1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》(147號令)規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”，要求實行安全等級保護。

　　1999年，國家質(zhì)量技術(shù)監(jiān)督局正式發(fā)布了強制性國家標準GB17859-l999．《計算機信息系統(tǒng)安全保護等級劃分準則》。

　　2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件)明確指出，“要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。

　　2004年9月15日，由公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合下發(fā)的《關(guān)于信息安全等級保護工作的實施意見》(66號文件)，明確了實施等級保護的基本做法。

　　2007年6月22日，又由4單位聯(lián)合下發(fā)《信息安全等級保護管理辦法》(43號文件)，規(guī)范了信息安全等級保護的管理。2007年7月20日，公安部、國務(wù)院信息辦等4部門在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”，部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作。

　　2009年10月27日，公安部下發(fā)關(guān)于印送《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》的函(公信安[2009]1429號)，要求各單位力爭在2012年底前完成已定級信息系統(tǒng)安全建設(shè)整改工作。

　　1、等級保護建設(shè)總體規(guī)劃依據(jù)

　　企業(yè)開展信息系統(tǒng)安全等級保護整改建設(shè)規(guī)劃工作時，應(yīng)依據(jù)國家對信息系統(tǒng)等級保護相關(guān)制度規(guī)范，并結(jié)合本行業(yè)主管部門的相關(guān)要求進行，如：《信息安全等級保護安全建設(shè)整改工作指南》(公信安[200911429號)；GB/T17859《計算機信息系統(tǒng)安全保護等級劃分準則》；GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》；GB/T25070-2010《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》；GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》；GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》；GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》；GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》；GB/T20273-2006《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》；GB/T20282-2006《信息安全技術(shù)信息系統(tǒng)安全程管理要求》；GA/T709-2007《信息安全技術(shù)信息系統(tǒng)安全等級保護基本模型》；GA/T710-2007《信息安全技術(shù)信息系統(tǒng)安全等級保護基本配置》。

　　2、等級保護建設(shè)總體規(guī)劃設(shè)計原則

　　等保總體規(guī)劃設(shè)計應(yīng)從技術(shù)和管理兩方面進行考慮，管理要求可參照GB/T22080～2008要求，應(yīng)遵循以下原則：

　　①合規(guī)性原則，安全防護要求應(yīng)符合國家和行業(yè)主管部門頒發(fā)的標準要求。

　　②體系性原則，等保總體規(guī)劃要遵循科學(xué)、先進的安全防護體系。

　　③風(fēng)險管理原則，根據(jù)信息系統(tǒng)面臨的安全風(fēng)險，在系統(tǒng)安全與可用性、經(jīng)濟性之間進行適當(dāng)?shù)木�衡，采取有針對性的安全防護措施。

　　④等級化原則，對不同安全等級的信息系統(tǒng)，采取相應(yīng)的安全防護措施，實現(xiàn)不同的安全防護。

　　⑤可靠性原則，確保信息系統(tǒng)安全可靠運行是等保建設(shè)總體規(guī)劃設(shè)計的根本目標。

　　⑥經(jīng)濟性原則，總體規(guī)劃設(shè)計要從經(jīng)濟性著眼。

　　3、總體設(shè)計思路

　　以信息系統(tǒng)安全等級保護基本要求為依據(jù)，信息系統(tǒng)等級保護設(shè)計技術(shù)要求為指導(dǎo)，按照“分區(qū)、分級、分域”的防護方針，將各系統(tǒng)按照其所處的網(wǎng)絡(luò)環(huán)境、應(yīng)用模式及定級等，分別劃至相應(yīng)的安全區(qū)和安全域，以“一個中心，三重防護”框架，構(gòu)建安全機制和安全策略。

　　(1)分區(qū)

　　根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模、現(xiàn)狀和承載的業(yè)務(wù)應(yīng)用系統(tǒng)，從邏輯的角度將企業(yè)網(wǎng)絡(luò)進行分區(qū)，對各分區(qū)有針對性地實施安全防護策略。如可將企業(yè)網(wǎng)絡(luò)劃分成辦公內(nèi)網(wǎng)、辦公外網(wǎng)和專用網(wǎng)絡(luò)等。

　　(2)分級

　　根據(jù)企業(yè)信息系統(tǒng)定級與備案情況，結(jié)合各信息系統(tǒng)的實際情況，將各信息系統(tǒng)按照相應(yīng)等級要求進行防護。對個別重要的信息系統(tǒng)在條件具備的情況下，可按照高等級防護要求進行防護。

　　(3)分域

　　安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)所組成的邏輯區(qū)域，同一安全域內(nèi)的系統(tǒng)共享相同的安全防護策略。如劃分成二級系統(tǒng)域、三級系統(tǒng)域、四級系統(tǒng)域等。

　　安全域劃分應(yīng)遵循以下原則：

　　①業(yè)務(wù)保障原則，安全域劃分的根本目標是能夠更好地保護網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，保障業(yè)務(wù)的正常運行和運行效率。

　　②等級化原則，根據(jù)安全域在業(yè)務(wù)支撐系統(tǒng)中的重要程度以及考慮風(fēng)險威脅、安全需求、安全成本等因素，將其劃分成不同的安全保護等級并采取相應(yīng)的安全防護措施。

　　③結(jié)構(gòu)簡化原則，安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)在邏輯上簡單化，因此安全域劃分不宜過于復(fù)雜。

