等級化安全體系設計與實踐

聯(lián)想信息平安每一天等級化平安體系設計與實踐聯(lián)想網(wǎng)御科技資深平安參謀精選ppt主題一、國家在信息平安等級保護方面的政策二、聯(lián)想等級化平安體系設計與實踐精選ppt2003年11月，發(fā)布27號文件?國家信息化領導小組關于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號文件〕我國第一個全面關于信息平安保障工作的文件，是我國今后一段時期內(nèi)信息平安保障工作的綱領性文件總體要求：堅持積極防御、綜合防范的方針，全面提高信息平安防護能力，重點保障根底信息網(wǎng)絡和重要信息系統(tǒng)平安明確提出實行信息平安等級保護制度精選ppt2004年9月，發(fā)布66號文件?關于信息平安等級保護工作的實施意見?〔公通字[2004]66號文件〕主要內(nèi)容開展等級保護工作的重要意義等級保護制度的原那么等級保護制度的根本內(nèi)容等級保護工作職責分工實施等級保護工作的要求等級保護工作的實施方案精選ppt電子政務等級保護實施指南〔試行〕國信辦[2005]25號信息平安等級保護管理方法〔試行〕公通字[2006]7號精選ppt主題一、國家在信息平安等級保護方面的政策二、聯(lián)想等級化平安體系設計與實踐精選ppt我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規(guī)和標準不完善安全人才缺乏技術(shù)整體上比較落后，嚴重依賴國外進口環(huán)境產(chǎn)業(yè)缺乏核心競爭力，競爭不夠有序產(chǎn)業(yè)有害信息、病毒和網(wǎng)絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅戰(zhàn)略目標：建設國家信息安全保障體系戰(zhàn)略方針：積極防御，綜合防范27號文件實行等級保護制度災備等基礎和支撐性工作國家的平安要求66號文件電子政務等級保護實施指南根本制度和根本方法公安部系列指南和標準等級化要求體系化要求我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規(guī)和標準不完善安全人才缺乏技術(shù)整體上比較落后，嚴重依賴國外進口環(huán)境產(chǎn)業(yè)缺乏核心競爭力，競爭不夠有序產(chǎn)業(yè)有害信息、病毒和網(wǎng)絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅精選ppt平安保障水平較低，落后于業(yè)務與IT的開展水平，未能促進或阻礙了業(yè)務開展安全需要做到什么程度？需要多大的投資規(guī)模？如何建立公司級的安全整體機制？CEO安全都需要作什么？如何才能做到長治久安？如何分配安全投資？重點是什么？投資和建設的節(jié)奏和計劃？安全投資如何才能產(chǎn)生真正效果？CSO客戶的要求與應對等級化要求總體投資規(guī)模投資策略，突出重點體系化要求安全總體體系與機制安全目標與規(guī)劃有效性保障與運行具體的要求是什么？如何建設和維護？如何考核？執(zhí)行者精選ppt等級化平安體系的提出等級化要求體系化要求27號文件66號文件電子政務等級保護實施指南公安部系列指南和標準國家的要求客戶的要求CEO的要求CSO的要求執(zhí)行者的要求等級化平安體系精選ppt理念：等級化平安體系聯(lián)想網(wǎng)御平安理念定義內(nèi)涵：依照國家等級保護制度，幫助客戶到達體系化的平安保障水平，采用體系化和等級化相結(jié)合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約本錢、持續(xù)運行的平安保障體系。