天融信等级保护解决方案.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,天融信等级保护解决方案,TopSec,等级保护体系,天融信安全服务总监 田野,Tian_ye,等级保护的政策文件,2003,年,9,月,中办国办颁发,关于加强信息安全保障工作的意见,中办发,200327,号,2005,年,9,月,国信办文件,关于转发,电子政务信息安全等级保护实施指南,的通知,国信办,200425,号,2006,年,1,月,四部委会签,关于印发,信息安全等级保护管理办法的通知,公通字,20067,号,2005,年,公安部标准,基本要求,定级指南,实施指南,测评准则,2004,年,11,月,四部委会签,关于信息安全等级保护工作的实施意见,公通字,200466,号,云南,云南省人民政府第,130,号令,浙江,浙江省人民政府令,北京,北京政府第,9,号令,国家级政策文件,国家级技术标准,国家级政策文件,地方政策文件,等级保护的管理结构北京为例,国家信息办,公安部网监局,北京信息办,北京公安局网监处,北京测评中心,北京研究一所,管理职能：,监管和测评,技术支持单位：,定级、测评,安全厂商、服务商,安全厂商、服务商,服务实施单位：,咨询、实施、产品、运维,北京信息办,北京信息办,北京测评中心,北京测评中心,北京公安局网监处,北京公安局网监处,北京研究一所,北京研究一所,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,政策、宏观管理、协调,电子政务领域,其他行业领域,北京市属的电子政务系统,地处北京的各部委各行业,等级保护的政策文件与技术演进,2003,年,9,月,中办国办颁发,关于加强信息安全保障工作的意见,（中办发,200327,号）,2004,年,11,月,四部委会签,关于信息安全等级保护工作的实施意见,（公通字,200466,号）,2005,年,9,月,国信办文件,关于转发,电子政务信息安全等级保护实施指南,的通知,（国信办,200425,号）,2005,年,公安部标准,等级保护安全要求,等级保护定级指南,等级保护实施指南,等级保护测评准则,总结成一种安全工作的方法和原则,最先作为,“,适度安全,”,的工作思路提出,确认为国家信息安全的基本制度，安全工作的根本方法,形成等级保护的基本理论框架，制定了方法，过程和标准,等级保护基本需求,政策要求符合等级保护的要求,系统定级,系统符合,基本要求,中相应级别的指标,符合,测评准则,中的要求,实际需求适应客户实际情况,适应业务特性与安全要求的差异性,可工程化实施,基本安全要求中的各级指标,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护的生命周期,信息系统等级保护实施生命周期内的主要活动,规划设计阶段,安全实施,/,实现阶段,安全运行管理阶段,等级化风险评估,安全总体设计,安全建设规划,安全方案设计,安全产品采购,安全控制集成,测试与验收,管理机构的设置,管理制度的建设,人员配置和岗位培训,安全建设过程的管理,操作管理和控制,变更管理和控制,安全状态监控,安全事件处置和应急预案,安全评估和持续改进,监督检查,定级阶段,系统调查和描述,子系统划分,/,分解,子系统边界确定,安全等级确定,定级结果文档化,等级保护实施中需要解决的问题,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,复杂大系统的分解和差异性安全要求描述很困难,各系统安全单独建设，将造成分散、重复和低水平,在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善,管理难度太大，管理成本高,需求分析,1,问题,1,：,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,需求：从组织整体出发，综合考核所有系统,方法：引入体系设计方法,组织战略和业务目标,组织总体信息安全目标,安全要求,安全措施,结构体,安全体系设计方法,结构化分解原则：,从组织总体目标出发,充分覆盖，互不重叠，不可再细分,安全体系的组成,安,全,问,题,保护对象框架,安全对策框架,界定和分解,映射,安全体系,综合,需求分析,2,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,复杂大系统的分解和差异性安全要求描述很困难,需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求,方法：引入保护对象框架设计方法,保护对象框架电信行业,保护对象框架,-,政府行业,中央节点,直属节点,政务外网,政务专网,政务内网,保护对象框架银行业,需求分析,3,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,复杂大系统的分解和差异性安全要求描述很困难,各系统安全单独建设，将造成分散、重复和低水平,需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平,方法：引入安全平台的设计与建设方法,终端管理和防病毒集中管理平台,集中机房与物理环境安全,安全管理运行中心,终端管理和防病毒集中管理平台,防病毒、补丁和终端管理平台,终端安全,全程全网监控和审计平台,全网统一监控和审计平台,终端管理和防病毒集中管理平台,安全域和网络访问控制平台,基础设施安全,网络安全,监控审计,第三方统一安全接入平台,应用加密平台,第三方统一安全接入平台,统一鉴别认证平台,数据备份与冗灾平台,统一身份认证与授权管理平台,认证授权,数据安全,加密,应用安全,安全平台,物理安全,平台定义：,为系统提供互操作性及其服务的环境,需求分析,4,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,复杂大系统的分解和差异性安全要求描述很困难,各系统安全单独建设，将造成分散、重复和低水平,在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