天融信等级保护解决方案-TopSec等级保护体系.ppt

天融信等级保护解决方案 TopSec等级保护体系 天融信安全服务总监田野Tian ye 等级保护的政策文件 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2006年1月四部委会签 关于印发 信息安全等级保护管理办法的通知 公通字 2006 7号 2005年公安部标准 基本要求 定级指南 实施指南 测评准则 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 云南云南省人民政府第130号令 浙江浙江省人民政府令 北京北京政府第9号令 国家级政策文件 国家级技术标准 国家级政策文件 地方政策文件 等级保护的管理结构 北京为例 国家信息办 公安部网监局 北京信息办 北京公安局网监处 北京测评中心 北京研究一所 管理职能 监管和测评 技术支持单位 定级 测评 安全厂商 服务商 安全厂商 服务商 服务实施单位 咨询 实施 产品 运维 北京信息办 北京信息办 北京测评中心 北京测评中心 北京公安局网监处 北京公安局网监处 北京研究一所 北京研究一所 安全厂商 服务商 安全厂商 服务商 安全厂商 服务商 安全厂商 服务商 政策 宏观管理 协调 电子政务领域 其他行业领域 北京市属的电子政务系统 地处北京的各部委各行业 等级保护的政策文件与技术演进 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 2005年9月国信办文件 关于转发 电子政务信息安全等级保护实施指南 的通知 国信办 2004 25号 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 总结成一种安全工作的方法和原则 最先作为 适度安全 的工作思路提出 确认为国家信息安全的基本制度 安全工作的根本方法 形成等级保护的基本理论框架 制定了方法 过程和标准 等级保护基本需求 政策要求 符合等级保护的要求系统定级系统符合 基本要求 中相应级别的指标符合 测评准则 中的要求实际需求 适应客户实际情况适应业务特性与安全要求的差异性可工程化实施 基本安全要求中的各级指标 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 等级保护的生命周期 等级保护实施中需要解决的问题 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设 将造成分散 重复和低水平在建立长效机制方面考虑较少 难以做到可持续运行 发展和完善管理难度太大 管理成本高 需求分析 1 问题1 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛需求 从组织整体出发 综合考核所有系统方法 引入体系设计方法 安全体系设计方法 结构化分解原则 从组织总体目标出发充分覆盖 互不重叠 不可再细分 安全体系的组成 安全问题 保护对象框架 安全对策框架 界定和分解 映射 综合 需求分析 2 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难需求 准确地进行大系统的分解和描述 反映实际特性和差异性安全要求方法 引入保护对象框架设计方法 保护对象框架 电信行业 保护对象框架 石油行业 保护对象框架 政府行业 政务外网 政务专网 政务内网 保护对象框架 银行业 需求分析 3 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设 将造成分散 重复和低水平需求 统一规划 集中建设 避免重复和分散 降低成本 提高建设水平方法 引入安全平台的设计与建设方法 终端管理和防病毒集中管理平台 集中机房与物理环境安全 安全管理运行中心 终端管理和防病毒集中管理平台 防病毒 补丁和终端管理平台 终端安全 全程全网监控和审计平台 全网统一监控和审计平台 终端管理和防病毒集中管理平台 安全域和网络访问控制平台 基础设施安全 网络安全 监控审计 第三方统一安全接入平台 应用加密平台 第三方统一安全接入平台 统一鉴别认证平台 数据备份与冗灾平台 统一身份认证与授权管理平台 认证授权 数据安全 加密 应用安全 安全平台 物理安全 平台定义 为系统提供互操作性及其服务的环境 需求分析 4 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设 将造成分散 重复和低水平在建立长效机制方面考虑较少 难以做到可持续运行 