天融信等级保护

1、天融信等级保护解决方案天融信等级保护解决方案TopSec等级保护体系等级保护体系天融信安全服务总监天融信安全服务总监 田野田野 Tian_Tian_等级保护的政策文件等级保护的政策文件20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安关于加强信息安全保障工作的意见全保障工作的意见中办发中办发200327200327号号20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电电子政务信息安全等子政务信息安全等级保护实施指南级保护实施指南的通知的通知 国信办国信办200425200425号号20062006年年1 1月月四部委会签四部委会签 关于印发关于印发信信息安

2、全等级保护管息安全等级保护管理办法的通知理办法的通知 公通字公通字2006720067号号20052005年年 公安部标准公安部标准基本要求基本要求定级指南定级指南实施指南实施指南测评准则测评准则20042004年年1111月月四部委会签四部委会签关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字200466200466号号云南云南云南省人民云南省人民政府第政府第130130号令号令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9号令号令 国家级政策文件国家级政策文件国家级技术标准国家级技术标准国家级政策文件国家级政策文件地方政策文件

3、地方政策文件等级保护的管理结构北京为例等级保护的管理结构北京为例国家信息办国家信息办公安部网监局公安部网监局北京信息办北京信息办北京公安局网监处北京公安局网监处北京测评中心北京测评中心北京研究一所北京研究一所管理职能：管理职能：监管和测评监管和测评技术支持单位：技术支持单位：定级、测评定级、测评安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商服务实施单位：服务实施单位：咨询、实施、产咨询、实施、产品、运维品、运维北京信息办北京信息办北京信息办北京信息办北京测评中心北京测评中心北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京公安局网监处北京公安局网监处北京研究一所北京

4、研究一所北京研究一所北京研究一所安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管政策、宏观管理、协调理、协调电子政务领域电子政务领域其他行业领域其他行业领域北京市属北京市属的电子政的电子政务系统务系统地处北京地处北京的各部委的各部委各行业各行业等级保护的政策文件与技术演进等级保护的政策文件与技术演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部

5、委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政电子政务信息安全等级保护实务信息安全等级保护实施指南施指南的通知的通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路

6、提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准等级保护基本需求等级保护基本需求 政策要求符合等级保护的要求政策要求符合等级保护的要求 系统定级系统定级 系统符合系统符合基本要求基本要求中相应级别的指标中相应级别的指标 符合符合测评准则测评准则中的要求中的要求 实际需求适应客户实际情况实际需求适应客户实际情况适应业务特性与安全要求的差异性适应业务特性与安全要求的差异性可工程化实施可工程化实施基本安全要求中的各级指标基本安全要求中的各级指标

7、某级系统某级系统物理安全物理安全技术要求技术要求管理要求管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理等级保护的生命周期等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安

8、全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护实施中需要解决的问题等级保护实施中需要解决的问题标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平在建立长效机制方面考虑较少，难以做到可持在建

9、立长效机制方面考虑较少，难以做到可持续运行、发展和完善续运行、发展和完善管理难度太大，管理成本高管理难度太大，管理成本高需求分析需求分析1问题问题1 1：标准中从标准中从“单个系统单个系统”出发，但实际工作出发，但实际工作是从组织整体出发，整体考虑所有系统是从组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛需求：从组织整体出发，综合考核所有系统需求：从组织整体出发，综合考核所有系统方法：引入体系设计方法方法：引入体系设计方法组织战略和业务目标组织战略和业务目标组织总体信息安全目标组织总体信息安全目标安全要求安全要求安全措施安全

10、措施结构体结构体安全体系设计方法安全体系设计方法结构化分解原则：从组织总体目标出发充分覆盖，互不重叠，不可再细分安全体系的组成安全体系的组成安全问题保护对保护对象框架象框架安全对安全对策框架策框架界定和分解界定和分解映射映射安全体系安全体系综合综合需求分析需求分析2标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难 需求：准确地进行大系统的

11、分解和描述，反映实际需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求特性和差异性安全要求 方法：引入保护对象框架设计方法方法：引入保护对象框架设计方法保护对象框架电信行业保护对象框架电信行业保护对象框架保护对象框架-政府行业政府行业中央节点中央节点直属节点直属节点政务外网政务外网政务专网政务专网政务内网政务内网保护对象框架银行业保护对象框架银行业需求分析需求分析3标准中从标准中从“单个系统单个系统”出发，但实际工作是从出发，但实际工作是从组织整体出发，整体考虑所有系统组织整体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息

12、孤岛 复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平 需求：统一规划，集中建设，避免重复和分散，降需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平低成本，提高建设水平 方法：引入安全平台的设计与建设方法方法：引入安全平台的设计与建设方法终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台集中机房与物理环境安全集中机房与物理环境安全安全管理运行中心安全管理运行中心终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台防病毒

