黑龙江—等保测评三级安全设计思路

需求分析

6.1 系统现状

6.2 现有措施

目前,信息系统已经采取了下述的安全措施:

1、在物理层面上, 

2、在网络层面上, 

3、在系统层面上, 

4、在应用层面上, 

5、在管理层面上, 

6.3 具体需求

 6.3.1 等级保护技术需求

    要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。

任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有:

威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。

被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。

主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。

邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。

分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的的后门或攻击途径。

内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏

6.3.2 等级保护管理需求

安全是不能仅仅靠技术来保证,单纯的技术都无法实现绝对的安全,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行。管理安全是整体安全中重要的组成部分。信息系统安全管理虽然得到了一定的落实,但由于人员编制有限,安全的专业性、复杂性、不可预计性等,在管理机构、管理制度、人员安全、系统建设、系统运维等安全管理方面存在一些安全隐患:

——管理机构方面:

——管理制度方面:

——人员安全方面:

——系统建设方面:

——系统运维方面:

7安全策略

7.1 总体安全策略

 —— 遵循国家、地方、行业相关法规和标准;

 ——贯彻等级保护和分域保护的原则;

 ——管理与技术并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系;

 ——充分依托已有的信息安全基础设施,加快、加强信息安全保障体系建设。

 ——第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。

 ——在技术策略方面:

 ——在管理策略方面:

7.2 具体安全策略

1、安全域内部策略

2 、安全域边界策略

3 、安全域互联策略

8 安全解决方案

     不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。

技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

根据威胁分析、安全策略中提出的基本要求和安全目标,在整体保障框架的指导下,本节将就具体的安全技术措施和安全管理措施来设计安全解决方案,以满足相应等级的基本安全保护能力。

8.1 安全技术体系

8.1.1 安全防护系统

边界防护系统

监控检测系统

安全审计系统

应急恢复系统

安全支撑系统

安全运营平台

网络管理系统

网络信任系统

8.2 安全管理体系

安全管理机构

安全管理制度

人员安全管理

系统建设管理

系统定级\系统备案\安全方案设计\产品采购\自行软件开发\外包软件开发\工程实施\测试验收\系统交付\安全测评。详细内容略去。

系统运维管理

9安全服务

技术类的安全要求可以通过在信息系统中部署安全产品来实现,同时需要对网络设备、操作系统、应用软件的安全功能的正确配置,这需要通过安全评估和加固等安全服务来完成;管理类的安全要求需要通过管理咨询服务来完善,以实现IT运维管理标准化和规范化,提高安全管理的水平。

9.1 风险评估服务

安全风险评估服务可以为组织:

 ——评估和分析在网络上存在的安全技术风险;

——分析业务运作和管理方面存在的安全缺陷;

——调查信息系统的现有安全控制措施,评价组织的业务安全风险承担能力;

——评价风险的优先等级,据此为组织提出建立风险控制安全规划的建议。

具体的评估服务包括如下内容略

9.2 管理监控服务

     全面实时的执行对客户信息系统远程监控是M2S安全服务的主要组成部分和特点之一,通过监控来达到安全事件检测、安全事件跟踪、病毒检测、流量检测等等任务,进而通过检测的结果可以动态的调整各个安全设备的安全策略,提高系统的安全防范能力。监控服务完全是一种以人为核心的安全防范过程,通过资深的安全专家对各种安全产品与软件的日志、记录等等的实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议。……的安全监控服务具有两种形式:远程监控服务和专家的现场值守服务。每一种服务都满足了客户一定层面的需求,体现了安全监控服务的灵活性以及可重组性。

9.3 管理咨询服务

 ……提供的主要安全管理咨询顾问服务包如下。详细内容可参考“……安全管理咨询顾问服务白皮书”。

9.4 安全培训服务

安全实践培训主要是从人员的角度出发来强化的安全知识以及抵御攻击行为的能力,主要包括如下方面的培训建议:

 ——基本安全知识培训:主要对常规人员提供个人计算机使用的基本安全知识,提高个人计算机系统的防范能力。

 ——主机安全管理员培训:对安全管理员进行针对于主机系统的安全培训,强化信息系统维护人员的安全技术水平。

 ——网络安全管理员培训:对安全管理员进行针对于网络系统的安全培训。

 ——安全管理知识培训:为的主要管理层人员提供,有助于从管理的角度强化信息系统的安全。

 ——产品培训:为人员能进一步认识各种安全产品而提供的基本培训。

 ——CISP培训:为培养技术全面的信息安全专家,而提供的具有国家认证资质的培训。“注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security  Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。

9.5 安全集成服务

 价值

 ——加强IT系统安全保障,提高您的客户的信任,提高竞争力;

 ——减小IT系统管理的工作量,提高效率,降低运营成本;

 ——帮助您了解IT系统面临的风险并有效地控制风险;

 ——帮助您的IT系统符合相关法律、标准与规范,减少诉讼与纷争。

思路

 ——……安全解决方案从三个层面来考虑客户的信息安全需求,协助客户建设基于“信息安全三观论”的信息安全保障体系;

