《等级保护解决方案》由会员分享,可在线阅读,更多相关《等级保护解决方案(33页珍藏版)》请在金锄头文库上搜索。
1、天融信等级保护解决方案 TopSec等级保护体系天融信安全服务总监 田野 Tian_等级保护的政策文件2003年9月 中办国办颁发 关于加强信息安 全保障工作的意见 中办发200327号2005年9月 国信办文件 关于转发电 子政务信息安全等 级保护实施指南 的通知 国信办200425号2006年1月 四部委会签 关于印发信 息安全等级保护管 理办法的通知 公通字20067号2005年 公安部标准 基本要求 定级指南 实施指南 测评准则2004年11月 四部委会签 关于信息安全等 级保护工作的实施 意见 公通字200466号云南 云南省人民 政府第130 号令 浙江 浙江省人民 政府令 北京
2、第 9号令 国家级政策文件国家级技术标准国家级政策文件地方政策文件等级保护的管理结构北京为例国家信息办 公安部网监局北京信息办北京公安局网监处北京测评中心北京研究一所管理职能: 监管和测评技术支持单位: 定级、测评安全厂商、服务商安全厂商、服务商服务实施单位: 咨询、实施、产 品、运维北京信息办北京信息办北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京研究一所北京研究一所安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管 理、协调电子政务领域其他行业领域北京市属 的电子政 务系统地处北京 的各部委 各行业等级保护的政策文件与技术演进2003年9月 中办国办
3、颁发 关于加强信息安全保 障工作的意见 (中办发200327号)2004年11月 四部委会签 关于信息安全等级保 护工作的实施意见 (公通字200466号)2005年9月 国信办文件 关于转发电子政 务信息安全等级保护实 施指南的通知 (国信办200425号)2005年 公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则总结成一种安全工 作的方法和原则最先作为“适度 安全”的工作思 路提出确认为国家信息安 全的基本制度,安 全工作的根本方法形成等级保护的基 本理论框架,制定 了方法,过程和标 准等级保护基本需求 政策要求符合等级保护的要求 系统定级 系统符合基本
4、要求中相应级别的指标 符合测评准则中的要求 实际需求适应客户实际情况 适应业务特性与安全要求的差异性 可工程化实施基本安全要求中的各级指标某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续
5、改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护实施中需要解决的问题 标准中从“单个系统”出发,但实际工作是从 组织整体出发,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设,将造成分散、重复和低水平 在建立长效机制方面考虑较少,难以做到可持 续运行、发展和完善 管理难度太大,管理成本高需求分析1问题1:标准中从“单个系统”出发,但实际工作 是从组织整体出发,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 需求:从组织整体出发,综合考核所有系统 方法:引入
6、体系设计方法组织战略和业务目标组织总体信息安全目标安全要求安全措施结构体安全体系设计方法结构化分解原则: 从组织总体目标出发 充分覆盖,互不重叠,不可再细分安全体系的组成安 全 问 题保护对 象框架安全对 策框架界定和分解映射安全体系综合需求分析2 标准中从“单个系统”出发,但实际工作是从 组织整体出发,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 需求:准确地进行大系统的分解和描述,反映实际特 性和差异性安全要求 方法:引入保护对象框架设计方法保护对象框架电信行业保护对象框架石油行业保护对象框架-政府行业中央节点直属节点政务外网政务
7、专网政务内网保护对象框架银行业需求分析3 标准中从“单个系统”出发,但实际工作是从 组织整体出发,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设,将造成分散、重复和低水平 需求:统一规划,集中建设,避免重复和分散,降低 成本,提高建设水平 方法:引入安全平台的设计与建设方法终端管理和防病毒集中管理平台集中机房与物理环境安全安全管理运行中心终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台终端安全全程全网监控和审计平台全网统一监控和审计平台终端管理和防病毒集中管理平台安全域和网络访问控制平台基础设施安全网络安全监控
8、审计第三方统一安全接入平台应用加密平台第三方统一安全接入平台统一鉴别认证平台数据备份与冗灾平台统一身份认证与授权管理平台认证 授权数据安全加密应用安全安全平台物理安全平台定义:为系统提供互操作性及其服务的环境需求分析4 标准中从“单个系统”出发,但实际工作是从组织整体 出发,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设,将造成分散、重复和低水平 在建立长效机制方面考虑较少,难以做到可持续运行、 发展和完善 需求:建立长效机制,建立可持续运行、发展和完善的体 系 方法:建立安全运行体系项目建设 安全管理安全风险 管理
