【新版】等级化安全体系设计与实践.ppt

联想联想 信息安全每一天信息安全每一天等级化安全体系等级化安全体系设计与实践设计与实践联想网御科技有限公司联想网御科技有限公司资深安全顾问资深安全顾问主题主题一、国家在信息安全等级保护方面的政策一、国家在信息安全等级保护方面的政策二、联想等级化安全体系设计与实践二、联想等级化安全体系设计与实践2003年年11月，发布月，发布27号文件号文件q国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文件）q我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保障工作的纲领性文件q总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全 q明确提出实行信息安全等级保护制度2004年年9月，发布月，发布66号文件号文件q关于信息安全等级保护工作的实施意见（公通字200466号文件）q主要内容开展等级保护工作的重要意义等级保护制度的原则等级保护制度的基本内容等级保护工作职责分工实施等级保护工作的要求等级保护工作的实施计划 q电子政务等级保护实施指南（试行）电子政务等级保护实施指南（试行）国信办国信办200525号号 q信息安全等级保护管理办法（试行）信息安全等级保护管理办法（试行）公通字公通字 2006 7号号主题主题一、国家在信息安全等级保护方面的政策一、国家在信息安全等级保护方面的政策二、联想等级化安全体系设计与实践二、联想等级化安全体系设计与实践我国信息安全的形势尤为严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严有害信息、病毒和网络攻击和犯罪日趋严重重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁战略目标：建设国家信战略目标：建设国家信息安全保障体系息安全保障体系战略方针：战略方针：积极防御，综合防范积极防御，综合防范27号文件号文件实行等级保护制度实行等级保护制度灾备等基础和支撑性工作灾备等基础和支撑性工作国家的安全要求国家的安全要求66号文件号文件电子政务等级电子政务等级保护实施指南保护实施指南基本制度和根本方法基本制度和根本方法公安部系列指公安部系列指南和标准南和标准等级化要求等级化要求体系化要求体系化要求我国信息安全的形势尤为严峻我国信息安全的形势尤为严峻安全的防护能力很弱，安全保障水平不高安全的防护能力很弱，安全保障水平不高信息安全法律法规和标准不完善信息安全法律法规和标准不完善安全人才缺乏安全人才缺乏技术整体上比较落后，严重依赖国外进口技术整体上比较落后，严重依赖国外进口环境环境产业缺乏核心竞争力，竞争不够有序产业缺乏核心竞争力，竞争不够有序产业产业有害信息、病毒和网络攻击和犯罪日趋严重有害信息、病毒和网络攻击和犯罪日趋严重敌对势力的攻击破坏和反动宣传日益猖撅敌对势力的攻击破坏和反动宣传日益猖撅威胁威胁安全保障水平较低，落后于业务与安全保障水平较低，落后于业务与IT的发展水平，的发展水平，未能促进或阻碍了业务发展未能促进或阻碍了业务发展安全需要做到什么程度？安全需要做到什么程度？需要多大的投资规模？需要多大的投资规模？如何建立公司级的安全整体机制？如何建立公司级的安全整体机制？CEO安全都需要作什么？安全都需要作什么？如何才能做到长治久安？如何才能做到长治久安？如何分配安全投资？重点是什么？如何分配安全投资？重点是什么？投资和建设的节奏和计划？投资和建设的节奏和计划？安全投资如何才能产生真正效果？安全投资如何才能产生真正效果？CSO客户的要求与应对客户的要求与应对等级化要求等级化要求总体投资规模总体投资规模投资策略，突出重点投资策略，突出重点体系化要求体系化要求安全总体体系与机制安全总体体系与机制安全目标与规划安全目标与规划有效性保障与运行有效性保障与运行具体的要求是什么？具体的要求是什么？如何建设和维护？如何建设和维护？如何考核？如何考核？执行者执行者等级化安全体系的提出等级化安全体系的提出等级化要求等级化要求体系化要求体系化要求27号文件号文件66号文件号文件电子政务等级电子政务等级保护实施指南保护实施指南公安部系列指公安部系列指南和标准南和标准国家的要求国家的要求客户的要求客户的要求CEO的要求的要求CSO的要求的要求执行者的要求执行者的要求等等级级化化安安全全体体系系q理念：等级化安全体系等级化安全体系联想网御安全理念定义联想网御安全理念定义q内涵：依照国家等级保护制度，帮助客户达到体系化的安全保障水平，采用体系化和等级化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

等级化安全体系的特质等级化安全体系的特质q关键组成部分：等级保护，安全体系q设计方法：等级化、体系化相结合形成的等级化安全体系方法q特质：整体性：结构化，系统化，内容全面等级化：突出重点，节省成本针对性：针对实际情况，符合业务特性和发展战略可持续发展：框架相对稳定，内容可持续发展和完善q实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是安全工作所追求的最终目标q两者有效结合，形成等级化安全体系等级化安全体系设计方法组织战略和业务目标组织战略和业务目标组织总体信息安全目标组织总体信息安全目标安全要求安全要求安全措施安全措施结构体结构体体系化设计方法体系化设计方法保护对象保护对象安全目标安全目标安全措施安全措施等级化等级化等级化设计方法等级化设计方法总体设计方法总体设计方法等级保护基本原理等级保护基本原理q依据信息系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全措施的成本，通过调整和定制，形成不同等级的安全措施进行保护 q实行等级保护的目的满足不同行业、信息化发展阶段、不同层次的安全要求有利于突出重点有利于控制安全的成本等级化设计方法等级化设计方法体系化设计方法体系化设计方法什么是安全体系什么是安全体系q一组结构化的安全目标和措施用于表述组织的总体安全目标和实现一组结构化的安全目标和措施用于表述组织的总体安全目标和实现。

