信息化项目网络安全方案编制

信息化项目网络安全方案编制

  • 编写依据
    • 政策法规
    • 标准规范
  • 设计思路
    • 安全技术体系
    • 安全管理体系设计
    • 网络安全软/硬件
  • 编制思路
    • 网络安全等级保护定级
    • 网络安全等级保护基本要求
    • 网络安全等级保护设计要求
  • 结语

编写依据

政策法规

(已附链接)
1.《中华人民共和国保守国家秘密法》
2.《中华人民共和国国家安全法》
3.《中华人民共和国电子签名法》
4.《计算机信息系统国际联网保密管理规定》
5.《涉及国家秘密的计算机信息系统分级保护管理办法》
6.《互联网信息服务管理办法》
7.《非经营性互联网信息服务备案管理办法》
8.《计算机信息网络国际联网安全保护管理办法》
9.《中华人民共和国计算机信息系统安全保护条例》
10.《信息安全登记保护管理办法》
11.《公安机关信息安全等级保护检查工作规范(试行)》

标准规范

1.《信息安全技术 网络安全等级保护定级指南》(GB_T 1389-2017)
2.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)
3.《信息安全技术 网络安全等保护安全设计技术要求》(GB/T 25070—2019)
4.《信息安全技术 网络安全等级保护测评要求》(GB_T 28448-2019)
5.《信息安全技术 信息系统密码应用基本要求》(GB_T 39786-2021)


此部分标准规范打包上传资源了,指路

设计思路

根据网络安全基础设施建设需求,提出完整的建设方案。从以下几方面进行描述:
1.安全技术体系设计;
2.安全管理体系设计;
3.主要软/硬件产品。

安全技术体系

依据 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 以及行业特殊安全需求,从安全通信网络、安全区域边界、安全计算环境以及安全管理中心等方面进行安全技术体系设计。

1.安全通信网络:结合网络架构、通信传输、可信验证等进行设计;

2.安全区域边界:结合可信验证、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计等进行设计;

3.安全计算环境:结合可信验证机制等方式及时识别入侵和病毒行为并将其有效阻断、同时对系统资源使用情况进行监控;身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、资源控制等;备份和恢复等进行设计。

4.安全管理中心:结合信息系统等级,从系统管理、审计管理、安全管理、集中管控等进行设计;

安全管理体系设计

依据 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 以及 行业特殊安全需求,从以下方面进行设计:
1.安全管理制度;
2.安全管理机制;
3.安全管理人员;
4.安全建设管理;
5.安全运维管理。

网络安全软/硬件

选择符合相关标准并进入国家或地方(省市县)信息安全产品政府采购目录的产品;安全技术体系设计示意图及网络安全设备部署图。
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)等保要求,第三级安全要求 对应的控制点及可达到相关要求的网络安全软/硬件设备对应关系的清单如下:
信息化项目网络安全方案编制_第1张图片

编制思路

首先根据 《信息安全技术 网络安全等级保护定级指南》(GB_T 1389-2017) 确定信息系统的拟定级别,再根据 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019) ,最后 根据 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019) 去设计网络安全方案。

网络安全等级保护定级

根据《信息安全技术 网络安全等级保护定级指南》(GB_T 1389-2017)要求,确定信息系统拟定级别。
信息化项目网络安全方案编制_第2张图片

网络安全等级保护基本要求

此处列举第二级等级保护基本要求,具体详见规范 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)
信息化项目网络安全方案编制_第3张图片

网络安全等级保护设计要求

按照规范 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019) 要求 设计网络安全方案。需配置的设备参考本文的 网络安全软/硬件 章节。

此处列举第二级等级保护设计 要求
第二级系统安全保护环境的设计策略是:遵循GB 17859- 1999 的4.2中相关要求。
以身份鉴别为基础。提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;
以包过滤手段提供区域边界保护;
以数据校验和恶意代码防范等手段,同时通过增加系统安全审计、客体安全重用等功能,使用户对自已的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力。
第二级系统安全保护环境在使用密码技术设计时,应支持国家密码管理主管部i]批准使用的密码算法。使用国家密码管理主管部门认证核准的密码产品,遵循相关密码国家标准和行业标准。
第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。计算节点都应基于可信根实现开机到操作系统启动。再到应用程序启动的可信验证.并将验证结果形成审计记录。

信息化项目网络安全方案编制_第4张图片
设计要求除通用部分外,还有云扩展部分。具体详见标准规范。

结语

套用一段话

《中华人民共和国计算机信息系统安全保护条例》中规定:“保障计算机及其相关的和配套的设备、设施(网络)的安全,保障运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全。计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。”信息安全首先是国家安全的需要,中国工程院院士何德全曾说:“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。”虽然我们现在处于和平年代,但是国家仍然面临着来自敌对国家、恐怖分子、内部人员、经济竞争者、网络黑客等各方面的威胁,信息安全已上升为一个事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题,不断致力于提高整个国家的信息安全程度是国家必须优先考虑的主题。

信息安全是信息化建设中非常重要的部分,必须根据系统的实际去定制合适的安全方案。

最后的最后,今天是国庆节,祝祖国越来越繁荣昌盛,人民幸福指数稳步提升,疫情尽早结束!

以上

你可能感兴趣的:(信息安全,web安全,网络,系统安全)