9、安全运行 维护安全体系 的建设制定企业业或 部门级门级 体系制定总总体 安全体系按要求开展工作安全目标标安全要求提出安全 规规范、要求根据要求 评评估建设设跟踪、定期审审核 安全建设设工作按要求进进行 安全建设设工作申请请立项项 提供项项目安全说说明弱点评评估系统统加固安全事件处处理按要求进进行 建设设应应急响应计应计 划定期评评估 安全现现状监监控、审计审计 安全现现状安全预预警提出规规范、要求设备设备 安全维护维护系统统安全维护维护考核和检查检查落实规实规 范、要求制定运维维作业计业计 划总部层面省级层面系统层面安全运行体系需求分析5 标准中从“单个系统”出发,但实际工作是从组织整 体出发
10、,整体考虑所有系统 各系统单独保护,将冲突和割裂,形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设,将造成分散、重复和低水平 在建立长效机制方面考虑较少,难以做到可持续运行 、发展和完善 管理难度太大,管理成本高 需求:需要高水平、自动化的安全管理工具 方法:引入安全管理平台安全运维工作过程正常工作流程自上而下异常工作流程自下而上安全管理中心框架需求分析总结 符合等级保护制度与标准 引入体系设计方法 引入保护对象框架设计方法 引入安全平台的设计与建设方法 建立安全运行体系 以可信的理念和技术作支撑总体解决方案TopSec等级保护体系 遵照国家等级保护制度、满足客户实
11、际需求,采用等级 化、体系化相结合的方法,为客户建设一套覆盖全面、 重点突出、节约成本、持续运行的安全保障体系。 实施后状态:一套持续运行、涵盖所有安全内容的安全 保障体系,是企业或组织安全工作所追求的最终目标 特质: 等级化:突出重点,节省成本,满足不同行业、不同发展阶段、 不同层次的要求 整体性:结构化,内容全面,可持续发展和完善,持续运行 针对性:针对实际情况,符合业务特性和发展战略等级保护体系设计方法整体 安全目标分等级的 保护对象框架体系建设 和运行组织体系技术体系运作体系策略体系安全要求与对策框架客户的信息资产定级分解国家规定的 各等级 安全要求定制分等级的 安全目标等级化 安全体
12、系等级保护体系安全措施框架 安全策略体系安全技术术体系身份 认证认证加密加固审审核 跟踪访问访问 控制防恶恶意 代码码监监控备备份 恢复管理制度组织职责组织职责技术标术标 准规规范信息安全政策安全 组织组织教育 培训训人员员 职责职责人员员 安全安全组织组织 体系安全体系建设设项项目建设设安全管理安全风险风险 管理 与控制安全运行与维护维护安全运行体系成果安全组织体系主管领导(主管安全)领导小组组长信息安全领导小组业务部门负责人成员安全部门负责人工作组组长管理部门负责人成员部门安全管理员成员部门安全管理员成员安全办公室负责人负责人安全管理员安全技术员信息安全工作组信息安全办公室成果安全策略体系
13、信息安全方针管理规定工作流程安全组织人员职责技术规范信息安全体系 公司层面部门安全工作管理办法部门安全组织人员职责部门层面工作表单运行维护计划应急响应计划系统层面终端管理和防病毒集中管理平台集中机房与物理环境安全安全管理运行中心终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台终端安全全程全网监控和审计平台全网统一监控和审计平台终端管理和防病毒集中管理平台安全域和网络访问控制平台设备安全配置与加固基础设施安全各主机网络设备网络安全监控审计第三方统一安全接入平台应用加密平台第三方统一安全接入平台统一鉴别认证平台数据备份与冗灾平台统一身份认证与授权管理平台应用系统安全增强各应用系统认证 授权数
14、据安全加密应用安全安全管理平台成果安全技术体系物理安全可信接入控制平台可信信息交换平台可信监管平台项目建设 安全管理安全风险 管理安全运行 维护安全体系 的建设制定企业业或 部门级门级 体系制定总总体 安全体系按要求开展工作安全目标标安全要求提出安全 规规范、要求根据要求 评评估建设设跟踪、定期审审核 安全建设设工作按要求进进行 安全建设设工作申请请立项项 提供项项目安全说说明弱点评评估系统统加固安全事件处处理按要求进进行 建设设应应急响应计应计 划定期评评估 安全现现状监监控、审计审计 安全现现状安全预预警提出规规范、要求设备设备 安全维护维护系统统安全维护维护考核和检查检查落实规实规 范、
15、要求制定运维维作业计业计 划总部层面省级层面系统层面成果安全运行体系安全管理运行中心技术体系安全组织设置和岗位职责安全教育、培训与资质认证组织体系安全策略体系设计安全策略与流程推广实施策略体系项目建设的安全管理安全风险管理与控制保护对象框架内部与第三方人员安全管理日常安全运行与维护安全体系推广与落实运作体系全程全网监控和审计平台统一监控与审计管理平台终端管理和防病毒集中管理平台安全域和网络访问控制平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台设备安全配置与加固基础设施安全第三方统一安全接入平台应用加密平台第三方统一安全接入平台统一鉴别认证平台数据备份与冗灾平台统一身份认证与授权管理
16、平台应用系统安全增强应用安全等级保护体系的实现 安全组织与职责设计安全培训与资质认证安全策略体系与流程设计网络与应用加密服务平台业务应用系统安全改造数据备份与冗灾平台统一身份认证与授权管理平台设备安全配置与加固安全域划分与边界访问控制平台安全管理运行中心安全策略与流程推广实施安全体系推广与常年咨询防病毒、补丁和终端管理平台统一安全监控与审计平台安全技术体系建设安全组织体系建设安全策略体系建设安全运行体系建设安全规划安全调查与风险评估等级保护定级咨询等级保护体系设计方案设计等级保护测评支持与咨询定级阶段规划阶段实施与运维阶段常年安全运维外包服务安全托管监控与管家服务等级保护阶段天融信提供的安全服务与解决方案
