网络安全防护技术支持服务项目+等保定级.docx
- 文档编号:16641621
- 上传时间:2023-07-15
- 格式:DOCX
- 页数:237
- 大小:803.60KB
网络安全防护技术支持服务项目+等保定级.docx
《网络安全防护技术支持服务项目+等保定级.docx》由会员分享,可在线阅读,更多相关《网络安全防护技术支持服务项目+等保定级.docx(237页珍藏版)》请在冰点文库上搜索。
网络安全防护技术支持服务项目+等保定级
网络安全防护技术支持服务项
目+等保定级
7.1技术方案
7.1.1通信网络等保定级
7.1.1.1实施的基本流程
对信息系统实施等级保护的基本流程见图1
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,
重新开始一轮信息安全等级保护的实施过程。
7.1.1.2信息系统定级
7.1.1.2.1信息系统定级阶段的工作流程
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和
GB/TAAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有
主管部门的,应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。
7.1.1.2.2信息系统分析
7.1.1.2.2.1系统识别和描述
活动目标:
本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统
的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信
息系统的总体描述性文档。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统的立项、建设和管理文档。
活动描述:
本活动主要包括以下子活动内容:
a)识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统
基本情况,获得信息系统的背景信息和联络方式。
b)识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作
用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从
而明确信息系统的安全责任主体。
c)识别信息系统的网络及设备部署
了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上
明确信息系统的边界,即确定定级对象及其范围。
d)识别信息系统的业务种类和特性
了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属
性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,
将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定
级对象。
e)识别业务系统处理的信息资产
了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用
性等方面的重要性程度。
f)识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性
方面的要求等。
g)信息系统描述
对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的
信息系统的总体描述文件应包含以下内容:
1)系统概述;
2)系统边界描述;
3)网络拓扑;
4)设备部署;
5)支撑的业务应用的种类和特性;
6)处理的信息资产;
7)用户的范围和用户类型;
8)信息系统的管理框架。
活动输出:
信息系统总体描述文件。
7.1.1.2.2.2信息系统划分
活动目标:
本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机
构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个
数。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统总体描述文件。
活动描述:
本活动主要包括以下子活动内容:
a)划分方法的选择
一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,
应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理
机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的
具体情况确定一个系统的分解原则。
b)信息系统划分
依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,
划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备
定级对象的基本特征。
在信息系统划分的过程中,应该首先考虑组织管理的要素,
然后考虑业务类型、物理区域等要素。
c)信息系统详细描述
在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础
上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:
1)相对独立信息系统列表;
2)每个定级对象的概述;
3)每个定级对象的边界;
4)每个定级对象的设备部署;
5)每个定级对象支撑的业务应用及其处理的信息资产类型;
6)每个定级对象的服务范围和用户类型;
7)其他内容。
活动输出:
信息系统详细描述文件。
7.1.1.2.3安全保护等级确定
7.1.1.2.3.1定级、审核和批准
活动目标:
本活动的目标是按照国家有关管理规范和GB/TAAAA-AAAA,确定信息系统
的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:
信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统总体描述文件,信息系统详细描述文件。
活动描述:
本活动主要包括以下子活动内容:
a)信息系统安全保护等级初步确定
根据国家有关管理规范和GB/TAAAA-AAAA确定的定级方法,信息系统运
营、使用单位对每个定级对象确定初步的安全保护等级。
b)定级结果审核和批准
信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经
主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确
定安全保护等级。
对拟确定为第四级以上信息系统的,运营使用单位或者主管部门
应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:
信息系统定级评审意见。
7.1.1.2.3.2形成定级报告
活动目标:
本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报
告。
参与角色:
信息系统主管部门,信息系统运营、使用单位。
活动输入:
信息系统总体描述文件,信息系统详细描述文件,信息系统定级结
果。
活动描述:
对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:
a)单位信息化现状概述;
b)管理模式;
c)信息系统列表;
d)每个信息系统的概述;
e)每个信息系统的边界;
f)每个信息系统的设备部署;
g)每个信息系统支撑的业务应用;
h)信息系统列表、安全保护等级以及保护要求组合;
i)其他内容。
活动输出:
信息系统安全保护等级定级报告。
7.1.1.3总体安全规划
7.1.1.3.1总体安全规划阶段的工作流程
总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、
信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级
保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建
设项目实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系
统的安全保护现状与等级保护要求之间的差距。
