信息安全等级保护建设项目方案书2.docx
《信息安全等级保护建设项目方案书2.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护建设项目方案书2.docx(54页珍藏版)》请在冰点文库上搜索。
信息安全等级保护建设项目方案书2
项目背景
随着互联网技术飞速发展,网络状况日趋复杂和重要,网络信息安全已经提高到国家安全的高度。
现在各单位、企业已经重视网络安全建设,但网络自身仍然比较脆弱。
为了达到信息系统安全等级保护工作的纵深要求,依据信息安全等级保护技术标准规范,建设网络安全和开展等级保护管理工作。
信息安全等级保护整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑。
之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。
”
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:
确定保护对象,通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计:
根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3.确定安全域安全要求:
参照国家相关等级保护安全要求,设计不同安全域的安全要求。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
4.评估现状:
根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。
通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
5.安全保障体系方案设计:
根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。
包括:
各层次的安全保障体系框架形成系统整体的安全保障体系框架;详细安全技术设计、安全管理设计。
6.安全建设:
根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护相应等级的基本要求,实现按需防御。
7.持续安全运维:
通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
而应该特别注意的是:
等级保护不是一个项目,它应该是一个不断循环的过程,所以通过整个安全项目、安全服务的实施,来保证用户等级保护的建设能够持续的运行,能够使整个系统随着环境的变化达到持续的安全。
在整个信息安全等级保护体系实施过程中,管理工作尤为重要,广西桂盾科技有限责任公司推出了LanSecS®信息安全等级保护综合管理系统,该系统是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。
作为信息安全等级保护工作的常态化管理工具,该系统紧密结合我国信息安全等级保护政策,实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个环节信息与数据的集中管理和工作流程管理。
针对以上体系中提到了安全建设与持续安全运维,推出了LanSecS®内网安全管理系统、LanSecS®内控管理平台(堡垒主机)、LanSecS®数据库安全防护平台,三款产品符合信息安全等级保护相关技术要求,也符合等保安全建设与持续安全运维的需求。
建设目标
开展信息安全等级保护体系建设,已经成为许多单位、企业的重大目标,广西桂盾科技有限责任公司推出的北京圣博润LanSecS®产品不仅符合信息安全等级保护的技术要求,而且进一步加强了等保工作的管理,加固了网络安全防护。
信息安全等级保护综合管理系统能将等保管理中的数据集中管理,有效提高工作效率。
让多个工作环节按流程化管理,促进等保工作的标准化和规范化。
通过此平台将等保工作融入日常信息安全管理工作中。
内网安全管理系统可以对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,可以为各单位、企业打造一个安全、可信、规范、健康的网络环境。
内控管理平台(堡垒主机)通过账号集中管理,统一所有网络设备、服务器运维请求的入口,未通过授权的请求挡在入口外面,从而根本上解决了共享账户、账户泄露等问题引起的安全风险,提高了运维访问的安全性。
通过审计功能,将堡垒主机上所有运维操作录屏回放,可在安全事件发生时,做到有据可查,责任落实。
通过数据库安全防护平台可以防止针对数据库的外部黑客攻击、防止内部高危操作、防止敏感数据泄漏、审计追踪非法行为,实时监控数据库运行状态。
保障了重要信息的安全。
信息安全等级保护综合管理系统
3.1信息安全等级保护综合管理系统概述
圣博润很早就开始与相关职能部门进行密切的交流,了解和跟踪信息安全等级保护综合管理系统的实际应用需求,从2007年开始信息安全等级保护综合管理系统的相关技术研究、产品研发和持续改进等工作。
并推出了具有自主知识产权的LanSecS信息安全等级保护综合管理系统。
产品可解决如下几个方面的问题:
1)信息安全等级保护信息与数据缺乏集中管理
当前信息安全等级保护工作中各种信息和数据大多依靠简单的EXCEL表格进行管理,手工操作任务繁琐,不利于信息与数据的汇总和统计,本项目产品将解决这一难题,有效提高等级保护工作效率。
2)信息安全等级保护工作流程缺乏必要的约束
各行业开展等级保护功过过程中,难以有效避免因人而异、因时而异、因事而异的工作状态,各项工作流程缺乏必要的约束。
本项目产品的应用,将有利于提高等级保护工作流程的规范性。
3)缺乏有效的信息安全等级保护工作考核依据
各行业等级保护主管部门对等级保护工作的执行和工作成效的考核没有统一的量化的标准,对等保工作和人员的考核缺乏依据。
本项目产品将有效解决这一难题。
通过提供标准化、流程化的办公平台,为等级保护工作的考核提供数据支持。
4)信息安全建设整改工作统一指挥和协调难
等级保护安全建设与整改工作是一项任务紧迫、形势复杂、周期较长的工作。
这一工作必须要统一指挥和协调,才会取得良好的工作成效。
本产品为各行业的安全建设整改工作提供了一个统一指挥和协调的工作平台,将有效解决安全建设整改工作的指挥和调度困难问题。
作为等级保护工作开展所依赖的基础工作平台,信息安全等级保护综合管理系统可在如下方面促进信息安全等级保护工作的开展。
1)实现信息与数据的集中管理和分析处理
信息安全等级保护综合管理系统可对各种信息安全等级保护基础数据实现集中存储和管理,不但保证了数据的完整性和一致性,也为行业等级保护工作的开展提供了可靠的数据支持。
通过数据统计和分析,可为等级保护工作的进一步开展提供决策支持。
该系统可管理的数据包括如下多种类型:
•系统定级、备案数据;
•建设整改数据;
•等级测评数据;
•安全检查数据;
•风险评估数据;
•等级保护政策标准;
•安全管理制度与管理措施;
•信息资产;
•安全事件;
•测评机构与人员;
•专家库;
•教育培训数据。
针对上面各类数据,本系统能够进行集中管理和统计查询,并快速生成种类丰富的报告和报表,极大的方便了等级保护工作的信息系统定级、备案、安全建设整改、安全测评、安全检查等工作。
2)规范等级保护工作流程,提高工作效率
信息安全等级保护综合管理系统为信息安全等级保护的多个工作环节提供了基于工作流引擎的工作流程管理功能,如安全建设整改、安全检查、风险评估等。
通过流程定制,使得行业管理人员可按照统一的工作流程开展行业的等级保护工作,避免了不同单位、不同管理人员在执行等级保护工作过程中的随意性。
促进了等级保护工作环节的标准化和规范化。
另外,通过流程管理,使得数据处理和工作部署实施的自动化程度大大增强,从而有效提高了等级保护工作的效率。
3)提升行业等级保护工作管理的透明度
信息安全等级保护综合管理系统通过预置部门、人员、角色和工作流程,实现了行业用户等级保护工作开展过程中的部门、角色的分工协作。
通过内置的办公管理模块,让等级保护工作执行人员及时受理和完成分配的工作任务,让管理人员及时掌握等级保护工作的开展情况,实现可视化的等级保护工作管理。
行业主管部门通过该系统可以对等级保护工作的进度进行跟踪。
可有效改善原有等级保护工作对整体管理过程的不可跟踪性和管理效果的不可预见性。
行业主管部门通过该系统还可对每个等级保护参与人员的工作进度、工作状况、工作结果进行直观的检视。
同时,根据预定义的评价指标,对等级保护工作的执行效果进行客观的考核和评价,大大增加了管理的透明度。
4)提升行业等级保护工作的整体实施能力
通常,各行业的等级保护工作执行人员并不一定是安全领域的技术专家,这往往会导致等级保护工作中出现领导层与执行层工作脱节,具体执行工作难于直观的反映到信息安全保障工作的直属领导层面,出现信息安全等级保护工作执行上的不透明,直接导致管理工作的执行不彻底和不到位。
