金保工程二期信息安全保障体系设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
2.4 安全现状和需求分析
核心和重要资产分析
信息系统资产名称
社会保险业务监测信息——监测分析信息类
信息资产分类
数据库和数据文件
源生信息系统和途径
原始产生
传输、处理和存储的信息系 纵向应用支撑平台、社会保险业务监测系统
统
/相应服务器
信息资产的生命期
定期
信息量规模
十亿条以上
信息敏感性
高
机密性
高
安全属性 完整性
金保工程二期 信息安全保障体系设计
人力资源和社会保障部信息中心 信息安全管理处 许华光 2013.8
大纲
1. 信息安全保障体系框架
体系框架结构图 金保二期安全保障建设内容
2. 基础安全防护系统设计 3. 电子认证体系设计 4. 信息安全管理工作
2
1.1 体系框架结构图
3
1.2 金保二期安全保障建设内容
6
2.2 主要建设内容
落实等级保护:省级达到80%以上,市级达到75%以上。 优化安全结构:优化网络结构,合理划分网络安全防护边界和安
全区域,实现纵深防御、区域访问控制和有效安全隔离。 严格控制边界:按照互联部门业务数据和用户属性分类规划统一
的数据交换区,实现网络互联出入口的集中防护和监控。 完善各项审计:建立重要信息系统、重要网络区域的安全监控和
等级保护文件:《关于加强国家电子政务工程建设项目信息安全风险评估工 作的通知》(发改高技[2008]2071号)……
网络信任体系文件:《关于印发〈电子政务电子认证服务管理办法〉的通知 》(国密局发[2009]7号)
其他安全管理工作文件
信息ቤተ መጻሕፍቲ ባይዱ统定级分析
业务信息安全特性:信息量规模、信息来源、业务信息安全属性(保密性/完 整性/可用性)、最大影响程度。
审计机制。 强化互联网防护:加强面向互联网业务信息系统的安全防护和监
控,建立网站防渗透、防篡改、防信息泄露和安全监测审计机制。 强化数据安全:加强关键业务数据的防丢失、防泄露和防篡改。 构建统一安管平台:建立和完善信息安全监控平台和安全审计平
台。在部、省、市各级人力资源社会保障网络系统部署统一信息安 全监控平台和安全审计平台。 规范管理:建立和完善安全管理机制和组织体系,建立健全信息安 全应急处理协调机制、安全通报机制和制度化专业化的检查机制, 提高对网络安全事件应对和防范能力。
系统服务安全特性:系统分布结构、访问系统用户范围、系统服务对象规模 、系统服务的实时性、最大影响程度。
等保基本要求差距分析 信息安全风险分析
金保一期安全建设主要问题 核心和重要资产分析 信息系统脆弱性和威胁分析
10
2.4 安全现状和需求分析
主要问题
信息安全建设规划不足,资金投入不到位。 信息安全保障体系建设不全面,多数等级保护基本要求项不符合,甚至
基础安全防护系统(含信息安全管理和服务体系) 电子认证和应用安全支撑系统 信息安全管理体系和信息安全服务体系 物理安全设施 ——机房环境设计 灾难备份系统 ——网络系统设计
4
大纲
1. 信息安全保障体系框架
2. 基础安全防护系统设计
建设目标
安全域总体结构
主要建设内容
省市安全防护策略
中
可用性
高
生命周期保 护需求
信息传递保护 信息传递保护 信息销毁 要求
√ √ √
12
2.4 安全现状和需求分析
脆弱性和风险分析
网络层、系统层、应用层等 管理方面 新技术发展的风险分析
信息系统威胁分析
基本建设策略
信息安全管理体系
安全现状和需求分析
信息安全服务体系
基础安全防护总体架构
产品选型策略
3. 电子认证体系设计
4. 测算说明
5
2.1 建设目标
