等级保护建设思路及HC解决方案V.ppt

等级等级保护建设思路及保护建设思路及H3CH3C解决方案解决方案密级:公开杭州华三通信技术有限公司日期:2008年4月15日2信息安全等级保护政策H3C等级保护建设思路H3C等级保护解决方案H3C安全产品线简介3信息安全等级保护政策简介??信息安全等级化保护信息安全等级化保护(以下简称等保)定义定义-等保是指国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。-等保将信息系统的安全等级分为5级,1级最低,5级最高。目前已经确定等级的为电子政务内网要达到4级保护要求,外网要达到3级保护要求。??等保工作的重要性等保工作的重要性-信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。……是信息安全保障工作中国家意志国家意志的体现。-引自2007年7月20日公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”上公安部代表的讲话。4信息安全等级保护政策的发展历程《中华人民共和国计算机信息系统安全保护条例》发布1994199920012004《计算机信息系统安全保护等级划分准则》 GB17859-1999发布国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”(1110)工程实施7月22日,国家信息化领导小组召开了第三次会议,专门讨论了信息安全问题。会议审议通过了《关于加强信息安全保障工作的意见》,并经由中央办公厅、国务院办公厅颁布(中办发【2003】 27号文件)公安部、国家保密局、国家密码管理局和国信办联合签发了《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)信息系统安全保护等级定级指南(20051231)信息系统安全等级保护基本要求(20060429)信息系统安全等级保护测评准则(20060429)信息系统安全等级保护实施指南(20060429)2006公安部、国家保密局、国家密码管理局和国信办联合签发了《信息系统安全等级保护管理办法(试行)》(公通字【2006】7号)——2006年3月1日执行20035等级保护的政策文件与技术演进2003年9月中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年11月四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号)2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度,安全工作的根本方法形成等级保护的基本理论框架,制定了方法,过程和标准6等级保护的5个监管等级√五级√√四级√√三级√√二级√一级特别严重损害严重损害损害特别严重损害严重损害损害严重损害损害国家安全社会秩序和公共利益合法权益等级7不同级别之间保护能力的区别?总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标,16个管理目标;二级具有29个技术目标,25个管理目标;三级具有36个技术目标,27个管理目标;四级具有41个技术目标,28个管理目标。?技术要求的变化包括:安全要求的增加安全要求的增强?管理要求的变化包括:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)8决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。根据业务数据安全性和业务处理连续性要求确定安全保护等级。9安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期等级保护工作对应完整的信息安全建设生命周期10等保建设主要阶段的详细工作系统定级阶段安全规划设计阶段产品采购和工程实施阶段运行管理和状态监控阶段系统调查和描述子系统划分子系统定级子系统边界设定等