　　④生命周期原則，對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還應(yīng)在一定時期內(nèi)適用于信息系統(tǒng)變化的需求。

　　⑤安全最大化原則，針對業(yè)務(wù)系統(tǒng)可能跨越多個安全域的情況，對該業(yè)務(wù)系統(tǒng)的安全防護必須要使該系統(tǒng)在全局上達到各安全域的防護要求。

　　⑥可擴展性原則，當(dāng)新的業(yè)務(wù)系統(tǒng)接人業(yè)務(wù)支撐網(wǎng)絡(luò)時，按照等級保護、對端可信度等原則，能將此業(yè)務(wù)系統(tǒng)劃分至不相應(yīng)等級安全域的子域中去。

　　4、信息安全防護設(shè)計

　　信息安全防護設(shè)計是在“分區(qū)、分級、分域”防護理念的基礎(chǔ)上，將企業(yè)的各定級系統(tǒng)的安全防護劃分為邊界安全防護、本地計算機環(huán)境安全防護、通信網(wǎng)絡(luò)安全防護及安全管理中心4個層次，并進行安全設(shè)計。

　　(1)邊界安全防護

　　區(qū)域邊界安全防護是從各個信息系統(tǒng)的業(yè)務(wù)流程的完整性上進行區(qū)分。邊界安全防護的目標是保護邊界內(nèi)的本地計算環(huán)境和通信網(wǎng)絡(luò)不會受到來自邊界外部的攻擊，同時也可以防止內(nèi)部惡意人員跨越邊界對外部的信息系統(tǒng)進行攻擊。并且當(dāng)發(fā)生安全事件后，可以提供從邊界的網(wǎng)絡(luò)訪問日志中發(fā)現(xiàn)入侵事件記錄以進行審計追蹤。

　　(2)本地計算環(huán)境安全防護

　　本地計算機環(huán)境是指對定級系統(tǒng)的信息進行存儲、處理及實施安全策略的相關(guān)部件。本地計算環(huán)境在有效的區(qū)域邊界安全防護下，可以避免受到來自外部網(wǎng)絡(luò)的攻擊和非授權(quán)訪問。因此，本地計算機環(huán)境的安全防護主要是加強各種計算機部件(如操作系統(tǒng)、數(shù)據(jù)庫等)的安全性能，防范因部件本身的脆弱性而遭受攻擊。同時，本地計算機環(huán)境的安全防護還要實現(xiàn)對來自系統(tǒng)內(nèi)部的攻擊、非授權(quán)訪問的防范，特別是內(nèi)部人員的違規(guī)操作和誤操作。

　　(3)通信網(wǎng)絡(luò)安全防護

　　通信網(wǎng)絡(luò)是在系統(tǒng)域的本地計算機環(huán)境部件之間進行信息傳輸，實施安全策略的相關(guān)部件，包括各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路和通過網(wǎng)絡(luò)傳輸?shù)男畔⒘鳌Ｍㄐ啪W(wǎng)絡(luò)可能位于系統(tǒng)域的邊界內(nèi)部，也可能位于邊界外部，特別是網(wǎng)絡(luò)信息流可能需要通過未知的網(wǎng)絡(luò)環(huán)境傳輸。因此，通信網(wǎng)絡(luò)的安全防護既要保證網(wǎng)絡(luò)設(shè)備自身的安全，防范其受到攻擊和非授權(quán)訪問，又要保證網(wǎng)絡(luò)信息流的安全，保護網(wǎng)絡(luò)信息流的保密性和完整性。如果在通信環(huán)節(jié)出現(xiàn)了問題，那么也就失去了信息安全的基礎(chǔ)。

　　(4)安全管理中心

　　安全管理中心作為信息系統(tǒng)的核心安全管理平臺，是對信息系統(tǒng)的各種安全機制進行管理使其發(fā)揮應(yīng)有安全作用的重要環(huán)節(jié)。可以作為對整個企業(yè)信息系統(tǒng)及其各個系統(tǒng)域的本地計算機環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等環(huán)節(jié)的安全保護措施，進行統(tǒng)一的協(xié)調(diào)和調(diào)度，從而實現(xiàn)包含用戶身份、授權(quán)、訪問控制、操作審計等全過程的安全管理措施，并實現(xiàn)集中事件和風(fēng)險管理，發(fā)揮出整體安全防護系統(tǒng)的作用。

　　5、結(jié)語

　　隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，各類新的攻擊手段和威脅形式將會不斷出現(xiàn)，信息系統(tǒng)面臨的風(fēng)險也將不斷地發(fā)生變化。同時，隨著業(yè)務(wù)的發(fā)展和安全需求的變化，對信息系統(tǒng)的要求也會產(chǎn)生相應(yīng)的變化，原有信息系統(tǒng)的安全防護等級也會隨之進行相應(yīng)的調(diào)整。并且信息安全等級保護相關(guān)標準規(guī)范也會不斷地進行調(diào)整與優(yōu)化。因此，企業(yè)的信息系統(tǒng)等級保護建設(shè)總體規(guī)劃思路與相關(guān)方案也需不斷進行調(diào)整與優(yōu)化，確保各類信息系統(tǒng)的安全防護水平符合國家和行業(yè)相關(guān)標準規(guī)范要求。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：企業(yè)等保建設(shè)總體規(guī)劃

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112184518.html