安全資訊

安徽天柱山旅游職業(yè)學(xué)院等級保護測評及安全整改工作啟動(dòng)

潛山市公安局網(wǎng)安大隊民警受邀參加天柱山旅游職業(yè)學(xué)院等四家等保單位的信息系統等級保護測評工作啟動(dòng)會(huì )。
會(huì )上等保測評機構介紹了本次測評工作的各環(huán)節后，該局網(wǎng)安大隊民警向各單位強調了國家對網(wǎng)絡(luò )安全的重視，針對信息系統安全等級保護出臺的相關(guān)的政策法規和行業(yè)規范，強調了等級保護測評工作對單位信息安全的重要性，要求各相關(guān)部門(mén)要重視此項工作，積極配合完成等保測試工作，以及需要各相關(guān)部門(mén)進(jìn)行配合的工作。

一、安全建設整改概述

1、工作目標

網(wǎng)絡(luò )安全等級保護安全建設整改的工作目標可概括為：利用三年時(shí)間，開(kāi)展三項重點(diǎn)工作，實(shí)現五方面目標。

① 三年時(shí)間。由于一些重要行業(yè)信息系統較多，受資金、人員等條件限制，考慮實(shí)際情況，全國已定級信息系統安全建設整改工作總體上用三年時(shí)間完成。各行業(yè)主管（監管）部門(mén)應按照時(shí)間要求，根據本行業(yè)信息系統數量和實(shí)際情況，合理部署總體工作進(jìn)度。

② 三項重點(diǎn)工作。通過(guò)組織開(kāi)展安全管理制度建設、技術(shù)措施建設和等級測評等三項重點(diǎn)工作，落實(shí)制度的各項要求。

③ 五方面目標。通過(guò)開(kāi)展安全建設整改工作，達到五方面的目標：一是信息系統安全管理水平明顯提高，二是信息系統安全防范能力明顯增強，三是信息系統安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會(huì )秩序和公共利益。

2、工作內容

各單位、各部門(mén)在主旨開(kāi)展信息系統定級時(shí)，是按照有關(guān)標準要求，對每個(gè)業(yè)務(wù)系統進(jìn)行定級，但在開(kāi)展信息系統安全建設整改時(shí)，可以采取“分區、分域”的方法，按照“整改保護”的原則進(jìn)行整改方案設計，對信息系統進(jìn)行加固改造，缺什么補什么。對于新建系統，在規劃設計時(shí)應確定信息系統安全保護等級，按照信息系統等級，同步規劃、同步設計、同步實(shí)施安全保護技術(shù)措施。

（1）網(wǎng)絡(luò )安全等級保護安全管理制度建設

① 開(kāi)展安全管理制度建設的依據

按照《管理辦法》、《信息系統安全等級保護基本要求》，參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規范要求，建立健全并落實(shí)符合相應等級要求的安全管理制度。

② 開(kāi)展安全管理制度建設的內容

一是落實(shí)責任制。成立工作領(lǐng)導機構，明確工作的主管領(lǐng)導。成立專(zhuān)門(mén)的管理部門(mén)或落實(shí)責任部門(mén)，確定安全崗位，落實(shí)專(zhuān)職人員兼職人員。明確落實(shí)領(lǐng)導機構、責任部門(mén)和有關(guān)人員的責任。

二是落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培訓等管理制度，落實(shí)管理的具體措施。對安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓、考核和安全保密教育，提高安全崗位人員的專(zhuān)業(yè)水平，逐步實(shí)現安全崗位人員持證上崗。

三是落實(shí)系統建設管理制度。建立信息系統定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開(kāi)發(fā)、工程實(shí)施、驗收交付、等級測評、安全服務(wù)等管理制度，明確工作內容、工作方法、工作流程和工作要求。

四是落實(shí)系統運維管理制度。建立機房環(huán)境安全、存儲介質(zhì)安全、設備設施安全、安全監控、、系統安全、惡意代碼防范、保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開(kāi)展演練，采取相應的管理技術(shù)措施和手段，確保系統運維管理制度的有效落實(shí)。

③ 開(kāi)展安全管理制度建設的要求

在具體實(shí)施過(guò)程中，可逐項建立管理制度，也可以進(jìn)行整合，形成完善的安全管理體系。要根據具體情況，結合系統管理實(shí)際，不斷健全完善管理制度。同時(shí)，將管理制度與管理技術(shù)措施有機結合，確保安全管理制度得到有效落實(shí)。

建立并落實(shí)監督檢查機制。備案單位定期對各項制度的落實(shí)情況進(jìn)行自查，行業(yè)主管部門(mén)組織開(kāi)展督導檢查，公安機關(guān)會(huì )同主管部門(mén)開(kāi)展監督檢查。

