1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》(147號令)規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”，要求實行安全等級保護。

　　1999年，國家質量技術監督局正式發布了強制性國家標準GB17859-l999．《計算機信息系統安全保護等級劃分準則》。

　　2003年，中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)明確指出，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。

　　2004年9月15日，由公安部、國家保密局、國家密碼管理局和國信辦聯合下發的《關于信息安全等級保護工作的實施意見》(66號文件)，明確了實施等級保護的基本做法。

　　2007年6月22日，又由4單位聯合下發《信息安全等級保護管理辦法》(43號文件)，規范了信息安全等級保護的管理。2007年7月20日，公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統安全等級保護定級工作。

　　2009年10月27日，公安部下發關于印送《關于開展信息安全等級保護安全建設整改工作的指導意見》的函(公信安[2009]1429號)，要求各單位力爭在2012年底前完成已定級信息系統安全建設整改工作。

　　1、等級保護建設總體規劃依據

　　企業開展信息系統安全等級保護整改建設規劃工作時，應依據國家對信息系統等級保護相關制度規范，并結合本行業主管部門的相關要求進行，如：《信息安全等級保護安全建設整改工作指南》(公信安[200911429號)；GB/T17859《計算機信息系統安全保護等級劃分準則》；GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》；GB/T25070-2010《信息安全技術信息系統等級保護安全設計技術要求》；GB/T25058-2010《信息安全技術信息系統安全等級保護實施指南》；GB/T20270-2006《信息安全技術網絡基礎安全技術要求》；GB/T20271-2006《信息安全技術信息系統通用安全技術要求》；GB/T20272-2006《信息安全技術操作系統安全技術要求》；GB/T20273-2006《信息安全技術數據庫管理系統安全技術要求》；GB/T20282-2006《信息安全技術信息系統安全程管理要求》；GA/T709-2007《信息安全技術信息系統安全等級保護基本模型》；GA/T710-2007《信息安全技術信息系統安全等級保護基本配置》。

　　2、等級保護建設總體規劃設計原則

　　等�？傮w規劃設計應從技術和管理兩方面進行考慮，管理要求可參照GB/T22080～2008要求，應遵循以下原則：

　�、俸弦幮栽瓌t，安全防護要求應符合國家和行業主管部門頒發的標準要求。

　　②體系性原則，等�？傮w規劃要遵循科學、先進的安全防護體系。

　�、埏L險管理原則，根據信息系統面臨的安全風險，在系統安全與可用性、經濟性之間進行適當的均衡，采取有針對性的安全防護措施。

　　④等級化原則，對不同安全等級的信息系統，采取相應的安全防護措施，實現不同的安全防護。

　�、菘煽啃栽瓌t，確保信息系統安全可靠運行是等保建設總體規劃設計的根本目標。

　　⑥經濟性原則，總體規劃設計要從經濟性著眼。

　　3、總體設計思路

　　以信息系統安全等級保護基本要求為依據，信息系統等級保護設計技術要求為指導，按照“分區、分級、分域”的防護方針，將各系統按照其所處的網絡環境、應用模式及定級等，分別劃至相應的安全區和安全域，以“一個中心，三重防護”框架，構建安全機制和安全策略。

　　(1)分區

　　根據企業網絡規模、現狀和承載的業務應用系統，從邏輯的角度將企業網絡進行分區，對各分區有針對性地實施安全防護策略。如可將企業網絡劃分成辦公內網、辦公外網和專用網絡等。

　　(2)分級

　　根據企業信息系統定級與備案情況，結合各信息系統的實際情況，將各信息系統按照相應等級要求進行防護。對個別重要的信息系統在條件具備的情況下，可按照高等級防護要求進行防護。

