基于等级保护的信息系统安全防护体系建设方案

信息系统安全保护等级准则中对恶意代码的安全防护要求
按照不同安全保护等级的要求，分别采用以下安全防护措施： • 严格管理：严格控制各种外来介质的使用，防止恶意代码通过介质传播； • 网关防护：要求在所有恶意代码可能入侵的网络连接部位设置防护网关，拦截并清除企图 进入系统的恶意代码 • 整体防护：设置恶意代码防护管理中心，通过对全系统的服务器、工作站和客户机，进行 恶意代码防护的统一管理，及时发现和清除进入系统内部的恶意代码； • 防管结合：将恶意代码防护与网络管理相结合，在网管所涉及的重要部位设置恶意代码防
信息系统等级保护基本框架
《信息系统安全等级保护基本要求》在整体上大的分类，其中技术部分分为：物理安全、网络安全、 主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机 构、人员安全管理、系统建设管理和系统运维管理等5大类，
技术要求
物理安全
1.
2. 3. 4.
网络安全
级别 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 严格管理 严格管理和网关防护 严格管理、网关防护和整体防护 防护要求 达到目标 设计和实现恶意代码防护功能 设计和实现恶意代码防护功能 设计和实现恶意代码防护功能
安全探测机制和安全监控中心 设计和实现信息系统的安全 严格管理、网关防护、整体防 监控功能 护和防管结合 设计和实现恶意代码防护功 能 安全探测机制和安全监控中心 设计和实现信息系统的安全 严格管理、网关防护、整体防 监控功能 护、防管结合和多层防御 设计和实现恶意代码防护功 能
主机安全
终端安全
数据安全
应用安全
运维管理 其他
信息安全等级保护解决方案与等级满足情况(基于趋势科技产品）
趋势科技安全解决方案 等保考量维度 二级 满足情况 三级
NVWE、Officescan
Deep Security Deep Security TDA、Officescan、IWSA TMCM DLP、云中保险箱、IMSA PSP MOC、TRS
安全保护能力或要 求有差别——等级
Identification
& Authentication 鉴别认证
核心交换机 时代大厦
集装箱码头 大窑湾 电话网 拨号服务器 大连湾
入侵检测 大窑湾数据中心
流量分析
匹配
ccess Control 访问控制
A
ontent Security 内容安全
C
强安全区域
R
系统根据价值 和影响力可以 划定安全等级
9.
系统资源控制
10. 系统自我保护
10. 软件容错
11. 代码安全
管理要求
安全管理制度 安全管理机构
1. 2. 管理制度 制订和发布 1. 2. 3. 4. 5. 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查
人员安全管理
1. 2. 3. 4. 5. 人员录用 人员离岗 人员考核
系统建设管理
信息安全等级保护建设目标
保障计算环境安全
保障网络连接安全
保障应用系统安全
保障基础设施安全
信息安全等级 保护建设目标
安全管理体系保障
1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案
* * *
针对恶意代码防护在不同等级中的管理要求
• 恶意代码防护管理基本要求；
• 基于制度化的恶意代码防护管理；
• 基于集中管控的恶意代码防护管理； • 基于监督检查的恶意代码防护管理；
• 基于集中实施的恶意代码防护管理；
信息安全等级保护所需解决方案对应表
类别
网络安全 网络出口边界防护 域间防护 网络状态嗅探 网络漏洞扫描 网络防恶意代码 配置和行为审计 主机漏洞扫描 主机防恶意代码 主机安全加固 主机资源、性能监控 主机集群 身份认证 配置和行为审计 终端防恶意代码 终端安全加固 终端准入 终端安全状况审计 数据备份 数据防泄露 数据加密 数据使用行为监控 应用防火墙 网页防篡改 应用、数据库安全审计 邮件审计 统一安全运维平台 统一资产管理平台 制度安全 物理安全
8.
9.
