基于等级保护的信息系统安全防护体系建设方案课件

First level,Second level,Third level,Fourth level,Fifth level,Title,Copyright 2009 Trend Micro Inc.,Copyright 2009 Trend Micro Inc.,First level,Second level,Third level,Fourth level,Fifth level,Title,单击此处编辑母版标题样式,Click to edit Master text styles,Copyright 2009 Trend Micro Inc.,First level,Second level,Third level,Fourth level,Fifth level,Title,Copyright 2009 Trend Micro Inc.,First level,Second level,Third level,Fourth level,Fifth level,Title,First level,Second level,Third level,Fourth level,Fifth level,Title,Copyright 2009 Trend Micro Inc.,Copyright 2009 Trend Micro Inc.,First level,Second level,Third level,Fourth level,Fifth level,Title,First level,Second level,Third level,Fourth level,Fifth level,Title,Copyright 2009 Trend Micro Inc.,Copyright 2009 Trend Micro Inc.,First level,Second level,Third level,Fourth level,Fifth level,Title,基于等级保护的安全防护体系建设方案,基于等级保护的安全防护体系建设方案,1,、信息安全等级保护政策要求,2,、信息安全等级保护设计方案整体思路,4,、信息系统安全现状分析,3,、信息安全等级保护建设目标,5,、基于等级保护的恶意代码防护体系建设方案,1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体,信息安全等级保护解释,系统根据价值和影响力可以划定安全等级,安全保护能力或要求有差别,等级,匹配,信息安全等级保护解释系统根据价值和影响力可以划定安全等级安全,信息安全等级保护政策要求,计算机信息系统安全等级保护要求和影响程度,政策要求：,27,号文：纲领性文件，信息安全等级保护为安全国策,66,号文：四部委关于等级保护实施的计划,43,号文：公安部的信息安全等级保护管理办法,信息安全等级保护政策要求计算机信息系统安全等级保护要求和影响,1,、信息安全等级保护政策要求,2,、信息安全等级保护设计方案整体思路,4,、信息系统安全现状分析,3,、信息安全等级保护建设目标,5,、基于等级保护的恶意代码防护体系建设方案,1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体,信息安全体系框架,管理体系,框架,组织体系,框架,技术体系,框架,安全防护机制,安全监测机制,安全响应机制,安全风险管理体系,安全筹划指导委员会,安全风险管理小组,信息安全组,/,信息技术组,信息安全基础设施,网络防护,数据保护,物理防护,主机防护,网络监测,应用监测,物理监测,主机监测,预警,/,报警,/,审计,系统备份与恢复,评估安全风险,制定安全策略,实施安全策略,审核策略有效性,信息安全体系框架管理体系组织体系技术体系安全防护机制安全监测,信息安全等级保护的生命周期,信息系统等级保护实施生命周期内的主要活动,规划设计阶段,安全实施,/,实现阶段,安全运行管理阶段,等级化风险评估,安全总体设计,安全建设规划,安全方案设计,安全产品采购,安全控制集成,测试与验收,管理机构的设置,管理制度的建设,人员配置和岗位培训,安全建设过程的管理,操作管理和控制,变更管理和控制,安全状态监控,安全事件处置和应急预案,安全评估和持续改进,监督检查,定级阶段,系统调查和描述,子系统划分,/,分解,子系统边界确定,安全等级确定,定级结果文档化,信息安全等级保护的生命周期信息系统等级保护实施生命周期内的主,信息安全等级保护方案建设阶段,现状评估,：,分析信息安全现状,差距分析,：,识别企业目前的安全现状与等级保护之间的差距,需求分析,：,确定信息安全战略以及相应的信息安全需求,安全规划,：,规划未来,3-5,年内的需要实施的安全项目,信息安全等级保护方案建设阶段 