精選ppt等級化平安體系的特質(zhì)關鍵組成局部：等級保護，平安體系設計方法：等級化、體系化相結(jié)合形成的等級化平安體系方法特質(zhì)：整體性：結(jié)構(gòu)化，系統(tǒng)化，內(nèi)容全面等級化：突出重點，節(jié)省本錢針對性：針對實際情況，符合業(yè)務特性和開展戰(zhàn)略可持續(xù)開展：框架相對穩(wěn)定，內(nèi)容可持續(xù)開展和完善實施后狀態(tài)：一套持續(xù)運行、涵蓋所有平安內(nèi)容的平安保障體系，是平安工作所追求的最終目標精選ppt兩者有效結(jié)合，形成等級化平安體系設計方法組織戰(zhàn)略和業(yè)務目標組織總體信息安全目標安全要求安全措施結(jié)構(gòu)體體系化設計方法保護對象安全目標安全措施等級化等級化設計方法總體設計方法精選ppt等級保護根本原理依據(jù)信息系統(tǒng)的使命與目標和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的平安等級，并綜合平衡考慮系統(tǒng)平安要求、系統(tǒng)所面臨平安風險和實施平安措施的本錢，通過調(diào)整和定制，形成不同等級的平安措施進行保護實行等級保護的目的滿足不同行業(yè)、信息化開展階段、不同層次的平安要求有利于突出重點有利于控制平安的本錢精選ppt等級化設計方法精選ppt體系化設計方法什么是平安體系一組結(jié)構(gòu)化的平安目標和措施用于表述組織的總體平安目標和實現(xiàn)。網(wǎng)絡基礎設施區(qū)域邊界計算環(huán)境安全保護對象框架安全基礎設施信息安全保障體系組織體系技術(shù)體系運作體系策略體系安全對策框架大型系統(tǒng)表述困難：規(guī)模龐大：應用眾多、地域廣闊、用戶龐大結(jié)構(gòu)復雜：應用復雜并相關聯(lián)，網(wǎng)絡結(jié)構(gòu)復雜，平安要求強度和差異化很大信息平安涵蓋內(nèi)容極為廣泛層次眾多：從物理層－－到數(shù)據(jù)層，管理、組織、策略、運行生命周期：從評估、需求、設計、規(guī)劃、實施、運維，到持續(xù)改進體系的結(jié)構(gòu)化框架相對固定，具有穩(wěn)定性；內(nèi)容相對完整，并可根據(jù)開展補充和完善精選ppt等級化平安體系方法整體平安目標分等級的保護對象框架體系建設和運行組織體系技術(shù)體系運作體系策略體系安全要求與對策框架客戶的信息資產(chǎn)定級分解國家規(guī)定的各等級平安要求定制分等級的平安目標等級化平安體系精選ppt客戶平安工作的價值鏈評估體系規(guī)劃體系建設實施體系運行平安工作生命周期方案了解現(xiàn)狀價值確定目標和總體籠廓確定目標實現(xiàn)策略和途徑增強安全措施，解決安全問題維護體系運行，保障安全確定實現(xiàn)方法評估服務聯(lián)想提供產(chǎn)品服務體系設計服務規(guī)劃服務產(chǎn)品：自有產(chǎn)品外部采購產(chǎn)品服務：采購、實施、監(jiān)理服務咨詢服務(策略，體系推行，培訓)方案設計服務典型方案產(chǎn)品售后服務外包服務：定期評估監(jiān)控與分析常年咨詢體系更新和維護方案1：等級化平安體系解決方案方案2：等級保護一體化解決方案精選ppt等級化平安體系的實施方案方案1：等級化平安體系解決方案適用范圍：大型和超大型客戶平安要求高、復雜，要求全價值鏈的效勞和產(chǎn)品聯(lián)想提供咨詢、集成、產(chǎn)品、平安外包等全價值鏈的解決方案工程形式：咨詢工程－集成工程－外包工程方案2：等級保護一體化解決方案適用范圍：中小型客戶平安要求一般、相對簡單，要求局部價值鏈聯(lián)想提供精簡的咨詢、集成和產(chǎn)品的一體化解決方案工程形式：集成工程－售后效勞精選ppt實施過程第一階段：定級階段第二階段：規(guī)劃與設計階段第三階段：實施、評審與改進階段精選ppt定級方法確定應用系統(tǒng)的平安等級的根本方法是：通過確定系統(tǒng)保密性、完整性和可用性三個方面的平安級別來綜合確定系統(tǒng)的平安等級；系統(tǒng)定級公式：系統(tǒng)平安等級(A)＝Max{(系統(tǒng)保密性級別),(系統(tǒng)完整性級別),(系統(tǒng)可用性級別)}系統(tǒng)保密性級別＝Max{(各信息或效勞的保密性級別)}系統(tǒng)完整性級別＝Max{(各信息或效勞的完整性級別)}系統(tǒng)可用性級別＝Max{(各信息或效勞的可用性級別)}精選ppt平安規(guī)劃與設計精選ppt選擇和調(diào)整平安措施精選ppt運行監(jiān)控與改進持續(xù)監(jiān)控平安措施改進系統(tǒng)重新定級精選ppt等級保護案例簡介佛山市南海區(qū)電子政務等級保護試點項目精選ppt工程內(nèi)容系統(tǒng)調(diào)查與評估南海等級化效勞工程分域保護框架建設對象

資產(chǎn)調(diào)查總體平安建議電子政務系統(tǒng)等級劃分

建議方案和管理標準應用與業(yè)務調(diào)查定級標準調(diào)查系統(tǒng)定級分域設計網(wǎng)絡調(diào)整方案平安組織管理方法系統(tǒng)風險和平安措施調(diào)查評估加固方案體系和規(guī)劃建議工程報告精選ppt工程成果－南海電子政務分域保護對象框架精選ppt工程成果－電子政務系統(tǒng)等級劃分

－大社保系統(tǒng)平臺序號系統(tǒng)名稱三性安全等級系統(tǒng)安全等級保密性等級完整性等級可用性等級1南海區(qū)社會保險管理信息系統(tǒng)33332南海區(qū)民政局業(yè)務系統(tǒng)22223南海區(qū)社會保障（市民）卡業(yè)務系統(tǒng)22224大社保平臺數(shù)據(jù)中心系統(tǒng)23235南海區(qū)社會保險公共服務系統(tǒng)2222精選ppt工程成果－電子政務系統(tǒng)等級劃分

序號系統(tǒng)名稱三性安全等級系統(tǒng)安全等級保密性等級完整性等級可用性等級1南海區(qū)基金收費非稅收入系統(tǒng)23232南海區(qū)會計結(jié)算中心業(yè)務系統(tǒng)23233獅山鎮(zhèn)財務結(jié)算中心系統(tǒng)22224南海區(qū)統(tǒng)計局基層統(tǒng)計系統(tǒng)2222精選ppt實施的解決方案的內(nèi)容管理體系建設南海區(qū)電子政務平安組織管理方法南海電子政務網(wǎng)絡系統(tǒng)平安標準南海電子政務互聯(lián)網(wǎng)效勞平安標準南海電子政務平安業(yè)務系統(tǒng)接入標準南海電子政務系統(tǒng)等級平安措施指標南海電子政務信息平安應急預案南海區(qū)電子政務平安運行維護作業(yè)方案技術(shù)體系建設網(wǎng)絡平安改造與平安域隔離周期性平安評估與加固政務網(wǎng)平安審計平臺平安監(jiān)管中心平臺電子政務容災備份中心“大社保系統(tǒng)〞平安建議精選ppt工程成果－總體平安建議精選ppt等級保護案例簡介某大型通信企業(yè)等級化安全體系咨詢項目精選ppt等級化平安體系解決方案設計流程保護對象公司部門系統(tǒng)計算區(qū)域網(wǎng)絡基礎設施邊界核心服務器區(qū)域終端接入?yún)^(qū)域第三方接入?yún)^(qū)域安全目標公司安全目標部門安全建設目標系統(tǒng)安全建設目標安全要求機密性完整性可用性安全組織安全策略安全運作安全技術(shù)安全措施策略解決方案精選ppt工程內(nèi)容

平安評估與等級劃分公司平安體系設計公司等級化平安體系設計平安組織體系平安運作體系平安規(guī)劃平安技術(shù)體系平安策略試點工作3年平安規(guī)劃公司全面深度平安評估網(wǎng)管系統(tǒng)平安域劃分及原那么標準網(wǎng)管系統(tǒng)等級劃分及原那么標準精選ppt成果－平安工作總體思路1.公司安全的使命和目標-得到安全目標我們的方向是什么？3.安全現(xiàn)狀4.關鍵舉措和重點工作-得到總體框架和籠廓我們做什么？做成什么樣子？-得到工作計劃和實施規(guī)劃我們怎么做？2.安全體系總體框架5.實施策略選擇6.工作計劃7.建設實施8.安全運營和持續(xù)改進現(xiàn)在，我們開始作精選ppt成果－平安域劃分〔一期〕精選ppt工程成果—平安域劃分〔二期〕精選ppt成果－等級化平安體系的實現(xiàn)安全支撐系統(tǒng)和基礎設施第三方統(tǒng)一安全接入平臺安全研究與測試實驗室第三方統(tǒng)一安全接入平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一鑒別認證平臺終端管理和防病毒集中管理平臺第三方統(tǒng)一安全接入平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一身份鑒別認證平臺終端管理和防病毒集中管理平臺安全管理運行中心全網(wǎng)安全域劃分與邊界整合網(wǎng)絡安全性調(diào)整和改造安全體系核查與改造項目技術(shù)體系安全組織體系和崗位職責安全培訓與資質(zhì)認證組織體系安全策略體系和流程梳理安全策略與流程推廣實施策略體系體系推廣與常年安全咨詢運作體系常年安全外包服務保護對象框架精選ppt成果－平安組織體系主管領導〔主管平安〕領導小組組長信息平安領導小組業(yè)務部門負責人成員平安部門負責人工作組組長管理部門負責人成員部門平安管理員成員部門平安管理員成員平安辦公室負責人負責人平安管理員平安技術(shù)員信息平安工作組信息平安辦公室精選ppt成果－平安策略體系信息平安方針管理規(guī)定工作流程平安組織人員職責技術(shù)標準信息平安體系公司層面部門平安工作管理方法部門平安組織人員職責部門層面工作表單運行維護方案應急響應方案系統(tǒng)層面精選ppt成果－技術(shù)體系安全措施安全要求策略體系技術(shù)體系運作體系組織體系公司部門系統(tǒng)公司部門系統(tǒng)安全目標防病毒監(jiān)控審計認證第三方統(tǒng)一接入平安域公司層面訪問控制訪問控制訪問控制主機平安邊界隔離數(shù)據(jù)庫平安應用平安平安域邊界隔離系統(tǒng)層面精選ppt成果－平安運行體系平安目標要求PLAN：平安目標要求—平安現(xiàn)狀平安方案〔建設；維護…〕

Do：平安工程建設平安維護作業(yè)1、更新資產(chǎn)補丁\拓撲\效勞等狀態(tài)2、平安事件通報….3、平安加固4、更新平安現(xiàn)狀和平安目標要求差距5、其他…..Check：日常平安檢查周期性平安評估1、檢查平安目標要求的完成狀態(tài)2、評估平安狀況〔資產(chǎn)狀態(tài)；弱點狀態(tài)〕，3、平安現(xiàn)狀是否符合可控平安環(huán)境Action：調(diào)整平安目標要求規(guī)劃平安工程績效考核各部門、平安管理員精選ppt成果－建設規(guī)劃平安組織體系和崗位職責平安培訓與資質(zhì)認證平安策略體系和流程梳理安全研究與測試實驗