天融信等级保护解决方案PPT资料.ppt

1、技术支持单位：定级、测评定级、测评安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商服务实施单位：服务实施单位：咨询、实施、产咨询、实施、产品、运维品、运维北京信息办北京信息办北京信息办北京信息办北京测评中心北京测评中心北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京公安局网监处北京公安局网监处北京研究一所北京研究一所北京研究一所北京研究一所安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管政策、宏观管理、协调理、协调电子政务领域电子政务领域其他行业领域其他行业领域北京市属北京市

2、属的电子政的电子政务系统务系统地处北京地处北京的各部委的各部委各行业各行业等级保护的政策文件与技术演进等级保护的政策文件与技术演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政电子政务信息安全等级保护实务信息安全等级保护实施指南施指南的通知的

3、通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准等级保护基本需求等级保护基本需求政策要求符合等级保护的要

4、求政策要求符合等级保护的要求系统定级系统定级系统符合系统符合基本要求基本要求中相应级别的指标中相应级别的指标符合符合测评准则测评准则中的要求中的要求实际需求适应客户实际情况实际需求适应客户实际情况适应业务特性与安全要求的差异性适应业务特性与安全要求的差异性可工程化实施可工程化实施基本安全要求中的各级指标基本安全要求中的各级指标某级系统某级系统物物理理安安全全技术要求技术要求管理要求管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理等级保护

5、的生命周期等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护实施中需要解决的问题等级保护实施中需要解决的问题1.1.标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统

6、组织整体出发，整体考虑所有系统a）a）各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛b）b）复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难c）c）各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平2.2.在建立长效机制方面考虑较少，难以做到可持在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善续运行、发展和完善3.3.管理难度太大，管理成本高管理难度太大，管理成本高需求分析需求分析1问题问题1 1：标准中从标准中从“单个系统单个系统”出发，但实际工作出发，但实际工作是从组织

7、整体出发，整体考虑所有系统是从组织整体出发，整体考虑所有系统a）a）各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛需求：从组织整体出发，综合考核所有系统需求：从组织整体出发，综合考核所有系统方法：引入体系设计方法方法：引入体系设计方法组织战略和业务目标组织战略和业务目标组织总体信息安全目标组织总体信息安全目标安全要求安全要求安全措施安全措施结构体结构体安全体系设计方法安全体系设计方法结构化分解原则：从组织总体目标出发充分覆盖，互不重叠，不可再细分安全体系的组成安全体系的组成安全问题保护对保护对象框架象框架安全对安全对策框架策框架界定和分解界定和分解映射映射

8、安全体系安全体系综合综合需求分析需求分析21.1.标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统组织整体出发，整体考虑所有系统a）a）各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛b）b）复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难需求：准确地进行大系统的分解和描述，反映实际特需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求性和差异性安全要求方法：引入保护对象框架设计方法方法：引入保护对象框架设计方法保护对象框架电信行业保护对象框架电信行业保

9、护对象框架保护对象框架-政府行业政府行业中央节点中央节点直属节点直属节点政政务务外外网网政政务务专专网网政政务务内内网网保护对象框架银行业保护对象框架银行业需求分析需求分析31.1.标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统组织整体出发，整体考虑所有系统a）a）各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛b）b）复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难c）c）各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平需

10、求：统一规划，集中建设，避免重复和分散，降低需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平成本，提高建设水平方法：引入安全平台的设计与建设方法方法：引入安全平台的设计与建设方法集中机房与物理环境安全集中机房与物理环境安全安安全全管管理理运运行行中中心心防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台终端安全全网统一监控和审计平台全网统一监控和审计平台安全域和网络访问控制平台安全域和网络访问控制平台基础设施安全基础设施安全网络安全监控审计应用加密平台应用加密平台数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台认证授权数据安全加密应用安

11、全应用安全安全平台安全平台物理安全平台定义：平台定义：为系统提供互操作性及其服务的环境为系统提供互操作性及其服务的环境需求分析需求分析41.1.标准中从标准中从“单个系统单个系统”出发，但实际工作是从组织整体出发，但实际工作是从组织整体出发，整体考虑所有系统出发，整体考虑所有系统a）a）各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛b）b）复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难c）c）各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平2.2.在建立长效机制方面考虑较少，难以

12、做到可持续运行、在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善发展和完善需求：建立长效机制，建立可持续运行、发展和完善的体系需求：建立长效机制，建立可持续运行、发展和完善的体系方法：建立安全运行体系方法：建立安全运行体系项目建设项目建设安全管理安全管理安全风险安全风险管理管理安全运行安全运行维护维护安全体系安全体系的建设的建设制定企制定企业或或部部门级体系体系制定制定总体体安全体系安全体系按要求开展工作按要求开展工作安全目安全目标安全要求安全要求提出安全提出安全规范、要求范、要求根据要求根据要求评估建估建设跟踪、定期跟踪、定期审核核安全建安全建设工作工作按要求按要求进行行安全建安全

13、建设工作工作申申请立立项提供提供项目安全目安全说明明弱点弱点评估估系系统加固加固安全事件安全事件处理理按要求按要求进行行建建设应急响急响应计划划定期定期评估估安全安全现状状监控、控、审计安全安全现状状安全安全预警警提出提出规范、要求范、要求设备安全安全维护系系统安全安全维护考核和考核和检查落落实规范、要求范、要求制定运制定运维作作业计划划总部层面总部层面省级层面省级层面系统层面系统层面安全运行体系安全运行体系需求分析需求分析51.1.标准中从标准中从“单个系统单个系统”出发，但实际工作是从组织整出发，但实际工作是从组织整体出发，整体考虑所有系统体出发，整体考虑所有系统a）a）各系统单独保护，将

14、冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛b）b）复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难c）c）各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平2.2.在建立长效机制方面考虑较少，难以做到可持续运行、在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善发展和完善3.3.管理难度太大，管理成本高管理难度太大，管理成本高需求：需要高水平、自动化的安全管理工具需求：需要高水平、自动化的安全管理工具方法：引入安全管理平台方法：引入安全管理平台安全运维工作过程安全运维工作过程正常工作流程正常工作流程自上而下自上而下异常工作流程异常工作流程自下而上自下而上安全管理中心框架安全管理中心框架需求分析总结需求分析总结符合等级保护制度