（2）開(kāi)展網(wǎng)絡(luò )安全等級保護安全技術(shù)措施建設

① 開(kāi)展安全技術(shù)措施建設的依據

按照《管理辦法》、《基本要求》，參照《實(shí)施指南》、《信息系統通用安全技術(shù)要求》、《信息系統安全工程管理要求》、《安全設計技術(shù)要求》等標準規范要求，建設信息系統安全保護技術(shù)措施。

② 開(kāi)展安全技術(shù)措施建設的內容

結合行業(yè)特點(diǎn)和安全需求，制定符合相應等級要求的信息系統安全技術(shù)建設整改方案，開(kāi)展技術(shù)措施建設，落實(shí)相應的物理安全、、主機安全、應用安全和等安全保護技術(shù)措施。在信息系統安全技術(shù)建設整改中，可以采取“一個(gè)中心、三維防護”（即一個(gè)安全管理中心和計算環(huán)境安全、區域邊界安全和通信）的防護策略，實(shí)現相應級別信息系統的安全保護技術(shù)要求，建立并完善信息系統綜合防護體系，提高信息系統的能力和水平。

③ 開(kāi)展安全技術(shù)措施建設的要求

備案單位要開(kāi)展信息系統安全保護現狀分析，確定信息系統安全技術(shù)建設整改需求，制定信息系統安全技術(shù)建設整改方案，組織實(shí)施信息系統安全建設整改工程，開(kāi)展安全自查和等級測評，及時(shí)發(fā)現信息系統中存在的安全隱患和威脅，進(jìn)一步開(kāi)展安全建設整改工作。

3、工作流程

安全建設整改工作可以分為五步進(jìn)行。

第一步：落實(shí)負責安全建設整改工作的責任部門(mén)，由責任部門(mén)牽頭制定本單位和行業(yè)信息系統安全建設整改工作規劃，對安全建設整改工作進(jìn)行總體部署。

第二步：開(kāi)展信息系統安全保護現狀分析，從管理和技術(shù)兩方面確定信息系統安全建設整改需求?？梢砸罁痘疽蟆返葮藴?，采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全保護措施與等級保護標準要求之間的差距，分析系統已發(fā)生的事件或事故，分析安全保護方面存在的問(wèn)題，形成安全建設整改的需求并論證。

第三步：確定安全保護策略，制定信息系統安全建設整改方案。在安全需求分析的基礎上，進(jìn)行信息系統安全建設整改方案設計，包括總體設計和詳細設計，制定工程預算和工程實(shí)施計劃等，為后續安全建設整改工程實(shí)施提供依據。安全建設整改方案須經(jīng)專(zhuān)家評審論證，第三級（含）以上信息系統安全建設整改方案應報公安機關(guān)備案，公安機關(guān)監督檢查備案單位安全建設整改方案的實(shí)施。

第四步：開(kāi)展信息系統安全建設整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責任制，建設安全設施，落實(shí)安全措施；在實(shí)施安全建設整改過(guò)程中，需要加強投資風(fēng)險控制、實(shí)施流程管理、進(jìn)度規劃控制、工程質(zhì)量控制和信息保密管理。

第五步：開(kāi)展安全自查和等級測評，及時(shí)發(fā)現信息系統中存在安全隱患和威脅。制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實(shí)情況，并不斷完善。定期對信息系統安全狀況進(jìn)行自查，第三級信息系統每年自查一次，第四級信息系統每半年自查一次。經(jīng)自查，信息系統安全狀況未達到安全保護等級要求的，應當進(jìn)一步開(kāi)展整改工作。該流程如圖1所示。

圖1 信息系統整改工作流程

4、工作要求

目前，存在一些單位和部門(mén)尚未開(kāi)展信息系統定級備案工作，存在漏定級、漏備案和定級不準等情況，所以，各行業(yè)主管（監管）部門(mén)應在公安部指導下出臺行業(yè)信息系統定級制度意見(jiàn)和要求。先解決備案工作中存在的突出問(wèn)題，在此基礎上開(kāi)展安全整改工作。整改范圍如下：一是各單位、各部門(mén)要將已備案的第二級（含）以上信息系統納入安全建設整改的范圍。二是尚未開(kāi)展定級備案的信息系統，要先定級備案，再開(kāi)展安全建設整改。三是新建系統要同步開(kāi)展安全建設工作。在建設整改中，要落實(shí)如下工作要求。

（1）統一組織，加強領(lǐng)導

要按照“誰(shuí)主管、誰(shuí)負責”的原則，切實(shí)加強對網(wǎng)絡(luò )安全等級保護安全建設整改工作的組織領(lǐng)導，完善工作機制。要結合各自實(shí)際，統一規劃和部署安全建設整改工作，制定安全建設整改工作實(shí)施方案。要落實(shí)責任部門(mén)、責任人員和安全建設整改經(jīng)費。要利用多種形式，組織開(kāi)展宣傳、培訓工作。

