等级保护方案介绍 伴随着信息系统的快速发展,信息系统所面临的安全威胁日益复杂,用户对信息安全系统的需求与日俱增。从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设
三级建设要求如下:
根据《信息系统安全等护基本要求》中华人民共和国国家标准GB/T 22239-2008
7三级基本要求
7.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
7.1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
注意:更多建设要求参考《信息系统安全保护基本要求》中华人民共和国国家标准GB/T 22239-2008。
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
扩展资料:
根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因。
安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
参考资料来源:百度百科—信息安全等级保护
等保三级称为国家信息等级保护三级认证,是中国最权威的信品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。其中按照评定等级可以分为一至五级测评。三级等保是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格。
企业办理三级等保的要求有:
1、等保测评对于技术要求比较高,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;
2、对于管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;
3、物理安全层面上,平台的机房除了有最基本的安全控制之外,还应具备防火、防潮甚至电磁防护能力等,同时具备灾后数据恢复能力。
等级保护办理流程是:
1、企业根据上级主管部门要求与行业实际情况和自身业务情况,依据相关法律政策,编写定级报告,填写定级备案表;
2、企业将定级材料提交至公安机关进行备案审核;
3、企业依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试,完善管理制度等工作;
4、邀请当地测评机构对系统进行全面测评,测评评分合格后获得合格测评报告,并最终获得等保三级备案证。
等保2.0标准来
在定级上,保条例》放弃了《管理办法》中的“自主定级、自主保护”原则,采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。更重要是,除上述系统,还做了对关键信息基础设施,定级原则上不低于三级的规定。
等级保护对象定级工作的一般流程如图所示:
在备案环节中,将原有的30天内备案,缩短为10个工作日,并明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查,填补了1.0时代只有按照定级要素进行过程,没有严格流程的不足。
整理对比如下:
第三级基本要求
1技术要求
1.1 物理安全
1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.3 防盗窃和防破坏(G3)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
1.1.4 防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
1.1.5 防火(G3)
本项要求包括:
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
1.1.6 防水和防潮(G3)
本项要求包括:
a) 水管安装,不得穿过机房屋顶和活动地板下;
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.7 防静电(G3)
本项要求包括:
a) 主要设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板。
对级保护建设想要达到三级,需考国家GB/T 22239-2008《信息安全等级保护基本要求》还有实施指南、测评要求等等一系列相关规范文件。详细内容就不一一回答了,但有几个在等级保护建设中的重要要求需要特别注意,一般业主方都会根据GA/T483-2004《计算机信息系统安全 等级保护工程管理要求》这个文件来对等级保护建设工作的各参与方做资格性要求,有如下几点:
第一,对于承建等保建设项目的公司、企业单位有要求,要求其具备《计算机信息系统企业集成资质证书》,因国家对于等级保护建设的性质定义为计算机信息系统集成类工程,所以要求等级保护承建单位必须具备该项资质认证。
第二,对于等级保护测评服务机构或单位有要求,要求其具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证,只有具备该资质认证的企业才能对等级保护建设业主单位进行测评,所出具的测评报告才能具备等级保护测评效力。
第三,对于测评机构的测评人员有要求,要求其具备公安部认可的等级保护测评服务人员资格认证,并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。
第四,对于安全产品资质有要求,必须为国产品牌产品,且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。无该项资质证书的安全产品不符合国家标准,更不能通过等级保护测评。另外,安全产品的操 作系统要求符合保护等级操作系统同级要求,安全产品的操作系统也必须使用自主研发的安全操作系统,不能使用普通操作系统或未经加固的操作 系统。
最后,对于安全产品制造厂商,虽然没有硬性明确要求,但是考虑到等级保护建设需要安全产品厂商提供高质量的产品、技术和服务才能保障等级保护 测评的顺利通过,所以一般要求安全产品制造厂商为国内主流品牌,能够提供全面的产品线(同一品牌设备),具备安全行业内的相关资质认证。比较重要的认证有以下几个:
1)《计算机信息系统企业集成资质证书》,在等级保护建设中,集成商不具备独立完成等级保护建设集成工作的能力,必须由安全产品制造商协助其完成,所以要求安全产品制造商同样需要具备该资格认证。
2)《涉及国家秘密的信息系统集成资质证书(甲级)》,等级保护建设是信息安全类工程,安全产品在实施和后期使用中可能涉及到业主单位的秘密信息或数据,所以要求安全产品制造商具备涉密信息系统集成甲级资质,保障业主单位的安全产品供应商具备可信的信息保密能力。
3)《信息安全服务资质证书(安全工程类二级)》,等级保护建设项目包含安全服务类产品和工作,包括测评,安全加固,应急处理,安全培训,安全咨询等,而集成商不具备专业的安全服务技术能力,需由安全产品制造商的专业安全技术人员完成,所以针对安全产品制造商要求具备该资格认证。
4)微软MAPP组织成员以及CSA云安全联盟成员。微软MAPP组织全称:Microsoft Active Protections Program,CSA云安全联盟组织全称:Cloud Security Alliance,MAPP及CSA均是国际权威的第三方信息安全漏洞发布机构和安全解决方案提供机构,作为该组织成员的安全企业,可以在全球 第一时间获取各类安全漏洞信息并提供修补方案给使用该企业产品的用户。所以,鉴于目前我国主流操作系统和主要应用系统均采用微软、oracle 等国外品牌产品,为了业主单位能够防御最新的安全威胁和获取最及时的信息安全保障技术,要求安全产品制造商为MAPP成员以及CSA成员。