1、1安全的集成模式案例2摘要通過對信息系統進行評估，為信息系統的網絡結構、管理結構和應用系統等方面的安全改造和完善提供依據中國認證中心2保障認證3內容一、需求分析二、安全風險評估三、安全加固四、安全運行監視五、安全評審六、安全提升中國認證中心3保障認證需求分析中國認證中心4保障認證符合性要求安全集成目標信息系統的現狀系統中國認證中心5保障認證系統現狀圖 系統組網中國認證中心6保障認證數據 重要數據包括如下兩類： EMSE賬號及 話單數據：信息（用于號碼、網關接入認證）；時間、接受時間等 對于運營商而言， 障這兩類數據的 的可用性、穩定性系統的安全的集成最主要的就是保性、完整性及可用性，以及業務應

2、用中國認證中心7保障認證載體 網絡載體 傳輸載體 數據與處理載體中國認證中心8保障認證安全符合性要求 國內外符合性要求 運營商符合性要求中國認證中心9保障認證國內外符合性要求 SOX要求 等級保護要求 GB/T20274-2006 信息系統安全保障評估框架 GB/T20984-2007 GB/T18336-2001 風險評估規范安全性評估準則 GB/T22081-2008/ISO/IEC27001:2005系管理體 GB/T20261-2006/ISO/IEC21827:2002系統安全工程能力成熟度模型中國認證中心10保障認證運營商 ××通用符合性要求配置規范 ×

3、;×安全域劃分和邊界整合技術要求 ××管理辦法中國認證中心11保障認證安全風險評估安全管理評估安全管理覆蓋范圍和安全管理質量安全技術評估評估系統在業務、數據、載體、環境與邊界防護等方面存在的安全問題中國認證中心12保障認證運營商安全評估方法及要求 網絡拓撲安全評估域劃分 網絡設備安全評估評估 主機操作系統安全評估 數據安全評估中國認證中心13保障認證安全管理評估 對安全管理的評估，實施采用了察看文檔、訪談、現場察看等多種方式，結合被評估方提交的材料，評估系統在管理措施方面是否計劃采用或已經采用了恰當的安全中國認證中心14保障認證安全技術評估通過對各種符合性要求進行

4、解讀和分析后，明確 項目了系統的安全技術符合性要求：主要涉及應用安全、環境與邊界安全、數據安全、載體安全（重點服務器）4個方面中國認證中心15保障認證安全技術評估方式系統安全體系架構分析安全配置檢查業務應用系統安全功能評估內部安全脆弱性檢測滲透測試中國認證中心16保障認證安全技術評估方法 在進行安全技術評估時，采用安全分析、手工檢查、自動化工具檢測、訪談等工作方式，主要是結合被評估方提交的申請材料，評估信息系統在安全體系架構設計、安全功能設計和實現、安全配置和使用等方面的正確性和 有效性中國認證中心17保障認證安全加固中國認證中心18保障認證措施實施 安全管理措施實施 安全技術措施實施措施計劃

5、 措施比對分析 確立措施實施的具體內容 擬定詳細的措施計劃措施盤點 安全管理措施盤點 安全技術措施盤點安全技術評估應用安全評估環境與邊界防護評估數據安全評估內部安全脆弱性檢測載體安全評估風險分析中國認證中心19保障認證安全運行監視 安全運行監視，簡單來說，即安全驗證。參照安全的集成模型，該階段主要需要驗證措施實施完成后，信息系統是否滿足或達到了安全符合性要求，并提取監視數據為安全評審提供數據支撐中國認證中心20保障認證安全運行監視監視內容監視方式監度安全管理符合性監視應用安全符合性監視 邊界防護安全符合性監視載體安全符合性監視人工工具1次/1周中國認證中心21保障認證安全評審評審組織評審方法評審結果運營商技術技術骨干評審數據來源評審流程評審方法策略配置載體安全漏洞被評估及集成方負責人中國認證中心22保障認證安全提升原則 制定有效、合理的安全改進方案，實現安全提升 符合性原則 安全改進后，需有效確保信息系統應用、數據、載體、邊界等各方面滿足或達到安全符合性要