信息安全等级保护安全建设方案制定与实施教材.pptVIP

关键点：安全技术+安全管理 实施统一的访问控制策略 实施统一的安全控制策略 关键点：划分安全域 网络的层次划分方法 电子政务内网 电子政务外网 业务专网（广域网） 互联网 安全域的宏观划分 安全计算域 安全用户域 安全网络域 （接入域、交换域、核心域） 划分安全域（参考） 按照应用的通信过程划分： 接入区 交换区 用户区 服务器区 管理区 按照业务数据的流转路径划分 存储区 前置区 终端区 传输区 备份区 总部服务器 核心交换 路由器 广域网 路由器 备份服务器 路由器 终端 划分安全域（参考） 分析访问，合理设计安全策略 梳理各个应用系统连接及访问 用户 业务安全分析-用户、操作和数据 业务风险控制 业务 应用 主机 组件 应用平台 网络 业务安全需求 安全功能实现 数据库 功能组件 支撑安全 功能实现 安全 软件环境 安全边界 安全传输通道 程序安全 组件安全 主机安全 网络安全 “业务+系统”安全=整体安全策略 结合实际，部署实施安全措施 技术策略 技术框架 3G安全 IPSec …… 日志采集 审计分析 令牌技术 认证协议 强制访问控制 ACL 网络流量控制 数据防泄漏 匿名技术 数据 系统 网络 补丁管理 威胁检测 对称密码技术 非对称密码技术 实现 实现 实现 选择和目标一致的安全产品 等级保基本要求与安全产品对应关系 等级保护要求 控制要求 等保三级所需产品 实现机制 物理安全 位置、物理访问控制、防盗、防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护 门禁 监控报警系统 避雷装置 消防 水敏感检测仪 防静电设施 双路供电 电磁屏蔽 机房建设 物理安全策略 网络安全 结构安全 带宽管理、SSLVPN/IPSecVPN 路由器、交换机、负载均衡 网络、安全集成 安全域 网络安全策略 网络安全配置实施（限制IP地址） 访问控制 防火墙、IPS/IDS 安全审计 网络安全审计 日志审计 边界完整性检查 终端安全管理 　入侵防范 IDS 　恶意代码防范 防病毒系统、防病毒网关 　网络设备防护 网络设备安全配置 三级： 73个控制点 290控制项 参考 安全产品对照（参考） 等级保基本要求与安全产品对应关系 等级保护要求 控制要求 等保三级所需产品 实现机制 主机安全 身份鉴别 主机核心防护 包括数据库安全 访问控制 主机核心防护 主机、数据库安全加固 安全审计　 终端、服务器、数据审计系统 　剩余信息保护 数据库审计系统（NBA） 入侵防范　 主机核心防护、主机入侵检测 　恶意代码防范 　防病毒 资源控制 网管系统 应用安全 身份鉴别 动态令牌、CA 应用开发 编码规范、安全编码 应用安全功能　 安全审计 应用系统日志审计 访问控制、剩余信息保护 通信完整性、通信保密性、 抗抵赖、软件容错、资源控制 主要功能需要应用系统开发商解决 数据与备份安全 数据完整性 网页防篡改 异地备份和恢复策略 数据保密性 SSH、VPN、MD5等 备份和恢复　 　异地备份 参考 安全产品对照（参考） 业务用户登录界面/帐号/验证 数据库帐号/验证 组件调用协议/帐号/验证 系统运行服务帐号/验证 网络访问控制 落实控制策略 -纵深防御 管理员登录界面/帐号/验证 各位领导、专家下午好，前面的专家2个小时帮我们清晰地解读了政策，政策在实际过程中如何来落实？下午我会用40分钟讲解一个实际的案例，介绍如何在工作中进行等级保护的建设。 * 原有边界扩展到网络、扩展到数据库； 17859要求开发商；【应用、组件、加工后的应用程序】 * 重点： 理解安全控制 对接安全措施 划分安全区域 强化访问控制 融合应用安全 统一安全策略 关注整体安全 * 作为安全产品和服务提供商，我们主要为您的组织提供建设整改相关工作，对于建设整改，我们为此总结了七项重点工作。1是理解安全控制，把握等级保护《基本要求》中的安全控制内容；2是对接安全措施，能够把安全控制和目前采用的安全产品、安全配置和管理制度相衔接；3是划分安全区域，保护核心系统很关键是要合理划分安全域，这是一项“打地基”的工作；4是强化访问控制，加强不同安全域、业务应用、信息系统、终端和用户等的访问控制，这是安全保护的一项必要措施，也是贯穿等级保护物理、网络、主机、应用各个层面的基本要求；5是融合应用安全，加强应用系统自身安全性，在需求、设计、编码、测试和运行等各个环节融合安全控制要求；6是统一安全策略，尤其是三级以及三级以上信息系统，统一安全策略是必要保障；7是关注整体安全，保障核心是等级保护的原则，但是在基础设施安全建设中，对于组织安全建设要统筹进行考虑，这个整体主要是指