【精品】做好新型信息技术发展应用信息安全等级保护工作ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统云化是指其信息处理流程在云计算中心 完成。因此云计算中心负有安全保障责任,也有 信息系统用户的行为安全责任
云计算中心可以同时运行多个不同安全级别的信 息系统。云计算中心安全级别不低于承运最高等 级信息系统的级别
云中心一般由用户网络接入、访问应用边界 、计算环境和管理平台组成(如下图所示),
安全保护等级划分准则(GB/178591999)核心是对信息系统从三个方面 实施保护
1、You可can信 Be like God
2、You可can控 Be like God
3、You可can管 Be like God
针对计算资源(软硬件)构建保 护环境,以可信计算基(TCB) 为基础,层层扩充,对计算资源 进行保护
计算环境 区域边界 通信网络 三重防御体系是必要的,可行的
具体设计可参照(GB/T25070-2010)
要坚持正确的技术路线,从国情出发, 按需适度安全,逐步发展完善
要加强定级对象信息系统整体防护, 1 建设管理中心支持下的计算环境、区
域边界、通信网络三重防护体系结构
2
要重点做好操作人员使用的终端防护,把住 攻击发起的源头关,做到操作使用安全
数据库服务
基础架构层
虚拟化服务
服务器
网络
存储
物理资源
管理平台 服务管理员
运维管理 业务管理 安全管理
可信云计算体系安全架构
可信计算环境
在安应全用管服理务中资心源支撑下的 计➢可信平计台算环境 算➢可信边虚界拟层 节➢可信通信网络
点三计重算防单护元架构
可信计算设备
可信通
可 信
信网络
接
入
边
界
用户 终端
业务融合
网络基础设施
物联网:
传 感
网络
应用处理
通信
器
环境
域
云计算:
用
户
软件即服务(SaaS) (行业应用、工具应用等)
平台即服务(PaaS)
(可扩展的运行环境、数据存储等)
Байду номын сангаас
基础架构即服务(IaaS) (虚拟服务器、存储、网络)
硬件设施
信息安全等级保护是按信息处理系统 的计算资源和信息资源重要程度不同 实施不同保护强度的保障措施
信
确接保计算环境可信
入
平
服务提供
台
2、可信云计算应用边界
计算环境 应用服务
可
可
信 链
控 制 流
传
计算平台 程
递
计 虚拟化
可算 信接入
可 信
信 接 入 平 台
验 算证资用源户 可节点请 信求(基可和础信连设根接施)的计
用户服务请求 服务提供
3、可信云计算通信网络
可信计算环境
应用服务资源
计 平台 算 虚拟层
系统 安全 审计 安全管理中心
1、可信云计算环境
计算环境 应用服务
可
信 链
控 制 流
传
计算平台 程
递
计 虚拟化
由用户确定算节主体/客
可 信
体关系,制点定基访础问设施
控制策略,确(保可控信根)
制流程可信
可信链传递
从基础设施可信根出发
度量基础设施、计算平台
验证虚拟计算资源可信
支持可应用服务用的户可服信务请求
节
可信通
可 信
信网络
接
入
边
界
用户 终端
点 计算单元
可信计保 信算证设用备户与云中心通信安全可
系统 安全 审计 安全管理中心
4、可信云计算安全管理
可信计算环境基于策略的管理
计算节应用系 安 审服统 全 计平虚务管 管 管台拟资理 理 理层源保 负 负证责责资授追源权踪可和和信策应略急处理可信接入边界(((可信双中用信网方心户通络)))
3 防内为主,内外兼防,提高计算节点自身防 护能力,减少从外部入口上的封堵
4
加强技术平台支持下的安全管理,应与业务处 理、监控及日常安全管理制度相结合
5
为便于技术方案实施,整改时不改或少改原有 的应用系统。以信息处理流程制定安全策略,
实施访问控制
3)新型信息技术应用的等级保护 技术框架
下面以云计算为例,介绍等级保护技术框架
用户 终端
点 计算单元
可信计算设备
系统 安全 审计 安全管理中心
结束语
谢谢大家聆听!!!
