网神等保介绍

行业等级保护

成功案例

网神等保动态

等保相关政策法规

一、概述
        信息系统安全等级保护工作是我国信息安全建设的必要工作，是我国信息安全保障的大势所趋。水利部高度重视网络与信息安全工作，2007年9月初便组织开展水利行业信息系统安全等级保护定级工作，同年12月底全面完成了信息系统等级备案工作。信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查等环节，现已完成定级、备案工作，下一步主要工作是建设整改。根据《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安【2009】1429号）和水利部工作的实际情况，水利部将水利网络与信息安全系统建设作为水利信息化八大重点工程之一，并列入《全国水利信息化十二五规划》。为此，水利部于2009年开始启动水利部本级政务外网信息系统等级保护整改工作，进一步提高水利部政务外网信息系统的安全保障能力和防护水平，确保网络与信息系统的安全运行。

二、整改目标
        完善水利部电子政务外网安全防护体系，不断提高水利部电子政务外网信息系统的安全保障能力和防护水平，确保网络与信息系统的安全稳定运行，达到国家信息安全等级保护相关标准要求。保证水利部业务信息和网络的机密性、完整性、可用性、可控性和可审计性，确保水利部整体达到信息系统第三级安全保护等级。

三、方案设计
（一）方案设计目标
        水利部（部机关）等级保护建设整改是根据国家等级保护政策制度的工作方案思路，依照《信息安全技术 信息系统安全等级保护基本要求》（以下简称“《基本要求》”）、参照《信息安全技术 信息系统等级保护安全设计技术要求》（以下简称“《安全设计技术要求》”）等政策标准规范要求，结合水利部业务信息系统的实际情况以及水利部《关于印发水利网络与信息安全体系建设基本技术要求的通知》（水文[2010]190号） 相关文件要求编制总体设计方案，用于指导水利部机关安全建设整改工作。方案的总体目标是设计符合水利部实际业务应用、实际网络信息系统运行模式和国家等级保护建设整改工作要求的总体方案，实现水利部机关政务外网的安全保护总体达到信息系统安全保护等级第三级基本要求。

（二）方案设计框架
        水利部安全保障体系框架根据等级保护基本要求，参照国内外相关标准，并结合水利部已有网络与信息安全体系建设的实际情况，最终形成依托于安全保护对象为基础，纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系，一个中心，三重防护”的安全保障体系框架。如下图所示：
 
图1：信息安全保障体系框架图
?     “三个体系”：信息安全管理体系、信息安全技术体系和信息安全运行体系，把等级保护基本要求的控制点结合水利部实际情况形成相适应的体系结构框架；
?     “一个中心”：信息安全管理中心，实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理；
?      “三重防护”：安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施，把安全技术控制措施与安全保护对象相结合。

（三）方案编写思路
方案总体思路：
 
                                                                                  图2：方案编写总体思路
1. 信息系统风险评估和等级保护差距
        通过采用信息安全风险评估的方法，对水利部机关政务外网信息系统进行全面综合分析，并深化对已经定级、备案的信息系统进行资产、脆弱性、威胁和风险综合分析，在整体网络框架基础上，通过差距分析的方法与等级保护基本要求进行差距分析，形成信息系统等级保护建设整改的整体安全需求。
2. 安全保障体系框架和总体安全策略
        根据等级保护的整体保护框架，并结合水利部信息安全保障体系建设的实际情况，建立符合水利电子政务系统特性的安全保障体系，分别是安全管理体系、安全技术体系和安全运行体系，并制定各个体系必要的安全设计原则和安全策略。
3. 安全保障体系总体设计方案
        结合水利部机关电子政务外网信息系统的实际应用情况，设计具体安全技术体系控制措施、安全管理体系控制措施和安全运行体系控制措施，其中：
?     安全管理体系的实现依据《基本要求》，设计了水利部机关政务外网的信息安全组织机构、人员安全管理、安全管理制度、系统建设管理及系统运维管理等控制措施；
?     安全技术体系的实现一方面重点落实《基本要求》，另一方面采用《安全设计技术要求》的思路和方法设计了安全计算环境、安全区域边界和安全通信网络的控制措施；
?     安全运行体系的实现根据《基本要求》，设计了符合系统全生命周期的安全需求、安全建设、安全设计与安全运维的运行体系要求，重点阐述了安全运维体系的框架和控制组成。
?     安全管理中心的实现根据《基本要求》和《安全设计技术要求》，结合水利部机关已经建立的运行保障平台，形成覆盖安全工作管理、安全运维管理、统一安全技术管理于一体的“自动、平台化”的安全管理中心。
4. 总体实施计划
        根据总体设计方案的安全保障体系要求，结合水利部机关安全建设的实际情况，预计将水利部机关政务外网信息安全保障体系建设分成两个阶段，分别是基本整改和深化完善阶段。

四、整改效果
        经过安全建设整改后，水利部本级政务外网信息系统将在统一的安全保护策略下，具有抵御大规模、较强恶意攻击的能力；具有抵抗较为严重的自然灾害的能力；具有防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置、并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，具有能快速恢复正常运行状态的能力；具有对系统资源、用户、安全机制等进行集中控管的能力。
        水利等级保护整改方案采用了体系化设计思路，强化了“集中”安全管理，强调了安全运维工作。该设计方案得到了等级保护专家的一致认可。目前，根据该设计的全面实施已经完成，并顺利通过等级保护测评，其中三级系统最高符合度评分可达到89%（即89分），二级系统最高符合度评分可达到96%（即96分），成为截至目前国家测评机构部委备案系统等级保护测评分值最高的系统。