等級化安全體系設計與實踐

聯(lián)想信息安全每一天等級化安全體系設計與實踐聯(lián)想網(wǎng)御科技有限公司資深安全顧問主題2003年11月，發(fā)布27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文件）我國第一個全面關于信息安全保障工作的文件，是我國今后一段時期內信息安全保障工作的綱領性文件總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全

明確提出實行信息安全等級保護制度2004年9月，發(fā)布66號文件《關于信息安全等級保護工作的實施意見》（公通字[2004]66號文件）主要內容開展等級保護工作的重要意義等級保護制度的原則等級保護制度的基本內容等級保護工作職責分工實施等級保護工作的要求等級保護工作的實施計劃電子政務等級保護實施指南（試行）國信辦[2005]25號信息安全等級保護管理辦法（試行）公通字[2006]7號主題我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規(guī)和標準不完善安全人才缺乏技術整體上比較落后，嚴重依賴國外進口環(huán)境產(chǎn)業(yè)缺乏核心競爭力，競爭不夠有序產(chǎn)業(yè)有害信息、病毒和網(wǎng)絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅戰(zhàn)略目標：建設國家信息安全保障體系戰(zhàn)略方針：積極防御，綜合防范27號文件實行等級保護制度災備等基礎和支撐性工作國家的安全要求66號文件電子政務等級保護實施指南基本制度和根本方法等級化要求體系化要求我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規(guī)和標準不完善安全人才缺乏技術整體上比較落后，嚴重依賴國外進口環(huán)境產(chǎn)業(yè)缺乏核心競爭力，競爭不夠有序產(chǎn)業(yè)有害信息、病毒和網(wǎng)絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅安全保障水平較低，落后于業(yè)務與IT的發(fā)展水平，未能促進或阻礙了業(yè)務發(fā)展安全需要做到什么程度？需要多大的投資規(guī)模？如何建立公司級的安全整體機制？CEO安全都需要作什么？如何才能做到長治久安？如何分配安全投資？重點是什么？投資和建設的節(jié)奏和計劃？安全投資如何才能產(chǎn)生真正效果？CSO客戶的要求與應對等級化要求總體投資規(guī)模投資策略，突出重點體系化要求安全總體體系與機制安全目標與規(guī)劃有效性保障與運行具體的要求是什么？如何建設和維護？如何考核？執(zhí)行者等級化安全體系的提出等級化要求體系化要求27號文件66號文件電子政務等級保護實施指南公安部系列指南和標準國家的要求客戶的要求CEO的要求CSO的要求執(zhí)行者的要求等級化安全體系理念：等級化安全體系聯(lián)想網(wǎng)御安全理念定義內涵：依照國家等級保護制度，幫助客戶達到體系化的安全保障水平，采用體系化和等級化相結合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。等級化安全體系的特質關鍵組成部分：等級保護，安全體系設計方法：等級化、體系化相結合形成的等級化安全體系方法特質：整體性：結構化，系統(tǒng)化，內容全面等級化：突出重點，節(jié)省成本針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略可持續(xù)發(fā)展：框架相對穩(wěn)定，內容可持續(xù)發(fā)展和完善實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內容的安全保障體系，是安全工作所追求的最終目標兩者有效結合，形成等級化安全體系設計方法組織戰(zhàn)略和業(yè)務目標組織總體信息安全目標安全要求安全措施結構體體系化設計方法保護對象安全目標安全措施等級化等級化設計方法總體設計方法等級保護基本原理依據(jù)信息系統(tǒng)的使命與目標和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所面臨安全風險和實施安全措施的成本，通過調整和定制，形成不同等級的安全措施進行保護實行等級保護的目的滿足不同行業(yè)、信息化發(fā)展階段、不同層次的安全要求有利于突出重點有利于控制安全的成本等級化設計方法體系化設計方法什么是安全體系一組結構化的安全目標和措施用于表述組織的總體安全目標和實現(xiàn)。網(wǎng)絡基礎設施區(qū)域邊界計算環(huán)境安全保護對象框架安全基礎設施信息安全保障體系組織體系技術體系運作體系策略體系安全對策框架大型系統(tǒng)表述困難：規(guī)模龐大：應用眾多、地域廣闊、用戶龐大結構復雜：應用復雜并相關聯(lián)，網(wǎng)絡結構復雜，安全要求強度和差異化很大信息安全涵蓋內容極為廣泛層次眾多：從物理層－－到數(shù)據(jù)層，管理、組織、策略、運行生命周期：從評估、需求、設計、規(guī)劃、實施、運維，到持續(xù)改進體系的結構化框架相對固定，具有穩(wěn)定性；內容相對完整，并可根據(jù)發(fā)展補充和完善等級化安全體系方法整體安全目標分等級的保護對象框架體系建設和運行組織體系技術體系運作體系策略體系安全要求與對策框架客戶的信息資產(chǎn)定級分解國家規(guī)定的各等級安全要求定制分等級的安全目標等級化安全體系客戶安全工作的價值鏈評估體系規(guī)劃體系建設實施體系運行安全工作生命周期方案了解現(xiàn)狀價值確定目標和總體籠廓確定目標實現(xiàn)策略和途徑增強安全措施，解決安全問題維護體系運行，保障安全確定實現(xiàn)方法評估服務聯(lián)想提供產(chǎn)品服務體系設計服務規(guī)劃服務產(chǎn)品：自有產(chǎn)品外部采購產(chǎn)品服務：采購、實施、監(jiān)理服務咨詢服務(策略，體系推行，培訓)方案設計服務典型方案產(chǎn)品售后服務外包服務：定期評估監(jiān)控與分析常年咨詢體系更新和維護方案1：等級化安全體系解決方案方案2：等級保護一體化解決方案等級化安全體系的實施方案方案1：等級化安全體系解決方案適用范圍：大型和超大型客戶安全要求高、復雜，要求全價值鏈的服務和產(chǎn)品聯(lián)想提供咨詢、集成、產(chǎn)品、安全外包等全價值鏈的解決方案項目形式：咨詢項目－集成項目－外包項目方案2：等級保護一體化解決方案適用范圍：中小型客戶安全要求一般、相對簡單，要求部分價值鏈聯(lián)想提供精簡的咨詢、集成和產(chǎn)品的一體化解決方案項目形式：集成項目－售后服務實施過程第一階段：定級階段第二階段：規(guī)劃與設計階段第三階段：實施、評審與改進階段

