說起等保大家可能都不陌生���,前年的時(shí)候鬧的比較兇,去年貌似動(dòng)靜不大��,據(jù)說今年又開始轟轟烈烈實(shí)施了��。今天一直在想弄一個(gè)基于等級(jí)保護(hù)的安全解決方案���,不妥之處還請(qǐng)大家一起討論。
創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)��、做網(wǎng)站和雅安服務(wù)器托管的網(wǎng)絡(luò)公司����,有著豐富的建站經(jīng)驗(yàn)和案例。
解決方案的整體思路為 現(xiàn)狀分析 ---> 差距分析 --> 需求分析 --> 安全規(guī)劃 �����,簡(jiǎn)單來(lái)說先分析企業(yè)的安全現(xiàn)狀����,再分析目前企業(yè)的現(xiàn)狀與等級(jí)保護(hù)的一個(gè)差距��,由差距我們得到需求�,由需求最后得出企業(yè)在未來(lái) 3- 5 年內(nèi)的安全解決方案�����。
1�����、概述
為了加強(qiáng)對(duì)國(guó)家信息系統(tǒng)的保密管理��,確保信息安全��,國(guó)家明確提出了信息系統(tǒng)的建設(shè)使用單位必須根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)��,對(duì)信息系統(tǒng)分等級(jí)實(shí)施保護(hù)���。
2007 年�����,公安部�����、國(guó)家保密局�、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》��?���!掇k法》將信息系統(tǒng)的安全保護(hù)等 級(jí)分為以下五級(jí):
◆ 第一級(jí),信息系統(tǒng)受到破壞后�����,會(huì)對(duì)公民����、法人和其他組織的合法權(quán)益 造成損害�,但不損害國(guó)家安全、社會(huì)秩序和公共利益��。
◆ 第二級(jí)���,信息系統(tǒng)受到破壞后���,會(huì)對(duì)公民�、法人和其他組織的合法權(quán)益 產(chǎn)生嚴(yán)重?fù)p害�,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安 全���。
◆ 第三級(jí)�����,信息系統(tǒng)受到破壞后���,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害, 或者對(duì)國(guó)家安全造成損害�����。
◆ 第四級(jí)�����,信息系統(tǒng)受到破壞后����,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重 損害�,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害�。
◆ 第五級(jí),信息系統(tǒng)受到破壞后�,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
根據(jù)對(duì)等級(jí)保護(hù)要求的理解�,我們?cè)O(shè)計(jì)了基于等級(jí)保護(hù)的安全解決方案,方案主要分為 4 個(gè)階段來(lái)進(jìn)行:
◆ 現(xiàn)狀評(píng)估:分析信息安全現(xiàn)狀��;
◆ 差距分析:識(shí)別企業(yè)目前的安全現(xiàn)狀與等級(jí)保護(hù)之間的差距�;
◆ 需求分析:確定信息安全戰(zhàn)略以及相應(yīng)的信息安全需求;
◆ 安全規(guī)劃:規(guī)劃未來(lái) 3-5年內(nèi)的需要實(shí)施的安全項(xiàng)目��。
2����、信息安全現(xiàn)狀分析
等級(jí)保護(hù)自上而下分別為:類���、控制點(diǎn)和項(xiàng)�。其中���,類表示《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》在整體上大的分類�����,其中技術(shù)部分分為:物理安全�、網(wǎng)絡(luò)安全、主機(jī)安全���、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類�,管理部分分為:安全管理制度�、安全管理機(jī)構(gòu)、人員安全管理��、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類��,一共分為10大類�。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)���,如物理安全大類中的“物理訪問控制”作為一個(gè)控制點(diǎn)��。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)��,如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)����,控制、鑒別和記錄進(jìn)入的人員�����?����!?br />
具體框架結(jié)構(gòu)如圖所示:
根據(jù)以上等級(jí)保護(hù)的基本框架�����,我們分析 XXXX 目前在 物理安全��、網(wǎng)絡(luò)安全����、主機(jī)系統(tǒng)安全、應(yīng)用安全���、安全管理等幾方面目前的安全現(xiàn)狀���。
2.1�、物理安全
//分析目前物理安全的現(xiàn)狀
2.2、網(wǎng)絡(luò)安全
//分析目前網(wǎng)絡(luò)安全的現(xiàn)狀
2.3、主機(jī)系統(tǒng)安全
//分析目前主機(jī)系統(tǒng)安全的現(xiàn)狀
2.4���、應(yīng)用安全
//分析目前應(yīng)用安全的現(xiàn)狀
2.5���、數(shù)據(jù)安全
//分析目前數(shù)據(jù)安全的現(xiàn)狀
2.6、安全管理
//分析目前安全管理的現(xiàn)狀
3�����、差距分析
差距分析章節(jié)主要是通過訪談或問卷的方式來(lái)分析企業(yè)目前和等級(jí)保護(hù)之間的差距����,并進(jìn)行評(píng)分,由此得出企業(yè)等級(jí)保護(hù)的符合度��。
3.1�、物理安全
● 問題總數(shù)是根據(jù)《信息安全等級(jí)保護(hù)考核管理具體指標(biāo)》來(lái)進(jìn)行分析的;
● 有效問題總數(shù)是根據(jù)不同的等級(jí)來(lái)適用不同的要求或要求的強(qiáng)度的不同�����;
● 滿分是根據(jù)問題總數(shù) * 3 來(lái)得到的��。
● 評(píng)分標(biāo)準(zhǔn):
■ 全部符合為 3 分
■ 部分符合為 1 分
■ 不符合為 0 分
● 實(shí)際得分是根據(jù)企業(yè)的實(shí)際情況�,結(jié)合上述的評(píng)分標(biāo)準(zhǔn)得出的�。
3.2����、網(wǎng)絡(luò)安全
// 分析方法同上
3.3、主機(jī)系統(tǒng)安全
// 分析方法同上
3.4���、應(yīng)用安全
// 分析方法同上
3.5���、數(shù)據(jù)安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4�、需求分析
需求分析主要也是從幾個(gè)方面來(lái)展開說明,如主機(jī)層面、網(wǎng)絡(luò)層面、終端�、管理等等�,需求分析主要針對(duì)上述的差距來(lái)得到的,分析企業(yè)目前存在的差距應(yīng)當(dāng)怎樣來(lái)解決,這就引出了需求�����。(PS:涉及面較廣���,就不一一介紹了)
5、安全規(guī)劃
安全規(guī)劃部分就是在我們得到了企業(yè)的需求之后�,提出的后期的一個(gè)解決方案,方案可分三期來(lái)進(jìn)行���,解決方案主要圍繞人�、技術(shù)���、管理�、產(chǎn)品來(lái)進(jìn)行��,譬如購(gòu)買產(chǎn)品�����、人員的培訓(xùn)�����、管理體系的完善����、制度的完善等。此部分設(shè)計(jì)的篇幅較大�����,我這里只提下基本的綱要,就不一一敘述了����。
本文標(biāo)題:基于等級(jí)保護(hù)的安全解決方案
瀏覽地址:
http://uogjgqi.cn/article/dhcpcsh.html
