《等级保护安全建设方案ppt课件.pptx》由会员分享,可在线阅读,更多相关《等级保护安全建设方案ppt课件.pptx(39页珍藏版)》请在三一办公上搜索。
1、民生行业,等级保护安全建设方案,PART / 01,标准介绍,PART / 02,PART / 03,PART / 04,建设清单,CONTENTS / 目录,PART / 05,等保优势,建设方案,行业现状,360企业安全.民生行业,PART / 01,等级保护标准介绍,360企业安全.民生行业,网络安全法,第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病
2、毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。,2014年2月首次在政府工作报告中提及,2016年7月5日网络安全法草案二审稿,启动关键信息基础设施全国检查工作2016年7月8日,2016年11月1日网络安全法草案三审稿,人大常委会表决通过网络安全法2016年11月7日,2016年12
3、月末结束关键信息基础设施全国检查工作,实施网络安全法2017年6月1日,应急响应:将监测预警与应急处置工作制度化、 法制化,明确国家建立网络安全监测预警和信息通报制度。,CII保护:网络安全法明确了对国家关键信息基础设施(简称CII)要加强安全保护,初步给出了CII的范围,在法案第三章专门对关键信息基础设施的运行安全提出了具体要求。,等保制度:网络安全法明确国家实行网络安全等级保护制度。网络运营者应当按照网全等级保护制度的要求,切实加强网络安全建设,日志留存:记录网络运行状态、网络安全事件的技术措并按照规定留存相关的网络日志不少于六个月。,网络安全法草案一审稿2015年7月7日,等保2.0扩展
4、安全通用要求+五个扩展分册,GB/T22239.1-XXXX 信息安全技术 网络安全等级保护基本要求第1部分 安全通用要求GB/T 22239.2-XXXX信息安全技术 网络安全等级保护基本要求第2部分 云计算安全扩展要求GB/T 22239.3-XXXX信息安全技术 网络安全等级保护基本要求第3部分 移动互联安全扩展要求GB/T 22239.4-XXXX信息安全技术 网络安全等级保护基本要求第4部分 物联网安全扩展要求GB/T 22239.5-XXXX信息安全技术 网络安全等级保护基本要求第5部分 工业控制系统安全扩展要求GB/T 22239.6-XXXX信息安全技术 网络安全等级保护基本要
5、求第6部分 大数据安全扩展要求,三级安全控制项1.0:290项技术136 管理154,等保三级安全的控制项,三级安全控制项2.0:229项技术116 管理113,等级保护生命周期安全服务,定级备案,安全设计实施,安全运行维护,应急响应保障,总体安全规划,等保咨询服务,安全规划设计服务,等保集成服务,安全运维服务,系统调查系统定级定级报告专家评审协助备案,安全需求分析安全策略设计解决方案设计安全建设规划,详细设计技术实现管理实现安全培训,运行管理服务商管控等级测评检测改进,基础环境评估服务,现场评估报告编制,应急预案监测响应评估改进应急保障,安全应急服务,行业/领域主管部门属地公安机关,有等保建
6、设资质的厂商,设计院等,有等保建设资质的厂商,等保用户专业安全厂商,等保用户专业安全厂商,PART / 02,行业现状概览,360企业安全.民生行业,“十二五”国家政务信息化工程与金保二期工程关系,人力资源和社会保障事业发展“十三五”规划纲要,加快实施人力资源和社会保障信息化建设工程,建设人力资源和社会保障信息资源库,继续推进信息系统和数据省级集中。加快推进人员、单位、管理服务机构等基础信息库及异地就医联网结算、社保关系转移接续、公共就业信息服务、就业信息监测等重点建设任务。积极实施“互联网+人社”行动,促进劳动就业、社会保障、人才服务等工作与互联网深度融合。建立一体化公共服务信息平台,逐步实
7、现线上线下服务渠道的有机衔接,形成跨领域、跨部门、跨层级的联动服务能力。加快推进社会保障卡应用,实现社会保障一卡通。加快推动信息资源开发利用,构建大数据应用体系。依托政府数据共享交换平台,实现与相关政府部门的协同共享,逐步拓展基于互联网等社会化途径的信息资源获取途径。运用云计算技术,提升信息化基础设施的支撑保障能力。逐步建成全网安全监测系统,提升信息安全保障能力。,十三五规划的网络安全部分主要是金保二期工程建设内容。,金保二期工程网络安全目标,金保工程二期基础安全防护系统建设目标,1套体系,2个重点,3个全面,4项机制,建立一套包括技术和管理两方面,外防和内控兼顾,以纵深防御、分等级分区域保护