定級方法確定應用系統(tǒng)的安全等級的基本方法是：通過確定系統(tǒng)保密性、完整性和可用性三個方面的安全級別來綜合確定系統(tǒng)的安全等級；系統(tǒng)定級公式：系統(tǒng)安全等級(A)＝Max{(系統(tǒng)保密性級別),(系統(tǒng)完整性級別),(系統(tǒng)可用性級別)}系統(tǒng)保密性級別＝Max{(各信息或服務的保密性級別)}系統(tǒng)完整性級別＝Max{(各信息或服務的完整性級別)}系統(tǒng)可用性級別＝Max{(各信息或服務的可用性級別)}安全規(guī)劃與設計選擇和調整安全措施運行監(jiān)控與改進持續(xù)監(jiān)控安全措施改進系統(tǒng)重新定級等級保護案例簡介佛山市南海區(qū)電子政務等級保護試點項目項目內容系統(tǒng)調查與評估南海等級化服務項目分域保護框架建設對象

資產(chǎn)調查總體安全建議

電子政務系統(tǒng)等級劃分

建議方案和管理規(guī)范應用與業(yè)務調查定級規(guī)范調查系統(tǒng)定級分域設計網(wǎng)絡調整方案安全組織管理辦法系統(tǒng)風險和安全措施調查評估加固方案體系和規(guī)劃建議項目報告項目成果－南海電子政務分域保護對象框架項目成果－電子政務系統(tǒng)等級劃分

－大社保系統(tǒng)平臺序號系統(tǒng)名稱三性安全等級系統(tǒng)安全等級保密性等級完整性等級可用性等級1南海區(qū)社會保險管理信息系統(tǒng)33332南海區(qū)民政局業(yè)務系統(tǒng)22223南海區(qū)社會保障（市民）卡業(yè)務系統(tǒng)22224大社保平臺數(shù)據(jù)中心系統(tǒng)23235南海區(qū)社會保險公共服務系統(tǒng)2222項目成果－電子政務系統(tǒng)等級劃分

序號系統(tǒng)名稱三性安全等級系統(tǒng)安全等級保密性等級完整性等級可用性等級1南海區(qū)基金收費非稅收入系統(tǒng)23232南海區(qū)會計結算中心業(yè)務系統(tǒng)23233獅山鎮(zhèn)財務結算中心系統(tǒng)22224南海區(qū)統(tǒng)計局基層統(tǒng)計系統(tǒng)2222實施的解決方案的內容項目成果－總體安全建議等級保護案例簡介某大型通信企業(yè)等級化安全體系咨詢項目等級化安全體系解決方案設計流程保護對象公司部門系統(tǒng)計算區(qū)域網(wǎng)絡基礎設施邊界核心服務器區(qū)域終端接入?yún)^(qū)域第三方接入?yún)^(qū)域安全目標公司安全目標部門安全建設目標系統(tǒng)安全建設目標安全要求機密性完整性可用性安全組織安全策略安全運作安全技術安全措施策略解決方案項目內容

