基于等級保護的安全解決方案
作者:4p47hy
說起等保大家可能都不陌生,前年的時候鬧的比較兇,去年貌似動靜不大,據說今年又開始轟轟烈烈實施了。今天一直在想弄一個基于等級保護的安全解決方案,不妥之處還請大家一起討論。
說起等保大家可能都不陌生,前年的時候鬧的比較兇,去年貌似動靜不大,據說今年又開始轟轟烈烈實施了。今天一直在想弄一個基于等級保護的安全解決方案,不妥之處還請大家一起討論。
解決方案的整體思路為 現狀分析 ---> 差距分析 --> 需求分析 --> 安全規劃 ,簡單來說先分析企業的安全現狀,再分析目前企業的現狀與等級保護的一個差距,由差距我們得到需求,由需求最后得出企業在未來 3- 5 年內的安全解決方案。
1、概述
為了加強對國家信息系統的保密管理,確保信息安全,國家明確提出了信息系統的建設使用單位必須根據分級保護管理辦法和有關標準,對信息系統分等級實施保護。
2007 年,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合發布了《信息安全等級保護管理辦法》。《辦法》將信息系統的安全保護等 級分為以下五級:
◆ 第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益 造成損害,但不損害國家安全、社會秩序和公共利益。
◆ 第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益 產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安 全。
◆ 第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害, 或者對國家安全造成損害。
◆ 第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重 損害,或者對國家安全造成嚴重損害。
◆ 第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
根據對等級保護要求的理解,我們設計了基于等級保護的安全解決方案,方案主要分為 4 個階段來進行:
◆ 現狀評估:分析信息安全現狀;
◆ 差距分析:識別企業目前的安全現狀與等級保護之間的差距;
◆ 需求分析:確定信息安全戰略以及相應的信息安全需求;
◆ 安全規劃:規劃未來 3-5年內的需要實施的安全項目。
2、信息安全現狀分析
等級保護自上而下分別為:類、控制點和項。其中,類表示《信息系統安全等級保護基本要求》在整體上大的分類,其中技術部分分為:物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復等5大類,管理部分分為:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類,一共分為10大類。控制點表示每個大類下的關鍵控制點,如物理安全大類中的“物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項,如“機房出入應安排專人負責,控制、鑒別和記錄進入的人員。”
具體框架結構如圖所示:
根據以上等級保護的基本框架,我們分析 XXXX 目前在 物理安全、網絡安全、主機系統安全、應用安全、安全管理等幾方面目前的安全現狀。
2.1、物理安全
//分析目前物理安全的現狀
2.2、網絡安全
//分析目前網絡安全的現狀
2.3、主機系統安全
//分析目前主機系統安全的現狀
2.4、應用安全
//分析目前應用安全的現狀
2.5、數據安全
//分析目前數據安全的現狀
2.6、安全管理
//分析目前安全管理的現狀
3、差距分析
差距分析章節主要是通過訪談或問卷的方式來分析企業目前和等級保護之間的差距,并進行評分,由此得出企業等級保護的符合度。
3.1、物理安全
● 問題總數是根據《信息安全等級保護考核管理具體指標》來進行分析的;
● 有效問題總數是根據不同的等級來適用不同的要求或要求的強度的不同;
● 滿分是根據問題總數 * 3 來得到的。
● 評分標準:
■ 全部符合為 3 分
■ 部分符合為 1 分
■ 不符合為 0 分
● 實際得分是根據企業的實際情況,結合上述的評分標準得出的。
3.2、網絡安全
// 分析方法同上
3.3、主機系統安全
// 分析方法同上
3.4、應用安全
// 分析方法同上
3.5、數據安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4、需求分析
需求分析主要也是從幾個方面來展開說明,如主機層面、網絡層面、終端、管理等等,需求分析主要針對上述的差距來得到的,分析企業目前存在的差距應當怎樣來解決,這就引出了需求。(PS:涉及面較廣,就不一一介紹了)
5、安全規劃
