【正文】 等等 58 58 謝謝大家！ 演講完畢，謝謝觀看！ 。 網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)協(xié)議保護、網(wǎng)絡(luò)防病毒 187。 安全域劃分、 IP地址規(guī)劃、網(wǎng)關(guān)設(shè)置 187。 47 等級保護的設(shè)計實施 運營、使用單位 /安全服務(wù)商 ? 安全規(guī)劃設(shè)計 ? 技術(shù)體系設(shè)計 ? 管理體系設(shè)計 ? 分期 /分步安全實施 ? 物理環(huán)境安全建設(shè) – 機房、辦公環(huán)境安全建設(shè) ? 網(wǎng)絡(luò)安全建設(shè) – 安全域劃分、邊界設(shè)備設(shè)置、邊界訪問控制、邊界數(shù)據(jù)過濾 – 網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)協(xié)議保護、網(wǎng)絡(luò)防病毒等 ? 主機安全防護 – 操作系統(tǒng)配置和加固、桌面保護等 ? 應(yīng)用系統(tǒng)安全開發(fā)或改造 – 身份鑒別、訪問控制、安全審計、傳輸加密等 48 實施方案的設(shè)計過程包括 ? 結(jié)構(gòu)框架設(shè)計 ? 功能要求設(shè)計 ? 性能要求設(shè)計 ? 部署方案設(shè)計 ? 制定安全策略實現(xiàn)計劃 ? 管理措施實現(xiàn)內(nèi)容設(shè)計 ? 形成系統(tǒng)建設(shè)的安全實施方案 等級保護實施方案 49 系統(tǒng)建設(shè)的安全實施方案包含以下內(nèi)容 ? 本期建設(shè)目標和建設(shè)內(nèi)容 ? 技術(shù)實現(xiàn)框架 ? 信息安全產(chǎn)品或組件功能及性能 ? 信息安全產(chǎn)品或組件部署 ? 安全策略和配置 ? 配套的安全管理建設(shè)內(nèi)容 ? 工程實施計劃 ? 項目投資概算。 三級系統(tǒng)運維管理要求： 在控制點上增加了 監(jiān)控管理和安全管理中心，對介質(zhì)、設(shè)備、密碼、變更、備份與恢復(fù)等都采用制度化管理，并更加注意過程管理的控制，其中對介質(zhì)的管理重點關(guān)注了介質(zhì)保密性和可用性管理；安全事件根據(jù)等級分級響應(yīng)，同時加強了對應(yīng)急預(yù)案的演練和審查等。 45 各級系統(tǒng)安全保護要求 系統(tǒng)運維管理 控制點 一級 二級 三級 四級 環(huán)境管理 * * * * 資產(chǎn)管理 * * * * 介質(zhì)管理 * * * * 設(shè)備管理 * * * * 監(jiān)控管理和安全管理中心 * * * * 網(wǎng)絡(luò)安全管理 * * * * 系統(tǒng)安全管理 * * * * 惡意代碼防范管理 * * * * 密碼管理 * * * 變更管理 * * * 備份與恢復(fù)管理 * * * * 安全事件處置 * * * * 應(yīng)急預(yù)案管理 * * * 合計 10 13 13 13 46 各級系統(tǒng)安全保護要求 系統(tǒng)運維管理 一級系統(tǒng)運維管理要求： 主要對機房運行環(huán)境、資產(chǎn)的隸屬管理、介質(zhì)的保存、設(shè)備維護使用管理等方面提出基本管理要求，使得系統(tǒng)在這些方面的管理下能夠基本運行正常。 四級系統(tǒng)建設(shè)管理要求 ：主要對軟件開發(fā)活動進一步加強了要求，以保證軟件開發(fā)的安全性。 三級系統(tǒng)建設(shè)管理要求 ：對建設(shè)過程的各項活動都要求進行制度化規(guī)范，按照制度要求進行活動的開展。 二級系統(tǒng)建設(shè)管理要求 ：在控制點上增加了 系統(tǒng)備案和安全測評 ，增加了某些活動的文檔化要求，如軟件開發(fā)管理制度，工程實施應(yīng)有實施方案要求等。 四級人員安全管理要求 ：在三級要求的基礎(chǔ)上，提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。 二級人員安全管理要求 ：在控制點上增加了 人員考核 ，對人員的錄用和離崗要求進一步增強，過程性要求增加，安全教育培訓(xùn)更正規(guī)化，對外部人員的訪問活動約束其訪問行為。 41 各級系統(tǒng)安全保護要求 人員安全管理 控制點 一級 二級 三級 四級 人員錄用 * * * * 人員離崗 * * * * 人員考核 * * * 安全意識教育和培訓(xùn) * * * * 外部人 員 訪問管理 * * * * 合計 4 5 5 5 42 各級系統(tǒng)安全保護要求 人員安全管理 一級人員安全管理要求 ：對人員在機構(gòu)的工作周期（即，錄用、日常培訓(xùn)、離崗）的活動提出基本的管理要求。同時對審核和檢查工作進一步規(guī)范。授權(quán)審批方面加強了授權(quán)流程控制以及階段性審查。 二級安全管理機構(gòu)要求： 在控制點上增加了 審核和檢查 ，同時，在一級基礎(chǔ)上，明確要求設(shè)立安全主管等重要崗位；人員配備方面提出安全管理員不可兼任其它崗位原則；溝通與合作的范圍增加與機構(gòu)內(nèi)部及與其他部門的合作和溝通。 安全管理機構(gòu)主要包括： 崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查 等五個控制點。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行。 四級安全管理制度要求 ：在三級要求的基礎(chǔ)上，主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護等。 三級安全管理制度要求 ：在二級要求的基礎(chǔ)上，要求機構(gòu)形成信息安全管理制度體系，對管理制度的制定要求和發(fā)布過程進一步嚴格和規(guī)范。 36 各級系統(tǒng)安全保護要求 安全管理制度 控制點 一級 二級 三級 四級 管理制度 * * * * 制定和發(fā)布 * * * * 評審和修訂 * * * 合計 2 3 3 3 37 各級系統(tǒng)安全保護要求 安全管理制度 一級安全管理制度要求 ：主要明確了制定日常常用的管理制度，并對管理制度的制定和發(fā)布提出基本要求。 四級數(shù)據(jù)及備份恢復(fù)安全要求 ：為進一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。 三級數(shù)據(jù)及備份恢復(fù)安全要求 ：對數(shù)據(jù)完整性的要求增強，范圍擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復(fù)。 二級數(shù)據(jù)及備份恢復(fù)安全要求 ：對數(shù)據(jù)完整性的要求增強，范圍擴大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。部分控制點在強度上進一步增強，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等，軟件應(yīng)具有自動恢復(fù)的能力等。應(yīng)用軟件自身的安全要求進一步增強，軟件容錯能力增強，增加了自動保護功能。同時，身份鑒別的力度進一步增強，要求