13、、补丁和终端管理平台终端安全全程全网监控和审计平台全程全网监控和审计平台全网统一监控和审计平台全网统一监控和审计平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台安全域和网络访问控制平台安全域和网络访问控制平台基础设施安全基础设施安全网络安全监控审计第三方统一安全接入平台第三方统一安全接入平台应用加密平台应用加密平台第三方统一安全接入平台第三方统一安全接入平台统一鉴别认证平台统一鉴别认证平台数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台认证授权数据安全加密应用安全应用安全安全平台安全平台物理安全平台定义：为系统提供互操作性及其服务的环境平台定

14、义：为系统提供互操作性及其服务的环境需求分析需求分析4标准中从标准中从“单个系统单个系统”出发，但实际工作是从组织整体出发，但实际工作是从组织整体出发，整体考虑所有系统出发，整体考虑所有系统各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲突和割裂，形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平在建立长效机制方面考虑较少，难以做到可持续运行、在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善发展和完善需求：建立长效机制，建立可持续运行、发

15、展和完善的需求：建立长效机制，建立可持续运行、发展和完善的体系体系方法：建立安全运行体系方法：建立安全运行体系项目建设项目建设安全管理安全管理安全风险安全风险管理管理安全运行安全运行维护维护安全体系安全体系的建设的建设制定企业或制定企业或部门级体系部门级体系制定总体制定总体安全体系安全体系按要求开展工作按要求开展工作安全目标安全目标安全要求安全要求提出安全提出安全规范、要求规范、要求根据要求根据要求评估建设评估建设跟踪、定期审核跟踪、定期审核安全建设工作安全建设工作按要求进行按要求进行安全建设工作安全建设工作申请立项申请立项提供项目安全说明提供项目安全说明弱点评估弱点评估系统加固系统加固安全事

16、件处理安全事件处理按要求进行按要求进行建设建设应急响应计划应急响应计划定期评估定期评估安全现状安全现状监控、审计监控、审计安全现状安全现状安全预警安全预警提出规范、要求提出规范、要求设备安全维护设备安全维护系统安全维护系统安全维护考核和检查考核和检查落实规范、要求落实规范、要求制定运维作业计划制定运维作业计划总部层面总部层面省级层面省级层面系统层面系统层面安全运行体系安全运行体系需求分析需求分析5标准中从标准中从“单个系统单个系统”出发，但实际工作是从组织整出发，但实际工作是从组织整体出发，整体考虑所有系统体出发，整体考虑所有系统 各系统单独保护，将冲突和割裂，形成信息孤岛各系统单独保护，将冲

17、突和割裂，形成信息孤岛 复杂大系统的分解和差异性安全要求描述很困难复杂大系统的分解和差异性安全要求描述很困难 各系统安全单独建设，将造成分散、重复和低水平各系统安全单独建设，将造成分散、重复和低水平在建立长效机制方面考虑较少，难以做到可持续运行、在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善发展和完善管理难度太大，管理成本高管理难度太大，管理成本高需求：需要高水平、自动化的安全管理工具需求：需要高水平、自动化的安全管理工具方法：引入安全管理平台方法：引入安全管理平台安全运维工作过程安全运维工作过程正常工作流程自上而下正常工作流程自上而下异常工作流程自下而上异常工作流程自下而上安全管

18、理中心框架安全管理中心框架需求分析总结需求分析总结 符合等级保护制度与标准符合等级保护制度与标准 引入体系设计方法引入体系设计方法引入保护对象框架设计方法引入保护对象框架设计方法引入安全平台的设计与建设方法引入安全平台的设计与建设方法建立安全运行体系建立安全运行体系 以可信的理念和技术作支撑以可信的理念和技术作支撑总体解决方案总体解决方案TopSec等级保护体系等级保护体系 遵照国家等级保护制度、满足客户实际需求遵照国家等级保护制度、满足客户实际需求，采用等级化、，采用等级化、体系化相结合的方法，为客户建设一套覆盖全面、重点突体系化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续

19、运行的安全保障体系。出、节约成本、持续运行的安全保障体系。 实施后状态：一套持续运行、涵盖所有安全内容的安全保实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标障体系，是企业或组织安全工作所追求的最终目标 特质：特质： 等级化：突出重点，节省成本，满足不同行业、不同发展阶段、等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求不同层次的要求 整体性：结构化，内容全面，可持续发展和完善，持续运行整体性：结构化，内容全面，可持续发展和完善，持续运行 针对性：针对实际情况，符合业务特性和发展战略针对性：针对实际情况，符合业务特性和发展战略

