等级化安全体系设计与实践

联想联想 信息平安每一天信息平安每一天等等级化平安体系化平安体系设计与与实践践联想网御科技想网御科技资深平安参深平安参谋主主题一、国家在信息平安等级保护方面的政策一、国家在信息平安等级保护方面的政策二、联想等级化平安体系设计与实践二、联想等级化平安体系设计与实践2003年年11月，发布月，发布27号文件号文件q?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号文件q我国第一个全面关于信息平安保障工作的文件，是我国今后一段时期内信息平安保障工作的纲领性文件q总体要求：坚持积极防御、综合防范的方针，全面提高信息平安防护能力，重点保障根底信息网络和重要信息系统平安 q明确提出实行信息平安等级保护制度2004年年9月，发布月，发布66号文件号文件q?关于信息平安等级保护工作的实施意见?公通字200466号文件q主要内容q开展等级保护工作的重要意义q等级保护制度的原那么q等级保护制度的根本内容q等级保护工作职责分工q实施等级保护工作的要求q等级保护工作的实施方案 q电子政务等级保护实施指南试行电子政务等级保护实施指南试行q国信办国信办200525号号 q信息平安等级保护管理方法试行信息平安等级保护管理方法试行q公通字公通字 2006 7号号主主题一、国家在信息平安等级保护方面的政策一、国家在信息平安等级保护方面的政策二、联想等级化平安体系设计与实践二、联想等级化平安体系设计与实践我国信息安全的形势尤为严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严有害信息、病毒和网络攻击和犯罪日趋严重重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁战略目标：建设国家信战略目标：建设国家信息安全保障体系息安全保障体系战略方针：战略方针：积极防御，综合防范积极防御，综合防范27号文件号文件实行等级保护制度实行等级保护制度灾备等基础和支撑性工作灾备等基础和支撑性工作国家的平安要求国家的平安要求66号文件号文件电子政务等级电子政务等级保护实施指南保护实施指南根本制度和根本方法根本制度和根本方法公安部系列指公安部系列指南和标准南和标准等级化要求等级化要求体系化要求体系化要求我国信息安全的形势尤为严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严重有害信息、病毒和网络攻击和犯罪日趋严重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁平安保障水平较低，落后于业务与平安保障水平较低，落后于业务与IT的开展水平，的开展水平，未能促进或阻碍了业务开展未能促进或阻碍了业务开展安全需要做到什么程度？安全需要做到什么程度？需要多大的投资规模？需要多大的投资规模？如何建立公司级的安全整体机制？如何建立公司级的安全整体机制？CEO安全都需要作什么？安全都需要作什么？如何才能做到长治久安？如何才能做到长治久安？如何分配安全投资？重点是什么？如何分配安全投资？重点是什么？投资和建设的节奏和计划？投资和建设的节奏和计划？安全投资如何才能产生真正效果？安全投资如何才能产生真正效果？CSO客户的要求与应对客户的要求与应对等级化要求等级化要求总体投资规模总体投资规模投资策略，突出重点投资策略，突出重点体系化要求体系化要求安全总体体系与机制安全总体体系与机制安全目标与规划安全目标与规划有效性保障与运行有效性保障与运行具体的要求是什么？具体的要求是什么？如何建设和维护？如何建设和维护？如何考核？如何考核？