说起等保大家可能都不陌生,前年的时候闹的比较凶,去年貌似动静不大,据说今年又开始轰轰烈烈实施了。今天一直在想弄一个基于等级保护的安全解决方案,不妥之处还请大家一起讨论。
解决方案的整体思路为 现状分析 ---> 差距分析 --> 需求分析 --> 安全规划 ,简单来说先分析企业的安全现状,再分析目前企业的现状与等级保护的一个差距,由差距我们得到需求,由需求最后得出企业在未来 3- 5 年内的安全解决方案。
1、概述
为了加强对国家信息系统的保密管理,确保信息安全,国家明确提出了信息系统的建设使用单位必须根据分级保护管理办法和有关标准,对信息系统分等级实施保护。
2007 年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布了《信息安全等级保护管理办法》。《办法》将信息系统的安全保护等 级分为以下五级:
◆ 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益 造成损害,但不损害国家安全、社会秩序和公共利益。
◆ 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益 产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安 全。
◆ 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。
◆ 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重 损害,或者对国家安全造成严重损害。
◆ 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
根据对等级保护要求的理解,我们设计了基于等级保护的安全解决方案,方案主要分为 4 个阶段来进行:
◆ 现状评估:分析信息安全现状;
◆ 差距分析:识别企业目前的安全现状与等级保护之间的差距;
◆ 需求分析:确定信息安全战略以及相应的信息安全需求;
◆ 安全规划:规划未来 3-5年内的需要实施的安全项目。
2、信息安全现状分析
等级保护自上而下分别为:类、控制点和项。其中,类表示《信息系统安全等级保护基本要求》在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。”
具体框架结构如图所示:
根据以上等级保护的基本框架,我们分析 XXXX 目前在 物理安全、网络安全、主机系统安全、应用安全、安全管理等几方面目前的安全现状。
2.1、物理安全
//分析目前物理安全的现状
2.2、网络安全
//分析目前网络安全的现状
2.3、主机系统安全
//分析目前主机系统安全的现状
2.4、应用安全
//分析目前应用安全的现状
2.5、数据安全
//分析目前数据安全的现状
2.6、安全管理
//分析目前安全管理的现状
3、差距分析
差距分析章节主要是通过访谈或问卷的方式来分析企业目前和等级保护之间的差距,并进行评分,由此得出企业等级保护的符合度。
3.1、物理安全
● 问题总数是根据《信息安全等级保护考核管理具体指标》来进行分析的;
● 有效问题总数是根据不同的等级来适用不同的要求或要求的强度的不同;
● 满分是根据问题总数 * 3 来得到的。
● 评分标准:
■ 全部符合为 3 分
■ 部分符合为 1 分
■ 不符合为 0 分
● 实际得分是根据企业的实际情况,结合上述的评分标准得出的。
3.2、网络安全
// 分析方法同上
3.3、主机系统安全
// 分析方法同上
3.4、应用安全
// 分析方法同上
3.5、数据安全
// 分析方法同上
3.6、安全管理
// 分析方法同上
4、需求分析
需求分析主要也是从几个方面来展开说明,如主机层面、网络层面、终端、管理等等,需求分析主要针对上述的差距来得到的,分析企业目前存在的差距应当怎样来解决,这就引出了需求。(PS:涉及面较广,就不一一介绍了)
5、安全规划
安全规划部分就是在我们得到了企业的需求之后,提出的后期的一个解决方案,方案可分三期来进行,解决方案主要围绕人、技术、管理、产品来进行,譬如购买产品、人员的培训、管理体系的完善、制度的完善等。此部分设计的篇幅较大,我这里只提下基本的纲要,就不一一叙述了。
基于等级保护的安全解决方案
说起等保大家可能都不陌生,前年的时候闹的比较凶,去年貌似动静不大,据说今年又开始轰轰烈烈实施了。今天一直在想弄一个基于等级保护的安全解决方案,不妥之处还请大家一起讨论。
责任编辑:王文文
来源:
冷漠的博客
