信息安全等级保护与整体解决方案.ppt

资源描述

信息安全等级保护与等级化安全体系解决方案 INDEX 网络安全与信息安全信息安全等级保护等级化安全体系解决方案网络安全与信息安全安全定义安全基本要求安全技术体系安全模型安全定义防止任何对数据进行未授权访问的措施或者造成信息有意无意泄漏破坏丢失等问题的发生让数据处于远离危险免于威胁的状态或特性网络安全网络的组成方式拓扑结构和网络应用信息安全信息的来源去向内容的真实无误及保证信息的完整性信息不会被非法泄露扩散保证信息的保密性安全基本要求完整性 Integrity 拥有的信息是否正确保证信息从真实的信源发往真实的信宿传输存储处理中未被删改增添替换机密性 Confidentiality 谁能拥有信息保证国家秘密和敏感信息仅为授权者享有可用性 Availability 信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用可控性 Controllability 是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理不可否认性 Non repudiation 为信息行为承担责任保证信息行为人不能否认其信息行为安全技术体系物理安全技术环境安全设备安全媒体安全系统安全技术操作系统及数据库系统的安全性网络安全技术网络隔离访问控制 VPN 入侵检测扫描评估应用安全技术 Email安全 Web访问安全内容过滤应用系统安全数据加密技术硬件和软件加密实现身份认证和数据信息的CIA特性认证授权技术口令认证 SSO认证例如Kerberos 证书认证等访问控制技术防火墙访问控制列表等审计跟踪技术入侵检测日志审计辨析取证防病毒技术单机防病毒技术逐渐发展成整体防病毒体系灾难恢复和备份技术业务连续性技术前提就是对数据的备份安全模型 P2DR P2DR模型安全模型 PDRR 信息安全保障体系 PDRR模型图 INDEX 网络安全与信息安全信息安全等级保护等级化安全体系解决方案信息安全等级保护对等级保护政策的理解信息系统划分信息系统定级等级化安全保障体系设计流程等级化安全保障体系的基本框架对等级保护的理解等级保护是我国信息安全领域的一项基本政策1994年中华人民共和国计算机信息系统安全保护条例的发布1999年计算机信息系统安全保护等级划分准则 GB17859 1999发布2003年中央办公厅国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见中办发 2003 27号文 2004年四部委公安部国家保密局国家密码管理局国信办联合签发了关于信息安全等级保护工作的实施意见公通字 2004 66号文国务院信息化工作办公室发布电子政务信息安全等级保护实施指南试行对等级保护的理解续一等级保护是我国信息安全领域的一项基本政策2005年12月国家保密局发布涉及国家秘密的信息系统分级保护管理办法涉及国家秘密的信息系统分级保护技术要求 2005年12月公安部信息系统安全等级保护实施指南信息系统安全等级保护定级要求信息系统安全等级保护基本要求信息系统安全等级保护测评准则 GB送审稿陆续出台 2006年3月开始实施的公安部国家保密局国家密码管理局国信办四部委局办发布7号文等级保护管理办法对等级保护的理解续二等级保护的核心是将传统的定性设计逐步进化为定量的安全保障设计对信息系统实施不同等级的安全保护对信息系统中使用的安全产品实施分等级管理对信息系统发生的安全事件分等级响应和处置对等级保护的理解续三等级保护体现了差异化的安全保障思想由系统使命决定系统的等级充分考虑业务信息安全性和业务服务保证性结合基本要求并依据风险评估的结果对安全保护措施进行调整对3级及以上系统实施相应的监督和管理对涉及国家安全经济建设社会稳定等方面的重要信息系统重点保护对于涉及国家秘密的信息系统规范定密准确定级依据标准同步建设突出重点确保核心明确责任加强监督涉及国家秘密的信息系统按照所处理信息的最高密级由低到高划分为秘密级机密级一般和增强和绝密级三个级别其总体防护水平分别不低于三级四级五级的要求信息系统的划分信息系统的概念有大有小在工程实践中过大的划分不利于对信息进行有针对性的保护因此需要对信息系统进行有效的划分信息系统的划分原则是相同的管理机构相同的业务类型相同的物理位置或相似的运行环境公安部信息系统安全保护等级定级指南信息系统的划分续一信息系统的划分可以从安全区域业务系统和保护对象三个不同角度进行安全区域侧重从物理区域进行划分比如核心区接入区用户区管理区外网接入网内网等其优点是划分相对容易缺点是粒度较粗业务系统侧重从应用系统进行划分优点是粒度较细缺点是实际操作比较困难当然也可以考虑几个业务系统的组合保护对象则综合了安全区域和业务系统两种方法的优点既考虑了信息系统的信息流向业务流程也考虑了信息系统的物理归属信息系统的划分续二保护对象实质是风险评估的资产划分模型安全区域实质是具有类似安全要求的物理位置划分模型保护对象侧重在风险评估安全区域侧重在边界防护风险评估是等级保护的基础组成部分边界保护相反只是措施而已保护对象与安全域并不矛盾它们是两种不同的分类法在具体的操作时原则是已有系统采用保护对象设计方法新建系统采用安全区域设计方法新建系统先网络后应用已有系统先应用后网络信息系统的划分续三政务专网互联网核心数据区业务服务器区网络管理区办公服务器区机关办公区 