信息安全等级保护建设

1、信息安全等级保护建设深信服产品经理：徐金涛第1页等级保护政策介绍和建设思绪等级保护政策介绍等级保护政策解读等级保护建设思绪探讨等保建设方案统一规划等保项目注意事项目录第2页信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其它组织及公民专有信息以及公开信息和存放、传输、处理这些信息信息系统分等级实施安全保护，对信息系统中使用信息安全产品实施按等级管理，对信息系统中发生信息安全事件分等级响应、处置。第3页国家等级保护制度概述和发展历程信息安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全根本保障，是信息安

2、全保障工作中国家意志表达。国务院147号令第一次提出等级保护概念，要求对信息系统分等级进行保护。19941999GB17859国家强制标准公布，信息系统等级保护建设必须遵照法规。公安部四大标准基本要求定级指南实施指南测评准则公通字43号 等级保护管理方法公布，明确怎样建设、怎样监管和怎样选择服务商等。工作关键点中央网信领导小组工作关键点：落实国家信息安全等级保护制度。第4页等级保护建设中角色总体介绍公安机关立案测评机构主要负担系统测评工作，只有在当地公安机关立案测评机构才能够开展测评工作。集成商、安全厂商依据咨询服务单位提供整改方案，要采购对应安全设备和服务，这些内容由集成商和安全厂商提供。公

3、安机关网安部门主要负担监督检验工作，同时负责管理测评机构。各单位系统定级立案要到公安机关网安部门进行。提供咨询服务单位对于用户单位完成定级立案、差距评定和整改方案编写，需要有一家单位提供咨询和服务。无偿&收费。测评机构集成实施咨询服务公安机关第5页等保5个监管等级对象等级正当权益社会秩序和公共利益国家安全损害严重损害损害严重损害尤其严重损害损害严重损害尤其严重损害普通系统一级二级主要系统三级四级极端重要系统五级等保采取分系统定级方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。在五个监管等级中，三级与四级系统为监管重点，也是建设重点。第6页决定等级主要原因分析信息系统所属类型业务数

4、据类别信息系统服务范围业务处理自动化程度业务主要性业务数据安全性业务处理连续性业务依赖性基于业务主要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级依据业务数据安全性和业务处理连续性要求确定安全保护等级。第7页等级保护建设普通过程整改评定定级评测确定系统或者子系统安全等级依据等级要求，对现有技术和管理伎俩进行评定，并给出改进提议针对评定过程中发觉不满足等保要求地方进行整改评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论监管对系统进行周期性检验，以确定系统依然满足等级保护要求第8页等级保护政策介绍和建设思绪等级保护政策介

5、绍等级保护政策与技术解读等级保护建设思绪探讨等保建设方案统一规划等保分步实施实践目录第9页等保关键思想：适度安全信息安全工作中，等保给予用户明确目标，帮助用户更清楚认识安全微弱步骤。没有100%安全，适度安全关键思想让用户到达投资/收益最正确比。系统主要程度系统保护要求安全基线安全基线安全基线一级二级三级四级第10页等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求某级要求第11页等保不一样级别保护能力区分各级系统应对威胁能力不一样，即能够反抗系统面临威胁程度以及在遭到威胁破坏后，系统能够恢复之前各种状态能力

6、是不一样。技术要求：安全要求增加安全要求增强管理要求：管理活动控制点增加，每个控制点详细管理要求增多管理活动能力逐步加强，借鉴能力成熟度模型（CMM）第12页等级保护技术要求归纳13个关键技术要求包括层面包括1级系统包括2级系统包括3级系统包括4级系统身份判别和自主访问控制网络、主机、应用强制访问控制主机 安全审计网络、主机、应用 完整性和保密性保护网络、应用、数据边界保护网络 资源控制网络、主机、应用入侵防范和恶意代码防范网络、主机、应用可信路径设置网络、主机、应用系统防渗透方法网络、主机、应用安全管理平台设置网络、主机、应用备份与恢复网络、数据密码技术应用网络、主机、应用环境与设施安全物理

7、第13页不一样等级保护技术办法要求第14页不一样等级保护技术办法要求第15页等级保护管理要求安全管理制度信息安全管理前提安全管理机构信息安全管理基础人员安全管理信息安全管理保障系统建设管理围绕安全建设设计、采购、实施，不停完善信息安全系统运维管理信息安全管理关键安全管理安全管理目标是让管理制度切实落地，日常运维是最繁杂工作。第16页等级保护政策介绍和建设思绪等级保护政策介绍等级保护政策解读等级保护建设思绪等保建设方案统一规划等保分步实施实践目录第17页建设思绪：主动应对，借梯上楼借梯上楼方法：以等保为契机，统一进行安全规划和建设，加强整个系统信息安全优点：重整优化IT基础架构有计划地满足等保缺

