等保测评三级等保—安全设计思路

这篇具有很好参考价值的文章主要介绍了等保测评三级等保—安全设计思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、 保护对象框架
保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一
组信息资产的组合。
依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、
区域边界、网络基础设施、安全措施四类。具体内容略。
建立了各层的保护对象之后,应按照保护对象所属信息系统或子系统的安全等级,对每一个保护对
象明确保护要求、部署适用的保护措施。
保护对象框架的示意图如下:等保测评三级等保—安全设计思路,安全,网络

2、 整体保障框架
就安全保障技术而言,在体系框架层次进行有效的组织,理清保护范围、保护等级和安全措施的关
系,建立合理的整体框架结构,是对制定具体等级保护方案的重要指导。
根据中办发[2003]27 号文件,“坚持积极防御、综合防范的方针,全面提高提高信息安全防护能力”
是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。
信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术,技
术只是一个基础,安全管理是使安全技术有效发挥作用,从而达到安全保障目标的重要保证。
安全保障不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理等方面
进行全面的安全设计和建设,积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障
各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击

者成功地破坏了某个保护措施的情况下,其它保护措施仍然能够有效地对系统进行保护,以抵御不断出
现的安全威胁与风险,保证系统长期稳定可靠的运行。
整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、要求的指导下,制订可
具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全
管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系
统安全、数据安全、应用安全和管理安全,以满足信息系统全方位的安全保护需求。同时,由于安全的
动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措
施,以适应新的安全需求,满足安全等级保护的要求,保证长期、稳定、可靠运行。
整体保障框架的示意图如下:

等保测评三级等保—安全设计思路,安全,网络

3 、安全措施框架
安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施框架是依据“积极防
御、综合防范”的方针,以及“管理与技术并重”的原则进行设计的。
安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包括安全防护系统(物理
防护、边界防护、监控检测、安全审计和应急恢复等子系统)和安全支撑系统(安全运营平台、网络管
理系统和网络信任系统)。
安全技术措施、安全管理措施各部分之间的关系是人(安全机构和人员),按照规则(安全管理制
度),使用技术工具(安全技术)进行操作(系统建设和系统运维)。

安全措施框架示意图如下:

等保测评三级等保—安全设计思路,安全,网络

4、 安全区域划分
不同的信息系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。如何保
证系统的安全性是一个巨大的挑战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证系
统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中
数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的
安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
随着安全区域方法的发展,发现力图用一种大一统的方法和结构去描述一个复杂的网络环境是非常
困难的,即使描述出来其可操作性也值得怀疑。因此,......提出了“同构性简化的方法”,其基本思路
是认为一个复杂的网络应当是由一些相通的网络结构元所组成,这些网络结构元进行拼接、递归等方式
构造出一个大的网络。可以说,结构性简化好像将网络分析成一种单一大分子组成的系统,而同构性简
化就是将网络看成一个由几种小分子组成的系统。“3+1 同构性简化”的安全域方法就是一个非常典型
的例子,此方法是用一种 3+1 小分子构造来分析 venus customer 的网络系统。(注:除了 3+1 构造之
外,还存在其他形式的构造。)具体来说信息系统按照其维护的数据类可以分为安全服务域、安全接入
域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息系统安全保护等级。同一区域内
的资产实施统一的保护,如进出信息保护机制,访问控制,物理安全特性等。

信息系统可以划分为以下四个大的安全域(3+1 同构法):
安全接入域:由访问同类数据的用户终端构成安全接入域,安全接入域的划分应以用户所能访问的
安全服务域中的数据类和用户计算机所处的物理位置来确定。安全接入域的安全等级与其所能访问的安
全服务域的安全等级有关。当一个安全接入域中的终端能访问多个安全服务域时,该安全接入域的安全
等级应与这些安全服务域的最高安全等级相同。安全接入域应有明确的边界,以便于进行保护。
安全互联域:连接传输共同数据的安全服务域和安全接入域组成的互联基础设施构成了安全互联域。
主要包括其他域之间的互连设备,域间的边界、域与外界的接口都在此域。安全互联域的安全等级的确
定与网络所连接的安全接入域和安全服务域的安全等级有关。
安全服务域:在局域范围内存储,传输、处理同类数据,具有相同安全等级保护的单一计算机(主
机/服务器)或多个计算机组成了安全服务域,不同数据在计算机的上分布情况,是确定安全服务域的基
本依据。根据数据分布,可以有以下安全服务域:单一计算机单一安全级别服务域,多计算机单一安全
级别服务域,单一计算机多安全级别综合服务域,多计算机多安全级别综合服务域。
安全管理域:安全系统的监控管理平台都放置在这个区域,为整个 IT 架构提供集中的安全服务,进
行集中的安全管理和监控以及响应。具体来说可能包括如下内容:病毒监控中心、认证中心、安全运营
中心等。
安全区域 3+1 同构示意图如下:

