从威胁、目标和能力分析等级保护的安全整改和运维

从威胁、目标和能力分析等级保护的安全整改和运维服务提升价值领航信息平安启明星辰平安技术最正确实践广州分公司邓景云信息平安存在的问题偏重产品，无视体系和管理。重视外部攻击与入侵，无视内部的非法行为缺乏信息平安风险意识，平安投入盲目一劳永逸的错误观念，无视信息平安是个动态的过程威胁趋势愈演愈烈等级保护之为什么Why1994年，?中华人民共和国计算机信息系统平安保护条例?规定，“计算机信息系统实行平安等级保护，平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定〞。1995年2月18日人大12次会议通过并实施的?中华人民共和国警察法?第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的平安保护工作〞。——法律依据。1999年，强制性国家标准－?计算机信息系统平安保护等级划分准那么?GB17859〕2003年，中办、国办转发的?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕明确指出“实行信息平安等级保护〞。“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南〞。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了?关于信息平安等级保护工作的实施意见?〔66号文件〕2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了?信息平安等级保护管理方法?〔公通字[2006]7号〕……分级保护信息平安标准AS/NZS4360:1999风险管理标准ISO/IEC13335IT平安管理指南ISO/IEC17799:2005信息平安管理最正确实践指南ISO/IEC27001:2005信息平安管理体系标准ISO/IEC15408/GB18336CCIATF信息保障技术框架SSE-CMM系统平安工程能力成熟度模型公安部等级保护指南?信息系统平安等级保护定级指南?参考ISO13335?信息系统平安等级保护实施指南?参考ISO13335、IATF、SSE-CMM?信息系统平安等级保护根本要求?参考ISO15408、7799参考?信息系统平安等级保护测评准那么?ISO13335中的风险管理模型威胁漏洞资产价值需求控制风险利用存在抵御引发增加增加增加拥有需要最精简的风险管理３要素定级保护轮廓技术体系管理体系不同级别威胁不同风险立方体-RiskCube资产威胁措施〔平安能力〕平安目标风险立方体中的平安工作资产威胁措施〔平安能力〕电子客票系统社保网上系统〔2级〕互联网攻击互联网防入侵FW,IDS,IPS,防SQL注入平安目标O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力风险立方体中的平安工作资产威胁措施〔平安能力〕硬件设备网络线路机房〔2级〕自然灾难电子屏蔽室、防火器、避雷设备火警装置等平安目标O2-2.应具有防止雷击事件导致重要设备被破坏的能力O2-3.应具有防水和防潮的能力O2-4.应具有灭火的能力O2-5.应具有检测火灾和报警的能力等级保护之五级监管等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查威胁分类不同级别对抗的威胁的种类不同；对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。平安目标不同。威胁和目标等保三级：1〕防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁〔内部人员的恶意威胁，设备较为严重的故障〕所造成的主要资源损害。2〕能够及时发现平安漏洞和平安事件；3〕在系统遭到损害后，能够较快恢复绝大局部功能。等保二级：1〕小型组织、少量资源〔个人能力、公开可获得或特定开发的工具〕、一般自然灾难、以及其它相当危害程度〔无意失误、设备故障等〕。2〕能够发现；3〕一段时间内恢复局部内容。根本要求的保障措施某级系统物理平安根本技术要求根本管理要求根本要求网络平安主机平安应用平安数据平安平安管理机构平安管理制度人员平安管理系统建设管理系统运维管理从风险立方体分析落实等保资产威胁措施〔平安能力〕平安目标二级信息系统对抗能力2恢复能力2威胁形态2平安目标2根本要求2等级保护之怎么How落实等保整改、运维的解决方案阶段一：平安评估，建立等保保护轮廓，提供整改依据阶段二：平安域改造，满足等保根本要求，建设保障框架阶段三：平台建设，等保长期持续监控，建立运维体系第一阶段：平安评估意义：2003年7月,中办发[2003]27号文件对开展信息平安风险评估工作提出了明确的要求。工作内容行业信息平安保障要求风险评估/自评估两个层面、三个纬度技术层面：网络、系统、应用管理层面：人员机构、制度流程、物理环境启明星辰风险评估技术开展全国人大风险评估工程、国家统计局网络风险评估中国石油天然气集团信息网络平安风险评估工程中国建设银行总行网上银行效劳器平安评估工程中国人民银行评估标准及试点、广东移动平安评估效劳2021启明星辰风险评估与管理模型平安评估预期的效果四个识别：资产、威胁、保护措施、平安差距体系设计差距评估体系执行差距评估了解安全现状找出安全差距明确安全需求第二阶段：平安域改造工作内容平安域划分网络优化产品部署平安域策略部署制定：美国国家平安局〔NSA〕启明星辰“3＋1〞平安域模型域域资产结构化-平安域平安域方法归根到底就是用结构将微观的大量资产和其他平安要素，有序地展现在宏观层面广义的平安域概念是具有相同和相似的平安要求和策略的IT要素的集合。IT要素包括：物理环境、网络区域、主机和系统、业务和使命、策略和流程、人和组织电力系统二次安防的思路平安域的树型结构示意53243253444333534A1223333155544333555I13233331外联网接入区支撑设施域互联网接入区边界接入域核心计算区某行安全域总体设计重要服务区对外服务单元计算环境域网络设施域一般服务区内联网接入区内部网接入区网络管理区安全管理区操作监控区网络接入区网络汇集区网络骨干区边界接入单元内部涉密单元楼层接入单元人行银联单元中间业务单元核心业务单元核心管理单元核心办公单元业务前置单元网银前置单元信息服务单元办公服务单元分行业务接入分行办公接入认证鉴别单元检测响应单元安管中心单元其它服务单元55544333555C13233331432455455其它企业平安域案例**平安域部署案例**平安域部署案例**平安域部署案例运营商内部信息通信网、网管网、业务支撑系统**平安域部署案例**平安域部署案例**平安域部署案例平安域改造的预期效果IT系统的公交线路图理顺网络结构结构化安全建设，有机结合产品和服务落实等保基本要求！降低整体风险，加强IT内控实效性等保的成果如何看得见？鸟瞰图第三阶段：平台建设工作内容SOC部署平安事件采集平安事件综合分析资产和域管理风险监控管理脆弱性管理平安域拓扑管理平安域策略管理业务数据流管理平安响应管理自身平安管理定制开发实时监控的可视化显示实时监控内容监控对象、事件类型、风险级别〔5级〕、发生时间、源地址、目标地址、协议类型、时间间隔等显示方式拓扑链接图GIS地理图交互式图表设备状态视图平安管理平台成为检测和响应能力的汇总点平台建设的预期效果决策层面从业务风险层面理解安全事件计算和跟踪安全投资回报率运营层面准确分析现有系统的威胁确定安全事件的优先顺序理顺安全事件管理的流程技术层面集中管理不同的安全设备综合分析分布的安全报警形成完整的安全保障体系安全设备事件及告警统一监控等保成果的可视化！“泰合平台〞局部成功案例国家某局全国监测数据处理中心大型平台类工程超过10个!某客户使用“泰合平台〞的实景医疗行业等保运维的特点—HIS系统的内控健全纪检监察制度加强密码管理授权控制信息查询功能模块后台数据库审计监控医疗行业等保运维的特点—HIS系统的内控启明星辰如何实现通过天玥业务网审计系统实现对数据库操作的记录和审计查询，以此手段有效地监控任何对数据库访问的行为并对可疑的数据库查询操作做回放并记录，以此追踪、威慑医药代表的统方行为，并可通过数据库浏览工具，将查询命令的操作结果直观反映到数据库上。医疗行业等保运维的特点—HIS系统的内控总体要求对HIS〔医院管理信息系统〕系统后台数据库的访问行为进行审计并回放，并将审计命令反映为数据库操作结果以便监察部门查阅环境现状医务人员使用科室HIS系统的查询模块，或信息中心管理人员直接使用数据库查询分析工具〔PowerBuilder、SQL查询分析器等〕执行查询指令医疗行业等保运维的特点—HIS系统的内控数据库类型MSSQLServer、Oracle、Sybase行业特殊需求对所有类型HIS系统数据库的访问操作进行旁路审计并实时跟踪回放可自定义具有业务特征的策略库，对符合审计策略的操作可记录、查询、报表、报警审计结果需要翻译成监察部门的非专业人员可读格式，并将指令反映为数据库操作案例：长城资产等级保护工程用户背景：

中国长城资产管理公司(以下简称长城资产管理)是经中国政府批准成立的，具有独立法人资格的国有独资金融企业，公司注册资本金100亿元人民币，由国家财政部全额拨入，长城资产管理在全国30个省市设有分支机构。合作内容启明星辰与长城资产的合作内容：一期的平安等级划分和风险评估；二期的等级保护整改，包括平安域规划建设；二期的平安管理平台设计建设。本工程中涉及的主要工作内容有：对长城资产管理现有的平安措施做出合理判断和评价。完成等级保护的定级工作的同时完成平安风险评估。实现对现有防火墙、防病毒、入侵检测和补丁管理系统等网络平安防护设备的统一数据采集和综合分析。二期工程中实现平安域划分、多种平安设备的事件集中管理和平安风险的实时监控。逻辑关系SMCBlade_02数据库Blade_01SIMSBlade_03显示终端网络行为监控脆弱性扫描交换机路由器效劳器防火墙平安网关入侵检测漏洞信息：日志信息：访问信息：展示信息：SOC域大屏幕显示全国办事处部署图全国共部署31个办事处，信息分别在各办事处EC汇总，后统一送往总部SIMS效劳器存入总部数据库。总部SOC域北京办河北办天津办上海办可识－丰富的拓扑展示等级保护基线管理差距分析客户评价长城资产公司信息技术部总经理这样评价：

“部署平台之后公司有效响应和贯彻了公安部信息系统等级保护标准的要求，协助公司进一步提升信息平安水平，保障业务的良好运行。

同时，利用平台的建设实践到达了对信息平安风险的‘可知-可识-可知识’管理，使信息系统的平安风险处于‘可识、可视、可管、可控’之中〞。启明星辰简介领导的关心2000年1月，江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司2003年1月，胡锦涛总书记亲切接见启明星辰公司CEO严望佳博士今天的启明星辰公司拥有国际一流的攻防技术研究团队，是专业平安产品、解决方案和效劳提供商员工超过700名，是国家级网络平安技术研发基地，设有网络平安博士后工