等级化安全体系设计与实践.ppt

联想信息安全每一天 等级化安全体系设计与实践 联想网御科技有限公司资深安全顾问 主题 一 国家在信息安全等级保护方面的政策二 联想等级化安全体系设计与实践 2003年11月 发布27号文件 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号文件 我国第一个全面关于信息安全保障工作的文件 是我国今后一段时期内信息安全保障工作的纲领性文件总体要求 坚持积极防御 综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全明确提出实行信息安全等级保护制度 2004年9月 发布66号文件 关于信息安全等级保护工作的实施意见 公通字 2004 66号文件 主要内容开展等级保护工作的重要意义等级保护制度的原则等级保护制度的基本内容等级保护工作职责分工实施等级保护工作的要求等级保护工作的实施计划 电子政务等级保护实施指南 试行 国信办 2005 25号信息安全等级保护管理办法 试行 公通字 2006 7号 主题 一 国家在信息安全等级保护方面的政策二 联想等级化安全体系设计与实践 国家的安全要求 66号文件 电子政务等级保护实施指南 基本制度和根本方法 公安部系列指南和标准 等级化要求 体系化要求 安全保障水平较低 落后于业务与IT的发展水平 未能促进或阻碍了业务发展 客户的要求与应对 等级化安全体系的提出 等级化安全体系 理念 等级化安全体系 联想网御安全理念定义 内涵 依照国家等级保护制度 帮助客户达到体系化的安全保障水平 采用体系化和等级化相结合的方法 为客户建设一套覆盖全面 重点突出 节约成本 持续运行的安全保障体系 等级化安全体系的特质 关键组成部分 等级保护 安全体系设计方法 等级化 体系化相结合形成的等级化安全体系方法特质 整体性 结构化 系统化 内容全面等级化 突出重点 节省成本针对性 针对实际情况 符合业务特性和发展战略可持续发展 框架相对稳定 内容可持续发展和完善实施后状态 一套持续运行 涵盖所有安全内容的安全保障体系 是安全工作所追求的最终目标 两者有效结合 形成等级化安全体系设计方法 总体设计方法 等级保护基本原理 依据信息系统的使命与目标和系统重要程度 将系统划分为不同的安全等级 并综合平衡考虑系统安全要求 系统所面临安全风险和实施安全措施的成本 通过调整和定制 形成不同等级的安全措施进行保护实行等级保护的目的满足不同行业 信息化发展阶段 不同层次的安全要求有利于突出重点有利于控制安全的成本 等级化设计方法 体系化设计方法 什么是安全体系一组结构化的安全目标和措施用于表述组织的总体安全目标和实现 大型系统表述困难 规模庞大 应用众多 地域广阔 用户庞大结构复杂 应用复杂并相关联 网络结构复杂 安全要求强度和差异化很大 信息安全涵盖内容极为广泛层次众多 从物理层 到数据层 管理 组织 策略 运行生命周期 从评估 需求 设计 规划 实施 运维 到持续改进 体系的结构化框架相对固定 具有稳定性 内容相对完整 并可根据发展补充和完善 等级化安全体系方法 整体安全目标 分等级的保护对象框架 体系建设和运行 客户的信息资产 定级 分解 国家规定的各等级安全要求 定制 分等级的安全目标 等级化安全体系 客户安全工作的价值链 评估 体系 规划 体系建设实施 体系运行 安全工作生命周期 方案 方案1 等级化安全体系解决方案 方案2 等级保护一体化解决方案 等级化安全体系的实施方案 方案1 等级化安全体系解决方案适用范围 大型和超大型客户安全要求高 复杂 要求全价值链的服务和产品联想提供咨询 集成 产品 安全外包等全价值链的解决方案项目形式 咨询项目 集成项目 外包项目方案2 等级保护一体化解决方案适用范围 中小型客户安全要求一般 相对简单 要求部分价值链联想提供精简的咨询 集成和产品的一体化解决方案项目形式 集成项目 售后服务 实施过程 第一阶段 定级阶段第二阶段 规划与设计阶段第三阶段 实施 评审与改进阶段 定级方法 确定应用系统的安全等级的基本方法是 通过确定系统保密性 完整性和可用性三个方面的安全级别来综合确定系统的安全等级 系统定级公式 系统安全等级 A Max 系统保密性级别 系统完整性级别 系统可用性级别 系统保密性级别 Max 各信息或服务的保密性级别 