安全規劃部分就是在我們得到了企業的需求之后,提出的后期的一個解決方案,方案可分三期來進行,解決方案主要圍繞人、技術、管理、產品來進行,譬如購買產品、人員的培訓、管理體系的完善、制度的完善等。此部分設計的篇幅較大,我這里只提下基本的綱要,就不一一敘述了。
解決方案的整體思路為 現狀分析 ---> 差距分析 --> 需求分析 --> 安全規劃 ,簡單來說先分析企業的安全現狀,再分析目前企業的現狀與等級保護的一個差距,由差距我們得到需求,由需求最后得出企業在未來 3- 5 年內的安全解決方案。
1、概述
為了加強對國家信息系統的保密管理,確保信息安全,國家明確提出了信息系統的建設使用單位必須根據分級保護管理辦法和有關標準,對信息系統分等級實施保護。
2007 年,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合發布了《信息安全等級保護管理辦法》。《辦法》將信息系統的安全保護等 級分為以下五級:
◆ 第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益 造成損害,但不損害國家安全、社會秩序和公共利益。
◆ 第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益 產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安 全。
◆ 第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害, 或者對國家安全造成損害。
◆ 第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重 損害,或者對國家安全造成嚴重損害。
◆ 第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
根據對等級保護要求的理解,我們設計了基于等級保護的安全解決方案,方案主要分為 4 個階段來進行:
◆ 現狀評估:分析信息安全現狀;
◆ 差距分析:識別企業目前的安全現狀與等級保護之間的差距;
◆ 需求分析:確定信息安全戰略以及相應的信息安全需求;
◆ 安全規劃:規劃未來 3-5年內的需要實施的安全項目。
2、信息安全現狀分析
等級保護自上而下分別為:類、控制點和項。其中,類表示《信息系統安全等級保護基本要求》在整體上大的分類,其中技術部分分為:物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復等5大類,管理部分分為:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類,一共分為10大類。控制點表示每個大類下的關鍵控制點,如物理安全大類中的“物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項,如“機房出入應安排專人負責,控制、鑒別和記錄進入的人員。”
具體框架結構如圖所示:
根據以上等級保護的基本框架,我們分析 XXXX 目前在 物理安全、網絡安全、主機系統安全、應用安全、安全管理等幾方面目前的安全現狀。
2.1、物理安全
//分析目前物理安全的現狀
2.2、網絡安全
//分析目前網絡安全的現狀
2.3、主機系統安全
//分析目前主機系統安全的現狀
2.4、應用安全
//分析目前應用安全的現狀
2.5、數據安全
//分析目前數據安全的現狀
2.6、安全管理
//分析目前安全管理的現狀
3、差距分析
差距分析章節主要是通過訪談或問卷的方式來分析企業目前和等級保護之間的差距,并進行評分,由此得出企業等級保護的符合度。
3.1、物理安全
● 問題總數是根據《信息安全等級保護考核管理具體指標》來進行分析的;
● 有效問題總數是根據不同的等級來適用不同的要求或要求的強度的不同;
● 滿分是根據問題總數 * 3 來得到的。
● 評分標準:
■ 全部符合為 3 分
■ 部分符合為 1 分
■ 不符合為 0 分
● 實際得分是根據企業的實際情況,結合上述的評分標準得出的。
3.2、網絡安全
// 分析方法同上
3.3、主機系統安全
// 分析方法同上
3.4、應用安全
// 分析方法同上
3.5、數據安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4、需求分析
需求分析主要也是從幾個方面來展開說明,如主機層面、網絡層面、終端、管理等等,需求分析主要針對上述的差距來得到的,分析企業目前存在的差距應當怎樣來解決,這就引出了需求。(PS:涉及面較廣,就不一一介紹了)
5、安全規劃
安全規劃部分就是在我們得到了企業的需求之后,提出的后期的一個解決方案,方案可分三期來進行,解決方案主要圍繞人、技術、管理、產品來進行,譬如購買產品、人員的培訓、管理體系的完善、制度的完善等。此部分設計的篇幅較大,我這里只提下基本的綱要,就不一一敘述了。
責任編輯:王文文
來源:
冷漠的博客
