天融信等级保护解决方案TopSec等级保护体系要点.ppt

天融信等级保护解决方案- TopSec 等级保护体系天融信安全服务总监田野 Tian_ye@ 等级保护的政策文件 2003 年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27 号 2005 年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25 号 2006 年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》公通字[2006]7 号 2005 年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》 2004 年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66 号云南云南省人民政府第 130 号令浙江浙江省人民政府令北京北京政府第 9号令国家级政策文件国家级技术标准国家级政策文件地方政策文件等级保护的管理结构-北京为例国家信息办公安部网监局北京信息办北京公安局网监处北京测评中心北京研究一所管理职能: 监管和测评技术支持单位: 定级、测评安全厂商、服务商安全厂商、服务商服务实施单位: 咨询、实施、产品、运维北京信息办北京信息办北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京研究一所北京研究一所安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管理、协调电子政务领域其他行业领域北京市属的电子政务系统地处北京的各部委各行业等级保护的政策文件与技术演进 2003 年9月中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27 号) 2004 年11月四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号) 2005 年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25 号) 2005 年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度,安全工作的根本方法形成等级保护的基本理论框架,制定了方法,过程和标准等级保护基本需求?政策要求-符合等级保护的要求–系统定级–系统符合《基本要求》中相应级别的指标–符合《测评准则》中的要求?实际需求-适应客户实际情况–适应业务特性与安全要求的差异性–可工程化实施基本安全要求中的各级指标某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护实施中需要解决的问题 “单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统 a)各系统单独保护,将冲突和割裂,形成信息孤岛 b)复杂大系统的分解和差异性安全要求描述很困难 c)各系统安全单独建设,将造成分散、重复和低水平 ,难以做到可持续运行、发展和完善 ,管理成本高需求分析- 1 问题 1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统 a)各系统单独保护,将冲突和割裂,形成信息孤岛需求:从组织整体出发,综合考核所有系统方法:引入体系设计方法组织战略和业务目标组织总体信息安全目标安全要求安全措施结构体安全体系设计方法结构化分解原则: ?从组织总体目标出发?充分覆盖,互不重叠,不可再细分