1套体系、2个重点、3个全面、4项机制 1套综合安全防护体系:包括技术和管理两方面,外 防和内控兼顾,以纵深防御、分等级分区域保护为 核心的综合安全防护体系。 2个重点:应用安全和数据安全两方面重点问题。 3个全面:部省市人力资源社会保障2级以上信息系 统全面通过等级保护测评,防火墙、入侵检测和防 护系统、网络监控和审计系统等边界防护系统全面 部署到网络互联边界,数据访问控制和审计功能全 面配置到核心业务区域的重要系统。 4项工作管理机制:信息安全风险评估和测评机制、 信息安全检查机制、信息安全通报和应急处理协调 机制、信息安全综合管理和监督机制。
等级保护工作开展情况
梳理重要信息系统 定级备案完成率
整改完成率 测评完成率
金保一期信息安全建设情况
基础安全防护 安全管理规范
9
2.4 安全现状和需求分析
信息安全政策要求
基本法规政策文件:《国务院关于大力推进信息化发展和切实保障信息安全 的若干意见》(国发[2012]23号)……
7
2.3 基本建设策略
统筹规划,协同防护 合规设计,补差优化 体系防护,注重均衡 机制并举,完善体系
8
2.4 安全现状和需求分析
信息安全态势
组织化网络攻击事件频增(政治和经济目的) Sql注入、APT等典型攻击行为和木马植入广泛使用,信息泄露等安全
事件突出 信息安全漏洞数量多遍布广、危害重 信息系统性和结构性隐患突出,行业系统性风险上升 外网边界防护脆弱,易成“跳板”危及专网等内部网络安全 新技术新应用引发新风险情况(大数据、云计算和移动互联网)
部分等级保护信息安全控制点完全不符合。 新技术、新业务的推广应用,信息安全形势日趋严峻,以及金保工程二
期建设涉及诸多系统的整合集中、新建和改扩建,网络系统朝着“广、 大、深、远”的方向发展,都将带来新的信息安全风险。 安全防护技术机制配备不均衡,安全域结构欠合理,数据安全和应用安 全方面比较薄弱,安全监控和预警能力严重不足,同时网路安全和物理 安全方面也存在很多问题。 信息安全等级保护工作刚刚起步,尚有很多地方未完成系统的定级工作 ,有些地方也只是刚刚开展等级保护安全整改,多数未开展风险评估和 等级保护测评工作。 信息安全管理制度仍然不健全,日常安全运维流程不完善,管理相对粗 放,风险处置方面存在隐患,安全责任没有完全层层落实,重技术轻管 理。
2.4 安全现状和需求分析
核心和重要资产分析
信息系统资产名称
社会保险业务监测信息——监测分析信息类
信息资产分类
数据库和数据文件
源生信息系统和途径
原始产生
传输、处理和存储的信息系 纵向应用支撑平台、社会保险业务监测系统
统
/相应服务器
信息资产的生命期
定期
信息量规模
十亿条以上
信息敏感性
高
机密性
高
安全属性 完整性
金保工程二期 信息安全保障体系设计
人力资源和社会保障部信息中心 信息安全管理处 许华光 2013.8
大纲
1. 信息安全保障体系框架
体系框架结构图 金保二期安全保障建设内容
2. 基础安全防护系统设计 3. 电子认证体系设计 4. 信息安全管理工作
2
1.1 体系框架结构图
3
1.2 金保二期安全保障建设内容
6
2.2 主要建设内容
落实等级保护:省级达到80%以上,市级达到75%以上。 优化安全结构:优化网络结构,合理划分网络安全防护边界和安
全区域,实现纵深防御、区域访问控制和有效安全隔离。 严格控制边界:按照互联部门业务数据和用户属性分类规划统一
的数据交换区,实现网络互联出入口的集中防护和监控。 完善各项审计:建立重要信息系统、重要网络区域的安全监控和
等级保护文件:《关于加强国家电子政务工程建设项目信息安全风险评估工 作的通知》(发改高技[2008]2071号)……
网络信任体系文件:《关于印发〈电子政务电子认证服务管理办法〉的通知 》(国密局发[2009]7号)
其他安全管理工作文件
信息ቤተ መጻሕፍቲ ባይዱ统定级分析
业务信息安全特性:信息量规模、信息来源、业务信息安全属性(保密性/完 整性/可用性)、最大影响程度。
审计机制。 强化互联网防护:加强面向互联网业务信息系统的安全防护和监
控,建立网站防渗透、防篡改、防信息泄露和安全监测审计机制。 强化数据安全:加强关键业务数据的防丢失、防泄露和防篡改。 构建统一安管平台:建立和完善信息安全监控平台和安全审计平
