北极星

搜索历史清空

  • 水处理
您的位置:电力发电信息化技术正文

第三级等级保护信息系统的安全应如何设计

2013-12-17 09:34来源:CIO时代网关键词:信息系统信息安全VPN收藏点赞

投稿

我要投稿

安全保障系统是信息系统建设的重要组成部分,特别是重要信息系统的建设,应根据国家信息安全等级保护制度要求,进行系统定级、安全规划与设计、等级测评、备案等工作。在信息系统建设的前期定级和规划设计阶段,主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》(以下简称《基本要求》)等管理规范和标准,同步建设符合相应等级要求的信息安全设施。

信息系统安全保护等级分为五级,由于实践中很多重要信息系统多按照三级保护要求进行建设,同时三级安全系统建设具有一定的复杂性,因此文中重点研究第三级安全措施。

1、设计方法和流程

信息系统的安全保障系统的设计应首先明确系统的安全需求,主要通过对信息系统的架构、承载的业务、系统定级等的综合分析确定系统的安全风险。和防护需求,依据相应等保基本要求,并平衡安全、成本和效率之间的关系,确定安全保护措施。随着系统和业务的发展,安全系统也应不断完善。安全保障系统的设计流程如图1所示。

在设计之初需要了解安全现状、安全需求,对系统基本情况和业务特点进行分析。安全现状包括是否有可依托的基础安全措施、整体安全规划、存在问题等,了解信息系统保护等级或定级倾向;系统分析内容包括系统边界、网络结构、网络处理能力、系统组成及设备部署、系统的管理框架等;业务分析内容包括用户范围和类型、业务应用种类和特性、安全关注点等。通过以上分析得出系统面临的安全风险和安全需求,同时结合建设方需求(建设范围和内容、建设期、投资、额外/特殊安全需求等),确定系统的安全方案。

信息系统的定级工作应在总体安全规划、设计之前进行,对于新建信息系统未确定安全等级情况,为了合理规划设计安全保障系统方案,应建议建设方尽快开展定级工作。

投稿与新闻线索:陈女士 微信/手机:13693626116 邮箱:chenchen#bjxmail.com(请将#改成@)

特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明北极星*网的内容为北极星原创,转载需获授权。

信息系统查看更多>信息安全查看更多>VPN查看更多>