网神信息技术(北京)股份有限公司目录利用三年时间。力争2012前完成。实现五方面目标:一是信息系统安全管理水平明显提高;二是信息系统安全防范能力明显增强;三是信息系统安全隐患和安全事故明显减少;四是有效保障信息化健康发展;五是有效维护国家安全、社会秩序和公共利益。(摘自“公信安[2009]1429号”文件)信息安全等级保护建设整改目标已备案的第二级(含)以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。新建系统要同步开展安全建设工作。信息安全等级保护建设整改范围信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息安全等级保护建设整改工作以安全保发展发展中求安全标准计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准管理类产品类数据库管理系统安全技术要求其他产品类标准操作系统安全技术要求网络基础安全技术要求网络和终端设备隔离部件技术要求信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级保护安全建设整改工作信息安全等级保护建设整改依据《基本要求》技术能力《基本要求》管理能力《基本要求》主要范围建设整改工作方法目录方案制定与实施流程安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5工具扫描人工分析渗透测试调研访谈调查现状,分析风险和差距电力供应电磁防护互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据传输数据处理数据备份和恢复完整性保密性调查现状,分析风险和差距应用层主机层网络层物理层数据层计算环境区域边界网络通信安全管理调查现状,分析风险和差距安全需求分析报告1.信息系统描述;2.安全管理状况;3.安全技术状况;4.存在的不足和可能的风险;5.安全需求描述。安全需求分析报告确定框架,制定整改方案第一级系统安全保护环境第一级安全通信网络第一级安全区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境定级系统互联跨定级系统安全管理中心/安全互联部件依据《信息系统安全等级保护基本要求》参照《信息系统等级保护安全设计技术要求》引入“安全域”的概念,强化访问控制安全技术控制策略安全管理控制策略总体方案-要点关键点:安全技术+安全管理实施统一的访问控制策略实施统一的安全控制策略关键点:划分安全域•网络的层次划分方法•电子政务内网•电子政务外网•业务专网(广域网)•互联网•安全域的宏观划分•安全计算域•安全用户域•安全网络域(接入域、交换域、核心域)划分安全域(参考)按照应用的通信过程划分:接入区交换区用户区服务器区管理区按照业务数据的流转路径划分存储区前置区终端区传输区备份区总部服务器核心交换路由器广域网路由器备份服务器路由器终端划分安全域(参考)分析访问,合理设计安全策略梳理各个应用系统连接及访问用户业务安全分析-用户、操作和数据业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能实现数据库功能组件支撑安全功能实现安全软件环境安全边界安全传输通道程序安全组件安全主机安全网络安全“业务+系统”安全=整体安全策略结合实际,部署实施安全措施技术策略技术框架3G安全IPSec……日志采集审计分析令牌技术认证协议强制访问控制ACL网络流量控制数据防泄漏匿名技术数据系统网络补丁管理威胁检测对称密码技术非对称密码技术实现实现实现选择和目标一致的安全产品等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制物理安全位置、物理访问控制、防盗、防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护门禁监控报警系统避雷装置消防水敏感检测仪防静电设施双路供电电磁屏蔽机房建设物理安全策略网络安全结构安全带宽管理、SSLVPN/IPSecVPN路由器、交换机、负载均衡网络、安全集成安全域网络安全策略网络安全配置实施(限制IP地址)访问控制防火墙、IPS/IDS安全审计网络安全审计日志审计边界完整性检查终端安全管理入侵防范IDS恶意代码防范防病毒系统、防病毒网关网络设备防护网络设备安全配置三级:•73个控制点•290控制项参考安全产品对照(参考)等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制主机安全身份鉴别主机核心防护包括数据库安全访问控制主机核心防护主机、数据库安全加固安全审计终端、服务器、数据审计系统剩余信息保护数据库审计系统(NBA)入侵防范主机核心防护、主机入侵检测恶意代码防范防病毒资源控制网管系统应用安全身份鉴别动态令牌、CA应用开发编码规范、安全编码应用安全功能安全审计应用系统日志审计访问控制、剩余信息保护通信完整性、通信保密性、抗抵赖、软件容错、资源控制主要功能需要应用系统开发商解决数据与备份安全数据完整性网页防篡改异地备份和恢复策略数据保密性SSH、VPN、MD5等备份和恢复异地备份参考安全产品对照(参考)业务用户登录界面/帐号/验证数据库帐号/验证组件调用协议/帐号/验证系统运行服务帐号/验证网络访问控制落实控制策略-纵深防御管理员登录界面/帐号/验证“一个中心、三重防护”为指导思想进行整体设计强化信息维护和系统维护人员系统的访问控制策略设计强化安全域之间的边界访问控制策略逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制强化访问控制策略信息安全领导小组信息安全主管(部门)安全管理员安全审计员系统管理员网络管理员数据库管理员决策、监督应用系统管理员管理执行落实信息安全责任制建立安全组织(举例)方针策略信息安全工作的纲领性文件。制度办法在安全策略的指导下,制定的各项安全管理和技术制度、办法和准则,用来规范各部门处室安全管理工作。流程细则细化的实施细则、管理技术标准等内容,用来支撑第二层对应的制度与管理办法的有效实施。记录表单记录活动实行以符合等级1,2,和3的文件要求的客观证据,阐明所取得的结果或提供完成活动的证据运行记录方针策略实施细则与流程制度与管理办法编写安全管理制度一级二级三级四级安全管理机构岗位说明书岗位说明书岗位说明书岗位说明书安全组织体系文件安全组织体系文件安全检查管理规定安全检查管理规定安全管理制度安全方针安全方针安全策略安全策略安全管理制度体系文件安全管理制度体系文件安全管理制度编写及维护规范安全管理制度编写及维护规范保密安全管理规定人员安全人员安全管理规定人员安全管理规定人员安全管理规定人员安全管理规定安全考核管理规定安全考核管理规定安全培训教育管理规定安全培训教育管理规定安全培训教育管理规定第三人员安全管理规定第三人员安全管理规定第三人员安全管理规定系统建设管理等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范风险评估管理规范风险评估管理规范风险评估管理规范风险评估管理规范软件开发管理规定软件开发管理规定软件开发管理规定软件开发管理规定IT外包管理规定IT外包管理规定IT外包管理规定IT外包管理规定工程安全管理规定工程安全管理规定产品采购安全管理规定产品采购安全管理规定产品采购安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定运维管理机房管理制度机房管理制度机房管理制度机房管理制度办公环境安全管理规定办公环境安全管理规定办公环境安全管理规定资产安全管理制度资产安全管理制度资产安全管理制度设备安全管理规定设备安全管理规定设备安全管理规定设备安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范网络安全管理规定网络安全管理规定网络安全管理规定网络安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定密码使用管理制度密码使用管理制度密码使用管理制度密码使用管理制度变更管理制度变更管理制度变更管理制度变更管理制度备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定安全事件管理制度安全事件管理制度安全事件管理制度安全事件管理制度应急预案管理制度应急预案管理制度应急预案管理制度目录整改方案的技术路线信息安全体系框架信息安全管理体系信息安全技术体系信息安全运行体系人员安全制度标准弱点加固备份恢复决策-管理-执行-监督资源管理状态检测防恶技术物理技术意识-技能-职称-培训-考核方针策略-制度规范-流程表单监控监测内容安全日常运行管理配置管理变更管理问题管理事件管理风险管理监督检查介质管理环境管理应急响应运行监控审计安全管理中心物理网络主机应用数据系统建设安全计算环境安全区域边界安全网络通信安全保护对象定级备案设计开发实施测试验收交付服务商信息安全体系安全目标、总体安全策略弱点加固状态检测防恶技术监控监测内容安全测评检查系统管理安全管理审计管理《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号……力争在2012年底前完成已定级信息系统安全建设整改工作。……《公安机关信息安全等级保护检查工作规范》公信安[2008]736号……第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。……第十三条检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》(以下简称《整改通知》,见附件3)。逾期不改正的,给予警告,并向其上级主管部门通报(通报书见附件4):……《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公信安[2010]303号……督促备案单位开展信息系统等级测评工作,确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评,2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。……《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行,明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评