发展和完善需求 建立长效机制 建立可持续运行 发展和完善的体系方法 建立安全运行体系 项目建设安全管理 安全风险管理 安全运行维护 安全体系的建设 制定企业或部门级体系 制定总体安全体系 按要求开展工作 安全目标 安全要求 提出安全规范 要求 根据要求评估建设 跟踪 定期审核安全建设工作 按要求进行安全建设工作 申请立项提供项目安全说明 弱点评估 系统加固 安全事件处理 定期评估安全现状 监控 审计安全现状 安全预警 提出规范 要求 设备安全维护 系统安全维护 考核和检查 落实规范 要求 制定运维作业计划 总部层面 省级层面 系统层面 安全运行体系 需求分析 5 标准中从 单个系统 出发 但实际工作是从组织整体出发 整体考虑所有系统各系统单独保护 将冲突和割裂 形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设 将造成分散 重复和低水平在建立长效机制方面考虑较少 难以做到可持续运行 发展和完善管理难度太大 管理成本高需求 需要高水平 自动化的安全管理工具方法 引入安全管理平台 安全运维工作过程 正常工作流程 自上而下 异常工作流程 自下而上 安全管理中心框架 需求分析总结 符合等级保护制度与标准引入体系设计方法引入保护对象框架设计方法引入安全平台的设计与建设方法建立安全运行体系以可信的理念和技术作支撑 总体解决方案 TopSec等级保护体系 遵照国家等级保护制度 满足客户实际需求 采用等级化 体系化相结合的方法 为客户建设一套覆盖全面 重点突出 节约成本 持续运行的安全保障体系 实施后状态 一套持续运行 涵盖所有安全内容的安全保障体系 是企业或组织安全工作所追求的最终目标特质 等级化 突出重点 节省成本 满足不同行业 不同发展阶段 不同层次的要求整体性 结构化 内容全面 可持续发展和完善 持续运行针对性 针对实际情况 符合业务特性和发展战略 等级保护体系设计方法 整体安全目标 分等级的保护对象框架 体系建设和运行 客户的信息资产 定级 分解 国家规定的各等级安全要求 定制 分等级的安全目标 等级化安全体系 等级保护体系安全措施框架 成果 安全组织体系 主管领导 主管安全 领导小组组长 信息安全领导小组 业务部门负责人 成员 安全部门负责人 工作组组长 管理部门负责人 成员 部门安全管理员 成员 部门安全管理员 成员 安全办公室负责人 负责人 安全管理员 安全技术员 信息安全工作组 信息安全办公室 成果 安全策略体系 信息安全方针 管理规定 工作流程 安全组织人员职责 技术规范 信息安全体系 公司层面 部门安全工作管理办法 部门安全组织人员职责 部门层面 工作表单 运行维护计划 应急响应计划 系统层面 终端管理和防病毒集中管理平台 集中机房与物理环境安全 安全管理运行中心 终端管理和防病毒集中管理平台 防病毒 补丁和终端管理平台 终端安全 全程全网监控和审计平台 全网统一监控和审计平台 终端管理和防病毒集中管理平台 安全域和网络访问控制平台 设备安全配置与加固 基础设施安全 各主机网络设备 网络安全 监控审计 第三方统一安全接入平台 应用加密平台 第三方统一安全接入平台 统一鉴别认证平台 数据备份与冗灾平台 统一身份认证与授权管理平台 应用系统安全增强 各应用系统 认证授权 数据安全 加密 应用安全 安全管理平台 成果 安全技术体系 物理安全 可信接入控制平台 可信信息交换平台 可信监管平台 项目建设安全管理 安全风险管理 安全运行维护 安全体系的建设 制定企业或部门级体系 制定总体安全体系 按要求开展工作 安全目标 安全要求 提出安全规范 要求 根据要求评估建设 跟踪 定期审核安全建设工作 按要求进行安全建设工作 申请立项提供项目安全说明 弱点评估 系统加固 安全事件处理 定期评估安全现状 监控 审计安全现状 安全预警 提出规范 要求 设备安全维护 系统安全维护 考核和检查 落实规范 要求 制定运维作业计划 总部层面 省级层面 系统层面 成果 安全运行体系 安全管理运行中心 技术体系 安全组织设置和岗位职责 安全教育 培训与资质认证 组织体系 安全策略体系设计 安全策略与流程推广实施 策略体系 项目建设的安全管理 安全风险管理与控制 保护对象框架 内部与第三方人员安全管理 日常安全运行与维护 安全体系推广与落实 运作体系 等级保护体系的实现 安全组织与职责设计 安全培训与资质认证 安全策略体系与流程设计 网络与应用加密服务平台 业务应用系统安全改造 数据备份与冗灾平台 统一身份认证与授权管理平台 设备安全配置与加固 安全域划分与边界访问控制平台 安全管理运行中心 安全策略与流程推广实施 安全体系推广与常年咨询