|
政府信息化網(wǎng)絡(luò)規(guī)劃及網(wǎng)絡(luò)安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁(yè))具有對(duì)系統(tǒng)資源����、用戶(hù)��、安全機(jī)制等進(jìn)行集中控管的能力���。
2.1.4. 電子政務(wù)信息安全等級(jí)保護(hù)定級(jí)原則
電子政務(wù)信息安全等級(jí)保護(hù)遵循以下原則:
重點(diǎn)保護(hù)原則
電子政務(wù)等級(jí)保護(hù)要突出重點(diǎn)��。對(duì)關(guān)系國(guó)家安全�、經(jīng)濟(jì)命脈��、社會(huì)穩(wěn)定等方面的重要電子政務(wù)系統(tǒng)�����,應(yīng)集中資源優(yōu)先建設(shè)��。
“誰(shuí)主管誰(shuí)負(fù)責(zé)��、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則
電子政務(wù)等級(jí)保護(hù)要貫徹“誰(shuí)主管誰(shuí)負(fù)責(zé)���、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則,由各主管部門(mén)和運(yùn)營(yíng)單位依照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)�,自主確定電子政務(wù)系統(tǒng)的安全等級(jí)并按照相關(guān)要求組織實(shí)施安全保障。
分區(qū)域保護(hù)原則
電子政務(wù)等級(jí)保護(hù)要根據(jù)各地區(qū)��、各行業(yè)電子政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平���,分類(lèi)��、分級(jí)�����、分階段進(jìn)行實(shí)施�,通過(guò)劃分不同的安全區(qū)域�,實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。
同步建設(shè)原則
電子政務(wù)系統(tǒng)在新建��、改建����、擴(kuò)建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施,保證信息安全與信息化建設(shè)相適應(yīng)���。
動(dòng)態(tài)調(diào)整原則
由于信息與信息系統(tǒng)的應(yīng)用類(lèi)型��、覆蓋范圍�、外部環(huán)境等約束條件處于不斷變化與發(fā)展之中��,因此信息與信息系統(tǒng)的安全保護(hù)等級(jí)需要根據(jù)變化情況,適時(shí)重新確定�,并相應(yīng)調(diào)整對(duì)應(yīng)的保護(hù)措施。
2.1.5. 電子政務(wù)等級(jí)保護(hù)的基本安全要求
電子政務(wù)等級(jí)保護(hù)基本安全要求是對(duì)各等級(jí)電子政務(wù)系統(tǒng)的一般性要求�����,分為五個(gè)等級(jí)����,從第一級(jí)至第五級(jí),對(duì)應(yīng)于五個(gè)等級(jí)的電子政務(wù)系統(tǒng)����。對(duì)特定電子政務(wù)系統(tǒng)的安全保護(hù),以其相應(yīng)等級(jí)的基本安全要求為基礎(chǔ)�,通過(guò)對(duì)安全措施的調(diào)整和定制��,得到適用于該電子政務(wù)系統(tǒng)的安全保護(hù)措施�。
電子政務(wù)等級(jí)保護(hù)基本安全要求分為安全策略、安全組織����、安全技術(shù)和安全運(yùn)行四個(gè)方面。
安全策略
安全策略是為了指導(dǎo)和規(guī)范電子政務(wù)信息安全工作而制定的安全方針�����、管理制度、規(guī)范標(biāo)準(zhǔn)����、操作流程和記錄模板等文檔的總和。安全策略具有層次化的結(jié)構(gòu)��,包括整體安全策略��、部門(mén)級(jí)安全策略����、系統(tǒng)級(jí)安全策略等。
安全組織
安全組織是為了保障電子政務(wù)信息安全而建立的組織體系��,包括各級(jí)安全組織機(jī)構(gòu)����、崗位安全職責(zé)、人員安全管理����、第三方安全管理、安全合作與溝通等方面。
