当前位置:首页 >> 解决方案 >>

信息安全等级保护安全建设方案制定与实施教材(PPT 43页)_图文

? ?

目录

信息安全等级保护建设整改目标

? 利用三年时间。力争2012前完成。

? 实现五方面目标:

? 一是信息系统安全管理水平明显提高;

? 二是信息系统安全防范能力明显增强;

? 三是信息系统安全隐患和安全事故明显减少;

? 四是有效保障信息化健康发展;

? 五是有效维护国家安全、社会秩序和公共利益



(摘自“公信安[2009]1429号”文件)

信息安全等级保护建设整改范围 ? 已备案的第二级(含)以上信息系统纳入 安全建设整改的范围。 ? 尚未开展定级备案的信息系统,要先定级 备案,定级不准的要先纠正,再开展安全 建设整改。 ? 新建系统要同步开展安全建设工作。

信息安全等级保护建设整改工作
信息系统安全建设整改工作规划和工作部署

发以 展安 中全 求保 安发 全展
标准

信息系统安全保护现状分析 确定安全策略,制定安全建设整改方案

信息系统安全管理建设
安安 人系系 全全 员统统 管管 安建运 理理 全设维 机制 管管管 构度 理理理

信息系统安全技术建设
物网 主应数 理络 机用据 安安 安安安 全全 全全全

开展信息系统安全自查和等级测评

信息安全等级保护建设整改依据
信息系统安全等级保护定级指南

信息系统安全等级保护行业定级细则

评信 过息 程系 指统 南安
全 等 级 保 护 测

评信 要息 求系
统 安 全 等 级 保 护 测

安全等级

状 况 分 析

信息安全等级 保护安全建设
整改工作

方 法 指 导

基线要求

信息系统安全等级保护基本要求的行业细则





























































信息系统安全等级保护基本要求

技术类
信息系统通用安全

管理类
信息系统安全

产品类
操作系统安全技术

《基本要求》技术能力

《基本要求》管理能力

《基本要求》主要范围

建设整改工作方法

目录

方案制定与实施流程

调查现状,分析风险和差距

调研访谈 工具扫描 人工分析 渗透测试

调查现状,分析风险和差距

处理数据

传输数据

存储数据

互联网服务器 互联网区

应用存储服务器

办公终端

应用存储区

办公网区

完整性 保密性 备份和恢复

身份鉴别

访问控制

安全审计

身份鉴别 安全审计

访问控制 入侵防范

结构安全

访问控制

电力供应

电磁防护

调查现状,分析风险和差距
数 据 层 应 用 层 主 机 层 网 络 层 物 理 层 安全管理

计区网 算域络 环边通 境界信

安全需求分析报告
安全需求分析报告 ? 信息系统描述; ? 安全管理状况; ? 安全技术状况; ? 存在的不足和可能的风险; ? 安全需求描述。

确定框架,制定整改方案

总体方案-要点

? 依据《信息系统安全等级保护基本要求》

? 参照《信息系统等级保护安全设计技术要求》

? 引入“安全域”的概念,强化访问控制

? 安全技术控制策略 ? 安全管理控制策略

第一级系统 安全保护环境























































第二级系统 安全保护环境























































第三级系统 安全保护环境













































边/









第四级系统 安全保护环境























































第五级系统 安全保护环境























































第二级安全管理中心 第三级安全管理中心 第四级安全管理中心 第五级安全管理中心

定级系统互联

安全互联部件 跨定级系统安全管理中心

关键点:安全技术+安全管理

关键点:划分安全域
? 实施统一的访问控制策略 ? 实施统一的安全控制策略

划分安全域(参考)
? 网络的层次划分方法
? 电子政务内网 ? 电子政务外网 ? 业务专网(广域网) ? 互联网
? 安全域的宏观划分
? 安全计算域 ? 安全用户域 ? 安全网络域 (接入域、交换域、核心
域)

划分安全域(参考)

? 按照应用的通信过程划分:
? 接入区 ? 交换区 ? 用户区 ? 服务器区 ? 管理区
? 按照业务数据的流转路径划分
? 存储区 ? 前置区 ? 终端区 ? 传输区 ? 备份区
总部服务器 器

核心交换 路由器 广域网 路由器 备份服务 路由器 终端

分析访问,合理设计安全策略

梳理各个应用系统连接及访问

业务安全分析-用户、操作和数据
用户

“业务+系统”安全=整体安全策略
业务风险控制



业务安全需求



应 用

安全功能实现

程序 安全

组 件

应 数功 用 据能 平 库组

台件

支撑安全 功能实现

组件 安全

主 机

安全 软件环境

主机安全

网 安全边界 络 安全传输通道
网络安全

结合实际,部署实施安全措施

选择和目标一致的安全产品

实现

实现

技术策略

技术框架

3G安全 IPSec

日志采集 审计分析

……

补丁管理

威胁检测

数据 系统

对称密码技术 网络 非对称密码技术

令牌技术 认证协议
强制访问控制 ACL 网络流量控制
数据防泄漏 匿名技术

实现

安全产品对照(参考)

