天融信等保方案.ppt

安全组织与职责设计 安全培训与资质认证 安全策略体系与流程设计 网络与应用加密服务平台 业务应用系统安全改造 数据备份与冗灾平台 统一身份认证与授权管理平台 设备安全配置与加固 安全域划分与边界访问控制平台 安全管理运行中心 安全策略与流程推广实施 安全体系推广与常年咨询 防病毒、补丁和终端管理平台 统一安全监控与审计平台 安全技术体系建设 安全组织体系建设 安全策略体系建设 安全运行体系建设 安全规划 安全调查与风险评估 等级保护定级咨询 等级保护体系设计 方案设计 等级保护测评支持与咨询 定级阶段 规划阶段 实施与 运维阶段 常年安全运维外包服务 安全托管监控与管家服务 等级保护阶段 天融信提供的安全服务与解决方案 * 大家好，我今天讲演的题目是天融信的等保解决方案。去年的cso大会中，我也在讲等级保护，题目是等级保护的设计与实践，主要是一些实践与经验积累。今年，随着相关标准的出台，等级保护工作进入了一个新的阶段。我们经过这一年的努力，做了几个不同行业的大型案例，解决方案也成熟了很多，今天就把近一年的工作向大家作了汇报。 * 政策文件 组织体系 计划表，里程碑，9号令 资质问题，谁能作 如何理解 加入风险评估 政策： 从顶层考虑 整合资源 * 印一批，100本 * 讲标准常见的问题 * 转过来 主任的要求： 政策、 责任， 投入产出 可持续性 商业模式 * 需要提供整体解决方案，可持续性，能够承担责任的公司 * 软件可变，加入服务 * 考虑可以作为标准框架， * 从顶层考虑 整合资源 * * * 天融信等级保护解决方案－TopSec等级保护体系 天融信安全服务总监 田野 Tian_ye@ 等级保护的政策文件 2003年9月 中办国办颁发 《关于加强信息安全保障工作的意见》 中办发[2003]27号 2005年9月 国信办文件 《 关于转发《电子政务信息安全等级保护实施指南》的通知 》 国信办[2004]25号 2006年1月 四部委会签 《 关于印发《信息安全等级保护管理办法的通知 》 公通字[2006]7号 2005年 公安部标准 《基本要求》 《定级指南》 《实施指南》 《测评准则》 2004年11月 四部委会签 《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 云南 云南省人民政府第130号令 浙江 浙江省人民政府令 北京 北京政府第9号令 国家级政策文件 国家级技术标准 国家级政策文件 地方政策文件 等级保护的管理结构－北京为例 国家信息办 公安部网监局 北京信息办 北京公安局网监处 北京测评中心 北京研究一所 管理职能： 监管和测评 技术支持单位： 定级、测评 安全厂商、服务商 安全厂商、服务商 服务实施单位： 咨询、实施、产品、运维 北京信息办 北京信息办 北京测评中心 北京测评中心 北京公安局网监处 北京公安局网监处 北京研究一所 北京研究一所 安全厂商、服务商 安全厂商、服务商 安全厂商、服务商 安全厂商、服务商 政策、宏观管理、协调 电子政务领域 其他行业领域 北京市属的电子政务系统 地处北京的各部委各行业 等级保护的政策文件与技术演进 2003年9月 中办国办颁发 《关于加强信息安全保障工作的意见》 （中办发[2003]27号） 2004年11月 四部委会签 《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号） 2005年9月 国信办文件 《 关于转发《电子政务信息安全等级保护实施指南》的通知 》 （国信办[2004]25号） 2005年 公安部标准 《等级保护安全要求》 《等级保护定级指南》 《等级保护实施指南》 《等级保护测评准则》 总结成一种安全工作的方法和原则 最先作为“适度安全”的工作思路提出 确认为国家信息安全的基本制度，安全工作的根本方法 形成等级保护的基本理论框架，制定了方法，过程和标准 等级保护基本需求 政策要求－符合等级保护的要求 系统定级 系统符合《基本要求》中相应级别的指标 符合《测评准则》中的要求 实际需求－适应客户实际情况 适应业务特性与安全要求的差异性 可工程化实施 基本安全要求中的各级指标 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 等级保护的生命周期 信息系统等级保护实施生命周期内的主要活动 规划设计阶段 安全实施/实现阶段 安全运行管理阶段 等级化风险评估 安全总体设计 安全建设规划 安全方案设计 安全产品采购 安全控制集成 测试与验收 管理机构的设置 管理制度的建设 人员配置和岗位培训 安全建设过程的管理 操作管理和控制 变更管理和控制 安全状态监控 安全事件处置和应急预案 安全评估和持续改进 监