欢迎来到天天文库
浏览记录
ID:32445369
大小:1.99 MB
页数:32页
时间:2019-02-04
《【5A版】天融信等保方案.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、天融信等级保护解决方案-TopSec等级保护体系天融信安全服务总监田野Tian_ye@topsec.com.cn等级保护的政策文件2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25号2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》公通字[2006]7号2005年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]
2、66号云南云南省人民政府第130号令浙江浙江省人民政府令北京北京政府第9号令国家级政策文件国家级技术标准国家级政策文件地方政策文件等级保护的管理结构-北京为例国家信息办公安部网监局北京信息办北京公安局网监处北京测评中心北京研究一所管理职能:监管和测评技术支持单位:定级、测评安全厂商、服务商安全厂商、服务商服务实施单位:咨询、实施、产品、运维北京信息办北京信息办北京测评中心北京测评中心北京公安局网监处北京公安局网监处北京研究一所北京研究一所安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管理、协调电子政务领域其他行业领域北京市属
3、的电子政务系统地处北京的各部委各行业等级保护的政策文件与技术演进2003年9月中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年11月四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号)2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度,安全工作的根本
4、方法形成等级保护的基本理论框架,制定了方法,过程和标准等级保护基本需求政策要求-符合等级保护的要求系统定级系统符合《基本要求》中相应级别的指标符合《测评准则》中的要求实际需求-适应客户实际情况适应业务特性与安全要求的差异性可工程化实施基本安全要求中的各级指标某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护的生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安
5、全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护实施中需要解决的问题标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统各系统单独保护,将冲突和割裂,形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设,将造成分散、重复和低水平在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善管理难度太大,管理成本高
6、需求分析-1问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统各系统单独保护,将冲突和割裂,形成信息孤岛需求:从组织整体出发,综合考核所有系统方法:引入体系设计方法组织战略和业务目标组织总体信息安全目标安全要求安全措施结构体安全体系设计方法结构化分解原则:从组织总体目标出发充分覆盖,互不重叠,不可再细分安全体系的组成安全问题保护对象框架安全对策框架界定和分解映射安全体系综合需求分析-2标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统各系统单独保护,将冲突和割裂,形成信息孤岛复杂大系统的分解和差异性安全要
7、求描述很困难需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求方法:引入保护对象框架设计方法保护对象框架-电信行业保护对象框架-政府行业中央节点直属节点政务外网政务专网政务内网保护对象框架-银行业需求分析-3标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统各系统单独保护,将冲突和割裂,形成信息孤岛复杂大系统的分解和差异性安全要求描述很困难各系统安全单独建设,将造成分散、重复和低水平需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平方法:引入安全平台的设计与建设方法终端管理和防病毒集中管理平台集中机房与物
8、理环境安全安全管理运行中心终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台终端安全全程全
此文档下载收益归作者所有