（2）循序漸進(jìn)，分步實(shí)施

信息系統主管部門(mén)可以結合本行業(yè)、本部門(mén)信息系統數量、等級、規模等實(shí)際情況，按照自上而下或先重點(diǎn)后一般的順序開(kāi)展。重點(diǎn)行業(yè)、部門(mén)可以根據需要和實(shí)際情況，選擇有代表性的第二、三、四級信息系統先進(jìn)行安全建設整改和等級測評工作試點(diǎn)、示范，在總結經(jīng)驗的基礎上全面推開(kāi)。

（3）結合實(shí)際，制定規范

重點(diǎn)行業(yè)信息系統主管部門(mén)可以按照《基本要求》等國家標準，結合行業(yè)特點(diǎn)，確定《基本要求》的具體指標；在不低于基本要求的情況下，結合系統安全保護的特殊需求，在有關(guān)部門(mén)指導下制定行業(yè)標準規范或細則，指導本行業(yè)信息系統安全建設整改工作。

（4）認真總結，按時(shí)報送

要對定級備案、等級測評、安全建設整改和自查等工作開(kāi)展情況進(jìn)行年度總結，于每年年底前報同級公安機關(guān)網(wǎng)安部門(mén)，各?。ㄗ灾螀^、直轄市）公安機關(guān)網(wǎng)安部門(mén)報公安部保衛局。信息系統備案單位每半年要填寫(xiě)《網(wǎng)絡(luò )安全等級保護安全建設整改工作情況統計表》并報受理備案的公安機關(guān)。

5、整改效果

依據有關(guān)政策和標準，通過(guò)組織開(kāi)展安全管理制度建設、技術(shù)措施建設和等級測評，落實(shí)制度的各項要求，使信息系統安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護、社會(huì )秩序和公共利益。其整改效果，按照等級要求如下。

第一級信息系統：經(jīng)過(guò)安全建設整改，信息系統具有抵御一般性攻擊的能力，防范常見(jiàn)計算機病毒和惡意代碼危害的能力；系統遭到損害后，具有恢復系統主要功能的能力。

第二級信息系統：經(jīng)過(guò)安全建設整改，信息系統具有抵御小規模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見(jiàn)的攻擊行為，并對安全事件進(jìn)行記錄的能力；系統遭到損害后，具有恢復系統正常運行狀態(tài)的能力。

第三級信息系統：經(jīng)過(guò)安全建設整改，信息系統在統一的安全保護策略下具有抵御大規模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進(jìn)行響應處置，并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統，應能快速恢復正常運行狀態(tài)；具有對系統資源、用戶(hù)、安全機制等進(jìn)行集中控管的能力。

第四級信息系統：經(jīng)過(guò)安全建設整改，信息系統在統一的安全保護策略下具有抵御敵對勢力有組織的大規模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進(jìn)行快速響應處置，并能夠追蹤安全責任的能力；在系統遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統，應能立即恢復正常運行狀態(tài)；具有對系統資源、用戶(hù)、安全機制等進(jìn)行集中控管的能力。

二、如何整改安全管理制度

按照國家有關(guān)規定，依據《基本要求》，參照《信息系統安全管理要求》等標準規范要求，開(kāi)展信息系統等級保護安全管理制度建設工作，如圖2所示。

圖2 安全管理制度建設工作內容

1、落實(shí)網(wǎng)絡(luò )安全責任制

明確領(lǐng)導機構和責任部門(mén)，設立或明確領(lǐng)導機構，明確主管領(lǐng)導，落實(shí)責任部門(mén)。建立崗位和人員管理制度，根據職責分工，分別設置安全管理機構和崗位，明確每個(gè)崗位的職責與任務(wù)，落實(shí)安全管理責任制。建立安全教育和培訓制度，對信息系統人員、管理人員、使用人員等定期進(jìn)行培訓和考核，提高相關(guān)人員的安全意識和操作水平。具體依據《基本要求》中的“安全管理機構”內容，同時(shí)可以參照《信息系統安全管理要求》等。

落實(shí)安全責任制的具體措施還應參照執行相關(guān)管理規定。

2、開(kāi)展安全管理現狀分析

在開(kāi)展信息系統安全管理建設之前，通過(guò)開(kāi)展信息系統安全管理現狀分析，查找信息系統安全管理建設整改需要解決的問(wèn)題，明確信息系統安全管理建設整改的需求。

可以采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全管理措施與等級保護標準之間的差距，分析系統已發(fā)生的事故或事件，分析安全管理方面存在的問(wèn)題，形成安全管理建設整改的需求并論證。

3、制定安全管理制度

根據安全管理需求，確定安全管理目標和安全策略，針對信息系統的各類(lèi)管理活動(dòng)，制定人員安全管理制度、系統建設管理制度、系統運維管理制度、定期檢查制度等，規范安全管理人員或操作人員的操作規程等，形成安全管理體系。

