行业需求
随着信息技术的快速发展和信息化建设的不断深入,信息载体和传输途径呈现出多样性和复杂性,信息安全防护压力越来越大。为切实保护国家重要信息系统的安全,公安部、国家保密局、国家密码管理局和原国信办先后下发了《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》和《关于开展信息安全等级保护安全建设整改工作的指导意见》等文件,规范和指导国家信息安全建设。信息安全工作已经成为国家信息化建设一项重要内容。
在政府机关政务外网和行业专网范围内,建立非涉密重要信息系统的信息安全防护体系,包括网络安全、主机安全、应用安全、数据安全、物理安全、安全管理等方面,确保信息系统的安全防护水平达到国家信息系统安全等级保护的要求。
解决方案
通过使用国家推行的等级保护标准文档,对非涉密信息系统进行完整的风险评估和整改等工作,发现信息系统,运行、管理、实施、运维等方面与国家等保要求的差距。从安全管理中心、网络安全、主机安全、应用安全、数据安全、物理安全、安全管理制度、备份系统,几个方面实现对等级保护标准的符合。
应用价值
- 通过设立安全管理中心,对部机关非涉密网络的网络设备、安全设备、服务器、应用系统、终端等进行集中管理和制定相应的安全策略,监控和分析网络数据和行为,并实施有效的防范和抵御措施。
- 对网络进行安全域划分,按照不同安全等级、资产价值分别进行安全防护。
- 对主机、终端分级别进行安全防护,例如:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、主机备份恢复、安全监控。
- 关注业务系统应用安全,部署应用层面的安全措施,例如:应用层身份鉴别、应用层访问控制、应用层安全审计、剩余信息保护、通信的完整性、保密性、抗抵赖性、软件容错设计等。
- 建立相应的数据备份方案和定期备份制度;建立异地备份机构。
- 对摆放的业务服务器等基础设施的机房进行严格的物理控制。
- 完善相应的安全管理制度,利用安全管理制度补充技术手段的漏洞。
东软网络安全 微信号:Neusoft_NetEye
