信息安全等级保护安全建设方案制定与实施资料精要.ppt

信息安全领导小组 信息安全主管（部门） 安全管理员 安全审计员 系统管理员 网络管理员 数据库管理员 决策、监督 应用系统管理员 管理 执行 落实信息安全责任制 建立安全组织（举例） * * * * 各位领导、专家下午好，前面的专家2个小时帮我们清晰地解读了政策，政策在实际过程中如何来落实？下午我会用40分钟讲解一个实际的案例，介绍如何在工作中进行等级保护的建设。 * 原有边界扩展到网络、扩展到数据库； 17859要求开发商；【应用、组件、加工后的应用程序】 * 重点： 理解安全控制 对接安全措施 划分安全区域 强化访问控制 融合应用安全 统一安全策略 关注整体安全 * 作为安全产品和服务提供商，我们主要为您的组织提供建设整改相关工作，对于建设整改，我们为此总结了七项重点工作。1是理解安全控制，把握等级保护《基本要求》中的安全控制内容；2是对接安全措施，能够把安全控制和目前采用的安全产品、安全配置和管理制度相衔接；3是划分安全区域，保护核心系统很关键是要合理划分安全域，这是一项“打地基”的工作；4是强化访问控制，加强不同安全域、业务应用、信息系统、终端和用户等的访问控制，这是安全保护的一项必要措施，也是贯穿等级保护物理、网络、主机、应用各个层面的基本要求；5是融合应用安全，加强应用系统自身安全性，在需求、设计、编码、测试和运行等各个环节融合安全控制要求；6是统一安全策略，尤其是三级以及三级以上信息系统，统一安全策略是必要保障；7是关注整体安全，保障核心是等级保护的原则，但是在基础设施安全建设中，对于组织安全建设要统筹进行考虑，这个整体主要是指统筹全面考虑安全。 * 作为安全产品和服务提供商，我们主要为您的组织提供建设整改相关工作，对于建设整改，我们为此总结了七项重点工作。1是理解安全控制，把握等级保护《基本要求》中的安全控制内容；2是对接安全措施，能够把安全控制和目前采用的安全产品、安全配置和管理制度相衔接；3是划分安全区域，保护核心系统很关键是要合理划分安全域，这是一项“打地基”的工作；4是强化访问控制，加强不同安全域、业务应用、信息系统、终端和用户等的访问控制，这是安全保护的一项必要措施，也是贯穿等级保护物理、网络、主机、应用各个层面的基本要求；5是融合应用安全，加强应用系统自身安全性，在需求、设计、编码、测试和运行等各个环节融合安全控制要求；6是统一安全策略，尤其是三级以及三级以上信息系统，统一安全策略是必要保障；7是关注整体安全，保障核心是等级保护的原则，但是在基础设施安全建设中，对于组织安全建设要统筹进行考虑，这个整体主要是指统筹全面考虑安全。 * 用户层：帐号、登录界面、验证协议、验证信息（R1、通行证、CA网关） 应用层：组件调用、数据库访问（组件自身访问控制机制） 主机层：服务帐号（域管理） 网络层：访问控制（防火墙/VPN） * 三个体系是以基本要求为基础；一个中心，三重防护是以设计要求为指导 * 为什么现在等级保护这么“火”—政策要求，不得不做 政策给出了时间点 制定了执法部门，和不做的后果 同时，对于电子政务项目，是验收的前提条件 * 目录 信息系统安全管理建设 信息系统安全技术建设 开展信息系统安全自查和等级测评 信息系统安全保护现状分析 信息系统安全建设整改工作规划和工作部署 确定安全策略，制定安全建设整改方案 物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 信息安全等级保护建设整改 以安全保发展 发展中求安全 安全保 护等级 信息系统基本保护要求的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 第五级 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5 工具扫描 人工分析 渗透测试 调研访谈 调查现状，分析风险和差距 电力供应 电磁防护 互联网区 应用存储区 办公网区 办公终端 应用存储服务器 互联网服务器 安全审计 身份鉴别 访问控制 结构安全 访问控制 身份鉴别 安全审计 访问控制 入侵防范 存储数据 传输数据 处理数据 备份和恢复 完整性 保密性 调查现状，分析风险和差距 应用层 主机层 网络层 物理层 数据层 计算环境 区域边界 网络通信 安全管理 调查现状，分析风险和差距 确定框架，制定整改方案 依据《信息系统安全等级保护基本要求》 参照《信息系统等级保护安