8、为核心的综合安全防护体系。,重点解决应用安全和数据安全两方面突出问题。,全面通过等级保护测评,防火墙、入侵检测和防护系统、网络监控和审计系统等边界防护系统全面部署到网络互联边界,数据访问控制和审计功能全面配置到核心业务区域的重要系统,加强信息安全风险评估和测评工作机制信息安全通报和检查机制信息安全应急处理协调机制信息安全综合管理和监督机制的四项安全保障机制的建设。,金保工程二期安全建设内容,部省两级基础安全防护、电子认证体系、灾备系统,纳入全国统一立项的金保工程二期建设任务,主要内容包括:1.按照信息安全等级保护基本要求,结合金保工程已建、新建和改扩建信息系统对信息安全防护能力的差异性安全需求
9、分析,立足于金保工程一期信息安全建设成果,完善部、省、市各级人力资源社会保障部门的基础安全防护系统的建设。2.优化网络结构,合理划分网络安全防护边界和安全区域,实现纵深防御、区域访问控制和有效安全隔离。3.按照互联部门业务数据和用户属性分类规划统一的数据交换区,实现网络互联出入口的集中防护和监控。4.建立重要信息系统、重要网络区域的安全监控和审计机制。5.加强面向互联网业务信息系统的安全防护和监控,建立网站防渗透、防篡改、防信息泄露和安全监测审计机制。6.加强关键业务数据的防丢失、防泄露和防篡改。7.加强信息安全风险评估和测评工作,建立信息安全等级保护综合工作平台,落实信息安全等级保护的各项制
10、度和要求。8.建立和完善信息安全监控平台和安全审计平台。在部、省、市各级网络系统部署统一信息安全监控平台和安全审计平台,实现边界防御、网络监控、主机监控、应用保护和桌面终端安全的全方位安全审计和安全监管功能。 9.建立和完善安全管理机制和组织体系,建立健全信息安全应急处理协调机制、安全通报机制和制度化专业化的检查机制,提高对网络安全事件应对和防范能力。,行业等级保护现状,金保二期等级保护安全建设目标:部级信息系统的信息安全等级保护符合度达到85%以上,省级达到80%以上,市级达到75%以上。全国已定级备案系统:988个,还未定级350个。系统定级情况:一级系统占比1.39%,二级系统占比43.
11、01%,三级系统占比55.4%,四级系统占比0.2%整改系统情况:未整改645个,已整改693个。测评情况:未测评790个,已测评548。业务模式:省集中模式(青海、宁夏、内蒙),其余省份的业务系统多数在市级。目前正在由市集中向省集中迁移。,等级保护安全建设是人社行业最大的安全需求,资金来源于金保二期,市级等级保护建设需求大。,网络架构概述,面向互联网用户的业务应用,如网站、12333等;部、省、市各自建设,没有互联关系。安全部分按照等级保护标准建设,最高三级。,人社行业主要业务区,数据生产汇集;部、省、市各自建设,部具备指导检查权力,网络互联,最终全国数据汇集到部里。业务系统多数集中在地市中
12、,目前正在进行省集中,如内蒙、青海等。安全部分按照等级保护标准建设,最高三级。接入电子政务外网。终端不允许上外网,业务数据通过网闸与公众服务网交互。,内部业务系统,如OA等。部、省、市各自建设。FJBH,JM级。,公众服务网,业务专网,内部办公网,人社业务内容,PART / 03,建设设计,360企业安全.民生行业,部级网络架构,两地三中心双活数据中心省生产中心、部生产中心间,利用电子政务外网人社专用MPLS VPN部署生产双链路,承载生产业务流量、视频流量,保证链路可靠性,并进行负载分担。在省同城灾备至部同城灾备中心间,部署灾备单链路,当生产双链路故障时(部生产中心发生灾难时),灾备单链路可
13、承载灾备业务流量,提高省、部中心间连接的可靠性,保证业务流量不中断。部同城灾备中心、异地灾备中心间,采用电子政务外网人社专用MPLS专线或电信运营商专线连接,形成部级三中心环状网络,提高部级三中心互联的可靠性。当其中一条中断时,灾备流量仍然可以正常运行。,部级业务专网,与各省数据中心连接,自有业务专网,逐渐向电子政务外网转移。接入层:具备4个接入区,业务专网接入区采用FW、IPS、WAF防护措施,其他采用FW、IPS。DMZ区:采用数据库审计、网络审计、入侵检测系统。纵向DMZ与公众服务网DMZ区采用网闸对接。核心交换区:部署防火墙、网络审计、入侵检测、数据库审计等措施。与公众服务网采用网闸对
