從威脅、目標(biāo)和能力分析等級(jí)保護(hù)的安全整改和運(yùn)維

從威脅、目標(biāo)和能力分析等級(jí)保護(hù)的安全整改和運(yùn)維服務(wù)提升價(jià)值領(lǐng)航信息平安啟明星辰平安技術(shù)最正確實(shí)踐廣州分公司鄧景云信息平安存在的問題偏重產(chǎn)品，無視體系和管理。重視外部攻擊與入侵，無視內(nèi)部的非法行為缺乏信息平安風(fēng)險(xiǎn)意識(shí)，平安投入盲目一勞永逸的錯(cuò)誤觀念，無視信息平安是個(gè)動(dòng)態(tài)的過程威脅趨勢(shì)愈演愈烈等級(jí)保護(hù)之為什么Why1994年，?中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)保護(hù)，平安等級(jí)的劃分標(biāo)準(zhǔn)和平安等級(jí)保護(hù)的具體方法，由公安部會(huì)同有關(guān)部門制定〞。1995年2月18日人大12次會(huì)議通過并實(shí)施的?中華人民共和國警察法?第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的平安保護(hù)工作〞?！梢罁?jù)。1999年，強(qiáng)制性國家標(biāo)準(zhǔn)－?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?GB17859〕2003年，中辦、國辦轉(zhuǎn)發(fā)的?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見?〔中辦發(fā)[2003]27號(hào)〕明確指出“實(shí)行信息平安等級(jí)保護(hù)〞?！耙攸c(diǎn)保護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級(jí)保護(hù)制度，制定信息平安等級(jí)保護(hù)的管理方法和技術(shù)指南〞。2004年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了?關(guān)于信息平安等級(jí)保護(hù)工作的實(shí)施意見?〔66號(hào)文件〕2006年1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了?信息平安等級(jí)保護(hù)管理方法?〔公通字[2006]7號(hào)〕……分級(jí)保護(hù)信息平安標(biāo)準(zhǔn)AS/NZS4360:1999風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)ISO/IEC13335IT平安管理指南ISO/IEC17799:2005信息平安管理最正確實(shí)踐指南ISO/IEC27001:2005信息平安管理體系標(biāo)準(zhǔn)ISO/IEC15408/GB18336CCIATF信息保障技術(shù)框架SSE-CMM系統(tǒng)平安工程能力成熟度模型公安部等級(jí)保護(hù)指南?信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)指南?參考ISO13335?信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南?參考ISO13335、IATF、SSE-CMM?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?參考ISO15408、7799參考?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)那么?ISO13335中的風(fēng)險(xiǎn)管理模型威脅漏洞資產(chǎn)價(jià)值需求控制風(fēng)險(xiǎn)利用存在抵御引發(fā)增加增加增加擁有需要最精簡的風(fēng)險(xiǎn)管理３要素定級(jí)保護(hù)輪廓技術(shù)體系管理體系不同級(jí)別威脅不同風(fēng)險(xiǎn)立方體-RiskCube資產(chǎn)威脅措施〔平安能力〕平安目標(biāo)風(fēng)險(xiǎn)立方體中的平安工作資產(chǎn)威脅措施〔平安能力〕電子客票系統(tǒng)社保網(wǎng)上系統(tǒng)〔2級(jí)〕互聯(lián)網(wǎng)攻擊互聯(lián)網(wǎng)防入侵FW,IDS,IPS,防SQL注入平安目標(biāo)O2-25.應(yīng)具有能夠檢測(cè)對(duì)網(wǎng)絡(luò)的各種攻擊并記錄其活動(dòng)的能力O2-26.應(yīng)具有發(fā)現(xiàn)所有漏洞并及時(shí)修補(bǔ)的能力O2-27.應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行控制的能力風(fēng)險(xiǎn)立方體中的平安工作資產(chǎn)威脅措施〔平安能力〕硬件設(shè)備網(wǎng)絡(luò)線路機(jī)房〔2級(jí)〕自然災(zāi)難電子屏蔽室、防火器、避雷設(shè)備火警裝置等平安目標(biāo)O2-2.應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)備被破壞的能力O2-3.應(yīng)具有防水和防潮的能力O2-4.應(yīng)具有滅火的能力O2-5.應(yīng)具有檢測(cè)火災(zāi)和報(bào)警的能力等級(jí)保護(hù)之五級(jí)監(jiān)管等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查威脅分類不同級(jí)別對(duì)抗的威脅的種類不同；對(duì)于同類威脅，不同級(jí)別對(duì)抗的具體威脅的破壞能力也不同。平安目標(biāo)不同。威脅和目標(biāo)等保三級(jí)：1〕防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體(如一個(gè)商業(yè)情報(bào)組織或犯罪組織等)，擁有較為豐富資源(包括人員能力、計(jì)算能力等)的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難以及其他相當(dāng)危害程度的威脅〔內(nèi)部人員的惡意威脅，設(shè)備較為嚴(yán)重的故障〕所造成的主要資源損害。2〕能夠及時(shí)發(fā)現(xiàn)平安漏洞和平安事件；3〕在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大局部功能。等保二級(jí)：1〕小型組織、少量資源〔個(gè)人能力、公開可獲得或特定開發(fā)的工具〕、一般自然災(zāi)難、以及其它相當(dāng)危害程度〔無意失誤、設(shè)備故障等〕。2〕能夠發(fā)現(xiàn)；3〕一段時(shí)間內(nèi)恢復(fù)局部內(nèi)容。根本要求的保障措施某級(jí)系統(tǒng)物理平安根本技術(shù)要求根本管理要求根本要求網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理從風(fēng)險(xiǎn)立方體分析落實(shí)等保資產(chǎn)威脅措施〔平安能力〕平安目標(biāo)二級(jí)信息系統(tǒng)對(duì)抗能力2恢復(fù)能力2威脅形態(tài)2平安目標(biāo)2根本要求2等級(jí)保護(hù)之怎么How落實(shí)等保整改、運(yùn)維的解決方案階段一：平安評(píng)估，建立等保保護(hù)輪廓，提供整改依據(jù)階段二：平安域改造，滿足等保根本要求，建設(shè)保障框架階段三：平臺(tái)建設(shè)，等保長期持續(xù)監(jiān)控，建立運(yùn)維體系第一階段：平安評(píng)估意義：2003年7月,中辦發(fā)[2003]27號(hào)文件對(duì)開展信息平安風(fēng)險(xiǎn)評(píng)估工作提出了明確的要求。工作內(nèi)容行業(yè)信息平安保障要求風(fēng)險(xiǎn)評(píng)估/自評(píng)估兩個(gè)層面、三個(gè)緯度技術(shù)層面：網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用管理層面：人員機(jī)構(gòu)、制度流程、物理環(huán)境啟明星辰風(fēng)險(xiǎn)評(píng)估技術(shù)開展全國人大風(fēng)險(xiǎn)評(píng)估工程、國家統(tǒng)計(jì)局網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中國石油天然氣集團(tuán)信息網(wǎng)絡(luò)平安風(fēng)險(xiǎn)評(píng)估工程中國建設(shè)銀行總行網(wǎng)上銀行效勞器平安評(píng)估工程中國人民銀行評(píng)估標(biāo)準(zhǔn)及試點(diǎn)、廣東移動(dòng)平安評(píng)估效勞2021啟明星辰風(fēng)險(xiǎn)評(píng)估與管理模型平安評(píng)估預(yù)期的效果四個(gè)識(shí)別：資產(chǎn)、威脅、保護(hù)措施、平安差距體系設(shè)計(jì)差距評(píng)估體系執(zhí)行差距評(píng)估了解安全現(xiàn)狀找出安全差距明確安全需求第二階段：平安域改造工作內(nèi)容平安域劃分網(wǎng)絡(luò)優(yōu)化產(chǎn)品部署平安域策略部署制定：美國國家平安局〔NSA〕啟明星辰“3＋1〞平安域模型域域資產(chǎn)結(jié)構(gòu)化-平安域平安域方法歸根到底就是用結(jié)構(gòu)將微觀的大量資產(chǎn)和其他平安要素，有序地展現(xiàn)在宏觀層面廣義的平安域概念是具有相同和相似的平安要求和策略的IT要素的集合。IT要素包括：物理環(huán)境、網(wǎng)絡(luò)區(qū)域、主機(jī)和系統(tǒng)、業(yè)務(wù)和使命、策略和流程、人和組織電力系統(tǒng)二次安防的思路平安域的樹型結(jié)構(gòu)示意53243253444333534A1223333155544333555I13233331外聯(lián)網(wǎng)接入?yún)^(qū)支撐設(shè)施域互聯(lián)網(wǎng)接入?yún)^(qū)邊界接入域核心計(jì)算區(qū)某行安全域總體設(shè)計(jì)重要服務(wù)區(qū)對(duì)外服務(wù)單元計(jì)算環(huán)境域網(wǎng)絡(luò)設(shè)施域一般服務(wù)區(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)部網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)管理區(qū)安全管理區(qū)操作監(jiān)控區(qū)網(wǎng)絡(luò)接入?yún)^(qū)網(wǎng)絡(luò)匯集區(qū)網(wǎng)絡(luò)骨干區(qū)邊界接入單元內(nèi)部涉密單元樓層接入單元人行銀聯(lián)單元中間業(yè)務(wù)單元核心業(yè)務(wù)單元核心管理單元核心辦公單元業(yè)務(wù)前置單元網(wǎng)銀前置單元信息服務(wù)單元辦公服務(wù)單元分行業(yè)務(wù)接入分行辦公接入認(rèn)證鑒別單元檢測(cè)響應(yīng)單元安管中心單元其它服務(wù)單元55544333555C13233331432455455其它企業(yè)平安域案例**平安域部署案例**平安域部署案例**平安域部署案例運(yùn)營商內(nèi)部信息通信網(wǎng)、網(wǎng)管網(wǎng)、業(yè)務(wù)支撐系統(tǒng)**平安域部署案例**平安域部署案例**平安域部署案例平安域改造的預(yù)期效果IT系統(tǒng)的公交線路圖理順網(wǎng)絡(luò)結(jié)構(gòu)結(jié)構(gòu)化安全建設(shè)，有機(jī)結(jié)合產(chǎn)品和服務(wù)落實(shí)等?；疽螅〗档驼w風(fēng)險(xiǎn)，加強(qiáng)IT內(nèi)控實(shí)效性等保的成果如何看得見？鳥瞰圖第三階段：平臺(tái)建設(shè)工作內(nèi)容SOC部署平安事件采集平安事件綜合分析資產(chǎn)和域管理風(fēng)險(xiǎn)監(jiān)控管理脆弱性管理平安域拓?fù)涔芾砥桨灿虿呗怨芾順I(yè)務(wù)數(shù)據(jù)流管理平安響應(yīng)管理自身平安管理定制開發(fā)實(shí)時(shí)監(jiān)控的可視化顯示實(shí)時(shí)監(jiān)控內(nèi)容監(jiān)控對(duì)象、事件類型、風(fēng)險(xiǎn)級(jí)別〔5級(jí)〕、發(fā)生時(shí)間、源地址、目標(biāo)地址、協(xié)議類型、時(shí)間間隔等顯示方式拓?fù)滏溄訄DGIS地理圖交互式圖表設(shè)備狀態(tài)視圖平安管理平臺(tái)成為檢測(cè)和響應(yīng)能力的匯總點(diǎn)平臺(tái)建設(shè)的預(yù)期效果決策層面從業(yè)務(wù)風(fēng)險(xiǎn)層面理解安全事件計(jì)算和跟蹤安全投資回報(bào)率運(yùn)營層面準(zhǔn)確分析現(xiàn)有系統(tǒng)的威脅確定安全事件的優(yōu)先順序理順安全事件管理的流程技術(shù)層面集中管理不同的安全設(shè)備綜合分析分布的安全報(bào)警形成完整的安全保障體系安全設(shè)備事件及告警統(tǒng)一監(jiān)控等保成果的可視化！“泰合平臺(tái)〞局部成功案例國家某局全國監(jiān)測(cè)數(shù)據(jù)處理中心大型平臺(tái)類工程超過10個(gè)!某客戶使用“泰合平臺(tái)〞的實(shí)景醫(yī)療行業(yè)等保運(yùn)維的特點(diǎn)—HIS系統(tǒng)的內(nèi)控健全紀(jì)檢監(jiān)察制度加強(qiáng)密碼管理授權(quán)控制信息查詢功能模塊后臺(tái)數(shù)據(jù)庫審計(jì)監(jiān)控醫(yī)療行業(yè)等保運(yùn)維的特點(diǎn)—HIS系統(tǒng)的內(nèi)控啟明星辰如何實(shí)現(xiàn)通過天玥業(yè)務(wù)網(wǎng)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫操作的記錄和審計(jì)查詢，以此手段有效地監(jiān)控任何對(duì)數(shù)據(jù)庫訪問的行為并對(duì)可疑的數(shù)據(jù)庫查詢操作做回放并記錄，以此追蹤、威懾醫(yī)藥代表的統(tǒng)方行為，并可通過數(shù)據(jù)庫瀏覽工具，將查詢命令的操作結(jié)果直觀反映到數(shù)據(jù)庫上。醫(yī)療行業(yè)等保運(yùn)維的特點(diǎn)—HIS系統(tǒng)的內(nèi)控總體要求對(duì)HIS〔醫(yī)院管理信息系統(tǒng)〕系統(tǒng)后臺(tái)數(shù)據(jù)庫的訪問行為進(jìn)行審計(jì)并回放，并將審計(jì)命令反映為數(shù)據(jù)庫操作結(jié)果以便監(jiān)察部門查閱環(huán)境現(xiàn)狀醫(yī)務(wù)人員使用科室HIS系統(tǒng)的查詢模塊，或信息中心管理人員直接使用數(shù)據(jù)庫查詢分析工具〔PowerBuilder、SQL查詢分析器等〕執(zhí)行查詢指令醫(yī)療行業(yè)等保運(yùn)維的特點(diǎn)—HIS系統(tǒng)的內(nèi)控?cái)?shù)據(jù)庫類型MSSQLServer、Oracle、Sybase行業(yè)特殊需求對(duì)所有類型HIS系統(tǒng)數(shù)據(jù)庫的訪問操作進(jìn)行旁路審計(jì)并實(shí)時(shí)跟蹤回放可自定義具有業(yè)務(wù)特征的策略庫，對(duì)符合審計(jì)策略的操作可記錄、查詢、報(bào)表、報(bào)警審計(jì)結(jié)果需要翻譯成監(jiān)察部門的非專業(yè)人員可讀格式，并將指令反映為數(shù)據(jù)庫操作案例：長城資產(chǎn)等級(jí)保護(hù)工程用戶背景：

中國長城資產(chǎn)管理公司(以下簡稱長城資產(chǎn)管理)是經(jīng)中國政府批準(zhǔn)成立的，具有獨(dú)立法人資格的國有獨(dú)資金融企業(yè)，公司注冊(cè)資本金100億元人民幣，由國家財(cái)政部全額撥入，長城資產(chǎn)管理在全國30個(gè)省市設(shè)有分支機(jī)構(gòu)。合作內(nèi)容啟明星辰與長城資產(chǎn)的合作內(nèi)容：一期的平安等級(jí)劃分和風(fēng)險(xiǎn)評(píng)估；二期的等級(jí)保護(hù)整改，包括平安域規(guī)劃建設(shè)；二期的平安管理平臺(tái)設(shè)計(jì)建設(shè)。本工程中涉及的主要工作內(nèi)容有：對(duì)長城資產(chǎn)管理現(xiàn)有的平安措施做出合理判斷和評(píng)價(jià)。完成等級(jí)保護(hù)的定級(jí)工作的同時(shí)完成平安風(fēng)險(xiǎn)評(píng)估。實(shí)現(xiàn)對(duì)現(xiàn)有防火墻、防病毒、入侵檢測(cè)和補(bǔ)丁管理系統(tǒng)等網(wǎng)絡(luò)平安防護(hù)設(shè)備的統(tǒng)一數(shù)據(jù)采集和綜合分析。二期工程中實(shí)現(xiàn)平安域劃分、多種平安設(shè)備的事件集中管理和平安風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控。邏輯關(guān)系SMCBlade_02數(shù)據(jù)庫Blade_01SIMSBlade_03顯示終端網(wǎng)絡(luò)行為監(jiān)控脆弱性掃描交換機(jī)路由器效勞器防火墻平安網(wǎng)關(guān)入侵檢測(cè)漏洞信息：日志信息：訪問信息：展示信息：SOC域大屏幕顯示全國辦事處部署圖全國共部署31個(gè)辦事處，信息分別在各辦事處EC匯總，后統(tǒng)一送往總部SIMS效勞器存入總部數(shù)據(jù)庫。總部SOC域北京辦河北辦天津辦上海辦可識(shí)－豐富的拓?fù)湔故镜燃?jí)保護(hù)基線管理差距分析客戶評(píng)價(jià)長城資產(chǎn)公司信息技術(shù)部總經(jīng)理這樣評(píng)價(jià)：

“部署平臺(tái)之后公司有效響應(yīng)和貫徹了公安部信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)的要求，協(xié)助公司進(jìn)一步提升信息平安水平，保障業(yè)務(wù)的良好運(yùn)行。

同時(shí)，利用平臺(tái)的建設(shè)實(shí)踐到達(dá)了對(duì)信息平安風(fēng)險(xiǎn)的‘可知-可識(shí)-可知識(shí)’管理，使信息系統(tǒng)的平安風(fēng)險(xiǎn)處于‘可識(shí)、可視、可管、可控’之中〞。啟明星辰簡介領(lǐng)導(dǎo)的關(guān)心2000年1月，江澤民、李嵐清、曾慶紅等黨和國家領(lǐng)導(dǎo)人親切視察啟明星辰公司2003年1月，胡錦濤總書記親切接見啟明星辰公司CEO嚴(yán)望佳博士今天的啟明星辰公司擁有國際一流的攻防技術(shù)研究團(tuán)隊(duì)，是專業(yè)平安產(chǎn)品、解決方案和效勞提供商員工超過700名，是國家級(jí)網(wǎng)絡(luò)平安技術(shù)研發(fā)基地，設(shè)有網(wǎng)絡(luò)平安博士后工