1、信息安全等级保护安全建设方案制定与实施教材(-4 3 张)课件目录利用三年时间。力争2012前完成。实现五方面目标:一是信息系统安全管理水平明显提高;二是信息系统安全防范能力明显增强;三是信息系统安全隐患和安全事故明显减少;四是有效保障信息化健康发展;五是有效维护国家安全、社会秩序和公共利益。(摘自“公信安20091429号”文件)利用三年时间。力争2 0 1 2 前完成。(摘自“公信安 2 0 0 9 已备案的第二级(含)以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。新建系统要同步开展安全建设工作。已备案的第二级(含)以
2、上信息系统纳入安全建设整改的范围。信息信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理以安全保发展以安全保发展 发展中求安全发展中求安全标准标准信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查信息系统通用安全技术要求技术类技术类信息系统安全管理要求管理类管理类产品类产品类操作系统安全技术要求信息系统安全等级保护基本要求信息系统安全等级保护
3、基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求 信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南信息安全等级信息安全等级保护安全建设保护安全建设整改工作整改工作计算机信息系统安全保护等级划分准则(G B 1 7 8 5 9)信息系统基本要求技术能力基本要求管理能力基本要求主要范围建设整改工作方法目录方案制定与实施流程 工具扫描人工分析渗透测试调研访谈 工具扫描人工分析渗透测试调研访谈调查现状,分析风险和差距电力供应电磁防护互联网区互
4、联网区应用存储区应用存储区办公网区办公网区办公终端办公终端应用存储服务器应用存储服务器互联网服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据存储数据传输数据传输数据处理数据处理数据备份和恢复完整性保密性电力供应电磁防护互联网区应用存储区办公网区办公终端应用存储服应用层主机层网络层物理层数据层计算环境区域边界网络通信安全管理应用层主机层网络层物理层数据层安全管理调查现状,分析风险和差 安全需求分析报告安全需求分析报告信息系统描述;安全管理状况;安全技术状况;存在的不足和可能的风险;安全需求描述。安全需求分析报告 安全需求分析报告信息系统描述;安全
5、需求分析报告确定框架,制定整改方案依据信息系统安全等级保护基本要求 参照信息系统等级保护安全设计技术要求引入“安全域”的概念,强化访问控制安全技术控制策略安全管理控制策略依据信息系统安全等级保护基本要求 总体方案-要点关键点:安全技术+安全管理实施统一的访问控制策略实施统一的安全控制策略关键点:划分安全域 网络的层次划分方法网络的层次划分方法电子政务内网电子政务内网电子政务外网电子政务外网业务专网(广域网)业务专网(广域网)互联网互联网安全域的宏观划分安全域的宏观划分安全计算域安全计算域安全用户域安全用户域安全网络域安全网络域(接入域、交换域、核心(接入域、交换域、核心域)域)网络的层次划分方
6、法划分安全域(参考)按照应用的通信过程划分:按照应用的通信过程划分:接入区接入区交换区交换区用户区用户区服务器区服务器区管理区管理区按照业务数据的流转路径划分按照业务数据的流转路径划分存储区存储区前置区前置区终端区终端区传输区传输区备份区备份区总部服务器核心交换路由器广域网路由器备份服务器路由器终端按照应用的通信过程划分:总部服务器核心交换路由器广域分析访问,合理设计安全策略梳理各个应用系统连接及访问用户用户业务安全分析-用户、操作和数据业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能实现数据库 功能组件支撑安全功能实现安全软件环境安全边界安全传输通道程序安全组件安全主机安全网络安
7、全业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能结合实际,部署实施安全措施技术策略技术策略技术框架技术框架3G安全IPSec日志采集审计分析令牌技术认证协议强制访问控制ACL网络流量控制数据防泄漏匿名技术数据系统网络补丁管理威胁检测对称密码技术非对称密码技术实现实现实现技术策略技术框架3 G 安全日志采集令牌技术强制访问控制数据防泄三级:73个控制点290控制项参考参考三级:参考安全产品对照(参考)参考参考参考安全产品对照(参考)业务用户登录界面/帐号/验证数据库帐号/验证组件调用协议/帐号/验证系统运行服务帐号/验证网络访问控制管理员登录界面/帐号/验证业务用户登录界面/帐号/