信息安全等级保护综合管理系统在各行业开展等级保护工作的过程中,通过规范工作流程、完善数据管理、提供教育与培训等,提高等级保护工作人员的等级保护工作意识、理解等级保护工作职责、促进等级保护工作的规范化。
利用系
统的内置的各种工作流程,可将等级保护工作要求迅速分解到相关技术部门和人员,大大降低了单位内部的协调复杂性,提升了行业等级保护工作的整体实施能力。
5)促进等级保护工作管理的常态化
信息安全等级保护综合管理系统提供了安全整改活动、等级测评活动、安全检查活动和风险评估活动的流程管理功能,为各行业开展的新一轮安全建设与整改工作以及等级测评工作提供了可靠的技术支撑。
信息安全等级保护综合管理系统的定位和目标是为我国各行业开展的等级保护工作建设一套运行可靠、管理严密、控制有效、信息全面、监管有力、便于维护、高效安全的工作平台。
实现信息系统定级备案、安全建设整改、等级测评和安全检查等工作的信息化管理,提升等级保护工作的效率和管理水平。
信息安全等级保护综合管理系统提供了涵盖等级保护工作所有工作环节的管理功能,是一个以等级保护为核心的集成的、综合的信息安全基础工作平台。
该系统可有效促进各行业等级保护工作管理的常态化。
3.2系统架构
上图是LanSecS信息安全等级保护综合管理系统的总体框架结构示意图。
系统总体分为业务管理层、基础数据层和接口层三个层次。
业务功能层是软件主体功能,包括等级保护工作管理、日常办公管理、数据统计与分析和系统管理几个部分。
基础数据层维护等级保护工作所需的各类基础数据,接口层负责与其它安全运维管理系统或等级保护相关系统的数据共享和交互。
1)等级保护工作管理
等级保护工作管理以信息安全等级保护工作为主线,对等级保护工作中的定级备案、安全建设整改、等级测评、安全检查、风险评估、安全评价等各个工作环节进行规范化管理,包括信息与数据的收集、工作流程管理等。
2)基础数据层
基础数据管理为信息安全等级保护综合管理所需的各种基础信息与数据提供统一的维护与管理。
包括政策法规、标准规范库的管理,安全管理机构、人员和管理制度库的管理,灾备信息、应急预案、应急演练的管理,教育培训管理,专家库管理,资产信息管理,信息安全事件管理等。
3)接口层
接口层负责提供本系统与其他系统之间的数据共享和交互接口。
例如本系统的定级备案数据向公安部定级备案信息管理系统的数据输出接口,信息安全运维管理系统收集的数据向本系统的数据输入接口等。
LanSecS信息安全等级保护综合管理系统的业务体系架构以及各业务模块之间的关系如下图所示。
系统用户通过浏览器访问LanSecS信息安全等级保护综合管理系统,经过系统身份认证和权限控制,进行等级保护业务管理工作。
普通用户以日常办公管理作为主要操作界面。
系统管理员则可对基础数据、工作流程、具体等级保护工作环节的业务活动进行统一维护管理并可对工作过程进行监控、对信息和数据进行统计分析等。
3.3系统功能
“LanSecS信息安全等级保护综合管理系统”主要功能包括如下几个方面:
1)定级备案管理
2)建设整改管理
3)等级测评管理
4)安全检查管理
5)风险评估管理
6)日常办公管理
7)统计分析
8)基础数据维护
3.3.1定级备案管理
重要信息系统的定级与备案工作是我国信息安全等级保护工作开展的基础。
各行业均应对本行业内各单位的重要信息系统进行定级,并将定级情况向公安机关备案。
目前大部分行业用户,均通过手动方式填写备案登记表,备案表在本单位的留存也是以离散文档的形式存储。
这种备案方式非常不利于备案信息的维护,也不利于备案信息的查询、检索和统计。
也就无法为主管部门快速提供本单位的信息系统备案状况。
本系统可为各行业的重要信息系统的定级和备案提供方便的管理功能。
定级备案管理模块功能逻辑结构如下:
“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理,包括备案信息的录入、查询、统计,备案信息表的导出和导入、备案数据采集等。
具体如下:
1)备案信息填报:
完成重要信息系统备案信息的填报;
2)备案情况查询(更改):
按照备案单位或备案信息表中任何一个字段进行单项查询或组合查询,查询结果显示为备案信息(分为以单位为主导和以信息系统为主导两类,即允许用户按单位查也可以按信息系统查),为一项或多项。
提供关键字段的准确和模糊查询;
3)备案信息导出:
将备案信息导出,供导入备案数据采集工具或监督检查工具使用;
4)备案情况统计:
提供特定备案时间段的信息系统数量、单位数量等,统计显示形式为统计表;