三级: ?73个控制点 ?290控制项

参考

安全产品对照(参考)
参考

落实控制策略 -纵深防御
管理员登录 界面/帐号/ 验证

组件调用协 议/帐号/验 证

网络访问控 制

数据库帐号 /验证
业务用户登 录界面/帐 号/验证
系统运行服 务帐号/验 证

强化访问控制策略
? “一个中心、三重防护”为指导思想进行整体设计
? 强化信息维护和系统维护人员系统的访问控制策略设计
? 强化安全域之间的边界访问控制策略
? 逐步实现基于安全策略模型和标记的强制访问控制以及增强 的系统审计机制

建立安全组织(举例)

信息安全领导小组

信息安全主管(部门)



































































决策、监督 管理 执行
落实信息安全责任制

编写安全管理制度

方针策略
信息安全工作的纲领性文件。
制度办法
在安全策略的指导下,制定的各项安全管理和 技术制度、办法和准则,用来规范各部门处室 安全管理工作。 流程细则
细化的实施细则、管理技术标准等内容,用来 支撑第二层对应的制度与管理办法的有效实施。

方针 策略
制度与 管理办法
实施细则与流程

记录表单
记录活动实行以符合等级1,2,和3的文件要 求的客观证据,阐明所取得的结果或提供 完成活动的证据

运行记录

目录

整改方案的技术路线

信息安全体系

信息安全体系框安架全目标、总体安全策略

信息 安全 管理 体系

人员安全 制度标准

决策-管理-执行-监督 意识-技能-职称-培训-考核 方针策略-制度规范-流程表单







系 统 管

理 中 心



信息

数据

安全

应用

弱点加固 状态检测 内容安全

安 全

技术

主机

防恶技术 监控监测



体系

网络



物理

备份恢复 物理技术

信息 安全 运行 体系

定级 测评

系 备案 检查

统 设计 验收

建 开发 交付

设 实施 服务

测试





日常运行管理

资源 介质 环境 管理 管理 管理

计 管

配置 变更 问题 运行



管理 管理 管理 监控 应急

事件 管理

风险 管理

监督 检查

响应 审计

安全保护对象 安全计算环境

安全区域边界

安全网络通信

小结—符合政策要求
《设[200关整9]1于改429开工号展作信的息指安导全意《工…等见…公作级》安规保公机范护信关》安 安信公全息信建安安全[200等8]7级36号保护检查 ……力争在2012年底前完第成三已条定信级息信安息全系等级保护检查工 统《设[201安关和0]3全于开03号建推展设动等整信级改息测工安评作全工作信…第。等作…由十息…级的…市三网保通(条络护知地安测》检)全评公查级监体信时以察系安,上部建发公门现安负不机责符关实合公施信共。 ……督促备案单位开展息信安息全系等统级等保级护测有评关工管理规范和技 作,确保安全建设整术改标工准作要的求顺,利具开有展下。列督情形之一的, 促信息系统备案单位应尽当快通委知托其测运评营机使构用开单展位限期整改, 等《级关测于评加,强201国0年家底电前并子完发政成送务测《工评信程体息建系系设建统项设安目,全信等息级安保全护风限险 并评完估成工30%作第的三通级知(》含期()整发以改改上通高信知技息书[2系0》08统](20的7以1号测下)简称《整改 评该工文作件,要201求1年非底涉前密完通国成知家第》电三,子级见政(附务含件项)3目)以开。上展逾等期级不测改评正和 信三工信 法 息息级作息》系系(。安进统统含……全行安的)风,全以测险等明上评评级确信工估保了息作的门…要护项系,…,通按备目统201给报照案验的2年予(《 证收安底通警信 明条全之报告息 、件建前书,安 等:设完见并全 级公整成附向等 测安改第件其级 评机4上保 报关)级护 告颁:主管 和发管理 风的部办 险信
评估报告。该文件由发改委、公安部、国家保密局共 同会签印发。

小结—控制系统风险
数 据 层 应 用 层 主 机 层 网 络 层 物 理 层
安全管理

计区网 算域络 环边通 境界信

等级保护实施经验
?贯彻落实信息系统安全等级保护工作,领导层要重视。 ?信息系统安全等级保护工作是一个不断推进,循序渐进的过程。 ?信息系统安全等级保护不仅仅是安全职能部门的工作,是全员的 工作。 ?有效落实等级保护需要与规划设计、工程建设和运维的各个环节 相结合。 ?统一认识,是等级保护工作开展过程中的一个关键。

系统建设同期 练好 “内功”


更多相关标签: