《等保交流-基础知识-v.ppt》由会员分享,可在线阅读,更多相关《等保交流-基础知识-v.ppt(26页珍藏版)》请在三一办公上搜索。
1、信息安全等级保护基础知识,与安全产品在等保中的应用,提纲:,1、等级保护的基本知识,2、等保工作的流程,3、等保解决方案,等级保护的基础知识,等级保护的一些基础知识,等级保护是一个体系建设工作,将来会是在未来指导我国信息安全工作的根本;等级保护所有标准为推荐标准(GBT),所以不是强制执行,且各行业会制定自己的标准;等级保护的定级是针对业务系统,但是进行等级保护建设时讲究的是整体环境建设满足等级要求;当网络环境内运行多个业务系统时,应当按照定级高的业务系统进行环境建设;等级保护的定级分为三个纬度SAG,S指的是业务信息安全类,A指的是系统服务保证类,G是基本要求。比如三级分为:S1A3G3,S
2、2A3G3,S3A3G3,S3A2G3,S3A1G3,并非等保三级指的是一个要求;,三个分等级,等级保护的定义:是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护,即分等级保护,分等级监管。,什么是信息安全等级保护?,等保与分保的区别:,等级保护目标客户:,(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。(二)铁路、银行、海关、税务、
3、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计民生的信息系统(生产、调度、管理、办公等重要信息系统)。(三)教育、国家科研等单位的信息系统(四)市(地)级以上党政机关的重要网站和办公信息系统(五)中央企业以及国资委下属企业,目前国家出台了哪些有关等保的政策?国家:国务院147号令中华人民共和国计算机信息系统安全保护条例(94年)公通字200466号关于信息安全等级保护工作的实施意见公通字200743号信息安全等级保护管理办法陕西省:陕等保办20101号关于组织开
4、展全省重要信息系统安全等级保护工作专项检查的通知陕等保办20112号陕西省信息安全等级保护安全建设整改工作指导意见的通知陕公通字201127号关于进一步推进我省企业信息系统安全等级保护工作的通知陕等保办20121号关于开展“十八大”重要信息系统等级保护检查工作的通知,西安市西等办201201号关于开展信息安全等级保护等级测评工作的通知银行西银办2011273号关于进一步推动陕西省银行业信息安全等级保护工作的通知银发2012163号中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见法院(最近一次):法(办)明传(2012)14号关于进一步推进人民法院信息安全等级保护工作的通知教育(
5、最近一次):陕教保办201220号关于进一步落实全省教育信息系统安全等级保护工作的通知,医院 卫办发201185号卫生部关于印发 的通知卫办综函20111126号卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知交通(最近一次):陕交函 2011 845号关于交通运输行业在用信息系统安全等级保护定级及测评工作的通知广电(最近一次):陕公通字201165号关于开展我省广播电视相关信息系统安全等级保护工作的通知保险、证券。,等级保护的流程,等级保护流程及相关部门,定级,建设,规划,整改,测评,备案,自查与定期检查,评审与审批,二级以上信息系统,按标准选产品,选择评测机构,信息安全监管部门检
6、查,国家管理部门,公安网监,安全服务商安全产品提供商,各省安全评测机构,信息安全监管部门,等级保护流程,各阶段任务,相关部门,等级保护的技术规范与标准,等保工作实施依据:实施指南安全等级确定依据:定级指南设计、建设和整改工作依据:划分准则 基本要求(SAG)S:信息安全类要求 A:服务保障类要求 G:通用安全保护类要求 通用安全技术要求 网络基础安全/操作系统/数据库管理/服务器/终端计算机/信息安全管理/信息安全工程管理技术要求等保测评工作依据:评测指南,定级要素与安全保护等级的关系,等级保护的安全模型框架,等级测评周期:,三级:应当每年至少进行一次等级测评,四级:应当每半年至少进行一次等级
7、测评,二级:参照三级要求进行测评(每二年至少进行一次等级测评),等级保护解决方案介绍,等级保护方案介绍,方案定位:是建议!不是设计方案,不是整改方案,不是实施方案 是针对客户进行等级保护建设时碰到的问题,我们 依据产品给出的符合等级保护要求的解决方案 可以作为客户进行等保设计方案和改造方案时的参考,方案的目标:在等保项目中卖产品;等保是个体系建设,不是说客户按照我们这个方案都做了就完成等保建设了,只是在我们提到的这些方面满足等保的要求;,等级保护方案介绍,区域边界隔离与审计,挖掘需求:在进行等级保护建设时,首先要按照业务类型、重要程度等因素进行安全域的划分。在安全域与安全域之间,需要严格控制信
8、息流向,对通过安全域边界进行的数据交换应该进行严格的控制,这些控制手段通常包括:访问控制、入侵检测与防御、恶意代码防范、网络行为审计等。技术要求:网络安全-访问控制网络安全-入侵防范网络安全-恶意代码防范网络安全-安全审计网络安全 边界完整性产品方案:防火墙:智能防火墙,功能完善,解决多产品串联糖葫芦串的问题;IPS:访问控制、入侵防范、恶意代码防范信息安全审计:网络安全审计,网络结构安全与冗余部署,挖掘需求:目前多数骨干数据交换系统均采用中央、省、市、县多级组网,通过专线或者VPN连接,实现业务数据的上报和交换,并实现数据大集中。技术要求:网络安全-结构安全网络安全-通信完整性网络安全-通信
9、保密性数据安全-数据传输保密性数据安全-备份与恢复方案:SSL VPN:加密功能解决通信与数据的保密性;上网行为管理:解决结构安全中的业务带宽保障管理需求,用户接入、身份鉴别,挖掘需求:等级保护的业务系统常常有这种情况,需要有许多单个的用户从不同的地点接入,这些用户分布比较分散,缺乏控制,终端设备难以预测,甚至有些用户是移动用户,需要使用移动智能终端接入业务系统。技术要求:应用安全-身份鉴别、访问控制、安全审计应用安全-通信保密性、通信完整性方案:SSL VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完整性;服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安
10、全性与边界隔离;堡垒机:设备用户权限管理的安全问题;,安全管理中心,挖掘需求:随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要实现对设备的统一的策略管理和下发。技术要求:应用安全-资源控制主机安全-资源控制监控管理和安全管理中心网络安全管理方案:服务器群组防护:服务器运行状态的监控与告警;SOC:设备的集中管理与控制;,等级保护我们的结合点,安全技术,级信息系统安全产品部署(依据等保基本要求),外联区,汇聚接入区,DMZ区,服务器区,核心区,日志,补丁,网络版杀毒软件,认证,异地灾备中心,WAF,信息审计,FW,SOC,服务器群组防护,IPS,谢 谢,
