1、天融信等級保護解決方案天融信等級保護解決方案TopSec等級保護體系等級保護體系天融信安全服務總監天融信安全服務總監 田野田野 Tian_Tian_等級保護的政策文件等級保護的政策文件20032003年年9 9月月中辦國辦頒發中辦國辦頒發關于加強信息安關于加強信息安全保障工作的意見全保障工作的意見中辦發中辦發200327200327號號20052005年年9 9月月國信辦文件國信辦文件 關于轉發關于轉發電電子政務信息安全等子政務信息安全等級保護實施指南級保護實施指南的通知的通知 國信辦國信辦200425200425號號20062006年年1 1月月四部委會簽四部委會簽 關于印發關于印發信信息安

2、全等級保護管息安全等級保護管理辦法的通知理辦法的通知 公通字公通字2006720067號號20052005年年 公安部標準公安部標準基本要求基本要求定級指南定級指南實施指南實施指南測評準則測評準則20042004年年1111月月四部委會簽四部委會簽關于信息安全等關于信息安全等級保護工作的實施級保護工作的實施意見意見公通字公通字200466200466號號云南云南云南省人民云南省人民政府第政府第130130號令號令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9號令號令 國家級政策文件國家級政策文件國家級技術標準國家級技術標準國家級政策文件國家級政策文件地方政策文件

3、地方政策文件等級保護的管理結構北京為例等級保護的管理結構北京為例國家信息辦國家信息辦公安部網監局公安部網監局北京信息辦北京信息辦北京公安局網監處北京公安局網監處北京測評中心北京測評中心北京研究一所北京研究一所管理職能：管理職能：監管和測評監管和測評技術支持單位：技術支持單位：定級、測評定級、測評安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商服務實施單位：服務實施單位：咨詢、實施、產咨詢、實施、產品、運維品、運維北京信息辦北京信息辦北京信息辦北京信息辦北京測評中心北京測評中心北京測評中心北京測評中心北京公安局網監處北京公安局網監處北京公安局網監處北京公安局網監處北京研究一所北京

4、研究一所北京研究一所北京研究一所安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商安全廠商、服務商政策、宏觀管政策、宏觀管理、協調理、協調電子政務領域電子政務領域其他行業領域其他行業領域北京市屬北京市屬的電子政的電子政務系統務系統地處北京地處北京的各部委的各部委各行業各行業等級保護的政策文件與技術演進等級保護的政策文件與技術演進20032003年年9 9月月中辦國辦頒發中辦國辦頒發關于加強信息安全保關于加強信息安全保障工作的意見障工作的意見（中辦發（中辦發200327200327號）號）20042004年年1111月月四部委會簽四部

5、委會簽關于信息安全等級保關于信息安全等級保護工作的實施意見護工作的實施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關于轉發關于轉發電子政電子政務信息安全等級保護實務信息安全等級保護實施指南施指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標準公安部標準等級保護安全要求等級保護安全要求等級保護定級指南等級保護定級指南等級保護實施指南等級保護實施指南等級保護測評準則等級保護測評準則總結成一種安全工總結成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路

6、提出路提出確認為國家信息安確認為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護的基形成等級保護的基本理論框架，制定本理論框架，制定了方法，過程和標了方法，過程和標準準等級保護基本需求等級保護基本需求 政策要求符合等級保護的要求政策要求符合等級保護的要求 系統定級系統定級 系統符合系統符合基本要求基本要求中相應級別的指標中相應級別的指標 符合符合測評準則測評準則中的要求中的要求 實際需求適應客戶實際情況實際需求適應客戶實際情況適應業務特性與安全要求的差異性適應業務特性與安全要求的差異性可工程化實施可工程化實施基本安全要求中的各級指標基本安全要求中的各級指標

7、某級系統某級系統物理安全物理安全技術要求技術要求管理要求管理要求基本要求基本要求網絡安全網絡安全主機安全主機安全應用安全應用安全數據安全數據安全安全管理機構安全管理機構安全管理制度安全管理制度人員安全管理人員安全管理系統建設管理系統建設管理系統運維管理系統運維管理等級保護的生命周期等級保護的生命周期信息系統等級保護實施生命周期內的主要活動規劃設計階段安全實施/實現階段安全運行管理階段等級化風險評估安全總體設計安全建設規劃安全方案設計 安全產品采購安全控制集成測試與驗收管理機構的設置管理制度的建設人員配置和崗位培訓安全建設過程的管理操作管理和控制變更管理和控制安全狀態監控安全事件處置和應急預案安

8、全評估和持續改進監督檢查定級階段系統調查和描述子系統劃分/分解子系統邊界確定安全等級確定定級結果文檔化等級保護實施中需要解決的問題等級保護實施中需要解決的問題標準中從標準中從“單個系統單個系統”出發，但實際工作是從出發，但實際工作是從組織整體出發，整體考慮所有系統組織整體出發，整體考慮所有系統 各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖突和割裂，形成信息孤島 復雜大系統的分解和差異性安全要求描述很困難復雜大系統的分解和差異性安全要求描述很困難 各系統安全單獨建設，將造成分散、重復和低水平各系統安全單獨建設，將造成分散、重復和低水平在建立長效機制方面考慮較少，難以做到可持在建

9、立長效機制方面考慮較少，難以做到可持續運行、發展和完善續運行、發展和完善管理難度太大，管理成本高管理難度太大，管理成本高需求分析需求分析1問題問題1 1：標準中從標準中從“單個系統單個系統”出發，但實際工作出發，但實際工作是從組織整體出發，整體考慮所有系統是從組織整體出發，整體考慮所有系統 各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖突和割裂，形成信息孤島需求：從組織整體出發，綜合考核所有系統需求：從組織整體出發，綜合考核所有系統方法：引入體系設計方法方法：引入體系設計方法組織戰略和業務目標組織戰略和業務目標組織總體信息安全目標組織總體信息安全目標安全要求安全要求安全措施安全

10、措施結構體結構體安全體系設計方法安全體系設計方法結構化分解原則：從組織總體目標出發充分覆蓋，互不重疊，不可再細分安全體系的組成安全體系的組成安全問題保護對保護對象框架象框架安全對安全對策框架策框架界定和分解界定和分解映射映射安全體系安全體系綜合綜合需求分析需求分析2標準中從標準中從“單個系統單個系統”出發，但實際工作是從出發，但實際工作是從組織整體出發，整體考慮所有系統組織整體出發，整體考慮所有系統 各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖突和割裂，形成信息孤島 復雜大系統的分解和差異性安全要求描述很困難復雜大系統的分解和差異性安全要求描述很困難 需求：準確地進行大系統的

11、分解和描述，反映實際需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求特性和差異性安全要求 方法：引入保護對象框架設計方法方法：引入保護對象框架設計方法保護對象框架電信行業保護對象框架電信行業保護對象框架保護對象框架-政府行業政府行業中央節點中央節點直屬節點直屬節點政務外網政務外網政務專網政務專網政務內網政務內網保護對象框架銀行業保護對象框架銀行業需求分析需求分析3標準中從標準中從“單個系統單個系統”出發，但實際工作是從出發，但實際工作是從組織整體出發，整體考慮所有系統組織整體出發，整體考慮所有系統 各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖突和割裂，形成信息

12、孤島 復雜大系統的分解和差異性安全要求描述很困難復雜大系統的分解和差異性安全要求描述很困難 各系統安全單獨建設，將造成分散、重復和低水平各系統安全單獨建設，將造成分散、重復和低水平 需求：統一規劃，集中建設，避免重復和分散，降需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平低成本，提高建設水平 方法：引入安全平臺的設計與建設方法方法：引入安全平臺的設計與建設方法終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺集中機房與物理環境安全集中機房與物理環境安全安全管理運行中心安全管理運行中心終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺防病毒、補丁和終端管理平臺防病毒

13、、補丁和終端管理平臺終端安全全程全網監控和審計平臺全程全網監控和審計平臺全網統一監控和審計平臺全網統一監控和審計平臺終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺安全域和網絡訪問控制平臺安全域和網絡訪問控制平臺基礎設施安全基礎設施安全網絡安全監控審計第三方統一安全接入平臺第三方統一安全接入平臺應用加密平臺應用加密平臺第三方統一安全接入平臺第三方統一安全接入平臺統一鑒別認證平臺統一鑒別認證平臺數據備份與冗災平臺數據備份與冗災平臺統一身份認證與授權管理平臺統一身份認證與授權管理平臺認證授權數據安全加密應用安全應用安全安全平臺安全平臺物理安全平臺定義：為系統提供互操作性及其服務的環境平臺定

14、義：為系統提供互操作性及其服務的環境需求分析需求分析4標準中從標準中從“單個系統單個系統”出發，但實際工作是從組織整體出發，但實際工作是從組織整體出發，整體考慮所有系統出發，整體考慮所有系統各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖突和割裂，形成信息孤島復雜大系統的分解和差異性安全要求描述很困難復雜大系統的分解和差異性安全要求描述很困難各系統安全單獨建設，將造成分散、重復和低水平各系統安全單獨建設，將造成分散、重復和低水平在建立長效機制方面考慮較少，難以做到可持續運行、在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善發展和完善需求：建立長效機制，建立可持續運行、發

