下载文档原格式
网络安全等级保护定级
网络安全等级保护是指根据国家有关安全标准和技术要求,对信息系统网络的安全等级进行划分,并采取相应的安全保护措施,保障信息系统网络的安全性和可靠性。
目前,我国网络安全等级保护定级参考《信息系统安全等级保护通则》进行,分为五个等级:一级、二级、三级、四级、五级,等级由低到高,安全要求逐级加强。
下面对各个等级进行说明:
一级:主要适用于对安全性要求较低、攻击风险较低的信息系统,主要通过保密措施限制非授权人员获取系统信息。
二级:适用于对信息系统的安全性有一定要求的场合,要采取一定的网络安全保护措施,如防火墙、安全策略、入侵检测等。
三级:适用于对系统的高度稳定性和安全性有很高要求的场合,需要采取比较严格的网络安全防护措施,如访问控制、数据加密、数据备份等。
四级:适用于对系统的可用性和安全性有很高要求的场合,需要采取高强度的安全保护,如多重防火墙、身份认证、多重身份验证等。
五级:适用于对系统的可用性和安全性有极高要求的场合,要采取最高强度的网络安全保护措施,如物理隔离、威胁情报监测、紧急漏洞修复等。
每个等级都有相应的安全要求和技术措施,根据具体情况选择
合适的等级进行安全定级,并按照要求采取相应的安全保护措施。
在网络安全等级保护的过程中,需要进行安全评估和审计,确保实施的安全措施符合要求,能够有效保护信息系统网络的安全。
网络安全等级保护定级在实际应用中有着广泛的应用,可以帮助企业和单位制定安全保护方案,提升信息系统网络的安全等级,减少被攻击和数据泄露的风险,保护重要信息资源的安全。
在网络安全风险日益增加的背景下,网络安全等级保护定级是一种重要的安全保护手段,也是信息化建设和信息安全保障的重要环节。
网络安全等级保护(等保2.0)3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。
1.1.物理位置的选择在机房位置选择上,应选择的场地具有防震、防风和防雨等能力建筑内,同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果,确保机房的选择合理合规。
在UPS电池按放的位置选择要考虑到楼板的承重等因素。
1.2.物理访问控制对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围,同时在机房的各出入口出配置配置电子门禁系统和视频监控系统,通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。
1.3.防盗窃和防破坏在防盗窃和防破坏方面,对设备或主要部件进行固定,并设置明显的不易除去的标记。
在强弱电铺设方面尽量进行隐蔽布设。
为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。
此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。
对介质进行分类标识,存储在介质库或档案室中。
利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。
1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。
同时在配电方面设置相应的防雷保安器或过压保护装置等。
1.5.防火合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。
房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定,同时设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;1.6.防水和防潮在机房建设阶段,对机房窗户、屋顶和墙壁进行处理,防止液体渗透。
网络安全等级保护定级网络安全等级保护定级是指根据网络系统的重要性和安全风险来确定网络等级,并提出相应的防护措施。
网络安全等级保护定级主要是为了保障国家关键信息基础设施的安全,防止信息泄露、被盗等安全问题的发生。
网络安全等级保护定级分为一级到四级,每级都有相应的安全标准和保护措施。
在具体定级时,首先需要根据网络系统的重要性,包括系统所承载的业务、数据敏感程度等方面进行评估。
其次,需要根据网络系统的安全风险进行评估,分析系统存在的安全漏洞、风险等因素。
根据评估结果确定网络系统的等级,提出相应的保护要求和措施。
在网络安全等级保护定级中,一级是最高级别,需要具备较高的安全性要求,采取完善的安全措施。
二级次之,需要采取一定的安全措施来保护系统的安全。
三级是较低级别,需要采取一定的安全措施来保护系统的信息。
四级是最低级别,需要进行基本的安全防护措施。
在网络安全等级保护定级中,需要根据不同的等级确定相应的安全措施。
一级网络系统需要采取多层防护措施,包括入侵检测系统、防火墙、访问控制、日志审计等措施,以保障系统的高安全性。
