等級(jí)化體系報(bào)告-中國(guó)安全網(wǎng)-安全您的網(wǎng)絡(luò)安全新聞,安全

1、,聯(lián)想 信息安全每一天,,等級(jí)化安全體系設(shè)計(jì)與實(shí)踐,聯(lián)想網(wǎng)御科技有限公司資深安全顧問(wèn) bigtree,主題,一、國(guó)家在信息安全等級(jí)保護(hù)方面的政策二、聯(lián)想等級(jí)化安全體系設(shè)計(jì)與實(shí)踐,2003年11月，發(fā)布27號(hào)文件,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)文件）我國(guó)第一個(gè)全面關(guān)于信息安全保障工作的文件，是我國(guó)今后一段時(shí)期內(nèi)信息安全保障工作的綱領(lǐng)性文件總體要求：堅(jiān)持積極防御、綜合防范

2、的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 明確提出實(shí)行信息安全等級(jí)保護(hù)制度,2004年9月，發(fā)布66號(hào)文件,《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)文件）主要內(nèi)容開(kāi)展等級(jí)保護(hù)工作的重要意義等級(jí)保護(hù)制度的原則等級(jí)保護(hù)制度的基本內(nèi)容等級(jí)保護(hù)工作職責(zé)分工實(shí)施等級(jí)保護(hù)工作的要求等級(jí)保護(hù)工作的實(shí)施計(jì)劃,,電子政務(wù)等級(jí)保護(hù)實(shí)施指南（試行）國(guó)信辦[2005]25號(hào) 信息安全等

3、級(jí)保護(hù)管理辦法（試行）公通字 [2006] 7號(hào),主題,一、國(guó)家在信息安全等級(jí)保護(hù)方面的政策二、聯(lián)想等級(jí)化安全體系設(shè)計(jì)與實(shí)踐,國(guó)家的安全要求,66號(hào)文件,電子政務(wù)等級(jí)保護(hù)實(shí)施指南,,,基本制度和根本方法,公安部系列指南和標(biāo)準(zhǔn),,,等級(jí)化要求,體系化要求,,,安全保障水平較低，落后于業(yè)務(wù)與IT的發(fā)展水平，未能促進(jìn)或阻礙了業(yè)務(wù)發(fā)展,客戶(hù)的要求與應(yīng)對(duì),等級(jí)化安全體系的提出,,,等級(jí)化安全體系,理念：等級(jí)化安全體系,聯(lián)想網(wǎng)御安全理念定義,內(nèi)

4、涵：依照國(guó)家等級(jí)保護(hù)制度，幫助客戶(hù)達(dá)到體系化的安全保障水平，采用體系化和等級(jí)化相結(jié)合的方法，為客戶(hù)建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。,等級(jí)化安全體系的特質(zhì),關(guān)鍵組成部分：等級(jí)保護(hù)，安全體系設(shè)計(jì)方法：等級(jí)化、體系化相結(jié)合形成的等級(jí)化安全體系方法特質(zhì)：整體性：結(jié)構(gòu)化，系統(tǒng)化，內(nèi)容全面等級(jí)化：突出重點(diǎn)，節(jié)省成本針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略可持續(xù)發(fā)展：框架相對(duì)穩(wěn)定，內(nèi)容可持續(xù)發(fā)展和完善

5、實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是安全工作所追求的最終目標(biāo),兩者有效結(jié)合，形成等級(jí)化安全體系設(shè)計(jì)方法,,總體設(shè)計(jì)方法,等級(jí)保護(hù)基本原理,依據(jù)信息系統(tǒng)的使命與目標(biāo)和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級(jí)，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所面臨安全風(fēng)險(xiǎn)和實(shí)施安全措施的成本，通過(guò)調(diào)整和定制，形成不同等級(jí)的安全措施進(jìn)行保護(hù) 實(shí)行等級(jí)保護(hù)的目的滿(mǎn)足不同行業(yè)、信息化發(fā)展階段、不同層次的安全要求有利于突出重點(diǎn)有利于

