信息安全等级保护(三级)建设方案.docxVIP

下载本文档

15
0
约2.76万字
约 86页
2024-06-15 发布于北京
举报
版权申诉

信息安全等级保护(三级)建设方案.docx

1、本文档共86页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

信息安全等级保护(三级)建设方案

信息安全等级保护（三级）建设方案

1.前言

1.1概述

随着互联网金融的快速发展，金融机构对信息系统的依赖程过活益增高，信息安全的题目也越来越突出。同时，因为利益的驱使，针对金融机构的安全要挟越来越多，特别是涉及民生与金融相干的单位，收到攻击的次数日渐频繁，相干单位必需加强自身的信息安全保障事情，建立美满的安全机制来抵御外来和内涵的信息安全要挟。为提升我国重要信息系统整体信息安全管理程度和抗风险本领。国家公安部、必威体育官网网址局、XXX、国务院信息化领导小组办公室于2007年结合颁布861号文件《关于展开天下重要信息系统安全等级保护定级事情的通知》和《信息安全等级保护管理举措》，要求涉及国计民生的信息系统应达到一定的安全等级，按照文件精神和等级划分的准绳，涉及到当局机关、金融等核心信息系统，构筑至少应达到三级或以上防护要求。

互联网金融行业是关系经济、社会稳定等的重要单位，等级保护制度的确立和实施，无疑对互联网金融单位加快自身信息安全建议具有前瞻性、系统性的指导意义。从国家层面上看，在重点行业、单位推行等级保护制度是关系到国家信息安全的大事，为确保重要行业和单位的等级保护信息系统顺利开展实施，同时出台了一系列政策文件来规范、指导和推动风险评估工作的进行，等级保护也积极响应各种标准和政策，以保障重点行业信息系统安全。

1.2相干政策及标准

国家相关部门对等级保护安全要求相当重视，相继出台多个信息安全相关指导意见与法规，主要有：

《中华人民共和国计算机信息系统安全等级保护条例》（国务院147号令）

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安

〔2010〕303）

《GB/T-2008信息安全技术信息系统安全等级保护基本要求》

《GB/T—2007信息安全技术信息安全风险评估规范》

《GB-1999信息系统安全等级保护测评准则》

其中，目前等级保护等保主要安全依据，主要参照《GB-1999信息系统安全等级保护测评准则》和《GB/T-2008信息安全技术信息系统安全等级保护基本要求》，本

信息安全等级保护（三级）建设方案

方案亦主要依据这两个标准，以其他要求为辅，来建立本技术方案。

信息安全等级保护（三级）建设方案

2.现状及需求分析

2.1.现状分析

xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级，通过第三方测评、整体分析与风险分析，xx业务系统中存在与国家等级保护三级标准要求不符合项。

2.2.需求分析

为了满足达到国家GB/T-2008《信息手艺信息系统安全等级保护基本要求》相应的等级保护本领要求，xx业务管理系统启动等级保护安全整改事情，以加强系统的安全防护本领，有用抵御内部和内部要挟，为切实达到国家及行业信息安全等级保护相应要求，使xx业务管理系统在现有运行环境下风险可控，能够为xx客户及内部各部分供给安全、稳定的业务服务。

本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。

1、安全防护：安全防护设计收集安全、主机安全等多个测评内容，针对所发觉的安全题目风险中，如收集边境未部署防恶意代码设备,可通过对重点系统的收集边境部署相应的安全防护设备来进行办理。

二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及收集安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相干建设上缺乏需求手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测本领，和审计分析本领十分需求。

三、安全运维：安全运维管理涉及收集安全、主机安全、安全运维管理，在所发觉安全题目风险中，对近程设备进行双因子认证，实现特权用户分离，对收集用户的接入拜候掌握，敏锐资本的拜候掌握等，可通过加强安全运维管理和部署相应管理设备加以办理。

四、管理制度:管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足，从管理制度整体协助满足等级保护的相关要求。

信息安全等级保护（三级）建设方案

3.等保三级建设总体规划

按照现有安全形势特性，针对三级等级保护的各项要求，需针对收集边境安全、日志集中审计、安全运维、合规性自查四个层面进行建设，挑选典型安全系统构建。

3.1.收集边境安全建设

在网络边

您可能关注的文档

文档评论（0）

idowen + 关注: 实名认证

文档贡献者

该用户很懒，什么也没介绍

咨询Ta 进入空间

1亿VIP精品文档

更多 >

信息安全等级保护(三级)建设方案.docxVIP