台。在部、省、市各级人力资源社会保障网络系统部署统一信息安 全监控平台和安全审计平台。 规范管理:建立和完善安全管理机制和组织体系,建立健全信息安 全应急处理协调机制、安全通报机制和制度化专业化的检查机制, 提高对网络安全事件应对和防范能力。
系统服务安全特性:系统分布结构、访问系统用户范围、系统服务对象规模 、系统服务的实时性、最大影响程度。
等保基本要求差距分析 信息安全风险分析
金保一期安全建设主要问题 核心和重要资产分析 信息系统脆弱性和威胁分析
10
2.4 安全现状和需求分析
主要问题
信息安全建设规划不足,资金投入不到位。 信息安全保障体系建设不全面,多数等级保护基本要求项不符合,甚至
基础安全防护系统(含信息安全管理和服务体系) 电子认证和应用安全支撑系统 信息安全管理体系和信息安全服务体系 物理安全设施 ——机房环境设计 灾难备份系统 ——网络系统设计
4
大纲
1. 信息安全保障体系框架
2. 基础安全防护系统设计
建设目标
安全域总体结构
主要建设内容
省市安全防护策略
中
可用性
高
生命周期保 护需求
信息传递保护 信息传递保护 信息销毁 要求
√ √ √
12
2.4 安全现状和需求分析
脆弱性和风险分析
网络层、系统层、应用层等 管理方面 新技术发展的风险分析
信息系统威胁分析
基本建设策略
信息安全管理体系
安全现状和需求分析
信息安全服务体系
基础安全防护总体架构
产品选型策略
3. 电子认证体系设计
4. 测算说明
5
2.1 建设目标
1套体系、2个重点、3个全面、4项机制 1套综合安全防护体系:包括技术和管理两方面,外 防和内控兼顾,以纵深防御、分等级分区域保护为 核心的综合安全防护体系。 2个重点:应用安全和数据安全两方面重点问题。 3个全面:部省市人力资源社会保障2级以上信息系 统全面通过等级保护测评,防火墙、入侵检测和防 护系统、网络监控和审计系统等边界防护系统全面 部署到网络互联边界,数据访问控制和审计功能全 面配置到核心业务区域的重要系统。 4项工作管理机制:信息安全风险评估和测评机制、 信息安全检查机制、信息安全通报和应急处理协调 机制、信息安全综合管理和监督机制。
等级保护工作开展情况
梳理重要信息系统 定级备案完成率
整改完成率 测评完成率
金保一期信息安全建设情况
基础安全防护 安全管理规范
9
2.4 安全现状和需求分析
信息安全政策要求
基本法规政策文件:《国务院关于大力推进信息化发展和切实保障信息安全 的若干意见》(国发[2012]23号)……
7
2.3 基本建设策略
统筹规划,协同防护 合规设计,补差优化 体系防护,注重均衡 机制并举,完善体系
8
2.4 安全现状和需求分析
信息安全态势
组织化网络攻击事件频增(政治和经济目的) Sql注入、APT等典型攻击行为和木马植入广泛使用,信息泄露等安全
事件突出 信息安全漏洞数量多遍布广、危害重 信息系统性和结构性隐患突出,行业系统性风险上升 外网边界防护脆弱,易成“跳板”危及专网等内部网络安全 新技术新应用引发新风险情况(大数据、云计算和移动互联网)
部分等级保护信息安全控制点完全不符合。 新技术、新业务的推广应用,信息安全形势日趋严峻,以及金保工程二
期建设涉及诸多系统的整合集中、新建和改扩建,网络系统朝着“广、 大、深、远”的方向发展,都将带来新的信息安全风险。 安全防护技术机制配备不均衡,安全域结构欠合理,数据安全和应用安 全方面比较薄弱,安全监控和预警能力严重不足,同时网路安全和物理 安全方面也存在很多问题。 信息安全等级保护工作刚刚起步,尚有很多地方未完成系统的定级工作 ,有些地方也只是刚刚开展等级保护安全整改,多数未开展风险评估和 等级保护测评工作。 信息安全管理制度仍然不健全,日常安全运维流程不完善,管理相对粗 放,风险处置方面存在隐患,安全责任没有完全层层落实,重技术轻管 理。