等保方案与产品介绍.ppt

等级保护涉基本概念 信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 政策和标准 残留风险分析 需要建立的制度和应急机制 * 《信息网络安全应急预案》 《信息中心突发事件应急预案》 《信息系统安全管理规定（试行）》 《机关网络信息管理办法》 《打印机使用管理规定》 《配线间管理办法》 《网络管理员岗位责任》 《系统管理员岗位责任》 《机房管理规定》 《值班管理制度》 《开通计算机网络信息点批办单》 需要建立的制度： 需要建立的应急机制： 安全管理建设措施 * 安全管理员、系统管理员、设计管理员 应急管理小组 信息安全管理委员会 建立垂直的安全管理机构： 信息安全管理部（处） 安全管理建设措施 * 人员离岗 安全培训与考核 人员录用 人员安全管理的建设： 人员管理 外部人员访问管理 《基本要求》符合性分析 * 1 《基本要求》 差异性分析 2 《设计要求》设计实现 《基本要求》技术部分 3 《基本要求》物理安全部分设计 5 产品选型 6 《基本要求》符合性分析 7 项目实施 方案设计 4 《基本要求》管理安全部分设计 用户 信息系统等保体系 建设目标 * 与《基本要求》标准符合性分析 网络安全 1. 网络结构安全。 2. 网络访问控制。 3. 网络安全审计。 4. 边界完整性检查。 5. 网络入侵防范。 6. 恶意代码防护。 7. 网络防护设备。 主机安全 身份鉴别 强制访问控制 系统安全审计 4. 剩余信息保护 5. 入侵防范 6. 恶意代码防范 7. 资源控制 应用安全 1.身份认证 2. 安全审计 3. 剩余信息保护 4. 通信完整性和机密性保护 数据安全 1.数据机密性保护 2.数据完整性保护 5. 严格的访问控制； 6. 软件容错； 7. 自动保护功能； 8. 资源控制； 等保系统建成后残留风险主要存在于两个方面： 由于技术上的原因，主机安全、应用安全所要求的对重要信息资源设置敏感标记，依据安全策略严格控制用户对有敏感标记重要信息资源的操作并未完全实现，某些访问控制仍然是粗粒度的； 加强管理、增强人员安全意识，技术上逐步完善 安全产品选型原则 * 安全性原则 适应性原则 国产化原则 信息系统等保改造设备选型原则： 标准化原则 可管理性原则 可扩展性原则 主要内容 等级保护介绍 等级保护设计方案 等级保护产品介绍 HuaTech终端安全防护系统功能 * 身份鉴别 自主访问控制 标记与强制访问控制 数据保密性保护 系统完整性保护 执行程序权限控制 边界保护控制 （非法内外联） 应用封装 系统管理 安全管理 审计管理 HuaTech终端安全防护系统设计目标 HuaTech终端安全防护系统功能详述 * 身份鉴别： 操作系统单一的口令认证方式，容易受到字典攻击； USB-key+口令，双因子认证，高安全强度； 拔除USB-key锁定终端，保护工作环境； 非法用户“进不来” HuaTech终端安全防护系统功能详述 * 自主访问控制： 多用户文件保密柜； 由安全管理中心对信息资源统一进行安全标识，定制安全策略； 只有授权主体才可访问相应客体资源； 重要信息“拿不走” 强制访问控制： HuaTech终端安全防护系统功能详述 * 数据保密性保护： 对数据的存储与传输进行加密保护； 加密工程在操作系统层实现，对用户完全透明； 可根据客体的安全级别定制不同的数据保护策略； 非法用户“看不懂” HuaTech终端安全防护系统功能详述 * 系统完整性保护： 程序正常启动相关摘要记录在策略服务器中； 通过建立信任域保护系统不会受到恶意代码的破坏； 只读保护和一致性校验，确保程序、数据不被修改；不一致程序将被拒绝运行； 程序、数据“改不了” HuaTech终端安全防护系统功能详述 * 系统管理、安全管理、审计管理： 三权分立，相互监督，相互约束； 按照“最小权限”原则分配管理员权限； 审计信息独立存储，只有审计管理员具有查阅修改权限； 非法行为“赖不掉” 安全管理中心三权分立 * 审计管理子系统 安全管理子系统 系统管理子系统 安全管理中心 用户身份管理 资源配置管理 标记管理 授权管理 制定审计策略 接收存储审计信息 查询审计信息 * 对等级保护安全体系的支撑 其它定级系统 安全接入/隔离设备 计算环境 区域