等级保护相关标准解读.pptVIP

保护环境框架图 通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的安全得到了保障，是三级信息系统的外层安全屏障。 保护环境框架图 系统管理子系统 用户身份管理，资源管理， 应急处理等。 保护环境框架图 标记管理，授权管理，策略管理等。 安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行，从而实现对整个信息系统的集中管理，为三级信息系统的安全提供了有力保障 保护环境框架图 审计子系统是系统的监督中枢，安全审计员通过制定审计策略，强制实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据。 安全管理流程 安全管理流程主要由安全管理中心的安全管理员系统管理员和系统审计员实施，分别实施系统维护、安全策略部署和审计策略部署等机制。 访问控制流程 访问控制流程是在系统运行时执行，实施自主访问控制、强制访问控制等。 主要流程 1）策略初始化流程 节点子系统在运行之前，系统管理员确定所有用户的身份、工作密钥、证书等，即确定业务系统正常运行所需要使用的执行程序等资源配置。 安全管理员为所有主\客体实施标记管理，生成全局客体安全标记列表和全局主体安全标记列表，为主体实施授权管理，生成访问控制列表和级别调整检查列表。 安全审计员制定审计策略，实施系统的审计跟踪管理。 2）计算节点启动流程 策略初始化完成后，节点系统在启动时需要对所装载的可执行代码进行可信验证，确保其在可执行代码预期值列表中。 用户登录系统验证登录用户是否是该节点上的授权用户。 下载与该用户相关的系统安全策略，并初始化用户工作空间。 * 全程访问控制 其它定级系统 安全接入/隔离设备 区域边界 通信网络 网站/应用服务器 交换设备 用户 终端 安全管理中心 通信网络 区域边界 五、安全建设整改技术路线 1）要加强定级对象信息系统整体防护 建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构，实施多层隔离和保护，以防止某薄弱环节影响整体安全。 1）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护 要在框架体系上解决问题，而不是在一些内部的点上解决问题。 要创造可信安全的保护环境，然后在可信的环境中实施各种操作。 要重点做好操作人员行为控制，使其不能违规操作，防止发生攻击行为。 要改变以往在网络上封堵的观念，首先搞好终端源头的防御这样才能符合人、技术、操作的纵深防御策略，而且将降低建设成本。 1）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防 安全保护体系搭建好以后，病毒失去了对系统的攻击能力。三级以上的系统强制访问控制，严格控制了几乎所有的有害程序，并通过校验方法对文件真实性加以验证，使病毒无法发挥作用。 要实施自主防御，加强内部的控制，这样可以降低保护成本。 要使非法攻击者进不去，进去以后拿不到，拿到了以后也看不懂，想篡改也改不掉。 1）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防 4）加强技术平台支持下的安全管理，与日常安 全管理制度相适应 以前的安全管理比较抽象，譬如防火墙和IDS的配置不同，难以理解和管理。 我们要求安全管理跟日常的管理一样，规定什么级别的人只能做与其权限相符的事，对照着进行管理就行。 应该技术与管理并重，要在技术平台支持下进行管理，才能做到真正的有效管理。 1）要加强定级对象信息系统整体防护 2）要重点做好操作人员使用的终端防护 3）要以防内为主，内外兼防 4）加强技术平台支持下的安全管理，与日常安 全管理制度相适应 5）为便于技术方案实施，整改时不改或少改原 有的应用系统，尤其是用户应用程序不能改 如果对原应用和数据要进行安全设计和改造，那么会涉及整个系统，修改程序就要重新调试系统，是不可行的。 谢 谢! * 提纲 等级保护背景 等保相关标准 中软华泰公司参与等级保护建设工作 设计技术要求的框架和