[信息与通信]等保建设交流--深信服.ppt

信息安全等级保护建设 深信服行业产品经理：周佳文 了解等保政策与技术要求 深信服产品如何与等保要求对应关系 培训目的 深信服科技介绍 等级保护政策介绍和建设思路 深信服等保建设方案统一规划 等保项目注意事项 目录 深信服科技 业务内容供应商 深信服 Internet设施供应商 最大的前沿网络设备供应商 基础设施供应商 分支机构 45 业绩增长 亿元 市场领导者 上网行为管理 VPN SSL VPN 产品方案 等级保护政策介绍和建设思路 等级保护政策介绍 等级保护政策解读 等级保护建设思路探讨 等保建设方案统一规划 等保项目注意事项 目录 信息安全等级保护制度 信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保的5个监管等级 对象 等级 合法权益 社会秩序和公共利益 国家安全 损害 严重 损害 损害 严重 损害 特别严重损害 损害 严重 损害 特别严 重损害 一般系统 一级 √ 二级 √ √ 重要系统 三级 √ √ 四级 √ √ 极端重要系统 五级 √ 等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。 在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点。 决定等级的主要因素分析 信息系统所属类型 业务数据类别 信息系统服务范围 业务处理的自动化程度 业务重要性 业务数据安全性 业务处理连续性 业务依赖性 基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。 业务数据安全性 业务处理连续性 信息系统安全保护等级 根据业务数据安全性和业务处理连续性要求确定安全保护等级。 从等保的定级要求可以看出，等保关注的重点在于业务的可靠性和信息保密性。 不同级别之间保护能力的区别 总体来看，各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。 一级具有15个技术目标，16个管理目标； 二级具有29个技术目标，25个管理目标； 三级具有36个技术目标，27个管理目标； 四级具有41个技术目标，28个管理目标。 技术要求的变化包括： 安全要求的增加 安全要求的增强 管理要求的变化包括： 管理活动控制点的增加，每个控制点具体管理要求的增多 管理活动的能力逐步加强，借鉴能力成熟度模型（CMM） 等级保护定义的信息安全建设过程 等级保护工作对应完整的信息安全建设生命周期 等级保护建设的一般过程 整改 评估 定级 评测 确定系统或者子系统的安全等级 依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议 针对评估过程中发现的不满足等保要求的地方进行整改 评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论 监管 对系统进行周期性的检查，以确定系统依然满足等级保护的要求 等级保护政策介绍和建设思路 等级保护政策介绍 等级保护政策与技术解读 等级保护建设思路探讨 等保建设方案统一规划 等保分步实施实践 目录 等保的地位和作用 是信息安全工作的基本制度； 是信息安全工作的基本国策； 是信息安全工作的基本方法； 是保护信息化、维护国家信息安全的根本保障，是国家意志的体现； 是开展信息安全工作的抓手，也是灵魂。 ——摘自公安部的领导讲话 等保核心思想：适度安全 信息安全工作中，等保给予用户明确的目标，帮助用户更清晰的认识安全薄弱环节。 没有100%的安全，适度安全的核心思想让用户达到投资/收益最佳比。 等保基本保护要求框架 物理安全 安全管理制度 网络安全 系统安全 应用安全 数据安全 安全管理机构 人员安全管理 系统建设管理 系统运维管理 技术要求 管理要求 某级要求 等保不同级别的保护能力的区别 各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。 技术要求： 安全要求的增加 安全要求的增强 管理要求： 管理活动控制点的增加，每个控制点具体管理要求的增多 管理活动的能力逐步加强，借鉴能力成熟度模型（CMM） 等级保护技术要求归纳 13个核心技术要求 涉及层面 涉及1级系统 涉及2级系统 涉及3级系统 涉及4级系统 身份鉴别和自主访问控制 网络、主机、应用 √ √ √ √ 强制访问控制 主机 √ √ 安全审计 网络、主机、应用 √ √ √ 完整性和保密性保护 网络、应用、数据 √ √ √ √ 边界保护 网络 √ √ √ 资源控制 网络、主机、应用 √ √ √ 入侵防范和恶意代码防范 网络、主机、应用