文档介绍:信息系统等级保护建设指导要求(三级)目录1. 范围 -1-2. 项目背景 -2-. 前言 -2-. 开展信息安全等级保护的法规、政策和技术依据 -3-、政策、文件 -6- -9-3. 方案设计要求 -17-. 方案设计思想 -17- -17- -17-,实现基础核心层的纵深防御 -18-,构建安全应用支撑平台 -19-. 建设原则 -19-. 建设内容 -20- -20-(三级) -21-. 计算环境安全设计 -27- -27- -28- -29- -29- -30- -30- -30-. 区域边界安全设计 -30- -31- -34- -34- -35-. 安全通信网络设计 -35-. 安全管理中心设计 -35-4. 物理安全要求 -36-. 信息系统中心机房安全现状 -36-. 信息系统物理安全方面提出的要求 -37-. 信息系统物理安全建设 -37- -38- -41- -42-5. 管理安全要求 -47-. 信息系统安全管理的要求 -48-. 信息系统安全管理建设设计 . 信息系统安全建设总结 596. 设备要求 . 设备选型原则 . 产品分类选型指标 . 主机安全管理平台指标 . 应用安全防护系统指标 . 终端安全防护系统(服务器版)指标 . 终端安全防护系统(PC版)指标 . 身份认证网关指标 . 数据库审计系统指标 . 防火墙选型指标 . 防病毒网关指标 . 入侵检测系统指标 . ***系统指标 . 抗拒绝服务系统指标 . 流量控制网关指标 . 网络审计系统指标 . VPN设备选型指标 . 信息系统安全等级保护建设安全产品配置清单(三级) 79附件一:术语和定义 81附件二:方案设计参考法规、政策、标准(含国标、行标、已送批)列表 91方案设计要求方案设计思想构建符合信息系统等级保护要求的安全体系结构平台安全建设需要在整体信息安全体系指导下进行实施,保证信息安全建设真正发挥效力。随着计算机科学技术的不断发展,计算机产品的不断增加,信息系统也变得越来越复杂。从体系架构角度看,任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户的工作环境,由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成,计算环境的安全是信息系统安全的核心,是授权和访问控制的源头;区域边界是计算环境的边界,对进入和流出计算环境的信息实施控制和保护;通信网络是计算环境之间实现信息传输功能的部分。在这三个层次中,如果每一个使用者都是经过认证和授权的,其操作都是符合规定的,那么就不会产生攻击性的事故,就能保证整个信息系统的安全。建立科学实用的全程访问控制机制访问控制机制是信息系统中敏感信息保护的核心,依据《计算机信息系统安全保护等级划分准则》(GB17859-1999)(以下简称GB17859-1999):三级信息系统安全保护环境的设计策略,应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境,构造非形式化的安全策略模型,对主、客体进行安全标记,并以此为基础,按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略,在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制,阻止对非授权用户的访问行为以及授权用户的非授权访问行为。加强源头控制,实现基础核心层的纵深防御终端是一切不安全问题的根源,终端安全是信息系统安全的源头,如果在终端实施积极防御、综