1 項目背景

　　為落實某部委黨組“先從部機(jī)關(guān)信息化入手，帶動全行業(yè)信息化發(fā)展”的有關(guān)部署，2001年、2005年和2007年，部機(jī)關(guān)先后實施了信息化一期、二期工程以及通信信息系統(tǒng)改造工程，建設(shè)了XX行業(yè)主管部門的涉密局域辦公網(wǎng)，即某部委電子政務(wù)涉密信息系統(tǒng)，并與外網(wǎng)物理隔離，整體提高了部機(jī)關(guān)行政辦公的信息化水平。為加強(qiáng)涉及國家涉密信息系統(tǒng)的保密管理，依據(jù)BMB相關(guān)國家標(biāo)準(zhǔn)，某部委對其內(nèi)網(wǎng)電子政務(wù)涉密信息系統(tǒng)進(jìn)行了相應(yīng)等級的安全保密建設(shè)和管理。

　　2010年至2011年期間，先后開展了對分級保護(hù)建設(shè)的可研、方案設(shè)計、建設(shè)實施，并于2011年10月19日順利通過了相關(guān)國家保密測評機(jī)構(gòu)對某部委電子政務(wù)涉密信息系統(tǒng)的嚴(yán)格測評。

　　2 建設(shè)路線

　　在某部委電子政務(wù)信息系統(tǒng)分級保護(hù)建設(shè)實施過程中，依據(jù)《某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)工程詳細(xì)設(shè)計方案》及國家相關(guān)標(biāo)準(zhǔn)規(guī)范等文件，嚴(yán)格按照PMP項目管理方法論，對項目啟動后把實施過程分為設(shè)計(深化)過程、落地(建設(shè))過程、監(jiān)控過程三個過程組，并通過調(diào)研分析、體系規(guī)劃、體系建設(shè)和體系完善(PDCA)的建設(shè)思路，運(yùn)用崗位與職責(zé)、策略體系、流程體系、技術(shù)工具、人員培訓(xùn)、安全管控等方法進(jìn)行落地實施。

　　在設(shè)計過程中，首先詳細(xì)解讀了《某部委電子政務(wù)涉密信息系統(tǒng)分級保護(hù)工程詳細(xì)設(shè)計方案》，周密分析了客戶信息系統(tǒng)應(yīng)用環(huán)境，全面展開了對技術(shù)以及管理等的全面細(xì)致調(diào)研，分析現(xiàn)狀與標(biāo)準(zhǔn)及客戶需求的差距，逐項梳理實施建設(shè)任務(wù)，完成《分級保護(hù)深化設(shè)計及實施方案》、《安全保密策略總綱》、建設(shè)任務(wù)一覽表、職責(zé)矩陣、《項目進(jìn)度計劃》等過程文檔。

　　在落地過程中，通過太極信息安全保障體系落地方法論，建立技術(shù)、管理、運(yùn)維三大保障體系，按照《分級保護(hù)深化設(shè)計及實施方案》，分為安全域改造、應(yīng)用系統(tǒng)改造、安全策略部署與試運(yùn)行以及安全服務(wù)四個階段，遵照“綜合部署、分布落實、逐一核查”等原則，實現(xiàn)由標(biāo)準(zhǔn)緊扣方案、建設(shè)貼近客戶需求的完美落地，從而完成某部委電子政務(wù)信息系統(tǒng)安全保護(hù)的建設(shè)工作。

　　在監(jiān)控過程中，對常規(guī)項目落地過程中的內(nèi)容進(jìn)行監(jiān)督管理，通過技術(shù)、工具和專家判斷等方法對項目實施的內(nèi)容，包括管理、技術(shù)方面的內(nèi)容進(jìn)行有效性檢測，將不貼近客戶需求、無法落地或由于條件限制暫時無法落地的內(nèi)容進(jìn)行記錄，與客戶溝通、交流，協(xié)調(diào)資源(人力資源、環(huán)境資源、必要的設(shè)備等)保障實施過程按照既定的項目計劃進(jìn)行，最關(guān)鍵的因素還是要取得客戶認(rèn)同和達(dá)到標(biāo)準(zhǔn)要求。監(jiān)控手段包括有效性測量、不符合項記錄、控制測量、內(nèi)部審核、用戶評審等。

　　3 建設(shè)落地

　　通過基礎(chǔ)調(diào)研，對某部委電子政務(wù)內(nèi)網(wǎng)物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用和制度等層面展開了全面了解及分析。基于此分析結(jié)果，編制體系完善的《某部委分級保護(hù)工程深化設(shè)計及實施方案》、《某部委涉密信息系統(tǒng)涉密安全保密策略總綱》、項目建設(shè)任務(wù)一覽表、項目職責(zé)矩陣和《項目進(jìn)度計劃》等過程文檔。

　　實施落地過程從安全域改造、網(wǎng)絡(luò)割接到應(yīng)用系統(tǒng)改造、集成部署、策略實施及安全服務(wù)全環(huán)節(jié)實現(xiàn)分級保護(hù)體系建設(shè)的落地過程。

　　(1)安全域改造

　　依據(jù)BMB標(biāo)準(zhǔn)要求，綜合考慮信息密級、信息分類、信息交換、行政級別、功能需要和業(yè)務(wù)需求等方面，將原有內(nèi)網(wǎng)結(jié)構(gòu)及連接信息作備份，通過網(wǎng)絡(luò)割接、區(qū)域調(diào)整、VLAN劃分等方式，重新調(diào)整某部委涉密內(nèi)網(wǎng)安全策略，包括內(nèi)網(wǎng)中的網(wǎng)絡(luò)、主機(jī)、終端、存儲等密級標(biāo)識、訪問控制、權(quán)限綁定等策略，使不同密級的信息資源、用戶不能互聯(lián)互通，且需要物理隔離，安全域邊界采用訪問控制、入侵監(jiān)測和網(wǎng)絡(luò)審計等邊界防護(hù)設(shè)備。通過劃分安全域，可將傳統(tǒng)的“按最高密級防護(hù)原則”轉(zhuǎn)變?yōu)椤胺钟蚍旨壏雷o(hù)策略”，大幅度降低建設(shè)成本和運(yùn)營管理成本。

　　(2)應(yīng)用系統(tǒng)改造

　　應(yīng)用系統(tǒng)中嚴(yán)格遵照“最小授權(quán)原則”和“強(qiáng)制訪問控制要求”，安全認(rèn)證實現(xiàn)統(tǒng)一身份管理，統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理，統(tǒng)一訪問控制、統(tǒng)一責(zé)任認(rèn)定和統(tǒng)一信息交換“六個統(tǒng)一”等。對應(yīng)用系統(tǒng)中產(chǎn)生的涉密文件進(jìn)行密級標(biāo)識，并與認(rèn)證賬戶相關(guān)聯(lián)實現(xiàn)抗抵賴性和不可否認(rèn)性設(shè)計。改造應(yīng)用系統(tǒng)實現(xiàn)賬戶管理和口令管理功能，根據(jù)賬戶授予其相應(yīng)的訪問權(quán)限，實現(xiàn)三權(quán)分立。對應(yīng)用系統(tǒng)設(shè)計實現(xiàn)系統(tǒng)安全審計功能，進(jìn)行系統(tǒng)啟動和關(guān)閉，賬戶登錄和修改，以及對涉密文件的操作：建立、復(fù)制、修改、刪除、打印等進(jìn)行審計內(nèi)容設(shè)計和實現(xiàn)。

文章作者：it168網(wǎng)站