信息中心
涉密信息系統(tǒng)信息安全分級(jí)保護(hù)體系案例
1 項(xiàng)目背景
為落實(shí)某部委黨組“先從部機(jī)關(guān)信息化入手,帶動(dòng)全行業(yè)信息化發(fā)展”的有關(guān)部署,2001年、2005年和2007年,部機(jī)關(guān)先后實(shí)施了信息化一期、二期工程以及通信信息系統(tǒng)改造工程,建設(shè)了XX行業(yè)主管部門(mén)的涉密局域辦公網(wǎng),即某部委電子政務(wù)涉密信息系統(tǒng),并與外網(wǎng)物理隔離,整體提高了部機(jī)關(guān)行政辦公的信息化水平。為加強(qiáng)涉及國(guó)家涉密信息系統(tǒng)的保密管理,依據(jù)BMB相關(guān)國(guó)家標(biāo)準(zhǔn),某部委對(duì)其內(nèi)網(wǎng)電子政務(wù)涉密信息系統(tǒng)進(jìn)行了相應(yīng)等級(jí)的安全保密建設(shè)和管理。
2010年至2011年期間,先后開(kāi)展了對(duì)分級(jí)保護(hù)建設(shè)的可研、方案設(shè)計(jì)、建設(shè)實(shí)施,并于2011年10月19日順利通過(guò)了相關(guān)國(guó)家保密測(cè)評(píng)機(jī)構(gòu)對(duì)某部委電子政務(wù)涉密信息系統(tǒng)的嚴(yán)格測(cè)評(píng)。
2 建設(shè)路線(xiàn)
在某部委電子政務(wù)信息系統(tǒng)分級(jí)保護(hù)建設(shè)實(shí)施過(guò)程中,依據(jù)《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程詳細(xì)設(shè)計(jì)方案》及國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范等文件,嚴(yán)格按照PMP項(xiàng)目管理方法論,對(duì)項(xiàng)目啟動(dòng)后把實(shí)施過(guò)程分為設(shè)計(jì)(深化)過(guò)程、落地(建設(shè))過(guò)程、監(jiān)控過(guò)程三個(gè)過(guò)程組,并通過(guò)調(diào)研分析、體系規(guī)劃、體系建設(shè)和體系完善(PDCA)的建設(shè)思路,運(yùn)用崗位與職責(zé)、策略體系、流程體系、技術(shù)工具、人員培訓(xùn)、安全管控等方法進(jìn)行落地實(shí)施。
在設(shè)計(jì)過(guò)程中,首先詳細(xì)解讀了《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程詳細(xì)設(shè)計(jì)方案》,周密分析了客戶(hù)信息系統(tǒng)應(yīng)用環(huán)境,全面展開(kāi)了對(duì)技術(shù)以及管理等的全面細(xì)致調(diào)研,分析現(xiàn)狀與標(biāo)準(zhǔn)及客戶(hù)需求的差距,逐項(xiàng)梳理實(shí)施建設(shè)任務(wù),完成《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》、《安全保密策略總綱》、建設(shè)任務(wù)一覽表、職責(zé)矩陣、《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程文檔。
在落地過(guò)程中,通過(guò)太極信息安全保障體系落地方法論,建立技術(shù)、管理、運(yùn)維三大保障體系,按照《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》,分為安全域改造、應(yīng)用系統(tǒng)改造、安全策略部署與試運(yùn)行以及安全服務(wù)四個(gè)階段,遵照“綜合部署、分布落實(shí)、逐一核查”等原則,實(shí)現(xiàn)由標(biāo)準(zhǔn)緊扣方案、建設(shè)貼近客戶(hù)需求的完美落地,從而完成某部委電子政務(wù)信息系統(tǒng)安全保護(hù)的建設(shè)工作。
在監(jiān)控過(guò)程中,對(duì)常規(guī)項(xiàng)目落地過(guò)程中的內(nèi)容進(jìn)行監(jiān)督管理,通過(guò)技術(shù)、工具和專(zhuān)家判斷等方法對(duì)項(xiàng)目實(shí)施的內(nèi)容,包括管理、技術(shù)方面的內(nèi)容進(jìn)行有效性檢測(cè),將不貼近客戶(hù)需求、無(wú)法落地或由于條件限制暫時(shí)無(wú)法落地的內(nèi)容進(jìn)行記錄,與客戶(hù)溝通、交流,協(xié)調(diào)資源(人力資源、環(huán)境資源、必要的設(shè)備等)保障實(shí)施過(guò)程按照既定的項(xiàng)目計(jì)劃進(jìn)行,最關(guān)鍵的因素還是要取得客戶(hù)認(rèn)同和達(dá)到標(biāo)準(zhǔn)要求。監(jiān)控手段包括有效性測(cè)量、不符合項(xiàng)記錄、控制測(cè)量、內(nèi)部審核、用戶(hù)評(píng)審等。
3 建設(shè)落地
通過(guò)基礎(chǔ)調(diào)研,對(duì)某部委電子政務(wù)內(nèi)網(wǎng)物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用和制度等層面展開(kāi)了全面了解及分析。基于此分析結(jié)果,編制體系完善的《某部委分級(jí)保護(hù)工程深化設(shè)計(jì)及實(shí)施方案》、《某部委涉密信息系統(tǒng)涉密安全保密策略總綱》、項(xiàng)目建設(shè)任務(wù)一覽表、項(xiàng)目職責(zé)矩陣和《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程文檔。
實(shí)施落地過(guò)程從安全域改造、網(wǎng)絡(luò)割接到應(yīng)用系統(tǒng)改造、集成部署、策略實(shí)施及安全服務(wù)全環(huán)節(jié)實(shí)現(xiàn)分級(jí)保護(hù)體系建設(shè)的落地過(guò)程。
(1)安全域改造
依據(jù)BMB標(biāo)準(zhǔn)要求,綜合考慮信息密級(jí)、信息分類(lèi)、信息交換、行政級(jí)別、功能需要和業(yè)務(wù)需求等方面,將原有內(nèi)網(wǎng)結(jié)構(gòu)及連接信息作備份,通過(guò)網(wǎng)絡(luò)割接、區(qū)域調(diào)整、VLAN劃分等方式,重新調(diào)整某部委涉密內(nèi)網(wǎng)安全策略,包括內(nèi)網(wǎng)中的網(wǎng)絡(luò)、主機(jī)、終端、存儲(chǔ)等密級(jí)標(biāo)識(shí)、訪(fǎng)問(wèn)控制、權(quán)限綁定等策略,使不同密級(jí)的信息資源、用戶(hù)不能互聯(lián)互通,且需要物理隔離,安全域邊界采用訪(fǎng)問(wèn)控制、入侵監(jiān)測(cè)和網(wǎng)絡(luò)審計(jì)等邊界防護(hù)設(shè)備。通過(guò)劃分安全域,可將傳統(tǒng)的“按最高密級(jí)防護(hù)原則”轉(zhuǎn)變?yōu)椤胺钟蚍旨?jí)防護(hù)策略”,大幅度降低建設(shè)成本和運(yùn)營(yíng)管理成本。
(2)應(yīng)用系統(tǒng)改造
應(yīng)用系統(tǒng)中嚴(yán)格遵照“最小授權(quán)原則”和“強(qiáng)制訪(fǎng)問(wèn)控制要求”,安全認(rèn)證實(shí)現(xiàn)統(tǒng)一身份管理,統(tǒng)一身份認(rèn)證,統(tǒng)一權(quán)限管理,統(tǒng)一訪(fǎng)問(wèn)控制、統(tǒng)一責(zé)任認(rèn)定和統(tǒng)一信息交換“六個(gè)統(tǒng)一”等。對(duì)應(yīng)用系統(tǒng)中產(chǎn)生的涉密文件進(jìn)行密級(jí)標(biāo)識(shí),并與認(rèn)證賬戶(hù)相關(guān)聯(lián)實(shí)現(xiàn)抗抵賴(lài)性和不可否認(rèn)性設(shè)計(jì)。改造應(yīng)用系統(tǒng)實(shí)現(xiàn)賬戶(hù)管理和口令管理功能,根據(jù)賬戶(hù)授予其相應(yīng)的訪(fǎng)問(wèn)權(quán)限,實(shí)現(xiàn)三權(quán)分立。對(duì)應(yīng)用系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)安全審計(jì)功能,進(jìn)行系統(tǒng)啟動(dòng)和關(guān)閉,賬戶(hù)登錄和修改,以及對(duì)涉密文件的操作:建立、復(fù)制、修改、刪除、打印等進(jìn)行審計(jì)內(nèi)容設(shè)計(jì)和實(shí)現(xiàn)。
文章作者:it168網(wǎng)站
集成系統(tǒng)網(wǎng)絡(luò)情報(bào)信息數(shù)據(jù)庫(kù)
CIO頻道人物視窗
CIO頻道方案案例庫(kù)
大數(shù)據(jù)建設(shè)方案案例庫(kù)
電子政務(wù)建設(shè)方案案例庫(kù)
互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫(kù)
商務(wù)智能建設(shè)方案案例庫(kù)
系統(tǒng)集成類(lèi)軟件信息研發(fā)企業(yè)名錄