干货｜网络安全等级庇护安全建设整改的流程、方法

hy147052

导读

安全建设整改工作是开展等级庇护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和办事于安全建设整改工作。接下来小编将整改工作的目标、内容、方法、流程、要求等内容列出来，供大家参考。

1、安全建设整改的目的

● 探索信息安全工作的整体思路

● 确定信息系统庇护的基线要求

● 了解信息系统的问题和差距

● 明确信息系统安全建设的目标

● 提升信息系统的安全庇护能力

2、安全建设整改的工作内容

定级时，是按照有关标准要求对每个业务系统进行定级。但在安全建设整改时，可以采取“分区”、“分域”的方法，按照整体防护、综合防控的原则进行建设方案或整改方案的设计。整改方案安身于对信息系统进行加固改造，缺什么就补充什么；对于新建系统，参照同步规划、同步设计、同步实施这“三同步”的要求，落实安全办理办法和技术庇护办法。

实际工作中，设计建设方案时需要坚持办理和技术并重的原则，将技术办法和办理办法有机结合，建立信息系统综合防护体系，提高信息系统整体安全庇护能力。

各级信息系统安全庇护办理办法要求：





各级信息系统安全庇护技术办法要求：





3、工作开展的依据





办理制度建设的依据

《办理办法》、《信息系统安全等级庇护基本要求》、《信息系统安全办理要求》、《信息系统安全工程办理要求》

技术办法建设的依据

《办理办法》、《信息系统安全等级庇护基本要求》、《信息系统安全等级庇护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程办理要求》、《信息系统安全等级庇护安全设计技术要求》

4、安全建设整改的工作方法和流程

建设过程中要突出重点。三四级信息系统优先级别高于二级系统，当然也可以对各等级系统同步规划实施，确保按期完成任务。

工作流程：信息系统安全建设整改工作规划和工作安排——信息系统安全庇护现状分析——确定安全策略，制定安全建设整改方案——开展信息系统安全自查和等级测评。详细工作流程详见下表：





关于安全技术建设整改注意事项

基本安全需求分析方法：

第1步 按照其等级从《基本要求》中选择相应等级的基本安全要求；

第2步 按照定级过程中确定业务信息安全庇护等级和系统办事安全庇护等级，确定该信息系统的安全需求类；

第3步 按照系统所面临的威胁特点调整安全要求。





安全需求分析工作完成后，将信息系统的安全办理需求与安全技术需求综合

形成安全需求报告。组织专家对安全需求进行评审论证，形成评审论证意见。报告要包含以下内容：信息系统描述、安全办理状况、安全技术状况、存在的不足和可能的风险以及安全需求描述。
建设整改方案设计思路和要点

依据《信息系统安全等级庇护基本要求》

参照《信息系统等级庇护安全设计技术要求》

引入“纵深防御”的概念， 强化多层防御

引入“安全区域”的概念

● 物理安全设计

对于不同安全庇护等级子系统各自独立使用机房或独立使用某个部分（区域）的情况，其独立部分可按照不同安全庇护等级的要求和需求独立设计。对不同安全庇护等级子系统共用机房或共用某些部分（区域）的情况，其共用部分按照最高原则进行设计，也就是就高不就低的原则。

● 主机系统安全设计

主机系统安全设计，内容包罗操作系统或数据库办理系统的安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等功能的实现。

主机安全设计需要明确规定操作系统与数据库办理系统的名称与版本、应安装的最小化组件与必要补丁、基本的安全配置规范。

合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包罗身份辨别（辨别方式、强度、失败处理）、拜候控制（控制范围、严格程度以及实现方式）、安全审计（实现方式、对象和项目的选择、日志存储与庇护、数据查询与报警）等。

● 备份与恢复设计

针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。

针对信息系统办事连续性的安全设计要考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包罗相关的基础设施支持、冗余相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的安排形式与参数配置等。

通过对信息系统的安全建设整改工作，使得系统安全办理水平明显提高，安全防范能力明显加强，减少安全隐患和安全变乱的发生，从而有效保障国家安全、社会秩序和公共利益。关于安全建设整改这一工作环节，本期就介绍这么多，希望能够对各位网络安全运营者在开展等级庇护工作中有所帮手，至于办理和技术建设整改中涉及的诸多重要节点，以后找机会再和大家分享。

董生

转发了

飞女晓

转发了

放飞梦想

转发了

dreamer

转发了

桃梅

转发了