引言
1994年國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(147號(hào)令)規(guī)定,“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門(mén)制定”,要求實(shí)行安全等級(jí)保護(hù)。
1999年,國(guó)家質(zhì)量技術(shù)監(jiān)督局正式發(fā)布了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB 17859-1999,《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。
2003年,中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)文件) 明確指出, “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南” 。
2004年9月15日,由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦聯(lián)合下發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(66號(hào)文件) ,明確了實(shí)施等級(jí)保護(hù)的基本做法。
2007年6月22日,又由4單位聯(lián)合下發(fā)《信息安全等級(jí)保護(hù)管理辦法》(43號(hào)文件) ,規(guī)范了信息安全等級(jí)保護(hù)的管理。2007年7月20日,公安部、國(guó)務(wù)院信息辦等4部門(mén)在北京聯(lián)合召開(kāi)“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”,部署在全國(guó)范圍內(nèi)開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作 。
2009年10月27日,公安部下發(fā)關(guān)于印送《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》的函(公信安[2009]1429號(hào)),要求各單位力爭(zhēng)在2012年底前完成已定級(jí)信息系統(tǒng)安全建設(shè)整改工作。
1 等級(jí)保護(hù)建設(shè)總體規(guī)劃依據(jù)
企業(yè)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)整改建設(shè)規(guī)劃工作時(shí),應(yīng)依據(jù)國(guó)家對(duì)信息系統(tǒng)等級(jí)保護(hù)相關(guān)制度規(guī)范,并結(jié)合本行業(yè)主管部門(mén)的相關(guān)要求進(jìn)行,如:《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》(公信安[200911429號(hào));GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》;CB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》;GB/T 25070—2010《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》;GB/T 25058~2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》;GB/T 20270—2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》;GB/T 20271~2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》;GB/T 20272—2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》;GB/T 20273—2006《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》;GB/T 20282—2006《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》;GA/T 709—2007《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本模型》;GA/T 710—2007《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本配置》。
2 等級(jí)保護(hù)建設(shè)總體規(guī)劃設(shè)計(jì)原則
等?傮w規(guī)劃設(shè)計(jì)應(yīng)從技術(shù)和管理兩方面進(jìn)行考慮,管理要求可參照GB/T 22080~2008要求,應(yīng)遵循以下原則:
① 合規(guī)性原則,安全防護(hù)要求應(yīng)符合國(guó)家和行業(yè)主管部門(mén)頒發(fā)的標(biāo)準(zhǔn)要求。
② 體系性原則,等?傮w規(guī)劃要遵循科學(xué)、先進(jìn)的安全防護(hù)體系。
