【5A版】天融信等保方案

《【5A版】天融信等保方案》由会员分享，可在线阅读，更多相关《【5A版】天融信等保方案（32页珍藏版）》请在金锄头文库上搜索。

1、天融信等级保护解决方案 TopSec等级保护体系,天融信安全服务总监 田野 Tian_,等级保护的政策文件,2003年9月 中办国办颁发 关于加强信息安全保障工作的意见 中办发200327号,2005年9月 国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号,2006年1月 四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号,2005年 公安部标准 基本要求 定级指南 实施指南 测评准则,2004年11月 四部委会签 关于信息安全等级保护工作的实施意见 公通字200466号,云南 云南省人民政府第130号令,浙江 浙江省人民政府令,北京 第9号

2、令,国家级政策文件,国家级技术标准,国家级政策文件,地方政策文件,等级保护的管理结构北京为例,国家信息办,公安部网监局,北京信息办,北京公安局网监处,北京测评中心,北京研究一所,管理职能： 监管和测评,技术支持单位： 定级、测评,安全厂商、服务商,安全厂商、服务商,服务实施单位： 咨询、实施、产品、运维,北京信息办,北京信息办,北京测评中心,北京测评中心,北京公安局网监处,北京公安局网监处,北京研究一所,北京研究一所,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,政策、宏观管理、协调,电子政务领域,其他行业领域,北京市属的电子政务系统,地处北京的各部委各行业,等级保护

3、的政策文件与技术演进,2003年9月 中办国办颁发 关于加强信息安全保障工作的意见 （中办发200327号）,2004年11月 四部委会签 关于信息安全等级保护工作的实施意见 （公通字200466号）,2005年9月 国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 （国信办200425号）,2005年 公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则,总结成一种安全工作的方法和原则,最先作为“适度安全”的工作思路提出,确认为国家信息安全的基本制度，安全工作的根本方法,形成等级保护的基本理论框架，制定了方法，过程和标准,等级保护基本需求,政策要求符合

4、等级保护的要求 系统定级 系统符合基本要求中相应级别的指标 符合测评准则中的要求 实际需求适应客户实际情况 适应业务特性与安全要求的差异性 可工程化实施,基本安全要求中的各级指标,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护的生命周期,等级保护实施中需要解决的问题,标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建

5、立长效机制方面考虑较少，难以做到可持续运行、发展和完善 管理难度太大，管理成本高,需求分析1,问题1：标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 需求：从组织整体出发，综合考核所有系统 方法：引入体系设计方法,安全体系设计方法,结构化分解原则： 从组织总体目标出发 充分覆盖，互不重叠，不可再细分,安全体系的组成,安 全 问 题,保护对象框架,安全对策框架,界定和分解,映射,综合,需求分析2,标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和

6、差异性安全要求描述很困难 需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求 方法：引入保护对象框架设计方法,保护对象框架电信行业,保护对象框架-政府行业,政务外网,政务专网,政务内网,保护对象框架银行业,需求分析3,标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平 方法：引入安全平台的设计与建设方法,终端管理和防病毒集中管理平台,集中机房与物理环境安全,安全管

7、理运行中心,终端管理和防病毒集中管理平台,防病毒、补丁和终端管理平台,终端安全,全程全网监控和审计平台,全网统一监控和审计平台,终端管理和防病毒集中管理平台,安全域和网络访问控制平台,基础设施安全,网络安全,监控审计,第三方统一安全接入平台,应用加密平台,第三方统一安全接入平台,统一鉴别认证平台,数据备份与冗灾平台,统一身份认证与授权管理平台,认证授权,数据安全,加密,应用安全,安全平台,物理安全,平台定义：为系统提供互操作性及其服务的环境,需求分析4,标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安

8、全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善 需求：建立长效机制，建立可持续运行、发展和完善的体系 方法：建立安全运行体系,项目建设 安全管理,安全风险 管理,安全运行 维护,安全体系 的建设,制定企业或 部门级体系,制定总体 安全体系,按要求开展工作,安全目标,安全要求,提出安全 规范、要求,根据要求 评估建设,跟踪、定期审核 安全建设工作,按要求进行 安全建设工作,申请立项 提供项目安全说明,弱点评估,系统加固,安全事件处理,定期评估 安全现状,监控、审计 安全现状,安全预警,提出规范、要求,设备安全维护,系统安

