等级化安全体系设计与实践.ppt

,联想 信息安全每一天,等级化安全体系 设计与实践,联想网御科技有限公司 资深安全顾问,主题,一、国家在信息安全等级保护方面的政策 二、联想等级化安全体系设计与实践,2003年11月，发布27号文件,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文件） 我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保障工作的纲领性文件 总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全 明确提出实行信息安全等级保护制度,2004年9月，发布66号文件,关于信息安全等级保护工作的实施意见（公通字200466号文件） 主要内容 开展等级保护工作的重要意义 等级保护制度的原则 等级保护制度的基本内容 等级保护工作职责分工 实施等级保护工作的要求 等级保护工作的实施计划,电子政务等级保护实施指南（试行） 国信办200525号 信息安全等级保护管理办法（试行） 公通字 2006 7号,主题,一、国家在信息安全等级保护方面的政策 二、联想等级化安全体系设计与实践,国家的安全要求,66号文件,电子政务等级保护实施指南,基本制度和根本方法,公安部系列指南和标准,等级化要求,体系化要求,安全保障水平较低，落后于业务与IT的发展水平，未能促进或阻碍了业务发展,客户的要求与应对,等级化安全体系的提出,等级化安全体系,理念：等级化安全体系,联想网御安全理念定义,内涵： 依照国家等级保护制度，帮助客户达到体系化的安全保障水平，采用体系化和等级化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。,等级化安全体系的特质,关键组成部分：等级保护，安全体系 设计方法：等级化、体系化相结合形成的等级化安全体系方法 特质： 整体性：结构化，系统化，内容全面 等级化：突出重点，节省成本 针对性：针对实际情况，符合业务特性和发展战略 可持续发展：框架相对稳定，内容可持续发展和完善 实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是安全工作所追求的最终目标,两者有效结合，形成等级化安全体系设计方法,总体设计方法,等级保护基本原理,依据信息系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全措施的成本，通过调整和定制，形成不同等级的安全措施进行保护 实行等级保护的目的 满足不同行业、信息化发展阶段、不同层次的安全要求 有利于突出重点 有利于控制安全的成本,等级化设计方法,体系化设计方法,什么是安全体系 一组结构化的安全目标和措施用于表述组织的总体安全目标和实现。,大型系统表述困难： 规模庞大：应用众多、地域广阔、用户庞大 结构复杂：应用复杂并相关联，网络结构复杂，安全要求强度和差异化很大,信息安全涵盖内容极为广泛 层次众多：从物理层到数据层，管理、组织、策略、运行 生命周期：从评估、需求、设计、规划、实施、运维，到持续改进,体系的结构化 框架相对固定，具有稳定性； 内容相对完整，并可根据发展补充和完善,等级化安全体系方法,整体 安全目标,分等级的 保护对象框架,体系建设 和运行,客户的信息资产,定级,分解,国家规定的各等级 安全要求,定制,分等级的安全目标,等级化 安全体系,客户安全工作的价值链,评估,体系,规划,体系建设实施,体系运行,安全工作 生命周期,方案,方案1：等级化安全体系解决方案,方案2：等级保护一体化解决方案,等级化安全体系的实施方案,方案1：等级化安全体系解决方案 适用范围：大型和超大型客户 安全要求高、复杂，要求全价值链的服务和产品 联想提供咨询、集成、产品、安全外包等全价值链的解决方案 项目形式：咨询项目集成项目外包项目 方案2：等级保护一体化解决方案 适用范围：中小型客户 安全要求一般、相对简单，要求部分价值链 联想提供精简的咨询、集成和产品的一体化解决方案 项目形式：集成项目售后服务,实施过程,第一阶段：定级阶段 第二阶段：规划与设计阶段 第三阶段：实施、评审与改进阶段,定级方法,确定应用系统的安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全级别来综合确定系统的安全等级； 