等級化體系報告-中國安全網(wǎng)-安全您的網(wǎng)絡安全新聞,安全

1、,聯(lián)想 信息安全每一天,,等級化安全體系設計與實踐,聯(lián)想網(wǎng)御科技有限公司資深安全顧問 bigtree,主題,一、國家在信息安全等級保護方面的政策二、聯(lián)想等級化安全體系設計與實踐,2003年11月，發(fā)布27號文件,《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）我國第一個全面關于信息安全保障工作的文件，是我國今后一段時期內(nèi)信息安全保障工作的綱領性文件總體要求：堅持積極防御、綜合防范

2、的方針，全面提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全 明確提出實行信息安全等級保護制度,2004年9月，發(fā)布66號文件,《關于信息安全等級保護工作的實施意見》（公通字[2004]66號文件）主要內(nèi)容開展等級保護工作的重要意義等級保護制度的原則等級保護制度的基本內(nèi)容等級保護工作職責分工實施等級保護工作的要求等級保護工作的實施計劃,,電子政務等級保護實施指南（試行）國信辦[2005]25號 信息安全等

3、級保護管理辦法（試行）公通字 [2006] 7號,主題,一、國家在信息安全等級保護方面的政策二、聯(lián)想等級化安全體系設計與實踐,國家的安全要求,66號文件,電子政務等級保護實施指南,,,基本制度和根本方法,公安部系列指南和標準,,,等級化要求,體系化要求,,,安全保障水平較低，落后于業(yè)務與IT的發(fā)展水平，未能促進或阻礙了業(yè)務發(fā)展,客戶的要求與應對,等級化安全體系的提出,,,等級化安全體系,理念：等級化安全體系,聯(lián)想網(wǎng)御安全理念定義,內(nèi)

4、涵：依照國家等級保護制度，幫助客戶達到體系化的安全保障水平，采用體系化和等級化相結(jié)合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。,等級化安全體系的特質(zhì),關鍵組成部分：等級保護，安全體系設計方法：等級化、體系化相結(jié)合形成的等級化安全體系方法特質(zhì)：整體性：結(jié)構(gòu)化，系統(tǒng)化，內(nèi)容全面等級化：突出重點，節(jié)省成本針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略可持續(xù)發(fā)展：框架相對穩(wěn)定，內(nèi)容可持續(xù)發(fā)展和完善

5、實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是安全工作所追求的最終目標,兩者有效結(jié)合，形成等級化安全體系設計方法,,總體設計方法,等級保護基本原理,依據(jù)信息系統(tǒng)的使命與目標和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所面臨安全風險和實施安全措施的成本，通過調(diào)整和定制，形成不同等級的安全措施進行保護 實行等級保護的目的滿足不同行業(yè)、信息化發(fā)展階段、不同層次的安全要求有利于突出重點有利于

6、控制安全的成本,等級化設計方法,體系化設計方法,什么是安全體系一組結(jié)構(gòu)化的安全目標和措施用于表述組織的總體安全目標和實現(xiàn)。,大型系統(tǒng)表述困難：規(guī)模龐大：應用眾多、地域廣闊、用戶龐大結(jié)構(gòu)復雜：應用復雜并相關聯(lián)，網(wǎng)絡結(jié)構(gòu)復雜，安全要求強度和差異化很大,信息安全涵蓋內(nèi)容極為廣泛層次眾多：從物理層－－到數(shù)據(jù)層，管理、組織、策略、運行生命周期：從評估、需求、設計、規(guī)劃、實施、運維，到持續(xù)改進,體系的結(jié)構(gòu)化框架相對固定，具有穩(wěn)定性；內(nèi)

7、容相對完整，并可根據(jù)發(fā)展補充和完善,等級化安全體系方法,,,整體安全目標,,分等級的保護對象框架,體系建設和運行,,客戶的信息資產(chǎn),,定級,分解,國家規(guī)定的各等級安全要求,,定制,分等級的安全目標,等級化安全體系,客戶安全工作的價值鏈,評估,體系,規(guī)劃,體系建設實施,體系運行,,,,,,安全工作生命周期,方案,,,方案1：等級化安全體系解決方案,,方案2：等級保護一體化解決方案,等級化安全體系的實施方案,方案1：等級化安全體

8、系解決方案適用范圍：大型和超大型客戶安全要求高、復雜，要求全價值鏈的服務和產(chǎn)品聯(lián)想提供咨詢、集成、產(chǎn)品、安全外包等全價值鏈的解決方案項目形式：咨詢項目－集成項目－外包項目方案2：等級保護一體化解決方案適用范圍：中小型客戶安全要求一般、相對簡單，要求部分價值鏈聯(lián)想提供精簡的咨詢、集成和產(chǎn)品的一體化解決方案項目形式：集成項目－售后服務,實施過程,,,,,第一階段：定級階段 第二階段：規(guī)劃與設計階段 第三階段：實施、評審

9、與改進階段,定級方法,確定應用系統(tǒng)的安全等級的基本方法是：通過確定系統(tǒng)保密性、完整性和可用性三個方面的安全級別來綜合確定系統(tǒng)的安全等級；系統(tǒng)定級公式：系統(tǒng)安全等級(A)＝Max{ (系統(tǒng)保密性級別) ,(系統(tǒng)完整性級別),(系統(tǒng)可用性級別)}系統(tǒng)保密性級別＝Max { (各信息或服務的保密性級別) }系統(tǒng)完整性級別＝Max { (各信息或服務的完整性級別) }系統(tǒng)可用性級別＝Max { (各信息或服務的可用性級別) },安全規(guī)

10、劃與設計,,選擇和調(diào)整安全措施,,運行監(jiān)控與改進,持續(xù)監(jiān)控安全措施改進系統(tǒng)重新定級,,等級保護案例簡介,佛山市南海區(qū)電子政務等級保護試點項目,項目內(nèi)容,,,系統(tǒng)調(diào)查與評估,南海等級化服務項目,分域保護框架建設對象,資產(chǎn)調(diào)查,總體安全建議,電子政務系統(tǒng)等級劃分,建議方案和管理規(guī)范,應用與業(yè)務調(diào)查,定級規(guī)范,調(diào)查系統(tǒng)定級,分域設計,網(wǎng)絡調(diào)整方案,安全組織管理辦法,,,,,,,,系統(tǒng)風險和安全措施調(diào)查,評估加固方案,體系和規(guī)劃建

11、議,項目報告,項目成果－南海電子政務分域保護對象框架,項目成果－電子政務系統(tǒng)等級劃分－大社保系統(tǒng)平臺,項目成果－電子政務系統(tǒng)等級劃分,實施的解決方案的內(nèi)容,管理體系建設南海區(qū)電子政務安全組織管理辦法南海電子政務網(wǎng)絡系統(tǒng)安全規(guī)范南海電子政務互聯(lián)網(wǎng)服務安全規(guī)范南海電子政務安全業(yè)務系統(tǒng)接入規(guī)范南海電子政務系統(tǒng)等級安全措施指標南海電子政務信息安全應急預案南海區(qū)電子政務安全運行維護作業(yè)計劃技術(shù)體系建設網(wǎng)絡安全改造與安全域隔離

12、周期性安全評估與加固 政務網(wǎng)安全審計平臺 安全監(jiān)管中心平臺 電子政務容災備份中心 “大社保系統(tǒng)”安全建議,項目成果－總體安全建議,等級保護案例簡介,某大型通信企業(yè)等級化安全體系咨詢項目,等級化安全體系解決方案設計流程,,,,項目內(nèi)容,,,安全評估與等級劃分,公司安全體系設計,公司等級化安全體系設計,安全組織體系,安全運作體系,安全規(guī)劃,安全技術(shù)體系,安全策略,試點工作,3年安全規(guī)劃,公司全面深度安全評估,網(wǎng)管系統(tǒng)安全域劃分及

13、原則規(guī)范,網(wǎng)管系統(tǒng)等級劃分及原則規(guī)范,成果－安全工作總體思路,,,,現(xiàn)在，我們開始作,成果－安全域劃分（一期）,項目成果—安全域劃分（二期）,,,成果－等級化安全體系的實現(xiàn),安全管理運行中心,,保護對象框架,成果－安全組織體系,,主管領導（主管安全）,領導小組組長,,,信息安全領導小組,,,業(yè)務部門負責人,成員,,,安全部門負責人,工作組組長,,,管理部門負責人,成員,,,,,,,,部門安全管理員,成員,,,部門安全管理員,成員,,,

14、安全辦公室負責人,負責人,安全管理員,安全技術(shù)員,,信息安全工作組,,信息安全辦公室,,,,,,,,,,,,,成果－安全策略體系,信息安全方針,,,,,,管理規(guī)定,工作流程,安全組織人員職責,技術(shù)規(guī)范,信息安全體系,,公司層面,,部門安全工作管理辦法,,部門安全組織人員職責,部門層面,,工作表單,運行維護計劃,應急響應計劃,,,,系統(tǒng)層面,,,,成果－技術(shù)體系,,,防病毒,監(jiān)控,審計,認證,第三方統(tǒng)一接入,安全域,公司層面,,,,訪問

15、控制,訪問控制,訪問控制,主機安全,邊界隔離,數(shù)據(jù)庫安全,應用安全,安全域,邊界隔離,,系統(tǒng)層面,,成果－安全運行體系,,安全目標要求,,,,,,PLAN：安全目標要求—安全現(xiàn)狀 安全計劃（建設；維護…）,Do：安全項目建設安全維護作業(yè)1、更新資產(chǎn)補丁\拓撲\服務等狀態(tài)2、安全事件通報….3、安全加固4、更新安全現(xiàn)狀和安全目標要求差距5、其他…..,Check：日常安全檢查周期性安全評估1、檢查安

16、全目標要求的完成狀態(tài)2、評估安全狀況（資產(chǎn)狀態(tài)；弱點狀態(tài)），3、安全現(xiàn)狀是否符合可控安全環(huán)境,Action：調(diào)整安全目標要求規(guī)劃安全項目績效考核各部門、安全管理員,成果－建設規(guī)劃,安全組織體系和崗位職責,安全培訓與資質(zhì)認證,安全策略體系和流程梳理,全網(wǎng)安全域劃分與邊界整合,安全管理運行中心,安全策略與流程推廣實施,常年安全咨詢與外包服務,網(wǎng)絡安全性調(diào)整和改造,安全體系核查與改造項目,技術(shù)體系建設,組織體系建設,策略體系建設,運

17、作體系建設,,,,安全規(guī)劃,安全調(diào)查與風險評估,保護對象框架設計,定級,等級化安全體系設計,方案設計,,等級評測,材料準備和等級認證,一個評估和定級項目,一個體系和規(guī)劃項目,系列集成建設項目，3年,系列咨詢和外包項目，3年,定級階段,規(guī)劃階段,實施階段,評審驗收,,,,體系推廣與常年安全咨詢,,公司安全辦公室,,05年安全培訓,06年安全培訓,周期性安全評估,第三方接入平臺,6件事-維護專網(wǎng)帳戶口令,6件事-補丁管理檢查,6件事-安全預