等级化安全体系设计与实践

1、联想联想 信息安全每一天信息安全每一天联想网御科技有限公司联想网御科技有限公司资深安全顾问资深安全顾问一、国家在信息安全等级保护方面的政策一、国家在信息安全等级保护方面的政策二、联想等级化安全体系设计与实践二、联想等级化安全体系设计与实践2003年年11月，发布月，发布27号文件号文件q国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文件）q我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保障工作的纲领性文件q总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全 q明确提出实行信息安全等级保护制度2

2、004年年9月，发布月，发布66号文件号文件q关于信息安全等级保护工作的实施意见（公通字200466号文件）q主要内容开展等级保护工作的重要意义等级保护制度的原则等级保护制度的基本内容等级保护工作职责分工实施等级保护工作的要求等级保护工作的实施计划 q电子政务等级保护实施指南（试行）电子政务等级保护实施指南（试行）国信办国信办200525号号 q信息安全等级保护管理办法（试行）信息安全等级保护管理办法（试行）公通字公通字 2006 7号号一、国家在信息安全等级保护方面的政策一、国家在信息安全等级保护方面的政策二、联想等级化安全体系设计与实践二、联想等级化安全体系设计与实践我国信息安全的形势尤为

3、严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严有害信息、病毒和网络攻击和犯罪日趋严重重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁战略目标：建设国家信战略目标：建设国家信息安全保障体系息安全保障体系战略方针：战略方针：积极防御，综合防范积极

4、防御，综合防范27号文件号文件实行等级保护制度实行等级保护制度灾备等基础和支撑性工作灾备等基础和支撑性工作国家的安全要求国家的安全要求66号文件号文件电子政务等级电子政务等级保护实施指南保护实施指南基本制度和根本方法基本制度和根本方法公安部系列指公安部系列指南和标准南和标准等级化要求等级化要求体系化要求体系化要求我国信息安全的形势尤为严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产

5、业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严重有害信息、病毒和网络攻击和犯罪日趋严重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁安全保障水平较低，落后于业务与安全保障水平较低，落后于业务与it的发展水平，的发展水平，未能促进或阻碍了业务发展未能促进或阻碍了业务发展安全需要做到什么程度？安全需要做到什么程度？需要多大的投资规模？需要多大的投资规模？如何建立公司级的安全整体机制？如何建立公司级的安全整体机制？ceo安全都需要作什么？安全都需要作什么？如何才能做到长治久安？如何才能做到长治久安？如何分配

6、安全投资？重点是什么？如何分配安全投资？重点是什么？投资和建设的节奏和计划？投资和建设的节奏和计划？安全投资如何才能产生真正效果？安全投资如何才能产生真正效果？cso客户的要求与应对客户的要求与应对等级化要求等级化要求总体投资规模总体投资规模投资策略，突出重点投资策略，突出重点体系化要求体系化要求安全总体体系与机制安全总体体系与机制安全目标与规划安全目标与规划有效性保障与运行有效性保障与运行具体的要求是什么？具体的要求是什么？如何建设和维护？如何建设和维护？如何考核？如何考核？执行者执行者等级化安全体系的提出等级化安全体系的提出等级化要求等级化要求体系化要求体系化要求27号文件号文件66号文件

7、号文件电子政务等级电子政务等级保护实施指南保护实施指南公安部系列指公安部系列指南和标准南和标准国家的要求国家的要求客户的要求客户的要求ceo的要求的要求cso的要求的要求执行者的要求执行者的要求等级化安全体系等级化安全体系q理念：联想网御安全理念定义联想网御安全理念定义q内涵：依照国家等级保护制度，帮助客户达到体系化的安全保障水平，采用体系化和等级化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。等级化安全体系的特质等级化安全体系的特质q关键组成部分：等级保护，安全体系q设计方法：等级化、体系化相结合形成的等级化安全体系方法q特质：整体性：结构化，系统化，内容

8、全面等级化：突出重点，节省成本针对性：针对实际情况，符合业务特性和发展战略可持续发展：框架相对稳定，内容可持续发展和完善q实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是安全工作所追求的最终目标q两者有效结合，形成设计方法组织战略和业务目标组织战略和业务目标组织总体信息安全目标组织总体信息安全目标安全要求安全要求安全措施安全措施结构体结构体体系化设计方法体系化设计方法保护对象保护对象安全目标安全目标安全措施安全措施等级化等级化等级化设计方法等级化设计方法总体设计方法总体设计方法等级保护基本原理等级保护基本原理q依据信息系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综