9、全维护,考核和检查,落实规范、要求,制定运维作业计划,总部层面,省级层面,系统层面,安全运行体系,需求分析5,标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平 在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善 管理难度太大，管理成本高 需求：需要高水平、自动化的安全管理工具 方法：引入安全管理平台,安全运维工作过程,正常工作流程自上而下,异常工作流程自下而上,安全管理中心框架,需求分析总结,符合等级保护制度与标准 引入体系设计方法

10、 引入保护对象框架设计方法 引入安全平台的设计与建设方法 建立安全运行体系 以可信的理念和技术作支撑,总体解决方案TopSec等级保护体系,遵照国家等级保护制度、满足客户实际需求，采用等级化、体系化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。 实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标 特质： 等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求 整体性：结构化，内容全面，可持续发展和完善，持续运行 针对性：针对实际情况，符合业务特性和发展战略,等级保护体系设计方法,整体 安全目标,分等

11、级的 保护对象框架,体系建设 和运行,客户的信息资产,定级,分解,国家规定的各等级 安全要求,定制,分等级的安全目标,等级化 安全体系,等级保护体系安全措施框架,成果安全组织体系,主管领导（主管安全）,领导小组组长,信息安全领导小组,业务部门负责人,成员,安全部门负责人,工作组组长,管理部门负责人,成员,部门安全管理员,成员,部门安全管理员,成员,安全办公室负责人,负责人,安全管理员,安全技术员,信息安全工作组,信息安全办公室,成果安全策略体系,信息安全方针,管理规定,工作流程,安全组织人员职责,技术规范,信息安全体系,公司层面,部门安全工作管理办法,部门安全组织人员职责,部门层面,工作表单,

12、运行维护计划,应急响应计划,系统层面,终端管理和防病毒集中管理平台,集中机房与物理环境安全,安全管理运行中心,终端管理和防病毒集中管理平台,防病毒、补丁和终端管理平台,终端安全,全程全网监控和审计平台,全网统一监控和审计平台,终端管理和防病毒集中管理平台,安全域和网络访问控制平台,设备安全配置与加固,基础设施安全,各主机网络设备,网络安全,监控审计,第三方统一安全接入平台,应用加密平台,第三方统一安全接入平台,统一鉴别认证平台,数据备份与冗灾平台,统一身份认证与授权管理平台,应用系统安全增强,各应用系统,认证授权,数据安全,加密,应用安全,安全管理平台,成果安全技术体系,物理安全,可信接入控制

13、平台,可信信息交换平台,可信监管平台,项目建设 安全管理,安全风险 管理,安全运行 维护,安全体系 的建设,制定企业或 部门级体系,制定总体 安全体系,按要求开展工作,安全目标,安全要求,提出安全 规范、要求,根据要求 评估建设,跟踪、定期审核 安全建设工作,按要求进行 安全建设工作,申请立项 提供项目安全说明,弱点评估,系统加固,安全事件处理,定期评估 安全现状,监控、审计 安全现状,安全预警,提出规范、要求,设备安全维护,系统安全维护,考核和检查,落实规范、要求,制定运维作业计划,总部层面,省级层面,系统层面,成果安全运行体系,安全管理运行中心,技术体系,安全组织设置和岗位职责,安全教育、

14、培训与资质认证,组织体系,安全策略体系设计,安全策略与流程推广实施,策略体系,项目建设的安全管理,安全风险管理与控制,保护对象框架,内部与第三方人员安全管理,日常安全运行与维护,安全体系推广与落实,运作体系,等级保护体系的实现,安全组织与职责设计,安全培训与资质认证,安全策略体系与流程设计,网络与应用加密服务平台,业务应用系统安全改造,数据备份与冗灾平台,统一身份认证与授权管理平台,设备安全配置与加固,安全域划分与边界访问控制平台,安全管理运行中心,安全策略与流程推广实施,安全体系推广与常年咨询,防病毒、补丁和终端管理平台,统一安全监控与审计平台,安全技术体系建设,安全组织体系建设,安全策略体系建设,安全运行体系建设,安全规划,安全调查与风险评估,等级保护定级咨询,等级保护体系设计,方案设计,等级保护测评支持与咨询,定级阶段,规划阶段,实施与 运维阶段,常年安全运维外包服务,安全托管监控与管家服务,等级保护阶段,天融信提供的安全服务与解决方案,