信息安全等級保護與整體解決方案.ppt

1、信息安全等級保護與 等級化安全體系解決方案,INDEX,網(wǎng)絡(luò)安全與信息安全 信息安全等級保護 等級化安全體系解決方案,網(wǎng)絡(luò)安全與信息安全,安全定義 安全基本要求 安全技術(shù)體系 安全模型,安全定義,防止任何對數(shù)據(jù)進行未授權(quán)訪問的措施，或者造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生，讓數(shù)據(jù)處于遠離危險、免于威脅的狀態(tài)或特性。 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)的組成方式、拓撲結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用 信息安全：信息的來源、去向，內(nèi)容的真實無誤及保證信息的完整性，信息不會被非法泄露擴散保證信息的保密性,安全基本要求,完整性：（Integrity）擁有的信息是否正確；保證信息從真實的信源發(fā)往真實的信宿，傳輸、存儲、處理中未被刪改

2、、增添、替換。 機密性：（Confidentiality）誰能擁有信息，保證國家秘密和敏感信息僅為授權(quán)者享有 可用性：（Availability ）信息和信息系統(tǒng)是否能夠使用保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。 可控性：（Controllability）是否能夠監(jiān)控管理信息和系統(tǒng)保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理。 不可否認性：（Non-repudiation）為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認其信息行為。,安全技術(shù)體系,物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全； 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性； 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵

3、檢測、掃描評估； 應(yīng)用安全技術(shù)：Email 安全、Web 訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全； 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實現(xiàn)身份認證和數(shù)據(jù)信息的CIA 特性； 認證授權(quán)技術(shù)：口令認證、SSO 認證（例如Kerberos）、證書認證等； 訪問控制技術(shù)：防火墻、訪問控制列表等； 審計跟蹤技術(shù)：入侵檢測、日志審計、辨析取證； 防病毒技術(shù)：單機防病毒技術(shù)逐漸發(fā)展成整體防病毒體系； 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份。,安全模型P2DR,P2DR模型,安全模型-PDRR,信息安全 保障體系,PDRR模型圖,INDEX,網(wǎng)絡(luò)安全與信息安全 信息安全等級保護 等級化安全體系解決方案

4、,信息安全等級保護,對等級保護政策的理解 信息系統(tǒng)劃分 信息系統(tǒng)定級 等級化安全保障體系設(shè)計流程 等級化安全保障體系的基本框架,對等級保護的理解,等級保護是我國信息安全領(lǐng)域的一項基本政策 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例的發(fā)布 1999年，計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999發(fā)布 2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號文） 2004年，四部委(公安部、國家保密局、國家密碼管理局、國信辦)聯(lián)合簽發(fā)了關(guān)于信息安全等級保護工作的實施意見 （公通字200466號文） 國務(wù)院信息化工作辦公

5、室發(fā)布電子政務(wù)信息安全等級保護實施指南（試行）,對等級保護的理解（續(xù)一）,等級保護是我國信息安全領(lǐng)域的一項基本政策 2005年12月，國家保密局發(fā)布涉及國家秘密的信息系統(tǒng)分級保護管理辦法、涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 2005年12月，公安部信息系統(tǒng)安全等級保護實施指南、信息系統(tǒng)安全等級保護定級要求、信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評準則（GB送審稿陸續(xù)出臺） 2006年3月開始實施的公安部、國家保密局、國家密碼管理局、國信辦四部委（局辦）發(fā)布7號文 等級保護管理辦法,對等級保護的理解（續(xù)二）,等級保護的核心是將傳統(tǒng)的定性設(shè)計逐步進化為定量的安全保障設(shè)計 對信息系

6、統(tǒng)實施不同等級的安全保護 對信息系統(tǒng)中使用的安全產(chǎn)品實施分等級管理 對信息系統(tǒng)發(fā)生的安全事件分等級響應(yīng)和處置,對等級保護的理解（續(xù)三）,等級保護體現(xiàn)了差異化的安全保障思想 由系統(tǒng)使命決定系統(tǒng)的等級，充分考慮業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性 結(jié)合基本要求，并依據(jù)風(fēng)險評估的結(jié)果對安全保護措施進行調(diào)整 對3級及以上系統(tǒng)實施相應(yīng)的監(jiān)督和管理 對涉及國家安全、經(jīng)濟建設(shè)、社會穩(wěn)定等方面的重要信息系統(tǒng)重點保護 對于涉及國家秘密的信息系統(tǒng) 規(guī)范定密，準確定級；依據(jù)標準，同步建設(shè)；突出重點，確保核心；明確責(zé)任，加強監(jiān)督 涉及國家秘密的信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分為秘密級、機密級(一般和增強)和絕

