信息安全等级保护安全建设整改技术工作主要内容及相.docx

信息安全等级保护安全建设整改工作培训材料之一信息安全等级保护安全建设整改技术工作主要内容及相关标准应用公安部信息安全等级保护评估中心二九年十一月- 39 -目 录1概述（1）1.1信息系统安全建设整改的目的（1）1.2安全建设整改在落实等级保护工作中的作用（1）2安全建设整改依据的标准（2）2.1相关标准在等级保护各阶段工作中的作用（2）2.2安全建设整改工作依据的标准（5）2.2.1基本要求作用（5）2.2.2基本要求框架结构（5）2.2.3安全保护能力（6）2.2.4基本要求的选择和使用说明（8）3安全管理建设整改工作的内容和方法（10）3.1落实信息安全责任制（11）3.2信息系统安全管理现状分析（12）3.3确定安全管理策略，制定安全管理制度（12）3.4落实安全管理措施（13）3.4.1人员安全管理（13）3.4.2系统运维管理（14）3.4.3系统建设管理（16）3.5安全自查与调整（17）4安全技术建设整改工作的内容和方法（17）4.1信息系统安全保护技术现状分析（18）4.2信息系统安全技术建设整改方案设计（19）4.2.1确定安全技术策略，设计总体技术方案（19）4.2.2安全技术方案详细设计（21）4.2.3建设经费预算和工程实施计划（25）4.2.4方案论证和备案（25）4.3安全建设整改工程实施和管理（26）4.3.1工程实施和管理（26）4.3.2工程监理和验收（26）5安全等级测评（27）5.1等级测评依据的标准（27）5.1.1测评要求（27）5.1.2测评过程指南（28）5.2等级测评的工作流程和工作内容（29）5.3等级测评工作中的风险控制（31）5.3.1存在的风险（31）5.3.2风险的规避（31）5.4等级测评报告的主要内容（33）6信息系统安全建设整改方案要素（34）6.1项目背景（34）6.2开展信息系统安全建设整改的法规政策和技术依据（34）6.3信息系统安全建设整改安全需求分析（34）6.4信息系统安全等级保护建设整改技术方案设计（35）6.5信息系统安全等级保护建设整改管理体系设计（35）6.6信息系统安全产品选型及技术指标（35）6.7安全建设整改后信息系统残余风险分析（35）6.8信息系统安全等级保护整改项目实施计划（35）6.9信息系统安全等级保护项目预算（35）1 概述1.1 信息系统安全建设整改的目的在已定级的信息系统中，大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑，因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。随着等级保护工作的逐步展开，尤其是在信息系统确定了安全保护定级之后，重新审视现有信息系统的安全保护状况，由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。通过开展等级保护工作，使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施，将国家的政策标准要求、机构的使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本保护水平和保护能力。1.2 安全建设整改在落实等级保护工作中的作用根据等级保护管理办法，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级/备案是信息安全等级保护的首要环节，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是信息安全等级保护工作落实的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，工作目的是检验和评价信息系统的安全建设整改工作的成效，判断安全保护能力是否达到相关要求，监督检查工作的主体是信息安全职能管理部门，通过定期的监督、检查和指导，保障重要信息系统安全保护能力不断提高。2 安全建设整改依据的标准2.1 相关标准在等级保护各阶段工作中的作用GB17859-1999计算机信息系统安全保护等级划分准则是基础性标准， GB/T20271-2006信息系统通用安全技术要求、GB/T20270-2006网络基础安全技术要求、GB/T21052-2007信息系统物理安全技术要求等技术要求类标准和GB/T20269-2006信息系统安全管理要求、GB/T20282-2006信息系统安全工程管理要求等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。GB/T22239-2008信息系统安全等级保护基本要求（以下简称基本要求）技术部分吸收和借鉴了GB 17859-1999及相关标准，采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用（改为剩余信息保护）标记、可信路径等8个安全机制，并将这些机制根据各级的安全目标，扩展到网络层、主机系统层、应用层和数据层，基本要求管理部分充分借鉴了ISO/IEC 17799:2005等国际上流行的信息安全管理方面的标准。根据现有技术的发展水平，基本要求提出和规定了不同安全保护等级信息系统的最低保护要求。行业主管部门可以依据基本要求，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于基本要求。GB/T22240-2008信息系统安全等级保护定级指南（以下简称定级指南）为信息系统运营使用单位确定信息系统安全保护等级的工作提供指导，行业主管部门可以依据定级指南，结合行业特点和信息系统实际出台行业定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。等级测评是评价信息系统安全保护状况的重要方法，也是等级保护工作的重要环节之一，测评结果可作为向监管机构提交的等级测评报告。信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导，是实现基本要求中技术要求的方法之一。