善,需求：建立长效机制，建立可持续运行、发展和完善的体系,方法：建立安全运行体系,项目建设,安全管理,安全风险,管理,安全运行,维护,安全体系,的建设,制定企业或,部门级体系,制定总体,安全体系,按要求开展工作,安全目标,安全要求,提出安全,规范、要求,根据要求,评估建设,跟踪、定期审核,安全建设工作,按要求进行,安全建设工作,申请立项,提供项目安全说明,弱点评估,系统加固,安全事件处理,按要求进行,建设,应急响应计划,定期评估,安全现状,监控、审计,安全现状,安全预警,提出规范、要求,设备安全维护,系统安全维护,考核和检查,落实规范、要求,制定运维作业计划,总部层面,省级层面,系统层面,安全运行体系,需求分析,5,标准中从,“,单个系统,”,出发，但实际工作是从组织整体出发，整体考虑所有系统,各系统单独保护，将冲突和割裂，形成信息孤岛,复杂大系统的分解和差异性安全要求描述很困难,各系统安全单独建设，将造成分散、重复和低水平,在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善,管理难度太大，管理成本高,需求：需要高水平、自动化的安全管理工具,方法：引入安全管理平台,安全运维工作过程,正常工作流程,自上而下,异常工作流程,自下而上,安全管理中心框架,需求分析总结,符合等级保护制度与标准,引入体系设计方法,引入保护对象框架设计方法,引入安全平台的设计与建设方法,建立安全运行体系,以可信的理念和技术作支撑,总体解决方案,TopSec,等级保护体系,遵照国家等级保护制度、满足客户实际需求,，采用等级化、体系化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。,实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标,特质：,等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求,整体性：结构化，内容全面，可持续发展和完善，持续运行,针对性：针对实际情况，符合业务特性和发展战略,等级保护体系设计方法,整体,安全目标,分等级的,保护对象框架,体系建设,和运行,组织体系,技术体系,运作体系,策略体系,安全要求与对策框架,客户的信息资产,定级,分解,国家规定的各等级,安全要求,定制,分等级的安全目标,等级化,安全体系,等级保护体系安全措施框架,安全策略体系,安全技术体系,身份,认证,加密,加固,审核,跟踪,访问,控制,防恶意,代码,监控,备份,恢复,管理制度,组织职责,技术标准规范,信息安全政策,安全,组织,教育,培训,人员,职责,人员,安全,安全组织体系,安全体系建设,项目建设安全管理,安全风险管理,与控制,安全运行与维护,安全运行体系,成果安全组织体系,主管领导,（,主管安全）,领导小组组长,信息安全领导小组,业务部门负责人,成员,安全部门负责人,工作组组长,管理部门负责人,成员,部门安全管理员,成员,部门安全管理员,成员,安全办公室负责人,负责人,安全管理员,安全技术员,信息安全工作组,信息安全办公室,成果安全策略体系,信息安全方针,管理规定,工作流程,安全组织人员职责,技术规范,信息安全体系,公司层面,部门安全工作管理办法,部门安全组织人员职责,部门层面,工作表单,运行维护计划,应急响应计划,系统层面,终端管理和防病毒集中管理平台,集中机房与物理环境安全,安全管理运行中心,终端管理和防病毒集中管理平台,防病毒、补丁和终端管理平台,终端安全,全程全网监控和审计平台,全网统一监控和审计平台,终端管理和防病毒集中管理平台,安全域和网络访问控制平台,设备安全配置与加固,基础设施安全,各主机网络设备,网络安全,监控审计,第三方统一安全接入平台,应用加密平台,第三方统一安全接入平台,统一鉴别认证平台,数据备份与冗灾平台,统一身份认证与授权管理平台,应用系统安全增强,各应用系统,认证授权,数据安全,加密,应用安全,安全管理平台,成果安全技术体系,物理安全,可信接入控制平台,可信信息交换平台,可信监管平台,项目建设,安全管理,安全风险,管理,安全运行,维护,安全体系,的建设,制定企业或,部门级体系,制定总体,安全体系,按要求开展工作,安全目标,安全要求,提出安全,规范、要求,根据要求,评估建设,跟踪、定期审核,安全建设工作,按要求进行,安全建设工作,申请立项,提供项目安全说明,弱点评估,系统加固,安全事件处理,按要求进行,建设,应急响应计划,定期评估,安全现状,监控、审计,安全现状,安全预警,提出规范、要求,设备安全维护,系统安全维护,考核和检查,落实规范、要求,制定运维作业计划,总部层面,省级层面,系统层面,成果安全运行体系,安全管理运行中心,技术体系,安全组织设置和岗位职责,安全教育、培训与资质认证,组织体系,安全策略体系设计,安全策略与流程推广实施,策略体系,项目建设的安全管理,安全风险管理与控制,保护对象框架,内部与第三方人员安全管理,日常安全运行与维护,安全体系推广与落实,运作体系,全程全网监控和审计平台,统一监控与审计管理平台,终端管理和防病毒集中管理平台,安全域和网络访问控制平台,终端管理和防病毒集中管理平台,防病毒、补丁和终端管理平台,设备安全配置与加固,基础设施安全,第三方统一安全接入平台,应用加密平台,第三方统一安全接入平台,统一鉴别认证平台,数据备份与冗灾平台,统一身份认证与授权管理平台,应用系统安全增强,应用安全,等级保护体系的实现,安全组织与职责设计,安全培训与资质认证,安全策略体系与流程设计,网络与应用加密服务平台,业务应用系统安全改造,数据备份与冗灾平台,统一身份认证与授权管理平台,设备安全配置与加固,安全域划分与边界访问控制平台,安全管理运行中心,安全策略与流程推广实施,安全体系推广与常年咨询,防病毒、补丁和终端管理平台,统一安全监控与审计平台,安全技术体系建设,安全组织体系建设,安全策略体系建设,安全运行体系建设,安全规划,安全调查与风险评估,等级保护定级咨询,等级保护体系设计,方案设计,等级保护测评支持与咨询,定级阶段,规划阶段,实施与,运维阶段,常年安全运维外包服务,安全托管监控与管家服务,等级保护阶段,天融信提供的安全服务与解决方案,