15、展和完善的需求：建立長效機制，建立可持續運行、發展和完善的體系體系方法：建立安全運行體系方法：建立安全運行體系項目建設項目建設安全管理安全管理安全風險安全風險管理管理安全運行安全運行維護維護安全體系安全體系的建設的建設制定企業或制定企業或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標安全目標安全要求安全要求提出安全提出安全規范、要求規范、要求根據要求根據要求評估建設評估建設跟蹤、定期審核跟蹤、定期審核安全建設工作安全建設工作按要求進行按要求進行安全建設工作安全建設工作申請立項申請立項提供項目安全說明提供項目安全說明弱點評估弱點評估系統加固系統加固安全事

16、件處理安全事件處理按要求進行按要求進行建設建設應急響應計劃應急響應計劃定期評估定期評估安全現狀安全現狀監控、審計監控、審計安全現狀安全現狀安全預警安全預警提出規范、要求提出規范、要求設備安全維護設備安全維護系統安全維護系統安全維護考核和檢查考核和檢查落實規范、要求落實規范、要求制定運維作業計劃制定運維作業計劃總部層面總部層面省級層面省級層面系統層面系統層面安全運行體系安全運行體系需求分析需求分析5標準中從標準中從“單個系統單個系統”出發，但實際工作是從組織整出發，但實際工作是從組織整體出發，整體考慮所有系統體出發，整體考慮所有系統 各系統單獨保護，將沖突和割裂，形成信息孤島各系統單獨保護，將沖

17、突和割裂，形成信息孤島 復雜大系統的分解和差異性安全要求描述很困難復雜大系統的分解和差異性安全要求描述很困難 各系統安全單獨建設，將造成分散、重復和低水平各系統安全單獨建設，將造成分散、重復和低水平在建立長效機制方面考慮較少，難以做到可持續運行、在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善發展和完善管理難度太大，管理成本高管理難度太大，管理成本高需求：需要高水平、自動化的安全管理工具需求：需要高水平、自動化的安全管理工具方法：引入安全管理平臺方法：引入安全管理平臺安全運維工作過程安全運維工作過程正常工作流程自上而下正常工作流程自上而下異常工作流程自下而上異常工作流程自下而上安全管

18、理中心框架安全管理中心框架需求分析總結需求分析總結 符合等級保護制度與標準符合等級保護制度與標準 引入體系設計方法引入體系設計方法引入保護對象框架設計方法引入保護對象框架設計方法引入安全平臺的設計與建設方法引入安全平臺的設計與建設方法建立安全運行體系建立安全運行體系 以可信的理念和技術作支撐以可信的理念和技術作支撐總體解決方案總體解決方案TopSec等級保護體系等級保護體系 遵照國家等級保護制度、滿足客戶實際需求遵照國家等級保護制度、滿足客戶實際需求，采用等級化、，采用等級化、體系化相結合的方法，為客戶建設一套覆蓋全面、重點突體系化相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續

19、運行的安全保障體系。出、節約成本、持續運行的安全保障體系。 實施后狀態：一套持續運行、涵蓋所有安全內容的安全保實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標障體系，是企業或組織安全工作所追求的最終目標 特質：特質： 等級化：突出重點，節省成本，滿足不同行業、不同發展階段、等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求不同層次的要求 整體性：結構化，內容全面，可持續發展和完善，持續運行整體性：結構化，內容全面，可持續發展和完善，持續運行 針對性：針對實際情況，符合業務特性和發展戰略針對性：針對實際情況，符合業務特性和發展戰略

20、等級保護體系設計方法等級保護體系設計方法整體整體安全目標安全目標分等級的分等級的保護對象框架保護對象框架體系建設體系建設和運行和運行組織體系組織體系技術體系技術體系運作體系運作體系策略體系策略體系安全要求與對策框架安全要求與對策框架客戶的信息資產客戶的信息資產定級定級分解分解國家規定國家規定的各等級的各等級安全要求安全要求定制定制分等級的分等級的安全目標安全目標等級化等級化安全體系安全體系等級保護體系安全措施框架等級保護體系安全措施框架 安全策略體系安全策略體系安全技術體系安全技術體系身份身份認證認證加密加密加固加固審核審核跟蹤跟蹤訪問訪問控制控制防惡意防惡意代碼代碼監控監控備份備份恢復恢復管

