网络安全防护技术支持服务项目等保定级.docx

1、网络安全防护技术支持服务项目等保定级网络平安防护技术支持效劳项目+等保定级 技术方案 通信网络等保定级 实施的根本流程对信息系统实施等级保护的根本流程见图 1在平安运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的平安保护等级并未改变，应从平安运行与维护阶段进入平安设计与实施阶段，重新设计、调整和实施平安措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统平安保护等级变化时，应从平安运行与维护阶段进入信息系统定级阶段，重新开始一轮信息平安等级保护的实施过程。 信息系统定级7.1.1.2.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关

2、管理标准和GB/T AAAA-AAAA ，确定信息系统的平安保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。信息系统定级阶段的工作流程见图 2。7.1.1.2.2 信息系统分析7.1.1.2.2.1 系统识别和描述活动目标：本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统的立项、建设和管理文档。活动描述：本活动主要包括以下子活动内容：a)识别信息系统的根本信息调查了解信息系统的行业特征、主

3、管机构、业务范围、地理位置以及信息系统根本情况，获得信息系统的背景信息和联络方式。b)识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的平安责任主体。c)识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此根底上明确信息系统的边界，即确定定级对象及其范围。d)识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载

4、比拟单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的效劳范围、作用以及业务连续性方面的要求等。g)信息系统描述对收集的信息进行整理、分析，形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容 :1系统概述；2)系统边界描述；3)网络拓扑；4)设备部署；5)支撑的业务应用的种类和特性；6)处理的信息资产；7)用户的范围和用户类型；8)信息系统的管理框架。活动输出： 信

5、息系统总体描述文件。7.1.1.2.2.2 信息系统划分活动目标：本活动的目标是依据信息系统的总体描述文件，在综合分析的根底上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统总体描述文件。活动描述：本活动主要包括以下子活动内容：a)划分方法的选择一个组织机构可能运行一个大型信息系统， 为了突出重点保护的等级保护原那么，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原那

6、么。b)信息系统划分依据选择的系统划分原那么，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的根本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。c)信息系统详细描述在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的根底上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数。进一步的信息系统详细描述文件应包含以下内容：1)相对独立信息系统列表；2)每个定级对象的概述；3)每个定级对象的边界；4)每个定级对象的设备部署；5)每个定级

7、对象支撑的业务应用及其处理的信息资产类型；6)每个定级对象的效劳范围和用户类型；7)其他内容。活动输出： 信息系统详细描述文件。7.1.1.2.3 平安保护等级确定7.1.1.2.3.1 定级、审核和批准活动目标：本活动的目标是按照国家有关管理标准和 GB/T AAAA-AAAA ，确定信息系统的平安保护等级，并对定级结果进行审核和批准，保证定级结果的准确性。参与角色：信息系统主管部门，信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统总体描述文件，信息系统详细描述文件。活动描述：本活动主要包括以下子活动内容：a)信息系统平安保护等级初步确定根据国家有关管理标准和 GB/T AAAA

8、-AAAA 确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的平安保护等级。b)定级结果审核和批准信息系统运营、使用单位初步确定了平安保护等级后，有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定平安保护等级。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息平安保护等级专家评审委员会评审。活动输出：信息系统定级评审意见。7.1.1.2.3.2 形成定级报告活动目标：本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告。参与角色：信息系统主管部门，信息系统运营、使用单位。活动输入：信息系统总体描述文

9、件，信息系统详细描述文件，信息系统定级结果。活动描述：对信息系统的总体描述文档、信息系统的详细描述文件、信息系统平安保护等级确定结果等内容进行整理，形成文件化的信息系统定级结果报告。信息系统定级结果报告可以包含以下内容：a)单位信息化现状概述；b)管理模式；c)信息系统列表；d)每个信息系统的概述；e)每个信息系统的边界；f)每个信息系统的设备部署；g)每个信息系统支撑的业务应用；h)信息系统列表、平安保护等级以及保护要求组合；i)其他内容。活动输出：信息系统平安保护等级定级报告。 总体平安规划7.1.1.3.1 总体平安规划阶段的工作流程总体平安规划阶段的目标是根据信息系统的划分情况、信息系

10、统的定级情况、信息系统承载业务情况，通过分析明确信息系统平安需求，设计合理的、满足等级保护要求的总体平安方案，并制定出平安实施方案，以指导后续的信息系统平安建设工程实施。对于已运营运行的信息系统，需求分析应当首先分析判断信息系统的平安保护现状与等级保护要求之间的差距。总体平安规划阶段的工作流程见图 3。7.1.1.3.2 平安需求分析7.1.1.3.2.1 根本平安需求确实定活动目标：本活动的目标是根据信息系统的平安保护等级，判断信息系统现有的平安保护水平与国家等级保护管理标准和技术标准之间的差距，提出信息系统的根本平安保护需求。参与角色： 信息系统运营、使用单位，信息平安效劳机构，信息平安等

11、级测评机构。活动输入： 信息系统详细描述文件，信息系统平安保护等级定级报告，信息系统相关的其它文档，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动内容：a)确定系统范围和分析对象明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、平安措施状况等。初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、效劳器设备、工作站、应用系统等。b)形成评价指标和评估方案根据各个信息系统的平安保护等级从信息系统平安等级保护根本要求中选择相应等级的指标，形成评价指

12、标。根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：1)管理状况评估表格；2)网络状况评估表格；3)网络设备含平安设备评估表格；4)主机设备评估表格；5)主要设备平安测试方案；6)重要操作的作业指导书。c)现状与评价指标比照通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行平安技术和平安管理方面的评估，判断平安技术和平安管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统平安保护的根本需求。活动输出： 根本平安需求。7.1.1.3.2.2 额外 /特殊平安需求确实定活动目标：本活动的目标是通

13、过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护根本要求的局部或具有特殊平安保护要求的局部， 采用需求分析 /风险分析的方法，确定可能的平安风险，判断对超出等级保护根本要求局部实施特殊平安措施的必要性，提出信息系统的特殊平安保护需求。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，信息系统相关的其它文档。活动描述：确定特殊平安需求可以采用目前成熟或流行的需求分析 /风险分析方法， 或者采用下面介绍的活动：a)重要资产的分析明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。

14、b)重要资产平安弱点评估检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的；分析平安弱点被利用的可能性。c)重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率。d)综合风险分析分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及防止上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定平安保护的要求。活动输出： 重要资产的特殊保护要求。7.1.1.3.2.3 形成平安需求分析报告活动目标：本活动的目标是总结根本平安需求和特殊平安需求，形成平安需求分析报告。参与角色： 信息系统

15、运营，使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，根本安全需求，重要资产的特殊保护要求。活动描述：本活动主要包括以下子活动内容：a)完成平安需求分析报告根据根本平安需求和特殊的平安保护需求等形成平安需求分析报告。平安需求分析报告可以包含以下内容：1)信息系统描述；2)平安管理状况；3)平安技术状况；4)存在的缺乏和可能的风险；5)平安需求描述。6)活动输出： 平安需求分析报告。7.1.1.3.3 总体平安设计7.1.1.3.3.1 总体平安策略设计活动目标：本活动的目标是形成机构纲领性的平安策略文件，包括确定平安方针，制定安全策略，以便结合等级保护

16、根本要求和平安保护特殊要求，构建机构信息系统的安全技术体系结构和平安管理体系结构。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入： 信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告。 活动描述：本活动主要包括以下子活动内容：a)确定平安方针形成机构最高层次的平安方针文件，说明平安工作的使命和意愿，定义信息安全的总体目标，规定信息平安责任机构和职责，建立平安工作运行模式等。b)制定平安策略形成机构高层次的平安策略文件，说明平安工作的主要策略，包括平安组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。活动输出： 总体平安策略

17、文件。7.1.1.3.3.2 平安技术体系结构设计活动目标：本活动的目标是根据信息系统平安等级保护根本要求、平安需求分析报告、机构总体平安策略文件等，提出系统需要实现的平安技术措施，形成机构特定的系统平安技术体系结构，用以指导信息系统分等级保护的具体实现。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动内容：a)规定骨干网 /城域网的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出骨干网/城域网的平安保护策略和平安技术措

18、施。 骨干网 /城域网的平安保护策略和平安技术措施提出时应考虑网络线路和网络设备共享的情况， 如果不同级别的子系统通过骨干网 /城域网的同一线路和设备传输数据，线路和设备的平安保护策略和平安技术措施应满足最高级别子系统的等级保护根本要求。b)规定子系统之间互联的平安技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的平安技术措施，包括同级互联的策略、不同级别互联的策略等；提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的平安技术措施，包括同级互联的策略、不同级别互联的策略等。c)规定不同级别子系统的边界保护技术措施根

19、据机构总体平安策略文件、等级保护根本要求和平安需求，提出不同级别子系统边界的平安保护策略和平安技术措施。子系统边界平安保护策略和平安技术措施提出时应考虑边界设备共享的情况，如果不同级别的子系统通过同一设备进行边界保护，这个边界设备的平安保护策略和平安技术措施应满足最高级别子系统的等级保护根本要求。d)规定不同级别子系统内部系统平台和业务应用的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出不同级别子系统内部网络平台、系统平台和业务应用的平安保护策略和平安技术措施。e)规定不同级别信息系统机房的平安保护技术措施根据机构总体平安策略文件、等级保护根本要求和平安需求，提出不

20、同级别信息系统机房的平安保护策略和平安技术措施。信息系统机房平安保护策略和平安技术措施提出时应考虑不同级别的信息系统共享机房的情况，如果不同级别的信息系统共享同一机房，机房的平安保护策略和平安技术措施应满足最高级别信息系统的等级保护根本要求。f)形成信息系统平安技术体系结构将骨干网 /城域网、通过骨干网 /城域网的子系统互联、 局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的平安保护策略和平安技术措施进行整理、汇总，形成信息系统的平安技术体系结构。活动输出： 信息系统平安技术体系结构。7.1.1.3.3.3 整体平安管理体系结构设计活动目标：本活动的目标是根据等级保

21、护根本要求、平安需求分析报告、机构总体平安策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级信息系统制定统一的平安管理策略，又从每个信息系统的实际需求出发，选择和调整具体的平安管理措施，最后形成统一的整体平安管理体系结构。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统详细描述文件，信息系统平安保护等级定级报告，平安需求分析报告，信息系统平安等级保护根本要求。活动描述：本活动主要包括以下子活动内容：a)规定信息平安的组织管理体系和对各信息系统的平安管理职责根据机构总体平安策略文件、等级保护根本要求和平安需求，提出机构的平安组织管理机构框架，分配各个级别信

22、息系统的平安管理职责，规定各个级别信息系统的平安管理策略等。b)规定各等级信息系统的人员平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的管理人员框架，分配各个级别信息系统的管理人员职责，规定各个级别信息系统的人员平安管理策略等。c)规定各等级信息系统机房及办公区等物理环境的平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的机房和办公环境的平安策略。d)规定各等级信息系统介质、设备等的平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的介质、设备等的平安策略。e)规定各等

23、级信息系统运行平安管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的平安运行与维护框架和运维平安策略等。f)规定各等级信息系统平安事件处置和应急管理策略根据机构总体平安策略文件、等级保护根本要求和平安需求，提出各个不同级别信息系统的平安事件处置和应急管理策略等。g)形成信息系统平安管理策略框架将上述各个方面的平安管理策略进行整理、汇总，形成信息系统的整体平安管理体系结构。活动输出：信息系统平安管理体系结构。7.1.1.3.3.4 设计结果文档化活动目标：本活动的目标是将总体平安设计工作的结果文档化，最后形成一套指导机构信息平安工作的指导性文件。参与角色：

24、信息系统运营、使用单位，信息平安效劳机构。活动输入： 平安需求分析报告，信息系统平安技术体系结构，信息系统平安管理体系结构。 活动描述：对平安需求分析报告、信息系统平安技术体系结构和平安管理体系结构等文档进行整理，形成信息系统总体平安方案。信息系统总体平安方案包含以下内容：信息系统概述；总体平安策略；c)信息系统平安技术体系结构；d)信息系统平安管理体系结构。活动输出：信息系统平安总体方案。7.1.1.3.4 平安建设工程规划7.1.1.3.4.1 平安建设目标确定活动目标：本活动的目标是依据信息系统平安总体方案 一个或多个文件构成 、机构或单位信息化建设的中长期开展规划和机构的平安建设资金状