来自百度文库恶意代码防范
变更管理
10. 安全服务商选择
10. 密码管理 11. 系统备案
11. 系统备案
12. 备份和恢复
13. 备份和恢复 14. 应急计划管理
1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案
第五级 访问验证保护级
针对恶意代码防护在不同等级中的技术要求
安全保护等级 安全功能技术要求 用户自主保护 系 统 审 计 保 护 级 级 恶意代码防护 * * a）严格管理 * * b）网关防护 * c）整体防护 d）防管结合 e）多层防御 信息系统安全监控 a）安全探测机制 b）安全监控中心 注：“*”号表示具有该要求。 安全标记保护 级 * * * * 结构化保护 级 * * * * * * * * * 访问验证保 护级 * * * * * * * * *
基于等级保护的安全防护体系建设方案
1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案
信息安全等级保护解释
外网非安全区域 DMZ区域
内网 互联网
内网安全区域
各二级单位
非信任区域
航运市场
信息安全等级保护方案建设阶段
：分析信息安全现状
：识别企业目前的安全现
状与等级保护之间的差距
：确定信息安全战略以及
相应的信息安全需求
：规划未来 3-5年内的需
要实施的安全项目
信息安全等级保护体系设计方法
5级
客户的信息资产
整体 安全目标 分解 分等级的 安全目标
基 本 安 全 要 求
4级 3级 2级 1级
护软件，在所有恶意代码能够进入的地方都采取相应的防范措施，防止恶意代码侵袭；
• 多层防御：采用实时扫描、完整性保护和完整性检验等不同层次的防护技术，将恶意代码 检测、多层数据保护和集中式管理功能集成起来，提供全面的恶意代码防护功能，检测、 发现和消除恶意代码，阻止恶意代码的扩散和传播。
针对恶意代码防护在不同等级中的技术要求
1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案
信息安全体系框架
安全防护机制
管 框理 架体 系
安全监测机制
安全响应机制
安全风险管理体系
评估安全风险 制定安全策略 实施安全策略 审核策略有效性
国家规定的 各等级 安全要求 定制
定级 分等级的 保护对象框架
安全要求与对策框架
策略体系 组织体系 技术体系 运作体系
等级化 安全体系
体系建设 和运行
1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案
nt da ry n u e ed cov 复 e 恢 R 余 & 冗
ud it Re & sp o 审计 ns e 响应
A
信息安全等级保护政策要求
计算机信息系统安全等级保护要求和影响程度
政策要求： 27号文：纲领性文件，信息安全等级保护为安全国策 66号文：四部委关于等级保护实施的计划 43号文：公安部的信息安全等级保护管理办法
1. 2. 3. 网络访问控制 拨号安全控制
主机系统安全
1. 2. 3. 4. 身份鉴别 自主访问控制 强制访问控制 安全审计
应用安全
1. 2. 3. 4. 5. 6. 7. 8. 9. 身份鉴别 访问控制 通信完整性 通信保密性 安全审计
数据安全
1.
2. 3.
物理位置选择
物理访问控制 防盗窃和防破坏 防雷击
安全建设领域
所需解决方案 交换机、路由器、防火墙、IDS/IPS 交换机、路由器、防火墙、IDS/IPS 网络嗅探设备、网络测试仪等 网络漏洞扫描工具 杀毒、内容过滤等网关类安全设备 网络审计工具 主机漏洞扫描工具，配置扫描类工具 主机查杀工具
主机IPS/IDS，补丁、软件、安全策略统一分发 主机资源和性能监控平台 冗余软、硬件设备、双机集群软件 统一身份认证、双因子强认证等 主机审计工具 终端查杀工具 终端 FW/IDS，补丁、软件、安全策略统一分发 终端准入解决方案 终端安全审计工具 数据、操作系统、配置、软件代码的归档和备份平台 数据防泄露产品 加密类、数据签名类软件 数据使用审计工具 针对web server、proxy、网络应用等的特殊防火墙 网页防篡改解决方案 应用和数据库安全审计工具 邮件审计工具 MOC安全运维平台 CMDB数据库和运维平台 制度制定、流程制定、变更管理、文档管理等 机房、电力、防水、防火、防雷、人员进出等
访问控制
安全审计 入侵防范 恶意代码防范 集中管理 数据安全 运维管理 安全威胁监控
满足
满足 满足 满足 满足 满足 满足 满足
满足
满足 满足 满足 满足 满足 满足 满足
信息安全等级保护细则要求与趋势科技解决方案对应
谢谢！
组 框织 架体 系
物理防护 主机防护 网络防护 数据保护
安全筹划指导委员会 安全风险管理小组 信息安全组/信息技术组
物理监测 主机监测 网络监测 应用监测 预警/报警/审计 系统备份与恢复
技 框术 架体 系
信息安全基础设施
信息安全等级保护的生命周期
定级阶段
规划设计阶段
安全实施/实现阶段
安全运行管理阶段
结构安全和网段划分
数据完整性
数据保密性 安全备份
4.
5. 6. 7. 8.
网络安全审计
边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护
5.
6. 7. 8. 9.
防火
防水和防潮 温湿度控制 电力供应 电磁防护
5.
6. 7. 8.
可信路径
剩余信息保护 恶意代码防范 入侵防范
剩余信息保护 恶意代码防范 抗抵赖 资源控制
管 理 制 度 的 建 设
人 员 配 置 和 岗 位 培 训
安 全 建 设 过 程 的 管 理
操 作 管 理 和 控 制
变 更 管 理 和 控 制
安 全 状 态 监 控
安 全 事 件 处 置 和 应 急 预 案
安 全 评 估 和 持 续 改 进
监 督 检 查
/
信息系统等级保护实施生命周期内的主要活动
系 统 调 查 和 描 述
子 系 统 划 分 分 解
子 系 统 边 界 确 定
安 全 等 级 确 定
定 级 结 果 文 档 化
等 级 化 风 险 评 估
安 全 总 体 设 计
安 全 建 设 规 划
安 全 方 案 设 计
安 全 产 品 采 购
安 全 控 制 集 成
测 试 与 验 收
管 理 机 构 的 设 置
1. 2. 3. 4. 5. 6. 7. 8. 9. 系统定级 安全风险评估 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付
系统运维管理
1.
2. 3. 4. 5. 6. 7.
系统备案
资产管理 设备管理 介质管理
3.
评审和修订
安全意识教育和培训 第三方人员访问管理
运行维护和监控 网络安全管理 系统安全管理