从威胁、目标和能力分析等级保护的安全整改和运维.pptxVIP

从威胁、目标和能力分析等级保护的安全整改和运维服务提升价值领航信息安全 启明星辰安全技术最佳实践广州分公司 邓景云 deng_jingyun@信息安全存在的问题偏重产品，忽视体系和管理。重视外部攻击与入侵，忽视内部的非法行为缺乏信息安全风险意识，安全投入盲目一劳永逸的错误观念，忽视信息安全是个动态的过程威胁趋势愈演愈烈等级保护之为什么 Why1994年，《中华人民共和国计算机信息系统安全保护条例 》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB 17859）2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）… …分级保护信息安全标准AS/NZS 4360: 1999 风险管理标准ISO/IEC 13335 IT安全管理指南 ISO/IEC 17799:2005 信息安全管理最佳实践指南ISO/IEC 27001:2005 信息安全管理体系规范ISO/IEC 15408/GB 18336 CCIATF 信息保障技术框架 SSE-CMM 系统安全工程能力成熟度模型公安部等级保护指南《信息系统安全等级保护定级指南》参考ISO13335《信息系统安全等级保护实施指南》参考ISO13335、IATF 、SSE-CMM《信息系统安全等级保护基本要求》参考ISO15408、7799参考《信息系统安全等级保护测评准则》ISO13335中的风险管理模型威胁漏洞利用存在增加抵御增加控制风险资产需要拥有引发增加需求价值最精简的风险管理３要素定级保护轮廓技术体系管理体系不同级别威胁不同风险立方体-Risk Cube资产安全目标措施（安全能力） 威胁风险立方体中的安全工作资产O2-25.应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2-27.应具有对网络、系统和应用的访问进行控制的能力电子客票系统社保网上系统（2级）安全目标互联网防入侵FW, IDS, IPS, 防SQL注入互联网攻击措施（安全能力） 威胁风险立方体中的安全工作资产O2-2.应具有防止雷击事件导致重要设备被破坏的能力O2-3.应具有防水和防潮的能力O2-4.应具有灭火的能力O2-5.应具有检测火灾和报警的能力硬件设备网络线路机房（2级）安全目标电子屏蔽室、防火器、避雷设备火警装置等自然灾难措施（安全能力） 威胁等级保护之五级监管等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查威胁分类 不同级别对抗的威胁的种类不同；对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。安全目标不同。威胁和目标等保三级：1）防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁（内部人员的恶意威胁，设备较为严重的故障）所造成的主要资源损害。2）能够及时发现安全漏洞和安全事件；3）在系统遭到损害后，能够较快恢复绝大部分功能。等保二级：1）小型组织、少量资源（个人能力、公开可获得或特定开发的工具）、一般自然灾难、以及其它相当危害程度（无意失误、设备故障等）。2）能够发现；3）一段时间内恢复部分内容。 基本要求的保障措施某级系统基本要求基本技术要求基本管理要求物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理从风险立方体分析落实等保二级信息系统资产基本要求 2安全目标 2安全目标对抗能力 2恢复能力 2措施（安全能力） 威胁形态 2威胁等级保护之怎么 How