在制定安全管理制度是，要按照《管理辦法》、《基本要求》，參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規范要求，建立健全并落實(shí)符合相應等級要求的安全管理制度。主要內容要求如下：制定責任制度，明確工作的主管領(lǐng)導、責任部門(mén)、人員及有關(guān)崗位的責任；制定人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內容；制定系統建設管理制度，明確系統定級備案、方案設計、產(chǎn)品采購使用、使用、軟件開(kāi)發(fā)、工程實(shí)施、驗收交付、等級測評、安全服務(wù)等管理內容；制定系統管理制度，明確機房環(huán)境安全、存儲介質(zhì)安全、設備設施安全、安全監控、、系統安全、惡意代碼防范、保護、備份與恢復、事件處置、應急預案等管理內容。制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實(shí)情況，并不斷完善。

安全管理體系規劃的核心思想是調整原有管理模式和管理策略，即從全局高度考慮整個(gè)信息系統制定安全管理目標和統一的安全管理策略，又要從每個(gè)定級系統的實(shí)際等級、實(shí)際需求出發(fā)，選擇和調整安全管理措施，最后形成統一的系統整體安全管理體系。

4、落實(shí)安全管理措施

（1）人員安全管理

人員安全管理主要包括人員錄用、離崗、考核、教育培訓等內容。規范人員錄用、離崗、過(guò)程，關(guān)鍵崗位簽署保密協(xié)議，對各類(lèi)人員進(jìn)行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓，對關(guān)鍵崗位的人員進(jìn)行全面、嚴格的安全審查和技能考核。對外部人員允許訪(fǎng)問(wèn)的區域、系統、設備、信息等進(jìn)行控制。具體依據《基本要求》中的“人員安全管理”內容，同時(shí)可以參照《信息系統安全管理要求》等。

（2）系統運維管理

① 環(huán)境和資產(chǎn)安全管理

明確環(huán)境（包括主機房、輔機房、辦公環(huán)境等）安全管理的責任部門(mén)或責任人，加強對人員出入、來(lái)訪(fǎng)人員的控制，對有關(guān)物理訪(fǎng)問(wèn)、物品進(jìn)出和環(huán)境安全等方面作出規定。對重要區域設置門(mén)禁控制手段，或使用視頻監控等措施。明確資產(chǎn)（包括介質(zhì)、設備、設施、數據和信息等）安全管理的責任部門(mén)或責任人，對資產(chǎn)進(jìn)行分類(lèi)、標識，編制與信息系統相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據《基本要求》中的“系統運維管理”內容，同時(shí)可以參照《信息系統安全管理要求》等。

② 設備和介質(zhì)安全管理

明確配套設施、軟硬件設備管理、維護的責任部門(mén)或責任人，對信息系統的各種軟硬件設備采購、發(fā)放、領(lǐng)用、維護和維修等過(guò)程進(jìn)行控制，對介質(zhì)的存放、使用、維護和銷(xiāo)毀等方面作出規定，加強對涉外維修、敏感數據銷(xiāo)毀等過(guò)程的監督控制。具體依據《基本要求》中的“系統運維管理”內容，同時(shí)可以參照《信息系統安全管理要求》等。

③ 日常運行維護

明確網(wǎng)絡(luò )、系統日常運行維護的責任部門(mén)或責任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過(guò)程進(jìn)行控制和管理，制訂相應的管理制度和操作規程并落實(shí)執行。具體依據《基本要求》中的“系統運維管理”內容，同時(shí)可以參照《信息系統安全管理要求》等。

④ 集中安全管理

第三級（含）以上信息系統應按照統一的安全策略、安全管理要求，統一管理信息系統的安全運行，進(jìn)行安全機制的配置與管理，對設備安全配置、惡意代碼、補丁升級、安全審計等進(jìn)行管理，對與安全有關(guān)的信息進(jìn)行匯集與分析，對安全機制進(jìn)行集中管理。具體依據《基本要求》中的“系統管理”內容，同時(shí)可以參照《安全設計技術(shù)要求》和《信息系統安全管理要求》等。

⑤ 事件處置與應急響應

按照國家有關(guān)標準規定，確定事件的等級。結合等級，制定事件分級應急處置預案，明確應急處置策略，落實(shí)應急指揮部門(mén)、執行部門(mén)和技術(shù)支撐部門(mén)，建立應急協(xié)調機制。落實(shí)安全事件報告制度，第三級（含）以上信息系統發(fā)生較大、重大、特別重大安全事件時(shí)，運營(yíng)使用單位按照相應預案開(kāi)展應急處置，并及時(shí)向受理備案的公安機關(guān)報告。組織應急技術(shù)支撐力量和專(zhuān)家隊伍，按照應急預案定期組織開(kāi)展應急演練。具體依據《基本要求》中的“系統管理”內容，同時(shí)可以參照《事件分類(lèi)分級指南》和《事件管理指南》等。

