等级化安全体系设计与实践讲义.ppt

* 网管安全域划分的二期主要是把数据网管结合进来，在菜市口形成一套整体的网管。 * * * 安全体系主要可以分为公司层面和系统层面，各系统需要共同解决，通过建设基础平台进行统一实现的功能，可以提升到公司进行整体建设，但各部门还需要根据需要自行进行建设。 * 项目工程建设 风险管理 安全运行维护 体系建设 * 还包括：计费中心，业务发展中心，网络管理部网管中心，人力资源部的2005年工作进行了计划 等级保护案例简介 等级化安全体系解决方案设计流程 保护对象 公司 部门 系统 计算区域 网络基础设施 边界 核心服务器区域 终端接入区域 第三方接入区域 安全目标 公司安全目标 部门安全建设目标 系统安全建设目标 安全要求 机密性 完整性 可用性 安全组织 安全策略 安全运作 安全技术 安全措施 策略 解决方案 项目内容 安全评估与等级划分 公司安全体系设计 公司等级化安全体系设计 安全组织体系 安全运作体系 安全规划 安全技术体系 安全策略 试点工作 3年安全规划 公司全面深度安全评估 网管系统安全域划分 及原则规范 网管系统等级划分 及原则规范 成果－安全工作总体思路 1.公司安全的使命和目标 -得到安全目标 我们的方向是什么？ 3.安全现状 4.关键举措和重点工作 -得到总体框架和笼廓 我们做什么？做成什么样子？ -得到工作计划和实施规划 我们怎么做？ 2.安全体系总体框架 5.实施策略选择 6.工作计划 7.建设实施 8.安全运营和持续改进 现在，我们开始作 成果－安全域划分（一期） 项目成果—安全域划分（二期） 成果－等级化安全体系的实现 安全支撑系统和基础设施 第三方统一安全接入平台 安全研究与测试实验室 第三方统一安全接入平台 全程全网监控和审计平台 统一鉴别认证平台 终端管理和防病毒集中管理平台 第三方统一安全接入平台 全程全网监控和审计平台 统一身份鉴别认证平台 终端管理和防病毒集中管理平台 安全管理运行中心 全网安全域划分与边界整合 网络安全性调整和改造 安全体系核查与改造项目 技术体系 安全组织体系和岗位职责 安全培训与资质认证 组织体系 安全策略体系和流程梳理 安全策略与流程推广实施 策略体系 体系推广与常年安全咨询 运作体系 常年安全外包服务 保护对象框架 成果－安全组织体系 主管领导（主管安全） 领导小组组长 信息安全领导小组 业务部门负责人 成员 安全部门负责人 工作组组长 管理部门负责人 成员 部门安全管理员 成员 部门安全管理员 成员 安全办公室负责人 负责人 安全管理员 安全技术员 信息安全工作组 信息安全办公室 成果－安全策略体系 信息安全方针 管理规定 工作流程 安全组织人员职责 技术规范 信息安全体系 公司层面 部门安全工作管理办法 部门安全组织人员职责 部门层面 工作表单 运行维护计划 应急响应计划 系统层面 成果－技术体系 安全措施 安全要求 策略体系 技术体系 运作体系 组织体系 公司 部门 系统 公司 部门 系统 安全目标 防病毒 监控 审计 认证 第三方 统一接入 安全域 公司层面 访问 控制 访问 控制 访问 控制 主机 安全 边界 隔离 数据库 安全 应用 安全 安全域 边界 隔离 系统层面 成果－安全运行体系 安全目标要求 PLAN： 安全目标要求—安全现状 安全计划（建设；维护…） Do： 安全项目建设 安全维护作业 1、更新资产补丁\拓扑\服务等状态 2、安全事件通报…. 3、安全加固 4、更新安全现状和安全目标要求差距 5、其他….. Check： 日常安全检查 周期性安全评估 1、检查安全目标要求的完成状态 2、评估安全状况（资产状态；弱点状态）， 3、安全现状是否符合可控安全环境 Action： 调整安全目标要求 规划安全项目 绩效考核各部门、安全管理员 成果－建设规划 安全组织体系和岗位职责 安全培训与资质认证 安全策略体系和流程梳理 安全研究与测试实验室 第三方统一安全接入平台 全程全网监控和审计平台 统一鉴别认证平台 终端管理和防病毒集中管理平台 全网安全域划分与边界整合 安全管理运行中心 安全策略与流程推广实施 常年安全咨询与外包服务 网络安全性调整和改造 安全体系核查与改造项目 技术体系建设 组织体系建设 策略体系建设 运作体系建设 安全规划 安全调查与风险评估 保护对象框架设计 定级 等级化安全体系设计 方案设计 等级评测 材料准备和等级认证 一个评估和定级项目 一个体系和规划项目 系列集成建设项目，3年 系列咨询和外包项目，3年 定级阶段 规划阶段 实施阶段 评审验收 体系推广与常年安全咨询 公司安全办公室 6月 7月 8月 9月 10月 11月 05年安全培训 12月 06年安全培训 周期性安全评估 第三方接入平台 6件事-维护专网帐户