　　(3)分域

　　安全域是由一組具有相同安全保障需求、并相互信任的系統所組成的邏輯區域，同一安全域內的系統共享相同的安全防護策略。如劃分成二級系統域、三級系統域、四級系統域等。

　　安全域劃分應遵循以下原則：

　�、贅I務保障原則，安全域劃分的根本目標是能夠更好地保護網絡上承載的業務。在保證安全的同時，保障業務的正常運行和運行效率。

　　②等級化原則，根據安全域在業務支撐系統中的重要程度以及考慮風險威脅、安全需求、安全成本等因素，將其劃分成不同的安全保護等級并采取相應的安全防護措施。

　　③結構簡化原則，安全域劃分的直接目的和效果是要將整個網絡在邏輯上簡單化，因此安全域劃分不宜過于復雜。

　�、苌�命周期原則，對于安全域的劃分和布防不僅僅要考慮靜態設計，還應在一定時期內適用于信息系統變化的需求。

　　⑤安全最大化原則，針對業務系統可能跨越多個安全域的情況，對該業務系統的安全防護必須要使該系統在全局上達到各安全域的防護要求。

　�、蘅蓴U展性原則，當新的業務系統接人業務支撐網絡時，按照等級保護、對端可信度等原則，能將此業務系統劃分至不相應等級安全域的子域中去。

　　4、信息安全防護設計

　　信息安全防護設計是在“分區、分級、分域”防護理念的基礎上，將企業的各定級系統的安全防護劃分為邊界安全防護、本地計算機環境安全防護、通信網絡安全防護及安全管理中心4個層次，并進行安全設計。

　　(1)邊界安全防護

　　區域邊界安全防護是從各個信息系統的業務流程的完整性上進行區分。邊界安全防護的目標是保護邊界內的本地計算環境和通信網絡不會受到來自邊界外部的攻擊，同時也可以防止內部惡意人員跨越邊界對外部的信息系統進行攻擊。并且當發生安全事件后，可以提供從邊界的網絡訪問日志中發現入侵事件記錄以進行審計追蹤。

　　(2)本地計算環境安全防護

　　本地計算機環境是指對定級系統的信息進行存儲、處理及實施安全策略的相關部件。本地計算環境在有效的區域邊界安全防護下，可以避免受到來自外部網絡的攻擊和非授權訪問。因此，本地計算機環境的安全防護主要是加強各種計算機部件(如操作系統、數據庫等)的安全性能，防范因部件本身的脆弱性而遭受攻擊。同時，本地計算機環境的安全防護還要實現對來自系統內部的攻擊、非授權訪問的防范，特別是內部人員的違規操作和誤操作。

　　(3)通信網絡安全防護

　　通信網絡是在系統域的本地計算機環境部件之間進行信息傳輸，實施安全策略的相關部件，包括各種網絡設備、網絡鏈路和通過網絡傳輸的信息流。通信網絡可能位于系統域的邊界內部，也可能位于邊界外部，特別是網絡信息流可能需要通過未知的網絡環境傳輸。因此，通信網絡的安全防護既要保證網絡設備自身的安全，防范其受到攻擊和非授權訪問，又要保證網絡信息流的安全，保護網絡信息流的保密性和完整性。如果在通信環節出現了問題，那么也就失去了信息安全的基礎。

　　(4)安全管理中心

　　安全管理中心作為信息系統的核心安全管理平臺，是對信息系統的各種安全機制進行管理使其發揮應有安全作用的重要環節�？梢宰鳛閷φ麄�企業信息系統及其各個系統域的本地計算機環境、區域邊界、通信網絡等環節的安全保護措施，進行統一的協調和調度，從而實現包含用戶身份、授權、訪問控制、操作審計等全過程的安全管理措施，并實現集中事件和風險管理，發揮出整體安全防護系統的作用。

　　5、結語

　　隨著網絡信息技術的快速發展，各類新的攻擊手段和威脅形式將會不斷出現，信息系統面臨的風險也將不斷地發生變化。同時，隨著業務的發展和安全需求的變化，對信息系統的要求也會產生相應的變化，原有信息系統的安全防護等級也會隨之進行相應的調整。并且信息安全等級保護相關標準規范也會不斷地進行調整與優化。因此，企業的信息系統等級保護建設總體規劃思路與相關方案也需不斷進行調整與優化，確保各類信息系統的安全防護水平符合國家和行業相關標準規范要求。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業等保建設總體規劃

本文網址：http://www.guhuozai8.cn/html/support/1112184518.html