等级化安全体系设计与实践_第1页
等级化安全体系设计与实践_第2页
等级化安全体系设计与实践_第3页
等级化安全体系设计与实践_第4页
等级化安全体系设计与实践_第5页
已阅读5页,还剩40页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

联想信息安全每一天等级化安全体系设计与实践联想网御科技有限公司资深安全顾问主题2003年11月,发布27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)我国第一个全面关于信息安全保障工作的文件,是我国今后一段时期内信息安全保障工作的纲领性文件总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全

明确提出实行信息安全等级保护制度2004年9月,发布66号文件《关于信息安全等级保护工作的实施意见》(公通字[2004]66号文件)主要内容开展等级保护工作的重要意义等级保护制度的原则等级保护制度的基本内容等级保护工作职责分工实施等级保护工作的要求等级保护工作的实施计划电子政务等级保护实施指南(试行)国信办[2005]25号信息安全等级保护管理办法(试行)公通字[2006]7号主题我国信息安全的形势尤为严峻安全的防护能力很弱,安全保障水平不高信息安全法律法规和标准不完善安全人才缺乏技术整体上比较落后,严重依赖国外进口环境产业缺乏核心竞争力,竞争不够有序产业有害信息、病毒和网络攻击和犯罪日趋严重敌对势力的攻击破坏和反动宣传日益猖撅威胁战略目标:建设国家信息安全保障体系战略方针:积极防御,综合防范27号文件实行等级保护制度灾备等基础和支撑性工作国家的安全要求66号文件电子政务等级保护实施指南基本制度和根本方法等级化要求体系化要求我国信息安全的形势尤为严峻安全的防护能力很弱,安全保障水平不高信息安全法律法规和标准不完善安全人才缺乏技术整体上比较落后,严重依赖国外进口环境产业缺乏核心竞争力,竞争不够有序产业有害信息、病毒和网络攻击和犯罪日趋严重敌对势力的攻击破坏和反动宣传日益猖撅威胁安全保障水平较低,落后于业务与IT的发展水平,未能促进或阻碍了业务发展安全需要做到什么程度?需要多大的投资规模?如何建立公司级的安全整体机制?CEO安全都需要作什么?如何才能做到长治久安?如何分配安全投资?重点是什么?投资和建设的节奏和计划?安全投资如何才能产生真正效果?CSO客户的要求与应对等级化要求总体投资规模投资策略,突出重点体系化要求安全总体体系与机制安全目标与规划有效性保障与运行具体的要求是什么?如何建设和维护?如何考核?执行者等级化安全体系的提出等级化要求体系化要求27号文件66号文件电子政务等级保护实施指南公安部系列指南和标准国家的要求客户的要求CEO的要求CSO的要求执行者的要求等级化安全体系理念:等级化安全体系联想网御安全理念定义内涵:依照国家等级保护制度,帮助客户达到体系化的安全保障水平,采用体系化和等级化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。等级化安全体系的特质关键组成部分:等级保护,安全体系设计方法:等级化、体系化相结合形成的等级化安全体系方法特质:整体性:结构化,系统化,内容全面等级化:突出重点,节省成本针对性:针对实际情况,符合业务特性和发展战略可持续发展:框架相对稳定,内容可持续发展和完善实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是安全工作所追求的最终目标两者有效结合,形成等级化安全体系设计方法组织战略和业务目标组织总体信息安全目标安全要求安全措施结构体体系化设计方法保护对象安全目标安全措施等级化等级化设计方法总体设计方法等级保护基本原理依据信息系统的使命与目标和系统重要程度,将系统划分为不同的安全等级,并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全措施的成本,通过调整和定制,形成不同等级的安全措施进行保护实行等级保护的目的满足不同行业、信息化发展阶段、不同层次的安全要求有利于突出重点有利于控制安全的成本等级化设计方法体系化设计方法什么是安全体系一组结构化的安全目标和措施用于表述组织的总体安全目标和实现。网络基础设施区域边界计算环境安全保护对象框架安全基础设施信息安全保障体系组织体系技术体系运作体系策略体系安全对策框架大型系统表述困难:规模庞大:应用众多、地域广阔、用户庞大结构复杂:应用复杂并相关联,网络结构复杂,安全要求强度和差异化很大信息安全涵盖内容极为广泛层次众多:从物理层--到数据层,管理、组织、策略、运行生命周期:从评估、需求、设计、规划、实施、运维,到持续改进体系的结构化框架相对固定,具有稳定性;内容相对完整,并可根据发展补充和完善等级化安全体系方法整体安全目标分等级的保护对象框架体系建设和运行组织体系技术体系运作体系策略体系安全要求与对策框架客户的信息资产定级分解国家规定的各等级安全要求定制分等级的安全目标等级化安全体系客户安全工作的价值链评估体系规划体系建设实施体系运行安全工作生命周期方案了解现状价值确定目标和总体笼廓确定目标实现策略和途径增强安全措施,解决安全问题维护体系运行,保障安全确定实现方法评估服务联想提供产品服务体系设计服务规划服务产品:自有产品外部采购产品服务:采购、实施、监理服务咨询服务(策略,体系推行,培训)方案设计服务典型方案产品售后服务外包服务:定期评估监控与分析常年咨询体系更新和维护方案1:等级化安全体系解决方案方案2:等级保护一体化解决方案等级化安全体系的实施方案方案1:等级化安全体系解决方案适用范围:大型和超大型客户安全要求高、复杂,要求全价值链的服务和产品联想提供咨询、集成、产品、安全外包等全价值链的解决方案项目形式:咨询项目-集成项目-外包项目方案2:等级保护一体化解决方案适用范围:中小型客户安全要求一般、相对简单,要求部分价值链联想提供精简的咨询、集成和产品的一体化解决方案项目形式:集成项目-售后服务实施过程第一阶段:定级阶段第二阶段:规划与设计阶段第三阶段:实施、评审与改进阶段

