天融信的等级保护.ppt

完全你的安全 天融信等级保护解决方案 TopSec等级保护体系 中国网络安全行业的领导企业 天融信安全服务总监田野 Tianye@   完全你的安全 等级保护的政策文件 05年9月 北京政府第 因信办文件 号令 《关于转发《电 政务信息安全等 保护实施指南》 2006年1月 中办国办颁发 四部委会签 国信办[2004]25号 四部委会签 浙江省人民 《关于加强信息安 《关于信息 政府令 息安全等级保护管 中办发[2003]27号 公通字20066)200年公安部标准理办法的道知》 意见》 《基本要求》 通字[200617号 《定级指南》 《实施指南》 《测评准则》 府第130 国家级政策文件 国家级技术标准国家级政策文件地方政策文件   完全你的安全 等级保护的管理结构一北京为例 电子政务领域 其他行业领域 政策、宏观管 国家信息办 理、协调 公安部网监局 务系统 管理职能: 监管和测评 北京信息办 北京公安局网监处 技术支持单位 定级、测评 北京测评中心 「北京研究 服务实施单位: 咨询、实施、产 安全厂商、服务商 安全厂商、服务商 品、运维   完全你的安全 等级保护的政策文件与技术演进 005年9月 国信办文件 《关于转发《电子政 2003年9月 2004年11月 四部委会签 (国信办[2004125号 障工作的意见》 信息安全等级保 中办发[2003]27号) 公通字D20016号0205年公安部标准 【等级保护安全要求 《等级保护定级指 《等级保护实施指南》 《等级保护测评准则》 最先作为“适度 确认为国家信息安 形成等级保护的基 路提出作思)中总结成一种安全工中全的基本制度,安 本理论框架,制 作的方法和原则 全工作的根本方法 了方法,过程和标   完全你的安全 等级保护基本需求 政策要求一符合等级保护的要求 系统定级 系统符合《基本要求》中相应级别的指标 符合《测评准则》中的要求 实际需求一适应客户实际情况 适应业务特性与安全要求的差异性 可工程化实施   完全你的安全 基本安全要求中的各级指标 某级系统 基本要求 技术要求 管理要求 安安人系系 物网主应数 全全员统统 安安安安 全全全全全 机|甸管管管 构度理|理理   完全你的安全 等级保护的生命周期 定级阶段 规划设计阶段 安全实施/实现阶段 安全运行管理阶段 统调查和描述 全评估和持续改进 信息系统等级保护实施生命周期内的主要活动   完全你的安全 等级保护实施中需要解决的问题 1.标准中从“单个系统”出发,但实际工作是从 组织整体出发,整体考虑所有系统 a)各系统单独保护,将冲突和割裂,形成信息孤岛 b)复杂大系统的分解和差异性安全要求描述很困难 c)各系统安全单独建设,将造成分散、重复和低水平 2.在建立长效机制方面考虑较少,难以做到可持 续运行、发展和完善 3.管理难度太大,管理成本高   完全你的安全 需求分析-1 问题1:标准中从“单个系统”出发,但实际工作 是从组织整体出发,整体考虑所有系统 a)各系统单独保护,将冲突和割裂,形成信息孤岛 需求:从组织整体出发,综合考核所有系统 方法:引入体系设计方法