对于二级网络系统,需要加强安全措施,提高安全性,如定期进行系统漏洞扫描,加强访问控制,提高系统的安全性。
对于三级网络系统,需要进行基本的安全防护,如设置强密码、安装杀毒软件等。
四级网络系统需要定期备份数据,加强密码管理等基本安全措施。
在网络安全等级保护定级中,还需要定期进行风险评估和安全检查,及时发现并解决安全隐患。
同时,还需要进行安全培训和教育,提高员工的安全意识和防护能力。
总之,网络安全等级保护定级是保障国家关键信息基础设施安全的重要手段。
通过对网络系统的重要性和安全风险进行评估,确定相应的安全等级和防护措施,可以更好地保护网络系统的安全,防止信息泄露和被盗等安全问题的发生。
同时,还需要加强风险评估、安全检查、安全培训等措施,提高网络系统的安全性和防护能力。
2023等保三级测评标准简介2023年等级保护测评标准(以下简称“等保三级标准”)是根据国家网络安全等级保护的要求,为评估和测定网络安全保护能力而制定的标准。
等保三级标准是我国网络安全行业的重要参考依据,对于提升网络安全保护水平和防范网络安全威胁具有重要意义。
标准要求等保三级标准包括六个方面的要求,分别为:物理安全、主机安全、网络安全、应用安全、数据安全和管理安全。
物理安全物理安全是指防止物理设备和资源遭受不恰当访问、破坏和干扰的措施。
等保三级标准要求加强物理安全管理,包括安全围墙、门禁系统、监控设备等控制措施的建设和运维。
主机安全主机安全是指保护主机资源免受未经授权的访问和破坏的控制措施。
等保三级标准要求加强主机安全管理,包括操作系统安全、软件安全更新、远程登录管理等方面的要求。
网络安全网络安全是指保护网络免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强网络安全管理,包括网络边界防护、入侵检测与防御系统、虚拟专用网络等方面的要求。
应用安全应用安全是指保护应用程序免受未经授权的访问和攻击的控制措施。
等保三级标准要求加强应用安全管理,包括代码审查、访问控制、漏洞扫描等方面的要求。
数据安全数据安全是指保护重要数据免受泄露、篡改和毁坏的控制措施。
等保三级标准要求加强数据安全管理,包括数据备份与恢复、加密传输、权限管理等方面的要求。
管理安全管理安全是指保护信息系统运营过程中的管理活动不被未经授权的个人或实体干扰和破坏的控制措施。
等保三级标准要求加强管理安全管理,包括安全培训、安全策略与规程、事件响应等方面的要求。
实施步骤根据等保三级标准,组织需要按照以下步骤进行测评实施: 1. 准备工作:明确测评的目标,组织相关人员和资源,制定测试计划和时间表。
2. 测评准备:完成测评相关的文档准备、设备配置和网络环境准备。
3. 测评执行:根据标准要求,依次对物理安全、主机安全、网络安全、应用安全、数据安全和管理安全进行测评。
等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿,啥叫等保呢?就是“等级保护”,全称叫做《信息安全技术网络安全等级保护基本要求》。
简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。
简单点说,就是你的网站有多重要,相关部门对你要求的安全防护就有多高。
等保的等级从一级到四级,四级就等于是“顶级防护”,一级呢,就是最基础的保护。
你看哈,就像是咱家的门锁一样,一星级门锁只能防止小偷偷东西,四星级门锁嘛,就算是黑客来也得瑟瑟发抖。
所以今天咱就来看看这四个等级有啥不一样,各自的测评项有哪些区别。
咱先从等保一级说起,基本上属于“随便打个防护墙也就够了”的级别,主要适用于一些没有啥敏感数据、对安全要求不高的小系统。
你想啊,像咱家的WiFi密码,可能也就不过是一个简单的“123456”,那啥,基本上是不会有黑客来攻破你家防线的。
这个级别的测评项主要是看你有没有做一些基本的安全措施,比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。
低调,简单,只要能防住一般的小问题就行了。
再说等保二级吧,哎呦,这就好像是换了个更结实的门锁,防盗网也加上了,不单单是防止普通的黑客攻击了,还得防止一些有点儿“水平”的攻击者。
这个级别的测评就多了,比如会看看你的系统有没有定期做漏洞扫描,系统的日志有没有记录,权限控制是不是合理。
这个就像你家门锁不光得结实,还得有个监控摄像头,看见有可疑的人就能报警。
简单说吧,二级安全还是比较基础的,差不多能防住那些不太专业的攻击了。
然后咱说说三级,这就厉害了,三级差不多就相当于家里换了带密码的智能锁,防盗网也升级为全自动的那种。
三级的测评项可就多了,不光得看防护能力,还得看管理、运维、数据保护等各方面。
比如有没有定期的安全巡检?系统的漏洞有没有及时打补丁?数据的备份是不是做好了?这个时候,系统的安全防护已经不只是看“有没有密码”,而是更侧重于“如何保护”了。
