欢迎来到天天文库
浏览记录
ID:20410205
大小:126.89 KB
页数:4页
时间:2018-10-12
《水利部(部机关)等级保护建设整改案例》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、一、概述 信息系统安全等级保护工作是我国信息安全建设的必要工作,是我国信息安全保障的大势所趋。水利部高度重视网络与信息安全工作,2007年9月初便组织开展水利行业信息系统安全等级保护定级工作,同年12月底全面完成了信息系统等级备案工作。信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查等环节,现已完成定级、备案工作,下一步主要工作是建设整改。根据《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)和水利部工作的实际情况,水利部将水利网络与信息安全系统建设作为水利信息化八大重点工程之一,并列入《全国水利信息化十二五规划》。
2、为此,水利部于2009年开始启动水利部本级政务外网信息系统等级保护整改工作,进一步提高水利部政务外网信息系统的安全保障能力和防护水平,确保网络与信息系统的安全运行。二、整改目标 完善水利部电子政务外网安全防护体系,不断提高水利部电子政务外网信息系统的安全保障能力和防护水平,确保网络与信息系统的安全稳定运行,达到国家信息安全等级保护相关标准要求。保证水利部业务信息和网络的机密性、完整性、可用性、可控性和可审计性,确保水利部整体达到信息系统第三级安全保护等级。三、方案设计(一)方案设计目标 水利部(部机关)等级保护建设整改是根据国家等级保护政策制度的工作方案思路,依照
3、《信息安全技术信息系统安全等级保护基本要求》(以下简称“《基本要求》”)、参照《信息安全技术信息系统等级保护安全设计技术要求》(以下简称“《安全设计技术要求》”)等政策标准规范要求,结合水利部业务信息系统的实际情况以及水利部《关于印发水利网络与信息安全体系建设基本技术要求的通知》(水文[2010]190号)相关文件要求编制总体设计方案,用于指导水利部机关安全建设整改工作。方案的总体目标是设计符合水利部实际业务应用、实际网络信息系统运行模式和国家等级保护建设整改工作要求的总体方案,实现水利部机关政务外网的安全保护总体达到信息系统安全保护等级第三级基本要求。(二)方案设计框架 水
4、利部安全保障体系框架根据等级保护基本要求,参照国内外相关标准,并结合水利部已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。如下图所示: 图1:信息安全保障体系框架图l “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把等级保护基本要求的控制点结合水利部实际情况形成相适应的体系结构框架;l “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理;l “三重防护”:安全计算环
5、境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。(三)方案编写思路方案总体思路: 图2:方案编写总体思路1. 信息系统风险评估和等级保护差距 通过采用信息安全风险评估的方法,对水利部机关政务外网信息系统进行全面综合分析,并深化对已经定级、备案的信息系统进行资产、脆弱性、威胁和风险综合分析,在整体网络框架基础上,通过差距分析的方法与等级保护基本要求进行差距分析,形成信息系
6、统等级保护建设整改的整体安全需求。2. 安全保障体系框架和总体安全策略 根据等级保护的整体保护框架,并结合水利部信息安全保障体系建设的实际情况,建立符合水利电子政务系统特性的安全保障体系,分别是安全管理体系、安全技术体系和安全运行体系,并制定各个体系必要的安全设计原则和安全策略。3. 安全保障体系总体设计方案 结合水利部机关电子政务外网信息系统的实际应用情况,设计具体安全技术体系控制措施、安全管理体系控制措施和安全运行体系控制措施,其中:l 安全管理体系的实现依据《基本要求》,设计了水利部机关政务外网的信息安全组织机构、人员安全管理、安全管理制度、系统建设管
7、理及系统运维管理等控制措施;l 安全技术体系的实现一方面重点落实《基本要求》,另一方面采用《安全设计技术要求》的思路和方法设计了安全计算环境、安全区域边界和安全通信网络的控制措施;l 安全运行体系的实现根据《基本要求》,设计了符合系统全生命周期的安全需求、安全建设、安全设计与安全运维的运行体系要求,重点阐述了安全运维体系的框架和控制组成。l 安全管理中心的实现根据《基本要求》和《安全设计技术要求》,结合水利部机关已
此文档下载收益归作者所有
