中国人民银行国家外汇管理局等保系统建设实施方案(人行)

中国人民银行国家外汇管理局信息安全等级保护实施方案北京中软华泰信息技术有限责任公司2009年5月7日目录1.方案设计依据...........................................................................................................32.实现目标...................................................................................................................53.建设流程...................................................................................................................73.1建设筹备...........................................................................................................73.1.1风险评估.................................................................................................73.1.2需求分析.................................................................................................83.1.4方案设计.................................................................................................93.2等保体系技术部分建设.................................................................................103.2.1安全管理中心建设...............................................................................103.2.2计算环境安全建设...............................................................................113.2.3区域边界保护建设...............................................................................133.2.4网络通讯安全建设..............................................................................133.2.5应用安全封装与进程隔离...................................................................143.2.6建设总结...............................................................................................143.3等保体系管理部分建设................................................................................143.3.1安全管理组织机构建设.......................................................................153.3.2安全管理制度体系建设.......................................................................163.3.3人员安全管理建设...............................................................................173.3.4整合多种安全技术手段为安全管理提供支撑和依据.......................173.3.5总结.......................................................................................................181.方案设计依据国家高度重视信息安全保护工作，为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。 国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。制定了包括《计算机信息系统安全保护等级划分准则》（GB17859‐1999）、《信息系统安全等级保护定级指南》(GB/T 22240‐2008)、《信息系统安全等级保护基本要求》(GB/T22239‐2008)、《信息安全技术 操作系统安全评估准则》（GB/T20009‐2005）、《信息安全技术 信息系统安全管理要求》（GB/T20269‐2006）等50多个国标、行标以及已报批标准，初步形成了信息安全等级保护标准体系。 国家外汇管理局是中国人民银行管理的国家局（副部级），是重要的政府职能部门，担负着制订政策、法规和加强监督检查；对外汇指定银行、外汇市场、收付汇核销、外汇投资、外债和外汇储备等方面的监督管理，充分发挥汇率等经济手段对外汇收支活动的调节作用，强化统计、分析、预测、调研等重要管理职能。我们必须按照结合有关政策、法规、文件及标准来建设有外汇管理局特色的信息安全系统。 以下是本方案参考相关法规和标准：相关法规国务院147号令《中华人民共和国计算机信息系统安全保护条例》中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）政策文件公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知）基础标准计算机信息系统安全保护等级划分准则GB17859-1999定级标准信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008)整改与建设信息安全技术信息系统安全管理要求GB/T20269-2006信息安全技术网络基础安全技术要求GB/T20270-2006信息安全技术信息系统通用安全技术要求GB/T20271-2006信息安全技术操作系统安全技术要求GB/T20272-2006信息安全技术数据库管理系统通用安全技术要求GB/T20273-2006信息安全技术操作系统安全评估准则GB/T20009-2005信息安全技术信息系统安全等级保护基本要求GB/T22239-2008信息安全技术信息系统等级保护安全设计技术要求(已送批)信息安全技术信息系统安全等级保护基本模型GA/T709-2007其他相关标准等……信息安全技术服务器技术要求GA/T671-2006信息安全技术终端计算机系统安全等级技术要求GA/T672-2006其他相关标准等……系统实施信息安全技术信息系统安全等级保护实施指南其他相关标准等……技术标准安全管理信息安全技术信息系统安全工程管理要求GB/T20282-2006其他相关标准等……2.实现目标外汇管理局作为国家重要的管理职能部门，必须严格的按照有关法规、政策、精神、标准等中的有关规定，对自身的网络与信息安全实行等级保护。以相关技术标准以及其他有关规定为依据，构建达到自身安全信息安全等级要求的保障体系，使外汇管理局的网络与信息安全达到有关标准的要求，并满足自身的安全要求。总体目标是建立一个中心（安全管理中心）统一管理下的三层（安全计算环境、安全区域边界、安全通信网络）纵深防御体系，提高整体安全防护能力，保障网络、信息、业务应用的安全。并使外汇管理局的业务内网、业务外网、官方网站的信息系统满足《信息系统安全等级保护基本要求》的要求及自身的安全要求。具体目标如下：（1）建设集中统一的安全管理中心，实现对所有信息资产的统一管理、统一安全策略，以及安全事件的统一监控和协同处理；（2）建设集中统一的密钥管理中心，实现对系统的密钥统一分发，统一更新。（3）加强用户终端的安全、可靠性，防止通过合法终端系统对业务信息和信息系统的非法访问，加强对非法网络接入的控制措施；（4）加强终端对恶意代码的免疫能力，从根本上遏制恶意代码的发作和传播；（4）对全系统划分不同的安全域，制定与之适应的安全防护措施和安全机制；以及跨域访问的安全策略。保证系统在既定的统一策略下安全运行。（5）加强对网络行为进行监控及审计，提供对网络非法行为的发现、追踪和控制能力；（6）建立一套完整的安全审计系统，对系统中所有的破坏系统安全的行为进行详细的记录和追溯。（7）通过集成相关的安全产品和安全服务，构造多层防御的安全保障体系，确保信息和网络安全、高效、可靠运行。3.建设流程外汇管理局信息系统等级保护安全设计以国家等级保护相关政策规范和技术标准要求为依据，结合外汇管理局信息化建设现状，管理与技术并重，以自主知识产权和国产化信息装置为基础，建成“分级分域、多层防护”的具有外汇管理局特色的信息安全等级保护深度防御体系。在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。外汇管理局信息安全等保体系整体建设分为两大部分，分别为技术部分建设和管理部分建设。最终建设目标为：建设满足《信息系统安全等级保护基本要求》的要求以及外汇管理局自身安全要求的信息系统等保体系。（如下图） 3.1建设筹备安全规划与方案设计阶段的目的是提出科学实施安全措施的方案，规划综合防范的安全保障体系，实现整体安全。安全规划与方案设计包括安全风险评估、安全需求分析、安全项目规划、安全方案设计等几个步骤。3.1.1风险评估风险评估是以安全建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向，提出整改意见。风险评估必须符合《信息安全技术信息安全风险评估规范》（报批稿）中的要求；等级保护符合国家涉密系统和非涉密等级保护的安全要求；安全管理体系包括安全组织、安全策略和服务支持；安全技术体系包括物理安全防护、加密、信任体系和防护体系。风险评估工作需要聘请国家许可的专业部门对信息安全风险、业务流程安全风险、网络安全风险、通讯安全风险、无线安全风险、物理安全风险等方面依据国家的标准进行评估，评估基本流程如下：风险评估的基本流程图3.1.2需求分析通过等级化风险评估，可以看到各系统的安全现状，通过等级化安全体系的设计，可以看到政务机构或系统的安全目标，通过对现有安全措施的评估明确系统的安全现状，结合国家和行业政策要求，在现状和等级之间可以分析得到安全需求。（如下图）3.1.4方案设计方案设计是在安全需求分析之后，将类似的一组安全需求打包并设计一系列的解决方案；通过分析系列解决方案的紧迫性、可实施性、实施难易程度、