三级系统等级保护技术建设建议书

华为三级等级保护建设技术建议书

目 录

1 2

概述........................................................................................................................................... 3 等级保护实施概述 ................................................................................................................... 4 2.1 2.2 2.3 2.4 3

参照标准 ........................................................................................................................... 4 基本原则 ........................................................................................................................... 4 角色和职责 ....................................................................................................................... 5 实施的基本流程 ............................................................................................................... 6

信息系统安全定级 ................................................................................................................... 8 3.1 参照标准 ........................................................................................................................... 8 3.2 定级原理 ........................................................................................................................... 8 3.2.1 信息系统安全保护级别 ........................................................................................... 8 3.2.2 信息系统安全保护等级的定级要素 ....................................................................... 8 3.3 信息系统定级阶段的工作流程 ....................................................................................... 9

4 信息系统详细设计方案 ......................................................................................................... 11 4.1 安全建设需求分析 ......................................................................................................... 11 4.1.1 网络结构安全 ......................................................................................................... 11 4.1.2 边界安全风险与需求分析 ..................................................................................... 11 4.1.3 运维风险需求分析 ................................................................................................. 12 4.1.4 关键服务器管理风险分析 ..................................................................................... 12 4.1.5 关键服务器用户操作管理风险分析 ..................................................................... 13 4.1.6 数据库敏感数据运维风险分析 ............................................................................. 14 4.1.7 “人机”运维操作行为风险综合分析 ................................................................. 14 4.2 安全管理需求分析 ......................................................................................................... 15 4.3 整改建议 ......................................................................................................................... 15 4.4 安全保障体系总体建设 ................................................................................................. 16 4.5 安全技术体系建设 ......................................................................................................... 18 4.5.1 建设方案设计原则 ................................................................................................. 18 4.5.2 外网安全设计 ......................................................................................................... 20 4.5.3 内网安全设计 ......................................................................................................... 22 4.5.4 主机安全体系建设 ................................................................................................. 23 4.5.5 应用通信安全体系 ................................................................................................. 24 4.5.6 应用数据安全 ......................................................................................................... 24

5 整改建议（依据项目增加内容） ......................................................................................... 25 5.1.1 5.1.2 5.1.3

整改后拓扑 ............................................................................................................. 25 软硬件新增设备清单 ............................................................................................. 25 软硬件产品介绍 ..................................................................................................... 25

6 三级等级保护基本要求点对点应答 ..................................................................................... 25 6.1 技术要求 ......................................................................................................................... 25 6.1.1 物理安全 ................................................................................................................. 25

I

6.1.2 6.1.3 6.1.4 6.1.5 7

网络安全 ................................................................................................................. 28 主机安全 ................................................................................................................. 31 应用安全 ................................................................................................................. 33 数据安全 ................................................................................................................. 35

信息系统安全等级测评 ......................................................................................................... 37 7.1 参照标准 ......................................................................................................................... 37 7.2 等级测评概述 ................................................................................................................. 37 7.3 等级测评执行主体 ......................................................................................................... 38 7.4 等级测评内容 ................................................................................................................. 38 7.5 等级测评过程 ................................................................................................................. 39 7.5.1 测评准备活动 ......................................................................................................... 40 7.5.2 方案编制活动 ......................................................................................................... 41 7.5.3 现场测评活动 ......................................................................................................... 42 7.5.4 分析与报告编制活动 ............................................................................................. 43

8 信息系统备案履行 ................................................................................................................. 46 8.1

信息安全等级保护备案实施细则 ................................................................................. 46

II

1 概述

需要补充