26
做好新型信息技术发展应用信 息安全等级保护工作
当前,我国信 息化发展正进 入全面深化的 新阶段
➢工业控制信息化 ➢三网融合 ➢物联网 ➢云计算
这些新型信息技术发展应用,给我国网络与信
息安全保障工作提出了新任务,对信息安全等 级保护工作进行了全面挑战
三网融合:
综合业务应 用
电信
广电
互联网
可形成虚拟应用、虚拟计算节点以及虚拟(逻辑 )计算环境,由此构建可信计算安全主体结构
可信计算是指:计算处理结果与预期的相一致,
中间过程可控制管理、可度量验证
用户 接入边界 用 访问接口
户 终 端
WEB
通信
WEB
网络
服务
用 户 终 端
云中心组成架构
计算环境
软件应用层
应用多用户
应用虚拟化
平台层
中间层服务
针对信息资源(数据及应用)构 建业务流程控制链,以访问控制 为核心,实行主体(用户)按策 略规则访问客体(信息资源)
保证资源安全必须实行科学管理 ,强调最小权限管理,尤其是高 等级系统实行三权分离管理体制 ,不许设超级用户
针对上述四类新应用,按GB/17859要 求,构建在 安全管理中心 支持下的
云计算中心可以同时运行多个不同安全级别的信 息系统。云计算中心安全级别不低于承运最高等 级信息系统的级别
云中心一般由用户网络接入、访问应用边界 、计算环境和管理平台组成(如下图所示),
安全保护等级划分准则(GB/178591999)核心是对信息系统从三个方面 实施保护
1、You可can信 Be like God
2、You可can控 Be like God
3、You可can管 Be like God
针对计算资源(软硬件)构建保 护环境,以可信计算基(TCB) 为基础,层层扩充,对计算资源 进行保护
计算环境 区域边界 通信网络 三重防御体系是必要的,可行的
具体设计可参照(GB/T25070-2010)
要坚持正确的技术路线,从国情出发, 按需适度安全,逐步发展完善
要加强定级对象信息系统整体防护, 1 建设管理中心支持下的计算环境、区
域边界、通信网络三重防护体系结构
2
要重点做好操作人员使用的终端防护,把住 攻击发起的源头关,做到操作使用安全
数据库服务
基础架构层
虚拟化服务
服务器
网络
存储
物理资源
管理平台 服务管理员
运维管理 业务管理 安全管理
可信云计算体系安全架构
可信计算环境
在安应全用管服理务中资心源支撑下的 计➢可信平计台算环境 算➢可信边虚界拟层 节➢可信通信网络
点三计重算防单护元架构
可信计算设备
可信通
可 信
信网络
接
入
边
界
用户 终端
业务融合
网络基础设施
物联网:
传 感
网络
应用处理
通信
器
环境
域
云计算:
用
户
软件即服务(SaaS) (行业应用、工具应用等)
平台即服务(PaaS)
(可扩展的运行环境、数据存储等)
Байду номын сангаас
基础架构即服务(IaaS) (虚拟服务器、存储、网络)
硬件设施
信息安全等级保护是按信息处理系统 的计算资源和信息资源重要程度不同 实施不同保护强度的保障措施
信
确接保计算环境可信
入
平
服务提供
台
2、可信云计算应用边界
计算环境 应用服务
可
可
信 链
控 制 流
传
计算平台 程
递
计 虚拟化
可算 信接入
可 信
信 接 入 平 台
验 算证资用源户 可节点请 信求(基可和础信连设根接施)的计
用户服务请求 服务提供
3、可信云计算通信网络
可信计算环境
应用服务资源
计 平台 算 虚拟层
系统 安全 审计 安全管理中心
1、可信云计算环境
计算环境 应用服务
可
信 链
控 制 流
传
计算平台 程
递
计 虚拟化
由用户确定算节主体/客
可 信
体关系,制点定基访础问设施
控制策略,确(保可控信根)
制流程可信
可信链传递
从基础设施可信根出发
度量基础设施、计算平台
验证虚拟计算资源可信
支持可应用服务用的户可服信务请求
节
可信通
可 信
信网络
接
入
边
界
用户 终端
点 计算单元
可信计保 信算证设用备户与云中心通信安全可
系统 安全 审计 安全管理中心
4、可信云计算安全管理
可信计算环境基于策略的管理
计算节应用系 安 审服统 全 计平虚务管 管 管台拟资理 理 理层源保 负 负证责责资授追源权踪可和和信策应略急处理可信接入边界(((可信双中用信网方心户通络)))
3 防内为主,内外兼防,提高计算节点自身防 护能力,减少从外部入口上的封堵
4
加强技术平台支持下的安全管理,应与业务处 理、监控及日常安全管理制度相结合
5
为便于技术方案实施,整改时不改或少改原有 的应用系统。以信息处理流程制定安全策略,
实施访问控制
3)新型信息技术应用的等级保护 技术框架
下面以云计算为例,介绍等级保护技术框架
用户 终端
点 计算单元
可信计算设备
系统 安全 审计 安全管理中心
结束语
谢谢大家聆听!!!
26
做好新型信息技术发展应用信 息安全等级保护工作
当前,我国信 息化发展正进 入全面深化的 新阶段
➢工业控制信息化 ➢三网融合 ➢物联网 ➢云计算
这些新型信息技术发展应用,给我国网络与信
息安全保障工作提出了新任务,对信息安全等 级保护工作进行了全面挑战
三网融合:
综合业务应 用
电信
广电
互联网
可形成虚拟应用、虚拟计算节点以及虚拟(逻辑 )计算环境,由此构建可信计算安全主体结构
可信计算是指:计算处理结果与预期的相一致,
中间过程可控制管理、可度量验证
用户 接入边界 用 访问接口
户 终 端
WEB
通信
WEB
网络
服务
用 户 终 端
云中心组成架构
计算环境
软件应用层
应用多用户
应用虚拟化
平台层
中间层服务
针对信息资源(数据及应用)构 建业务流程控制链,以访问控制 为核心,实行主体(用户)按策 略规则访问客体(信息资源)
保证资源安全必须实行科学管理 ,强调最小权限管理,尤其是高 等级系统实行三权分离管理体制 ,不许设超级用户
针对上述四类新应用,按GB/17859要 求,构建在 安全管理中心 支持下的