9、合平衡考虑系统安全要求、系统所面临安全风险和实施安全措施的成本，通过调整和定制，形成不同等级的安全措施进行保护 q实行等级保护的目的满足不同行业、信息化发展阶段、不同层次的安全要求有利于突出重点有利于控制安全的成本等级化设计方法等级化设计方法体系化设计方法体系化设计方法什么是安全体系什么是安全体系q一组结构化的安全目标和措施用于表述组织的总体安全目标和实现一组结构化的安全目标和措施用于表述组织的总体安全目标和实现。网网络络基基础础设设施施区区域域边边界界计计算算环环境境安全保护对象框架安全保护对象框架安全基础设施安全基础设施信信息息安安全全保保障障体体系系组织体系组织体系技术体系技术体系运作体

10、系运作体系策略体系策略体系安全对策框架安全对策框架大型系统表述困难：大型系统表述困难：规模庞大：应用众多、地域规模庞大：应用众多、地域广阔、用户庞大广阔、用户庞大结构复杂：应用复杂并相关结构复杂：应用复杂并相关联，网络结构复杂，安全要求联，网络结构复杂，安全要求强度和差异化很大强度和差异化很大信息安全涵盖内容极为广泛信息安全涵盖内容极为广泛层次众多：从物理层到层次众多：从物理层到数据层，管理、组织、策略、数据层，管理、组织、策略、运行运行生命周期：从评估、需求、生命周期：从评估、需求、设计、规划、实施、运维，到设计、规划、实施、运维，到持续改进持续改进体系的结构化体系的结构化框架相对固定，具有

11、稳定框架相对固定，具有稳定性；性；内容相对完整，并可根据内容相对完整，并可根据发展补充和完善发展补充和完善等级化安全体系方法等级化安全体系方法整体整体安全目标安全目标分等级的分等级的保护对象框架保护对象框架体系建设体系建设和运行和运行组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全要求与对策框架安全要求与对策框架客户的信息资产客户的信息资产定级定级分解分解国家规定国家规定的各等级的各等级安全要求安全要求定制定制分等级的分等级的安全目标安全目标等级化等级化安全体系安全体系客户安全工作的价值链客户安全工作的价值链评估评估体系体系规划规划体系建设实施体系建设实施体系运行体系运行安

12、全工作安全工作生命周期生命周期方案方案了解现状了解现状价值价值确定目标确定目标和总体笼和总体笼廓廓确定目标实确定目标实现策略和途现策略和途径径增强安全措施，增强安全措施，解决安全问题解决安全问题维护体系运行，维护体系运行，保障安全保障安全确定实现确定实现方法方法评估服务评估服务联想提供联想提供产品服务产品服务体系设计服体系设计服务务规划服务规划服务产品：产品：自有产品外部采购产品服务：服务：采购、实施、监理服务咨询服务(策略，体系推行，培训)方案设计方案设计服务服务典型方案典型方案产品售后服务产品售后服务外包服务：外包服务：定期评估监控与分析常年咨询体系更新和维护方案方案1：等级化安全体系解决

13、方案：等级化安全体系解决方案方案方案2：等级保护一体化解决方案：等级保护一体化解决方案等级化安全体系的实施方案等级化安全体系的实施方案q方案1：等级化安全体系解决方案适用范围：大型和超大型客户安全要求高、复杂，要求全价值链的服务和产品联想提供咨询、集成、产品、安全外包等全价值链的解决方案项目形式：咨询项目集成项目外包项目q方案2：等级保护一体化解决方案适用范围：中小型客户安全要求一般、相对简单，要求部分价值链联想提供精简的咨询、集成和产品的一体化解决方案项目形式：集成项目售后服务实施过程实施过程q第一阶段：定级阶段 q第二阶段：规划与设计阶段 q第三阶段：实施、评审与改进阶段 定级方法定级方法

