准 - 19 - 3.3. 建设内容 - 20 - 3.3.1信息系统定级整改计划 - 20 - 3.3.2信息系统安全等级保护整体架构设计（三级） - 21 - 3.4. 计算环境安全设计 - 27 - 5.1.1用户身份判别 - 27 - 5.1.2强制访问控制 - 28 - 5.1.3系统安全审计 - 29 - 5.1.4用户数据完整性保护 - 29 - 5.1.5用户数据机密性保护 - 30 - 5.1.6客体安全重用 - 30 - 5.1.7程序可实施保护 - 30 - 3.5. 区域边界安全设计 - 30 - 5.2.1区域边界访问控制 - 31 - 5.2.2区域边界包过滤 - 34 - 5.2.3区域边界安全审计 - 34 - 5.2.4区域边界完整性保护 - 35 - 3.6. 安全通信网络设计 - 35 - 3.7. 安全管理中心设计 - 35 - 4. 物理安全要求 - 36 - 4.1. 信息系统中心机房安全现实状况 - 36 - 4.2. 信息系统物理安全方面提出要求 - 37 - 4.3. 信息系统物理安全建设 - 37 - 5.3.1环境安全 - 38 - 5.3.2设备安全 - 41 - 5.3.3介质安全 - 42 - 5. 管理安全要求 - 47 - 5.1. 信息系统安全管理要求 - 48 - 5.2. 信息系统安全管理建设设计 51 6.2.1安全管理建设标准 51 6.2.2安全管理建设指导思想 51 6.2.3安全管理建设具体方法 51 5.3. 信息系统安全建设总结 59 6. 设备要求 59 6.1. 设备选型标准 60 6.2. 产品分类选型指标 61 6.2.1. 主机安全管理平台指标 61 6.2.2. 应用安全防护系统指标 62 6.2.3. 终端安全防护系统（服务器版）指标 64 6.2.4. 终端安全防护系统（PC版）指标 65 6.2.5. 身份认证网关指标 68 6.2.6. 数据库审计系统指标 68 6.2.7. 防火墙选型指标 70 6.2.8. 防病毒网关指标 71 6.2.9. 入侵检测系统指标 72 6.2.10. 漏洞扫描系统指标 73 6.2.11. 抗拒绝服务系统指标 74 6.2.12. 流量控制网关指标 75 6.2.13. 网络审计系统指标 76 6.2.14. VPN设备选型指标 77 6.3. 信息系统安全等级保护建设安全产品配置清单（三级） 79 附件一：术语和定义 81 附件二：方案设计参考法规、政策、标准（含国家标准、行标、已送批）列表 91 方案设计要求 方案设计思想 构建符合信息系统等级保护要求安全体系结构 平台安全建设需要在整体信息安全体系指导下进行实施，确保信息安全建设真正发挥效力。 伴随计算机科学技术不停发展，计算机产品不停增加，信息系统也变得越来越复杂。从体系架构角度看，任何一个信息系统全部由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户工作环境，由完成信息存放和处理计算机系统硬件和系统软件和外部设备及其连接部件组成，计算环境安全是信息系统安全关键，是授权和访问控制源头；区域边界是计算环境边界，对进入和流出计算环境信息实施控制和保护；通信网络是计算环境之间实现信息传输功效部分。在这三个层次中，假如每一个使用者全部是经过认证和授权，其操作全部是符合要求，那么就不会产生攻击性事故，就能确保整个信息系统安全。 建立科学实用全程访问控制机制 访问控制机制是信息系