今日頭條
官方微信
官方抖音
資訊頻道安全建設整改工作是開展等級保護工作的核心和落腳點。無論是定級、測評還是監督檢查工作最終都要服從和服務于安全建設整改工作。
安全建設整改目的是使確定了等級的信息系統能夠達到相應等級的基本的保護水平和滿足自身需求的安全保護能力,因為涉及內容太多,管理制度建設、安全技術措施建設……很多用戶開展此項工作時都一籌莫展。
開展安全建設整改工作,就好比在陽光燦爛的時候修葺屋頂,這樣,暴風雨來的時候我們就可以安然無恙。居安思危,未雨綢繆,善于從不同維度去思考問題,把不利于系統安全的因素扼殺在萌芽狀態,落實安全責任,掌握日后等級保護測評的主動權。
接下來小編將整改工作的目標、內容、方法、流程、要求等內容列出來,供大家參考。
1 安全建設整改的目的
● 探索信息安全工作的整體思路
● 確定信息系統保護的基線要求
● 了解信息系統的問題和差距
● 明確信息系統安全建設的目標
● 提升信息系統的安全保護能力
2 安全建設整改的工作內容
定級時,是按照有關標準要求對每個業務系統進行定級。但在安全建設整改時,可以采取“分區”、“分域”的方法,按照整體防護、綜合防控的原則進行建設方案或整改方案的設計。整改方案立足于對信息系統進行加固改造,缺什么就補充什么;對于新建系統,參照同步規劃、同步設計、同步實施這“三同步”的要求,落實安全管理措施和技術保護措施。
實際工作中,設計建設方案時需要堅持管理和技術并重的原則,將技術措施和管理措施有機結合,建立信息系統綜合防護體系,提高信息系統整體安全保護能力。
各級信息系統安全保護管理措施要求:
各級信息系統安全保護技術措施要求:
3 工作開展的依據
管理制度建設的依據
《管理辦法》、《信息系統安全等級保護基本要求》、《信息系統安全管理要求》、《信息系統安全工程管理要求》
技術措施建設的依據
《管理辦法》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統通用安全技術要求》、《信息系統安全工程管理要求》、《信息系統安全等級保護安全設計技術要求》
4 安全建設整改的工作方法和流程
建設過程中要突出重點。三四級信息系統優先級別高于二級系統,當然也可以對各等級系統同步規劃實施,確保按期完成任務。
工作流程:信息系統安全建設整改工作規劃和工作部署——信息系統安全保護現狀分析——確定安全策略,制定安全建設整改方案——開展信息系統安全自查和等級測評。詳細工作流程詳見下表:
通過對信息系統的安全建設整改工作,使得系統安全管理水平明顯提高,安全防范能力明顯加強,減少安全隱患和安全事故的發生,從而有效保障國家安全、社會秩序和公共利益。
建設整改方案設計思路和要點
依據《信息系統安全等級保護基本要求》
參照《信息系統等級保護安全設計技術要求》
引入“縱深防御”的概念, 強化多層防御
引入“安全區域”的概念
● 物理安全設計
對于不同安全保護等級子系統各自獨立使用機房或獨立使用某個部分(區域)的情況,其獨立部分可根據不同安全保護等級的要求和需求獨立設計。對不同安全保護等級子系統共用機房或共用某些部分(區域)的情況,其共用部分按照最高原則進行設計,也就是就高不就低的原則。
● 主機系統安全設計
主機系統安全設計,內容包括操作系統或數據庫管理系統的安全配置,主機入侵防范、惡意代碼防范、資源使用情況監控等功能的實現。
主機安全設計需要明確規定操作系統與數據庫管理系統的名稱與版本、應安裝的最小化組件與必要補丁、基本的安全配置規范。
合理的安全配置是確保主機系統具備的安全功能在業務環境中充分、有效對抗威脅的保證。主要配置內容應包括身份鑒別(鑒別方式、強度、失敗處理)、訪問控制(控制范圍、嚴格程度以及實現方式)、安全審計(實現方式、對象和項目的選擇、日志存儲與保護、數據查詢與報警)等。
● 備份與恢復設計
針對業務數據安全的數據備份系統可考慮數據備份的范圍、時間間隔、實現技術與介質以及數據備份線路的速率以及相關通信設備的規格和要求。
針對信息系統服務連續性的安全設計要考慮連續性保證方式(設備冗余、系統級冗余直至遠程集群支持)與實現細節,包括相關的基礎設施支持、冗余相關的基礎設施支持、冗余/集群機制的選擇、硬件設備的功能/性能指標以及軟硬件的部署形式與參數配置等。
來源:e安在線
北京市公安局海淀分局備案號:11010802023656號