等保测评三级等保—安全设计思路,安全,网络

5、 安全措施选择
27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安
全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和
面临的信息安全风险等因素,进行相应等级的安全建设和管理”。由此可见,信息系统等级保护可视为
一个有参照系的风险管理过程。等级保护是以等级化的保护对象、不同安全要求对应的等级化的安全措
施为参照,以风险管理过程为主线,建立并实施等级保护体系的过程。
安全措施的选择首先应依据我国信息系统安全等级划分的要求,设计五个等级的安全措施等级要求
(安全措施等级要求是针对五个等级信息系统的基本要求)。不同等级的信息系统在相应级别安全措施
等级要求的基础上,进行安全措施的调整、定制和增强,并按照一定的划分方法组成相应的安全措施框

架,得到适用于该系统的安全措施。安全措施的调整主要依据综合平衡系统安全要求、系统所面临风险
和实施安全保护措施的成本来进行。信息系统安全措施选择的原理图如下:

等保测评三级等保—安全设计思路,安全,网络文章来源地址https://www.toymoban.com/news/detail-856310.html

到了这里,关于等保测评三级等保—安全设计思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 等保测评2.0——网络安全等级保护测评的初步了解

    一、什么是网络安全等级保护测评? 二、网络安全等级保护,保护的是什么? 等级保护对象:网络安全等级保护工作直接作用的对象。(注:主要包括信息系统、通信网络设施和数据资源等) 计算机信息系统:由计算机及其相关的配合的设备、设施(含网络)构成的,按照

    2024年04月14日
    浏览(43)
  • 网络安全等保:Oracle数据库测评

    以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。 a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; sysdba是Oracle数据库的最高权限管理员。通常使

    2024年02月13日
    浏览(31)
  • 网络安全等级保护测评——主机安全(三级)详解

    最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。 一、主机安全概念 主机指我们整个系统里面的操作系统(windows、linux),包括服务器和运维终端,在测评里主机安全被归类为安全计算环境模块(网络设备、安全设

    2024年02月04日
    浏览(37)
  • 黑龙江等保测评安全计算环境之应用系统测评项,保护网络安全。

    安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识

    2024年04月11日
    浏览(34)
  • 等保三级安全要求简要攻略-安全计算环境

    今天我们来攻略一下等保2.0国家标准中 《信息安全技术网络安全等级保护基本要求》 所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护。废话不多说直接上正题 在等保三级中分为十个大项分别是:安全物理环境、安全通信网络、安全区域边

    2024年02月10日
    浏览(26)
  • 等保三级安全要求简要攻略-安全物理环境

    之前有两篇文章写了为什么要做等保测评、等保测评的含义以及等保测评这份工作的一些职责和一些常见的FAQ,没有看过的朋友可以先去看下我的另外两篇文章:一起聊聊等保测评 和 一起聊聊等保测评工作内容以及FAQ 。 今天我们来攻略一下等保2.0国家标准中《 信息安全技

    2024年02月01日
    浏览(31)
  • 等保测评--安全物理环境--测评方法

    一、 测评对象 记录类文档和机房 二、测评实施 1)检查机房所在建筑物是否具有建筑物抗震设防审批文档; 2)检查机房门窗是否不存在因风导致的尘土严重; 3)检查机房是否不存在雨水渗漏现象; 4)检查机房屋顶、墙体、门窗和地面等是否不存在破损开裂。 三、单元判定

    2024年02月12日
    浏览(33)
  • 等保测评--安全区域边界--测评方法

    一、测评对象 网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件 二、测评实施 1)应核查在网络边界处是否部署访问控制设备; 2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略; 3)

    2024年02月11日
    浏览(31)
  • 等保测评--安全计算环境--测评方法

    一、测评对象 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统

    2024年02月12日
    浏览(37)
  • 等保测评--安全管理中心--测评方法

    一、测评对象 提供集中系统管理功能的系统; 二、测评实施 1)应核查是否对系统管理员进行身份鉴别; 2)应核查是否仅允许系统管理员通过特定的命令或操作界面进行系统管理; 3)应核查是否对系统管理的操作进行审计。 三、单元判定 如果1)-3)均为肯定,则符合本测

    2024年02月10日
    浏览(30)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包