信息安全等级保护安全建设方案制定与实施.ppt

信息安全等级保护安全建设方案制定与实施
《基本要求》管理能力
《基本要求》主要范围
建设整改工作方法
目录
方案制定与实施流程
工具扫描
人工分析
渗透测试
调研访谈
调查现状,分析风险和差距
电力供应
电磁防护
信息安全等级保护安全建设方案制定与实施
《基本要求》管理能力
《基本要求》主要范围
建设整改工作方法
目录
方案制定与实施流程
工具扫描
人工分析
渗透测试
调研访谈
调查现状,分析风险和差距
电力供应
电磁防护
互联网区
应用存储区
办公网区
办公终端
应用存储服务器
互联网服务器
安全审计
身份鉴别
访问控制
结构安全
访问控制
身份鉴别
安全审计
访问控制
入侵防范
存储数据
传输数据
处理数据
备份和恢复
完整性
保密性
调查现状,分析风险和差距
应用层
主机层
网络层
物理层
数据层
计算环境
区域边界
网络通信
安全管理
调查现状,分析风险和差距
安全需求分析报告
信息系统描述;
安全管理状况;
安全技术状况;
存在的不足和可能的风险;
安全需求描述。
安全需求分析报告
确定框架,制定整改方案
依据《信息系统安全等级保护基本要求》
参照《信息系统等级保护安全设计技术要求》
引入“安全域”的概念,强化访问控制
安全技术控制策略
安全管理控制策略
总体方案-要点
关键点:安全技术+安全管理
实施统一的访问控制策略
实施统一的安全控制策略
关键点:划分安全域
网络的层次划分方法
电子政务内网
电子政务外网
业务专网(广域网)
互联网
安全域的宏观划分
安全计算域
安全用户域
安全网络域
(接入域、交换域、核心域)
划分安全域(参考)
按照应用的通信过程划分:
接入区
交换区
用户区
服务器区
管理区
按照业务数据的流转路径划分
存储区
前置区
终端区
传输区
备份区
总部服务器 核心交换 路由器 广域网 路由器 备份服务器
路由器 终端
划分安全域(参考)
分析访问,合理设计安全策略
梳理各个应用系统连接及访问
用户
业务安全分析-用户、操作和数据
业务风险控制
业务
应用
主机
组件
应用平台
网络
业务安全需求
安全功能实现
数据库
功能组件
支撑安全
功能实现
安全
软件环境
安全边界
安全传输通道
程序安全
组件安全
主机安全
网络安全
“业务+系统”安全=整体安全策略
结合实际,部署实施安全措施
技术策略
技术框架
3G安全
IPSec
……
日志采集
审计分析
令牌技术
认证协议
强制访问控制
ACL
网络流量控制
数据防泄漏
匿名技术
数据
系统
网络
补丁管理
威胁检测
对称密码技术
非对称密码技术
实现
实现
实现
选择和目标一致的安全产品
三级:
73个控制点
290控制项
参考
安全产品对照(参考)
参考
安全产品对照(参考)
业务用户登录界面/帐号/验证
数据库帐号/验证
组件调用协议/帐号/验证
系统运行服务帐号/验证
网络访问控制
落实控制策略
-纵深防御
管理员登录界面/帐号/验证
“一个中心、三重防护”为指导思想进行整体设计
强化信息维护和系统维护人员系统的访问控制策略设计
强化安全域之间的边界访问控制策略
逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制
强化访问控制策略
信息安全领导小组
信息安全主管(部门)
安全管理员
安全审计员
系统管理员
网络管理员
数据库管理员
决策、监督
应用系统管理员
管理
执行
落实信息安全责任制
建立安全组织(举例)
方针策略
信息安全工作的纲领性文件。
制度办法
在安全策略的指导下,制定的各项安全管理和技术制度、办法和准则,用来规范各部门处室安全管理工作。
流程细则
细化的实施细则、管理技术标准等内容,用来支撑第二层对应的制度与管理办法的有效实施。
记录表单
记录活动实行以符合等级1,2,和3的文件要求的客观证据,阐明所取得的结果或提供完成活动的证据
运行记录
方针
策略
实施细则与流程
制度与
管理办法
编写安全管理制度
目录
整改方案的技术路线
信息安全体系框架
信息安全管理体系
信息安全技术体系
信息安全运行体系
人员安全
制度标准
弱点加固
备份恢复
决策-管理-执行-监督
资源管理
状态检测
防恶技术
物理技术
意识-技能-职称-培训-考核
方针策略-制度规范-流程表单
监控监测
内容安全
日常运行管理
配置管理
变更管理
问题管理
事件管理
风险管理
监督检查
介