定级方法确定应用系统的安全等级的基本方法是:通过确定系统保密性、完整性和可用性三个方面的安全级别来综合确定系统的安全等级;系统定级公式:系统安全等级(A)=Max{(系统保密性级别),(系统完整性级别),(系统可用性级别)}系统保密性级别=Max{(各信息或服务的保密性级别)}系统完整性级别=Max{(各信息或服务的完整性级别)}系统可用性级别=Max{(各信息或服务的可用性级别)}安全规划与设计选择和调整安全措施运行监控与改进持续监控安全措施改进系统重新定级等级保护案例简介佛山市南海区电子政务等级保护试点项目项目内容系统调查与评估南海等级化服务项目分域保护框架建设对象

资产调查总体安全建议

电子政务系统等级划分

建议方案和管理规范应用与业务调查定级规范调查系统定级分域设计网络调整方案安全组织管理办法系统风险和安全措施调查评估加固方案体系和规划建议项目报告项目成果-南海电子政务分域保护对象框架项目成果-电子政务系统等级划分

-大社保系统平台序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区社会保险管理信息系统33332南海区民政局业务系统22223南海区社会保障(市民)卡业务系统22224大社保平台数据中心系统23235南海区社会保险公共服务系统2222项目成果-电子政务系统等级划分

序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区基金收费非税收入系统23232南海区会计结算中心业务系统23233狮山镇财务结算中心系统22224南海区统计局基层统计系统2222实施的解决方案的内容项目成果-总体安全建议等级保护案例简介某大型通信企业等级化安全体系咨询项目等级化安全体系解决方案设计流程保护对象公司部门系统计算区域网络基础设施边界核心服务器区域终端接入区域第三方接入区域安全目标公司安全目标部门安全建设目标系统安全建设目标安全要求机密性完整性可用性安全组织安全策略安全运作安全技术安全措施策略解决方案项目内容

安全评估与等级划分公司安全体系设计公司等级化安全体系设计安全组织体系安全运作体系安全规划安全策略试点工作3年安全规划公司全面深度安全评估网管系统安全域划分及原则规范网管系统等级划分及原则规范成果-安全工作总体思路1.公司安全的使命和目标-得到安全目标我们的方向是什么?3.安全现状4.关键举措和重点工作-得到总体框架和笼廓我们做什么?做成什么样子?-得到工作计划和实施规划我们怎么做?2.安全体系总体框架5.实施策略选择6.工作计划7.建设实施8.安全运营和持续改进现在,我们开始作成果-安全域划分(一期)项目成果—安全域划分(二期)成果-等级化安全体系的实现安全支撑系统和基础设施第三方统一安全接入平台安全研究与测试实验室第三方统一安全接入平台全程全网监控和审计平台统一鉴别认证平台终端管理和防病毒集中管理平台第三方统一安全接入平台全程全网监控和审计平台统一身份鉴别认证平台终端管理和防病毒集中管理平台安全管理运行中心全网安全域划分与边界整合网络安全性调整和改造安全体系核查与改造项目技术体系安全组织体系和岗位职责安全培训与资质认证组织体系安全策略体系和流程梳理安全策略与流程推广实施策略体系体系推广与常年安全咨询运作体系常年安全外包服务保护对象框架成果-安全组织体系主管领导(主管安全)领导小组组长信息安全领导小组业务部门负责人成员安全部门负责人工作组组长管理部门负责人成员部门安全管理员成员部门安全管理员成员安全办公室负责人负责人安全管理员信息安全工作组信息安全办公室成果-安全策略体系信息安全方针管理规定工作流程安全组织人员职责信息安全体系公司层面部门安全工作管理办法部门安全组织人员职责部门层面工作表单运行维护计划应急响应计划系统层面安全措施安全要求策略体系技术体系运作体系组织体系公司部门系统公司部门系统安全目标防病毒监控审计认证第三方统一接入安全域公司层面访问控制访问控制访问控制主机安全边界隔离数据库安全应用安全安全域边界隔离系统层面成果-安全运行体系安全目标要求PLAN:安全目标要求—安全现状安全计划(建设;维护…)

Do:安全项目建设安全维护作业1、更新资产补丁\拓扑\服务等状态2、安全事件通报….3、安全加固4、更新安全现状和安全目标要求差距5、其他…..Check:日常安全检查周期性安全评估1、检查安全目标要求的完成状态2、评估安全状况(资产状态;弱点状态),3、安全现状是否符合可控安全环境Action:调整安全目标要求规划安全项目绩效考核各部门、安全管理员成果-建设规划安全组织体系和岗位职责安全培训与资质认证安全策略体系和流程梳理安全研究与测试实验室第三方统一安全接入平台全程全网监控和审计平台统一鉴别认证平台终端管理和防病毒集中管理平台全网安全域划分与边界整合安全管理运行中心安全策略与流程推广实施常年安全咨询与外包服务网络安全性调整和改造安全体系核查与改造项目组织体系建设策略体系建设运作体系建设安全规划安全调查与风险评估保护对象框架设计定级等级化安全体系设计方案设计等级评测材料准备和等级认证一个评估和定级项目一个体系和规划项目系列集成建设项目,3年系列咨询和外包项目,3年定级阶段规划阶段实施阶段评审验收体系推广与常年安全咨询公司安全办公室

6

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论