21、理制度管理制度組織職責組織職責技術標準規范技術標準規范信息安全政策信息安全政策安全安全組織組織教育教育培訓培訓人員人員職責職責人員人員安全安全安全組織體系安全組織體系安全體系建設安全體系建設項目建設安全管理項目建設安全管理安全風險管理安全風險管理與控制與控制安全運行與維護安全運行與維護安全運行體系安全運行體系成果安全組織體系成果安全組織體系主管領導（主管安全）主管領導（主管安全）領導小組組長領導小組組長信息安全領導小組信息安全領導小組業務部門負責人業務部門負責人成員成員安全部門負責人安全部門負責人工作組組長工作組組長管理部門負責人管理部門負責人成員成員部門安全管理員部門安全管理員成員成員部門安

22、全管理員部門安全管理員成員成員安全辦公室負責安全辦公室負責人人負責人負責人安全管理員安全管理員安全技術員安全技術員信息安全工作組信息安全工作組信息安全辦公室信息安全辦公室成果安全策略體系成果安全策略體系信息安全方針信息安全方針管理規定管理規定工作流程工作流程安全組織人員職責安全組織人員職責技術規范技術規范信息安全體系信息安全體系公司層面公司層面部門安全工作管理辦法部門安全工作管理辦法部門安全組織人員職責部門安全組織人員職責部門層面部門層面工作表單工作表單運行維護計劃運行維護計劃應急響應計劃應急響應計劃系統層面系統層面終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺集中機房與物理環境安全

23、集中機房與物理環境安全安全管理運行中心安全管理運行中心終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺防病毒、補丁和終端管理平臺防病毒、補丁和終端管理平臺終端安全全程全網監控和審計平臺全程全網監控和審計平臺全網統一監控和審計平臺全網統一監控和審計平臺終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺安全域和網絡訪問控制平臺安全域和網絡訪問控制平臺設備安全配置與加固設備安全配置與加固基礎設施安全基礎設施安全各主機網絡設備網絡安全監控審計第三方統一安全接入平臺第三方統一安全接入平臺應用加密平臺應用加密平臺第三方統一安全接入平臺第三方統一安全接入平臺統一鑒別認證平臺統一鑒別認證平臺數據

24、備份與冗災平臺數據備份與冗災平臺統一身份認證與授權管理平臺統一身份認證與授權管理平臺應用系統安全增強應用系統安全增強各應用系統認證授權數據安全加密應用安全應用安全安全管理平臺成果安全技術體系成果安全技術體系物理安全可信接入控制平臺可信接入控制平臺可信信息交換平臺可信信息交換平臺可信監管平臺可信監管平臺項目建設項目建設安全管理安全管理安全風險安全風險管理管理安全運行安全運行維護維護安全體系安全體系的建設的建設制定企業或制定企業或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標安全目標安全要求安全要求提出安全提出安全規范、要求規范、要求根據要求根據要求評估建

25、設評估建設跟蹤、定期審核跟蹤、定期審核安全建設工作安全建設工作按要求進行按要求進行安全建設工作安全建設工作申請立項申請立項提供項目安全說明提供項目安全說明弱點評估弱點評估系統加固系統加固安全事件處理安全事件處理按要求進行按要求進行建設建設應急響應計劃應急響應計劃定期評估定期評估安全現狀安全現狀監控、審計監控、審計安全現狀安全現狀安全預警安全預警提出規范、要求提出規范、要求設備安全維護設備安全維護系統安全維護系統安全維護考核和檢查考核和檢查落實規范、要求落實規范、要求制定運維作業計劃制定運維作業計劃總部層面總部層面省級層面省級層面系統層面系統層面成果安全運行體系成果安全運行體系安全管理運行中心安全管理運行中心技術體系技術體系安全組織設置和崗位職責安全組織設置和崗位職責安全教育、培訓與資質認證安全教育、培訓與資質認證組織體系組織體系安全策略體系設計安全策略體系設計安全策略與流程推廣實施安全策略與流程推廣實施策略體系策略體系項目建設的安全管理項目建設的安全管理安全風險管理與控制安全風險管理與控制保護對象框架保護對象框架內部與第三方人員安全管理內部與第三方人員安全管理日常安全運行與維護日常安全運行與維護安全體系推廣與落實安全體系推廣與落實運作體系運作體系全程全網監控和審計平臺全程全網監控和審計平臺統一監控與審計管理平臺統一監控與審計