网网络络基基础础设设施施区区域域边边界界计计算算环环境境安全保护对象框架安全保护对象框架安安全全基基础础设设施施信信息息安安全全保保障障体体系系组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全对策框架安全对策框架大型系统表述困难：大型系统表述困难：规模庞大：应用众多、地域规模庞大：应用众多、地域广阔、用户庞大广阔、用户庞大结构复杂：应用复杂并相关结构复杂：应用复杂并相关联，网络结构复杂，安全要求联，网络结构复杂，安全要求强度和差异化很大强度和差异化很大信息安全涵盖内容极为广泛信息安全涵盖内容极为广泛层次众多：从物理层到层次众多：从物理层到数据层，管理、组织、策略、数据层，管理、组织、策略、运行运行生命周期：从评估、需求、生命周期：从评估、需求、设计、规划、实施、运维，到设计、规划、实施、运维，到持续改进持续改进体系的结构化体系的结构化框架相对固定，具有稳定框架相对固定，具有稳定性；性；内容相对完整，并可根据内容相对完整，并可根据发展补充和完善发展补充和完善等级化安全体系方法等级化安全体系方法整体整体安全目标安全目标分等级的分等级的保护对象框架保护对象框架体系建设体系建设和运行和运行组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全要求与对策框架安全要求与对策框架客户的信息资产客户的信息资产定级定级分解分解国家规定的国家规定的各等级各等级安全要求安全要求定制定制分等级的分等级的安全目标安全目标等级化等级化安全体系安全体系客户安全工作的价值链客户安全工作的价值链评估评估体系体系规划规划体系建设实施体系建设实施体系运行体系运行安全工作安全工作生命周期生命周期方案方案了解现状了解现状价值价值确定目标确定目标和总体笼和总体笼廓廓确定目标实确定目标实现策略和途现策略和途径径增强安全措施，增强安全措施，解决安全问题解决安全问题维护体系运行，维护体系运行，保障安全保障安全确定实现确定实现方法方法评估服务评估服务联想提供联想提供产品服务产品服务体系设计服体系设计服务务规划服务规划服务产品：产品：自有产品外部采购产品服务：服务：采购、实施、监理服务咨询服务(策略，体系推行，培训)方案设计方案设计服务服务典型方案典型方案产品售后服务产品售后服务外包服务：外包服务：定期评估监控与分析常年咨询体系更新和维护方案方案1：等级化安全体系解决方案：等级化安全体系解决方案方案方案2：等级保护一体化解决方案：等级保护一体化解决方案等级化安全体系的实施方案等级化安全体系的实施方案q方案1：等级化安全体系解决方案适用范围：大型和超大型客户安全要求高、复杂，要求全价值链的服务和产品联想提供咨询、集成、产品、安全外包等全价值链的解决方案项目形式：咨询项目集成项目外包项目q方案2：等级保护一体化解决方案适用范围：中小型客户安全要求一般、相对简单，要求部分价值链联想提供精简的咨询、集成和产品的一体化解决方案项目形式：集成项目售后服务实施过程实施过程q第一阶段：定级阶段 q第二阶段：规划与设计阶段 q第三阶段：实施、评审与改进阶段 定级方法定级方法q确定应用系统的安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全级别来综合确定系统的安全等级；q系统定级公式：系统安全等级(A)Max(系统保密性级别),(系统完整性级别),(系统可用性级别)系统保密性级别Max (各信息或服务的保密性级别)系统完整性级别Max (各信息或服务的完整性级别)系统可用性级别Max (各信息或服务的可用性级别)安全规划与设计安全规划与设计选择和调整安全措施选择和调整安全措施运行监控与改进运行监控与改进q持续监控q安全措施改进q系统重新定级等级保护案例简介等级保护案例简介项目内容项目内容系统调查与评估系统调查与评估南海等级化服务项目南海等级化服务项目分域保护框架分域保护框架建设对象建设对象 资产调查资产调查总体安全建议总体安全建议 电子政务电子政务系统等级划分系统等级划分 建议方案和建议方案和管理规范管理规范应用与业务调查应用与业务调查定级规范定级规范调查系统定级调查系统定级分域设计分域设计网络调整方案网络调整方案安全组织安全组织管理办法管理办法系统风险和安全系统风险和安全措施调查措施调查评估加固方案评估加固方案体系和规划建议体系和规划建议项目报告项目报告项目成果南海电子政务分域保护对象框架项目成果南海电子政务分域保护对象框架 项目成果电子政务系统等级划分项目成果电子政务系统等级划分大社保系统平台大社保系统平台序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区社会保险管理信息系统33332南海区民政局业务系统22223南海区社会保障（市民）卡业务系统22224大社保平台数据中心系统23235南海区社会保险公共服务系统2222项目成果电子政务系统等级划分项目成果电子政务系统等级划分序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1南海区基金收费非税收入系统23232南海区会计结算中心业务系统23233狮山镇财务结算中心系统22224南海区统计局基层统计系统2222实施的解决方案的内容实施的解决方案的内容q管理体系建设p南海区电子政务安全组织管理办法p南海电子政务网络系统安全规范p南海电子政务互联网服务安全规范p南海电子政务安全业务系统接入规范p南海电子政务系统等级安全措施指标p南海电子政务信息安全应急预案p南海区电子政务安全运行维护作业计划q技术体系建设p网络安全改造与安全域隔离 p周期性安全评估与加固 p政务网安全审计平台 p安全监管中心平台 p电子政务。