等级保护建设思路及H3C解决方案V10.ppt

等级保护建设思路及H3C解决方案V10
1
决定等级的主要因素分析
信息系统所属类型
业务数据类别
信息系统服务范围
业务处理的自动化程度
业务重要性
业务数据安全性
业务处理连续性
业务依赖性
基于业务的重要性和依赖
等级保护建设思路及H3C解决方案V10
1
决定等级的主要因素分析
信息系统所属类型
业务数据类别
信息系统服务范围
业务处理的自动化程度
业务重要性
业务数据安全性
业务处理连续性
业务依赖性
基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。
业务数据安全性
业务处理连续性
信息系统安全保护等级
根据业务数据安全性和业务处理连续性要求确定安全保护等级。
安全
控制
定级指南
过程
方法
确定系统等级
启动
采购/开发
实施
运行/维护
废弃
确定安全需求
设计安全方案
安全
建设
安全
测评
监督
管理
运行
维护
暂不
考虑
特殊需求
等级需求
基本
要求
产品
使用
选
型
监督
管理
测评
准则
流程
方法
监管
流程
应急
预案
应急
响应
等级保护定义的信息安全建设过程
等级保护工作对应完整的信息安全建设生命周期
等保建设主要阶段的详细工作
系统定级阶段
安全规划设计阶段
产品采购和工程实施阶段
运行管理和状态监控阶段
系统调查和描述
子系统划分
子系统定级
子系统边界设定
等级化风险评估
分级保护模型化处理
安全策略规划
安全建设规划
安全建设详细方案设计
安全产品采购
安全控制开发
安全控制集成
测试与验收
安全等级测评
运行批准
系统备案
操作管理和控制
配置管理和控制
变更管理和控制
安全状态监控
安全事件处理和应急预案
监督和检查
持续改进
定级结果文档化
《等级保护工作的实施指南》中对主要阶段的工作细化
等级保护建设的一般过程
整改
评估
定级
评测
确定系统或者子系统的安全等级
依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议
针对评估过程中发现的不满足等保要求的地方进行整改
评测机构依据等级要求,对系统是否满足要求进行评测,并给出结论
监管
对系统进行周期性的检查,以确定系统依然满足等级保护的要求
信息安全等级保护政策
H3C等级保护建设思路
H3C等级保护解决方案
H3C安全产品线简介
正确理解等级保护思想
系统重要程度
系统保护要求
安全基线
安全基线
安全基线
一级
二级
三级
四级
等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需求的系统进行安全保护,从而实现对整个信息系统的适当的安全保护和管理,避免对系统保护过渡或者保护不足。
等级保护的核心是为受管理的系统明确定义所需最低的安全保护能力。这个能力可以认为是一个最基本的安全基线。
结论:满足需求的能力基线是最低要求,根据实际业务的需要和发展,信息系统的所有者和使用者有必要自行定义所需的安全基线,并不断修正。
信息安全基线的产生
信息安全基线可满足当前信息安全建设需求的各个方面
内部需求满足
知识产品保护
机密信息保护
脆弱性保护
合规需求满足
等级保护规范
萨班斯方案
行业安全规范
信息安全基线
Integrity
完整性
Availability
可用性
Confidentiality
保密性
满足当前需求,确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报
等级保护技术要求和管理要求分析
某级系统
物理安全
技术要求
管理要求
基本要求
网络安全
主机安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
等级保护的技术要求和管理要求只是具体的目标,而不强调实现的方法。这就强调了信息系统的所有者和使用者在信息安全建设中的主体地位。
等保的技术要求部分不包含技术框架的搭建,其技术目标的实现也不固定要求对应到某一种或者某一类安全产品中。事实上,具体的安全产品和解决方案可以横跨多个安全要求大项,实现多个安全目标。
结论:进行等级保护建设的主体是信息系统的所有者和使用者,由信息系统的所有者和使用者根据自身的特点,自行规划、设计和实现。
H3C等级保护建设思路
治理架构
等级保护规范
ISO27000
萨班斯法案
法规遵从
机密信息保护
知识产权保护
内部驱动
核心计算环境
人机交互环境
系统外部环境
技术框架
管理框架
以ISO27000系列为基础建立ISMS(InformationSecurityManagementSy