天融信等保方案.

《天融信等保方案.》由会员分享，可在线阅读，更多相关《天融信等保方案.（32页珍藏版）》请在金锄头文库上搜索。

1、天融信等级保护解决方案 TopSec等级保护体系 天融信安全服务总监 田野 Tian_ye 等级保护的政策文件 2003年9月 中办国办颁发 关于加强信息安 全保障工作的意见 中办发200327号 2005年9月 国信办文件 关于转发电 子政务信息安全等 级保护实施指南 的通知 国信办200425号 2006年1月 四部委会签 关于印发信 息安全等级保护管 理办法的通知 公通字20067号 2005年 公安部标准 基本要求 定级指南 实施指南 测评准则 2004年11月 四部委会签 关于信息安全等 级保护工作的实施 意见 公通字200466号 云南 云南省人民 政府第130 号令 浙江 浙江省

2、人民 政府令 北京 第 9号令 国家级政策文件国家级技术标准国家级政策文件地方政策文件 等级保护的管理结构北京为例 国家信息办 公安部网监局 北京信息办北京公安局网监处 北京测评中心北京研究一所 管理职能： 监管和测评 技术支持单位： 定级、测评 安全厂商、服务商安全厂商、服务商 服务实施单位： 咨询、实施、产 品、运维 北京信息办 北京信息办 北京测评中心 北京测评中心 北京公安局网监处 北京公安局网监处 北京研究一所 北京研究一所 安全厂商、服务商 安全厂商、服务商 安全厂商、服务商 安全厂商、服务商 政策、宏观管 理、协调 电子政务领域其他行业领域 北京市属 的电子政 务系统 地处北京

3、的各部委 各行业 等级保护的政策文件与技术演进 2003年9月 中办国办颁发 关于加强信息安全保 障工作的意见 （中办发200327号） 2004年11月 四部委会签 关于信息安全等级保 护工作的实施意见 （公通字200466号） 2005年9月 国信办文件 关于转发电子政 务信息安全等级保护实 施指南的通知 （国信办200425号） 2005年 公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 总结成一种安全工 作的方法和原则 最先作为“适度 安全”的工作思 路提出 确认为国家信息安 全的基本制度，安 全工作的根本方法 形成等级保护的基 本理论框架，制定 了

4、方法，过程和标 准 等级保护基本需求 政策要求符合等级保护的要求 系统定级 系统符合基本要求中相应级别的指标 符合测评准则中的要求 实际需求适应客户实际情况 适应业务特性与安全要求的差异性 可工程化实施 基本安全要求中的各级指标 某级系统 物理安全 技术要求管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 等级保护的生命周期 信息系统等级保护实施生命周期内的主要活动 规划设计阶段安全实施/实现阶段安全运行管理阶段 等级化风险评估 安全总体设计 安全建设规划 安全方案设计 安全产品采购 安全控制集成 测试与验收 管理

5、机构的设置 管理制度的建设 人员配置和岗位培训 安全建设过程的管理 操作管理和控制 变更管理和控制 安全状态监控 安全事件处置和应急预案 安全评估和持续改进 监督检查 定级阶段 系统调查和描述 子系统划分/分解 子系统边界确定 安全等级确定 定级结果文档化 等级保护实施中需要解决的问题 标准中从“单个系统”出发，但实际工作是从 组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建立长效机制方面考虑较少，难以做到可持 续运行、发展和完善 管理难度太大，管理成本高 需求分析1 问题

6、1：标准中从“单个系统”出发，但实际工作 是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 需求：从组织整体出发，综合考核所有系统 方法：引入体系设计方法 组织战略和业务目标 组织总体信息安全目标 安全要求安全措施 结构体 安全体系设计方法 结构化分解原则： 从组织总体目标出发 充分覆盖，互不重叠，不可再细分 安全体系的组成 安 全 问 题 保护对 象框架 安全对 策框架 界定和分解 映射 安全体系 综合 需求分析2 标准中从“单个系统”出发，但实际工作是从 组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要

7、求描述很困难 需求：准确地进行大系统的分解和描述，反映实际特 性和差异性安全要求 方法：引入保护对象框架设计方法 保护对象框架电信行业 保护对象框架-政府行业 中央节点 直属节点 政务外网政务专网政务内网 保护对象框架银行业 需求分析3 标准中从“单个系统”出发，但实际工作是从 组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 需求：统一规划，集中建设，避免重复和分散，降低 成本，提高建设水平 方法：引入安全平台的设计与建设方法 终端管理和防病毒集中管理平台集中机房与物理环境安全

8、 安全管理运行中心 终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台 终端安全 全程全网监控和审计平台全网统一监控和审计平台 终端管理和防病毒集中管理平台安全域和网络访问控制平台 基础设施安全 网络安全 监控审计 第三方统一安全接入平台应用加密平台 第三方统一安全接入平台 统一鉴别认证平台 数据备份与冗灾平台 统一身份认证与授权管理平台 认证 授权 数据安全 加密 应用安全 安全平台 物理安全 平台定义：为系统提供互操作性及其服务的环境 需求分析4 标准中从“单个系统”出发，但实际工作是从组织整体 出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异

9、性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建立长效机制方面考虑较少，难以做到可持续运行、 发展和完善 需求：建立长效机制，建立可持续运行、发展和完善的体 系 方法：建立安全运行体系 项目建设 安全管理 安全风险 管理 安全运行 维护 安全体系 的建设 制定企业业或 部门级门级 体系 制定总总体 安全体系 按要求开展工作 安全目标标 安全要求 提出安全 规规范、要求 根据要求 评评估建设设 跟踪、定期审审核 安全建设设工作 按要求进进行 安全建设设工作 申请请立项项 提供项项目安全说说明 弱点评评估 系统统加固安全事件处处理 按要求进进行 建设设 应应急响应计应计 划