14、q确定应用系统的安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全级别来综合确定系统的安全等级；q系统定级公式：系统安全等级(a)max (系统保密性级别) ,(系统完整性级别),(系统可用性级别)系统保密性级别max (各信息或服务的保密性级别) 系统完整性级别max (各信息或服务的完整性级别) 系统可用性级别max (各信息或服务的可用性级别) 安全规划与设计安全规划与设计选择和调整安全措施选择和调整安全措施运行监控与改进运行监控与改进q持续监控q安全措施改进q系统重新定级等级保护案例简介等级保护案例简介项目内容项目内容系统调查与评估系统调查与评估南海等级化服务项目南

15、海等级化服务项目分域保护框架分域保护框架建设对象建设对象 资产调查资产调查总体安全建议总体安全建议 电子政务电子政务系统等级划分系统等级划分 建议方案和建议方案和管理规范管理规范应用与业务调查应用与业务调查定级规范定级规范调查系统定级调查系统定级分域设计分域设计网络调整方案网络调整方案安全组织安全组织管理办法管理办法系统风险和安全系统风险和安全措施调查措施调查评估加固方案评估加固方案体系和规划建议体系和规划建议项目报告项目报告项目成果南海电子政务分域保护对象框架项目成果南海电子政务分域保护对象框架 项目成果电子政务系统等级划分项目成果电子政务系统等级划分大社保系统平台大社保系统平台序号系统名称

16、三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区社会保险管理信息系统33332南海区民政局业务系统22223南海区社会保障（市民）卡业务系统22224大社保平台数据中心系统23235南海区社会保险公共服务系统2222项目成果电子政务系统等级划分项目成果电子政务系统等级划分序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区基金收费非税收入系统23232南海区会计结算中心业务系统23233狮山镇财务结算中心系统22224南海区统计局基层统计系统2222实施的解决方案的内容实施的解决方案的内容q管理体系建设p南海区电子政务安全组织管理办法p南海电子政务网络系统安

17、全规范p南海电子政务互联网服务安全规范p南海电子政务安全业务系统接入规范p南海电子政务系统等级安全措施指标p南海电子政务信息安全应急预案p南海区电子政务安全运行维护作业计划q技术体系建设p网络安全改造与安全域隔离 p周期性安全评估与加固 p政务网安全审计平台 p安全监管中心平台 p电子政务容灾备份中心 p“大社保系统”安全建议项目成果总体安全建议项目成果总体安全建议等级保护案例简介等级保护案例简介等级化安全体系解决方案设计流程等级化安全体系解决方案设计流程保护对象保护对象v公司公司v部门部门v系统系统v计算区域计算区域v网络基础设施网络基础设施v边界边界v核心服务器区域核心服务器区域v终端接入

18、区域终端接入区域v第三方接入区域第三方接入区域安全目标安全目标v公司安全目标公司安全目标v部门安全建设目标部门安全建设目标v系统安全建设目标系统安全建设目标安全要求安全要求v机密性机密性v完整性完整性v可用性可用性v安全组织安全组织v安全策略安全策略v安全运作安全运作v安全技术安全技术安全措施安全措施v策略策略v解决方案解决方案项目内容项目内容安全评估与等级划分安全评估与等级划分公司安全体系设计公司安全体系设计公司等级化安全体系设计公司等级化安全体系设计安全组织体系安全组织体系安全运作体系安全运作体系安全规划安全规划安全技术体系安全技术体系安全策略安全策略试点工作试点工作3年安全规划年安全规划

19、公司全面深度安全评估公司全面深度安全评估网管系统安全域划分网管系统安全域划分及原则规范及原则规范网管系统等级划分网管系统等级划分及原则规范及原则规范成果安全工作总体思路成果安全工作总体思路1.1.公司安全的使命和目标公司安全的使命和目标-得到安全目标得到安全目标我们的方向是什么？我们的方向是什么？3.3.安全现状安全现状4.4.关键举措和重点工作关键举措和重点工作-得到总体框架和笼廓得到总体框架和笼廓我们做什么？做成什么样子？我们做什么？做成什么样子？-得到工作计划和实施规划得到工作计划和实施规划我们怎么做我们怎么做？2.2.安全体系总体框架安全体系总体框架5.5.实施策略选择实施策略选择6.

