等保整改方案共18页.docx
- 文档编号:26851999
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:12
- 大小:19.17KB
等保整改方案共18页.docx
《等保整改方案共18页.docx》由会员分享,可在线阅读,更多相关《等保整改方案共18页.docx(12页珍藏版)》请在冰豆网上搜索。
等保整改方案共18页
等保整改方案
篇一:
等保整改与安全建设方案
等级保护整改与安全建设方案
前言
等级保护保护整改与安全建设工作重要性
依据公通字[20xx]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
等级保护整改与安全建设过程
等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
等保整改与建设过程主要包括:
等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一)等级保护差距分析
1.等级保护风险评估
1)评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。
风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。
可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。
风险评估的结果和差距分析结果都是整改建议方案的输入。
通过专业的等级评估服务,协助用户完成以下的目标:
●了解信息系统的管理、网络和系统安全现状;
●确定可能对资产造成危害的威胁;
●确定威胁实施的可能性;
●对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
●对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;●明确信息系统的已有安全措施的有效性;
●明晰信息系统的安全管理需求。
2)评估内容
●资产识别与赋值
●主机安全性评估
●数据库安全性评估
●安全设备评估
现场风险评估用到的主要评估方法包括:
●漏洞扫描
●控制台审计
●技术访谈
3)评估分析
根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2.等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级
要求之间的差距,确定不符合安全项。
1)准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:
●安全技术差距分析:
包括网络安全、主机安全、应用安全、数据安全及备份恢复;
●安全管理差距分析:
包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
●系统运维差距分析:
包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
●物理安全差距分析:
包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2)现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
●查验文档资料
●人员访谈
●现场测试
3)生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二)等级保护整改建议方案
1.整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2.总体框架
根据等保安全要求,提出如下的安全整改建议,其中PMOT体系是信息安全保障总体框架模型。
图信息安全PMOT体系模型
根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系,具体内容包括:
●建立和完善安全策略:
最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
●安全技术体系:
安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
●建立和完善安全管理体系:
建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。
●安全运维体系:
机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4等级保护整改与安全建设总体框架
3.方案说明
●信息安全策略
信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT信息安全体系的顶层,也是安全管理体系的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。
●安全技术体系
根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。
使得在信息安全产品采购和安
篇二:
等保整改一站式解决方案
等保三级整改一站式方案
一、典型等级保护用户整改参考图(建设目标)
二、五步走
1.安全域划分
做等级保护的整改,第一步一定是要明确安全域。
下面是经典安全域划分方案:
业务服务器域:
客户的业务服务器和存储的安全区域用户终端域:
用户终端,一些完全不重要的服务器
安全管理域:
安全管理中心,包括网管系统服务器啊,终端安全管理的服务器等用来做网络和安全运维管理的这些设备
互联网出口域:
互联网出口的网络和安全设备
2.互联网出口
在互联网出口部署防火墙、入侵防御、病毒过滤、上网行为管理、链路负载;
3.安全域互访隔离
1
所有的安全域之间必须通过防火墙才能互联互通;
4.Web安全防护
web服务器前部署web防火墙;
5.安全管理中心
在安全管理中心要有这些东西:
漏洞扫描系统、数据库审计系统、终端安全管理系统、网管系统、应用性能管理系统、SSLVPN、防病毒系统、运维堡垒主机;
以上五个步骤完成,设备整改完成。
三、涉及产品列表,红色为我司可提供的产品
2
四、疑难问题解答
1.是不是上面这些设备都部署,才能通过三级等保?
回答:
不是。
上面是比较理想的情况,实际情况根据客户预算和客户实际需求来进行,部署70-80%的设备即可。
2.安全域隔离防火墙,很多客户利用交换机的ACL做,测评中心也认可。
回答:
对。
等保要求进行访问控制,没要求必须用防火墙,交换机ACL也是访问控制手段,但用防火墙是最专业的访问控制设备,其专业性智能型运维容易程度都远远强于交换机ACL,而且交换机ACL损耗交换机性能严重,交换机是交换设备,不是专业的安全设备。
3.是不是做了这些就可以通过等保测评了?
回答:
设备层面足够了。
还需要做一些安全加固和管理制度文档整理。
安全加固指的是把服务器、数据库、网络设备、安全设备、业务系统的一些安全策略调整到符合等保的规定,比如你服务器密码都是666,现在开启服务器的密码强度要求这个策略,就是安全加固。
文档整理主要是安全管理制度,以及测评申请书。
4.了解到客户情况后,怎么给客户做整改方案?
回答:
上面整改五步走,每一步都说明了需要什么,缺少的设备就是需要整改的。
安全加固和安全制度是肯定需要整改的。
3
篇三:
等级保护整改方案模板(独创版本)
密级:
商密
文档编号:
等级保护整改方案-03项目代号:
中国××股份信息安全专项咨询项目等级保护整改方案
北京信息安全技术有限公司
20xx年9月
仅供××股份信息安全专项咨询项目内部使用第1页共32页
保密申明
这份文件包含了来自××星辰的可靠、权威的信息,这些信息是作为××股份正在实施的信息安全专项咨询项目实施专用,接受这份计划书表示同意对其内容保密并且未经××公司书面请求和书面认可,不得复制,泄露或散布这份文件。
如果你不是有意接受者,请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
仅供××股份信息安全专项咨询项目内部使用
第2页共32页
文档信息表
仅供××股份信息安全专项咨询项目内部使用第3页共32页
目录
保密申明...........................................................................................................................................2文档信息表.......................................................................................................................................31
概述...........................................................................................................................................61.11.21.32
概述.........................................................................................................................................6主要内容.................................................................................................................................6目标读者.................................................................................................................................6
系统识别定级............................................................................................................................72.12.22.3
业务信息受到破坏时所侵害客体的确定..............................................................................7信息受到破坏后对侵害客体的侵害程度..............................................................................7系统定级.................................................................................................................................8
3现状概述..............................................................................................................
.....................93.13.23.3
ERP系统..................................................................................................................................9资金系统...............................................................................................................................11OA系统.................................................................................................................................12
4安全管理.................................................................................................................................134.1
安全管理制度.......................................................................................................................14
4.1.1现状的不足...................................................................................................................14
管理制度.........................................................................................................................................14
整改方案.......................................................................................................................144.2安全管理机构.......................................................................................................................154.2.1现状的不足...................................................................................................................154.2.2整改方案.......................................................................................................................154.3人员安全管理.......................................................................................................................164.3.1现状的不足...................................................................................................................164.3.2整改方案.......................................................................................................................174.4系统建设管理.......................................................................................................................174.4.1现状的不足...................................................................................................................174.4.2整改方案.......................................................................................................................184.5系统运维管理.......................................................................................................................194.5.1现状的不足...................................................................................................................194.5.2整改方案.......................................................................................................................21
5
安全技术.................................................................................................................................235.1
物理安全...............................................................................................................................23
4.1.2
现状的不足...................................................................................................................235.1.2整改方案.......................................................................................................................235.2网络安全...............................................................................................................................235.2.1现状的不足...................................................................................................................23
仅供××股份信息安全专项咨询项目内部使用第4页共32页
5.1.1
整改方案.......................................................................................................................24
5.3主机安全...............................................................................................................................255.3.1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整改 方案 18