信息安全等级保护 实施方案
信息安全等級保護 實施方案
- 1.等保體系技術部分建設
- 2. 安全管理制度體系建設
- 3.人員安全管理建設
- 4.整合多種安全技術手段為安全管理提供支撐和依據(jù)
- 總結
實施方案)
1.等保體系技術部分建設
-
安全管理中心建設
在進行安全系統(tǒng)建設時,應當首先建設管理中心,從安全管理的高度為
后續(xù)的安全建設打下基礎。必須要從系統(tǒng)管理、安全管理、審計管理、事件管理、
風險管理、安全工作管理等方面進行統(tǒng)一考慮,特別要實現(xiàn)集中身份管理、集中
認證授權、集中操作審計。 - 部署安全管理平臺和策略服務器對計算環(huán)境安全支撐平臺實施統(tǒng)一的安
全管理,實現(xiàn)包括主客體標記、用戶授權、策略維護和更新在內的安全
管理職能; - 部署系統(tǒng)管理平臺和 CA 系統(tǒng),對整個系統(tǒng)的證書和密鑰實施統(tǒng)一管理,
對用戶身份和軟硬件資源配置實施統(tǒng)一控制和管理; - 部署審計管理平臺,接收部中心數(shù)據(jù)交換區(qū)和各省區(qū)數(shù)據(jù)交換區(qū)審計日
志,為審計信息的存儲、分析和處理提供平臺,作為管理員實施事件追
蹤、責任認定以及實施應急響應的依據(jù)。 -
計算環(huán)境安全建設
- (a ) 用戶身份鑒別
在每一個用戶登錄到維護終端時,采用受安全管理中心控制的口令、指紋、令牌、數(shù)字證書的組合機制進行用戶身份鑒別,并對鑒別數(shù)據(jù)進行保密和
- (b )強制訪問控制
數(shù)據(jù)交換服務器操作系統(tǒng)層的安全加固系統(tǒng)對服務器資源的訪問行為實施
嚴格的訪問控制,包括對于用戶訪問行為的控制和進程訪問權限的控制,有效 - c ) 系統(tǒng)安全審計
服務器安全加固軟件及設備的審計模塊記錄系統(tǒng)的相關安全事件。審計記錄
包括安全事件的主體、客體、時間、類型和結果等內容。審計管理平臺提供審計
記錄查詢、分類、分析和存儲保護,對特定安全事件進行報警,同時終端安全保
護系統(tǒng)(服務器版)能夠確保審計記錄不被破壞或非授權訪問。 - (d ) 用戶數(shù)據(jù)完整性保護
以密碼技術和機制為基礎,終端安全保護系統(tǒng)(服務器版)的完整性校驗機
制和防篡改機制保護數(shù)據(jù)交換服務器重要資源不會被篡改,且在其受到破壞時能
對重要數(shù)據(jù)進行恢復。終端安全保護系統(tǒng)(服務器版)的訪問控制機制保證用戶
重要數(shù)據(jù)不會被非法訪問和篡改。 - (e )用戶數(shù)據(jù)機密性保護
終端安全保護系統(tǒng)(服務器版)的訪控機制以及透明加解密機制將對服務
器存儲的敏感數(shù)據(jù)機密性實施有效保護,訪問控制機制能夠防止非授權用戶讀取
敏感信息,透明加解密機制對硬盤存儲的敏感數(shù)據(jù)實施加密存儲保護,即使非法
人員竊取硬盤設備,在沒有用戶合法密鑰的前提下也無法解密敏感信息。 - (f ) 客體安全重用
終端安全保護系統(tǒng)(服務器版)對用戶使用的客體資源實施針對性保護,
在這些客體資源重新分配前,對其原使用者的信息進行清除,以確保信息不被泄
露,實現(xiàn)客體的安全重用。 - (g ) 程序可執(zhí)行保護
終端安全保護系統(tǒng)(服務器版)可構建從操作系統(tǒng)到上層應用的信任鏈,
其中采用可信計算等技術,實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗,阻止
非授權程序的啟動和執(zhí)行,同時防范重要執(zhí)行程序被篡改,對病毒、木馬、蠕蟲
等惡意代碼具備自身免疫能力。
通過安裝終端安全保護系統(tǒng)軟件,可以在內核層對操作系統(tǒng)進行可
信改造和安全增強。終端安全保護系統(tǒng)在原操作系統(tǒng)的基礎上,強化了
其身份鑒別、數(shù)據(jù)保密性保護、系統(tǒng)完整性保護以及行為審計機制,增
加了強制訪問控制、邊界保護機制,避免安全機制因操作系統(tǒng)漏洞而被
旁路,為全面安防打下基礎。
- (a ) 用戶身份鑒別
2. 安全管理制度體系建設
- 需制定安全管理制度
等級保護對信息系統(tǒng)的管理制度體系提出了新的要求,現(xiàn)有的管理制度體系
已經(jīng)不能夠完全滿足,因此,需要我們應結合《信息系統(tǒng)安全等級保護基本要求》
中的相關要求,對現(xiàn)有的管理制度進行修改和完善,并添加新的管理制度。 - 管理制度的制定與發(fā)布
- 管理制度的編制與制定:
管理制度應該由信息安全管理部(處)指定部門或人員,根據(jù)有關法規(guī)、政
策、標準的要求,結合外匯管理局信息系統(tǒng)的實際情況進行編制和制定; - 管理制度的評審
原有管理制度的修改或新制定的管理制度,應組織有關人員進行充分論證和
審定,評審通過后,再根據(jù)新編制度的級別送信息安全管理委員會或信息安
全管理部(處)進行審批。 - 管理制度的發(fā)布:
原有管理制度的修改或新制定的管理制度,通過信息安全管理委員會或信息