⑥ 災難備份

要對第三級（含）以上信息系統采取災難備份措施，防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務(wù)信息、系統數據及軟件系統等，制定數據的備份策略和恢復策略，建立備份與恢復管理相關(guān)的安全管理制度。具體依據《基本要求》中的“系統運維管理”內容和《信息系統災難恢復規范》。

⑦ 安全監測

開(kāi)展信息系統實(shí)時(shí)安全監測，實(shí)現對物理環(huán)境、通信線(xiàn)路、主機、網(wǎng)絡(luò )設備、用戶(hù)行為和業(yè)務(wù)應用等的監測和報警，及時(shí)發(fā)現設備故障、入侵、攻擊、誤用和誤操作等安全事件，以便及時(shí)對安全事件進(jìn)行響應與處置。具體依據《基本要求》中的“系統管理”。

⑧ 其他安全管理

對系統運行維護過(guò)程中的其他活動(dòng)，如系統變更、密碼使用等進(jìn)行控制和管理。按國家密碼管理部門(mén)的規定，對信息系統中密碼和密鑰的使用進(jìn)行分級管理。

5、加強系統建設過(guò)程管理

制定系統建設相關(guān)的管理制度，明確系統定級備案、方案設計、產(chǎn)品采購使用、軟件開(kāi)發(fā)、工程實(shí)施、驗收交付、等級測評、安全服務(wù)等內容的管理責任部門(mén)、具體管理內容和控制方法，并按照管理制度落實(shí)各項管理措施。

具體依據《基本要求》中的“系統建設管理”內容。

6、定期組織安全自查

制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實(shí)情況，并不斷完善。定期對信息系統安全狀況進(jìn)行自查，第三級信息系統每年自查一次，第四級信息系統每半年自查一次。經(jīng)自查，信息系統安全狀況未達到安全保護等級要求的，應當進(jìn)一步開(kāi)展整改。具體依據《基本要求》中的“安全管理機構”內容，同時(shí)可以參照《信息系統安全管理要求》等。信息系統安全管理建設整改工作完成后，安全管理方面的等級測評與安全技術(shù)方面的測評工作一并進(jìn)行。

三、如何整改安全技術(shù)措施

按照國家有關(guān)規定，依據《基本要求》，參照《信息系統通用安全技術(shù)要求》、《信息系統等級保護安全設計技術(shù)要求》等標準規范要求，開(kāi)展信息系統安全技術(shù)建設工作。工作流程如圖3所示。

圖3 技術(shù)措施建設工作

1、開(kāi)展安全保護技術(shù)現狀分析

了解掌握信息系統現狀，分析信息系統的安全保護狀況，明確信息系統安全技術(shù)建設整改需求，為安全建設整改技術(shù)方案設計提供依據。

（1）信息系統現狀分析

了解掌握信息系統的數量和等級、所處的網(wǎng)絡(luò )區域以及信息系統所承載的業(yè)務(wù)應用情況，分析信息系統的邊界、構成和相互關(guān)聯(lián)情況，分析網(wǎng)絡(luò )結構、內部區域、區域邊界以及軟、硬件資源等。具體可以參照《信息系統安全等級保護實(shí)施指南》中“信息系統分析”的內容。

（2）信息系統安全保護技術(shù)現狀分析

在開(kāi)展信息系統安全技術(shù)建設整改之前，應通過(guò)開(kāi)展信息系統安全保護技術(shù)現狀分析，查找信息系統安全保護技術(shù)建設整改需要解決的問(wèn)題，明確信息系統安全保護技術(shù)建設整改的需求。

可采取對照檢查、風(fēng)險評估、等級測評等方法，分析判斷目前所采取的安全技術(shù)措施與標準要求之間的差距，分析系統已發(fā)生的事件或事故，分析安全技術(shù)方面存在的問(wèn)題，形成安全技術(shù)建設整改的基本安全需求。在滿(mǎn)足基本要求基礎上，可以結合行業(yè)特點(diǎn)和信息系統安全保護的特殊要求，提出特殊安全需求。具體可以參照《基本要求》、《測評要求》和《測評過(guò)程指南》等標準。

（3）安全需求論證和確定

安全需求分析工作完成后，將信息系統的安全管理需求與安全技術(shù)需求綜合形成安全需求報告。組織專(zhuān)家對安全需求進(jìn)行評審論證，形成評審論證意見(jiàn)。

2、設計安全技術(shù)建設整改方案

在安全需求分析的基礎上，開(kāi)展信息系統安全建設整改方案設計，包括總體設計和詳細設計，制定工程預算和工程實(shí)施計劃等，為后續安全建設整改工程實(shí)施提供依據。