各标准间相互关系如下图简要说明。信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息系统安全等级保护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南图1 等级保护标准间相互关系2.2 安全建设整改工作依据的标准2.2.1 基本要求作用基本要求是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力。信息系统安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于基本要求。但基本要求提出的是“要求”，而不是具体实施方案或作业指导书，基本要求给出了系统每一保护方面需达到的要求，至于这种要求采取何种方式实现，不在基本要求的描述范围内。基本要求为以下工作提供依据：a) 为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据；b) 为测评机构提供信息系统的等级测评依据；c) 为职能监管部门提供监督检查依据。2.2.2 基本要求框架结构基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类，管理部分分为：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应有专人负责，进入的人员登记在案。”具体框架结构如图所示：第三级基本要求物理安全网络安全主机系统安全应用安全第一级基本要求第二级基本要求第四级基本要求第五级基本要求数据安全及备份恢复技术要求管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2 基本要求的框架结构2.2.3 安全保护能力对信息系统采取安全措施是为了使信息系统具备一定的安全保护能力，这种安全保护能力主要表现为能够应对威胁的能力，称为对抗能力。但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果信息系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了信息系统的另一种安全保护能力恢复能力。对抗能力和恢复能力共同构成了信息系统的安全保护能力。将“能力”分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。一般来说，信息系统越重要，应具有的保护能力就越高。因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。根据不同级别信息系统的重要程度，提出不同强度的对抗能力和恢复能力，将这些能力细化成安全目标，而基本要求就是为满足这些安全目标而提出的安全保护要求。下图给出了不同等级信息系统的安全保护能力、安全目标与安全要求之间映射关系。一级信息系统对抗能力1恢复能力1第1级安全目标第1级基本要求二级信息系统对抗能力2恢复能力2第2级安全目标第2级基本要求三级信息系统对抗能力3恢复能力3第3级安全目标第3级基本要求四级信息系统对抗能力4恢复能力4第4级安全目标第4级基本要求图3 基本要求的描述模型不同等级信息系统所具有的保护能力如下：第一级信息系统：经过安全建设整改，信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到损害后，具有恢复系统主要功能的能力。第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。第三级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统：经过安全建设整改，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。2.2.4 基本要求的选择和使用说明安全要求从整体上分为技术和管理两大类，其中，技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：业务信息安全类（S类）关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。如，访问控制，该控制点主要关注的是防止未授权的访问系统，进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。系统服务安全类（A类）关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。如，资源控制，该控制点很好的体现了对业务正常运行的保护。通过对资源的使用限制、监视和预警等控制，保证了重要业务的正常运行。通用安全保护类（G类）既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。大多数技术类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行，同时数据要安全。如，物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。因此，在使用基本要求时，应该从信息系统的安全关注点出发，而信息系统的安全关注点可以从信息系统的定级结果中得到。有了定级结果，就可以选择和使用基本安全要求。举例来说，某信息系统定级结果为三级S1A3G3 ，在选择和使用基本安全要求时应选择三级管理要求和S1A3G3的技术要求，可以分为以下过程：1、选择基本要求中的第7章第三级基本要求，包括管理要求和技术要求；2、根据定级结果S1A3G3进行调整。信息系统的业务信息安全保护等级为1级，系统服务安全保护等级为3级，因此，将第三级技术要求中的S类要求调整为第一级基本要求中的S类要求，第1步骤中已选择的A类和G类基本要求保持不变；3、根据行业要求或系统自身特点，分析需要增强的安全保护能力，需要增强业务信息安全保护能力的从2、3、4级的S类基本要求中选择，需要增强系统服务安全保护能力的从4级的A类基本要求中选择，整体需要增强的，则从4级G类基本要求中选择。