5)附加信息管理:
完成备案附加信息的添加;
6)备案数据采集工具
■备案表填报:
完成备案表信息的填报;
■备案表校验和审核:
完成备案表信息的校验和核对,以及系统自动给用户提供一个备案表编号供用户酌情选择使用;
■备案表WORD文档生成:
完成备案表xml格式到word文件格式的转换和具体文件的生成;
■备案表信息打包:
完成备案表信息、附件的合并和压缩,生成可上传文件
■批量入库:
实现文件包的解析和批量入库。
3.3.2建设整改管理
本系统将整改建设分为五个步骤环节:
1)工作部署:
制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
2)现状分析:
开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
3)整改方案:
确定安全保护策略,制定信息系统安全建设整改方案;
4)整改实施:
开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;
5)整改结果:
开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
建设整改执行流程如下图所示。
“建设整改管理”主要完成已备案信息系统的建设整改活动的跟踪记录与管理。
包括建设整改信息的录入、查询、统计。
1)建设整改信息录入:
将建设整改活动过程中的所有相关信息记录入库;
2)建设整改信息查询:
对入库的建设整改信息,按照单位、系统或者整改信息表中的任何一个字段进行信息检索和查询,查询结果可生成报表;
3)建设整改信息导出:
将建设整改信息导出,生成可以阅读的word文档格式。
3.3.3等级测评管理
等级测评管理模块负责对行业用户发起的由第三方测评机构主导实施的等级测评活动的组织和管理。
行业用户在新上线的信息系统建设完毕或者对旧的信息系统安全建设整改完成时,均需要委托第三方测评机构对信息进行等级测评,以验证信息系统的安全建设是否符合定级要求。
等级测评模块主要负责对测评机构的管理、测评流程的管理、测评结果的汇总与记录、测评活动的监控等子模块。
各子模块之间的关系如下图所示:
1)等级测评信息录入:
将等级测评过程中的所有相关信息记录入库;
2)等级测评信息查询:
对入库的等级测评信息,按照单位、系统或者等级测评信息表中的任何一个字段进行信息检索和查询,查询结果可生成报表;
3)等级测评信息导出:
将等级测评信息导出,生成可以阅读的word文档格式;
4)等级测评机构管理:
等级测评机构的相关信息管理;
5)等级测评报告管理:
对已经取得等级测评报告的信息系统所对应的测评报告进行集中归档管理。
3.3.4安全检查管理
“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动状况的跟踪记录管理。
包括:
1)监督检查制度管理:
对监督检查规章制度等级入库,并提供查询和打印服务;
2)安全自查管理:
对安全自查活动状况进行信息记录,并提供查询、统计服务;
3)主管部门检查管理:
对主管部门的检查活动状况进行信息记录,并提供查询和统服务;
4)监督检查数据导出:
完成用户从主系统中导出需要监督检查单位及其系统的相关信息,并转换为桌面系统能解析识别的文件系统;
5)监督检查信息录入:
供用户直接在主系统上填写监督检查相关数据(或直接导入监督检查工具生成的检查数据包),填写完成后可生成符合《信息系统安全等级保护监督检查表》格式和内容的Word文本;
6)监督检查情况查询:
要求按照检查表中任何一个字段(包括检查时间等)单项或组合进行查询,还可按检查次数、是否超过检查期限等条件查询,查询结果显示为一项或多项,信息为单位或信息系统监督检查信息;
7)合规性检查:
对检查结果进行分析,并与已知标准进行比对,判断所检查的信息系统是否合规。
8)监督检查工具
●备案信息导入:
可以将主系统导出的数据导入到监督检查工具中,便于在监督检查过程中实时查询信息系统的备案信息;
●监督检查填报:
完成用户独立填写监督检查数据,登记信息、填写完成后可生成符合《信息系统安全等级保护监督检查表》格式和内容的Word文本;
●监督检查数据导入:
完成桌面系统特定文件格式(特定的格式包,内可含文本、图象文件等附件信息)的监督检查数据导入进服务器端主系统。
3.3.5风险评估管理