6、控制安全的成本,等級(jí)化設(shè)計(jì)方法,體系化設(shè)計(jì)方法,什么是安全體系一組結(jié)構(gòu)化的安全目標(biāo)和措施用于表述組織的總體安全目標(biāo)和實(shí)現(xiàn)。,大型系統(tǒng)表述困難：規(guī)模龐大：應(yīng)用眾多、地域廣闊、用戶(hù)龐大結(jié)構(gòu)復(fù)雜：應(yīng)用復(fù)雜并相關(guān)聯(lián)，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全要求強(qiáng)度和差異化很大,信息安全涵蓋內(nèi)容極為廣泛層次眾多：從物理層－－到數(shù)據(jù)層，管理、組織、策略、運(yùn)行生命周期：從評(píng)估、需求、設(shè)計(jì)、規(guī)劃、實(shí)施、運(yùn)維，到持續(xù)改進(jìn),體系的結(jié)構(gòu)化框架相對(duì)固定，具有穩(wěn)定性；內(nèi)

7、容相對(duì)完整，并可根據(jù)發(fā)展補(bǔ)充和完善,等級(jí)化安全體系方法,,,整體安全目標(biāo),,分等級(jí)的保護(hù)對(duì)象框架,體系建設(shè)和運(yùn)行,,客戶(hù)的信息資產(chǎn),,定級(jí),分解,國(guó)家規(guī)定的各等級(jí)安全要求,,定制,分等級(jí)的安全目標(biāo),等級(jí)化安全體系,客戶(hù)安全工作的價(jià)值鏈,評(píng)估,體系,規(guī)劃,體系建設(shè)實(shí)施,體系運(yùn)行,,,,,,安全工作生命周期,方案,,,方案1：等級(jí)化安全體系解決方案,,方案2：等級(jí)保護(hù)一體化解決方案,等級(jí)化安全體系的實(shí)施方案,方案1：等級(jí)化安全體

8、系解決方案適用范圍：大型和超大型客戶(hù)安全要求高、復(fù)雜，要求全價(jià)值鏈的服務(wù)和產(chǎn)品聯(lián)想提供咨詢(xún)、集成、產(chǎn)品、安全外包等全價(jià)值鏈的解決方案項(xiàng)目形式：咨詢(xún)項(xiàng)目－集成項(xiàng)目－外包項(xiàng)目方案2：等級(jí)保護(hù)一體化解決方案適用范圍：中小型客戶(hù)安全要求一般、相對(duì)簡(jiǎn)單，要求部分價(jià)值鏈聯(lián)想提供精簡(jiǎn)的咨詢(xún)、集成和產(chǎn)品的一體化解決方案項(xiàng)目形式：集成項(xiàng)目－售后服務(wù),實(shí)施過(guò)程,,,,,第一階段：定級(jí)階段 第二階段：規(guī)劃與設(shè)計(jì)階段 第三階段：實(shí)施、評(píng)審

9、與改進(jìn)階段,定級(jí)方法,確定應(yīng)用系統(tǒng)的安全等級(jí)的基本方法是：通過(guò)確定系統(tǒng)保密性、完整性和可用性三個(gè)方面的安全級(jí)別來(lái)綜合確定系統(tǒng)的安全等級(jí)；系統(tǒng)定級(jí)公式：系統(tǒng)安全等級(jí)(A)＝Max{ (系統(tǒng)保密性級(jí)別) ,(系統(tǒng)完整性級(jí)別),(系統(tǒng)可用性級(jí)別)}系統(tǒng)保密性級(jí)別＝Max { (各信息或服務(wù)的保密性級(jí)別) }系統(tǒng)完整性級(jí)別＝Max { (各信息或服務(wù)的完整性級(jí)別) }系統(tǒng)可用性級(jí)別＝Max { (各信息或服務(wù)的可用性級(jí)別) },安全規(guī)

10、劃與設(shè)計(jì),,選擇和調(diào)整安全措施,,運(yùn)行監(jiān)控與改進(jìn),持續(xù)監(jiān)控安全措施改進(jìn)系統(tǒng)重新定級(jí),,等級(jí)保護(hù)案例簡(jiǎn)介,佛山市南海區(qū)電子政務(wù)等級(jí)保護(hù)試點(diǎn)項(xiàng)目,項(xiàng)目?jī)?nèi)容,,,系統(tǒng)調(diào)查與評(píng)估,南海等級(jí)化服務(wù)項(xiàng)目,分域保護(hù)框架建設(shè)對(duì)象,資產(chǎn)調(diào)查,總體安全建議,電子政務(wù)系統(tǒng)等級(jí)劃分,建議方案和管理規(guī)范,應(yīng)用與業(yè)務(wù)調(diào)查,定級(jí)規(guī)范,調(diào)查系統(tǒng)定級(jí),分域設(shè)計(jì),網(wǎng)絡(luò)調(diào)整方案,安全組織管理辦法,,,,,,,,系統(tǒng)風(fēng)險(xiǎn)和安全措施調(diào)查,評(píng)估加固方案,體系和規(guī)劃建

11、議,項(xiàng)目報(bào)告,項(xiàng)目成果－南海電子政務(wù)分域保護(hù)對(duì)象框架,項(xiàng)目成果－電子政務(wù)系統(tǒng)等級(jí)劃分－大社保系統(tǒng)平臺(tái),項(xiàng)目成果－電子政務(wù)系統(tǒng)等級(jí)劃分,實(shí)施的解決方案的內(nèi)容,管理體系建設(shè)南海區(qū)電子政務(wù)安全組織管理辦法南海電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全規(guī)范南海電子政務(wù)互聯(lián)網(wǎng)服務(wù)安全規(guī)范南海電子政務(wù)安全業(yè)務(wù)系統(tǒng)接入規(guī)范南海電子政務(wù)系統(tǒng)等級(jí)安全措施指標(biāo)南海電子政務(wù)信息安全應(yīng)急預(yù)案南海區(qū)電子政務(wù)安全運(yùn)行維護(hù)作業(yè)計(jì)劃技術(shù)體系建設(shè)網(wǎng)絡(luò)安全改造與安全域隔離

12、周期性安全評(píng)估與加固 政務(wù)網(wǎng)安全審計(jì)平臺(tái) 安全監(jiān)管中心平臺(tái) 電子政務(wù)容災(zāi)備份中心 “大社保系統(tǒng)”安全建議,項(xiàng)目成果－總體安全建議,等級(jí)保護(hù)案例簡(jiǎn)介,某大型通信企業(yè)等級(jí)化安全體系咨詢(xún)項(xiàng)目,等級(jí)化安全體系解決方案設(shè)計(jì)流程,,,,項(xiàng)目?jī)?nèi)容,,,安全評(píng)估與等級(jí)劃分,公司安全體系設(shè)計(jì),公司等級(jí)化安全體系設(shè)計(jì),安全組織體系,安全運(yùn)作體系,安全規(guī)劃,安全技術(shù)體系,安全策略,試點(diǎn)工作,3年安全規(guī)劃,公司全面深度安全評(píng)估,網(wǎng)管系統(tǒng)安全域劃分及

13、原則規(guī)范,網(wǎng)管系統(tǒng)等級(jí)劃分及原則規(guī)范,成果－安全工作總體思路,,,,現(xiàn)在，我們開(kāi)始作,成果－安全域劃分（一期）,項(xiàng)目成果—安全域劃分（二期）,,,成果－等級(jí)化安全體系的實(shí)現(xiàn),安全管理運(yùn)行中心,,保護(hù)對(duì)象框架,成果－安全組織體系,,主管領(lǐng)導(dǎo)（主管安全）,領(lǐng)導(dǎo)小組組長(zhǎng),,,信息安全領(lǐng)導(dǎo)小組,,,業(yè)務(wù)部門(mén)負(fù)責(zé)人,成員,,,安全部門(mén)負(fù)責(zé)人,工作組組長(zhǎng),,,管理部門(mén)負(fù)責(zé)人,成員,,,,,,,,部門(mén)安全管理員,成員,,,部門(mén)安全管理員,成員,,,