在现有技术条件下，基本要求中的某些要求可能无法实现，如“对信息资源设置敏感标记”，信息系统运营、使用单位可以对基本要求进行调整，但是不能降低整体安全保护能力。此外，在为信息系统选择和使用基本要求时，出发点是保证信息系统具有相应等级的基本安全保护能力。但用户在进行信息系统安全建设整改时，可以在基本要求中的各级要求基础上，参考其他标准、行业要求和系统实际，提出特殊安全要求，开展安全建设整改。 基本要求给出了各级信息系统每一保护方面需达到的要求，但不是具体的安全建设整改方案或作业指导书，实现基本要求的措施或方式并不局限于基本要求给出的内容，要结合系统自身特点综合考虑采取的措施来达到基本要求提出的保护能力。基本要求中不包含安全设计和工程实施等内容，因此，在系统安全建设整改中，可以参照信息系统安全等级保护实施指南、信息系统等级保护安全设计技术要求和信息系统安全工程管理要求进行。基本要求综合了信息系统物理安全技术要求、信息系统通用安全技术要求和信息系统安全管理要求的有关内容，在进行系统安全建设整改方案设计时可进一步参考后三个标准。信息系统运营使用单位在根据基本要求进行安全建设整改方案设计时，要按照整体安全的原则，综合考虑安全保护措施，建立并完善系统安全保障体系，提高系统的整体安全防护能力。3 安全管理建设整改工作的内容和方法按照国家有关规定，依据信息系统安全等级保护基本要求，参照信息系统安全管理要求等标准规范要求，开展信息系统安全管理建设整改工作（工作流程见图4）。明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析挂项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测。系统运维管理图4：信息系统安全管理建设整改工作流程图4中的安全管理措施是按照一般工作顺序排列的，因此与基本要求安全管理要求部分的分类层次有所不同，但内容是一致的。3.1 落实信息安全责任制信息系统的运营使用单位可以建立统一的信息安全领导机构对本单位信息系统进行决策和管理，明确信息安全的主管领导，落实安全管理责任部门。如果单位内不同信息系统由不同的部门负责运行和维护，各信息系统应分别设立运行维护岗位并建立相关的人员管理制度，明确每个岗位和人员的职责与任务。落实安全责任制的具体措施还应参照执行相关管理规定，例如在党政机关信息系统应执行关于加强党政机关计算机信息系统安全和保密管理的若干规定，其中要求“各级应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员”。3.2 信息系统安全管理现状分析在开展信息系统安全管理建设整改之前，通过开展信息系统安全管理现状分析，查找信息系统安全管理建设整改需要解决的问题，明确信息系统安全管理建设整改的需求。可参考以下步骤进行：（一）分析信息系统现有安全管理体系了解信息系统的安全组织管理架构、管理策略，安全管理部门设置情况，安全岗位和人员情况，安全管理制度的制定和落实情况等，掌握信息系统现有安全管理体系现状。（二）分析信息系统安全管理差距在开展信息系统安全管理建设整改之前，采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全管理方面存在的问题，形成安全管理建设整改的需求。开展信息系统安全管理差距分析工作，主要依据基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南。（三）论证和确定安全管理需求对安全管理建设整改需求进行评审论证，该项工作可与安全技术需求论证工作一并进行。3.3 确定安全管理策略，制定安全管理制度根据安全管理需求，确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；制定系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；制定系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容；制定定期检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。规范安全管理人员或操作人员的操作规程等，形成安全管理体系（如图5所示）。安全管理体系安全管理目标和安全策略各类安全管理制度各类安全操作规程各类操作过程记录表格图5 安全管理体系安全管理体系规划的核心思想是调整原有管理模式和管理策略，既从全局高度考虑为整个信息系统制定安全管理目标和统一的安全管理策略，又要从每个定级系统的实际等级、实际需求出发，选择和调整具体的安全管理措施，最后形成统一的系统整体安全管理体系。3.4 落实安全管理措施3.4.1 人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。一般单位都有统一的人事管理部门负责人员管理，这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理，例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核，与关键岗位人员签署保密协议，对离岗人员撤销系统帐户和相关权限等措施。只有注重对安全管理人员的培养，提高其安全防范意识，才能做到安全有效的防范，因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。具体依据标准基本要求中人员安全管理，同时可以参照信息系统安全管理要求等。3.4.2 系统运维管理1、环境和资产安全管理环境包括计算机、网络机房环境以及设置有网络终端的办公环境，明确环境安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。资产包括介质、设备、设施、数据、软件、文档等，资产管理不等同于设备物资管理，而是从安全和信息系统角度对资产进行管理，将资产作为信息系统的组成部分，按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据标准基本要求中系统运维管理，同时可以参照信息系统安全管理要求等。