总体安全规划阶段的工作流程见图3。
7.1.1.3.2安全需求分析
7.1.1.3.2.1基本安全需求的确定
活动目标:
本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护
水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保
护需求。
参与角色:
信息系统运营、使用单位,信息安全服务机构,信息安全等级测评
机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,信息系
统相关的其它文档,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a)确定系统范围和分析对象
明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息
系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络
等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
b)形成评价指标和评估方案
根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相
应等级的指标,形成评价指标。
根据评价指标,结合确定的具体对象制定可以操作
的评估方案,评估方案可以包含以下内容:
1)管理状况评估表格;
2)网络状况评估表格;
3)网络设备(含安全设备)评估表格;
4)主机设备评估表格;
5)主要设备安全测试方案;
6)重要操作的作业指导书。
c)现状与评价指标对比
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透
攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个
方面与评价指标的符合程度,给出判断结论。
整理和分析不符合的评价指标,确定
信息系统安全保护的基本需求。
活动输出:
基本安全需求。
7.1.1.3.2.2额外/特殊安全需求的确定
活动目标:
本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应
等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。
活动描述:
确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动:
a)重要资产的分析
明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服
务器设备、重要应用系统等。
b)重要资产安全弱点评估
检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安全
弱点被利用的可能性。
c)重要资产面临威胁评估
分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威
胁发生的可能性或概率。
d)综合风险分析
分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损
害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。
按照重要资
产的排序和风险的排序确定安全保护的要求。
活动输出:
重要资产的特殊保护要求。
7.1.1.3.2.3形成安全需求分析报告
活动目标:
本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告。
参与角色:
信息系统运营,使用单位,信息安全服务机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,基本安
全需求,重要资产的特殊保护要求。
活动描述:
本活动主要包括以下子活动内容:
a)完成安全需求分析报告
根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。
安全需求
分析报告可以包含以下内容:
1)信息系统描述;
2)安全管理状况;
3)安全技术状况;
4)存在的不足和可能的风险;
5)安全需求描述。
6)活动输出:
安全需求分析报告。
7.1.1.3.3总体安全设计
7.1.1.3.3.1总体安全策略设计
活动目标:
本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安
全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安
全技术体系结构和安全管理体系结构。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,安全需
求分析报告。
活动描述:
本活动主要包括以下子活动内容:
a)确定安全方针
形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安
全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等。
b)制定安全策略
形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机
构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控
制策略等。
活动输出:
总体安全策略文件。
7.1.1.3.3.2安全技术体系结构设计
活动目标:
本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机
构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统
安全技术体系结构,用以指导信息系统分等级保护的具体实现。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,安全需
求分析报告,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a)规定骨干网/城域网的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域
网的安全保护策略
和安全技术措施。
骨干网/城域网的安全保护策略和安全技术措施提出时应考虑
网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一
线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别
子系统的等级保护基本要求。
b)规定子系统之间互联的安全技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互
联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的
策略、不同级别互联的策略等;提出局域网内部互联的子系统之间的信息传输保护
策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等。
c)规定不同级别子系统的边界保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子
系统边界的安全保护策略和安全技术措施。
子系统边界安全保护策略和安全技术措
施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边
界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等
级保护基本要求。
d)规定不同级别子系统内部系统平台和业务应用的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子
系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。
e)规定不同级别信息系统机房的安全保护技术措施
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信
息系统机房的安全保护策略和安全技术措施。
信息系统机房安全保护策略和安全技
术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系
