首页 > 产品中心

中软华泰:等级保护整改解决方案

1、等保方案设计背景

    随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序，信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度，已引起党和国家领导同志和社会各界的关注。

    由于信息系统的安全保障体系建设是一个极为复杂的工作，为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多，建设起来困难重重，信息系统安全一直停留在网络完全的建设，但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。

    信息安全是国家主权、政治、经济、国防、社会安全和公民合法权益保障的重要保证，经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

等保解决方案依据法律法规：如下图

等级保护解决方案依据技术标准：如下图

《基本要求》是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一，是现阶段五个级别的信息系统的基本安全保护技术和管理要求，提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施，该标准需与《设计技术要求》、《信息安全技术网络基础安全技术要求》等其它标准配套使用。

2、信息系统安全需求分析

    具体定级定级情况：根据客体被侵害的程度所造成的影响大小对系统进行划分级别，根据GB17859-1999按照安全性由低到高的顺序，规定了计算机系统安全保护能力的五个等级，即：

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

    我国2007年开展了全国范围的信息系统等级保护定级工作，所有的信息系统也根据其重要性分别被评定了级别，并在公安部办理了相关的备案手续。

    中软华泰在信息系统安全需求分析时，要对客户的现有信息系统定级情况、现状描述、安全现状、定级信息系统安全防护能力的要求与信息《基本要求》对比进行差异性分析，研进行下一步的科学的设计。需求分析流程如下图：

3、信息系统安全等级保护总体设计

    方案设计原则：在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。

    总体技术框架：信息系统等级保护安全建设的思路是根据分级分域的原则，按照一个中心下的三重防御体系，建设具有自己特色的信息安全等级保护深度防御体系。

    一个中心和三重防护体系：按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。

    站系统安全架构设计：根据现有系统情况根据设计技术要求进行架构设计

    物理安全建设：依据《基本要求》中对物理安全的要求，信息系统的物理安全建设从环境安全、设备安全和介质安全三个方面实施。

    安全管理建设：“三分技术、七分管理”，安全管理和技术相辅相成。以《基本要求》为标准，结合目前、信息系统安全管理体系的现状，对信息系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。

    灾难与应急响应：为提高网络安全应急响应能力，对可能发生的信息网络系统的突发安全事件进行快速反应和恢复，最大限度地控制和减轻事件所带来的影响，确保业务的持续运行，需要制定应急响应预案。

4、信息系统安全等级保护技术设计方案 

1) 方案设计思想:

a) 构建符合信息系统等级保护要求的安全体系结构

b) 建立科学实用的全程访问控制机制

c) 加强源头控制，实现基础核心层的纵深防御

d) 面向应用，构建安全应用支撑平台

2）结合设计技术要求进行一个中心下三重防护体系的信息系统的整体建设：

　　结合技术要求的三权分立原则对管理者达到互相监督互相制约：

　　中软华泰信息系统安全等级保护技术设计方案图形方式展现：

· HuaTech终端安全保护系统在现有Windows、Linux操作系统基础上，强化了其身份鉴别、数据保密性保护、系统完整性保护以及行为审计机制，增加了强制访问控制、边界保护机制，为全面防内提供了基础。

· 恶意代码无法入侵终端 

· 安全机制无法被旁路 

· 非授权用户无法登录终端

· 非授权终端无法接入系统 

· 重要信息无法被失窃 

· 恶意代码无法入侵终端

· 网站防护产品：解决了Web网站防篡改、防恶意代码攻击；

· 应用级防火墙：解决了SQL注入攻击、防跨站攻击、抗Dos攻击、抗端口扫描、双机热备

· 职责分离管理，由安全管理中心统一对计算环境、区域边界、通讯网络的全程访问控制进行指定安全策略机制。

6、信息系统安全等级保护管理安全建设 

　　从经营者的角度来看，技术层面和管理层面必须相互结合、配合良好，其中，尤其需要强调管理的重要性，以“七分管理，三分技术”的配比来建设信息系统的安全体系，这样，才有可能构建健康的信息系统安全体系。技术层面通过安装部署相应的安全产品实现，管理层面则通过落实制度和人员培训等手段实现。本章节将重点讨论信息安全中的管理部分内容。

7、信息系统安全应急预案设计 

    《基本要求》中对信息系统应急预案方面提出的要求，信息系统等保改造项目涉及信息系统按安全等级，根据《基本要求》对不同等级信息系统的安全事件处置和应急预案提出了具体的指导和要求. 

8、信息系统灾备方案设计 

    为了应对信息系统可能遭遇的灾难，我们需要为信息系统建立灾难备份中心。灾难备份中心拥有相应的备份系统和场地，配备了专职人员，建立并制定了一系列运行管理制度，数据备份策略和灾难恢复程序，可以承担灾难恢复任务的机构。

9、信息系统安全产品选型及技术指标 

     产品选型:国产化原则、标准化原则、安全性原则、适应性原则、可管理性原则、可扩展性原则

10、等级保护安全改造方案安全性分析 

     本文第4“信息系统等级保护安全设计方案”所述内容对应《基本要求》中的网络安全与主机安全，形成安全应用支撑平台，为信息系统现有应用安全提供安全保障，最终实现数据安全的目标信息系统安全等级保护项目实施设计，最后等级建设进入实施阶段。

等级保护物理安全建设

[注] 本方案为等保整体解决方案的综合概述。