20、6.工作计划工作计划7.7.建设实施建设实施8.8.安全运营和持续改进安全运营和持续改进现在，我们开始作现在，我们开始作成果安全域划分（一期）成果安全域划分（一期）项目成果项目成果安全域划分（二期）安全域划分（二期）成果等级化安全体系的实现成果等级化安全体系的实现安全支撑系统和基础设施安全支撑系统和基础设施第三方统一安全接入平台第三方统一安全接入平台安全研究与测试实验室安全研究与测试实验室第三方统一安全接入平台第三方统一安全接入平台全程全网监控和审计平台全程全网监控和审计平台统一鉴别认证平台统一鉴别认证平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台第三方统一安全接入平台第三方统一

21、安全接入平台全程全网监控和审计平台全程全网监控和审计平台统一身份鉴别认证平台统一身份鉴别认证平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台安全管理运行中心安全管理运行中心全网安全域划分与边界整合全网安全域划分与边界整合网络安全性调整和改造网络安全性调整和改造安全体系核查与改造项目安全体系核查与改造项目技术体系技术体系安全组织体系和岗位职责安全组织体系和岗位职责安全培训与资质认证安全培训与资质认证组织体系组织体系安全策略体系和流程梳理安全策略体系和流程梳理安全策略与流程推广实施安全策略与流程推广实施策略体系策略体系体系推广与常年安全咨询体系推广与常年安全咨询运作体系运作体系常年安全

22、外包服务常年安全外包服务保护对象框架保护对象框架成果安全组织体系成果安全组织体系主管领导（主管安全）主管领导（主管安全）领导小组组长领导小组组长信息安全领导小组信息安全领导小组业务部门负责人业务部门负责人成员成员安全部门负责人安全部门负责人工作组组长工作组组长管理部门负责人管理部门负责人成员成员部门安全管理员部门安全管理员成员成员部门安全管理员部门安全管理员成员成员安全办公室负责安全办公室负责人人负责人负责人安全管理员安全管理员安全技术员安全技术员信息安全工作组信息安全工作组信息安全办公室信息安全办公室成果安全策略体系成果安全策略体系信息安全方针信息安全方针管理规定管理规定工作流程工作流程安全

23、组织人员职责安全组织人员职责技术规范技术规范信息安全体系信息安全体系公司层面公司层面部门安全工作管理办法部门安全工作管理办法部门安全组织人员职责部门安全组织人员职责部门层面部门层面工作表单工作表单运行维护计划运行维护计划应急响应计划应急响应计划系统层面系统层面成果技术体系成果技术体系安全措施安全要求策略体系技术体系运作体系组织体系公司部门系统公司部门系统安全目标防病毒防病毒监控监控审计审计认证认证第三方第三方统一接入统一接入安全域安全域公司层面公司层面访问访问控制控制访问访问控制控制访问访问控制控制主机主机安全安全边界边界隔离隔离数据库数据库安全安全应用应用安全安全安全域安全域边界边界隔离隔离

24、系统层面系统层面成果安全运行体系成果安全运行体系安全目标要求安全目标要求plan：安全目标要求安全目标要求安全现状安全现状 安全计划（建设；维护安全计划（建设；维护） do：安全项目建设安全项目建设安全维护作业安全维护作业1、更新资产补丁拓扑服务等状态2、安全事件通报.3、安全加固4、更新安全现状和安全目标要求差距5、其他.check：日常安全检查日常安全检查周期性安全评估周期性安全评估1、检查安全目标要求的完成状态2、评估安全状况（资产状态；弱点状态），3、安全现状是否符合可控安全环境action：调整安全目标要求调整安全目标要求规划安全项目规划安全项目绩效考核各部门、安全管理员绩效考核各部门、安全管理员成果建设规划成果建设规划安全组织体系和岗位职责安全组织体系和岗位职责安全培训与资质认证安全培训与资质认证安全策略体系和流程梳理安全策略体系和流程梳理安全研究与测试实验室安全研究与测试实验室第三方统一安全接入平台第三方统一安全接入平台全程全网监控和审计平台全程全网监控和审计平台统一鉴别认证平台统一鉴别认证平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台全网安全域划分与边界整合全网安全域划分与边界整合安全管理运行中心安全管理运行中心安