执行者执行者等级化平安体系的提出等级化平安体系的提出等级化要求等级化要求体系化要求体系化要求27号文件号文件66号文件号文件电子政务等级电子政务等级保护实施指南保护实施指南公安部系列指公安部系列指南和标准南和标准国家的要求国家的要求客户的要求客户的要求CEO的要求的要求CSO的要求的要求执行者的要求执行者的要求等等级级化化平平安安体体系系q理念：等级化平安体系联想网御平安理念定义联想网御平安理念定义q内涵：q依照国家等级保护制度，帮助客户到达体系化的平安保障水平，采用体系化和等级化相结合的方法，为客户建设一套覆盖全面、重点突出、节约本钱、持续运行的平安保障体系。等级化平安体系的特质等级化平安体系的特质q关键组成局部：等级保护，平安体系q设计方法：等级化、体系化相结合形成的等级化平安体系方法q特质：q整体性：结构化，系统化，内容全面q等级化：突出重点，节省本钱q针对性：针对实际情况，符合业务特性和开展战略q可持续开展：框架相对稳定，内容可持续开展和完善q实施后状态：一套持续运行、涵盖所有平安内容的平安保障体系，是平安工作所追求的最终目标q两者有效结合，形成等级化平安体系设计方法组织战略和业务目标组织战略和业务目标组织总体信息安全目标组织总体信息安全目标安全要求安全要求安全措施安全措施结构体结构体体系化设计方法体系化设计方法保护对象保护对象安全目标安全目标安全措施安全措施等级化等级化等级化设计方法等级化设计方法总体设计方法总体设计方法等级保护根本原理等级保护根本原理q依据信息系统的使命与目标和系统重要程度，将系统划分为不同的平安等级，并综合平衡考虑系统平安要求、系统所面临平安风险和实施平安措施的本钱，通过调整和定制，形成不同等级的平安措施进行保护 q实行等级保护的目的q满足不同行业、信息化开展阶段、不同层次的平安要求q有利于突出重点q有利于控制平安的本钱等级化设计方法等级化设计方法体系化设计方法体系化设计方法什么是平安体系什么是平安体系一组结构化的平安目标和措施用于表述组织的总体平安目标和实现。一组结构化的平安目标和措施用于表述组织的总体平安目标和实现。网网络络基基础础设设施施区区域域边边界界计计算算环环境境安全保护对象框架安全保护对象框架安安全全基基础础设设施施信信息息安安全全保保障障体体系系组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全对策框架安全对策框架大型系统表述困难：大型系统表述困难：规模庞大：应用众多、地域广规模庞大：应用众多、地域广阔、用户庞大阔、用户庞大结构复杂：应用复杂并相关联，结构复杂：应用复杂并相关联，网络结构复杂，平安要求强度网络结构复杂，平安要求强度和差异化很大和差异化很大信息平安涵盖内容极为广泛信息平安涵盖内容极为广泛层次众多：从物理层到数层次众多：从物理层到数据层，管理、组织、策略、运据层，管理、组织、策略、运行行生命周期：从评估、需求、设生命周期：从评估、需求、设计、规划、实施、运维，到持计、规划、实施、运维，到持续改进续改进体系的结构化体系的结构化框架相对固定，具有稳定框架相对固定，具有稳定性；性；内容相对完整，并可根据内容相对完整，并可根据开展补充和完善开展补充和完善等级化平安体系方法等级化平安体系方法整体整体平安目标平安目标分等级的分等级的保护对象框架保护对象框架体系建设体系建设和运行和运行组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全要求与对策框架安全要求与对策框架客户的信息资产客户的信息资产定级定级分解分解国家规定的国家规定的各等级各等级平安要求平安要求定制定制分等级的分等级的平安目标平安目标等级化等级化平安体系平安体系客户平安工作的价值链客户平安工作的价值链评估评估体系体系规划规划体系建设实施体系建设实施体系运行体系运行平安工作平安工作生命周期生命周期方案方案了解现状了解现状价值价值确定目标确定目标和总体笼和总体笼廓廓确定目标实确定目标实现策略和途现策略和途径径增强安全措施，增强安全措施，解决安全问题解