系统定级公式： 系统安全等级(A)Max (系统保密性级别) ,(系统完整性级别),(系统可用性级别) 系统保密性级别Max (各信息或服务的保密性级别) 系统完整性级别Max (各信息或服务的完整性级别) 系统可用性级别Max (各信息或服务的可用性级别) ,安全规划与设计,选择和调整安全措施,运行监控与改进,持续监控 安全措施改进 系统重新定级,等级保护案例简介,佛山市南海区电子政务等级保护试点项目,项目内容,系统调查与评估,南海等级化服务项目,分域保护框架 建设对象,资产调查,总体安全建议,电子政务 系统等级划分,建议方案和 管理规范,应用与业务调查,定级规范,调查系统定级,分域设计,网络调整方案,安全组织 管理办法,系统风险和安全 措施调查,评估加固方案,体系和规划建议,项目报告,项目成果南海电子政务分域保护对象框架,项目成果电子政务系统等级划分 大社保系统平台,项目成果电子政务系统等级划分,实施的解决方案的内容,管理体系建设 南海区电子政务安全组织管理办法 南海电子政务网络系统安全规范 南海电子政务互联网服务安全规范 南海电子政务安全业务系统接入规范 南海电子政务系统等级安全措施指标 南海电子政务信息安全应急预案 南海区电子政务安全运行维护作业计划 技术体系建设 网络安全改造与安全域隔离 周期性安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心 “大社保系统”安全建议,项目成果总体安全建议,等级保护案例简介,某大型通信企业等级化安全体系咨询项目,等级化安全体系解决方案设计流程,项目内容,安全评估与等级划分,公司安全体系设计,公司等级化安全体系设计,安全组织体系,安全运作体系,安全规划,安全技术体系,安全策略,试点工作,3年安全规划,公司全面深度安全评估,网管系统安全域划分 及原则规范,网管系统等级划分 及原则规范,成果安全工作总体思路,现在，我们开始作,成果安全域划分（一期）,项目成果安全域划分（二期）,成果等级化安全体系的实现,安全管理运行中心,保护对象框架,成果安全组织体系,主管领导（主管安全）,领导小组组长,信息安全领导小组,业务部门负责人,成员,安全部门负责人,工作组组长,管理部门负责人,成员,部门安全管理员,成员,部门安全管理员,成员,安全办公室负责人,负责人,安全管理员,安全技术员,信息安全工作组,信息安全办公室,成果安全策略体系,信息安全方针,管理规定,工作流程,安全组织人员职责,技术规范,信息安全体系,公司层面,部门安全工作管理办法,部门安全组织人员职责,部门层面,工作表单,运行维护计划,应急响应计划,系统层面,成果技术体系,防病毒,监控,审计,认证,第三方 统一接入,安全域,公司层面,访问 控制,访问 控制,访问 控制,主机 安全,边界 隔离,数据库 安全,应用 安全,安全域,边界 隔离,系统层面,成果安全运行体系,安全目标要求,PLAN： 安全目标要求安全现状 安全计划（建设；维护）,Do： 安全项目建设 安全维护作业 1、更新资产补丁拓扑服务等状态 2、安全事件通报. 3、安全加固 4、更新安全现状和安全目标要求差距 5、其他,Check： 日常安全检查 周期性安全评估 1、检查安全目标要求的完成状态 2、评估安全状况（资产状态；弱点状态）， 3、安全现状是否符合可控安全环境,Action： 调整安全目标要求 规划安全项目 绩效考核各部门、安全管理员,成果建设规划,安全组织体系和岗位职责,安全培训与资质认证,安全策略体系和流程梳理,全网安全域划分与边界整合,安全管理运行中心,安全策略与流程推广实施,常年安全咨询与外包服务,网络安全性调整和改造,安全体系核查与改造项目,技术体系建设,组织体系建设,策略体系建设,运作体系建设,安全规划,安全调查与风险评估,保护对象框架设计,定级,等级化安全体系设计,方案设计,等级评测,材料准备和等级认证,一个评估和定级项目,一个体系和规划项目,系列集成建设项目，3年,系列咨询和外包项目，3年,定级阶段,规划阶段,实施阶段,评审验收,体系推广与常年安全咨询,公司安全办公室,05年安全培训,06年安全培训,周期性安全评估,第三方接入平台,6件事-维护专网帐户口令,6件事-补丁管理检查,6