欢迎来到天天文库
浏览记录
ID:3922810
大小:578.54 KB
页数:14页
时间:2017-11-25
《天融信-等级保护解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、天融信等级保护解决方案介绍天融信技术服务副总裁田野Tian_ye@topsec.com.cn等级保护基本需求•政策要求-符合等级保护的要求–系统定级并备案–系统达到《基本要求》相应级别的指标–符合《测评准则》要求,并通过测评•实际需求-满足客户实际要求–融合现有的安全体系或安全设施–同时满足客户的其他符合性要求,如SOX,行业标准等–适应业务特性与安全要求的差异性,并满足超过指标的高要求–需要整体考虑所有系统,统一进行安全建设和管理–需要建立长效机制,可持续运行、发展和完善等级保护实施中的几个难点•如何融合现在安全设施,并满足客户的其他符合性要求
2、,形成一套体系,而不是几套体系并存•如何反映行业形象与业务特性,反映安全要求的差异性,并满足超过指标的高要求•标准中从“单个系统”出发,是各系统单独建设,还是统一建设?如何避免形成信息孤岛和重复建设?•如何避免成为一次“运动”,能够建立长效机制,可持续发展,真正对实际工作有帮助?等级保护需求分析•融合现有安全设施基础上,融合客户的其他符合性要求,从整体出发,统一建设/改造一套符合等级保护制度的安全体系–采用安全域框架设计和风险评估的方法,反映行业形象与业务特性,反映安全要求的差异性,并满足超过指标的高要求–采用统一安全平台建设基础上各系统单独保护
3、的方法,解决各系统单独保护形成信息的孤岛和分散重复建设–采用建立一套安全运维体系的方法,来建立长效机制,做到可持续运行、发展和完善总体设计方法-TopSec等级保护体系国家规定的整体客户的信息资产各等级安全目标安全要求定级分解定制分等级的安全要求与对策框架分等级的保护对象框架策略体系安全目标组织体系技术体系运作体系等级保护体系体系建设和运行安全域框架设计方法安全平台+各系统保护方法应用安全各应用系统应用系统安全增强安全管理平台认证授权统一身份认证与授权管理平台统一鉴别认证平台数据安全第三方统一安全接入平台数据备份与冗灾平台加密第三方统一安全接入平
4、台应用加密平台安全管理运行中心各主机网络设备设备安全配置与加固网络安全终端管理和防病毒集中管理平台安全域和网络访问控制平台监控审计全程全网监控和审计平台全网统一监控和审计平台终端安全终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台物理安全终端管理和防病毒集中管理平台集中机房与物理环境安全基础设施安全安全运行体系设计方法安全体系项目建设安全风险安全运行的建设安全管理管理维护定期评估总部层面安全预警安全目标安全现状提出规范、要求制定总体提出安全根据要求安全体系规范、要求评估建设监控、审计考核和检查安全要求安全现状省级层面弱点评估落实规范、要求制
5、定企业或跟踪、定期审核部门级体系安全建设工作系统加固安全事件处理制定运维作业计划系统层面申请立项提供项目安全说明按要求进行设备安全维护按要求开展工作建设按要求进行应急响应计划系统安全维护安全建设工作等级保护体系安全措施框架安全策略体系信息安全政策管理制度组织职责技术标准规范安全组织体系安全运行体系安全人员教育人员组织职责培训安全安全体系建设项目建设安全管理安全技术体系安全风险管理身份访问防恶意与控制加密认证控制代码审核备份安全运行与维护加固监控跟踪恢复等级保护体系的实施状态组织体系策略体系安全体系推广与落实安全组织设置和岗位职责运作体系安全策略体
6、系设计项目建设的安全管理安全教育、培训与资质认证安全策略与流程推广实施安全风险管理与控制内部与第三方人员安全管理日常安全运行与维护保护对象框架安全管理运行中心应用系统安全增强设备安全配置与加固技术体系统一身份认证与授权管理平台统一鉴别认证平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台第三方统一安全接入平台数据备份与冗灾平台终端管理和防病毒集中管理平台安全域和网络访问控制平台第三方统一安全接入平台应用加密平台全程全网监控和审计平台统一监控与审计管理平台应用安全基础设施安全等级保护实施的通常流程大型客户中小型客户1.系统定级1.系统定级2
7、.等级化风险评估2.系统测评准备2.系统测评准备3.安全体系与规划3.年度测评/评估3.下一年度系统测评4.本年安全建设4.下一年安全建设•系列安全项目实施•系列安全项目实施4.整改方案与计划4.整改方案与计划•内部安全管理建设•内部安全管理建设5.年度系统测评5.年度系统测评5.本年安全项目建设5.本年安全项目建设6.整改后复核6.整改后复核6.测评后整改6.测评后整改7.安全体系运营和维护7.安全系统运营和维护两类客户的方案分析•大型客户:大行业客户,2+8行业–对安全要求很高,要求全价值链的服务和产品,建设周期3年以上,按规划进行–项目形式
8、:咨询项目-系列集成项目-外包项目–方案:等级安全体系的咨询与实施•咨询(定级咨询,体系设计,安全规划,风险评估)•安全集成与产品提供•
此文档下载收益归作者所有