三级系统等级保护技术项目建议书.pdfVIP

华为三级等级保护建设技术建议书 目 录 1 概述 4 2 等级保护实施概述 5 2.1 参照标准 5 2.2 基本原则 5 2.3 角色和职责 7 2.4 实施的基本流程 9 3 信息系统安全定级 10 3.1 参照标准 10 3.2 定级原理 10 3.2.1 信息系统安全保护级别 10 3.2.2 信息系统安全保护等级的定级要素 10 3.3 信息系统定级阶段的工作流程 12 4 信息系统详细设计方案 14 4.1 安全建设需求分析 14 4.1.1 网络结构安全 14 4.1.2 边界安全风险与需求分析 14 4.1.3 运维风险需求分析 15 4.1.4 关键服务器管理风险分析 15 4.1.5 关键服务器用户操作管理风险分析 18 I 4.1.6 数据库敏感数据运维风险分析 19 4.1.7 “人机”运维操作行为风险综合分析 20 4.2 安全管理需求分析 21 4.3 整改建议 22 4.4 安全保障体系总体建设 24 4.5 安全技术体系建设 27 4.5.1 建设方案设计原则 27 4.5.2 外网安全设计 29 4.5.3 内网安全设计 31 4.5.4 主机安全体系建设 35 4.5.5 应用通信安全体系 35 4.5.6 应用数据安全 36 5 整改建议（依据项目增加内容） 37 5.1.1 整改后拓扑 37 5.1.2 软硬件新增设备清单 37 5.1.3 软硬件产品介绍 37 6 三级等级保护基本要求点对点应答 37 6.1 技术要求 37 6.1.1 物理安全 37 6.1.2 网络安全 41 6.1.3 主机安全 44 6.1.4 应用安全 47 6.1.5 数据安全 50 7 信息系统安全等级测评 52 7.1 参照标准 52 7.2 等级测评概述 52 7.3 等级测评执行主体 53 7.4 等级测评内容 54 7.5 等级测评过程 56 7.5.1 测评准备活动 57 7.5.2 方案编制活动 58 7.5.3 现场测评活动 59 7.5.4 分析与报告编制活动 61 8 信息系统备案履行 63 8.1 信息安全等级保护备案实施细则 63 1 概述 需要补充 2 等级保护实施概述 2.1 参照标准 等级保护实施过程主要参见《信息安全技术 信息系统安全等级 保护实施指南》，其它标准参见国家及行业统一标准。在信息系统总 体安全规划，安全设计与实施，安全运行与维护和信息系统终止等 阶段，应按照GB17859-1999、GB/T 22239-2008、GB/T20269-2006、 GB/T20270-2006 和GB/T20271-2006 等技术标准，设计、建设符合信 息安全等级保护要求的信息系统，开展信息系统的运行维护管理工 作。 ——计算机信息系统安全保护等级划分准则 ——信息安全技术 信息系统安全等级保护定级指南 ——信息安全技术 信息系统安全等级保护基本要求 ——信息安全技术 信息系统安全等级保护实施指南 ——信息安全技术 信息系统安全等级保护测评要求 ——信息安全技术 信息系统安全等级保护测评过程指南 „„ 2.2 基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进 行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以 下基本原则： a) 自主保护原 信息系统运营、使用单位及其主管部门按照国家相关法规和标 准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 b) 重点保护原 根据信息系统的重要程度、业务特点，通过划分不同安全保护 等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉 及核心业务或关键信息资产的信息系统。