（1）確定安全技術(shù)策略，設計總體技術(shù)方案

① 確定安全技術(shù)策略

根據安全需求分析，確定安全技術(shù)策略，包括業(yè)務(wù)系統分級策略、數據信息分級策略、區域互連策略和信息流控制策略等，用以指導系統安全技術(shù)體系結構設計。

② 設計總體技術(shù)方案

在進(jìn)行信息系統安全建設整改技術(shù)方案設計時(shí)，應以《基本要求》為基本目標，可以針對安全現狀分析發(fā)現的問(wèn)題進(jìn)行加固改造，缺什么補什么；也可以進(jìn)行總體的安全技術(shù)設計，將不同區域、不同層面的安全保護措施形成有機的安全保護體系，落實(shí)物理安全、、主機安全、應用安全和等方面基本要求，最大程度發(fā)揮安全措施的保護能力。在進(jìn)行安全技術(shù)設計時(shí)，可參考《安全設計技術(shù)要求》，從安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )和安全管理中心等方面落實(shí)安全保護技術(shù)要求。

（2）安全技術(shù)方案詳細設計

① 物理安全設計

從安全技術(shù)設施和安全技術(shù)措施兩方面對信息系統所涉及的主機房、輔助機房和辦公環(huán)境等進(jìn)行設計，設計內容包括防震、防雷、防火、防水、防盜竊、防破壞、溫濕度控制、電力供應、電磁防護等方面。設計是對采用的安全技術(shù)設施或安全技術(shù)措施的物理部署、物理尺寸、功能指標、性能指標等內容提出具體設計參數。具體依據《基本要求》中的“”內容，同時(shí)可以參照《信息系統技術(shù)要求》等。

② 通信網(wǎng)絡(luò )安全設計

對信息系統所涉及的通信網(wǎng)絡(luò )，包括骨干網(wǎng)絡(luò )、城域網(wǎng)絡(luò )和其他通信網(wǎng)絡(luò )（租用線(xiàn)路）等進(jìn)行安全設計，設計內容包括通信過(guò)程數據完整性、數據保密性、保證通信可靠性的設備和線(xiàn)路冗余、通信網(wǎng)絡(luò )的網(wǎng)絡(luò )管理等方面。通信設計涉及所需采用的安全技術(shù)機制或安全技術(shù)措施的設計，對技術(shù)實(shí)現機制、產(chǎn)品形態(tài)、具體部署形式、功能指標、性能指標和配置參數等提出具體設計細節。具體依據《基本要求》中“”內容，同時(shí)可以參照《網(wǎng)絡(luò )基礎安全技術(shù)要求》等。

③ 區域邊界安全設計

對信息系統所涉及的區域進(jìn)行安全設計，內容包括對區域網(wǎng)絡(luò )的邊界保護、區域劃分、、訪(fǎng)問(wèn)控制、安全審計、入侵防范、惡意代碼防范和網(wǎng)絡(luò )設備自身保護等方面。區域邊界安全設計涉及所需采用的安全技術(shù)機制或安全技術(shù)措施的設計，對技術(shù)實(shí)現機制、產(chǎn)品形態(tài)、具體部署形式、功能指標、性能指標和配置策略和參數等提出具體設計細節。具體依據《基本要求》中的“”內容，同時(shí)可以參照《安全設計技術(shù)要求》、《網(wǎng)絡(luò )基礎安全技術(shù)要求》等。

④ 主機系統安全設計

對信息系統涉及的和工作站進(jìn)行主機系統安全設計，內容包括或管理系統的選擇、安裝和安全配置，主機入侵防范、惡意代碼防范、資源使用情況監控等。其中，安全配置細分為身份鑒別、訪(fǎng)問(wèn)控制、安全審計等方面的配置內容。具體依據《基本要求》中的“”內容，同時(shí)可以參照《安全設計技術(shù)要求》、《信息系統通用安全技術(shù)要求》等。

⑤ 應用系統安全設計

對信息系統涉及的應用系統軟件（含應用/中間件平臺）進(jìn)行安全設計，設計內容包括身份鑒別、訪(fǎng)問(wèn)控制、安全標記、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴(lài)、軟件容錯和資源控制等。具體依據《基本要求》中的“”內容，同時(shí)可以參考《安全設計技術(shù)要求》、《信息系統通用安全技術(shù)要求》等。

