等保三级技术建议书.docx
《等保三级技术建议书.docx》由会员分享,可在线阅读,更多相关《等保三级技术建议书.docx(7页珍藏版)》请在冰豆网上搜索。
等保三级技术建议书
三级等级保护建设技术建议书
1概述3
2等级保护实施概述4
2.1参照标准4
22基本原则4
2.3角色和职责5
2.4实施的基本流程6
3信息系统安全定级8
3.1参照标准8
3.2定级原理8
3.2.1信息系统安全保护级别8
3.2.2信息系统安全保护等级的定级要素8
3.3信息系统定级阶段的工作流程9
4信息系统详细设计方案11
4.1安全建设需求分析11
4.1.1网络结构安全11
4.1.2边界安全风险与需求分析11
4.1.3运维风险需求分析12
4.1.4关键服务器管理风险分析12
4.1.5关键服务器用户操作管理风险分析13
4.1.6数据库敏感数据运维风险分析14
4.1.7“人机”运维操作行为风险综合分析14
4.2安全管理需求分析15
4.3整改建议15
4.4安全保障体系总体建设16
4.5安全技术体系建设18
4.5.1建设方案设计原则18
4.5.2外网安全设计20
4.5.3内网安全设计22
4.5.4主机安全体系建设23
4.5.5应用通信安全体系24
4.5.6应用数据安全24
5整改建议(依据项目增加内容)25
5.1.1整改后拓扑25
5.1.2软硬件新增设备清单25
5.1.3软硬件产品介绍25
6三级等级保护基本要求点对点应答25
61技术要求25
6.1.1物理安全25
6.1.2网络安全28
6.1.3主机安全31
6.1.4应用安全33
6.1.5数据安全35
7信息系统安全等级测评37
7.1参照标准37
7.2等级测评概述37
7.3等级测评执行主体38
7.4等级测评内容38
7.5等级测评过程39
7.5.1测评准备活动40
7.5.2方案编制活动41
7.5.3现场测评活动42
7.5.4分析与报告编制活动43
8信息系统备案履行46
8.1信息安全等级保护备案实施细则46
1概述
需要补充
2等级保护实施概述
2.1参照标准
等级保护实施过程主要参见《信息安全技术信息系统安全等级保护实施指南》,其它标准参见国家及行业统一标准。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999
GB/T22239-20PP、GB/T20269-20PP、GB/T20270-20PP
GB/T20271-20PP等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
――计算机信息系统安全保护等级划分准则
――信息安全技术信息系统安全等级保护定级指南
――信息安全技术信息系统安全等级保护基本要求
――信息安全技术信息系统安全等级保护实施指南
――信息安全技术信息系统安全等级保护测评要求
――信息安全技术信息系统安全等级保护测评过程指南
2.2基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管
理和监督。
信息系统安全等级保护实施过程中应遵循以下基本原则:
a)自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确
定信息系统的安全保护等级,自行组织实施安全保护。
b)重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c)同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d)动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
2.3角色和职责
信息系统安全等级保护实施过程中涉及的各类角色和职责如下:
国家管理部门
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
信息系统主管部门
负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工
信息系统运营、使用单位
负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
信息安全服务机构
负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
信息安全等级测评机构
负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
信息安全产品供应商
负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
2.4实施的基本流程
信息系统实施等级保护的基本流程参见下图:
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系
统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
3信息系统安全定级
3.1参照标准
――计算机信息系统安全保护等级划分准则(GB17859)
3.2定级原理
3.2.1信息系统安全保护级别
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.2.2信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
3.2.2.1受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
3.222对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
322.3定级要素与等级的关系
建簸蟄玉与安全棵护等级的关系
嚨辖害的審悻
静害悻隈慢害I?
度
—糖擬專
产廈舰害
悅引严*■祀再
瓷民、法人和戟輕凱胡前已底叫苗
策二疥
社盘快序、公共利芸
鴨二at
«9
国專安全
HfR
3.3信息系统定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T22240-20PP,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
升级会员 