③ 風(fēng)險(xiǎn)管理原則,根據(jù)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn),在系統(tǒng)安全與可用性、經(jīng)濟(jì)性之間進(jìn)行適當(dāng)?shù)木猓扇∮嗅槍?duì)性的安全防護(hù)措施。
④ 等級(jí)化原則,對(duì)不同安全等級(jí)的信息系統(tǒng),采取相應(yīng)的安全防護(hù)措施,實(shí)現(xiàn)不同的安全防護(hù)。
⑤ 可靠性原則,確保信息系統(tǒng)安全可靠運(yùn)行是等保建設(shè)總體規(guī)劃設(shè)計(jì)的根本目標(biāo)。
⑥ 經(jīng)濟(jì)性原則,總體規(guī)劃設(shè)計(jì)要從經(jīng)濟(jì)性著眼。
3 總體設(shè)計(jì)思路
以信息系統(tǒng)安全等級(jí)保護(hù)基本要求為依據(jù),信息系統(tǒng)等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求為指導(dǎo),按照“分區(qū)、分級(jí)、分域”的防護(hù)方針,將各系統(tǒng)按照其所處的網(wǎng)絡(luò)環(huán)境、應(yīng)用模式及定級(jí)等, 分別劃至相應(yīng)的安全區(qū)和安全域,以“一個(gè)中心,三重防護(hù)” 框架,構(gòu)建安全機(jī)制和安全策略。
(1)分區(qū)
根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模、現(xiàn)狀和承載的業(yè)務(wù)應(yīng)用系統(tǒng),從邏輯的角度將企業(yè)網(wǎng)絡(luò)進(jìn)行分區(qū),對(duì)各分區(qū)有針對(duì)性地實(shí)施安全防護(hù)策略。如可將企業(yè)網(wǎng)絡(luò)劃分成辦公內(nèi)網(wǎng)、辦公外網(wǎng)和專(zhuān)用網(wǎng)絡(luò)等。
(2)分級(jí)
根據(jù)企業(yè)信息系統(tǒng)定級(jí)與備案情況,結(jié)合各信息系統(tǒng)的實(shí)際情況,將各信息系統(tǒng)按照相應(yīng)等級(jí)要求進(jìn)行防護(hù)。對(duì)個(gè)別重要的信息系統(tǒng)在條件具備的情況下,可按照高等級(jí)防護(hù)要求進(jìn)行防護(hù)。
(3)分域
安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)所組成的邏輯區(qū)域,同一安全域內(nèi)的系統(tǒng)共享相同的安全防護(hù)策略。如劃分成二級(jí)系統(tǒng)域、三級(jí)系統(tǒng)域、四級(jí)系統(tǒng)域等。安全域劃分應(yīng)遵循以下原則:
① 業(yè)務(wù)保障原則,安全域劃分的根本目標(biāo)是能夠更好地保護(hù)網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí),保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。
② 等級(jí)化原則,根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素,將其劃分成不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全防護(hù)措施。
③ 結(jié)構(gòu)簡(jiǎn)化原則,安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)在邏輯上簡(jiǎn)單化,因此安全域劃分不宜過(guò)于復(fù)雜。
④ 生命周期原則,對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì),還應(yīng)在一定時(shí)期內(nèi)適用于信息系統(tǒng)變化的需求。
⑤ 安全最大化原則,針對(duì)業(yè)務(wù)系統(tǒng)可能跨越多個(gè)安全域的情況,對(duì)該業(yè)務(wù)系統(tǒng)的安全防護(hù)必須要使該系統(tǒng)在全局上達(dá)到各安全域的防護(hù)要求。
⑥ 可擴(kuò)展性原則,當(dāng)新的業(yè)務(wù)系統(tǒng)接入業(yè)務(wù)支撐網(wǎng)絡(luò)時(shí),按照等級(jí)保護(hù)、對(duì)端可信度等原則,能將此業(yè)務(wù)系統(tǒng)劃分至不相應(yīng)等級(jí)安全域的子域中去。
4 信息安全防護(hù)設(shè)計(jì)
信息安全防護(hù)設(shè)計(jì)是在“分區(qū)、分級(jí)、分域” 防護(hù)理念的基礎(chǔ)上,將企業(yè)的各定級(jí)系統(tǒng)的安全防護(hù)劃分為邊界安全防護(hù)、本地計(jì)算機(jī)環(huán)境安全防護(hù)、通信網(wǎng)絡(luò)安全防護(hù)及安全管理中心4個(gè)層次,并進(jìn)行安全設(shè)計(jì)。
(1)邊界安全防護(hù)
