欢迎来到天天文库
浏览记录
ID:39994823
大小:228.49 KB
页数:18页
时间:2019-07-16
《等级保护及等级化安全保障体系设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、等级保护及等级化安全保障体系设计卫士通信息产业股份有限公司吴鸿钟博士2006年7月提纲卫士通对等级保护政策的理解卫士通等级化安全保障体系设计的成功案例总结卫士通对等级保护政策的理解等级保护是我国信息安全领域的一项基本政策1994年,《中华人民共和国计算机信息系统安全保护条例》的发布1999年,《计算机信息系统安全保护等级划分准则》GB17859-1999发布2003年,中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文)2004年,四部委联合签发了《关于信息安全等级保护工作的实施意见》(公通字
2、[2004]66号文)国务院信息化工作办公室发布《电子政务信息安全等级保护实施指南(试行)》卫士通对等级保护政策的理解等级保护是我国信息安全领域的一项基本政策2005年12月,国家保密局发布《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统分级保护技术要求》2005年12月,公安部《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》(GB送审稿陆续出台)2006年3月开始实施的公安部、国家保密局、国家密码管理局、国信办四部委(局办)发布7号文《等级保护管
3、理办法》卫士通对等级保护政策的理解(续)等级保护的核心是将传统的定性设计逐步进化为定量的安全保障设计对信息系统实施不同等级的安全保护对信息系统中使用的安全产品实施分等级管理对信息系统发生的安全事件分等级响应和处置等级保护体现了差异化的安全保障思想由系统使命决定系统的等级,充分考虑业务信息安全性和业务服务保证性结合基本要求,并依据风险评估的结果对安全保护措施进行调整对3级及以上系统实施相应的监督和管理对涉及国家安全、经济建设、社会稳定等方面的重要信息系统重点保护对于涉及国家秘密的信息系统规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任
4、,加强监督涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级(一般和增强)和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求卫士通对等级保护政策的理解(续)等级化安全保障体系设计的案例卫士通公司在金审工程中,系统性运用了等级保护、风险评估的思想,成功设计了等级化安全保障体系主要经验体现在5个方面关于信息系统的划分关于系统的定级关于风险评估关于等级化保障体系设计流程关于等级化保障体系设计信息系统的划分信息系统的概念有大有小,在工程实践中,过大的划分不利于对信息进行有针对性的保护,因此需要对信息系统进行有效的划分信息
5、系统的划分原则是相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境【公安部《信息系统安全保护等级定级指南》】信息系统的划分可以从安全区域、业务系统和保护对象三个不同角度进行:安全区域侧重从物理区域进行划分,比如核心区、接入区;用户区、管理区;外网、接入网、内网等,其优点是划分相对容易,缺点是粒度较粗业务系统侧重从应用系统进行划分,优点是粒度较细,缺点是实际操作比较困难,当然也可以考虑几个业务系统的组合我们在金审工程中引入的保护对象则综合了安全区域和业务系统两种方法的优点,既考虑了信息系统的信息流向、业务流程也考虑了信息系统的物理归属信息系统
6、的划分信息系统的划分反映了不同的思路保护对象实质是风险评估的资产划分模型;安全区域实质是具有类似安全要求的物理位置划分模型;保护对象侧重在风险评估;安全区域侧重在边界防护;风险评估是等级保护的基础组成部分;边界保护相反只是措施而已;但是保护对象与安全域并不矛盾,它们是两种不同的分类法,在具体的操作时,原则是:已有系统采用保护对象设计方法;新建系统采用安全区域设计方法。新建系统-先网络后应用;已有系统-先应用后网络;信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级1.赋值选择调节因子业务子系统
7、安全保护等级2.确定两个指标等级业务信息安全性等级3确定业务子系统等级信息系统安全保护等级4.确定信息系统等级其它业务子系统信息系统的定级根据公安部、国家保密局、国家密码管理局、国信办四部委(局办)7号文第17条“涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求”可以得出一个信息系统的级别至少应该为3级以上,才能称得上是一个涉密系统。然后根据信息的安全属性确定属于秘密、机密和绝密中的哪一种。同时依据《涉及国家秘密的信息系统分级保护技术要求》中的办法进行等级确定和
8、安全措施的确定我们在金审工程中,分别按照相关文件精神并结合金审工程实际情况,对外网和内网进行了
此文档下载收益归作者所有