 ——在三观论的基础上,基于信息安全三要素模型(资产、威胁与保障措施)提出了……信息安全保障总体框架功能要素模型(VIAF-FEM)。强调以IT资产与业务为核心,针对资产/业务面临的威胁从人、过程、技术三个方面设计全面的信息安全解决方案。

 根据具体需求不同,……提供如下表所示的几种安全集成解决方案。

类型

满足需求

信息安全整体解决方案

IT安全规划

信息安全管理方案

安全管理咨询

信息安全技术方案

信息安全技术保障体系

信息安全服务方案

特定安全服务需求       安全服务需求的组合

安全产品解决方案

特定安全功能需求    安全功能需求的组合


表1. 安全集成解决方案表

特色

 ——行业化:……凭借在电信、金融、政府、教育、能源等行业多年的信息安全实战经验,提供行业化的解决方案。

 ——面向业务:……从客户业务安全的角度出发解决实际安全问题,由功能需求导出面向业务的解决方案。

 ——体系完整:……凭借自身的专业安全队伍以及阵容强大的外部专家支持,基于完整的安全体系提供解决方案。

 ——理念先进:……秉承“一米宽,一公里深”的理念,及时跟踪国际先进安全理念,以此为基础开发安全的最佳实践,成功应用于客户化的解决方案中。

10 方案总结

 本等级保护设计方案具有以下特点:

 1、体现了等级防护的思想。本方案根据3级信息系统的基本要求和安全目标,提出了具体的安全等级保护的设计和实施办法,明确3级信息系统的主要防护策略和防护重点。

 2、体现了框架指导的思想。本方案将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型,利于在众多安全因素中理清等级保护的主线。

 3、体现了分域防护的思想。本方案根据信息系统的访问控制要求,针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略,实现安全域之间的访问控制;在不同的安全域内实施不同级别的安全保护策略;针对不同等级的安全域之间的互联也要实现相应的保护。

 4、体现了深度防御的思想。本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。

 5、体现了多角度对应的思想。本方案从威胁出发引出保护基本需求,从基本要求引出安全策略和目标,在需求分析和安全策略之间分层相互对应;在总体策略里提出各层面的总体保护要求,在具体策略里提出各层面的具体保护要求,各层相互对应;在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。

 6、体现了动态发展的思想。本方案在满足信息系统目前基本的、必须的安全需求的基础上,要求随着应用和网络安全技术的发展,不断调整安全策略,应对不断变化的网络安全环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/3065.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32点灯大师(点了一颗LED灯,轮询法)

配置操作: 一、使用CubeMX配置到大致的操作 1.1 选择芯片 1.2 选择引脚(根据电路图) 1.3 配置gpio口 1.4 配置系统 1.5文件项目操作 最后就是点击 二、点击CubeMX生成的代码,并且修改代码 2.1 看看效果 2.2 写代码

听力知识|小耳朵,你了解多少?

每天接收好多讯息和知识 那么小耳朵是如何做到的呢? 我们每一个人都有一双独一无二的耳朵。 你知道吗? 即使每一个人的耳朵看起来都很相似, 可是从来也没有一模一样的耳朵 即便是你的左右耳也不完全相同。 人体五种感觉是指:…

【C++】C++中的构造函数和析构函数详解

欢迎来到CILMY23的博客 本篇主题为:C中的构造函数和析构函数详解 个人主页:CILMY23-CSDN博客 系列专栏:Python | C | C语言 | 数据结构与算法 感谢观看,支持的可以给个一键三连,点赞关注收藏。 写在前头&#xff1…

社交媒体数据恢复:KaokaoTalk

KaokaoTalk数据恢复方法 一、数据恢复的基本步骤 在进行KaokaoTalk数据恢复时,首先需要确保你已经停止使用该设备,以防止新的数据覆盖丢失的数据。接下来,你可以按照以下步骤进行操作: 备份数据:在尝试恢复数据之前&a…

【SpringCloud】OpenFeign服务接口调用快速入门

【SpringCloud】OpenFeign服务接口调用快速入门 文章目录 【SpringCloud】OpenFeign服务接口调用快速入门1. 概述2. 引入依赖3. 配置、测试 1. 概述 官网地址:点击跳转 Feign是一个声明性web服务客户端。它使编写web服务客户端变得更容易。使用 Feign 创建一个接口…

第十五届蓝桥杯省赛第二场C/C++B组A题【进制】题解(AC)

解题思路 按照题意进行模拟&#xff0c;计算 x x x 的 b b b 进制过程中&#xff0c;若出现余数大于 9 9 9&#xff0c;则说明 x x x 的 b b b 进制一定要用字母进行表示。 #include <iostream> #include <cstring> #include <algorithm> #include &l…

Python | Leetcode Python题解之第49题字母异位词分组

题目&#xff1a; 题解&#xff1a; class Solution:def groupAnagrams(self, strs: List[str]) -> List[List[str]]:mp collections.defaultdict(list)for st in strs:counts [0] * 26for ch in st:counts[ord(ch) - ord("a")] 1# 需要将 list 转换成 tuple …

ubuntu下boa服务器编译运行

一.下载boa源码并解压 官网网站&#xff1a;BOA源码 点击箭头所指的位置即可下载 解压&#xff1a; tar -xvf boa-0.94.13.tar.gz 解压完成得到目录&#xff1a; 二.安装环境所缺依赖&#xff0c;否则编译会报错 sudo apt install bison sudo apt install flex 三.编译 1…

