欧阳美编撰：2021年金融机构三级信息安全等级保护建设详解

该文档是欧阳美在2021年1月1日编撰的一份详细的安全等级保护建设方案，针对的是金融机构，特别是在互联网金融领域。信息安全等级保护（三级）的建设被提出，旨在应对日益严重的信息安全问题，尤其是在民生和金融相关单位中频发的网络安全威胁。 1. 政策与标准: 文档首先介绍了相关政策背景，如2007年发布的861号文件，它明确了重要信息系统安全等级保护的要求，标志着国家对信息安全的重视程度提升。这些标准要求金融机构必须提高安全级别，确保数据和业务系统的安全性。 2. 现状与需求分析: 现状分析部分强调了金融机构面临的挑战，包括高度依赖信息系统带来的安全风险和外部攻击的频繁发生。需求分析则着重于提升系统的防护能力，包括网络边界安全、日志审计、安全运维管理等多方面的强化。 3. 建设规划: 等保三级建设主要包括五个关键部分：网络边界安全，如采用明御下一代防火墙和入侵防御系统（IPS）提供保护；日志集中审计，利用明御综合日志审计平台和数据库审计系统进行监控；安全运维审计，确保按照标准执行运维操作；核心WEB应用安全，通过WEB应用防火墙和网站卫士保护应用；以及定期进行等保及安全合规检查，借助弱点扫描器和远程安全评估系统进行自我评估。 4. 产品介绍: 文档详细列出了各种产品和服务，如明御系列产品的功能和它们如何满足等级保护三级的具体标准要求。这些产品覆盖了从边界防护到内部审计的全方位安全防护措施。 5. 咨询服务: 最后，文档提到了等保建设的咨询服务，包括服务概述、遵循的标准，如ISO 27001或GB/T 22239，以及具体的服务内容，如安全策略咨询、实施指导和持续监测等，旨在帮助客户有效实施和维护信息安全管理体系。 这份方案为金融机构提供了一个全面的框架，旨在提升其信息系统的安全防护能力，以适应互联网金融环境下的复杂威胁，并符合国家的信息安全等级保护政策和标准。