25、况确定各个时期的平安建设目标。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体方案、 机构或单位信息化建设的中长期开展规划。活动描述：本活动主要包括以下子活动内容：a)信息化建设中长期开展规划和平安需求调查了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信息化的投入，比照信息化建设过程中阶段状态与平安策略规划之间的差距，分析急迫和关键的平安问题，考虑可以同步进行的平安建设内容等。b)提出信息系统平安建设分阶段目标制定系统在规划期内一般平安规划期为 3 年所要实现的总体平安目标；制定系统短期 1 年以内要实现的平安目标，主要解决目前急迫和关键的问

26、题，争取在短期内平安状况有大幅度提高。活动输出： 信息系统分阶段平安建设目标。7.1.1.3.4.2 平安建设内容规划活动目标：本活动的目标是根据平安建设目标和信息系统平安总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的工程，说明工程之间的依赖或促进关系等。参与角色： 信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体方案，信息系统分阶段平安建设目标。活动描述：本活动主要包括以下子活动内容：a 确定主要平安建设内容根据信息系统平安总体方案明确主要的平安建设内容，并将其适当的分解。主要建设内容可能分解但不限于以下内容：1)平安根底设施建设；2)网络平安建设；

27、3)系统平台和应用平台平安建设；4)数据系统平安建设；5)平安标准体系建设；6)人才培养体系建设；7)平安管理体系建设。b确定主要平安建设工程组合平安建设内容为不同的平安建设工程，描述工程所解决的主要平安问题及所要到达的平安目标，对工程进行支持或依赖等相关性分析，对工程进行紧迫性分析，对工程进行实施难易程度分析，对工程进行预期效果分析，描述工程的具体工作内容、建设方案，形成平安建设工程列表。活动输出： 平安建设工程列表含平安建设内容 。7.1.1.3.4.3 形成平安建设工程方案活动目标：本活动的目标是根据建设目标和建设内容，在时间和经费上对平安建设工程列表进行总体考虑，分到不同的时期和阶段，

28、设计建设顺序，进行投资估算，形成平安建设工程方案。参与角色：信息系统运营、使用单位，信息平安效劳机构。活动输入：信息系统平安总体方案，信息系统分阶段平安建设目标，平安建设内容等。活动描述：对信息系统分阶段平安建设目标、平安总体方案和平安建设内容等文档进行整理，形成信息系统平安建设工程方案。平安建设工程方案可包含以下内容：a)规划建设的依据和原那么；b)规划建设的目标和范围；c)信息系统平安现状；d)信息化的中长期开展规划；e)信息系统平安建设的总体框架；f)平安技术体系建设规划；g)平安管理与平安保障体系建设规划；h)平安建设投资估算；i)信息系统平安建设的实施保障等内容。活动输出： 信息系统

29、平安建设工程方案。 平安设计与实施7.1.1.4.1 平安设计与实施阶段的工作流程平安设计与实施阶段的目标是按照信息系统平安总体方案的要求，结合信息系统平安建设工程方案，分期分步落实平安措施。 平安设计与实施阶段的工作流程见图 4。7.1.1.4.2 平安方案详细设计7.1.1.4.2.1 技术措施实现内容设计活动目标：本活动的目标是根据建设目标和建设内容将信息系统平安总体方案中要求实现的平安策略、平安技术体系结构、平安措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体标准，并将产品功能特征整理成文档。使得在信息平安产品采购和平安控制开发阶段具有依据。参与角色：信息系统运营、使用单位，信息平安效劳机构，信息平安产品供给商。活动输入：信息系统平安总体方案，信息系统平安建设工程方案，各类信息技术产品和信息平安产品技术白皮书。活动描述：本活动主要包括以下子活动内容：a)结构框架设计依据本次实施工程的建设内容和信息系统的实际情况，给出与总体平安规划阶段的平安体系结构一致的平安实现技术框架，内容可能包括平安防护的层次、信息平安产品的使用、网络子系统划分、 IP 地址规划其他内容。b)功能要求设计对平安实现技术框架中使用到的相关信息平安产品，如防火墙、