网络安全防护技术支持服务项目+等保定级.doc

精品文档，仅供学习与交流，如有侵权请联系网站删除1.1 技术方案1.1.1 通信网络等保定级1.1.1.1 实施的基本流程 对信息系统实施等级保护的基本流程见图1在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程1.1.1.2 信息系统定级 1.1.1.2.1 信息系统定级阶段的工作流程 信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T  AAAA-AAAA，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准 信息系统定级阶段的工作流程见图21.1.1.2.2 信息系统分析1.1.1.2.2.1 系统识别和描述 活动目标： 本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。

 参与角色：信息系统运营、使用单位，信息安全服务机构 活动输入：信息系统的立项、建设和管理文档 活动描述： 本活动主要包括以下子活动内容： a) 识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况，获得信息系统的背景信息和联络方式 b) 识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责，获得支持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信息系统的安全责任主体 c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在此基础上明确信息系统的边界，即确定定级对象及其范围 d) 识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自的社会属性、业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象 e) 识别业务系统处理的信息资产 了解业务系统处理的信息资产的类型，这些信息资产在保密性、完整性和可用性等方面的重要性程度。

 f) 识别用户范围和用户类型 根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等 g) 信息系统描述 对收集的信息进行整理、分析，形成对信息系统的总体描述文件一个典型的信息系统的总体描述文件应包含以下内容:1）系统概述； 2)  系统边界描述； 3)  网络拓扑； 4)  设备部署； 5)  支撑的业务应用的种类和特性； 6)  处理的信息资产； 7)  用户的范围和用户类型； 8)  信息系统的管理框架  活动输出： 信息系统总体描述文件 1.1.1.2.2.2 信息系统划分 活动目标： 本活动的目标是依据信息系统的总体描述文件，在综合分析的基础上将组织机构内运行的信息系统进行合理分解，确定所包含可以作为定级对象的信息系统的个数 参与角色：信息系统运营、使用单位，信息安全服务机构 活动输入：信息系统总体描述文件 活动描述： 本活动主要包括以下子活动内容： a) 划分方法的选择 一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。

 b) 信息系统划分 依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分，划分出相对独立的信息系统并作为定级对象，应保证每个相对独立的信息系统具备定级对象的基本特征在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素c) 信息系统详细描述 在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息系统划分信息的描述，准确描述一个大型信息系统中包括的定级对象的个数 进一步的信息系统详细描述文件应包含以下内容： 1) 相对独立信息系统列表；2)  每个定级对象的概述；3) 每个定级对象的边界； 4) 每个定级对象的设备部署； 5) 每个定级对象支撑的业务应用及其处理的信息资产类型；6)  每个定级对象的服务范围和用户类型； 7) 其他内容  活动输出： 信息系统详细描述文件1.1.1.2.3 安全保护等级确定 1.1.1.2.3.1 定级、审核和批准 活动目标： 本活动的目标是按照国家有关管理规范和GB/T  AAAA-AAAA，确定信息系统的安全保护等级，并对定级结果进行审核和批准，保证定级结果的准确性 参与角色：信息系统主管部门，信息系统运营、使用单位，信息安全服务机构。

活动输入：信息系统总体描述文件，信息系统详细描述文件 活动描述： 本活动主要包括以下子活动内容： a) 信息系统安全保护等级初步确定 根据国家有关管理规范和GB/T  AAAA-AAAA确定的定级方法，信息系统运营、使用单位对每个定级对象确定初步的安全保护等级b) 定级结果审核和批准 信息系统运营、使用单位初步确定了安全保护等级后，有主管部门的，应当经主管部门审核批准跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审活动输出：信息系统定级评审意见1.1.1.2.3.2 形成定级报告 活动目标： 本活动的目标是对定级过程中产生的文档进行整理，形成信息系统定级结果报告 参与角色：信息系统主管部门，信息系统运营、使用单位 活动输入：信息系统总体描述文件，信息系统详细描述文件，信息系统定级结果 活动描述： 对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理，形成文件化的信息系统定级结果报告 信息系统定级结果报告可以包含以下内容：a) 单位信息化现状概述；b) 管理模式；c) 信息系统列表；d) 每个信息系统的概述；e) 每个信息系统的边界；f) 每个信息系统的设备部署；g) 每个信息系统支撑的业务应用；h) 信息系统列表、安全保护等级以及保护要求组合；i) 其他内容。

 活动输出：信息系统安全保护等级定级报告 1.1.1.3 总体安全规划 1.1.1.3.1 总体安全规划阶段的工作流程 总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设项目实施对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距总体安全规划阶段的工作流程见图31.1.1.3.2 安全需求分析1.1.1.3.2.1 基本安全需求的确定 活动目标： 本活动的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求参与角色： 信息系统运营、使用单位，信息安全服务机构，信息安全等级测评机构 活动输入： 信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档，信息系统安全等级保护基本要求 活动描述： 本活动主要包括以下子活动内容： a) 确定系统范围和分析对象 明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。

初步确定每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等b) 形成评价指标和评估方案 根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标根据评价指标，结合确定的具体对象制定可以操作的评估方案，评估方案可以包含以下内容：1) 管理状况评估表格； 2) 网络状况评估表格； 3) 网络设备（含安全设备）评估表格； 4) 主机设备评估表格； 5) 主要设备安全测试方案； 6) 重要操作的作业指导书 c) 现状与评价指标对比 通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论整理和分析不符合的评价指标，确定信息系统安全保护的基本需求 活动输出： 基本安全需求1.1.1.3.2.2 额外/特殊安全需求的确定 活动目标： 本活动的目标是通过对信息系统重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，采用需求分析/风险分析的方法，确定可能的安全风险，判断对超出等级保护基本要求部分实施特殊安全措施的必要性，提出信息系统的特殊安全保护需求。

 参与角色： 信息系统运营、使用单位，信息安全服务机构 活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，信息系统相关的其它文档 活动描述：  确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法，或者采用下面介绍的活动： a) 重要资产的分析 明确信息系统中的重要部件，如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等 b) 重要资产安全弱点评估 检查或判断上述重要部件可能存在的弱点，包括技术上和管理上的；分析安全弱点被利用的可能性 c) 重要资产面临威胁评估 分析和判断上述重要部件可能面临的威胁，包括外部的威胁和内部的威胁，威胁发生的可能性或概率 d) 综合风险分析 分析威胁利用弱点可能产生的结果，结果产生的可能性或概率，结果造成的损害或影响的大小，以及避免上述结果产生的可能性、必要性和经济性按照重要资产的排序和风险的排序确定安全保护的要求 活动输出： 重要资产的特殊保护要求1.1.1.3.2.3 形成安全需求分析报告 活动目标： 本活动的目标是总结基本安全需求和特殊安全需求，形成安全需求分析报告 参与角色： 信息系统运营，使用单位，信息安全服务机构。

 活动输入：信息系统详细描述文件，信息系统安全保护等级定级报告，基本安全需求，重要资产的特殊保护要求活动描述：  本活动主要包括以下子活动内容： a) 完成安全需求分析报告 根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告 安全需求分析报告可以包含以下内容： 1) 信息系统描述；2)  安全管理状况；3) 安全技术状况； 4) 存在的不足和可能的风险；5)  安全需求描述 6) 活动输出： 安全需求分析报告1.1.1.3.3 总体安全设计1.1.1.3.3.1 总体安全策略设计 活动目标： 本活动的目标是形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和。