文档介绍:天融信等级保护解决方案�-TopSec等级保护体系
天融信安全服务总监田野
Tian_ye@
等级保护的政策文件
2003年9月
中办国办颁发
《关于加强信息安全保障工作的意见》
中办发[2003]27号
2005年9月
国信办文件
《关于转发《电子政务信息安全等级保护实施指南》的通知》
国信办[2004]25号
2006年1月
四部委会签
《关于印发《信息安全等级保护管理办法的通知》
公通字[2006]7号
2005年公安部标准
《基本要求》
《定级指南》
《实施指南》
《测评准则》
2004年11月
四部委会签
《关于信息安全等级保护工作的实施意见》
公通字[2004]66号
云南
云南省人民政府第130号令
浙江
浙江省人民政府令
北京
北京政府第9号令
国家级政策文件
国家级技术标准
国家级政策文件
地方政策文件
等级保护的管理结构-北京为例
国家信息办
公安部网监局
北京信息办
北京公安局网监处
北京测评中心
北京研究一所
管理职能:
监管和测评
技术支持单位:
定级、测评
安全厂商、服务商
安全厂商、服务商
服务实施单位:
咨询、实施、产品、运维
北京信息办
北京信息办
北京测评中心
北京测评中心
北京公安局网监处
北京公安局网监处
北京研究一所
北京研究一所
安全厂商、服务商
安全厂商、服务商
安全厂商、服务商
安全厂商、服务商
政策、宏观管理、协调
电子政务领域
其他行业领域
北京市属的电子政务系统
地处北京的各部委各行业
等级保护的政策文件与技术演进
2003年9月
中办国办颁发
《关于加强信息安全保障工作的意见》
(中办发[2003]27号)
2004年11月
四部委会签
《关于信息安全等级保护工作的实施意见》
(公通字[2004]66号)
2005年9月
国信办文件
《关于转发《电子政务信息安全等级保护实施指南》的通知》
(国信办[2004]25号)
2005年公安部标准
《等级保护安全要求》
《等级保护定级指南》
《等级保护实施指南》
《等级保护测评准则》
总结成一种安全工作的方法和原则
最先作为“适度安全”的工作思路提出
确认为国家信息安全的基本制度,安全工作的根本方法
形成等级保护的基本理论框架,制定了方法,过程和标准
等级保护基本需求
政策要求-符合等级保护的要求
系统定级
系统符合《基本要求》中相应级别的指标
符合《测评准则》中的要求
实际需求-适应客户实际情况
适应业务特性与安全要求的差异性
可工程化实施
基本安全要求中的各级指标
某级系统
物理安全
技术要求
管理要求
基本要求
网络安全
主机安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
等级保护的生命周期
信息系统等级保护实施生命周期内的主要活动
规划设计阶段
安全实施/实现阶段
安全运行管理阶段
等级化风险评估
安全总体设计
安全建设规划
安全方案设计
安全产品采购
安全控制集成
测试与验收
管理机构的设置
管理制度的建设
人员配置和岗位培训
安全建设过程的管理
操作管理和控制
变更管理和控制
安全状态监控
安全事件处置和应急预案
安全评估和持续改进
监督检查
定级阶段
系统调查和描述
子系统划分/分解
子系统边界确定
安全等级确定
定级结果文档化
等级保护实施中需要解决的问题
标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
各系统单独保护,将冲突和割裂,形成信息孤岛
复杂大系统的分解和差异性安全要求描述很困难
各系统安全单独建设,将造成分散、重复和低水平
在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
管理难度太大,管理成本高
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
组织战略和业务目标
组织总体信息安全目标
安全要求
安全措施
结构体
安全体系设计方法
结构化分解原则:
从组织总体目标出发
充分覆盖,互不重叠,不可再细分