干货 | 网络安全等级保护安全建设整改的流程、方法

馥琳

导读：
安全建设整改工作是开展等级保护工作的核心和落脚点。无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。接下来小编将整改工作的目标、内容、方法、流程、要求等内容列出来，供大家参考。
 
1、安全建设整改的目的
● 探索信息安全工作的整体思路
● 确定信息系统保护的基线要求
● 了解信息系统的问题和差距
● 明确信息系统安全建设的目标
● 提升信息系统的安全保护能力
 
2、安全建设整改的工作内容
定级时，是按照有关标准要求对每个业务系统进行定级。但在安全建设整改时，可以采取“分区”、“分域”的方法，按照整体防护、综合防控的原则进行建设方案或整改方案的设计。整改方案立足于对信息系统进行加固改造，缺什么就补充什么；对于新建系统，参照同步规划、同步设计、同步实施这“三同步”的要求，落实安全管理措施和技术保护措施。
 
实际工作中，设计建设方案时需要坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。
 
各级信息系统安全保护管理措施要求：

 
各级信息系统安全保护技术措施要求：

 
3、工作开展的依据

 
管理制度建设的依据
《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》
 
技术措施建设的依据
《管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护安全设计技术要求》
 
4、安全建设整改的工作方法和流程
建设过程中要突出重点。三四级信息系统优先级别高于二级系统，当然也可以对各等级系统同步规划实施，确保按期完成任务。
工作流程：信息系统安全建设整改工作规划和工作部署——信息系统安全保护现状分析——确定安全策略，制定安全建设整改方案——开展信息系统安全自查和等级测评。详细工作流程详见下表：

 
关于安全技术建设整改注意事项
基本安全需求分析方法：
第1步 根据其等级从《基本要求》中选择相应等级的基本安全要求；
第2步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类；
第3步 根据系统所面临的威胁特点调整安全要求。

安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证，形成评审论证意见。报告要包含以下内容：信息系统描述、安全管理状况、安全技术状况、存在的不足和可能的风险以及安全需求描述。
 
建设整改方案设计思路和要点：
依据《信息系统安全等级保护基本要求》
参照《信息系统等级保护安全设计技术要求》
引入“纵深防御”的概念， 强化多层防御
引入“安全区域”的概念
 
● 物理安全设计
对于不同安全保护等级子系统各自独立使用机房或独立使用某个部分（区域）的情况，其独立部分可根据不同安全保护等级的要求和需求独立设计。对不同安全保护等级子系统共用机房或共用某些部分（区域）的情况，其共用部分按照最高原则进行设计，也就是就高不就低的原则。
 
● 主机系统安全设计
主机系统安全设计，内容包括操作系统或数据库管理系统的安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等功能的实现。
主机安全设计需要明确规定操作系统与数据库管理系统的名称与版本、应安装的最小化组件与必要补丁、基本的安全配置规范。
合理的安全配置是确保主机系统具备的安全功能在业务环境中充分、有效对抗威胁的保证。主要配置内容应包括身份鉴别（鉴别方式、强度、失败处理）、访问控制（控制范围、严格程度以及实现方式）、安全审计（实现方式、对象和项目的选择、日志存储与保护、数据查询与报警）等。
 
● 备份与恢复设计
针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求。
针对信息系统服务连续性的安全设计要考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。
 
通过对信息系统的安全建设整改工作，使得系统安全管理水平明显提高，安全防范能力明显加强，减少安全隐患和安全事故的发生，从而有效保障国家安全、社会秩序和公共利益。关于安全建设整改这一工作环节，本期就介绍这么多，希望能够对各位网络安全运营者在开展等级保护工作中有所帮助，至于管理和技术建设整改中涉及的诸多重要节点，以后找机会再和大家分享。
 
获取更多等级保护相关内容，请关注e安在线微信公众号：

 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！