20、等级保护体系设计方法等级保护体系设计方法整体整体安全目标安全目标分等级的分等级的保护对象框架保护对象框架体系建设体系建设和运行和运行组织体系组织体系技术体系技术体系运作体系运作体系策略体系策略体系安全要求与对策框架安全要求与对策框架客户的信息资产客户的信息资产定级定级分解分解国家规定国家规定的各等级的各等级安全要求安全要求定制定制分等级的分等级的安全目标安全目标等级化等级化安全体系安全体系等级保护体系安全措施框架等级保护体系安全措施框架 安全策略体系安全策略体系安全技术体系安全技术体系身份身份认证认证加密加密加固加固审核审核跟踪跟踪访问访问控制控制防恶意防恶意代码代码监控监控备份备份恢复恢复管

21、理制度管理制度组织职责组织职责技术标准规范技术标准规范信息安全政策信息安全政策安全安全组织组织教育教育培训培训人员人员职责职责人员人员安全安全安全组织体系安全组织体系安全体系建设安全体系建设项目建设安全管理项目建设安全管理安全风险管理安全风险管理与控制与控制安全运行与维护安全运行与维护安全运行体系安全运行体系成果安全组织体系成果安全组织体系主管领导（主管安全）主管领导（主管安全）领导小组组长领导小组组长信息安全领导小组信息安全领导小组业务部门负责人业务部门负责人成员成员安全部门负责人安全部门负责人工作组组长工作组组长管理部门负责人管理部门负责人成员成员部门安全管理员部门安全管理员成员成员部门安

22、全管理员部门安全管理员成员成员安全办公室负责安全办公室负责人人负责人负责人安全管理员安全管理员安全技术员安全技术员信息安全工作组信息安全工作组信息安全办公室信息安全办公室成果安全策略体系成果安全策略体系信息安全方针信息安全方针管理规定管理规定工作流程工作流程安全组织人员职责安全组织人员职责技术规范技术规范信息安全体系信息安全体系公司层面公司层面部门安全工作管理办法部门安全工作管理办法部门安全组织人员职责部门安全组织人员职责部门层面部门层面工作表单工作表单运行维护计划运行维护计划应急响应计划应急响应计划系统层面系统层面终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台集中机房与物理环境安全

23、集中机房与物理环境安全安全管理运行中心安全管理运行中心终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台终端安全全程全网监控和审计平台全程全网监控和审计平台全网统一监控和审计平台全网统一监控和审计平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台安全域和网络访问控制平台安全域和网络访问控制平台设备安全配置与加固设备安全配置与加固基础设施安全基础设施安全各主机网络设备网络安全监控审计第三方统一安全接入平台第三方统一安全接入平台应用加密平台应用加密平台第三方统一安全接入平台第三方统一安全接入平台统一鉴别认证平台统一鉴别认证平台数据

24、备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台应用系统安全增强应用系统安全增强各应用系统认证授权数据安全加密应用安全应用安全安全管理平台成果安全技术体系成果安全技术体系物理安全可信接入控制平台可信接入控制平台可信信息交换平台可信信息交换平台可信监管平台可信监管平台项目建设项目建设安全管理安全管理安全风险安全风险管理管理安全运行安全运行维护维护安全体系安全体系的建设的建设制定企业或制定企业或部门级体系部门级体系制定总体制定总体安全体系安全体系按要求开展工作按要求开展工作安全目标安全目标安全要求安全要求提出安全提出安全规范、要求规范、要求根据要求根据要求评估建

25、设评估建设跟踪、定期审核跟踪、定期审核安全建设工作安全建设工作按要求进行按要求进行安全建设工作安全建设工作申请立项申请立项提供项目安全说明提供项目安全说明弱点评估弱点评估系统加固系统加固安全事件处理安全事件处理按要求进行按要求进行建设建设应急响应计划应急响应计划定期评估定期评估安全现状安全现状监控、审计监控、审计安全现状安全现状安全预警安全预警提出规范、要求提出规范、要求设备安全维护设备安全维护系统安全维护系统安全维护考核和检查考核和检查落实规范、要求落实规范、要求制定运维作业计划制定运维作业计划总部层面总部层面省级层面省级层面系统层面系统层面成果安全运行体系成果安全运行体系安全管理运行中心安全管理运行中心技术体系技术体系安全组织设置和岗位职责安全组织设置和岗位职责安全教育、培训与资质认证安全教育、培训与资质认证组织体系组织体系安全策略体系设计安全策略体系设计安全策略与流程推广实施安全策略与流程推广实施策略体系策略体系项目建设的安全管理项目建设的安全管理安全风险管理与控制安全风险管理与控制保护对象框架保护对象框架内部与第三方人员安全管理内部与第三方人员安全管理日常安全运行与维护日常安全运行与维护安全体系推广与落实安全体系推广与落实运作体系运作体系全程全网监控和审计平台全程全网监控和审计平台统一监控与审计管理平台统一监控与审计