网络安全等级保护标准网络安全等级保护标准(以下简称等保标准)是我国政府制定的一系列网络安全标准和要求,旨在确保国家重要信息基础设施及其相关系统的安全。
等保标准按照信息系统的敏感程度和可能存在的威胁等级,将网络安全分为五个等级,分别是一级到五级,其中一级的安全等级最高,五级的安全等级最低。
等保标准主要包括以下内容:1. 安全威胁等级评估:根据信息系统的重要性、威胁程度和可能的损失,对系统进行安全威胁等级评估。
评估结果将决定系统的等保级别。
2. 安全管理要求:包括安全组织管理、安全运维管理、安全开发管理、安全应急管理等内容,确保系统的安全运行和管理。
3. 安全技术要求:包括网络安全防护、安全设备配置、密码管理、漏洞管理等内容,涉及到网络系统的各个方面,保证系统的技术安全性。
4. 安全保密要求:涉及到国家秘密及非国家秘密信息的保护,包括数据保护、存储保护、传输保护等措施,确保信息的机密性和完整性。
5. 安全事件响应要求:确保系统在发生安全事件时能够及时有效地响应,包括安全事件监测、安全事件处置、安全事件调查等方面。
等保标准的实施,对于提升国家信息安全能力、保护国家重要信息资产及基础设施具有重要意义。
其主要作用体现在以下几个方面:首先,等保标准为信息系统提供了一套全面的安全管理和技术要求,借助于这些要求,可以更好地规范信息系统的建设和运维,提高系统的安全性。
其次,等保标准明确了不同等级的安全要求,针对不同安全等级的信息系统,提供了相应的安全防护措施,有针对性地保护了系统的安全。
再次,等保标准明确了安全事件的监测、处置和调查等要求,提供了相应的安全事件响应措施和程序,保证了在发生安全事件时能够及时有效地进行处置。
总之,网络安全等级保护标准是我国网络安全领域的重要标准和规范,对于保护国家信息资产安全、提升网络安全能力具有重要意义。
政府和企事业单位应密切关注等保标准的发展和实施,加强对系统的安全管理和技术防护,确保信息系统的安全运行。
网络安全等级保护定级网络安全等级保护定级指南网络安全等级保护定级是为了确保网络系统的安全性而进行的评估和分类。
本文旨在介绍网络安全等级保护定级的相关内容,包括定级原则和步骤等。
1. 定级原则网络安全等级保护定级基于以下几个原则进行:1. 安全需求分类原则:根据信息系统所承载的数据的重要性和敏感程度,将安全需求进行分类。
2. 安全风险评估原则:通过对网络系统的威胁和风险进行评估,确定其所需的安全等级保护级别。
3. 安全技术措施原则:根据网络系统的安全等级保护级别要求,采取相应的技术措施,确保系统的安全性。
4. 安全事件处理原则:针对安全事件的发生,及时采取相应的应对措施,并对其进行记录和分析。
2. 定级步骤网络安全等级保护定级的步骤包括以下几个方面:1. 安全需求分析:通过对系统的分析,确定系统的数据重要性和敏感程度,以及关键性业务的安全需求。
2. 安全风险评估:评估网络系统所面临的威胁和风险,并将其与安全要求进行对比,确定需要的安全等级保护级别。
3. 安全控制措施策划:根据安全等级保护级别要求,制定相应的安全控制措施和技术规范,以确保系统的安全性。
4. 安全等级保护定级:根据之前的分析和评估结果,确定网络系统的安全等级保护级别,并进行定级。
5. 定级报告编制:根据定级结果,编制定级报告,详细记录网络系统的安全等级保护级别和相应的控制措施。
6. 定级监督和评估:定期对网络系统进行评估和监督,确保安全等级保护的有效性和持续性。
通过以上步骤,网络系统可以根据其安全需求和风险水平,确定相应的安全等级保护定级,并采取相应的安全措施,确保系统的安全性。
定级报告和定期的监督评估是确保网络系统安全的重要手段。
等保二级和三级的认定标准# 等保二级和三级的认定标准## 一、前言嘿,朋友!你有没有听说过等保呀?等保呢,就是信息安全等级保护的简称。
随着咱们现在网络越来越发达,各种各样的信息系统那是多得数都数不过来。
这些信息系统里可都是有很多重要的数据呢,比如说企业的财务数据、政府部门的政务信息、还有咱们老百姓的一些个人隐私信息之类的。
为了保护这些信息的安全,等保就应运而生啦。
它就像是一个信息安全的守门员,按照不同的标准来给信息系统的安全程度定个等级,这样就能有针对性地保护好这些信息啦。
今天呢,咱们就来好好唠唠等保二级和三级的认定标准,这可对很多单位和组织都非常重要哦。
## 二、适用范围(一)等保二级适用范围等保二级适用的范围还是挺广的。
一般来说呢,像一些小型的企业、或者是普通的商业网站,只要涉及到一定量的用户信息或者是商业数据的,就可能适用等保二级。
比如说,一个小型的电商网站,虽然它可能规模不是特别大,但是它有用户注册登录的功能,存储了用户的姓名、地址、联系方式这些基本信息,还涉及到商品的库存、订单这些商业数据。
这种情况下,这个电商网站就应该按照等保二级的标准来进行安全保护。
说白了,就是只要你的信息系统有点重要的数据,但是规模和影响力又不是超级大的那种,等保二级就比较适合你。