10、 定期评评估 安全现现状 监监控、审计审计 安全现现状 安全预预警 提出规规范、要求 设备设备 安全维护维护 系统统安全维护维护 考核和检查检查 落实规实规 范、要求 制定运维维作业计业计 划 总部层面 省级层面 系统层面 安全运行体系 需求分析5 标准中从“单个系统”出发，但实际工作是从组织整 体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建立长效机制方面考虑较少，难以做到可持续运行 、发展和完善 管理难度太大，管理成本高 需求：需要高水平、自动化的安全管理工具 方法：引入安全

11、管理平台 安全运维工作过程 正常工作流程自上而下异常工作流程自下而上 安全管理中心框架 需求分析总结 符合等级保护制度与标准 引入体系设计方法 引入保护对象框架设计方法 引入安全平台的设计与建设方法 建立安全运行体系 以可信的理念和技术作支撑 总体解决方案TopSec等级保护体系 遵照国家等级保护制度、满足客户实际需求，采用等级 化、体系化相结合的方法，为客户建设一套覆盖全面、 重点突出、节约成本、持续运行的安全保障体系。 实施后状态：一套持续运行、涵盖所有安全内容的安全 保障体系，是企业或组织安全工作所追求的最终目标 特质： 等级化：突出重点，节省成本，满足不同行业、不同发展阶段、 不同层次

12、的要求 整体性：结构化，内容全面，可持续发展和完善，持续运行 针对性：针对实际情况，符合业务特性和发展战略 等级保护体系设计方法 整体 安全目标 分等级的 保护对象框架 体系建设 和运行 组织体系技术体系运作体系 策略体系 安全要求与对策框架 客户的信息资产 定级分解 国家规定的 各等级 安全要求 定制 分等级的 安全目标 等级化 安全体系 等级保护体系安全措施框架 安全策略体系 安全技术术体系 身份 认证认证 加密 加固 审审核 跟踪 访问访问 控制 防恶恶意 代码码 监监控 备备份 恢复 管理制度组织职责组织职责技术标术标 准规规范 信息安全政策 安全 组织组织 教育 培训训 人员员 职责

13、职责 人员员 安全 安全组织组织 体系 安全体系建设设 项项目建设设安全管理 安全风险风险 管理 与控制 安全运行与维护维护 安全运行体系 成果安全组织体系 主管领导（主管安全） 领导小组组长 信息安全领导小组 业务部门负责人 成员 安全部门负责人 工作组组长 管理部门负责人 成员 部门安全管理员 成员 部门安全管理员 成员 安全办公室负责人 负责人 安全管理员 安全技术员 信息安全工作组 信息安全办公室 成果安全策略体系 信息安全方针 管理规定工作流程安全组织人员职责技术规范 信息安全体系 公司层面 部门安全工作管理办法部门安全组织人员职责部门层面 工作表单 运行维护计划 应急响应计划 系统

14、层面 终端管理和防病毒集中管理平台集中机房与物理环境安全 安全管理运行中心 终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台 终端安全 全程全网监控和审计平台全网统一监控和审计平台 终端管理和防病毒集中管理平台安全域和网络访问控制平台 设备安全配置与加固 基础设施安全 各主机网络设备 网络安全 监控审计 第三方统一安全接入平台应用加密平台 第三方统一安全接入平台 统一鉴别认证平台 数据备份与冗灾平台 统一身份认证与授权管理平台 应用系统安全增强 各应用系统 认证 授权 数据安全 加密 应用安全 安全管理平台 成果安全技术体系 物理安全 可信接入控制平台 可信信息交换平台 可信监管平台 项

15、目建设 安全管理 安全风险 管理 安全运行 维护 安全体系 的建设 制定企业业或 部门级门级 体系 制定总总体 安全体系 按要求开展工作 安全目标标 安全要求 提出安全 规规范、要求 根据要求 评评估建设设 跟踪、定期审审核 安全建设设工作 按要求进进行 安全建设设工作 申请请立项项 提供项项目安全说说明 弱点评评估 系统统加固安全事件处处理 按要求进进行 建设设 应应急响应计应计 划 定期评评估 安全现现状 监监控、审计审计 安全现现状 安全预预警 提出规规范、要求 设备设备 安全维护维护 系统统安全维护维护 考核和检查检查 落实规实规 范、要求 制定运维维作业计业计 划 总部层面 省级层面

16、 系统层面 成果安全运行体系 安全管理运行中心 技术体系 安全组织设置和岗位职责 安全教育、培训与资质认证 组织体系 安全策略体系设计 安全策略与流程推广实施 策略体系 项目建设的安全管理 安全风险管理与控制 保护对象框架 内部与第三方人员安全管理 日常安全运行与维护 安全体系推广与落实 运作体系 全程全网监控和审计平台统一监控与审计管理平台 终端管理和防病毒集中管理平台安全域和网络访问控制平台 终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台 设备安全配置与加固 基础设施安全 第三方统一安全接入平台应用加密平台 第三方统一安全接入平台 统一鉴别认证平台 数据备份与冗灾平台 统一身份认证与授权管理平台 应用系统安全增强 应用安全 等级保护体系的实现 安全组织与职责设计