决安全问题维护体系运行，维护体系运行，保障安全保障安全确定实现确定实现方法方法评估服务评估服务联想提供联想提供产品服务产品服务体系设计服体系设计服务务规划服务规划服务产品：产品：自有产品外部采购产品服务：服务：采购、实施、监理服务咨询服务(策略，体系推行，培训)方案设计方案设计服务服务典型方案典型方案产品售后服务产品售后服务外包服务：外包服务：定期评估监控与分析常年咨询体系更新和维护方案方案1：等级化平安体系解决方案：等级化平安体系解决方案方案方案2：等级保护一体化解决方案：等级保护一体化解决方案等级化平安体系的实施方案等级化平安体系的实施方案q方案1：等级化平安体系解决方案q适用范围：大型和超大型客户q平安要求高、复杂，要求全价值链的效劳和产品q联想提供咨询、集成、产品、平安外包等全价值链的解决方案q工程形式：咨询工程集成工程外包工程q方案2：等级保护一体化解决方案q适用范围：中小型客户q平安要求一般、相对简单，要求局部价值链q联想提供精简的咨询、集成和产品的一体化解决方案q工程形式：集成工程售后效劳实施过程实施过程q第一阶段：定级阶段 q第二阶段：规划与设计阶段 q第三阶段：实施、评审与改进阶段 定级方法定级方法q确定应用系统的平安等级的根本方法是：通过确定系统保密性、完整性和可用性三个方面的平安级别来综合确定系统的平安等级；q系统定级公式：q系统平安等级(A)Max(系统保密性级别),(系统完整性级别),(系统可用性级别)q系统保密性级别Max (各信息或效劳的保密性级别)q系统完整性级别Max (各信息或效劳的完整性级别)q系统可用性级别Max (各信息或效劳的可用性级别)平安规划与设计平安规划与设计选择和调整平安措施选择和调整平安措施运行监控与改进运行监控与改进q持续监控q平安措施改进q系统重新定级等级保护案例简介等级保护案例简介工程内容工程内容系统调查与评估系统调查与评估南海等级化效劳工程南海等级化效劳工程分域保护框架分域保护框架建设对象建设对象 资产调查资产调查总体平安建议总体平安建议 电子政务电子政务系统等级划分系统等级划分 建议方案和建议方案和管理标准管理标准应用与业务调查应用与业务调查定级标准定级标准调查系统定级调查系统定级分域设计分域设计网络调整方案网络调整方案平安组织平安组织管理方法管理方法系统风险和平安系统风险和平安措施调查措施调查评估加固方案评估加固方案体系和规划建议体系和规划建议工程报告工程报告工程成果南海电子政务分域保护对象框架工程成果南海电子政务分域保护对象框架 工程成果电子政务系统等级划分工程成果电子政务系统等级划分大社保系统平台大社保系统平台序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区社会保险管理信息系统33332南海区民政局业务系统22223南海区社会保障（市民）卡业务系统22224大社保平台数据中心系统23235南海区社会保险公共服务系统2222工程成果电子政务系统等级划分工程成果电子政务系统等级划分序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区基金收费非税收入系统23232南海区会计结算中心业务系统23233狮山镇财务结算中心系统22224南海区统计局基层统计系统2222实施的解决方案的内容实施的解决方案的内容q管理体系建设q南海区电子政务平安组织管理方法q南海电子政务网络系统平安标准q南海电子政务互联网效劳平安标准q南海电子政务平安业务系统接入标准q南海电子政务系统等级平安措施指标q南海电子政务信息平安应急预案q南海区电子政务平安运行维护作业方案q技术体系建设q网络平安改造与平安域隔离 q周期性平安评估与加固 q政务网平安审计平台 q平安监管中心平台 q电子政务容灾备份中心 