區(qū)域邊界安全防護(hù)是從各個(gè)信息系統(tǒng)的業(yè)務(wù)流程的完整性上進(jìn)行區(qū)分。邊界安全防護(hù)的目標(biāo)是保護(hù)邊界內(nèi)的本地計(jì)算環(huán)境和通信網(wǎng)絡(luò)不會(huì)受到來(lái)自邊界外部的攻擊,同時(shí)也可以防止內(nèi)部惡意人員跨越邊界對(duì)外部的信息系統(tǒng)進(jìn)行攻擊。并且當(dāng)發(fā)生安全事件后,可以提供從邊界的網(wǎng)絡(luò)訪問(wèn)日志中發(fā)現(xiàn)入侵事件記錄以進(jìn)行審計(jì)追蹤。
(2)本地計(jì)算環(huán)境安全防護(hù)
本地計(jì)算機(jī)環(huán)境是指對(duì)定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件。本地計(jì)算環(huán)境在有效的區(qū)域邊界安全防護(hù)下,可以避免受到來(lái)自外部網(wǎng)絡(luò)的攻擊和非授權(quán)訪問(wèn)。因此,本地計(jì)算機(jī)環(huán)境的安全防護(hù)主要是加強(qiáng)各種計(jì)算機(jī)部件(如操作系統(tǒng)、數(shù)據(jù)庫(kù)等)的安全性能, 防范因部件本身的脆弱性而遭受攻擊。同時(shí),本地計(jì)算機(jī)環(huán)境的安全防護(hù)還要實(shí)現(xiàn)對(duì)來(lái)自系統(tǒng)內(nèi)部的攻擊、非授權(quán)訪問(wèn)的防范,特別是內(nèi)部人員的違規(guī)操作和誤操作。
(3)通信網(wǎng)絡(luò)安全防護(hù)
通信網(wǎng)絡(luò)是在系統(tǒng)域的本地計(jì)算機(jī)環(huán)境部件之間進(jìn)行信息傳輸,實(shí)施安全策略的相關(guān)部件,包括各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路和通過(guò)網(wǎng)絡(luò)傳輸?shù)男畔⒘鳌Mㄐ啪W(wǎng)絡(luò)可能位于系統(tǒng)域的邊界內(nèi)部,也可能位于邊界外部,特別是網(wǎng)絡(luò)信息流可能需要通過(guò)未知的網(wǎng)絡(luò)環(huán)境傳輸。因此,通信網(wǎng)絡(luò)的安全防護(hù)既要保證網(wǎng)絡(luò)設(shè)備自身的安全,防范其受到攻擊和非授權(quán)訪問(wèn),又要保證網(wǎng)絡(luò)信息流的安全,保護(hù)網(wǎng)絡(luò)信息流的保密性和完整性。如果在通信環(huán)節(jié)出現(xiàn)了問(wèn)題,那么也就失去了信息安全的基礎(chǔ) 。
(4)安全管理中心
安全管理中心作為信息系統(tǒng)的核心安全管理平臺(tái),是對(duì)信息系統(tǒng)的各種安全機(jī)制進(jìn)行管理使其發(fā)揮應(yīng)有安全作用的重要環(huán)節(jié)。可以作為對(duì)整個(gè)企業(yè)信息系統(tǒng)及其各個(gè)系統(tǒng)域的本地計(jì)算機(jī)環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等環(huán)節(jié)的安全保護(hù)措施,進(jìn)行統(tǒng)一的協(xié)調(diào)和調(diào)度,從而實(shí)現(xiàn)包含用戶身份、授權(quán)、訪問(wèn)控制、操作審計(jì)等全過(guò)程的安全管理措施,并實(shí)現(xiàn)集中事件和風(fēng)險(xiǎn)管理,發(fā)揮出整體安全防護(hù)系統(tǒng)的作用。
5 結(jié)語(yǔ)
隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,各類(lèi)新的攻擊手段和威脅形式將會(huì)不斷出現(xiàn),信息系統(tǒng)面臨的風(fēng)險(xiǎn)也將不斷地發(fā)生變化。同時(shí), 隨著業(yè)務(wù)的發(fā)展和安全需求的變化,對(duì)信息系統(tǒng)的要求也會(huì)產(chǎn)生相應(yīng)的變化,原有信息系統(tǒng)的安全防護(hù)等級(jí)也會(huì)隨之進(jìn)行相應(yīng)的調(diào)整。并且信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范也會(huì)不斷地進(jìn)行調(diào)整與優(yōu)化。因此,企業(yè)的信息系統(tǒng)等級(jí)保護(hù)建設(shè)總體規(guī)劃思路與相關(guān)方案也需不斷進(jìn)行調(diào)整與優(yōu)化,確保各類(lèi)信息系統(tǒng)的安全防護(hù)水平符合國(guó)家和行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范要求。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)信息化等級(jí)保護(hù)建設(shè)總體規(guī)劃
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112155020.html