8、点：改造工作资金投入较大对象：没有针对某安全体系标准进行重整过查漏补缺方法：在现有IT架构中搜集证据，不满足地方适当修补优点：改造工作资金投入小缺点：IT架构越补越复杂，最终补不胜补等保满足时间点不可预期对象：已经采取其它安全体系标准IT系统，比如运行商 等保建设中常见两种应对思绪：借梯上楼是主动改造思绪。 对于大多数IT系统，提议采取“借梯上楼”方法，优化IT架构，满足等保第18页技术建设漏洞监控，脆弱性管理集中策略布署管理行为监控/异常流量监控安全事件集中采集监控病毒集中采集监控安全审计工具风险评定工具威胁定位，响应管理管理建设安全管理机构建设安全管理制度完善应急响应流程制订、演练人员培训

9、安全区域划分，目标制订符正当规要求连续改进、优化、预防 重技术、轻管理，或者是重管理、轻技术都是不可取技术与管理并重第19页分责运维：技术支撑管理行为审计安全监控身份认证权限控制.数据备份恢复技术体系管理体系网络安全主机安全应用安全数据安全物理安全 经过技术伎俩，减轻运维中工作量和复杂度，让管理制度更加好落地第20页等级保护政策介绍和建设思绪等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录第21页分区分域方法横向分区，纵向分域按照等保要求，业务系统需要保持边界完整性，横向分区保持业务系统隔离纵向依据业务系统不一样角色，划分为数据中心/广域网/局域网虚拟分区，灵活节约多业务系统共

10、用一套物理网络，虚拟分区保障业务系统隔离同时，节约投资，在增加/变更业务系统时灵活方便四级业务四级业务二级业务一级业务 数据中心域广域网安全域局域网安全域纵向分域横向虚拟分区三级业务三级业务第22页分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个域：数据中心、广域网、局域网域之间进行严格访问控制，针对攻击进行全方面防范域内包含多个业务情况下，经过分区方法进行隔离权限控制攻击防范资源控制链路安全攻击防范广域网优化局域网广域网数据中心终端数据数据备份行为控制行为审计 终端认证第23页分区：保持业务系统独立性经过分区，各业务系统含有独立IT环境保持边界完整，满足业务之间隔离需求每套业务系

11、统含有独立资源，更加好满足业务连续性要求分区隔离方法网络改造进行物理隔离，比如涉密内网与其它业务系统结合应用类型采取IPSec或者SSL实现业务系统虚拟划分局域网广域网数据中心局域网广域网数据中心局域网广域网数据中心业务A业务B业务CIPSecSSL第24页等级保护政策介绍和建设思绪等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录第25页数据中心对内服务域非涉密内网办公域Internet 外联域网络关键交换域分支广域网域数据中心关键交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetAD等保分域设计方案SSL

12、/ NGAF / ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF第26页三大区域关键技术办法要求编号10个关键技术要求数据中心设计目标广域网设计目标局域网设计目标1身份判别和自主访问控制是是是2安全审计是是是3完整性和保密性保护是是是4边界保护是是是5资源控制是是否6入侵防范和恶意代码防范是是是7安全管理平台设置是是是8备份与恢复是否否9强制访问控制是否否10环境与设施安全是是是第27页等保方案设计数据中心对内服务区SSL VPN业务A业务B业务C关键交换汇聚交换NGAF资源优化与控

13、制安全加固安全管理平台方案描述NGAF：有效防范27层攻击，进行应用访问控制AD：限制单用户资源分配，提升服务器响应速度和处理能力，提供SSL加密SSL VPN：确保链路安全性，实现业务系统间安全隔离和精细化控制，并进行访问审计APM：针对业务连续性提供监测依据异地备份恢复中心AD园区网广域网APM第28页Internet外网NGAF托管区边界FW互联网接口DMZ区服务托管区内网区ADAD链路分担NGAF等保方案设计数据中心对外服务区网银WEB网银APP网银DB数据中心关键层交换机服务器分担 ADSSL VPNNGAF第29页方案描述IPSec VPN：实现跨广域网加密传输/不一样级别系统隔离

14、需求NGAF：配合VPN，防范广域网上27层攻击WOC：实现全网带宽合理分配，提供QoS带宽保障双链路冗余：依据等保要求，广域网链路采取双链路冗余。等保方案设计骨干链路专网/互联网网络关键交换区IPSec VPNCEIPSec+MPLS 隧道数据中心业务系统2业务系统1访问者区域IPSec+MPLS 隧道业务系统2访问者区域WOC关键分布式布署NGAF数据中心业务系统1二合一方案IPSec VPNWOCNGAF第30页数据中心对内服务域非涉密内网办公域Internet 外联域网络关键交换域分支广域网域数据中心关键交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetADSSL / NGAF / ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOC