SEC212_微软产品为信息安全等级保护保驾护航.pptx

《SEC212_微软产品为信息安全等级保护保驾护航.pptx》由会员分享，可在线阅读，更多相关《SEC212_微软产品为信息安全等级保护保驾护航.pptx（73页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、微软产品为信息安全等级保护保驾护航SEC213Sources:World Bank and IMF行行业业安全解决方案研安全解决方案研讨讨BRS-MicrosoftBRS-Microsoft安全解决方案框架安全解决方案框架服服务务与支持与支持安全等安全等级级保保护护促促进进企企业业安全建安全建设设4 42 25 5微微软软技技术术支持企支持企业业提高安全等提高安全等级级3 31 1Local Area NetworksFirst PC virusBoot sector virusesCreate notorietyor cause havocSlow propagation16-bit DOS

2、Internet EraMacro virusesScript virusesKey loggersCreate notorietyor cause havocFaster propagation32-bit WindowsBroadbandprevalentSpyware,SpamPhishingBotnets&RootkitsWar DrivingFinancial motivationInternet wide impact32-bit WindowsHyper jackingPeer to PeerSocial engineeringApplication attacksFinanci

3、al motivationTargeted attacksNetwork device attacks64-bit WindowsMajor sections coverSoftware Vulnerability DisclosuresSoftware Vulnerability ExploitsMalicious Software and Potentially Unwanted SoftwarePrivacy and Security Breach N Hardware O/S Drivers Applications GUI User PhysicalExamplesExamplesS

4、pywareRootkitsApplication attacksPhishing/Social engineeringAttacks Getting More SophisticatedAttacks Getting More SophisticatedTraditional defenses are inadequateTraditional defenses are inadequateNational InterestNational InterestPersonal GainPersonal GainPersonal FamePersonal FameCuriosityCuriosi

5、tyAmateurAmateurExpertExpertSpecialistSpecialistLargest Largest area by area by volumevolumeLargest areaLargest area byby$lost$lostScript-KiddyScript-KiddyLargest segment by Largest segment by$spent on defense$spent on defenseFastest Fastest growing growing segmentsegmentAuthorVandalThiefSpyTrespass

6、erCrime On The RiseCrime On The Risemainframemainframeclient/serverclient/serverInternetInternetmobilitymobilityB2EB2EB2CB2CB2BB2BPre-1980sPre-1980s1980s1980s1990s1990s2000s2000sNumber of Digital IDsNumber of Digital IDsExponential Growth of IDsExponential Growth of IDsIdentity and access management

7、 challenging Identity and access management challenging Increasingly Sophisticated MalwareIncreasingly Sophisticated MalwareAnti-malware alone is not sufficient Anti-malware alone is not sufficient Number of variants from over Number of variants from over 7,000 malware families(1H07)7,000 malware fa

8、milies(1H07)Source:Source:Microsoft Security Intelligence Report(January June 2007)Microsoft Security Intelligence Report(January June 2007)Anti-Virus Security Software Patch法规遵从和一致性带来的压力逐日增大无处不在、更加频繁的互通与协作保护和访问需求日益急迫明智IT选择；降低预算业务愿景威胁当前应对方案More advancedApplication-orientedMore frequentProfit motivat

9、edToo many point products Poor interoperability Lack of integrationMultiple consolesUncoordinated event reporting&analysisCost and complexityINTEGRATEDSIMPLIFIEDCOMPREHENSIVESecurity Security Tools&PapersTools&PapersMicrosoft SecurityAssessment ToolkitInfrastructure OptimizationMicrosoft IT Showcase

10、Microsoft Windows VistaSecurity WhitepapersMicrosoft SecurityIntelligence ReportSecuritySecurityReadinessReadinessEducationEducationand Trainingand TrainingLearning Paths forSecurity ProfessionalsIntegrated ProtectionIntegrated ProtectionSDL andSDL and SD3 SD3DefenseDefensein Depthin DepthThreatThre

11、atMitigationMitigationTrusted HardwareTrusted HardwareTrusted PeopleTrusted PeopleTrusted DataTrusted DataTrusted SoftwareTrusted SoftwareIdentity ClaimsIdentity ClaimsAuthenticationAuthenticationAuthorizationAuthorizationAccess Control MechanismsAccess Control MechanismsAuditAudit“I+4A”“I+4A”信息安全体系

