《等级保护流程培训V.ppt》由会员分享,可在线阅读,更多相关《等级保护流程培训V.ppt(59页珍藏版)》请在三一办公上搜索。
1、,信息安全等级保护体系与东软网络安全产品介绍,等级保护概述,等级保护工作流程,2,目录,等级保护安全防御设计思路,3,4,东软行业优势及建设案例,等级保护与东软安全产品,5,6,2016年商机前沿快报,等级保护的概述,国家信息安全等级保护制度由国家层面推动并要求遵照执行的信息安全要求。等级保护按照是否涉及国家秘密划分等级保护:适用于政府、央企等非涉密网络的信息安全政策、制度及标准体系。分级保护:适用于政府、军队、兵工厂等涉密网络的信息安全政策、制度及标准体系。是政府、央企信息安全建设的主要依据和主要推动力。,国家信息安全制度,等级保护的第一个法律文件国务院令,中华人民共和国计算机信息系统安全保
2、护条例(1994年2月18日国务院147号令)第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是明确了公安部的牵头地位;三是提出了需要出台配套的规章和技术标准。,等级保护安全等级定义文件,计算机信息系统安全保护等级划分准则(1999颁发的GB 17859)第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。提出了等级保护在技术防护层面与安全管理层面的建设防护要求。,中央文件,中办200327号
3、文件国家信息化领导小组关于加强信息安全保障工作的意见“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”中央27号文件的下达标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。,国家四部委文件,2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号),明确了信息安全等级保护制度
4、的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合信息安全等级保护管理办法(公通字200743号),明确了信息安全等级保护制度的基本内容、流程及工作要求,再进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。,等级保护发展历程,等级保护各方职责,国信办工信部信息安全协调司中网办信息安全协调局,等级保护法律政策体系,等级保护标准体系,等级保护工作流程,等级保护基本框架,等级保护建设四大原则,等级保护建设,等级保护与信息系统生命周
5、期的关系,等级保护实施过程,新建信息系统生命周期,已建信息系统等级保护实施过程,启动,设计开发,实施,运行维护,终止,系统定级,安全规划设计,安全实施,安全运行管理(变更/应急响应/监督检查),终止,终止,系统定级,安全规划设计,安全实施,安全运行管理,等级保护实施过程,局部调整,重大变更,等级保护工作流程总图,应急响应,安全实施/实现阶段,信息系统风险评估,系统自查,配合主管单位安全检查,系统定级与备案,安全定级备案阶段,系统定级与备案,确认具有唯一的安全责任单位一般是使用或运营单位满足信息系统的基本要素单机和纯局域网不定级承载相对独立的业务应用含多个业务应用的综合系统尽量划分,系统定级要素
6、,两个定级要素:等级保护对象受到破坏时客体受到侵害的程度。,受侵害的客体:,公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。,客体的侵害程度:,一般损害;严重损害;特别严重损害。,等级与侵害客体、侵害程度关系,系统定级矩阵图,信息系统定级,业务信息安全(S)业务信息安全是指:确保业务信息系统内信息的保密性、完整性和可用性等。通俗来讲,承载的信息非常重要。系统服务安全(A)系统服务安全是指:确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。通俗来讲,承载的服务有效性和连续性非常重要。,信息系统定级流程图,S,A,信息系统定级,安全规划与实施,安全规划与实施,基本要求主要内
7、容,基本要求的组织方式,基本要求要求项在各层面的分布,基本技术要求控制点,基本管理要求,等级测评,等级测评,关于等级测评,信息安全等级管理办法(公通字【2007】43号)第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,对测评机构的要求,三级以上信息系统应当选择使用符合以下条件的等级保护测评机构在中华人民共和国境内注册成立(
