|
第三级等级保护信息系统的安全应如何设计
信息系统的定级工作应在总体安全规划、设计之前进行,对于新建信息系统未确定安全等级情况,为了合理规划设计安全保障系统方案,应建议建设方尽快开展定级工作。
安全保障系统是信息系统建设的重要组成部分,特别是重要信息系统的建设,应根据国家信息安全等级保护制度要求,进行系统定级、安全规划与设计、等级测评、备案等工作。在信息系统建设的前期定级和规划设计阶段,主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》(以下简称《基本要求》)等管理规范和标准,同步建设符合相应等级要求的信息安全设施。 信息系统安全保护等级分为五级,由于实践中很多重要信息系统多按照三级保护要求进行建设,同时三级安全系统建设具有一定的复杂性,因此文中重点研究第三级安全措施。 1、设计方法和流程 信息系统的安全保障系统的设计应首先明确系统的安全需求,主要通过对信息系统的架构、承载的业务、系统定级等的综合分析确定系统的安全风险。和防护需求,依据相应等保基本要求,并平衡安全、成本和效率之间的关系,确定安全保护措施。随着系统和业务的发展,安全系统也应不断完善。安全保障系统的设计流程如图1所示。 在设计之初需要了解安全现状、安全需求,对系统基本情况和业务特点进行分析。安全现状包括是否有可依托的基础安全措施、整体安全规划、存在问题等,了解信息系统保护等级或定级倾向;系统分析内容包括系统边界、网络结构、网络处理能力、系统组成及设备部署、系统的管理框架等;业务分析内容包括用户范围和类型、业务应用种类和特性、安全关注点等。通过以上分析得出系统面临的安全风险和安全需求,同时结合建设方需求(建设范围和内容、建设期、投资、额外/特殊安全需求等),确定系统的安全方案。
责编:王雅京
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|