基于等級(jí)保護(hù)的安全解決方案
作者:4p47hy
說(shuō)起等保大家可能都不陌生,前年的時(shí)候鬧的比較兇,去年貌似動(dòng)靜不大,據(jù)說(shuō)今年又開(kāi)始轟轟烈烈實(shí)施了。今天一直在想弄一個(gè)基于等級(jí)保護(hù)的安全解決方案,不妥之處還請(qǐng)大家一起討論。
說(shuō)起等保大家可能都不陌生,前年的時(shí)候鬧的比較兇,去年貌似動(dòng)靜不大,據(jù)說(shuō)今年又開(kāi)始轟轟烈烈實(shí)施了。今天一直在想弄一個(gè)基于等級(jí)保護(hù)的安全解決方案,不妥之處還請(qǐng)大家一起討論。
解決方案的整體思路為 現(xiàn)狀分析 ---> 差距分析 --> 需求分析 --> 安全規(guī)劃 ,簡(jiǎn)單來(lái)說(shuō)先分析企業(yè)的安全現(xiàn)狀,再分析目前企業(yè)的現(xiàn)狀與等級(jí)保護(hù)的一個(gè)差距,由差距我們得到需求,由需求最后得出企業(yè)在未來(lái) 3- 5 年內(nèi)的安全解決方案。
1、概述
為了加強(qiáng)對(duì)國(guó)家信息系統(tǒng)的保密管理,確保信息安全,國(guó)家明確提出了信息系統(tǒng)的建設(shè)使用單位必須根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)分等級(jí)實(shí)施保護(hù)。
2007 年,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》。《辦法》將信息系統(tǒng)的安全保護(hù)等 級(jí)分為以下五級(jí):
◆ 第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
◆ 第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安 全。
◆ 第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害, 或者對(duì)國(guó)家安全造成損害。
◆ 第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重 損害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
◆ 第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
根據(jù)對(duì)等級(jí)保護(hù)要求的理解,我們?cè)O(shè)計(jì)了基于等級(jí)保護(hù)的安全解決方案,方案主要分為 4 個(gè)階段來(lái)進(jìn)行:
◆ 現(xiàn)狀評(píng)估:分析信息安全現(xiàn)狀;
◆ 差距分析:識(shí)別企業(yè)目前的安全現(xiàn)狀與等級(jí)保護(hù)之間的差距;
◆ 需求分析:確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求;
◆ 安全規(guī)劃:規(guī)劃未來(lái) 3-5年內(nèi)的需要實(shí)施的安全項(xiàng)目。
2、信息安全現(xiàn)狀分析
等級(jí)保護(hù)自上而下分別為:類、控制點(diǎn)和項(xiàng)。其中,類表示《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在整體上大的分類,其中技術(shù)部分分為:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類,管理部分分為:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類,一共分為10大類。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn),如物理安全大類中的“物理訪問(wèn)控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng),如“機(jī)房出入應(yīng)安排專人負(fù)責(zé),控制、鑒別和記錄進(jìn)入的人員。”
具體框架結(jié)構(gòu)如圖所示:
根據(jù)以上等級(jí)保護(hù)的基本框架,我們分析 XXXX 目前在 物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、安全管理等幾方面目前的安全現(xiàn)狀。
2.1、物理安全
//分析目前物理安全的現(xiàn)狀
2.2、網(wǎng)絡(luò)安全
