目录目录利用三年时间。力争2012前完成。实现五方面目标:一是信息系统安全管理水平明显提高;二是信息系统安全防范能力明显增强;三是信息系统安全隐患和安全事故明显减少;四是有效保障信息化健康发展;五是有效维护国家安全、社会秩序和公共利益。(摘自“公信安[2009]1429号”文件)信息安全等级保护建设整改目标信息安全等级保护建设整改目标已备案的第二级(含)以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。新建系统要同步开展安全建设工作。信息安全等级保护建设整改范围信息安全等级保护建设整改范围信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息安全等级保护建设整改工作信息安全等级保护建设整改工作以安全保发展发展中求安全标准信息系统通用安全技术要求技术类信息系统安全管理要求管理类产品类操作系统安全技术要求信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级保护安全建设整改工作信息安全等级保护建设整改依据信息安全等级保护建设整改依据《《基本要求基本要求》》技术能力技术能力《《基本要求基本要求》》管理能力管理能力《《基本要求基本要求》》主要范围主要范围建设整改工作方法建设整改工作方法目录目录方案制定与实施流程方案制定与实施流程工具扫描人工分析渗透测试调研访谈调查现状,分析风险和差距调查现状,分析风险和差距电力供应电磁防护互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据传输数据处理数据备份和恢复完整性保密性调查现状,分析风险和差距调查现状,分析风险和差距应用层主机层网络层物理层数据层计算环境区域边界网络通信安全管理调查现状,分析风险和差距调查现状,分析风险和差距安全需求分析报告•信息系统描述;•安全管理状况;•安全技术状况;•存在的不足和可能的风险;•安全需求描述。安全需求分析报告确定框架,制定整改方案确定框架,制定整改方案第一级系统安全保护环境第一级安全通信网络第一级安全区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境定级系统互联跨定级系统安全管理中心/安全互联部件依据《信息系统安全等级保护基本要求》参照《信息系统等级保护安全设计技术要求》引入“安全域”的概念,强化访问控制安全技术控制策略安全管理控制策略总体方案总体方案--要点要点关键点:安全技术关键点:安全技术++安全管理安全管理实施统一的访问控制策略实施统一的安全控制策略实施统一的访问控制策略实施统一的安全控制策略关键点:划分安全域关键点:划分安全域•网络的层次划分方法•电子政务内网•电子政务外网•业务专网(广域网)•互联网•安全域的宏观划分•安全计算域•安全用户域•安全网络域(接入域、交换域、核心域)划分安全域(参划分安全域(参考)考)按照应用的通信过程划分:接入区交换区用户区服务器区管理区按照业务数据的流转路径划分存储区前置区...