安全評估與等級劃分公司安全體系設計公司等級化安全體系設計安全組織體系安全運作體系安全規(guī)劃安全策略試點工作3年安全規(guī)劃公司全面深度安全評估網(wǎng)管系統(tǒng)安全域劃分及原則規(guī)范網(wǎng)管系統(tǒng)等級劃分及原則規(guī)范成果－安全工作總體思路1.公司安全的使命和目標-得到安全目標我們的方向是什么？3.安全現(xiàn)狀4.關鍵舉措和重點工作-得到總體框架和籠廓我們做什么？做成什么樣子？-得到工作計劃和實施規(guī)劃我們怎么做？2.安全體系總體框架5.實施策略選擇6.工作計劃7.建設實施8.安全運營和持續(xù)改進現(xiàn)在，我們開始作成果－安全域劃分（一期）項目成果—安全域劃分（二期）成果－等級化安全體系的實現(xiàn)安全支撐系統(tǒng)和基礎設施第三方統(tǒng)一安全接入平臺安全研究與測試實驗室第三方統(tǒng)一安全接入平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一鑒別認證平臺終端管理和防病毒集中管理平臺第三方統(tǒng)一安全接入平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一身份鑒別認證平臺終端管理和防病毒集中管理平臺安全管理運行中心全網(wǎng)安全域劃分與邊界整合網(wǎng)絡安全性調整和改造安全體系核查與改造項目技術體系安全組織體系和崗位職責安全培訓與資質認證組織體系安全策略體系和流程梳理安全策略與流程推廣實施策略體系體系推廣與常年安全咨詢運作體系常年安全外包服務保護對象框架成果－安全組織體系主管領導（主管安全）領導小組組長信息安全領導小組業(yè)務部門負責人成員安全部門負責人工作組組長管理部門負責人成員部門安全管理員成員部門安全管理員成員安全辦公室負責人負責人安全管理員信息安全工作組信息安全辦公室成果－安全策略體系信息安全方針管理規(guī)定工作流程安全組織人員職責信息安全體系公司層面部門安全工作管理辦法部門安全組織人員職責部門層面工作表單運行維護計劃應急響應計劃系統(tǒng)層面安全措施安全要求策略體系技術體系運作體系組織體系公司部門系統(tǒng)公司部門系統(tǒng)安全目標防病毒監(jiān)控審計認證第三方統(tǒng)一接入安全域公司層面訪問控制訪問控制訪問控制主機安全邊界隔離數(shù)據(jù)庫安全應用安全安全域邊界隔離系統(tǒng)層面成果－安全運行體系安全目標要求PLAN：安全目標要求—安全現(xiàn)狀安全計劃（建設；維護…）

Do：安全項目建設安全維護作業(yè)1、更新資產(chǎn)補丁\拓撲\服務等狀態(tài)2、安全事件通報….3、安全加固4、更新安全現(xiàn)狀和安全目標要求差距5、其他…..Check：日常安全檢查周期性安全評估1、檢查安全目標要求的完成狀態(tài)2、評估安全狀況（資產(chǎn)狀態(tài)；弱點狀態(tài)），3、安全現(xiàn)狀是否符合可控安全環(huán)境Action：調整安全目標要求規(guī)劃安全項目績效考核各部門、安全管理員成果－建設規(guī)劃安全組織體系和崗位職責安全培訓與資質認證安全策略體系和流程梳理安全研究與測試實驗室第三方統(tǒng)一安全接入平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一鑒別認證平臺終端管理和防病毒集中管理平臺全網(wǎng)安全域劃分與邊界整合安全管理運行中心安全策略與流程推廣實施常年安全咨詢與外包服務網(wǎng)絡安全性調整和改造安全體系核查與改造項目組織體系建設策略體系建設運作體系建設安全規(guī)劃安全調查與風險評估保護對象框架設計定級等級化安全體系設計方案設計等級評測材料準備和等級認證一個評估和定級項目一個體系和規(guī)劃項目系列集成建設項目，3年系列咨詢和外包項目，3年定級階段規(guī)劃階段實施階段評審驗收體系推廣與常年安全咨詢公司安全辦公室

6