文档介绍:××项目
等级保护方案
ﻬ目录
1ﻩ工程项目背景ﻩ5
2ﻩ系统分析ﻩ6
6
3ﻩ等级保护建设流程ﻩ7
4ﻩ方案参照标准ﻩ9
5ﻩ安全区域框架ﻩ10
6ﻩ安全等级划分ﻩ11
7ﻩ安全风险与需求分析ﻩ14
14
8ﻩ技术体系方案设计ﻩ20
通信网络安全设计ﻩ34
9ﻩ安全管理体系设计ﻩ39
10ﻩ安全运维服务设计ﻩ40
41
48
、网络异常响应ﻩ51
11ﻩ整体配置方案ﻩ53
12ﻩ方案合规性分析ﻩ53
13ﻩ附录:ﻩ75
工程项目背景
项目背景情况介绍
ﻬ
系统分析
网络结构分析
包括网络结构、软硬件设施等。
业务系统分析
对业务系统进行分析。
ﻬ
等级保护建设流程
极地安全提出的“按需防御的等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。
“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
系统识别与定级:确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度