今日頭條
官方微信
官方抖音
資訊頻道安全建設(shè)整改工作是開展等級保護(hù)工作的核心和落腳點(diǎn)。無論是定級、測評還是監(jiān)督檢查工作最終都要服從和服務(wù)于安全建設(shè)整改工作。
安全建設(shè)整改目的是使確定了等級的信息系統(tǒng)能夠達(dá)到相應(yīng)等級的基本的保護(hù)水平和滿足自身需求的安全保護(hù)能力,因為涉及內(nèi)容太多,管理制度建設(shè)、安全技術(shù)措施建設(shè)……很多用戶開展此項工作時都一籌莫展。
開展安全建設(shè)整改工作,就好比在陽光燦爛的時候修葺屋頂,這樣,暴風(fēng)雨來的時候我們就可以安然無恙。居安思危,未雨綢繆,善于從不同維度去思考問題,把不利于系統(tǒng)安全的因素扼殺在萌芽狀態(tài),落實安全責(zé)任,掌握日后等級保護(hù)測評的主動權(quán)。
接下來小編將整改工作的目標(biāo)、內(nèi)容、方法、流程、要求等內(nèi)容列出來,供大家參考。
1 安全建設(shè)整改的目的
● 探索信息安全工作的整體思路
● 確定信息系統(tǒng)保護(hù)的基線要求
● 了解信息系統(tǒng)的問題和差距
● 明確信息系統(tǒng)安全建設(shè)的目標(biāo)
● 提升信息系統(tǒng)的安全保護(hù)能力
2 安全建設(shè)整改的工作內(nèi)容
定級時,是按照有關(guān)標(biāo)準(zhǔn)要求對每個業(yè)務(wù)系統(tǒng)進(jìn)行定級。但在安全建設(shè)整改時,可以采取“分區(qū)”、“分域”的方法,按照整體防護(hù)、綜合防控的原則進(jìn)行建設(shè)方案或整改方案的設(shè)計。整改方案立足于對信息系統(tǒng)進(jìn)行加固改造,缺什么就補(bǔ)充什么;對于新建系統(tǒng),參照同步規(guī)劃、同步設(shè)計、同步實施這“三同步”的要求,落實安全管理措施和技術(shù)保護(hù)措施。
實際工作中,設(shè)計建設(shè)方案時需要堅持管理和技術(shù)并重的原則,將技術(shù)措施和管理措施有機(jī)結(jié)合,建立信息系統(tǒng)綜合防護(hù)體系,提高信息系統(tǒng)整體安全保護(hù)能力。
各級信息系統(tǒng)安全保護(hù)管理措施要求:
各級信息系統(tǒng)安全保護(hù)技術(shù)措施要求:
3 工作開展的依據(jù)
管理制度建設(shè)的依據(jù)
《管理辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》
技術(shù)措施建設(shè)的依據(jù)
《管理辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護(hù)安全設(shè)計技術(shù)要求》
4 安全建設(shè)整改的工作方法和流程
建設(shè)過程中要突出重點(diǎn)。三四級信息系統(tǒng)優(yōu)先級別高于二級系統(tǒng),當(dāng)然也可以對各等級系統(tǒng)同步規(guī)劃實施,確保按期完成任務(wù)。
工作流程:信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署——信息系統(tǒng)安全保護(hù)現(xiàn)狀分析——確定安全策略,制定安全建設(shè)整改方案——開展信息系統(tǒng)安全自查和等級測評。詳細(xì)工作流程詳見下表:
通過對信息系統(tǒng)的安全建設(shè)整改工作,使得系統(tǒng)安全管理水平明顯提高,安全防范能力明顯加強(qiáng),減少安全隱患和安全事故的發(fā)生,從而有效保障國家安全、社會秩序和公共利益。
建設(shè)整改方案設(shè)計思路和要點(diǎn)
依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》
參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》
引入“縱深防御”的概念, 強(qiáng)化多層防御
引入“安全區(qū)域”的概念
● 物理安全設(shè)計
對于不同安全保護(hù)等級子系統(tǒng)各自獨(dú)立使用機(jī)房或獨(dú)立使用某個部分(區(qū)域)的情況,其獨(dú)立部分可根據(jù)不同安全保護(hù)等級的要求和需求獨(dú)立設(shè)計。對不同安全保護(hù)等級子系統(tǒng)共用機(jī)房或共用某些部分(區(qū)域)的情況,其共用部分按照最高原則進(jìn)行設(shè)計,也就是就高不就低的原則。
● 主機(jī)系統(tǒng)安全設(shè)計
主機(jī)系統(tǒng)安全設(shè)計,內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的安全配置,主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等功能的實現(xiàn)。
主機(jī)安全設(shè)計需要明確規(guī)定操作系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的名稱與版本、應(yīng)安裝的最小化組件與必要補(bǔ)丁、基本的安全配置規(guī)范。
合理的安全配置是確保主機(jī)系統(tǒng)具備的安全功能在業(yè)務(wù)環(huán)境中充分、有效對抗威脅的保證。主要配置內(nèi)容應(yīng)包括身份鑒別(鑒別方式、強(qiáng)度、失敗處理)、訪問控制(控制范圍、嚴(yán)格程度以及實現(xiàn)方式)、安全審計(實現(xiàn)方式、對象和項目的選擇、日志存儲與保護(hù)、數(shù)據(jù)查詢與報警)等。
● 備份與恢復(fù)設(shè)計
針對業(yè)務(wù)數(shù)據(jù)安全的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時間間隔、實現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求。
針對信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計要考慮連續(xù)性保證方式(設(shè)備冗余、系統(tǒng)級冗余直至遠(yuǎn)程集群支持)與實現(xiàn)細(xì)節(jié),包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號