欢迎来到天天文库
浏览记录
ID:35195852
大小:508.50 KB
页数:45页
时间:2019-03-21
《XX单位三级等保整改设计方案》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、XX单位等级保护整改设计方案XX单位等级保护整改设计方案XX公司2018年X月XX单位等级保护整改设计方案目录1概述11.1编制背景11.2编制目的11.3等级安全体系设计目标21.3.1总体目标21.3.2安全技术体系目标22安全需求分析32.1现状分析32.1.1网络体系现状32.1.2安全体系现状42.1.3应用系统现状42.2安全风险威胁分析52.3安全问题总结62.3.1网络安全问题62.3.2主机安全问题62.3.3终端安全问题62.3.4应用系统和资源数据72.3.5安全保障和应用支撑72.4安全需求总结72.4.1身份鉴别与访问控制72.4.2入侵
2、防御与边界防御82.4.3病毒的防治82.4.4虚拟化安全需求92.4.5安全审计92.4.6越权和误操作行为92.4.7安全管理103等保安全体系总体设计113.1等级保护体系概述113.1.1标准体系的组成与相互关系113.1.2标准体系的内容113.1.3标准体系的主要特点123.1.4管理是生命线133.2等级化安全体系设计方法143.2.1设计原则143.2.2总体设计参考标准与规范153.2.3系统安全等级确定163.3分域保护框架建立163.3.1设计思路和方法163.3.2安全域划分原则173.3.3保护对象分类183.3.4系统分域保护框架203
3、.4安全等级划分20XX单位等级保护整改设计方案3.4.1定级流程203.4.2定级结果214安全保障技术体系详细设计224.1物理安全设计224.2网络安全设计224.2.1网络基础设施安全224.2.2网络信息系统边界安全244.3主机安全设计254.3.1系统平台安全254.3.2终端设备日志存储254.3.3终端安全管理264.3.4虚拟化安全264.4应用安全设计264.5数据安全及备份恢复274.5.1数据库操作审计274.5.2数据备份及恢复274.6分期部署架构284.6.1第一期建设计划284.6.2第二期建设计划294.6.3第三期建设计划30
4、5安全保障管理体系详细设计315.1安全管理的重要意义315.2安全管理体系建设325.2.1安全管理体系的建设目标325.2.2安全管理体系的建设内容335.3安全运维355.3.1安全风险评估355.3.2网络管理与安全管理365.3.3备份与容灾管理375.3.4应急响应计划375.4安全人员管理395.4.1人员审查395.4.2岗位人选395.4.3人员培训395.4.4人员考核405.4.5签定保密合同405.4.6人员调离405.5技术安全管理405.5.1软件管理405.5.2设备管理415.5.3备份管理425.5.4技术文档管理436预算清单4
5、41XX单位等级保护整改设计方案1概述1.1编制背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,
6、由公安部会同有关部门制定。”1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》,为等级保护这一安全国策给出了技术角度的诠释。2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全面开展信息安全等级保护工作。在全面体现GB17859-199
7、9的等级化标准思想的基础上,以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》为主要指导;充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC17799:2000和ISO/IECTR13335系列标准;根据我国的信息化发展现状和我国特有的行政管理模式,提出了安全等级保护的整体框架和设计方案,为指导信息系统的建设和改进,从安全等级保护技术体系和安全等级保护管理体系两个方面分别给出了等级化的解决建议。1.2编制目的根据XX单位网络信息系统的现状和将来的应用需求,并结合公安部、国家保密局、
8、国家密码管
此文档下载收益归作者所有