01.12.信息安全技术策略制定服务技术白皮书v2.0.docxVIP

绿盟科技专业服务技术白皮书

信息安全技术策略制定服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2014/01/09

V1.0

文档创建、丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2014/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的信息安全技术策略制定服务具体内容和方法，用于客户的相关人员了解绿盟科技的信息安全技术策略制定服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2服务的必要性 1

二.服务的实施标准或原则 2

2.1政策文件或标准 2

2.1.1网上银行系统信息安全通用规范 2

2.1.2《信息系统等级保护安全设计技术要求》 3

2.1.3《信息安全技术操作系统安全技术要求》（GB/T20272-2006） 6

2.1.4《信息技术安全评价通用准则》简称CC标准 6

2.2服务原则 7

三.绿盟科技信息安全技术策略制定服务 8

3.1服务范围 8

3.2服务内容 8

3.3服务流程 9

3.4服务特点 11

3.5服务报告 11

3.6服务注意事项 12

3.6.1保证策略可落地性 12

3.6.2切合客户现状 12

3.6.3客户内部讨论确定 12

四.信息安全技术策略制定思路 13

4.1终端安全技术策略 13

4.2物理安全技术策略 13

4.3网络安全技术策略 14

4.4主机安全技术策略 15

4.5应用安全技术策略 16

4.6数据安全技术策略 17

4.7其他配套支撑性文档 18

五.为什么选择绿盟科技 18

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE

-PAGE19-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

信息安全技术策略，我们起名叫以业务数据为核心的动态全周期安全技术策略。

保护对象核心是业务数据，安全技术策是动态全周期。并用业务数据把其他层面策略动态的串起来，形成以业务数据为核心的动态全周期安全技术架构。同时结合最佳实践和行业标准规范，形成可落地、前瞻性、全方位，可支撑业务信息系统安全稳定运行的整体安全技术策略。

动态分为“时间动态”和“空间动态”；“时间动态”即安全目标设计、安全需求分析，安全功能设计，安全实施，安全运维等不同时间阶段的安全技术策略，同时根据物理、网络、主机、应用、数据和终端的技术层面特点，进行针对性调整以适应不同层面的安全技术需求；“空间动态”即从办公环境里的业务终端输入业务数据，连入机房，再进入网络系统，输入至主机操作系统，进而被应用系统接受、处理，再存储在介质中或输出至业务终端和第三方。

服务的必要性

服务的必要性包括两方面：一个是通过可落地、完整性和针对性的安全技术策略；承上实现IT安全战略目标和IT安全风险管理，启下是指导和规范安全技术策略的制定和落地。二个是按照某个标准规范、通知指示进行安全技术策略的制定，以达到监管机构监管的目标。

实现战略目标和风险控制，指导安全建设开发和运维

设计和建立安全技术框架和策略时，保护对象核心是业务数据。同时结合最佳实践和行业标准规范，形成可落地、前瞻性、全方位，可支撑业务信息系统安全稳定运行的整体安全技术架构和策略。承上实现IT安全战略目标和IT安全风险管理，启下是指导和规范安全策略的制定和落地。

在机房在安全需求分析、工程验收和运维阶段，网络在设计，改造和运维时，主机在上线前安装、检查和运维时，应用系统在安全需求分析、安全设计