黑龙江—等保测评三级安全设计思路

需求分析

6.1 系统现状

6.2 现有措施

目前,信息系统已经采取了下述的安全措施:

1、在物理层面上, 

2、在网络层面上, 

3、在系统层面上, 

4、在应用层面上, 

5、在管理层面上, 

6.3 具体需求

 6.3.1 等级保护技术需求

    要保证信息系统的安全可靠,必须全面了解信息系统可能面临的所有安全威胁和风险。威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。

任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来来自人为的破坏,也来自自然环境,包括各种人员、机构出于各自目的的攻击行为,系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源有:

威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。

被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。

主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。

邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。

分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的的后门或攻击途径。

内部攻击威胁与风险:恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏

6.3.2 等级保护管理需求

安全是不能仅仅靠技术来保证,单纯的技术都无法实现绝对的安全,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行。管理安全是整体安全中重要的组成部分。信息系统安全管理虽然得到了一定的落实,但由于人员编制有限,安全的专业性、复杂性、不可预计性等,在管理机构、管理制度、人员安全、系统建设、系统运维等安全管理方面存在一些安全隐患:

——管理机构方面:

——管理制度方面:

——人员安全方面:

——系统建设方面:

——系统运维方面:

7安全策略

7.1 总体安全策略

 —— 遵循国家、地方、行业相关法规和标准;

 ——贯彻等级保护和分域保护的原则;

 ——管理与技术并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系;

 ——充分依托已有的信息安全基础设施,加快、加强信息安全保障体系建设。

 ——第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。

 ——在技术策略方面:

 ——在管理策略方面:

7.2 具体安全策略

1、安全域内部策略

2 、安全域边界策略

3 、安全域互联策略

8 安全解决方案

     不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。

技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

根据威胁分析、安全策略中提出的基本要求和安全目标,在整体保障框架的指导下,本节将就具体的安全技术措施和安全管理措施来设计安全解决方案,以满足相应等级的基本安全保护能力。

8.1 安全技术体系

8.1.1 安全防护系统

边界防护系统

监控检测系统

安全审计系统

应急恢复系统

安全支撑系统

安全运营平台

网络管理系统

网络信任系统

8.2 安全管理体系

安全管理机构

安全管理制度

人员安全管理

系统建设管理

系统定级\系统备案\安全方案设计\产品采购\自行软件开发\外包软件开发\工程实施\测试验收\系统交付\安全测评。详细内容略去。

系统运维管理

9安全服务

技术类的安全要求可以通过在信息系统中部署安全产品来实现,同时需要对网络设备、操作系统、应用软件的安全功能的正确配置,这需要通过安全评估和加固等安全服务来完成;管理类的安全要求需要通过管理咨询服务来完善,以实现IT运维管理标准化和规范化,提高安全管理的水平。

9.1 风险评估服务

安全风险评估服务可以为组织:

 ——评估和分析在网络上存在的安全技术风险;

——分析业务运作和管理方面存在的安全缺陷;

——调查信息系统的现有安全控制措施,评价组织的业务安全风险承担能力;

——评价风险的优先等级,据此为组织提出建立风险控制安全规划的建议。

具体的评估服务包括如下内容略

9.2 管理监控服务

     全面实时的执行对客户信息系统远程监控是M2S安全服务的主要组成部分和特点之一,通过监控来达到安全事件检测、安全事件跟踪、病毒检测、流量检测等等任务,进而通过检测的结果可以动态的调整各个安全设备的安全策略,提高系统的安全防范能力。监控服务完全是一种以人为核心的安全防范过程,通过资深的安全专家对各种安全产品与软件的日志、记录等等的实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议。……的安全监控服务具有两种形式:远程监控服务和专家的现场值守服务。每一种服务都满足了客户一定层面的需求,体现了安全监控服务的灵活性以及可重组性。

9.3 管理咨询服务

 ……提供的主要安全管理咨询顾问服务包如下。详细内容可参考“……安全管理咨询顾问服务白皮书”。

9.4 安全培训服务

安全实践培训主要是从人员的角度出发来强化的安全知识以及抵御攻击行为的能力,主要包括如下方面的培训建议:

 ——基本安全知识培训:主要对常规人员提供个人计算机使用的基本安全知识,提高个人计算机系统的防范能力。

 ——主机安全管理员培训:对安全管理员进行针对于主机系统的安全培训,强化信息系统维护人员的安全技术水平。

 ——网络安全管理员培训:对安全管理员进行针对于网络系统的安全培训。

 ——安全管理知识培训:为的主要管理层人员提供,有助于从管理的角度强化信息系统的安全。

 ——产品培训:为人员能进一步认识各种安全产品而提供的基本培训。

 ——CISP培训:为培养技术全面的信息安全专家,而提供的具有国家认证资质的培训。“注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security  Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。

9.5 安全集成服务

 价值

 ——加强IT系统安全保障,提高您的客户的信任,提高竞争力;

 ——减小IT系统管理的工作量,提高效率,降低运营成本;

 ——帮助您了解IT系统面临的风险并有效地控制风险;

 ——帮助您的IT系统符合相关法律、标准与规范,减少诉讼与纷争。

思路

 ——……安全解决方案从三个层面来考虑客户的信息安全需求,协助客户建设基于“信息安全三观论”的信息安全保障体系;

 ——在三观论的基础上,基于信息安全三要素模型(资产、威胁与保障措施)提出了……信息安全保障总体框架功能要素模型(VIAF-FEM)。强调以IT资产与业务为核心,针对资产/业务面临的威胁从人、过程、技术三个方面设计全面的信息安全解决方案。

 根据具体需求不同,……提供如下表所示的几种安全集成解决方案。

类型

满足需求

信息安全整体解决方案

IT安全规划

信息安全管理方案

安全管理咨询

信息安全技术方案

信息安全技术保障体系

信息安全服务方案

特定安全服务需求       安全服务需求的组合

安全产品解决方案

特定安全功能需求    安全功能需求的组合


表1. 安全集成解决方案表

特色

 ——行业化:……凭借在电信、金融、政府、教育、能源等行业多年的信息安全实战经验,提供行业化的解决方案。

 ——面向业务:……从客户业务安全的角度出发解决实际安全问题,由功能需求导出面向业务的解决方案。

 ——体系完整:……凭借自身的专业安全队伍以及阵容强大的外部专家支持,基于完整的安全体系提供解决方案。

 ——理念先进:……秉承“一米宽,一公里深”的理念,及时跟踪国际先进安全理念,以此为基础开发安全的最佳实践,成功应用于客户化的解决方案中。

10 方案总结

 本等级保护设计方案具有以下特点:

 1、体现了等级防护的思想。本方案根据3级信息系统的基本要求和安全目标,提出了具体的安全等级保护的设计和实施办法,明确3级信息系统的主要防护策略和防护重点。

 2、体现了框架指导的思想。本方案将安全措施、保护对象、整体保障等几个等级保护的关键部分和内容分别整理归纳为框架模型,利于在众多安全因素中理清等级保护的主线。

 3、体现了分域防护的思想。本方案根据信息系统的访问控制要求,针对不同的保护对象进行了合理的安全域划分。通过建立合理有效的边界保护策略,实现安全域之间的访问控制;在不同的安全域内实施不同级别的安全保护策略;针对不同等级的安全域之间的互联也要实现相应的保护。

 4、体现了深度防御的思想。本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。

 5、体现了多角度对应的思想。本方案从威胁出发引出保护基本需求,从基本要求引出安全策略和目标,在需求分析和安全策略之间分层相互对应;在总体策略里提出各层面的总体保护要求,在具体策略里提出各层面的具体保护要求,各层相互对应;在安全解决方案的安全技术措施可以与安全策略中的基本要求和安全目标相对应。

 6、体现了动态发展的思想。本方案在满足信息系统目前基本的、必须的安全需求的基础上,要求随着应用和网络安全技术的发展,不断调整安全策略,应对不断变化的网络安全环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/572306.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