q“大社保系统平安建议工程成果总体平安建议工程成果总体平安建议等级保护案例简介等级保护案例简介等级化平安体系解决方案设计流程等级化平安体系解决方案设计流程保护对象保护对象v公司公司v部门部门v系统系统v计算区域计算区域v网络基础设施网络基础设施v边界边界v核心服务器区域核心服务器区域v终端接入区域终端接入区域v第三方接入区域第三方接入区域安全目标安全目标v公司安全目标公司安全目标v部门安全建设目标部门安全建设目标v系统安全建设目标系统安全建设目标安全要求安全要求v机密性机密性v完整性完整性v可用性可用性v安全组织安全组织v安全策略安全策略v安全运作安全运作v安全技术安全技术安全措施安全措施v策略策略v解决方案解决方案工程内容工程内容平安评估与等级划分平安评估与等级划分公司平安体系设计公司平安体系设计公司等级化平安体系设计公司等级化平安体系设计平安组织体系平安组织体系平安运作体系平安运作体系平安规划平安规划平安技术体系平安技术体系平安策略平安策略试点工作试点工作3年平安规划年平安规划公司全面深度平安评估公司全面深度平安评估网管系统平安域划分网管系统平安域划分及原那么标准及原那么标准网管系统等级划分网管系统等级划分及原那么标准及原那么标准成果平安工作总体思路成果平安工作总体思路1.1.公司安全的使命和目公司安全的使命和目标-得到安全目标得到安全目标我们的方向是什么？我们的方向是什么？3.3.安全安全现状状4.4.关关键举措和重点工作措和重点工作-得到总体框架和笼廓得到总体框架和笼廓我们做什么？做成什么样子？我们做什么？做成什么样子？-得到工作计划和实施规划得到工作计划和实施规划我们怎么做？我们怎么做？2.2.安全体系安全体系总体框架体框架5.5.实施策略施策略选择6.6.工作工作计划划7.7.建建设实施施8.8.安全运安全运营和持和持续改改进现在，我们开始作现在，我们开始作成果平安域划分一期成果平安域划分一期工程成果工程成果平安域划分二期平安域划分二期成果等级化平安体系的实现成果等级化平安体系的实现安全支撑系统和基础设施安全支撑系统和基础设施安全研究与测试实验室安全研究与测试实验室第三方统一安全接入平台第三方统一安全接入平台全程全网监控和审计平台全程全网监控和审计平台统一身份鉴别认证平台统一身份鉴别认证平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台安安全全管管理理运运行行中中心心全网安全域划分与边界整合全网安全域划分与边界整合网络安全性调整和改造网络安全性调整和改造安全体系核查与改造项目安全体系核查与改造项目技技术术体体系系安全组织体系和岗位职责安全组织体系和岗位职责安全培训与资质认证安全培训与资质认证组织体系组织体系安全策略体系和流程梳理安全策略体系和流程梳理安全策略与流程推广实施安全策略与流程推广实施策略体系策略体系体系推广与常年安全咨询体系推广与常年安全咨询运作体系运作体系常年安全外包服务常年安全外包服务保护对象框架保护对象框架成果平安组织体系成果平安组织体系主管领导主管平安主管领导主管平安领导小组组长领导小组组长信息平安领导小组信息平安领导小组业务部门负责人业务部门负责人成员成员平安部门负责人平安部门负责人工作组组长工作组组长管理部门负责人管理部门负责人成员成员部门平安管理员部门平安管理员成员成员部门平安管理员部门平安管理员成员成员平安办公室负责人平安办公室负责人负责人负责人平安管理员平安管理员平安技术员平安技术员信息平安工作组信息平安工作组信息平安办公室信息平安办公室成果平安策略体系成果平安策略体系信息平安方针信息平安方针管理规定管理规定工作流程工作流程平安组织人员职责平安组织人员职责技术标准技术标准信息平安体系信息平安体系公司层面公司层面部门平安工作管理方法部门平安工作管理方法部门平安组织人员职责部门平安组织人员职责部门层面部门层面工作表单工作表单运行维护方案运行维护方案应急响应方案应急响应方案系统层面系统层面成果技术体系成果技术体系策略体系技术体系运作体系组织体系公司部门系统公司部门系统防病毒防病毒监控监控审计审计认证认证第三方第三方统一接入统一接入平安域平安域公司层面公司层面访问访问控制控制访问访问控制控制访问访问控制控制主机主机平安平安边界边界隔离隔离数据库数据库平安平安应用应用平安平安平安域平安域边界边界隔离隔离系统层面系统层面成果平安运行体系成果平安运行体系平安目标要求平安目标要求PLAN：平安目标要求平安目标要求平安现状平安现状 