风险评估管理主要负责对信息系统风险评估活动的相关信息的维护管理,规范本单位在委托第三方进行风险评估过程中需要进行配合的相关事项和流程,并对整个风险评估活动过程中的各种数据进行汇总记录。
风险评估管理主要由风险评估测评、风险评估管理两个子模块组成。
风险评估测评子模块采用内置工作流引擎进行风险评估工作的流程规范及过程推动;风险评估管理子模块可对已经进行过的风险评估测评项目的相关信息进行查看管理,并可对当前正在进行风险评估测评的项目的执行情况进行监控。
3.3.6风险评估测评
风险评估测评通过内置的工作流引擎,以系统预先定制的风险评估流程引导并规范风险评估测评工作的展开,具体的工作流程示意图如下:
如上图所示,风险评估流程主要由发起风险评估、风险评估准备资料上传、风险评估方案上传、风险评估协助任务制定划分、风险评估报告上传、风险评估资料汇总整理、风险评估资料审核及风险评估资料归档等几个环节组成。
1)发起风险评估
信息系统风险评估的第一个流程是发起一个风险评估项目,系统可记录当前项目发起的日期、主要目标、主要任务和发起人等相关信息。
风险评估发起后,此次风险评估即被纳入流程管理,发起者可以指定相关人员进行下一步的风险评估准备资料上传工作。
2)风险评估准备资料上传
风险评估准备资料上传负责风险评估所需的各种资料文件的上传和管理,例如与第三方风险评估机构签署风险评估合同和保密协议等。
系统可记录的信息包括文件的签署人,签署日期和文件描述等相关信息。
3)风险评估方案上传
风险评估方案上传负责将本次风险评估方案文件上传并保存到系统中,系统可记录信息包括方案提供方的单位及人员,方案接收方的人员、日期等信息。
4)风险评估协助任务分配
风险评估协助任务分配负责对风险评估方案中的各项任务进行分配,需要协助的风险评估任务主要包括为风险评估单位提供信息系统相关的信息,协助风险评估人员入场、离场,并签署入场离场相关文件,协助风险评估单位人员执行工具测评,并对测评结果签字确认等相关事项。
5)风险评估协助任务执行
风险评估协助任务执行负责通知各相关人员按照完成风险评估协助任务,并及时记录任务完成的情况和相关信息等。
6)风险评估报告上传
风险评估报告上传负责将第三方风险评估单位提供的风险评估报告上传到服务台并保存,系统可记录提供报告文件的单位及人员和接收报告文件的人员等相关信息。
7)风险评估资料汇总整理
风险评估资料汇总整理负责将本次风险评估活动的其它相关资料逐一入库汇总,由系统进行集中管理。
方便系统使用单位将风险评估的结果做为建设整改的依据,帮助系统使用单位构建一个良性循环的信息安全环境。
8)风险评估资料审核
风险评估资料审核是指由系统使用单位对风险评估测评单位提供的风险评估相关资料的评审与审核。
9)风险评估资料归档
风险评估资料归档主要提供电子文档归档功能,并可记录文件档案存放位置等相关信息,方便系统使用单位集中管理风险评估相关信息。
3.3.7风险评估管理
风险评估管理主要提供对历史风险评估项目信息的查看管理以及对当前正在进行的风险评估项目的监控功能。
风险评估项目信息的查看管理主要包括查看历次风险评估项目基本信息,历次风险评估资料档案信息,历次风险评估中的风险统计和不可接受风险处理计划的功能。
风险评估监控的主要功能包括查看当前正在进行的风险评估活动的最新状况,当前正在进行的业务节点以及当前进行业务节点的处理情况、处理人和处理日期等相关信息,另外可以查看已经完成的业务节点的处理情况、处理人和处理信息等相关信息。
3.3.8日常办公管理
日常办公管理为系统用户提供了一个日常工作的平台,由待办事项,办结事项,任务管理,工作考核四个部分组成。
基本囊括了与等级保护相关的事项的管理,其中系统内部事项直接在此处提供统一入口,系统外事项在此处提供统一任务管理入口,纳入到系统管理,方便等级保护工作的开展。
具体关系如下图:
1)待办事项管理:
提供需要办理事项的记录功能,并可标记事项当前进展状态;
2)待办事项查询:
对已经录入的事项,可按照待办、办结和超期等条件进行归类查询,并按照其他条件进行复合查询;
3)任务管理:
对上级派发的等级保护工作任务进行登记管理,并提供任务执行状况的跟踪记录能力,可对任务进行复合条件查询和统计;
4)工作考核:
对等级保护各个环节的工作状况进行考核,并给出综合考核结果。
3.3.9统计分析
统计分析管理主要提供等级保护相关的重要数据的统计及分析功能,包括信息系统统计,安全事件统计,工作事项统计,资产统计,安全机构统计,安全人员统计,建设整改统计,等级测评统计,检查情况统计等,并提供相应的分析图表
升级会员 