数码摄影色彩构成,数码相机色彩管理

一、资料描述 本套摄影色彩资料,大小58.54M,共有6个文件。 二、资料目录 《抽象彩色摄影集》.阿瑟.pdf 《色彩构成》.pdf 《色彩学》.星云.扫描版.pdf 《摄影色彩构成》.pdf 《数码相机色彩管理》.pdf 数码摄影进阶之4《色彩篇》.pdf 三、资料下…

【PCL】教程narf_feature_extraction 如何从深度图像中提取 NARF 特征

如何从范围图像中提取 NARF 特征  本教程演示如何从深度图像中在 NARF 关键点位置提取 NARF 描述符。该可执行文件使我们能够从磁盘加载点云(或创建它,如果没有提供),在其上提取兴趣点,然后在这些位置计算描述符。然…

spring @value @configurationProperties比较

今天项目中需要使用数组的方式 来加载一批 配置 yml: xxxx: - xxxxx - xsssss javaBean Value("${xxxxx.xxxxx}") private List<String> xxxs; 启动时候报错&#xff0c;无法加载&#xff0c;TM试验了1个小时&#xff0c;我一开始想到是格式的问题&#x…

Android 10.0 Launcher3替换桌面app图标后大小和其他app图标不一样的问题解决方案

1.前言 在10.0的系统ROM产品定制化开发中,在关于launcher3的产品定制化开发中,在有些时候需要对一些第三方的app图标做 替换或者是做一些动态图标的替换,发现在替换以后图标大小和其他app的图标大小不一样,所以就需要看是具体哪里 对app的图标做了缩放功能,接下来就需要去…

【注解和反射】类加载器

继上一篇博客【注解和反射】什么时候类会和不会被初始化&#xff1f;-CSDN博客 目录 六、类加载器 测试&#xff1a;获得类加载器 &#xff08;1&#xff09;如何获取Java中的类加载器及其父类加载器 &#xff08;2&#xff09;测试当前类是哪个类加载器 &#xff08;3&am…

【C++】STL-vector模拟实现

目录 1、vactor的模拟实现 1.1 成员变量 1.2 size、capacity 1.3 迭代器 1.4 构造、析构、拷贝构造、operator 1.5 push_back、pop_back、reserve 1.6 operator[] 1.7 insert、erase 1.8 resize 2、使用memcpy拷贝问题 1、vactor的模拟实现 1.1 成员变量 vector是顺…

时尚新选择,小塔RFID技术重塑样衣管理

在时尚领域&#xff0c;样衣是创意与工艺的完美结合&#xff0c;每一件都承载着设计师的心血与期待。然而&#xff0c;当这些珍贵的样版在传统的管理体系下流转时&#xff0c;样版管理成为一个令人头疼的问题。手动记录、盘点和样板追溯成为常态&#xff0c;但这种方式容易出错…

机器学习(二)之监督学习

前言&#xff1a; 上一节大概讲解了几种学习方式&#xff0c;下面几张就具体来讲讲监督学习的几种算法。 以下示例中和都是权重的意思&#xff01;&#xff01;&#xff01; 注&#xff1a;本文如有错误之处&#xff0c;还请读者指出&#xff0c;欢迎评论区探讨&#xff01; 1…

17. map和set的模拟实现(也就是用红黑树封装map和set)

1.map和set底层调用的红黑树的实现 有不清楚的地方&#xff0c;参考AVL树的模拟实现和红黑树的模拟实现 红黑树迭代器的实现 // 红黑树迭代器的类模板 template<class T, class Ref, class Ptr> struct __RBTreeIterator {// 将红黑树节点的类类型定义为Nodetypedef R…

绽放新笑容:儿童换牙期的关怀与注意

引言&#xff1a; 儿童的换牙期是成长过程中的重要阶段&#xff0c;标志着他们逐渐迈向成人世界。然而&#xff0c;伴随着牙齿的脱落和新牙的生长&#xff0c;孩子们可能会经历一些不适和困扰。本文将探讨儿童换牙期的注意事项&#xff0c;以帮助家长和孩子们度过这一特殊时期&…