⑥ 備份和恢復安全設計

針對信息系統的業(yè)務(wù)和系統服務(wù)連續性進(jìn)行安全設計，設計內容包括數據備份系統、備用基礎設施以及相關(guān)技術(shù)設施。針對業(yè)務(wù)的數據備份系統可考慮數據備份的范圍、時(shí)間間隔、實(shí)現技術(shù)與介質(zhì)以及數據備份線(xiàn)路的速率以及相關(guān)通信設備的規格和要求；針對信息系統服務(wù)連續性的安全設計可考慮連續性保證方式（設備冗余、系統級冗余直至遠程集群支持）與實(shí)現細節，包括相關(guān)的基礎設施支持、冗余/集群機制的選擇、硬件設備的功能/性能指標以及軟硬件的部署形式與參數配置等。具體依據《基本要求》中“和備份恢復”內容，同時(shí)可以參考《信息系統災難恢復規范》等。

（3）建設經(jīng)費預算和工程實(shí)施計劃

① 建設經(jīng)費預算

根據信息系統的安全建設整改內容提出詳細的經(jīng)費預算，包括產(chǎn)品名稱(chēng)、型號、配置、數量、單價(jià)、總價(jià)和合計等，同時(shí)應包括集成費用、等級測評費用、服務(wù)費用和管理費用等。對于跨年度的安全建設整改或安全改建，提供分年度的經(jīng)費預算。

② 工程實(shí)施計劃

根據信息系統的安全建設整改內容提出詳細的工程實(shí)施計劃，包括建設內容、工程組織、階段劃分、項目分解、時(shí)間計劃和進(jìn)度安排等。對于跨年度的安全建設整改或安全改建，要對安全建設整改方案明確的主要安全建設整改內容進(jìn)行適當的項目分解，比如分解成機房安全改造項目、網(wǎng)絡(luò )安全建設整改項目、系統平臺和應用平臺安全建設整改項目等，分別制定中期和短期的實(shí)施計劃，短期內主要解決目前急迫和關(guān)鍵的問(wèn)題。

③ 方案論證和備案

將信息系統安全建設整改技術(shù)方案與安全管理體系規劃共同形成安全建設整改方案。組織專(zhuān)家對安全建設整改方案進(jìn)行評審論證，形成評審意見(jiàn)。第三級（含）以上信息系統安全建設整改方案應報公安機關(guān)備案，并組織實(shí)施安全建設整改工程。

3、加強安全建設整改工程的實(shí)施和管理

（1）工程實(shí)施和管理

安全建設整改工程實(shí)施的組織管理工作包括落實(shí)安全建設整改的責任部門(mén)和人員，保證建設資金足額到位，選擇符合要求的安全建設整改服務(wù)商，采購符合要求的產(chǎn)品，管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的質(zhì)量等方面。按照《信息系統安全工程管理要求》中有關(guān)資格保障和組織保障等要求組織管理安全建設整改工程。實(shí)施流程管理、進(jìn)度規劃控制和工程質(zhì)量控制可參照《信息系統安全工程管理要求》中第 8、9、10 章提出的工程實(shí)施、項目實(shí)施和安全工程流程控制要求，實(shí)現相應等級的工程目標和要求。

（2）工程監理和驗收

為保證建設工程的安全和質(zhì)量，第二級以上信息系統安全建設整改工程可以實(shí)施監理。監理內容包括對工程實(shí)施前期安全性、采購外包安全性、工程實(shí)施過(guò)程安全性、系統環(huán)境安全性等方面的核查。工程驗收的內容包括全面檢驗工程項目所實(shí)現的安全功能、設備部署、安全配置等是否滿(mǎn)足設計要求，工程施工質(zhì)量是否達到預期指標，工程檔案資料是否齊全等方面。在通過(guò)安全測評或測試的基礎上，組織相應網(wǎng)絡(luò )安全專(zhuān)家進(jìn)行工程驗收。具體參照《信息系統安全工程管理要求》。

（3）安全等級測評

信息系統安全建設整改完成后要進(jìn)行等級測評，在工程預算中應當包括等級測評費用。對第三級（含）以上信息系統每年要進(jìn)行等級測評，并對測評費用做出預算。

在備案的信息系統，備案單位應選擇國家工作協(xié)調小組辦公室推薦的等級測評機構實(shí)施等級測評；在?。▍^、市）、地市級公安機關(guān)備案的信息系統，備案單位應選擇本?。▍^、市）工作協(xié)調小組辦公室或國家工作協(xié)調小組辦公室推薦的等級測評機構實(shí)施等級測評。

四、如何制定整改方案

下面主要介紹信息系統安全整改方案的主要內容，整改過(guò)程中涉及的網(wǎng)絡(luò )安全產(chǎn)品選擇使用注意事項。

1、整改方案主要內容

整改方案可以不拘泥于單一內容格式，設計內容可以隨著(zhù)單個(gè)信息系統、整個(gè)單位、多個(gè)系統進(jìn)行方案設計。建議在信息系統安全整改方案中可以包含以下內容。