安全管理部(處)審批后,方可正式發(fā)布、執(zhí)行。管理制度應注明發(fā)布范圍、
有效時限等,通過正式、有效的方式進行發(fā)布,對收發(fā)文進行登記,并指定
有關部門對制度的執(zhí)行進行監(jiān)督和審查。 - 管理制度的修訂:
信息安全管理部(處)應定期組織相關部門和相關人員對安全管理制度體系
的合理性和適用性進行審定;應定期或不定期對安全管理制度進行檢查和審
定,對存在不足或需要改進的安全管理制度進行修訂。 - 管理制度的管理:
管理制度應該由信息安全管理部(處)指定部門或人員進行管理與解釋;所
有制度文本應具有統(tǒng)一的格式,并進行版本控制。
- 管理制度的編制與制定:
3.人員安全管理建設
- 人員錄用
嚴格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質等進行
審查,對其所具有的技術技能進行考核;
所有錄用人員都應該根據(jù)其所接觸的信息敏感級別簽訂相應的保密協(xié)議;
應簽署保密協(xié)議;
關鍵性崗位人員必須從內部人員中選拔,并簽訂相應的安全協(xié)議; - 人員離崗
應嚴格規(guī)范人員離崗過程,應及時終止和收回離崗員工的所有訪問權限;
應將離崗人員身份證件、鑰匙、徽章等以及機構提供的軟硬件設備及時收回;
應辦理嚴格的調離手續(xù),關鍵崗位人員離崗須承諾調離后的保密義務后方可
離開; - 安全培訓與考核
信息安全管理部(處)應制定《信息系統(tǒng)安全意識與技能培訓制度》,針對不
同的崗位制定不同的培訓計劃,對各類人員的安全意識、安全基礎知識、崗
位技能、崗位操作規(guī)程、安全技術等進行培訓,并將培訓的情況和結果進行
記錄并歸檔保存;
信息安全管理部(處)應制定《信息系統(tǒng)安全意識與技能考核制度》,定期對
各個崗位的人員進行安全意識與技能進行考核,對關鍵性崗位人員的考核應
該更加的全面與嚴格,并將考核的情況和結果進行記錄并歸檔保存; - 外部人員訪問管理
信息安全管理部(處)應制定《外部人員訪問管理規(guī)定》,對外部人員的訪問
行為進行規(guī)定和約束;外部人員在訪問受控區(qū)域前必須先提出書面申請,批
準后方可進入,且訪問過程必須由專人全程陪同;訪問情況應登記備案;
4.整合多種安全技術手段為安全管理提供支撐和依據(jù)
- 主動防御技術手段
硬件網(wǎng)絡是信息系統(tǒng)運行的介質平臺,整合多種安全技術手段,對信息系統(tǒng)
可能存在的安全隱患與漏洞進行封堵。合理部署入侵檢測、漏洞掃描、防火墻、
終端安全保護系統(tǒng)(服務器版和普通版)、網(wǎng)站防護系統(tǒng)、抗拒絕服務系統(tǒng)、身
入侵檢測、漏洞掃描、防火墻、
終端安全保護系統(tǒng)(服務器版和普通版)、網(wǎng)站防護系統(tǒng)、抗拒絕服務系統(tǒng)、身
份認證網(wǎng)關等安全加固產(chǎn)品,構建信息系統(tǒng)的安全防御體系,將安全威脅屏蔽在
大門之外。 - 安全事件處理技術手段
對信息系統(tǒng)中存在的安全風險進行充分的評估,整合多種安全技術手段,為
所有可預見的安全事件建立應對機制。通過安全事件偵測與封堵、自動恢復機制、
設備的冗余設計、數(shù)據(jù)的備份
安全事件偵測與封堵、自動恢復機制、
設備的冗余設計、數(shù)據(jù)的備份等技術手段,構建信息系統(tǒng)的應急機制,保證在安
全事件發(fā)生時能夠及時的恢復正常狀態(tài)、阻止事態(tài)擴大、保證系統(tǒng)可用性、保證
信息數(shù)據(jù)的安全性等。 - 事后究責技術手段
建立完善的審計與監(jiān)督機制,整合多種安全技術手段,對信息系統(tǒng)中所有的
安全行為進行記錄和偵測。通過 安全審計系統(tǒng)、安全設備日志等設備或手段,對
信息系統(tǒng)中的所有安全行為進行定位,并使之與安全行為主體身份相關聯(lián),使所
有的安全行為均有記錄且抗抵賴,作為事后究責的重要依據(jù)。 - 技術手段的加強與完善
信息技術發(fā)展日新月異,不斷有新型的攻擊、破壞手段出現(xiàn),所以,信息系
統(tǒng)的安全體系也應該與時俱進。對曾經(jīng)發(fā)生的安全事件進行總結,對新出現(xiàn)的安
全攻擊、破壞行為采取相應的技術手段進行防范
曾經(jīng)發(fā)生的安全事件進行總結,對新出現(xiàn)的安
全攻擊、破壞行為采取相應的技術手段進行防范,不斷提高信息系統(tǒng)的安防能力,
使信息系統(tǒng)具有真正意義的安全性。
總結
- 信息系統(tǒng)的安全管理是一個動態(tài)的管理過程,隨著觀念、技術、信息化程度
的發(fā)展,安全管理的指導思想也應該要與時俱進的動態(tài)前進,要根據(jù)階段性的信
息安全目標不斷的對安全管理體系加以校驗和調整,保證管理體系始終適應和滿
足實際情況的需求,只要做到這樣,才能夠建設健康的、合理的、有效的外匯管
理局信息安全管理體系。
總結
以上是生活随笔為你收集整理的信息安全等级保护 实施方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [Markdown语法][快速入门][C
- 下一篇: 2016国产开源软件Top100(Q1)