统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的
等级保护基本要求。
f)形成信息系统安全技术体系结构
将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、
子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技
术措施进行整理、汇总,形成信息系统的安全技术体系结构。
活动输出:
信息系统安全技术体系结构。
7.1.1.3.3.3整体安全管理体系结构设计
活动目标:
本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策
略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统
制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的
安全管理措施,最后形成统一的整体安全管理体系结构。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统详细描述文件,信息系统安全保护等级定级报告,安全需
求分析报告,信息系统安全等级保护基本要求。
活动描述:
本活动主要包括以下子活动内容:
a)规定信息安全的组织管理体系和对各信息系统的安全管理职责
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出机构的安全
组织管理机构框架,分配各个级别信息系统的安全管理职责,规定各个级别信息系
统的安全管理策略等。
b)规定各等级信息系统的人员安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级
别信息系统的管理人员框架,分配各个级别信息系统的管理人员职责,规定各个级
别信息系统的人员安全管理策略等。
c)规定各等级信息系统机房及办公区等物理环境的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级
别信息系统的机房和办公环境的安全策略。
d)规定各等级信息系统介质、设备等的安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级
别信息系统的介质、设备等的安全策略。
e)规定各等级信息系统运行安全管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级
别信息系统的安全运行与维护框架和运维安全策略等。
f)规定各等级信息系统安全事件处置和应急管理策略
根据机构总体安全策略文件、等级保护基本要求和安全需求,提出各个不同级
别信息系统的安全事件处置和应急管理策略等。
g)形成信息系统安全管理策略框架
将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管
理体系结构。
活动输出:
信息系统安全管理体系结构。
7.1.1.3.3.4设计结果文档化
活动目标:
本活动的目标是将总体安全设计工作的结果文档化,最后形成一套指导机构信息安全工作的指导性文件。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
安全需求分析报告,信息系统安全技术体系结构,信息系统安全管理体系结构。
活动描述:
对安全需求分析报告、信息系统安全技术体系结构和安全管理体系结构等文档进行整理,形成信息系统总体安全方案。
信息系统总体安全方案包含以下内容:
信息系统概述;
总体安全策略;
c)信息系统安全技术体系结构;
d)信息系统安全管理体系结构。
活动输出:
信息系统安全总体方案。
7.1.1.3.4安全建设项目规划
7.1.1.3.4.1安全建设目标确定
活动目标:
本活动的目标是依据信息系统安全总体方案(一个或多个文件构成)、机构或单
位信息化建设的中长期发展规划和机构的安全建设资金状况确定各个时期的安全建
设目标。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统安全总体方案、机构或单位信息化建设的中长期发展规划。
活动描述:
本活动主要包括以下子活动内容:
a)信息化建设中长期发展规划和安全需求调查
了解和调查单位信息化建设的现况、中长期信息化建设的目标、主管部门对信
息化的投入,对比信息化建设过程中阶段状态与安全策略规划之间的差距,分析急
迫和关键的安全问题,考虑可以同步进行的安全建设内容等。
b)提出信息系统安全建设分阶段目标
制定系统在规划期内(一般安全规划期为3年)所要实现的总体安全目标;制
定系统短期(1年以内)要实现的安全目标,主要解决目前急迫和关键的问题,争
取在短期内安全状况有大幅度提高。
活动输出:
信息系统分阶段安全建设目标。
7.1.1.3.4.2安全建设内容规划
活动目标:
本活动的目标是根据安全建设目标和信息系统安全总体方案的要求,设计分期
分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促
进关系等。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统安全总体方案,信息系统分阶段安全建设目标。
活动描述:
本活动主要包括以下子活动内容:
a)确定主要安全建设内容
根据信息系统安全总体方案明确主要的安全建设内容,并将其适当的分解。
主
要建设内容可能分解但不限于以下内容:
1)安全基础设施建设;
2)网络安全建设;
3)系统平台和应用平台安全建设;
4)数据系统安全建设;
5)安全标准体系建设;
6)人才培养体系建设;
7)安全管理体系建设。
b)确定主要安全建设项目
组合安全建设内容为不同的安全建设项目,描述项目所解决的主要安全问题及
所要达到的安全目标,对项目进行支持或依赖等相关性分析,对项目进行紧迫性分
析,对项目进行实施难易程度分析,对项目进行预期效果分析,描述项目的具体工
作内容、建设方案,形成安全建设项目列表。
活动输出:
安全建设项目列表(含安全建设内容)。
7.1.1.3.4.3形成安全建设项目计划
活动目标:
本活动的目标是根据建设目标和建设内容,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
参与角色:
信息系统运营、使用单位,信息安全服务机构。
活动输入:
信息系统安全总体方案,信息系统分阶段安全建设目标,安全建设内容等。
活动描述:
对信息系统分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成信息系统安全建设项目计划。
安全建设项目计划可包含以下内容:
a)规划建设的依据和原则;
b)规划建设的目标和范围;
c)信息系统安全现状;
d)信息化的中长期发展规划;
e)信息系统安全建设的总体框架;
f)安全技术体系建设规划;
g)安全管理与安全保障体系建设规划;
h)安全建设投资估算;
i)信息系统安全建设的实施保障等内容。
活动输出:
信息系统安全建设项目计划。
7.1.1.4安全设计与实施
7.1.1.4.1安全设计与实施阶段的工作流程
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系
统安全建设项目计划,分期分步落实安全措施。
安全设计与实施阶段的工作流程见
图4。
7.1.1.4.2安全方案详细设计
7.1.1.4.2.1技术措施实现内容设计
活动目标:
本活动的目标是根据建设目标和建设内容将信息系统安全总体方案中要求实现
的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,
提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。
使得在信息安全产品采购和安全控制开发阶段具有依据。
参与角色:
信息系统运营、使用单位,信息安全服务机构,信息安全产品供应
商。
活动输入:
信息系统安全总体方案,信息系统安全建设项目计划,各类信息技术产品和信息安全产品技术白皮书。
活动描述:
本活动主要包括以下子活动内容:
a)结构框架设计
依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶
段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息
安全产品的使用、网络子系统划分、IP地址规划其他内容。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防护 技术支持 服务项目 定级