三级系统等级保护技术建设建议书

三级系统等级保护技术建设建议书

ID:6603594

大小:1.06 MB

页数:49页

时间:2018-01-20

三级系统等级保护技术建设建议书_第1页
三级系统等级保护技术建设建议书_第2页
三级系统等级保护技术建设建议书_第3页
三级系统等级保护技术建设建议书_第4页
三级系统等级保护技术建设建议书_第5页
资源描述:

《三级系统等级保护技术建设建议书》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、华为三级等级保护建设技术建议书II目 录1概述32等级保护实施概述42.1参照标准42.2基本原则42.3角色和职责52.4实施的基本流程63信息系统安全定级83.1参照标准83.2定级原理83.2.1信息系统安全保护级别83.2.2信息系统安全保护等级的定级要素83.3信息系统定级阶段的工作流程94信息系统详细设计方案114.1安全建设需求分析114.1.1网络结构安全114.1.2边界安全风险与需求分析114.1.3运维风险需求分析124.1.4关键服务器管理风险分析124.1.5关键服务器用户操作管理风险分析134.1.6数据库敏感数据运维风险分析144.1.7“

2、人机”运维操作行为风险综合分析144.2安全管理需求分析154.3整改建议154.4安全保障体系总体建设164.5安全技术体系建设184.5.1建设方案设计原则184.5.2外网安全设计204.5.3内网安全设计224.5.4主机安全体系建设234.5.5应用通信安全体系244.5.6应用数据安全245整改建议(依据项目增加内容)255.1.1整改后拓扑255.1.2软硬件新增设备清单255.1.3软硬件产品介绍256三级等级保护基本要求点对点应答256.1技术要求256.1.1物理安全25II6.1.2网络安全286.1.3主机安全316.1.4应用安全336.1.5

3、数据安全357信息系统安全等级测评377.1参照标准377.2等级测评概述377.3等级测评执行主体387.4等级测评内容387.5等级测评过程397.5.1测评准备活动407.5.2方案编制活动417.5.3现场测评活动427.5.4分析与报告编制活动438信息系统备案履行468.1信息安全等级保护备案实施细则46II1概述需要补充1等级保护实施概述1.1参照标准等级保护实施过程主要参见《信息安全技术信息系统安全等级保护实施指南》,其它标准参见国家及行业统一标准。在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999

4、、GB/T22239-2008、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。——计算机信息系统安全保护等级划分准则——信息安全技术信息系统安全等级保护定级指南——信息安全技术信息系统安全等级保护基本要求——信息安全技术信息系统安全等级保护实施指南——信息安全技术信息系统安全等级保护测评要求——信息安全技术信息系统安全等级保护测评过程指南……1.2基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全

5、等级保护实施过程中应遵循以下基本原则:a)自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。b)重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。c)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。d)动态调整原则要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他

6、原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。1.1角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:n国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的

7、部门间协调。n信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。n信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。