14、安全辦公室負(fù)責(zé)人,負(fù)責(zé)人,安全管理員,安全技術(shù)員,,信息安全工作組,,信息安全辦公室,,,,,,,,,,,,,成果－安全策略體系,信息安全方針,,,,,,管理規(guī)定,工作流程,安全組織人員職責(zé),技術(shù)規(guī)范,信息安全體系,,公司層面,,部門(mén)安全工作管理辦法,,部門(mén)安全組織人員職責(zé),部門(mén)層面,,工作表單,運(yùn)行維護(hù)計(jì)劃,應(yīng)急響應(yīng)計(jì)劃,,,,系統(tǒng)層面,,,,成果－技術(shù)體系,,,防病毒,監(jiān)控,審計(jì),認(rèn)證,第三方統(tǒng)一接入,安全域,公司層面,,,,訪(fǎng)問(wèn)

15、控制,訪(fǎng)問(wèn)控制,訪(fǎng)問(wèn)控制,主機(jī)安全,邊界隔離,數(shù)據(jù)庫(kù)安全,應(yīng)用安全,安全域,邊界隔離,,系統(tǒng)層面,,成果－安全運(yùn)行體系,,安全目標(biāo)要求,,,,,,PLAN：安全目標(biāo)要求—安全現(xiàn)狀 安全計(jì)劃（建設(shè)；維護(hù)…）,Do：安全項(xiàng)目建設(shè)安全維護(hù)作業(yè)1、更新資產(chǎn)補(bǔ)丁\拓?fù)鋅服務(wù)等狀態(tài)2、安全事件通報(bào)….3、安全加固4、更新安全現(xiàn)狀和安全目標(biāo)要求差距5、其他…..,Check：日常安全檢查周期性安全評(píng)估1、檢查安

16、全目標(biāo)要求的完成狀態(tài)2、評(píng)估安全狀況（資產(chǎn)狀態(tài)；弱點(diǎn)狀態(tài)），3、安全現(xiàn)狀是否符合可控安全環(huán)境,Action：調(diào)整安全目標(biāo)要求規(guī)劃安全項(xiàng)目績(jī)效考核各部門(mén)、安全管理員,成果－建設(shè)規(guī)劃,安全組織體系和崗位職責(zé),安全培訓(xùn)與資質(zhì)認(rèn)證,安全策略體系和流程梳理,全網(wǎng)安全域劃分與邊界整合,安全管理運(yùn)行中心,安全策略與流程推廣實(shí)施,常年安全咨詢(xún)與外包服務(wù),網(wǎng)絡(luò)安全性調(diào)整和改造,安全體系核查與改造項(xiàng)目,技術(shù)體系建設(shè),組織體系建設(shè),策略體系建設(shè),運(yùn)

17、作體系建設(shè),,,,安全規(guī)劃,安全調(diào)查與風(fēng)險(xiǎn)評(píng)估,保護(hù)對(duì)象框架設(shè)計(jì),定級(jí),等級(jí)化安全體系設(shè)計(jì),方案設(shè)計(jì),,等級(jí)評(píng)測(cè),材料準(zhǔn)備和等級(jí)認(rèn)證,一個(gè)評(píng)估和定級(jí)項(xiàng)目,一個(gè)體系和規(guī)劃項(xiàng)目,系列集成建設(shè)項(xiàng)目，3年,系列咨詢(xún)和外包項(xiàng)目，3年,定級(jí)階段,規(guī)劃階段,實(shí)施階段,評(píng)審驗(yàn)收,,,,體系推廣與常年安全咨詢(xún),,公司安全辦公室,,05年安全培訓(xùn),06年安全培訓(xùn),周期性安全評(píng)估,第三方接入平臺(tái),6件事-維護(hù)專(zhuān)網(wǎng)帳戶(hù)口令,6件事-補(bǔ)丁管理檢查,6件事-安全預(yù)