2、设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据标准基本要求中系统运维管理，同时可以参照信息系统安全管理要求等。3、日常运行维护明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理；制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度；制定与信息系统安全管理相配套的规范和操作规程并落实执行；正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施，对运行安全进行监督检查。具体依据标准基本要求中系统运维管理，同时可以参照信息系统安全管理要求等。4、集中安全管理第三级以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据标准基本要求中系统运维管理，同时可以参照信息系统等级保护安全设计技术要求和信息系统安全管理要求等。5、事件处置与应急响应按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据标准基本要求中系统运维管理，同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。6、灾难备份要对第三级以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体依据标准基本要求中系统运维管理和信息系统灾难恢复规范。7、安全监测开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据标准基本要求中系统运维管理。8、其他对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。3.4.3 系统建设管理系统建设管理的重点是与系统建设活动相关的过程管理，由于主要的建设活动是由服务方，如集成方、开发方、测评方、安全服务方等完成，运营使用单位人员的主要工作是对之进行管理，应制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法，并按照管理制度落实各项管理措施，完整保存相关的管理记录和过程文档。具体依据标准基本要求中系统建设管理。3.5 安全自查与调整制定安全检查制度，明确检查的内容、方式、要求等，检查各项制度、措施的落实情况，并不断完善。定期对信息系统安全状况进行自查，第三级信息系统每年自查一次，第四级信息系统每半年自查一次。经自查，信息系统安全状况未达到安全保护等级要求的，应当进一步开展整改。具体依据标准基本要求中安全管理机构，同时可以参照信息系统安全管理要求等。4 安全技术建设整改工作的内容和方法按照国家有关规定，依据基本要求，参照信息系统通用安全技术要求、信息系统等级保护安全设计技术要求等标准规范要求，开展信息系统安全技术建设整改工作（工作流程见图6）。信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收项目实施方案详细设计等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全.项目实施方案详细设计应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施图6：信息系统安全技术建设整改工作流程信息系统安全技术整改建设的工作流程包含了一般信息系统建设的普遍流程，即从设计、建设实施到验收测评的过程。以下各节顺序描述各阶段的工作内容。4.1 信息系统安全保护技术现状分析了解掌握信息系统现状，分析信息系统的安全保护状况，明确信息系统安全技术建设整改需求，为安全建设整改技术方案设计提供依据。（一）信息系统现状分析了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况，分析信息系统的边界、构成和相互关联情况，分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可参照信息系统安全等级保护实施指南中“信息系统分析”的内容。（二）信息系统安全保护技术现状分析在开展信息系统安全技术建设整改之前，应通过开展信息系统安全保护技术现状分析，查找信息系统安全保护技术建设整改需要解决的问题，明确信息系统安全保护技术建设整改的需求。可采取对照检查、风险评估、等级测评等方法，分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距，分析系统已发生的事件或事故，分析安全技术方面存在的问题，形成安全技术建设整改的基本安全需求。在满足基本要求基础上，可以结合行业特点和信息系统安全保护的特殊要求，提出特殊安全需求。具体可参照基本要求、信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南等标准。（三）安全需求论证和确定安全需求分析工作完成后，将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证，形成评审论证意见。4.2 信息系统安全技术建设整改方案设计在安全需求分析的基础上，开展信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预算和工程实施计划等，为后续安全建设整改工程实施提供依据。4.2.1 确定安全技术策略，设计总体技术方案安全技术策略是基于安全需求分析形成的纲领性的安全文件，包括安全工作的总体原则、安全策略等，用于指导信息系统安全技术体系和安全管理体系的构建。总体原则应该阐明安全工作的任务和总体目标，规定信息安全责任机构和职责，规定安全工作运行模式等。安全工作策略应说明安全组织机构设置策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等。