信息安全体系规划.pptVIP

安全需求与建设指南 建立面向客户的安全需求与安全策略，目前有BSI7799—安全管理模型、CC标准—安全技术模型、公共数据平台—集成环境模型都是面向安全专家，急需建立面向用户的安全需求与建设指南，根据安全需求特点对安全需求分类，并提出完整、统一的安全模型，通过建立安全基本单元，对每一安全基本单元分级（系统数据交换单元、边界客户端、身份与信息认证单元、数据库单元、线路传输单元、系统监控单元等），并配上与安全基本单元的安全级相对应的安全管理规则（如系统数据交换单元可分为严格物理隔断、时序物理隔断、逻辑隔断、信息内容数据交换、访问控制数据交换、非限制数据交换等，它们组合可分出安全等级，对不同等级配上响应的安全管理规则），用户根据资金、现有条件、需求选择适合自己的安全策略（保护范围、方式和安全强度）形成安全方案；另一方面用户也要根据自己的经济实力和现有条件选择合适的软硬件设备、以及建设经济实惠的物理环境，这样需要建立现实物理环境的集成商指南。 第二十九页，共七十九页。 灾难应急与求援指南 建立完备的应急组织与机构，通过这些机构开展预防性安全警告，以及发生灾难后的应急处理，如救援，数据恢复，查找安全原因并研发补救措施等。建立信息沟通渠道如CERT网站、电话，发布安全服务企业指南，建立安全专家会诊中心与应急体系组织结构等。 安全系统运行与维护指南---建立标准故障或漏洞分类术语，建立定期发布安全产品的渠道如网站、专业刊物等，最新安全产品介绍，以及在网上升级安全系统。 第三十页，共七十九页。 第三部分信息安全体系的设计 第三十一页，共七十九页。 Operations People Technology Operations People Technology Defense in Depth Focus Areas Operations Technology 运作体系 组织体系 技术体系 深 度 防 护 的 目 标 区 域 信息安全保障体系 安全策略体系 深度防护战略 信息安全保障体系框架设计 保护网络与基础设施 保护综合业务网络 KMI/PKI 检测响应 Monitor Center 安全基础设施 保护内部网络 保护Internet业务 第三十二页，共七十九页。 Operations People Technology Operations People Technology Operations Technology 运作体系 组织体系 技术体系 安全策略体系 安全组织/人员 遵照策略制度 依靠技术手段 进行运作管理 组织、策略、技术、运作之间的关系 第三十三页，共七十九页。 Operations People Technology 信息安全保障体系 安全策略体系 深度防护战略 安全策略体系 安全策略框架 安全方针 安全组织管理体系和职责 安全标准和规范 安全制度和管理办法 安全操作流程 用户协议 安全策略运作流程 安全策略制定和开发 安全策略培训和教育 安全策略实施发布和推行 安全策略实施审计考核 安全策略定期审核和修订 第三十四页，共七十九页。 安全策略框架 安全方针 /Top-level Policy 组织机构和人员职责 /O.chart,Role-Resp. 技术标准和规范、方法学 /Standards 管理制度和规定 /Regulation 操作流程 /Procedure,Manual 用户协议/Agreement B 表示B从A引申而出，将A作为依据，遵照A，不发生违背和冲突。 A 第三十五页，共七十九页。 安全策略覆盖的内容 组织——有关组织架构，组织和人员责任。 人员——人员安全管理、意识、技能 资产——对资产管理、分类和价值。 业务——业务系统的安全规范和制度，覆盖综合业务网络、企业内部网络和企业调度、生产业务网络 技术——安全技术框架和系列安全技术标准 运作——安全运行和维护管理 业务连续性——业务连续性计划和框架 策略——策略自身的建设和管理 第三十六页，共七十九页。 Operations People Technology Operations People Technology Defense in Depth Focus Areas Operations Technology 运作体系 组织体系 技术体系 信息安全保障体系 安全策略体系 深度防护战略 安全领导小组 安全组织建设 安全顾问组 组织间的合作 岗位安全职责 培训和教育 安全考核和处罚 第三方安全管理 安全组织体系 第三十七页，共七十九页。 Operations People Technology Operations People Technology Operations 运作体系 信息安全保障体系 安全策略体系 深度防护战略 安