等级保护建设方案
2004年以来,国家发布了《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等一系列关于实施等级保护的文件,以有效提高我国信息安全建设整体水平为目标;同时现在的信息安全风险和信息安全事件越来越频繁发生,因此全国党政机关、事业单位和国有企业全面开展信息安全等级保护工作,确保核心信息系统的安全防护。
二)面临挑战
1、 整体安全技术管控手段缺失
目前,大多数政府部门及单位对于信息安全的技术管控并没有整体概念及手段。如,在信息系统被入侵后再实施补救手段,并没有事先对于信息系统进行整体的安全防护,包括相关网站防入侵、安全监控、安全运维、备份恢复等。
2、 信息安全管理体系不全,职能及责任划分不清晰
缺乏整体的信息安全管理体系,没有对其信息系统及相关责任部门进行职能及责任划分,没有对信息系统网络及系统安全管理、人员安全管理等方面进行规范。从而导致在信息系统面临安全威胁时,没有相应的预防及应急措施,没有清晰的职能及责任划分来指引信息系统的整体安全管理。
3、 安全与信息系统运行的冲突
信息安全技术对于信息系统安全运行的优化及调整的同时,会对信息系统原本稳定的运行造成一定的影响,需要建立风险规避机制。如,对信息系统网络进行安全优化时,若没有相应的规避风险措施及手段,将会导致信息系统服务中止或延迟。
三)解决方案
本方案设计时,对业务系统的运行环境进行了整体考虑,通过等级保护改造后,能使整体环境达到相应的安全保护强度,为其他系统部署创造统一的安全环境。本方案主要针对定级为三级或二级的业务系统进行相应环境建设,可以满足国家等级保护三级或二级的相关要求。
1、 等级保护流程及基本要求
2、 等保技术要求
2.1 物理安全要求及方案
(1)背景需求
物理安全主要是对机房的物理位置和物理访问控制方面的要求,达不到要求的需要重新装修或者重建。
(2)政策要求
物理安全主要包括:位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护。
(3)方案
具有丰富的智能楼宇、安全机房建设与实施经验,并具备相应资质,如建筑智能化工程设计与施工二级资质、安防工程企业资质一级证书。
2.2 其他安全技术要求及方案
(2)解决方案
a) 边界区域安全
NGFW:全面解决访问控制、入侵防范、木马防范、恶意代码防范,防 WEB 攻击问题。
VPN:解决结构安全中的冗余要求,加密功能解决通信与数据的保密性。
S3000:实现网络安全审计。
上网行为实时监控,实现访问策略与控制
上网日志归档、上网行为分析报表
带宽管理、应用管理
邮件拦截与审核
b) 业务区域安全
SECSYS:解决违规外联控制,对安全网络域所有计算机上的重要信息进行安全管理,对网络资源进行管理,对移动存储与外联接入进行控制与审计。
c) 应用区域安全
AMA:实现对网络设备、主机、存储等设备简化管理,并实现对其集中的、实名制的、可控的、可审计的管理。
实现实名统一管理
实现分层次管理
精细化统一权限、访问控制管理
用户操作审计
账号自动发现与管理
d) 数据区域安全
DAA:实现细粒度审计、精准化行为回溯、全方位风险控制,为核心数据库提供全方位、细粒度的保护功能。
e) 安全管理中心
NxSOC:不仅针对设备层进行安全管理,还覆盖了用户业务层的安全。通过对业务系统进行建模,仿真业务流程,保证用户业务的可用性与可靠性。
3、 等保管理要求
我们具有非常丰富的信息安全等级保护经验,有一套完整的安全管理体系与理念,可以协助客户制定完善的安全管理制度与规范,为信息安全的实施保驾护航。
4、 等保监督与自查要求
提供安全扫描安全加固、网站渗透,安全意识培训、应急预案体系建设服务等一系列安全服务,协助客户尽早发现潜在风险,及时处理安全问题,为信息安全的整体建设提供坚强后盾,为等保后续的监督自查提供保障。
四)方案价值
1、标准流程、快速实施:通过标准化流程进行等保定级、备案、差距分析、整改规划及实施、测评及监督管理;
2、一站式服务、安全保障:凹盾完善的安全产品线、丰富的等保实施经验、专业的安全集成与运维服务,实现一站式的安全保障;
3、理解政策、确保达标:我们深刻理解国家等保政策及标准要求,为客户提供定制化解决方案,确保信息系统达到等级保护要求。