(二)等保三级适用范围等保三级的适用范围可就更上一层楼啦。
像一些中型规模的企业,特别是涉及到金融、医疗、教育等重要行业的信息系统,往往需要达到等保三级的标准。
比如说银行的网上银行系统,这里面可是涉及到大量用户的资金信息啊,像账户余额、交易记录这些,那可都是非常敏感的数据。
还有医院的信息系统,里面有病人的病历、诊断结果、用药信息等隐私信息。
学校的教育管理系统,包含学生的成绩、学籍信息等重要数据。
这些系统一旦出了安全问题,那影响可就大了去了。
所以它们就得按照等保三级的标准来建设和保护自己的信息系统。
## 三、术语定义(一)信息系统这个就很好理解啦,简单说就是由计算机硬件、软件、网络设备、数据等组成的一个有机整体,这个整体是用来处理信息的。
网络安全等级保护定级指南网络安全是当今社会发展中的一个重要议题,随着互联网的普及和信息技术的飞速发展,网络安全问题日益突出。
为了有效保护网络安全,各国纷纷制定了相关的网络安全等级保护定级指南,以便对网络安全进行科学、系统的评估和管理。
本文将就网络安全等级保护定级指南进行详细介绍,以便读者对网络安全等级保护定级有更深入的了解。
首先,网络安全等级保护定级指南是针对不同的网络系统和信息系统进行评估和定级的指导性文件。
它主要包括了网络安全等级保护的基本概念、评估方法和等级划分标准。
通过对网络系统和信息系统的风险分析和安全性能评估,将其划分为不同的等级,以便对其进行分类管理和保护。
其次,网络安全等级保护定级指南的主要内容包括了网络系统和信息系统的基本要素、安全保护等级的划分标准、安全性能评估方法和等级保护管理要求。
在网络系统和信息系统的基本要素中,主要包括了系统的功能、结构、数据和业务特征等方面的描述,以便对系统进行全面的了解。
而安全保护等级的划分标准则是根据系统的安全需求和安全风险进行划分,以便对系统进行等级保护。
安全性能评估方法则是通过对系统的安全性能进行全面的评估,以便确定系统的安全等级。
而等级保护管理要求则是对系统进行等级保护管理的具体要求,包括了等级保护的组织管理、技术管理和安全保护措施等方面的要求。
最后,网络安全等级保护定级指南的实施对于保障网络安全具有重要的意义。
通过对网络系统和信息系统进行科学、系统的评估和管理,可以有效地提高网络系统和信息系统的安全性能,减少网络安全风险,保护国家的网络安全。
因此,各国都应该高度重视网络安全等级保护定级指南的实施,加强网络安全等级保护工作,共同维护网络安全。
综上所述,网络安全等级保护定级指南是对网络系统和信息系统进行评估和定级的指导性文件,它具有重要的意义。
通过对网络系统和信息系统的科学、系统的评估和管理,可以有效地提高网络系统和信息系统的安全性能,减少网络安全风险,保护国家的网络安全。
7.1技术方案7.1.1通信网络等保定级7.1.1.1实施的基本流程对信息系统实施等级保护的基本流程见图1在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
7.1.1.2信息系统定级7.1.1.2.1信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。
7.1.1.2.2信息系统分析7.1.1.2.2.1系统识别和描述活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统的立项、建设和管理文档。
活动描述:本活动主要包括以下子活动内容:a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f) 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g) 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含以下内容:1)系统概述;2) 系统边界描述;3) 网络拓扑;4) 设备部署;5) 支撑的业务应用的种类和特性;6) 处理的信息资产;7) 用户的范围和用户类型;8) 信息系统的管理框架。
活动输出:信息系统总体描述文件。
7.1.1.2.2.2信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件。
活动描述:本活动主要包括以下子活动内容:a) 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
b) 信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。
在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
c) 信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:1)相对独立信息系统列表;2)每个定级对象的概述;3)每个定级对象的边界;4)每个定级对象的设备部署;5)每个定级对象支撑的业务应用及其处理的信息资产类型;6)每个定级对象的服务范围和用户类型;7)其他内容。