系统完整性级别 Max 各信息或服务的完整性级别 系统可用性级别 Max 各信息或服务的可用性级别 安全规划与设计 选择和调整安全措施 运行监控与改进 持续监控安全措施改进系统重新定级 等级保护案例简介 佛山市南海区电子政务等级保护试点项目 项目内容 系统调查与评估 南海等级化服务项目 分域保护框架建设对象 资产调查 总体安全建议 电子政务系统等级划分 建议方案和管理规范 应用与业务调查 定级规范 调查系统定级 分域设计 网络调整方案 安全组织管理办法 系统风险和安全措施调查 评估加固方案 体系和规划建议 项目报告 项目成果 南海电子政务分域保护对象框架 项目成果 电子政务系统等级划分 大社保系统平台 项目成果 电子政务系统等级划分 实施的解决方案的内容 管理体系建设南海区电子政务安全组织管理办法南海电子政务网络系统安全规范南海电子政务互联网服务安全规范南海电子政务安全业务系统接入规范南海电子政务系统等级安全措施指标南海电子政务信息安全应急预案南海区电子政务安全运行维护作业计划技术体系建设网络安全改造与安全域隔离周期性安全评估与加固政务网安全审计平台安全监管中心平台电子政务容灾备份中心 大社保系统 安全建议 项目成果 总体安全建议 等级保护案例简介 某大型通信企业等级化安全体系咨询项目 等级化安全体系解决方案设计流程 项目内容 安全评估与等级划分 公司安全体系设计 公司等级化安全体系设计 安全组织体系 安全运作体系 安全规划 安全技术体系 安全策略 试点工作 3年安全规划 公司全面深度安全评估 网管系统安全域划分及原则规范 网管系统等级划分及原则规范 成果 安全工作总体思路 现在 我们开始作 成果 安全域划分 一期 项目成果 安全域划分 二期 成果 等级化安全体系的实现 安全管理运行中心 保护对象框架 成果 安全组织体系 主管领导 主管安全 领导小组组长 信息安全领导小组 业务部门负责人 成员 安全部门负责人 工作组组长 管理部门负责人 成员 部门安全管理员 成员 部门安全管理员 成员 安全办公室负责人 负责人 安全管理员 安全技术员 信息安全工作组 信息安全办公室 成果 安全策略体系 信息安全方针 管理规定 工作流程 安全组织人员职责 技术规范 信息安全体系 公司层面 部门安全工作管理办法 部门安全组织人员职责 部门层面 工作表单 运行维护计划 应急响应计划 系统层面 成果 技术体系 防病毒 监控 审计 认证 第三方统一接入 安全域 公司层面 访问控制 访问控制 访问控制 主机安全 边界隔离 数据库安全 应用安全 安全域 边界隔离 系统层面 成果 安全运行体系 安全目标要求 PLAN 安全目标要求 安全现状安全计划 建设 维护 Do 安全项目建设安全维护作业1 更新资产补丁 拓扑 服务等状态2 安全事件通报 3 安全加固4 更新安全现状和安全目标要求差距5 其他 Check 日常安全检查周期性安全评估1 检查安全目标要求的完成状态2 评估安全状况 资产状态 弱点状态 3 安全现状是否符合可控安全环境 Action 调整安全目标要求规划安全项目绩效考核各部门 安全管理员 成果 建设规划 安全组织体系和岗位职责 安全培训与资质认证 安全策略体系和流程梳理 全网安全域划分与边界整合 安全管理运行中心 安全策略与流程推广实施 常年安全咨询与外包服务 网络安全性调整和改造 安全体系核查与改造项目 技术体系建设 组织体系建设 策略体系建设 运作体系建设 安全规划 安全调查与风险评估 保护对象框架设计 定级 等级化安全体系设计 方案设计 等级评测 材料准备和等级认证 一个评估和定级项目 一个体系和规划项目 系列集成建设项目 3年 系列咨询和外包项目 3年 定级阶段 规划阶段 实施阶段 评审验收 体系推广与常年安全咨询 公司安全办公室 05年安全培训 06年安全培训 周期性安全评估 第三方接入平台 6件事 维护专网帐户口令 6件事 补丁管理检查 6件事 安全预警技术和组织方案 6件事 生产终端集中管理 6件事 服务与端口管理 运行维护中心 体系 组织 6件事 安全域划分 6件事 补丁更新 6件事 安全预警 6件事 生产终端集中管理 6件事 服务与端口管理 体系 策略 周期性安全评估 第三方接入平台建设 实施 6件事 安全域建设和实施 6件事 生产终端集中管理建设和实施 6件事 服务与端口管理建设和实施 谢谢