安全技術(shù)
安全技術(shù)是指保障電子政務(wù)信息安全的安全技術(shù)功能要求和安全技術(shù)保障要求����,包括網(wǎng)絡(luò)與通訊安全、主機(jī)與平臺(tái)安全���、數(shù)據(jù)庫(kù)安全��、應(yīng)用安全��、數(shù)據(jù)安全���、物理環(huán)境安全等方面。
安全運(yùn)行
安全運(yùn)行是為了保障電子政務(wù)系統(tǒng)運(yùn)行過(guò)程中的安全而制定的安全運(yùn)維要求�����,包括風(fēng)險(xiǎn)管理�����、配置和變更管理���、信息系統(tǒng)工程安全管理、日常運(yùn)行管理、技術(shù)資料安全����、應(yīng)急響應(yīng)等方面。具體的電子政務(wù)等級(jí)保護(hù)基本安全要求參見(jiàn)相關(guān)的國(guó)家標(biāo)準(zhǔn)����。
2.2 安全域風(fēng)險(xiǎn)分析
2.2.1風(fēng)險(xiǎn)來(lái)源分析
風(fēng)險(xiǎn)來(lái)源 技術(shù)應(yīng)對(duì)措施
內(nèi)部員工 對(duì)內(nèi)部員工的辦公區(qū)域進(jìn)行嚴(yán)格劃分,并采用防火墻�、交換機(jī)的ACL進(jìn)行訪問(wèn)控制,邏輯隔離不同部門(mén)的員工����,并根據(jù)需求設(shè)置訪問(wèn)控制策略,將風(fēng)險(xiǎn)控制在最小范圍內(nèi)���;
對(duì)于內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和審計(jì):
a. 禁止終端PC連接互聯(lián)網(wǎng)����;
b. 能夠防止終端PC的非法外聯(lián)��;
c. 終端PC登錄網(wǎng)絡(luò)�,需要經(jīng)過(guò)網(wǎng)絡(luò)層的訪問(wèn)控制和用戶(hù)名、口令的認(rèn)證��;
針對(duì)內(nèi)部員工的用戶(hù)終端,采用主動(dòng)檢查及防御的思路��,加強(qiáng)其抗風(fēng)險(xiǎn)能力����,確保員工的正常使用;
a. 定期對(duì)用戶(hù)終端進(jìn)行脆弱性?huà)呙����,及時(shí)發(fā)現(xiàn)問(wèn)題并修補(bǔ);
b. 采用桌面管理系統(tǒng)對(duì)用戶(hù)終端進(jìn)行自動(dòng)補(bǔ)丁修補(bǔ)���;
c. 由運(yùn)維人員設(shè)置對(duì)終端的安全策略�,經(jīng)由桌面管理系統(tǒng)進(jìn)行統(tǒng)一實(shí)施���;
第三方外
包人員 用交換機(jī)上的ACL單獨(dú)劃分第三方外包人員區(qū)域(包括第三方IT運(yùn)維人員����、開(kāi)發(fā)人員��、測(cè)試人員)����,并根據(jù)訪問(wèn)需求設(shè)置訪問(wèn)控制策略,嚴(yán)格控制第三方外包人員能夠訪問(wèn)和禁止訪問(wèn)的資源���;
對(duì)第三方的IT運(yùn)維人員進(jìn)行身份行為審計(jì)���,并實(shí)現(xiàn)從事前、事中�����、事后的管理:
a. 事前――為運(yùn)維人員頒發(fā)數(shù)字證書(shū)��,并進(jìn)行細(xì)粒度的權(quán)限設(shè)置���;
b. 事中――對(duì)在第三方運(yùn)維人員的身份確認(rèn)����,行進(jìn)行命令級(jí)的訪問(wèn)控制���;
c. 事后――對(duì)運(yùn)維人員的行文進(jìn)行記錄�����、分析�、審計(jì)。
針對(duì)第三方的開(kāi)發(fā)�����、測(cè)試人員的終端行為進(jìn)行監(jiān)管����、審計(jì),并嚴(yán)格控制該區(qū)域的非法外聯(lián)��、非法接入行為�;
外聯(lián)單位 通過(guò)防火墻、UTM�、交換機(jī)的ACL、路由器的路由控制設(shè)置嚴(yán)格的訪問(wèn)控制策略�����,嚴(yán)格分支機(jī)構(gòu)及外聯(lián)單位能訪問(wèn)和不能訪問(wèn)的資源�;
通過(guò)防火墻、U(未完���,下一頁(yè))
|