平安方案建设；维护平安方案建设；维护 Do：平安工程建设平安工程建设平安维护作业平安维护作业1、更新资产补丁、更新资产补丁拓扑拓扑效劳等效劳等状态状态2、平安事件通报、平安事件通报.3、平安加固、平安加固4、更新平安现状和平安目标要、更新平安现状和平安目标要求差距求差距5、其他、其他.Check：日常平安检查日常平安检查周期性平安评估周期性平安评估1、检查平安目标要求的完、检查平安目标要求的完成状态成状态2、评估平安状况资产状、评估平安状况资产状态；弱点状态，态；弱点状态，3、平安现状是否符合可控、平安现状是否符合可控平安环境平安环境Action：调整平安目标要求调整平安目标要求规划平安工程规划平安工程绩效考核各部门、平安管理员绩效考核各部门、平安管理员成果建设规划成果建设规划平安组织体系和岗位职责平安组织体系和岗位职责平安培训与资质认证平安培训与资质认证平安策略体系和流程梳理平安策略体系和流程梳理安全研究与测试实验室安全研究与测试实验室第三方统一安全接入平台第三方统一安全接入平台全程全网监控和审计平台全程全网监控和审计平台统一鉴别认证平台统一鉴别认证平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台全网平安域划分与边界整合全网平安域划分与边界整合平平安安管管理理运运行行中中心心平安策略与流程推广实施平安策略与流程推广实施常年平安咨询与外包效劳常年平安咨询与外包效劳网络平安性调整和改造网络平安性调整和改造平安体系核查与改造工程平安体系核查与改造工程技术体系建设技术体系建设组织体系建设组织体系建设策略体系建设策略体系建设运作体系建设运作体系建设平安规划平安规划平安调查与风险评估平安调查与风险评估保护对象框架设计保护对象框架设计定级定级等级化平安体系设计等级化平安体系设计方案设计方案设计等级评测等级评测材料准备和等级认证材料准备和等级认证一个评估和定级工程一个评估和定级工程一个体系和规划工程一个体系和规划工程系列集成建设工程，系列集成建设工程，3 3年年系列咨询和外包工程，系列咨询和外包工程，3 3年年定级阶段定级阶段规划阶段规划阶段实施阶段实施阶段评审验收评审验收体系推广与常年平安咨询体系推广与常年平安咨询公司平安办公室公司平安办公室6月月7月月8月月9月月10月月11月月05年平安培训年平安培训12月月06年平安培训年平安培训周期性平安评估周期性平安评估第三方接入平台第三方接入平台6件事件事-维护专网帐户口令维护专网帐户口令6件事件事-补丁管理检查补丁管理检查6件事件事-平安预警技术和组织方案平安预警技术和组织方案6件事件事-生产终端集中管理生产终端集中管理6件事件事-效劳与端口管理效劳与端口管理运行维护中心运行维护中心6月月7月月8月月9月月10月月11月月体系体系-组织组织12月月6件事件事-平安域划分平安域划分6件事件事-补丁更新补丁更新6件事件事-平安预警平安预警6件事件事-生产终端集中管理生产终端集中管理6件事件事-效劳与端口管理效劳与端口管理体系体系-策略策略周期性平安评估周期性平安评估第三方接入平台建设、实施第三方接入平台建设、实施6件事件事-平安域建设和实施平安域建设和实施6件事件事-生产终端集中管理建设和实施生产终端集中管理建设和实施6件事件事-效劳与端口管理建设和实施效劳与端口管理建设和实施谢谢！谢谢！