第三级等级保护信息系统的安全应如何设计

安全保障系统是信息系统建设的重要组成部分，特别是重要信息系统的建设，应根据国家信息安全等级保护制度要求，进行系统定级、安全规划与设计、等级测评、备案等工作。在信息系统建设的前期定级和规划设计阶段，主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》(以下简称《基本要求》)等管理规范和标准，同步建设符合相应等级要求的信息安全设施。

信息系统安全保护等级分为五级，由于实践中很多重要信息系统多按照三级保护要求进行建设，同时三级安全系统建设具有一定的复杂性，因此文中重点研究第三级安全措施。

1、设计方法和流程

信息系统的安全保障系统的设计应首先明确系统的安全需求，主要通过对信息系统的架构、承载的业务、系统定级等的综合分析确定系统的安全风险。和防护需求，依据相应等保基本要求，并平衡安全、成本和效率之间的关系，确定安全保护措施。随着系统和业务的发展，安全系统也应不断完善。安全保障系统的设计流程如图1所示。

在设计之初需要了解安全现状、安全需求，对系统基本情况和业务特点进行分析。安全现状包括是否有可依托的基础安全措施、整体安全规划、存在问题等，了解信息系统保护等级或定级倾向;系统分析内容包括系统边界、网络结构、网络处理能力、系统组成及设备部署、系统的管理框架等;业务分析内容包括用户范围和类型、业务应用种类和特性、安全关注点等。通过以上分析得出系统面临的安全风险和安全需求，同时结合建设方需求(建设范围和内容、建设期、投资、额外/特殊安全需求等)，确定系统的安全方案。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友