扎根理论分析原理、方法与Nvivo技术应用

扎根理论越来越流行&#xff0c;成为经常被采用的研究方法之一。扎根理论的研究者来自广泛的研究领域&#xff0c;例如社会工作、护理、医药、综合医疗保健、教育、管理和商业。这些从业者和学者试图从他们所在学科范围内解释行为模式。对于扎根理论本质和实践的研究引发了知名…

这个表格为什么在VS Code里面预览可以显示,在浏览器预览就没有显示

在VS Code里面预览可以显示如图&#xff1a; 在浏览器预览就不能显示了&#xff0c;刚开始还好的后来不知道弄错了哪里了&#xff0c;哭死 <!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"vi…

Swagger:在线接口文档

Swagger介绍及使用 官网:https://swagger.io/ 介绍 使用Swagger你只需要按照它的规范去定义接口及接口相关的信息&#xff0c;就可以做到生成接口文档&#xff0c;以及在线接口调试页面。 Knife4j是为Java MVC框架集成Swagger生成Api文档的增强解决方案。 使用方式 1.导入 kni…

qt5-入门-QListWidget-通过右键快捷菜单复制item内容

参考&#xff1a; C GUI Programming with Qt 4, Second Edition 本地环境&#xff1a; win10专业版&#xff0c;64位&#xff0c;Qt5.12 效果 在某个item上右键&#xff0c;点击copy后&#xff0c;item的内容已复制到剪贴板。 实现 #include <QMenu> #include <…

如何用微信发布考试成绩(如月考、期中、期末等)

自教育部《未成年人学校保护规定》颁布后,教育部明确表示:学校不得公开学生的考试成绩、排名等信息!同时学校应采取措施,便利家长知道学生的成绩等学业信息,对于教师来说,如何用微信发布考试成绩(如:月考、期中、期末等)就成了一道难题... 公开吧,会伤害到学生自尊心,甚至被投诉…

创建钉钉审批流实例

1、依赖 <!--钉钉 api --> <dependency><groupId>com.aliyun</groupId><artifactId>dingtalk</artifactId><version>2.0.14</version> </dependency> <!--钉钉 事件订阅--> <dependency><groupId>co…

CUDA编程技术概述

CUDA&#xff08;Compute Unified Device Architecture&#xff0c;统一计算设备架构&#xff09;是由英伟达&#xff08;NVIDIA&#xff09;公司推出的一种软硬件集成技术&#xff0c;是该公司对于GPGPU&#xff08;通用图形处理器计算&#xff09;的正式名称。透过这个技术&a…

Levenberg-Marquardt (LM) 算法进行非线性拟合

目录 1. LM算法2. 调包实现3. LM算法实现4. 源码地址 1. LM算法 LM算法是一种非线性最小二乘优化算法&#xff0c;用于求解非线性最小化问题。LM主要用于解决具有误差函数的非线性最小二乘问题&#xff0c;其中误差函数是参数的非线性函数&#xff0c;需要通过调整参数使误差函…

eNSP学习——静态路由及默认路由基本配置

目录 知识背景 实验目的 实验步骤 实验内容 实验拓扑 实验编址 实验前期准备 实验步骤 1、基本配置&#xff08;按照实验编址设置好对应的IP地址&#xff09; 2、是实现主机之间的通信 3、实现全网全通来增强网络的可靠性 4、使用默认路由实现简单的网络优化 需要各…

HTB靶场 Perfection

端口 打开了ssh和http服务 访问 Perfection靶机的网站 是一个根据权重计算总成绩的网站 Wappalyzer查看网页用的什么编写搭建的 抓包看一下是怎么工作的 发送,&#xff0c;返回的结果 如果我在 类别 后面多加一句命令 就会出现提示 恶意输入阻止 大概率有命令注入 通过插件…