论文部分内容阅读
自1994年,国务院提出“计算机信息系统实施安全等级保护”以来,如何从技术和管理两方面制定具体的措施和实施细节,建立等级化的网络安全体系,解决等级保护制度的落地实施,就成为了各单位网络与信息安全工作的一项重要内容。目前对于等级保护的研究很多只局限于理论研究上,不能真正地应用到具体的实施工作中。本文通过大量文献的阅读和对我国等级保护制度的研究,发现当前安全建设中主要存在以下问题:第一,技术人员往往注重于网络应用系统的开发,而忽视了安全管理;第二,当前绝大多数的安全体系建设只是简单的使用一些安全产品,缺乏科学的、全面的安全管理规划;第三,缺乏具体的网络整体保护解决方案。针对以上问题,本文主要做了以下研究工作:1、本文从安全体系的建立入手,对国内外的安全标准体系进行了分析,研究了我国的等级保护制度及相关的风险评估理论,为后续的研究工作提供了重要的理论基础。2、根据风险评估流程,设计了安全体系辅助设计与评估系统,实现对各信息风险资产的风险评估,根据评估结果对系统信息安全状况做出准确的判断,为安全体系的构建提供依据。3、利用设计的安全体系辅助设计与评估系统,按照等级保护制度第二级的安全要求,对党校网络系统进行了风险评估,针对单位的安全现状提出了合理的安全目标,针对性的提出了安全技术体系和安全管理体系建设方案。4、结合中共广东省委党校实际情况,给出了符合等级保护要求二级的网络安全解决方案并落实到网络安全产品的部署上,该方案对信息安全审计系统、网络入侵防御系统、网页防篡改系统、边界访问控制等进行了较为深入的分析和探讨,给出了具体的实施细则,用以指导中共广东省委党校等级保护的建设过程。本文给出了满足等级保护二级安全要求的网络安全体系的解决方案,加入了管理的因素,并通过软硬件的部署,最后的实施结果证明了本文提出的方案可以有效地降低原有系统的风险值,实现了党校网络系统的二级安全保护,解决了等级保护的落地实施工作,希望能给有等级保护需求的机构作为参考。