等级保护交流资料

,北京高级人民法院安全管理平台,2013,年,6,月,2,安全,3,1,安全管理平台需求,安全管理平台的功能,安全管理平台的作用,系统定级,安全设计技术要求,(5),系统建设,(3),政策推动,公通字,200466,号文,200743,号文,(2),政策确立,中办发,200327,号文,(1),基础,50,多个标准,等级保护基本要求,(4),产品执行标准,GB17859-1999,国务院令,1994147,号文,安全管理平台的需求,信息安全等级保护相关标准及标准之间关系示意图,依据,计算机信息系统安全保护等级划分准则,，将信息系统安全保护能力划分为五个等级,。,安全要素列表,安全要素列表,管理要求,：,高安全等级技术保护要求主要是针对国家信息安全等级保护第三级以上系统。,监督检查级（三级）,涉及到重要性信息的系统，要具有抵御来自外部有组织的恶意攻击能力，和防内部人员攻击的能力，不仅要对安全事件有审计纪录，还要能追踪、能响应处理，要实现多重保护制度。,强制监督检查级（四级）,要有能抵御来自敌对组织的大规模攻击的能力，和防止内部人员内外勾结的恶意攻击的能力。不仅要全面审计违规行为，还要具有及时报警和应急处理能力。,2,3,高安全等级保护体系结构,4,安全产品建议,典型方案,1,高安全等级技术防护要求,“,一个中心”管理下的“三重防护”体系。,安全计算环境,对定级系统的信息进行存储、处理及实施安全策略的相关部件,安全区域边界,对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,安全通信网络,对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件,安全管理中心,对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,依据等级保护安全设计技术要求,等级保护系统建设主要包含两个部分：安全保护环境建设；系统安全互联建设,建立安全计算环境,建立安全区域边界,建立安全通信网络,建立安全管理中心,主体标记,客体标记,授权管理,安全策略管理,令牌管理,系统配置管理,备份与恢复管理,系统配置与操作审计,审计信息探测采集,审计信息安全存储,审计信息分析,审计事件处理,系统管理,安全管理,审计管理,2,3,高安全等级保护体系结构,4,安全产品建议,典型方案,1,高安全等级技术防护要求,安全防护解决方案,安全计算环境,系统安全增强软件,安全产品建议,安全接入网关,全网审计系统,文档安全管理系统,安全区域边界,安全管理中心,安全计算环境,支撑软件：,SSO/TXP,安全支撑,构成等级化的安全应用集成环境：,CSAIE,系统安全增强软件,用户身份鉴别,:,提供双因子身份验证、唯一性检查、录失败处理、口令强化管理、生物特征认证、数字证书认证,自主访问控制,：授权管理、细粒度的自主访问控制（粒度为文件或数据库表级,),标记与强制访问控制,:,主、客体进行安全标记、主体对客体访问策略控制,用户数据完整性保护,：管理数据、鉴别信息和重要业务数据完整性验证、发现的数据破坏事件、提供数据备份机制,用户数据保密性保护,：管理数据、鉴别信息和重要业务数据进行加密存储,;,客体安全重用,:,文件重用；内存重用,系统可执行程序保护,：可执行程序的完整性检验；提供恢复措施；,可信路径：,隐秘信道分析,：,系统安全增强软件,自主访问控制,对系统中的所有主体实施身份管理、授权管理和策略管理,系统安全增强软件,强制访问控制,对系统中的确定,主体及其所控制的客体,实施身份管理、标记管理、授权管理和策略管理,安全接入网关,用户行为规则,系统报警,阻断策略,平台标签与安全令牌相结合的认证,强制性身份认证（三员分离）,不对等访问控制,IP,端口控制,平台认证,行为监控,访问控制,全网审计系统,各计算节点审计信息进行探测、收集,审计策略管理,主流数据库访问行为进行审计,网络行为审计,审计信息安全存储,审计信息综合分析、处理,支持,Syslog,协议,全网审计系统主要完成对系统中发生的审计事件所产生的日志进行收集、分析、存储、查询等操作，还能够为各终端主机进行相应的审计策略配置，产生的审计记录可为审计分析提供原始依据。,系统安全增强软件,用户身份鉴别,:,提供双因子身份验证、唯一性检查、录失败处理、口令强化管理、生物特征认证、数字证书认证,自主访问控制,：授权管理、细粒度的自主访问控制（粒度为文件或数据库表级,),标记与强制访问控制,:,主、客体进行安全标记、主体对客体访问策略控制,用户数据完整性保护,：管理数据、鉴别信息和重要业务数据完整性验证、发现的数据破坏事件、提供数据备份机制,用户数据保密性保护,：管理数据、鉴别信息和重要业务数据进行加密存储,;,客体安全重用,:,文件重用；内存重用,系统可执行程序保护,：可执行程序的完整性检验；提供恢复措施；,可信路径：,隐秘信道分析,：,文档安全管理系统,国密局指定算法、强制加密,透明操作,过程加密、全程监控,外设控制,截屏控制,为服务器以及终端的重要数据提供加密存储，提供数据的完整性、保密性保护,2,3,高安全等级保护体系结构,4,安全产品建议,典型方案,1,高安全等级技术防护要求,某厅信息系统安全建设方案,某厅信息系统安全建设方案,保护对象,防护等级,厅电子政务办公系统,3,厅电子公文传输系统,3,厅财务管理系统,3,内网办公终端,3,某厅信息系统安全建设方案,感谢各位领导、专家的支持！,