（1）項目背景

簡(jiǎn)述信息系統概況，信息系統在等級保護工作方面的進(jìn)展情況，例如定級備案、安全現狀測評情況等。

（2）信息系統安全建設整改的法規、政策和技術(shù)依據

列舉在建設整改過(guò)程中涉及的國家層面、行業(yè)層面、主管單位層面等，所依據的網(wǎng)絡(luò )安全等級保護有關(guān)法規、政策、文件和技術(shù)標準等。

（3）信息系統安全建設整改安全需求分析

從技術(shù)和管理兩方面描述信息系統建設情況，系統應用情況及安全建設情況。結合安全現狀評估結果，分析信息系統現有保護狀況與等級保護要求的差距，結合信息系統自身的安全需求形成安全建設整改安全需求。

（4）信息系統安全等級保護建設整改技術(shù)方案設計

根據安全需求，確定整改技術(shù)方案的設計原則，建立總體技術(shù)框架結構。圍繞差距報告，從、、、、角度，結合系統自身所在的物理環(huán)境、通信網(wǎng)絡(luò )、可信環(huán)境、區域邊界、安全管理中心，設計落實(shí)基本技術(shù)要求。

（5）信息系統安全等級保護建設整改管理體系設計

根據安全需求，確定整改管理體系的設計原則，指導思想。要求安全管理策略、制度體系建設要可操作性強、責任明確。

（6）信息系統安全產(chǎn)品選型及其技術(shù)指標

依據整改技術(shù)方案，確定設備選型的原則，給出具體的部署策略，明確選用設備的功能、性能指標。

（7）安全整改后信息系統面臨的風(fēng)險分析

安全整改不可能解決所有不符合基本要求的問(wèn)題，對于沒(méi)有解決的問(wèn)題，或整改后引入的心問(wèn)題，分析其可能的安全風(fēng)險，提出合理可行的風(fēng)險規避措施。

（8）信息系統安全等級保護建設整改項目實(shí)施計劃

安全整改項目的實(shí)施需要制定相應的實(shí)施計劃，落實(shí)項目管理部門(mén)和人員，對設備招標采購、工程實(shí)施協(xié)調、系統部署和測試驗收、人員培訓等活動(dòng)進(jìn)行規劃安排。

（9）信息系統安全等級保護項目預算

根據本單位信息化的中長(cháng)期發(fā)展規劃和近期的建設投資規模，將等級保護安全整改建設工作納入整體規劃，可以采取分期分批、有計劃的實(shí)施安全建設整改。在項目建設進(jìn)行預算時(shí)，不僅僅包含安全設備投入、還需要將集成項目、等級測評費用、服務(wù)費用、運行管理費用等納入到資金預算中。

2、信息安全產(chǎn)品選擇

（1）選擇獲得銷(xiāo)售許可證的網(wǎng)絡(luò )安全產(chǎn)品

《中華人民共和國計算機信息系統安全保護條例》（國務(wù)院令147號）第十六條規定，國家對計算機信息系統安全專(zhuān)用產(chǎn)品的銷(xiāo)售實(shí)行許可證制度?！队嬎銠C信息系統安全專(zhuān)用產(chǎn)品檢測和銷(xiāo)售許可證管理辦法》（公安部令第32號）第三條規定，中華人民共和國境內的安全專(zhuān)用產(chǎn)品進(jìn)入市場(chǎng)銷(xiāo)售，實(shí)行銷(xiāo)售許可證制度。安全專(zhuān)用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷(xiāo)售之前，必須申領(lǐng)《計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》。

（2）產(chǎn)品分等級檢測和使用

國家針對具體的產(chǎn)品類(lèi)別，制定了一系列標準。產(chǎn)品標準，從產(chǎn)品的安全功能要求和安全保證要求兩個(gè)方面，將每類(lèi)產(chǎn)品劃分為不同的等級，安全等級越高，安全功能要求越多，安全功能范圍越廣，安全功能粒度越細，安全保證要求越高。信息系統的等級越高，能力的要求越高，信息系統的能力，歸根到底必須由具體的產(chǎn)品來(lái)實(shí)現。根據的“木桶理論”，最弱的那個(gè)環(huán)節將決定整個(gè)信息系統的安全。而產(chǎn)品的等級越高，就能提供越高的安全防護能力。所以不同等級的信息系統，應該使用相應等級的產(chǎn)品。

（3）第三級以上信息系統使用網(wǎng)絡(luò )安全產(chǎn)品優(yōu)先選擇國產(chǎn)品

《管理辦法》第二十一條規定，第三級以上信息系統應當選擇使用符合以下條件的產(chǎn)品：① 產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；② 產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權；③ 產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；④ 產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設置、、等程序和功能；⑤ 對、社會(huì )秩序、公共利益不構成危害；⑥ 對已列入產(chǎn)品認證目錄的，應當取得國家產(chǎn)品認證機構頒發(fā)的認證證書(shū)。