利用地理矢量数据进行路径规划

文章目录 概要绘制osm安装和编译更改配置节点运行概要 地理矢量数据通常是指包括点(如地标、位置坐标)、线(如街道、河流)和多边形(如行政区划、建筑物轮廓)这样的基本几何构造,这些都是构成空间数据的基本要素。在路径规划中,这些矢量数据可以被用来表示网络中的节点…

PC-3000 Mobile Pro: 智能手机及平板设备数据提取工具

天津鸿萌科贸发展有限公司从事数据安全业务20余年&#xff0c;在数据恢复、数据取证、数据备份等领域有丰富的案例经验、前沿专业技术及良好的行业口碑。同时&#xff0c;公司面向取证机构及数据恢复公司&#xff0c;提供数据恢复实验室建设方案&#xff0c;包含数据恢复硬件设…

Maven:配置与使用指南1

https://mvnrepository.com Maven 1.maven简介 不同模块的jar包以及同时设计的功能的微小变化版本&#xff1b; 真实的开发环境&#xff1a;我们将我们的源代码在服务器上重新编译重新打包&#xff0c;工程升级维护过程繁琐 1.Maven是一个项目管理工具&#xff0c;将项目开…

matlab回归学习

前言 所谓回归学习即预测&#xff0c;便是由已知的数据推测未知的数据&#xff0c;利用转速与转矩来推测电流。 1、数据准备 下面虚拟一组转速转矩以及电流数据。 speed [100 220 330 440 550 660]; torque [200 300 400 500 700 900]; I [400 500 603 739 821 912]; arr …

DataGrip操作Oracle

一、创建表空间 表名任意起&#xff0c;路径自己指定 -- 创建表空间 create tablespace mydb1 -- 表名 datafile E:\Code\sql\oracle\oracle_tablespace\mydb1.dbf --指定表空间路径 size 100M --指定表空间大小 autoextend on next 50M --指定一次扩充多少mb extent managemen…

万兆以太网MAC设计(7)ARP协议报文格式详解以及ARP层模块设计

文章目录 前言&#xff1a;1、ARP协议详解2、ARP工作机制 二、ARP_RX模块设计三、ARP_TX模块设计四、ARP_table模块5、仿真5.1、发送端5.2、接收端5.3、缓存表 总结 前言&#xff1a; 1、ARP协议详解 ARP数据格式&#xff1a; 硬件类型:表示硬件地址的类型。它的值为1表示以太…

ocr文字识别软件是干什么的?

OCR&#xff08;Optical Character Recognition&#xff0c;光学字符识别&#xff09;文字识别软件是一种能够将图像或者扫描的文档中的文字内容转换为可编辑的文本格式的软件。它的主要功能包括&#xff1a; 1. **文字提取&#xff1a;**识别图像中的文字并提取出来&#xff0…

MAVEN的安装与配置

MAVEN的安装与配置 1 简介 1.1 什么是MAVEN? Maven是一个项目构建及管理工具&#xff0c;开发团队几乎不用花多少时间就能够自动完成工程的基础构建配置&#xff0c; Maven 使用了一个标准的目录结构在不同开发工具中也能实现项目结构的统一。Maven提供了清理&#xff0c;编…

Lambda表达式特点

Lambda 表达式是 Java 8 引入的一项重要特性&#xff0c;它们提供了一种更简洁的方式来表达匿名函数。Lambda 表达式允许你将一段代码传递给方法&#xff0c;而不是显式创建一个实现了接口的匿名内部类。Lambda 表达式通常用于实现单个抽象方法的接口&#xff08;即函数式接口&…

javaEE初阶——多线程(九)——JUC常见的类以及线程安全的集合类

T04BF &#x1f44b;专栏: 算法|JAVA|MySQL|C语言 &#x1faf5; 小比特 大梦想 此篇文章与大家分享多线程专题的最后一篇文章:关于JUC常见的类以及线程安全的集合类 如果有不足的或者错误的请您指出! 目录 3.JUC(java.util.concurrent)常见的类3.1Callable接口3.2 RentrantLoc…

超级好看动态视频官网源码

源码介绍 超级好看动态视频引导页源码&#xff0c;源码由HTMLCSSJS组成&#xff0c;记事本打开源码文件可以进行内容文字之类的修改&#xff0c;双击html文件可以本地运行效果&#xff0c;也可以上传到服务器里面&#xff0c;重定向这个界面 效果截图 源码下载 超级好看动态…

Android IPC | Android多进程模式

前 言 关于Android的进程间通信&#xff08;即IPC&#xff09;有很多种方式&#xff0c;比如我们常用的AIDL、Socket等&#xff0c;而其中最重要而且最需要掌握的就是AIDL的使用和原理&#xff0c;简单来说它是通过Binder实现的。 关于Binder的知识点非常多&#xff0c;当我们…