等级化安六全体系设计与实践.pptVIP

2003年11月，发布27号文件 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文件） 我国第一个全面关于信息安全保障工作的文件，是我国今后一段时期内信息安全保障工作的纲领性文件 总体要求：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全 明确提出实行信息安全等级保护制度 2004年9月，发布66号文件 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号文件） 主要内容 开展等级保护工作的重要意义 等级保护制度的原则 等级保护制度的基本内容 等级保护工作职责分工 实施等级保护工作的要求 等级保护工作的实施计划 电子政务等级保护实施指南（试行） 国信办[2005]25号 信息安全等级保护管理办法（试行） 公通字 [2006] 7号 国家的安全要求 客户的要求与应对 等级化安全体系的提出 联想网御安全理念定义 理念：等级化安全体系 等级保护基本原理 依据信息系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全措施的成本，通过调整和定制，形成不同等级的安全措施进行保护 实行等级保护的目的 满足不同行业、信息化发展阶段、不同层次的安全要求 有利于突出重点 有利于控制安全的成本 等级化安全体系方法 客户安全工作的价值链 等级化安全体系的实施方案 方案1：等级化安全体系解决方案 适用范围：大型和超大型客户 安全要求高、复杂，要求全价值链的服务和产品 联想提供咨询、集成、产品、安全外包等全价值链的解决方案 项目形式：咨询项目－集成项目－外包项目 方案2：等级保护一体化解决方案 适用范围：中小型客户 安全要求一般、相对简单，要求部分价值链 联想提供精简的咨询、集成和产品的一体化解决方案 项目形式：集成项目－售后服务 实施过程 第一阶段：定级阶段 第二阶段：规划与设计阶段 第三阶段：实施、评审与改进阶段 定级方法 确定应用系统的安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全级别来综合确定系统的安全等级； 系统定级公式： 系统安全等级(A)＝Max{ (系统保密性级别) ,(系统完整性级别),(系统可用性级别)} 系统保密性级别＝Max { (各信息或服务的保密性级别) } 系统完整性级别＝Max { (各信息或服务的完整性级别) } 系统可用性级别＝Max { (各信息或服务的可用性级别) } 安全规划与设计 选择和调整安全措施 运行监控与改进 持续监控 安全措施改进 系统重新定级 等级保护案例简介 项目内容 项目成果－南海电子政务分域保护对象框架 项目成果－电子政务系统等级划分－大社保系统平台 项目成果－电子政务系统等级划分 实施的解决方案的内容 管理体系建设 南海区电子政务安全组织管理办法 南海电子政务网络系统安全规范 南海电子政务互联网服务安全规范 南海电子政务安全业务系统接入规范 南海电子政务系统等级安全措施指标 南海电子政务信息安全应急预案 南海区电子政务安全运行维护作业计划 技术体系建设 网络安全改造与安全域隔离 周期性安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心 “大社保系统”安全建议 等级保护案例简介 等级化安全体系解决方案设计流程 项目内容 成果－安全工作总体思路 成果－安全域划分（一期） 项目成果—安全域划分（二期） 成果－安全组织体系 成果－安全策略体系 成果－技术体系 成果－安全运行体系 成果－建设规划 公司安全办公室 谢谢！ 保护对象 公司 部门 系统 计算区域 网络基础设施 边界 核心服务器区域 终端接入区域 第三方接入区域 安全目标 公司安全目标 部门安全建设目标 系统安全建设目标 安全要求 机密性 完整性 可用性 安全组织 安全策略 安全运作 安全技术 安全措施 策略 解决方案 安全评估与等级划分 公司安全体系设计 公司等级化安全体系设计 安全组织体系 安全运作体系 安全规划 安全技术体系 安全策略 试点工作 3年安全规划 公司全面深度安全评估 网管系统安全域划分 及原则规范 网管系统等级划分 及原则规范 1.公司安全的使命和目标 -得到安全目标 我们的方向是什么？ 3.安全现状 4.关键举措和重点工作 -得到总体框架和笼廓 我们做什么？做成什么样子？ -得到工作计划和实施规划 我们怎么做？ 2.安全体系总体框架 5.实施策略选择 6.工作计划 7.建设实施 8.安全运营和持续改进 现在，我们开始作 成果－等级化安全体系的实现 安全支撑系统和基础设施 第三方统一安全接入平台 安全研究与测试实验室 第三方统一安全接入平台 全程全网监控和审计平台 统一鉴别认证平台 终端管理