//分析目前網(wǎng)絡(luò)安全的現(xiàn)狀
2.3、主機(jī)系統(tǒng)安全
//分析目前主機(jī)系統(tǒng)安全的現(xiàn)狀
2.4、應(yīng)用安全
//分析目前應(yīng)用安全的現(xiàn)狀
2.5、數(shù)據(jù)安全
//分析目前數(shù)據(jù)安全的現(xiàn)狀
2.6、安全管理
//分析目前安全管理的現(xiàn)狀
3、差距分析
差距分析章節(jié)主要是通過(guò)訪談或問(wèn)卷的方式來(lái)分析企業(yè)目前和等級(jí)保護(hù)之間的差距,并進(jìn)行評(píng)分,由此得出企業(yè)等級(jí)保護(hù)的符合度。
3.1、物理安全
● 問(wèn)題總數(shù)是根據(jù)《信息安全等級(jí)保護(hù)考核管理具體指標(biāo)》來(lái)進(jìn)行分析的;
● 有效問(wèn)題總數(shù)是根據(jù)不同的等級(jí)來(lái)適用不同的要求或要求的強(qiáng)度的不同;
● 滿分是根據(jù)問(wèn)題總數(shù) * 3 來(lái)得到的。
● 評(píng)分標(biāo)準(zhǔn):
■ 全部符合為 3 分
■ 部分符合為 1 分
■ 不符合為 0 分
● 實(shí)際得分是根據(jù)企業(yè)的實(shí)際情況,結(jié)合上述的評(píng)分標(biāo)準(zhǔn)得出的。
3.2、網(wǎng)絡(luò)安全
// 分析方法同上
3.3、主機(jī)系統(tǒng)安全
// 分析方法同上
3.4、應(yīng)用安全
// 分析方法同上
3.5、數(shù)據(jù)安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4、需求分析
需求分析主要也是從幾個(gè)方面來(lái)展開(kāi)說(shuō)明,如主機(jī)層面、網(wǎng)絡(luò)層面、終端、管理等等,需求分析主要針對(duì)上述的差距來(lái)得到的,分析企業(yè)目前存在的差距應(yīng)當(dāng)怎樣來(lái)解決,這就引出了需求。(PS:涉及面較廣,就不一一介紹了)
5、安全規(guī)劃
安全規(guī)劃部分就是在我們得到了企業(yè)的需求之后,提出的后期的一個(gè)解決方案,方案可分三期來(lái)進(jìn)行,解決方案主要圍繞人、技術(shù)、管理、產(chǎn)品來(lái)進(jìn)行,譬如購(gòu)買(mǎi)產(chǎn)品、人員的培訓(xùn)、管理體系的完善、制度的完善等。此部分設(shè)計(jì)的篇幅較大,我這里只提下基本的綱要,就不一一敘述了。
解決方案的整體思路為 現(xiàn)狀分析 ---> 差距分析 --> 需求分析 --> 安全規(guī)劃 ,簡(jiǎn)單來(lái)說(shuō)先分析企業(yè)的安全現(xiàn)狀,再分析目前企業(yè)的現(xiàn)狀與等級(jí)保護(hù)的一個(gè)差距,由差距我們得到需求,由需求最后得出企業(yè)在未來(lái) 3- 5 年內(nèi)的安全解決方案。
1、概述
為了加強(qiáng)對(duì)國(guó)家信息系統(tǒng)的保密管理,確保信息安全,國(guó)家明確提出了信息系統(tǒng)的建設(shè)使用單位必須根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)分等級(jí)實(shí)施保護(hù)。
2007 年,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》。《辦法》將信息系統(tǒng)的安全保護(hù)等 級(jí)分為以下五級(jí):
◆ 第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
◆ 第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益 產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安 全。
◆ 第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害, 或者對(duì)國(guó)家安全造成損害。
◆ 第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重 損害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
◆ 第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
根據(jù)對(duì)等級(jí)保護(hù)要求的理解,我們?cè)O(shè)計(jì)了基于等級(jí)保護(hù)的安全解決方案,方案主要分為 4 個(gè)階段來(lái)進(jìn)行:
◆ 現(xiàn)狀評(píng)估:分析信息安全現(xiàn)狀;
◆ 差距分析:識(shí)別企業(yè)目前的安全現(xiàn)狀與等級(jí)保護(hù)之間的差距;
◆ 需求分析:確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求;
◆ 安全規(guī)劃:規(guī)劃未來(lái) 3-5年內(nèi)的需要實(shí)施的安全項(xiàng)目。
2、信息安全現(xiàn)狀分析
等級(jí)保護(hù)自上而下分別為:類、控制點(diǎn)和項(xiàng)。其中,類表示《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在整體上大的分類,其中技術(shù)部分分為:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類,管理部分分為:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類,一共分為10大類。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn),如物理安全大類中的“物理訪問(wèn)控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng),如“機(jī)房出入應(yīng)安排專人負(fù)責(zé),控制、鑒別和記錄進(jìn)入的人員。”
具體框架結(jié)構(gòu)如圖所示:
根據(jù)以上等級(jí)保護(hù)的基本框架,我們分析 XXXX 目前在 物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、安全管理等幾方面目前的安全現(xiàn)狀。
2.1、物理安全
//分析目前物理安全的現(xiàn)狀
2.2、網(wǎng)絡(luò)安全
//分析目前網(wǎng)絡(luò)安全的現(xiàn)狀
2.3、主機(jī)系統(tǒng)安全
//分析目前主機(jī)系統(tǒng)安全的現(xiàn)狀
2.4、應(yīng)用安全
//分析目前應(yīng)用安全的現(xiàn)狀
2.5、數(shù)據(jù)安全
//分析目前數(shù)據(jù)安全的現(xiàn)狀
2.6、安全管理
//分析目前安全管理的現(xiàn)狀
3、差距分析
差距分析章節(jié)主要是通過(guò)訪談或問(wèn)卷的方式來(lái)分析企業(yè)目前和等級(jí)保護(hù)之間的差距,并進(jìn)行評(píng)分,由此得出企業(yè)等級(jí)保護(hù)的符合度。
3.1、物理安全
● 問(wèn)題總數(shù)是根據(jù)《信息安全等級(jí)保護(hù)考核管理具體指標(biāo)》來(lái)進(jìn)行分析的;
● 有效問(wèn)題總數(shù)是根據(jù)不同的等級(jí)來(lái)適用不同的要求或要求的強(qiáng)度的不同;
● 滿分是根據(jù)問(wèn)題總數(shù) * 3 來(lái)得到的。
● 評(píng)分標(biāo)準(zhǔn):
■ 全部符合為 3 分
■ 部分符合為 1 分
■ 不符合為 0 分
● 實(shí)際得分是根據(jù)企業(yè)的實(shí)際情況,結(jié)合上述的評(píng)分標(biāo)準(zhǔn)得出的。
3.2、網(wǎng)絡(luò)安全
// 分析方法同上
3.3、主機(jī)系統(tǒng)安全
// 分析方法同上
3.4、應(yīng)用安全
// 分析方法同上
3.5、數(shù)據(jù)安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4、需求分析
需求分析主要也是從幾個(gè)方面來(lái)展開(kāi)說(shuō)明,如主機(jī)層面、網(wǎng)絡(luò)層面、終端、管理等等,需求分析主要針對(duì)上述的差距來(lái)得到的,分析企業(yè)目前存在的差距應(yīng)當(dāng)怎樣來(lái)解決,這就引出了需求。(PS:涉及面較廣,就不一一介紹了)
5、安全規(guī)劃
安全規(guī)劃部分就是在我們得到了企業(yè)的需求之后,提出的后期的一個(gè)解決方案,方案可分三期來(lái)進(jìn)行,解決方案主要圍繞人、技術(shù)、管理、產(chǎn)品來(lái)進(jìn)行,譬如購(gòu)買(mǎi)產(chǎn)品、人員的培訓(xùn)、管理體系的完善、制度的完善等。此部分設(shè)計(jì)的篇幅較大,我這里只提下基本的綱要,就不一一敘述了。
責(zé)任編輯:王文文
來(lái)源:
冷漠的博客