8、验证数据库帐号/验证组件调用协议/帐“一个中心、三重防护”为指导思想进行整体设计强化信息维护和系统维护人员系统的访问控制策略设计强化安全域之间的边界访问控制策略逐步实现基于安全策略模型和标记的强制访问控制以及增强的系统审计机制“一个中心、三重防护”为指导思想进行整体设计强化访问控制策略信息安全领导小组信息安全主管(部门)安全管理员安全审计员系统管理员网络管理员数据库管理员决策、监督应用系统管理员管理执行落实信息安全责任制信息安全领导小组信息安全主管(部门)安全管理员安全审计员系统运行记录方针策略实施细则与流程制度与管理办法方针策略制度办法流程细则记录表单运行记录方针实施细则与流程制信息安全等级
9、保护安全建设方案制定与实施教材(-4 3 张)课件目录整改方案的技术路线信息安全管理体系信息安全技术体系信息安全运行体系人员安全制度标准弱点加固弱点加固备份恢复决策-管理-执行-监督资源管理状态检测状态检测防恶技术防恶技术物理技术意识-技能-职称-培训-考核方针策略-制度规范-流程表单监控监测监控监测内容安全内容安全日常运行管理配置管理变更管理问题管理事件管理风险管理监督检查介质管理环境管理应急响应运行监控审计安全管理中心物理网络主机应用数据系统建设安全计算环境安全区域边界安全网络通信安全保护对象定级备案设计开发实施测试验收交付服务商信息安全体系安全目标、总体安全策略弱点加固状态检测防恶技术监
10、控监测内容安全测评检查系统管理安全管理审计管理信息安全体系框架信息安全管理体系信息安全技术体系信息安全运行关于开展信息安全等级保护安全建关于开展信息安全等级保护安全建设整改工作的指导意见公信安设整改工作的指导意见公信安2009142920091429号号力争在20122012年底前年底前完成已定级信息系统安全建设整改工作。公安机关信息安全等级保护检查公安机关信息安全等级保护检查工作规范工作规范公信安公信安20087362008736号号第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共公共信息网络安全监察部门信息网络安全监察部门负责实施。第十三条 检查时,发现不符合信息安全等级保护有
11、关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送信息系统安全等级保护限期整改通知书(以下简称整改通知,见附件3)。逾期不改正逾期不改正的,给予警告,并向其上级主管部的,给予警告,并向其上级主管部门通报门通报(通报书见附件4):关于推动信息安全等级保护测评体系建关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知设和开展等级测评工作的通知公信安公信安20103032010303号号督促备案单位开展信息系统等级测评工作,确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评,20102010年底年底前完成测评体系建设,并完成30
12、%30%第三级第三级(含)以上信息系统的测评工作,20112011年底前年底前完成第三级(含)以上信息系统的测评测评工作,20122012年底年底之前完成第三级(含)以上信息系统的安全建设整改工安全建设整改工作作。关于加强国家电子政务工程建设项目信息安全风险关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技评估工作的通知(发改高技2008207120082071号)号)该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行,明确了项目验收条件明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该
13、文件由发改委、公安部、国家保密局共同会签印发。关于开展信息安全等级保护安全建设整改工作的指导意见公信安应用层主机层网络层物理层数据层计算环境区域边界网络通信安全管理应用层主机层网络层物理层数据层安全管理小结控制系统风险贯彻落实信息系统安全等级保护工作,领导层要重视。信息系统安全等级保护工作是一个不断推进,循序渐进的过程。信息系统安全等级保护不仅仅是安全职能部门的工作,是全员的工作。有效落实等级保护需要与规划设计、工程建设和运维的各个环节相结合。统一认识,是等级保护工作开展过程中的一个关键。等级保护实施经验系统建设同期练好“内功”系统建设同期信息安全等级保护安全建设方案制定与实施教材(-4 3 张)课件