等级保护整改方案.docx

1、等级保护整改方案等级保护整改方案篇一：中软华泰等级保护整改解决方案 中软华泰等级保护整改解决方案 1、等保方案设计背景 随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全 正常地运行直接关系到国家安全、经济命脉、社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度，已引起党和国家领导同志和社会各界 的关注。 由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织设计一套完整和有效的安全体系一直 是个很大的难题。行业性机构、企事业单位的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多，建设起来困难重重

2、，信息系统安全一直停 留在网络完全的建设，但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。 信息安全是国家主权、政治(原文来自： 小 草 范 文 网:等级保护整改方案)、经济、国防、社会安全和公民合法权益保障的重要保证，经党中央和国务院批准， 国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。对信息系统 实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和 战略意义。 等保解决方案依据法律法

3、规：如下图 等级保护解决方案依据技术标准：如下图基本要求是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一，是现阶段五个级别的信息系 统的基本安全保护技术和管理要求，提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施，该标准需与设计技术要求、信息安全技术网络基础 安全技术要求等其它标准配套使用。 2、信息系统安全需求分析 具体定级定级情况：根据客体被侵害的程度所造成的影响大小对系统进行划分级别，根据GB17859-1999按照安全性由低到高的顺序，规定了计算机系统安全保护能力的五个等级，即： 第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第

4、四级：结构化保护级；第五级：访问验证保护级。我国XX年开展了全国范围的信息系统等级保护定级工作，所有的信息系统也根据其重要性分别被评定了级别，并在公安部办理了相关的备案手续。中软华泰在信息系统安全需求分析时，要对客户的现有信息系统定级情况、现状描述、安全现状、定级信息系统安全防护能力的要求与信息基本要求对比进行差异性分析，研进行下一步的科学的设计。需求分析流程如下图：3、信息系统安全等级保护总体设计方案设计原则：在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。总体技术框架：信息系统等级保护安全建设的思路是根据分级分域的原则，按照一个中心下

5、的三重防御体系，建设具有自己特色的信息安全等级保护深度防御体系。一个中心和三重防护体系：按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。站系统安全架构设计：根据现有系统情况根据设计技术要求进行架构设计物理安全建设：依据基本要求中对物理安全的要求，信息系统的物理安全建设从环境安全、设备安全和介质安全三个方面实施。安全管理建设：“三分技术、七分管理”，安全管理和技术相辅相成。以基本要求为标准，结合目前、信息系统安全管理体系的现状，对信息系统的管理机

6、构、管理制度、人员管理、技术手段四个方面进行建设和加强。灾难与应急响应：为提高网络安全应急响应能力，对可能发生的信息网络系统的突发安全事件进行快速反应和恢复，最大限度地控制和减轻事件所带来的影响，确保业务的持续运行，需要制定应急响应预案。篇二：信息安全等级保护安全建设整改工作指南附件2 信息安全等级保护安全 建设整改工作指南 中华人民共和国公安部 二九年十月 前 言 为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范，以及安全建设整改工作的目标、内容和方法，公安部编写了信息安全等级保护安全建设整改工作指南，供参考。 本指南包括总则、安全管理制度建设

7、、安全技术措施建设三个部分，附录是信息安全等级保护主要标准简要说明。 由于时间仓促，经验不足，不妥之处，敬请批评指正。 目 录 1 总则(1)1.1 工作目标(1)1.2 工作内容(1)1.3 工作流程(2)1.4 标准应用(3)1.5 安全保护能力目标(5) 2 安全管理制度建设(6)2.1 落实信息安全责任制(7)2.2 信息系统安全管理现状分析(7)2.3 确定安全管理策略，制定安全管理制度(8)2.4 落实安全管理措施(8)2.4.1 人员安全管理(8)2.4.2 系统运维管理(8) 环境和资产安全管理(8) 设备和介质安全管理(9) 日常运行维护(9) 集中安全管理(9) 事件处臵与

8、应急响应(9) 灾难备份(9) 安全监测 (10)2.5 系统建设管理 (10)2.6 安全自查与调整 (10) 安全技术措施建设 (10)3.1 信息系统安全保护技术现状分析 (11)3.1.1 信息系统现状分析 (11)3.1.2 信息系统安全保护技术现状分析 (12)3.1.3 安全需求论证和确定 (12)3.2 信息系统安全技术建设整改方案设计 (12)3.2.1 确定安全技术策略，设计总体技术方案 (12) 确定安全技术策略 (12) 设计总体技术方案 (12)3.2.2 安全技术方案详细设计 (13) 物理安全设计 (13) 通信网络安全设计 (13) 区域边界安全设计 (13)

9、主机系统安全设计 (13) 应用系统安全设计 (14) 备份和恢复安全设计 (14)3.2.3 建设经费预算和工程实施计划 (14) 建设经费预算 (14) 3 3.2.4 方案论证和备案 (15)3.3 安全建设整改工程实施和管理 (15)3.3.1 工程实施和管理 (15)3.3.2 工程监理和验收 (15)3.3.3 安全等级测评 (15) 附录：信息安全等级保护主要标准简要说明 (17)篇三：信息安全等级保护安全整改方案模版 信息安全等级保护安全整改方案 xxx公司 20xx年x月 工作项目清单信息安全等级保护安全服务方案 目 录 第一章1.1 1.2 第二章2.1 2.2 2.3概述 . 8 项目背景 . 8 现状描述 . 8 总体设计 . 15 项目目标 . 15 项目原则 . 16 项目依据 . 17 2.3.1 2.3.2 2.4政策法规 . 17 标准规范 . 17实施策略 .