7、密級三個級別，其總體防護水平分別不低于三級、四級、五級的要求,信息系統(tǒng)的劃分,信息系統(tǒng)的概念有大有小，在工程實踐中，過大的劃分不利于對信息進行有針對性的保護，因此需要對信息系統(tǒng)進行有效的劃分 信息系統(tǒng)的劃分原則是相同的管理機構(gòu)、相同的業(yè)務(wù)類型、相同的物理位置或相似的運行環(huán)境 【公安部信息系統(tǒng)安全保護等級定級指南】,信息系統(tǒng)的劃分（續(xù)一）,信息系統(tǒng)的劃分可以從安全區(qū)域、業(yè)務(wù)系統(tǒng)和保護對象三個不同角度進行： 安全區(qū)域側(cè)重從物理區(qū)域進行劃分，比如核心區(qū)、接入?yún)^(qū)；用戶區(qū)、管理區(qū)；外網(wǎng)、接入網(wǎng)、內(nèi)網(wǎng)等，其優(yōu)點是劃分相對容易，缺點是粒度較粗 業(yè)務(wù)系統(tǒng)側(cè)重從應(yīng)用系統(tǒng)進行劃分，優(yōu)點是粒度較細，缺點是實際操作比

8、較困難，當然也可以考慮幾個業(yè)務(wù)系統(tǒng)的組合 保護對象則綜合了安全區(qū)域和業(yè)務(wù)系統(tǒng)兩種方法的優(yōu)點，既考慮了信息系統(tǒng)的信息流向、業(yè)務(wù)流程,也考慮了信息系統(tǒng)的物理歸屬,信息系統(tǒng)的劃分（續(xù)二）,保護對象實質(zhì)是風(fēng)險評估的資產(chǎn)劃分模型； 安全區(qū)域?qū)嵸|(zhì)是具有類似安全要求的物理位置劃分模型； 保護對象側(cè)重在風(fēng)險評估； 安全區(qū)域側(cè)重在邊界防護； 風(fēng)險評估是等級保護的基礎(chǔ)組成部分；邊界保護相反只是措施而已； 保護對象與安全域并不矛盾，它們是兩種不同的分類法，在具體的操作時，原則是：已有系統(tǒng)采用保護對象設(shè)計方法；新建系統(tǒng)采用安全區(qū)域設(shè)計方法。 新建系統(tǒng)先網(wǎng)絡(luò)后應(yīng)用； 已有系統(tǒng)先應(yīng)用后網(wǎng)絡(luò)；,信息系統(tǒng)的劃分（續(xù)三）,政務(wù)

9、專網(wǎng),互聯(lián)網(wǎng),核心數(shù)據(jù) 區(qū),業(yè)務(wù)服務(wù) 器區(qū),網(wǎng)絡(luò)管理 區(qū),辦公服務(wù) 器區(qū),機關(guān)辦公 區(qū),WEB服務(wù) 區(qū),機關(guān)工作 區(qū),政務(wù)專網(wǎng),政務(wù)外網(wǎng),信息系統(tǒng)的定級,信息系統(tǒng)所屬類型,業(yè)務(wù)信息類型,信息系統(tǒng)服務(wù)范圍,業(yè)務(wù)依賴程度,業(yè)務(wù)信息安全性取值,業(yè)務(wù)服務(wù)保證性取值,業(yè)務(wù)服務(wù)保證性等級,1. 賦值,選擇調(diào)節(jié)因子,業(yè)務(wù)子系統(tǒng)安全保護等級,2. 確定兩個指標等級,業(yè)務(wù)信息安全性等級,3 確定業(yè)務(wù)子系統(tǒng)等級,信息系統(tǒng)安全保護等級,4. 確定信息系統(tǒng)等級,其它業(yè)務(wù)子系統(tǒng),來源信息系統(tǒng)安全保護等級定級指南,信息系統(tǒng)定級(電子政務(wù)),信息系統(tǒng)定級(電子政務(wù)),某個電子政務(wù)系統(tǒng)（假設(shè)其名稱為A）的安全等級可以表示為：