14、接。应用层:具备安全管理区,NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。,部级公众服务网,接入层:公众服务网接入区采用抗DDOS、FW、IPS防护措施。具备多个运营商线路,采用负载均衡措施。DMZ区:采用网络审计、入侵检测系统。对外业务服务器部署WAF、网页防篡改系统。公众服务网DMZ区与业务专网纵向DMZ采用网闸对接。核心交换区:部署防火墙、网络审计、入侵检测、网络数据包日志和安全取证系统等措施。与业务专网采用网闸对接。与二级单位采用防火墙隔离,内部用户区采用防病毒网关隔离。应用层:具备安全管理区,NGSOC、防病毒、漏洞扫描、堡垒机、天眼、数据库审计等系统。,等级保护安全
15、建设分析,业务专网与公众服务网均遵守等级保护建设要求,多数为等保三级系统(全国仅江苏存在2个四级系统)。内部办公网采用FJBH标准,最高为JM级。等级保护建设涉及安全产品众多,我司绝大部分产品均可覆盖,全国各地均有各类产品案例。可通过代理商、与用户直接交流等方式参与建设部级完成了NGSOC、天眼、天擎、EDR等新产品的建设。根据网络安全法、等保2.0的要求,应提升安全服务地位,建议直接与用户交流,拿下安全服务,提升与用户的交流粘度。,四 大 抓 手,PART / 04,建设及服务清单,360企业安全.民生行业,等保合规 解决方案,安全运维,网络,技术要求,物理安全,网络与通信安全,设备和计算安
16、全,应用和数据安全,机构人员,数据安全,应用安全,操作系统,虚拟化,NGFW,AntiDDoS,虚拟化安全,天擎,NAC,WAF,网页防篡改,鹰眼,VPN,DB审计,等保咨询,物理环境,CCTV,门禁,漏扫,管理要求,机构人员,建设管理,等保集成,渗透测试,建设管理,SNINGSOC,安全运维,堡垒机,等级保护安全架构,策略制度,等保咨询,策略制度,360ID,应急响应,驻场保障,DLP,安全培训,ICG,IPS天眼,防病毒墙,防火,防水,电力保障,机房抗震,日志审计LAS,电磁防护,基础环境评估,注:物理安全由等保防护对象或电信基础设施运营商提供,网闸,天巡,漏扫,代码卫士,SMAC,等保二
17、级要求,等保三级增加要求,CA,应用改造,邮件网关,容灾备份,等保二级要求,等保三级增加要求,第三方设备:,360自有设备:,行业风险点,(一)业务专网与互联网安全隔离不充分(二)办公区域覆盖无线网络,且未采取无线安全控制措施。(三)服务器存在高风险漏洞,可被远程控制利用。(四)应用系统存在安全漏洞,可能造成数据泄露。(五)数据的共享和交换存在安全隐患。(六)计算机终端的日常安全管理需进一步加强。(七)风险评估机制未建立,安全服务未定期开展。(八)系统运维严重依赖外包服务单位,且缺少内控机制。(九)日常安全管理执行力度不够,未定期开展安全检查和监管。(十)安全管理制度尚不健全。,检查手段:天擎
18、非法外联实施手段:网闸,检查手段:天擎运维管理模块、天巡实施手段:天擎、天巡,检查手段:网站云监测、漏扫、补天漏洞感知实施手段:安域、WAF、众测,检查手段:风险评估、渗透测试、众测实施手段:安全制度、安全运维、安全服务,检查手段:天擎数据价值评估、EDA实施手段:DLP、安全U盘,人社部发文安全风险提示,网络和通信安全,网络和通信安全,网络和通信安全,设备和计算安全,设备和计算安全,设备和计算安全,应用和数据安全,应用和数据安全,应用和数据安全,安全服务,PART / 05,等级保护建设优势,360企业安全.民生行业,优势1- 产品覆盖最全,优势2-公司资质最全,优势3- 威胁情报及大数据分
19、析能力最强,农业部(金农工程一期安全集成与服务项目): 开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统85分,二级系统95分。水利部(水利信息安全等级保护集成与服务项目): 开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统88分,二级系统97分。教育部(小金教等级保护咨询服务项目): 495万,等级保护咨询项目,包含信息系统安全建设全生命周期。 安监总局国土等,承建了多个部委的等级保护建设项目的咨询、集成与产品集成实施工作。承建了诸如金盾、金安、金农、金水、金信、金质、金土、金审等重大项目。,优势4等级保护案例经验丰富,THANKS,
