信息系统等级保护安全

信息系统等级保护安全

ID:30090945

大小:2.22 MB

页数:17页

时间:2018-12-26

信息系统等级保护安全_第1页
信息系统等级保护安全_第2页
信息系统等级保护安全_第3页
信息系统等级保护安全_第4页
信息系统等级保护安全_第5页
资源描述:

《信息系统等级保护安全》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、1建设方案根据信息安全等级保护工作要求,并考虑信息系统实际情况,从计算环境、区域边界和通信网络出发,按照“分级分域、深层防护”的安全策略,提出信息安全等级保护深度防御方案。建设中,拟采用具有我国自主知识产权的信息安全产品,实现对信息系统的等级化防护,结合技术措施,实现具有等级保护深度防御体系。1.1建设方法原则以自主知识产权和国产化信息装置为基础,建成“分级分域、深层保护”的信息安全等级保护深度防御体系。在建设过程中,遵循统筹规划、深度防御,统一标准、统一规范,自主产权、国产为主,强化管理、注重技术的原则。统筹规划深度防御:信息安全等级保护深度防御工程

2、是庞大的系统工程,必须达到国家等级保护对信息系统的各种安全要求。制定落实等级保护政策的安全总体防护方案,做好统筹规划是前提,完成自主研发的应用和数据库防护设备、移动存储安全管理系统进行网络隔离,建设符合需要的三级安全管理中心是防护基础,对信息系统的等级化深度防御是核心。以“分级分域、深层保护”策略为核心的信息安全等级保护深度防御工程总体将达到国内先进水平。统一标准、统一规范:统一标准是建设信息安全等级保护深度防御工程的最基本要求,是各单位横向集成、纵向贯通,信息共享的前提。同时,在全面推广信息安全等级保护深度防御工程时,按照统一信息系统安全管理的规范进

3、行规划和设计,确保信息安全防护水平的一致。自主产权,国产为主:确保信息安全,核心安全防护设备要立足于国产产品,选用满足等级保护要求的安全技术方案和管理措施,以有效抵御互联网风险。1.1系统安全建设方案1.1.1等级保护三级系统技术要求按照《信息系统等级保护安全设计技术要求》,三级系统的安全建设要在安全管理中心支撑下,按照计算环境安全、区域边界安全、通信网络安全构筑三重防护体系。其具体描述包括:1)计算环境安全设计用户标识和用户鉴别。在每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;在每次用户

4、登录系统时,采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。强制访问控制。对在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;应确保安全计算环境内所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。自主访问控制。应在安全策略控制范围内,使用户对自己创建的客体具有

5、各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级和/或记录、字段级;自主访问操作应包括对客体的创建、读、写、修改和删除等。防客体重用。对于动态管理和使用的客体资源,应在客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。透明加解密。通过维护主体及其控制的存储客体(例如:进程、文件、段、设备)相关的敏感标记,对敏感资源实施透明加解密机制。非授权用户即使得到这些敏感信息也因为无法正确解密而无法利用,由此可以防止敏感信息的泄露。采用密码技术支持的保密性保护机制或其他具有

6、相当安全强度的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护。数据完整性检验。采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制,检验安全计算环境中用户数据的完整性,并在其受到破坏时能对重要数据进行恢复。审计。应能记录系统相关安全事件,并能对特定安全事件进行报警;审计记录应包括安全事件的主体、客体、时间、类型和结果等内容;应提供审计记录的分类、统计分析和查询等;应提供审计记录的存储保护,确保审计记录不被破坏或非授权访问;应为安全管理中心提供接口;对不能由系统独立处理的安全事件,应提供可由授权主体调用的接口。2)区域边界安

7、全设计区域边界访问控制。应在安全区域边界设置自主和强制访问控制机制,对进出安全区域边界的数据信息进行控制,阻止非授权访问。区域边界协议过滤。应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界。区域边界安全审计。应在安全区域边界设置必要的审计机制,通过安全管理中心集中管理,并对确认的违规行为及时报警。区域边界完整性保护。应在终端用户系统设置探测软件,探测用户非法外联的行为,并及时报告安全管理中心。3)通信网络安全设计通信网络安全审计。应在安全通信网络设置必要的审计机制,通过安全

8、管理中心集中管理,并对确认的违规行为及时报警。网络数据传输完整性保护。采用由密码技术支持的完整

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。