欢迎来到天天文库
浏览记录
ID:45600536
大小:166.27 KB
页数:73页
时间:2019-11-15
《某单位等级保护三级建设规划方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、xxxx等级保护三级建设规划方案XXX公司2014-01目录1项目概述62等级保护建设流程73方案参照标准91安全区域框架102安全等级划分105.1.1定级流程.105.1.2定级结果.123安全风险与需求分析133.1安全技术需求分析133.1.1物理安全风险与需求分析.133.1.2计算环境安全风险与需求分析.133.1.3区域边界安全风险与需求分析.163.1.4通信网络安全风险与需求分析.173.2安全管理需求分析184技术体系方案设计204.1方案设计目标204.2方案设计框架204.3安全技术体系设计2173.1物理安全设计.217.3.2计算环境安全设计.2273.2
2、.1身份鉴别2273.2.2访问控制2373.2.3系统安全审计2473.2.4入侵防范2573.2.5主机恶意代码防范2673.2.6软件容错2673.2.7数据完整性与保密性2673.2.8备份与恢复2673.2.9资源控制2673.2.10客体安全重用277.3.2.11抗抵赖277.3.2区域边界安全设计.2773.3.1边界访问控制2773.3.2边界完整性检查2973.33边界入侵防范2973.3.4边界安全审计3073.3.5边界恶意代码防范317.3.3通信网络安全设计.3273.4.1网络结构安全3273.4.2网络安全审计3273.4.3网络设备防护3373.4.
3、4通信完整性3373.4.5通信保密性3373.4.6网络可信接入337.3.4安全管理中心设计.357.3.5.1系统管理3573.5.2审计管理3673.5.3安全管理371安全管理体系设计382安全运维服务设计382.1安全扫描错误!未定义书签。2.2人工检查错误!未定义书签。2.3安全加固错误!未定义书签。2.3.1流程.错误!未定义书签。2.3.2内容.错误!未定义书签。2.3.3风险规避.错误!未定义书签。2.4日志分析错误!未定义书签。1.1.1流程.错误!未定义书签。1.1.2内容.错误!未定义书签。1.2补丁管理错误!未定义书签。1.2.1流程.错误!未定义书签。1
4、.2.2内容.错误!未定义书签。1.3安全监控错误!未定义书签。1.3.1流程.错误!未定义书签。1.3.2内容.错误!未定义书签。1.4安全通告错误!未定义书签。1.5应急响应错误!未定义书签。1.5.1入侵调查.错误!未定义书签。1.5.2主机、网络异常响应.错误!未定义书签。1.5.3其他紧急爭件.错误!未定义书签。1.5.4响应流程.错误!未定义书签。1.6安全运维服务的客户价值错误!未定义书签。2方案合规性分析392.1技术部分392.2管理部分543附录:693.1等级划分标准693.2技术要求组合确定7011.3安全域划分方法711项目概述XXXX是(略)国家信息化领导
5、小组为了加强对各行业信息安全保障工作的指导,制定并实行了信息安全等级保护制度,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重人的现实和战略意义。根据国家对相关金融行业重要系统的定级要求,XXXX应用系统按安全等级三级的标准进行保护。下面将按照安全等级保护制度三级的标准对XXXX项目的应用休系进行设计。该阶段的总休目标是:根据前期调研的结果,分析XXXX的现状与《信息安全技术信息系统安全等级保护基本要求》-3级要求在信息安
6、全管理和信息安全技术方面存在的弟距,并提供改进建议。该阶段的主要任务是:■根据《信息安全技术信息系统安全等级保护基本要求》-3级、IS017799IATF等国家及国际标准,提出XXXX在信息资产保护技术方面的并距,并从信息的机密性、完整性及可用性等方面提出改进建议;■依据根据国际标准IS017799/IS027001和国家等级保护三级要求,提出XXXX在信息资产保护管理制度方面的缺陷,提出改进建议。2等级保护建设流程“按需防御的等级化安全体系''是依据国家信息安全等级保护制度,根拯系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全体系设计方法,帮助构建一套覆盖全而、重点突出、
7、节约成本、持续运行的等级化安全防御体系。“等级化"设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。整体的安全保障体系包括技术和管理两大部分,其屮技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安
此文档下载收益归作者所有