企业等保建设总体规划.docxVIP

PAGE 1 PAGE 1 企业等保建设总体规划  文中简要介绍了中国信息系统安全等级保护工作进展，等级保护建设总体规划依据与设计原则。对以信息系统安全等级保护基本要求为依据，信息系统等级保护设计技术要求为指导下的“分区、分级、分域”的防护方针，和以安全管理中心、边界安全防护、本地计算环境安全防护和通信网络安全防护框架下的“一个中心、三重防护”设计思路进行了重点阐述，该总体规划可供各行业在信息系统等级保护建设规划设计时参考。  引言  1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(147号令)规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的详细方法，由公安部会同有关部门制定”，要求实行安全等级保护。  1999年，国家质量技术监督局正式发布了强制性国家标准GB17859-1999，《计算机信息系统安全保护等级划分准则》。  2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号文件)明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理方法和技术指南”。  2004年9月15日，由公安部、国家保密局、国家密码管理局和国信办联合下发的《关于信息安全等级保护工作的实施意见》(66号文件)，明确了实施等级保护的基本做法。  2007年6月22日，又由4单位联合下发《信息安全等级保护管理方法》(43号文件)，规范了信息安全等级保护的管理。2007年7月20日，公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。  2009年10月27日，公安部下发关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函(公信安1429号)，要求各单位力争在2012年底前完成已定级信息系统安全建设整改工作。  1等级保护建设总体规划依据  企业开展信息系统安全等级保护整改建设规划工作时，应依据国家对信息系统等级保护相关制度规范，并结合本行业主管部门的相关要求进行，如：《信息安全等级保护安全建设整改工作指南》(公信安[200911429号)；GB／T17859《计算机信息系统安全保护等级划分准则》；CB／T22239—2008《信息安全技术信息系统安全等级保护基本要求》；GB／T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》；GB／T25058～2010《信息安全技术信息系统安全等级保护实施指南》；GB／T20270—2006《信息安全技术网络基础安全技术要求》；GB／T20271～2006《信息安全技术信息系统通用安全技术要求》；GB／T20272—2006《信息安全技术操作系统安全技术要求》；GB／T20273—2006《信息安全技术数据库管理系统安全技术要求》；GB／T20282—2006《信息安全技术信息系统安全工程管理要求》；GA／T709—2007《信息安全技术信息系统安全等级保护基本模型》；GA／T710—2007《信息安全技术信息系统安全等级保护基本配置》。  2等级保护建设总体规划设计原则  等保总体规划设计应从技术和管理两方面进行考虑，管理要求可参照GB／T22080～2008要求，应遵循以下原则：  ①合规性原则，安全防护要求应符合国家和行业主管部门颁发的标准要求。  ②体系性原则，等保总体规划要遵循科学、先进的安全防护体系。  ③风险管理原则，依据信息系统面临的安全风险，在系统安全与可用性、经济性之间进行适当的均衡，采取有针对性的安全防护措施。  ④等级化原则，对不同安全等级的信息系统，采取相应的安全防护措施，实现不同的安全防护。  ⑤牢靠性原则，确保信息系统安全牢靠运行是等保建设总体规划设计的根本目标。  ⑥经济性原则，总体规划设计要从经济性着眼。  3总体设计思路  以信息系统安全等级保护基本要求为依据，信息系统等级保护设计技术要求为指导，根据“分区、分级、分域”的防护方针，将各系统根据其所处的网络环境、应用模式及定级等，分别划至相应的安全区和安全域，以“一个中心，三重防护”框架，构建安全机制和安全策略。  (1)分区  依据企业网络规模、现状和承载的业务应用系统，从规律的角度将企业网络进行分区，对各分区有针对性地实施安全防护策略。如可将企业网络划分成办公内网、办公外网和专用网络等。  (2)分级  依据企