在进行信息系统安全建设整改技术方案设计时，以安全需求为驱动，采用的安全技术措施、以及配套的安全管理措施等均应满足信息系统的基本安全需求为目的，缺什么补什么。由于安全措施不是完全独立存在的，彼此间存在互补、增强的作用，应通过结构化的设计形成有机的安全保护体系，最大程度发挥安全措施的保护能力。当信息系统包含多个不同安全保护等级的子系统时，各个子系统应按照其级别实施保护，当将多个级别的子系统作为一个对象进行保护时，应按照其中的最高级别要求进行保护。在进行信息系统安全建设整改技术方案设计时,可以采取不同的技术思路，最终达到等级保护基本要求。具体操作时，既可以针对安全现状分析发现的问题进行加固改造，缺什么补什么；也可以进行总体的安全技术设计，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，最大程度发挥安全措施的保护能力。如果需要进行总体安全技术设计中，既可以参照基本要求，从物理安全、网络安全、主机安全、应用安全和数据安全等方面进行设计。也可以参考信息系统等级保护安全设计技术要求，从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行安全技术设计。具体实现时还需要根据局域网之间的互连情况设计通信网络的安全保护技术措施；根据每个局域网内部子系统的安全等级规定局域网内部的网络区域划分和子系统对应规则；根据每个局域网内部子系统的互连情况规定不同安全等级子系统的互连规则和子系统之间边界保护技术措施；根据每个子系统的级别设计子系统内部主机系统和应用系统的安全保护技术措施。总体安全技术设计不限于上述两种方法，无论采取什么设计方法，都要以基本要求为安全目标。图3 安全技术体系设计实例数据安全设计4.2.2 安全技术方案详细设计1、物理安全设计可以从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计应对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。对于不同安全保护等级子系统各自独立使用机房或独立使用某个部分（区域）的情况，其独立部分可根据不同安全保护等级的要求和需求独立设计。对于不同安全保护等级子系统共用机房或共用某些部分（区域）的情况，其共用部分按照最高原则进行设计，即按照最高级别的信息系统的要求和需求进行设计。具体依据标准基本要求中的物理安全，同时可以参照信息系统物理安全技术要求等。2、通信网络安全设计对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络（租用线路）等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计应关注保障通信完整性、保密性和可靠性所需采用的安全技术机制或安全技术措施的设计，例如如何借助设备或软件实现校验机制、加密机制或冗余机制等。对构成通信网络的网络设备、安全设备等的网络管理机制进行设计，并对采用的安全技术机制或安全技术措施的技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。对于不同安全保护等级子系统各自独立使用通信网络的情况，其独立部分可根据不同安全保护等级的要求和需求独立设计；对于不同安全保护等级子系统共用通信网络或共用部分通信网络的情况，其共用部分按照最高原则进行设计，即按照最高级别的系统的要求和需求进行设计。对于通信网络是租用线路的情况，应将通信网络的安全保护需求告知服务方，由服务方提供通信网络安全保护所需的安全技术机制或安全技术措施。具体依据标准基本要求中“网络安全”，同时可以参照网络基础安全技术要求等。3、区域边界安全设计对信息系统所涉及的各个局域网络及局域网内各区域进行安全设计，设计内容包括对区域划分、区域边界保护、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。区域边界安全设计需要关注实现区域划分、边界保护、访问控制、安全审计、入侵防范、恶意代码防范等所需采用的安全技术机制或安全技术措施的设计，例如如何采用防火墙或路由器等实现边界保护，如何使用防火墙或交换机等实现区域划分，如何部署设备和软件实现入侵防范、恶意代码防范等，应设计局域网络中网络设备、安全设备等的安全管理机制。区域边界安全设计可对所采用的安全技术机制或安全技术措施，如防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等的技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。对于区域内只有一个级别定级系统的情况，应根据其级别进行区域边界设计；对于不同安全保护等级定级系统共存于一个区域边界的情况，应对区域边界的安全设计进行整体考虑。可将局域网划分成不同的安全区域，尽量将不同安全保护等级定级系统涉及到的设备，如服务器、工作站等独立划分在不同的网络安全区域内。不同的网络安全区域根据其中定级系统的级别采用不同的安全保护措施，不同的网络安全区域之间应考虑边界保护设计，根据各个网络安全区域中的定级系统级别，考虑采用防火墙、交换机或其他安全技术措施实现区域之间的隔离保护。在无法将不同安全保护等级定级系统所涉及的设备进行划分时，即不同安全保护等级定级系统共用大量设备（包括服务器、交换机等）时，对局域网络可采用纵深防御的思想设计内层和外层，尽量将级别较高的定级系统划分在内层网络安全区域内，外层网络安全区域是级别较低的定级系统。外层和内层网络安全区域，各自根据其中定级系统的级别，按照最高原则进行设计。外层网络安全区域应根据其中定级系统的最高级别，设计对外界的边界防护措施；内层网络安全区域应根据其中定级系统的最高级别，设计对外层网络安全区域的边界防护措施；应确保外界对内层网络安全区域的访问通过外层网络区域的过渡。具体依据标准基本要求中的“网络安全”，同时可以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。4、主机系统安全设计对信息系统涉及到的服务器和工作站进行主机