活动输出:信息系统详细描述文件。
7.1.1.2.3安全保护等级确定7.1.1.2.3.1定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件,信息系统详细描述文件。
活动描述:本活动主要包括以下子活动内容:a) 信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。
b) 定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:信息系统定级评审意见。
7.1.1.2.3.2形成定级报告活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。
参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。
活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:a) 单位信息化现状概述;b) 管理模式;c) 信息系统列表;d) 每个信息系统的概述;e) 每个信息系统的边界;f) 每个信息系统的设备部署;g) 每个信息系统支撑的业务应用;h) 信息系统列表、安全保护等级以及保护要求组合;i) 其他内容。
活动输出:信息系统安全保护等级定级报告。
7.1.1.3总体安全规划7.1.1.3.1总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设项目实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
总体安全规划阶段的工作流程见图3。
7.1.1.3.2安全需求分析7.1.1.3.2.1基本安全需求的确定活动目标:本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色:信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
活动描述:本活动主要包括以下子活动内容:a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
b) 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标。
根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容:1) 管理状况评估表格;2) 网络状况评估表格;3) 网络设备(含安全设备)评估表格;4) 主机设备评估表格;5) 主要设备安全测试方案;6) 重要操作的作业指导书。
c) 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。
整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。
活动输出:基本安全需求。
7.1.1.3.2.2额外/特殊安全需求的确定活动目标:本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档。
活动描述:确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动:a) 重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等。
b) 重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安全弱点被利用的可能性。
c) 重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率。
d) 综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。
按照重要资产的排序和风险的排序确定安全保护的要求。
活动输出:重要资产的特殊保护要求。
7.1.1.3.2.3形成安全需求分析报告活动目标:本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告。
参与角色:信息系统运营,使用单位,信息安全服务机构。
活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求。
活动描述:本活动主要包括以下子活动内容:a) 完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告。
安全需求分析报告可以包含以下内容:1)信息系统描述;2)安全管理状况;3)安全技术状况;4)存在的不足和可能的风险;5)安全需求描述。
6)活动输出:安全需求分析报告。
