昨天,《终于有人把等保相关的政策体系、主要标准整理出来了》阅读量破万,得到业内同行的认可,这是e小安感到最幸福的时候!当然,阅读量直接体现出大家对等级保护的关注,小编认为这并不是最终胜利时的号角,而是发起进攻,践行等保的冲锋号!
今天小编再接再厉,为大家奉上??系统安全建设整改大解析。
安全建设整改目的是使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。
安全建设整改工作是开展等级保护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。但很多用户都对等级保护建设工作一筹莫展,接下来小编将整改工作涉及到的国家标准和规范、流程以及安全方案设计思路等内容一一作出整理,供大家开展工作时参考。
安全建设整改涉及国家标准和规范
1. 《信息系统安全等级保护基本要求》GB/T22239-2008
2. 《信息系统安全等级保护实施指南》GB/T25058-2010)
3. 《信息系统等级保护安全设计技术要求》GB25070-2010)
4. 《信息系统通用安全技术要求》GB/T20271-2006
5. 《信息系统安全管理要求》GB/T20269-2006
6. 《信息系统安全工程管理要求》GB/T20282-2006
7. 《信息安全等级保护安全建设整改工作指南》
安全建设整改的工作内容
实际工作中需要坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
● 各级信息系统安全保护管理措施要求:
● 各级信息系统安全保护技术措施要求:
建设过程中要突出重点。三四级信息系统优先级别高于二级系统。
定级时,是按照有关标准要求对每个业务系统进行定级。但在安全建设整改时,可以采取“分区”、“分域”的方法,按照整体防护、综合防控的原则进行建设方案或整改方案的设计。对于已有信息系统的安全整改(含在建系统),整改方案应立足于对信息系统进行加固改造,有针对性的从网络、主机、应用和数据等方面进行安全技术整改实施工作,缺什么就补什么。对于新建系统,参照同步规划、同步设计、同步实施这“三同步”的要求,落实安全管理措施和技术保护措施。
安全建设整改的工作流程
工作流程:信息系统安全建设整改工作规划和工作部署??信息系统安全保护现状分析??确定安全策略,制定安全建设整改方案??开展信息系统安全自查和等级测评。详细工作流程详见下表:
关于安全技术建设整改注意事项:
基本安全需求分析方法:
第1步,根据其等级从《基本要求》中选择相应等级的基本安全要求;
第2步,根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级,确定该信息系统的安全需求类;
第3步,根据系统所面临的威胁特点调整安全要求。
安全需求分析工作完成后,将信息系统的安全管理需求与安全技术需求综合
形成安全需求报告。组织专家对安全需求进行评审论证,形成评审论证意见。报告要包含以下内容:信息系统描述、安全管理状况、安全技术状况、存在的不足和可能的风险以及安全需求描述。
建设整改方案设计思路和要点
依据《信息系统安全等级保护基本要求》
参照《信息系统等级保护安全设计技术要求》
引入“纵深防御”的概念,强化多层防御
引入“安全区域”的概念
● 物理安全设计
对于不同安全保护等级子系统各自独立使用机房或独立使用某个部分(区域)的情况,其独立部分可根据不同安全保护等级的要求和需求独立设计。对不同安全保护等级子系统共用机房或共用某些部分(区域)的情况,其共用部分按照最高原则进行设计,也就是就高不就低的原则。
● 主机系统安全设计
主机系统安全设计,内容包括操作系统或数据库管理系统的安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等功能的实现。
主机安全设计需要明确规定操作系统与数据库管理系统的名称与版本、应安装的最小化组件与必要补丁、基本的安全配置规范。
合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包括身份鉴别(鉴别方式、强度、失败处理)、访问控制(控制范围、严格程度以及实现方式)、安全审计(实现方式、对象和项目的选择、日志存储与保护、数据查询与报警)等。
● 备份与恢复设计
针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。
针对信息系统服务连续性的安全设计要 考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余 相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。
关于安全建设整改这一工作环节,本期就介绍这么多,希望能够对各位网络安全运营者在开展等级保护工作中有所帮助,至于管理和技术建设整改中涉及的诸多重要节点,以后找机会再和大家分享。
还没有评论,来说两句吧...