现状评估：分析信息安全现状,信息安全等级保护体系设计方法,整体,安全目标,分等级的,保护对象框架,体系建设,和运行,组织体系,技术体系,运作体系,策略体系,安全要求与对策框架,客户的信息资产,定级,分解,国家规定的各等级,安全要求,定制,分等级的安全目标,等级化,安全体系,信息安全等级保护体系设计方法整体分等级的体系建设组织体系技术,1,、信息安全等级保护政策要求,2,、信息安全等级保护设计方案整体思路,4,、信息系统安全现状分析,3,、信息安全等级保护建设目标,5,、基于等级保护的恶意代码防护体系建设方案,1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体,信息安全等级保护建设目标,信息安全等级保护建设目标,保障基础设施安全,保障网络连接安全,保障计算环境安全,保障应用系统安全,安全管理体系保障,信息安全等级保护建设目标信息安全等级保护建设目标保障基础设施,1,、信息安全等级保护政策要求,2,、信息安全等级保护设计方案整体思路,4,、信息系统安全现状分析,3,、信息安全等级保护建设目标,5,、基于等级保护的恶意代码防护体系建设方案,1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体,信息系统等级保护基本框架,信息系统安全等级保护基本要求在整体上大的分类，其中技术部分分为：,物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复,等,5,大类，管理部分分为：,安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,等,5,大类，,信息系统等级保护基本框架信息系统安全等级保护基本要求在整,技术要求,物理安全,物理位置选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,温湿度控制,电力供应,电磁防护,网络安全,结构安全和网段划分,网络访问控制,拨号安全控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,主机系统安全,身份鉴别,自主访问控制,强制访问控制,安全审计,可信路径,剩余信息保护,恶意代码防范,入侵防范,系统资源控制,系统自我保护,应用安全,身份鉴别,访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,恶意代码防范,抗抵赖,资源控制,软件容错,代码安全,数据安全,数据完整性,数据保密性,安全备份,技术要求物理安全,管理要求,安全管理制度,管理制度,制订和发布,评审和修订,安全管理机构,岗位设置,人员配备,授权和审批,沟通和合作,审核和检查,人员安全管理,人员录用,人员离岗,人员考核,安全意识教育和培训,第三方人员访问管理,系统建设管理,系统定级,安全风险评估,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,系统运维管理,系统备案,资产管理,设备管理,介质管理,运行维护和监控,网络安全管理,系统安全管理,恶意代码防范,变更管理,密码管理,系统备案,备份和恢复,备份和恢复,应急计划管理,管理要求安全管理制度,1,、信息安全等级保护政策要求,2,、信息安全等级保护设计方案整体思路,4,、信息系统安全现状分析,3,、信息安全等级保护建设目标,5,、基于等级保护的恶意代码防护体系建设方案,1、信息安全等级保护政策要求2、信息安全等级保护设计方案整体,信息系统安全保护等级准则中,对恶意,代码的安全防护,要求,按照不同安全保护等级的要求，分别采用以下安全防护措施,：,严格管理,：严格控制各种外来介质的使用，防止恶意代码通过介质传播；,网关防护,：要求在所有恶意代码可能入侵的网络连接部位设置防护网关，拦截并清除企图进入系统的恶意代码,整体防护,：设置恶意代码防护管理中心，通过对全系统的服务器、工作站和客户机，进行恶意代码防护的统一管理，及时发现和清除进入系统内部的恶意代码；,防管结合,：将恶意代码防护与网络管理相结合，在网管所涉及的重要部位设置恶意代码防护软件，在所有恶意代码能够进入的地方都采取相应的防范措施，防止恶意代码侵袭；,多层防御,：采用实时扫描、完整性保护和完整性检验等不同层次的防护技术，将恶意代码检测、多层数据保护和集中式管理功能集成起来，提供全面的恶意代码防护功能，检测、发现和消除恶意代码，阻止恶意代码的扩散和传播。