WEB服务区机关工作区政务专网政务外网信息系统的定级信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级 1 赋值选择调节因子业务子系统安全保护等级 2 确定两个指标等级业务信息安全性等级 3确定业务子系统等级信息系统安全保护等级 4 确定信息系统等级其它业务子系统来源信息系统安全保护等级定级指南信息系统定级电子政务信息系统定级电子政务某个电子政务系统假设其名称为A 的安全等级可以表示为安全等级 A Max 系统保密性等级系统完整性等级系统可用性等级其中系统保密性等级 Max 各信息或服务的保密性等级系统完整性等级 Max 各信息或服务的完整性等级系统可用性等级 Max 各信息或服务的可用性等级信息系统的定级续信息系统的安全保护等级划分信息系统的定级续一信息安全等级保护与涉密信息系统分级保护对照表信息系统的定级续二非涉密信息系统的定级按照信息系统安全保护等级定级指南进行级别划分根据公安部国家保密局国家密码管理局国信办四部委局办 7号文第17条涉及国家秘密的信息系统按照所处理信息的最高密级由低到高划分为秘密级机密级和绝密级三个级别其总体防护水平分别不低于三级四级五级的要求可以得出一个信息系统的级别至少应该为3级以上才能称得上是一个涉密系统然后根据信息的安全属性确定属于秘密机密和绝密中的哪一种同时依据涉及国家秘密的信息系统分级保护技术要求中的办法进行等级确定和安全措施的确定等级化安全保障体系设计流程信息系统的划分与定级安全需求安全保障体系安全解决方案风险评估等级保护政策标准指南安全规划安全产品分级安全事件分级系统运行影响等级基本安全要求等级化安全保障体系的基本框架 INDEX 网络安全与信息安全信息安全等级保护等级化安全体系解决方案等级化安全体系解决方案安全体系规划安全解决方案设计等级保护安全措施的实施运行的监控与改进等级化安全体系设计流程等级化安全体系解决方案安全体系规划安全需求分析安全现状和等级要求之间的差距安全项目规划对安全项目的相关性紧迫性难易程度和预期效果等因素进行分析确定实施的先后顺序安全工作规划确定安全工作的宗旨远期安全工作目标和当年目标关键和重点的工作并分析潜在的风险和障碍所需的资源和预算进行实施策略选择确定当年的安全工作计划和等级保护项目建设计划以此来让等级保护的建设和运行能够融入到日常的安全管理和运维工作当中去来确保等级保护工作落到实处安全解决方案设计与用户实际需求的交流安全分层网络安全设计方案要点与用户实际需求的交流 1 用户的组织机构信息化的现状现有的硬件设备网络情况正在使用的软件系统情况 2 新系统的规划目标规模要求等包括用户对系统的安全性可靠性易用性扩展性的要求 3 业务内容业务流程系统的现状软件功能需求 4 平台和数据库的选型 5 信息安全存储的需求 6 对软件开发机制的认识 7 用户感兴趣的热点技术安全分层网络安全设计方案要点公司背景简介安全风险分析解决方案实施方案技术支持和服务承诺产品报价产品介绍第三方检测报告安全技术培训等级保护安全措施的实施依据安全解决方案进行工程实施包括安全管理措施建设和安全技术措施建设安全管理措施建设安全技术措施建设安全措施的实施安全解决方案运行的监控与改进持续监控安全措施改进系统重新定级系统变化风险变化等级保护运行状况运行监控安全措施改进重大变化等级保护过程定级否是 PDCA循环 PLAN 安全目标要求安全现状各保护对象安全计划建设维护 Do 安全项目建设安全维护作业可控安全环境1 更新资产补丁拓扑服务等状态2 安全事件通报 3 安全加固4 更新安全现状和安全目标要求差距5 其他 Check 日常安全检查周期性安全评估1 检查安全目标要求的完成状态2 评估安全状况资产状态弱点状态 3 安全现状是否符合可控安全环境 Action 调整安全目标要求规划安全项目绩效考核各部门各安全管理员安全目标要求等级化安全体系设计流程等级化安全体系解决方案评估体系规划体系建设实施体系运行安全工作生命周期方案等级化安全体系解决方案谢谢 2009 05

展开阅读全文