信息安全等级保护安全建设方案制定与实施.pptxVIP

网神信息技术（北京）股份有限公司 目录信息安全等级保护建设整改目标利用三年时间。力争2012前完成。实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。（摘自“公信安[2009]1429号”文件）信息安全等级保护建设整改范围已备案的第二级（含）以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。新建系统要同步开展安全建设工作。信息系统安全建设整改工作规划和工作部署标准信息系统安全保护现状分析确定安全策略，制定安全建设整改方案信息系统安全管理建设信息系统安全技术建设安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全开展信息系统安全自查和等级测评信息安全等级保护建设整改工作以安全保发展 发展中求安全信息系统安全等级保护定级指南技术类管理类产品类信息系统安全等级保护行业定级细则信息系统通用安全技术要求信息系统安全管理要求操作系统安全技术要求信息安全等级保护建设整改依据?信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求安全等级?信息系统物理安全技术要求信息系统安全工程管理要求数据库管理系统安全技术要求信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求状况分析信息安全等级保护安全建设整改工作方法指导网络基础安全技术要求其他管理类标准网络和终端设备隔离部件技术要求其他技术类标准其他产品类标准基线要求计算机信息系统安全保护等级划分准则（GB17859）信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求《基本要求》技术能力《基本要求》管理能力《基本要求》主要范围建设整改工作方法目录方案制定与实施流程 调查现状，分析风险和差距调研访谈工具扫描人工分析渗透测试身份鉴别身份鉴别访问控制访问控制访问控制结构安全安全审计电力供应电磁防护入侵防范安全审计保密性完整性备份和恢复调查现状，分析风险和差距互联网区办公网区应用存储区存储数据传输数据处理数据办公终端互联网服务器应用存储服务器应用层物理层网络层主机层数据层调查现状，分析风险和差距计算环境区域边界网络通信安全管理 安全需求分析报告安全需求分析报告信息系统描述；安全管理状况；安全技术状况；存在的不足和可能的风险；安全需求描述。确定框架，制定整改方案总体方案-要点依据《信息系统安全等级保护基本要求》 参照《信息系统等级保护安全设计技术要求》引入“安全域”的概念，强化访问控制安全技术控制策略安全管理控制策略关键点：安全技术+安全管理关键点：划分安全域实施统一的访问控制策略实施统一的安全控制策略划分安全域（参考）网络的层次划分方法电子政务内网电子政务外网业务专网（广域网）互联网安全域的宏观划分安全计算域安全用户域安全网络域（接入域、交换域、核心域）划分安全域（参考）按照应用的通信过程划分：接入区交换区用户区服务器区管理区按照业务数据的流转路径划分存储区前置区终端区传输区备份区总部服务器 核心交换 路由器 广域网 路由器 备份服务器 路由器 终端分析访问，合理设计安全策略梳理各个应用系统连接及访问用户业务安全分析-用户、操作和数据组件业务主机应用网络“业务+系统”安全=整体安全策略业务风险控制业务安全需求程序安全安全功能实现数据库 应用平台功能组件组件安全支撑安全功能实现安全软件环境安全边界安全传输通道主机安全网络安全结合实际，部署实施安全措施实现实现实现技术策略选择和目标一致的安全产品技术框架3G安全IPSec……令牌技术认证协议日志采集审计分析强制访问控制ACL网络流量控制补丁管理威胁检测数据系统网络对称密码技术非对称密码技术数据防泄漏匿名技术安全产品对照（参考）三级：73个控制点290控制项参考安全产品对照（参考）参考落实控制策略-纵深防御组件调用协议/帐号/验证数据库帐号/验证管理员登录界面/帐号/验证业务用户登录界面/帐号/验证网络访问控制系统运行服务帐号/验证强化访问控制策略“一个中心、三重防护”为指导思想进行整体设计强化信息维护和系统维护人员系统的访问控制策略设计强化安全域之间的边界访问控制策略逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制建立安全组织（举例）决策、监督信息安全领导小组管理信息安全主管（部门）安全管理员安全审计员系统管理员网络管理员数据库管理员应用系统管理员执行落实信息安全责任制方针策略实施细则与流程运行记录编写安全管理制度制度与管理办法方针策略信息安全工作的纲领性文件。 制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和