一、二级等级保护建设方案背景
随着国家实施“互联网+”战略、互联网应用日新月异,传统的网络架构也发生了巨大变化,信息系统更加开放,面向更多的公众提供服务,接入网络更加复杂,终端分布范围更广且多样化,攻击者技术和手段不断提高,传统的安全架构和防护手段已经远不能应对新的安全风险,未来信息安全的保护需求更高。
随着信息技术在行业的广泛应用和深度融合,在系统、设备、环境等纷纷融入信息化元素的同时,也加大了攻击者对于行业相关数据的关注程度和攻击面,使支撑的底层网络系统、业务系统等在网络安全面临的威胁持续增加,单位面临更严格的信息安全监管要求,必须不断提升安全防护能力。
二、方案功能设计
1、安全技术体系设计
主要涵盖“一个中心、三重防护”;即安全运营管理中心、计算环境安全、区域边界安全、通信网络安全防护。安全运营管理中心,即构建先进高效的安全运营管理中心,实现针对系统、产品、设备、策略、信息安全事件、操作流程等的统一管理;构建安全区域边界、安全计算环境、安全通信网络三维一体的技术防御体系;通过安全技术体系实现纵深防御体系。
2、安全管理体系设计
1)建立信息安全领导小组和信息安全工作组,形成等级保护基本要求的信息安全组织体系职责;
2)建立信息安全管理制度和策略体系,形成符合等级保护基本要求的安全管理制度要求;
3)建立符合系统生命周期的安全需求、安全设计、安全建设和安全运维的运行管理要求;
4)系统安全建设过程应落实等级保护定级、备案、建设整改、测评等管理要求;
5)系统安全运营过程应落实等级保护监督检查的管理要求。
3、安全运营体系设计
通过互联网等领域所形成的新技术适当提升安全能力,强化风险应对监测、预警、防护、处置、溯源能力。建立规范的信息化安全运营体系,以安全视角规范信息系统安全运营的整个过程,形成安全业务标准与流程。建立信息安全运营中心,安全运营实行分级保障,加强安全运营的可持续性建设。
三、方案优势特点
1、整体性
网络系统是一个有机的整体,为适应目前以及未来业务发展的需要,为业务系统提供可靠的安全保障,需要有一个完整、可靠的整体安全体系。对整个网络安全防御体系实行统一规划,统一标准,并进行一体化安全建设、安全管理和安全运营;按照总体规划、部署和要求,做好各层面的统一整体建设和管理工作。
2、一致性
充分、全面、完整地对系统的安全威胁和安全风险进行分析、评估和检测;制定完善安全机制和安全服务设计,防止最常用的攻击手段,重要目标是提高整个系统的“安全最低点”的安全性能。
3、多重保护
建立系统性的安全防护措施,多层次、多维度进行多重保护,各个层次的保护相互补充,形成统一协调的安全策略,避免防护短板,层层防护,即使某一层保护被攻破,其它层保护仍可保护信息系统的安全。
4、灵活适应性
可以随着网络性能及安全需求的变化而变化,要在整个系统内尽可能引入更多的灵活自适应的因素,并具有良好的扩展性;能够为将来业务扩展提供足够的安全扩展能力。