8、港澳台除外)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台除外)从事相关检测评估工作两年以上,无违法记录工作人员仅限于中国公民法人及其主要业务、技术人员无犯罪纪录使用的技术装备、设施应当符合本办法对信息安全产品的要求具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度对国家安全、社会秩序、公共利益不构成威胁,公安部推荐的测评机构,等级保护安全防御设计思路,等级保护安全技术设计框架,等级保护设计步骤,资产识别,资产识别了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境
9、、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。,差距分析,差距分析对照标准逐条列出不满足要求的项,风险评估,安全域划分,定义安全域(Security Zone)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的IT 要素集合,相同的安全域共享相同的安全策略。,安全域划分,区域边界安全设计,访问控制要求逻辑隔离、物理隔离、安全强隔离入侵防范要求DDOS攻击、应用层攻击防恶意代码要求防病毒网关网络设备安全防护要求运维审计堡垒机安全审计要求,通信网络安全设计,数据传输完整性/机密性和通信网络可信接入保护安全准入控制、IPSEC V
10、PN、SSL VPN、网络加密机安全审计安全管理中心集中审计管理,计算环境安全设计,主机安全商用操作系统(二级)、操作系统安全增强(三级)、安全操作系统(四级)终端安全管理系统应用安全WEB安全应用软件安全增强:中间件、数据库数据安全及备份恢复关键数据存储加密数据备份:本地备份、异地备份系统冗余设计,安全管理中心设计,系统管理系统运行监控、系统配置管理安全管理身份认证管理、风险管理、防病毒管理、补丁分发管理审计管理数据库审计、应用审计、网络审计、运维审计,安全管理制度框架,东软行业优势及建设案例,4,东软行业优势及近期等保部分案例,上海曙光医院,南阳市社保,北京医院,河北省人民医院,劳动部,宁
11、波云医院,安徽省工商局,延安医疗集团,医疗卫生行业,重庆开县人民医院,政府机关,滁州市法院,佛山市社保,案例:医疗行业,医院信息系统一般可分成两部分:一是满足管理要求的管理信息系统;二是满足临床医疗要求的临床信息系统。管理信息系统包括门诊挂号、门诊收费、住院登记、住院收费、设备管理、医务统计、辅助决策支持等系统。临床信息系统包括门诊医生工作站、病区医生工作站、病区护士工作站、合理用药系统、临床检验系统、医学影像系统、手术麻醉系统、重症监护系统等。,业务分布图,核心业务系统,一般业务系统,等保技术防护,通信网络,区域边界,计算环境(主机),计算环境(主机),计算环境(终端),计算环境(终端),通
12、信网络,区域边界,区域边界,网络审计系统,VPN,防火墙,入侵防御系统,防病毒网关,WAF,网页防篡改,服务器加固,安全补丁/防病毒,网络审计系统,防火墙,入侵防御系统,入侵检测系统,入侵检测系统,基于VLAN的ACL,基于VLAN的ACL,数据库审计系统,防火墙,服务器加固,安全补丁/防病毒,终端安全管理系统,安全补丁/防病毒,终端安全管理系统,安全补丁/防病毒,安全管理中心,身份认证系统,漏洞扫描系统,运维审计堡垒机,RAID,磁带库/虚拟带库,数据远程备份,防病毒服务器,补丁更新服务器,SOC安全运维监控平台,等级保护与东软安全产品,5,对应的安全产品,等级保护建设方案,技术要求,管理要
13、求,物理安全,网络安全,主机安全,应用安全,数据安全,访问控制,安全审计,边界完整性,恶意代码防护,身份鉴别,访问控制,可信路径,入侵防范,安全审计,恶意代码防护,入侵防范,身份鉴别,访问控制,可信路径,入侵防范,安全审计,FW/NISG,ESM/SOC,FW/NISG,NISG-IPS,IDS/NISG-IPS,NABH,FW/NISG,FW/NISG,FW/IPS/IDS,NABH/ESM/SOC,NISG-IPS,NIBH,FW/NISG,FW/NISG,NISG-IPS/WAF,ESM/NABH,资源控制与监控,SOC,FW:防火墙,IDS:入侵检测系统,NISG:下一代防火墙,NAB
14、H:身份认证管控系统,NISG-IPS:入侵防御系统,ESM:网络审计系统,WAF:WEB应用防火墙,SOC:安全运维监控系统,NIBC:上网行为管理,DBA:数据库审计系统,数据访问审计,DBA,.,16年商机前沿快报,6,16年等保商机,教育行业1、2016年教育部拨款30亿为全国75所直属985高校建设等级保护,今年内须全部建设完成。2、普通高校等级保护项目;,政府行业1、全国法院开展非涉密重要信息系统安全等级保护建设服务项目;系统名称:司法查控系统;2、检察院电子检务系统3、中央办公厅的直属机构省委机要局在大力开展安全可靠项目;4、财政电子支付平台(无纸化平台)安全建设项目,安全等级要达到三级;5、国税地税等保三级系统,东软在国税系统成功入围;6、国土资源局等级保护项目。,谢谢各位!,