,信息系统安全保护等级准则中对恶意代码的安全防护要求按照不同安,针,对恶意代码防护在不同等级中的技术要求,级别,防护要求,达到目标,第一级,用户自主保护级,严格管理,设计和实现恶意代码防护功能,第二级,系统审计保护级,严格管理和,网关防护,设计和实现恶意代码防护功能,第三级,安全标记保护级,严格管理、网关防护和,整体防护,设计和实现恶意代码防护功能,第四级,结构化保护级,安全探测机制和安全监控中心,严格管理、网关防护、整体防护和,防管结合,设计和实现信息系统的安全监控功能,设计和实现恶意代码防护功能,第五级,访问验证保护级,安全探测机制和安全监控中心,严格管理、网关防护、整体防护、防管结合和多层防御,设计和实现信息系统的安全监控功能,设计和实现恶意代码防护功能,针对恶意代码防护在不同等级中的技术要求级别防护要求达到目标第,针,对恶意代码防护在不同等级中的技术要求,安全功能技术要求,安全保护等级,用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证保护级,恶意代码防护,a,）严格管理,b,）网关防护,c,）整体防护,d,）防管结合,e,）多层防御,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,信息系统安全监控,a,）安全探测机制,b,）安全监控中心,*,*,*,*,*,*,*,*,*,注：“,*,”号表示具有该要求。,针对恶意代码防护在不同等级中的技术要求安全保护等级用户自主保,针,对恶意代码防护在不同等级中的,管理,要求,恶意代码防护管理基本要求,；,基于,制度化,的恶意代码防护管理,；,基于,集中,管控,的恶意代码防护管理,；,基于监督检查的恶意代码防护管理,；,基于,集中,实施,的恶意代码防护管理,；,针对恶意代码防护在不同等级中的管理要求恶意代码防护管理基本要,信,息安全等级保护所需解决方案对应表,类别,安全建设领域,所需解决方案,网络安全,网络出口边界防护,交换机、路由器、防火墙、,IDS/IPS,域间防护,交换机、路由器、防火墙、,IDS/IPS,网络状态嗅探,网络嗅探设备、网络测试仪等,网络漏洞扫描,网络漏洞扫描工具,网络防恶意代码,杀毒、内容过滤等网关类安全设备,配置和行为审计,网络审计工具,主机安全,主机漏洞扫描,主机漏洞扫描工具，配置扫描类工具,主机防恶意代码,主机查杀工具,主机安全加固,主机,IPS/IDS,，补丁、软件、安全策略统一分发,主机资源、性能监控,主机资源和性能监控平台,主机集群,冗余软、硬件设备、双机集群软件,身份认证,统一身份认证、双因子强认证等,配置和行为审计,主机审计工具,终端安全,终端防恶意代码,终端查杀工具,终端安全加固,终端,FW/IDS,，补丁、软件、安全策略统一分发,终端准入,终端准入解决方案,终端安全状况审计,终端安全审计工具,数据安全,数据备份,数据、操作系统、配置、软件代码的归档和备份平台,数据防泄露,数据防泄露产品,数据加密,加密类、数据签名类软件,数据使用行为监控,数据使用审计工具,应用安全,应用防火墙,针对,web server,、,proxy,、网络应用等的特殊防火墙,网页防篡改,网页防篡改解决方案,应用、数据库安全审计,应用和数据库安全审计工具,邮件审计,邮件审计工具,运维管理,统一安全运维平台,MOC,安全运维平台,统一资产管理平台,CMDB,数据库和运维平台,其他,制度安全,制度制定、流程制定、变更管理、文档管理等,物理安全,机房、电力、防水、防火、防雷、人员进出等,信息安全等级保护所需解决方案对应表类别安全建设领域所需解决方,信息安,全等级,保护,解决方案与等级满足情况,(基于,趋势科技产品,）,趋势科技安全解决方案,等保考量维度,满足情况,二级,三级,NVWE,、,Officescan,访问控制,满足,满足,Deep Security,安全审计,满足,满足,Deep Security,入侵防范,满足,满足,TDA,、,Officescan,、,IWSA,恶意代码防范,满足,满足,TMCM,集中管理,满足,满足,DLP,、云中保险箱、,IMSA,数据安全,满足,满足,PSP,运维管理,满足,满足,MOC,、,TRS,安全威胁监控,满足,满足,信息安全等级保护解决方案与等级满足情况(基于趋势科技产品）趋,信息安全等,级保护细则要求与趋势科技解决方案对应,信息安全等级保护细则要求与趋势科技解决方案对应,谢谢！,基于等级保护的信息系统安全防护体系建设方案课件,