10、 安全等級(A)Max (系統(tǒng)保密性等級) ,(系統(tǒng)完整性等級),(系統(tǒng)可用性等級) 其中： 系統(tǒng)保密性等級Max (各信息或服務(wù)的保密性等級) 系統(tǒng)完整性等級Max (各信息或服務(wù)的完整性等級) 系統(tǒng)可用性等級Max (各信息或服務(wù)的可用性等級) ,信息系統(tǒng)的定級（續(xù)）,信息系統(tǒng)的安全保護等級劃分,信息系統(tǒng)的定級（續(xù)一）,信息安全等級保護與涉密信息系統(tǒng)分級保護對照表,信息系統(tǒng)的定級（續(xù)二）,非涉密信息系統(tǒng)的定級按照信息系統(tǒng)安全保護等級定級指南進行級別劃分 根據(jù)公安部、國家保密局、國家密碼管理局、國信辦四部委（局辦）7號文第17條“涉及國家秘密的信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分為

11、秘密級、機密級和絕密級三個級別，其總體防護水平分別不低于三級、四級、五級的要求” 可以得出一個信息系統(tǒng)的級別至少應(yīng)該為3級以上，才能稱得上是一個涉密系統(tǒng)。然后根據(jù)信息的安全屬性確定屬于秘密、機密和絕密中的哪一種。同時依據(jù)涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求中的辦法進行等級確定和安全措施的確定,等級化安全保障體系設(shè)計流程,信息系統(tǒng)的劃分 與定級,安全需求,安全保障體系,安全解決方案,風(fēng)險評估,等級保護 政策、標準、指南,安全規(guī)劃,安全產(chǎn)品分級,安全事件分級,系統(tǒng)運行,影響等級,基本安全要求,等級化安全保障體系的基本框架,INDEX,網(wǎng)絡(luò)安全與信息安全 信息安全等級保護 等級化安全體系解決方案,

12、等級化安全體系解決方案,安全體系規(guī)劃 安全解決方案設(shè)計 等級保護安全措施的實施 運行的監(jiān)控與改進 等級化安全體系設(shè)計流程 等級化安全體系解決方案,安全體系規(guī)劃,安全需求分析 安全現(xiàn)狀和等級要求之間的差距 安全項目規(guī)劃 對安全項目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進行分析，確定實施的先后順序 安全工作規(guī)劃 確定安全工作的宗旨、遠期安全工作目標和當年目標、關(guān)鍵和重點的工作，并分析潛在的風(fēng)險和障礙、所需的資源和預(yù)算 進行實施策略選擇，確定當年的安全工作計劃和等級保護項目建設(shè)計劃 以此來讓等級保護的建設(shè)和運行能夠融入到日常的安全管理和運維工作當中去，來確保等級保護工作落到實處。,安全解決方案設(shè)

13、計,與用戶實際需求的交流 安全分層 網(wǎng)絡(luò)安全設(shè)計方案要點,與用戶實際需求的交流,1.用戶的組織機構(gòu)，信息化的現(xiàn)狀，現(xiàn)有的硬件設(shè)備、網(wǎng)絡(luò)情況、正在使用的軟件系統(tǒng)情況； 2.新系統(tǒng)的規(guī)劃、目標、規(guī)模，要求等，包括用戶對系統(tǒng)的安全性、可靠性、易用性、擴展性的要求； 3.業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程系統(tǒng)的現(xiàn)狀，軟件功能需求； 4.平臺和數(shù)據(jù)庫的選型； 5.信息安全、存儲的需求； 6.對軟件開發(fā)機制的認識； 7.用戶感興趣的熱點技術(shù)；,安全分層,網(wǎng)絡(luò)安全設(shè)計方案要點,公司背景簡介 安全風(fēng)險分析 解決方案 實施方案 技術(shù)支持和服務(wù)承諾 產(chǎn)品報價 產(chǎn)品介紹 第三方檢測報告 安全技術(shù)培訓(xùn),等級保護安全措施的實施,依據(jù)安全解決方案進行工程實施 包括安全管理措施建設(shè)和安全技術(shù)措施建設(shè),安全管理 措施建設(shè),安全技術(shù) 措施建設(shè),安全措施的實施,安全解決方案,運行的監(jiān)控與改進,持續(xù)監(jiān)控 安全措施改進 系統(tǒng)重新定級,系統(tǒng)變化,風(fēng)險變化,等級保護 運行狀況,運行監(jiān)控,安全措施改進,重大變化？,等 級 保 護 過 程,定級,否,是,PDCA循環(huán),PLAN： 安全目標要求安全現(xiàn)狀 = 各保護對象安全計劃（建設(shè)；維護）,Do： 安全項目建設(shè) 安全維護作業(yè) 可控安全環(huán)境 1、更新資產(chǎn)補丁拓撲服務(wù)等狀態(tài) 2、安全事件通報. 3、安全加固 4、更新安全現(xiàn)狀和安