12、框架技术体系框架组织体系框架管理体系框架管管理理体体系系框框架架组组织织体体系系框框架架技技术术体体系系框框架架安全防护机制安全防护机制安全监测机制安全监测机制安全响应机制安全响应机制安全风险管理体系安全风险管理体系安全筹划指导委员会安全筹划指导委员会安全风险管理小组安全风险管理小组信息安全组信息安全组/信息技术组信息技术组信息安全基础设施信息安全基础设施网络防护网络防护数据保护数据保护物理防护物理防护主机防护主机防护网络监测网络监测应用监测应用监测物理监测物理监测主机监测主机监测预警预警/报警报警/审计审计系统备份与恢复系统备份与恢复评估安全风险评估安全风险制定安全策略制定安全策略实施安全策

13、略实施安全策略审核策略有效性审核策略有效性管理体系框架 安全风险管理评估风险评估风险确定企业面临的风险并确定其优先级确定企业面临的风险并确定其优先级实施决策支持实施决策支持根据成本效益分析评价并确定风险控制方案根据成本效益分析评价并确定风险控制方案实施控制实施控制部署并实施控制解决方案以降低企业面临的风险部署并实施控制解决方案以降低企业面临的风险评定计划有效性评定计划有效性分析风险管理流程效率，验证控制措施提供了预期的保护程度分析风险管理流程效率，验证控制措施提供了预期的保护程度评估安全风险规划规划为成功的风险评估建立基础主要任务评估风险阶段与预算流程相衔接精确确定评估范围获得风险承担者认同设

14、置期望值数据收集数据收集从整个组织内的风险承担者收集风险数据确定资产并对其进行分类定义威胁与漏洞评估资产暴露程度评估威胁的可能性确定风险优先级确定风险优先级确定了优先级的风险列表管理体系框架管理体系框架 安全风险管理安全风险管理制定安全策略管理体系框架管理体系框架 安全风险管理安全风险管理管理体系框架管理体系框架 安全风险管理安全风险管理制定安全风险记分卡评定控制有效性确保控制措施提供预期的保护效果并持续有效直接测试/自动测试重新评估新的和已更改的资产和安全风险管理体系框架管理体系框架 安全风险管理安全风险管理安全筹划指导委员会安全筹划指导委员会组织体系框架组织体系框架上级主管上级主管安全风险

15、小组安全风险小组信息技术组代表信息技术组代表企业负责人企业负责人控制方案负责人控制方案负责人风险承担者风险承担者信息安全执行机构信息安全组信息安全组信息技术组信息技术组组织体系框架组织体系框架 任务分工概要任务分工概要技术体系框架技术体系框架机械防护电磁防护数据、信息的机密性和完整性身份识别，可信硬件环境操作系统安全身份识别访问控制，应用安全数据安全物理环境计算机系统网络与通讯应用与数据l保护机制保护机制l身份识别、访问控制l数据过滤l加密、安全标记、通信量填充与信息隐蔽l文件、数据库、数据库字段l数据完整性 消息的鉴别l数据单元完整性鉴别：通过鉴别码检验数据是否被篡改或假冒l数据流完整性鉴别

16、：鉴别码结合时间戳、序列号密码分组链接等技术l以抵抗乱序、丢失、重放、插入、或修改等人为攻击或偶然破坏l公证、数字签名l公证：在两方/多方通信中，提供数据完整性、收发方身份识别和时间同步等服务，如数字证书CAl数字签名：基于公钥密码的数字签名l应用程序安全设计与实现l软件安全开发周期（SDLC）l保证l又称为可信功能度l是提供对于某个特定安全机制的有效性证明l检测机制检测机制l事件检测l对所有用户的与安全相关的行为进行监听和记录，以便对系统安全进行审计l安全审计l在专门的事件检测和系统日志中提取信息，进行分析、存档和报告l恢复机制恢复机制l系统与数据备份l安全恢复l对数据的恢复和对网络计算机系

17、统运行状态的恢复l响应机制响应机制l人和安全风险管理规定及应急制度安全机制机密性完整性身份识别访问控制抗抵赖性可用性加密XXXX数字签名XXXX访问控制XXX数据完整性X身份识别XXX通信量填充与信息隐蔽X路由控制X公证XX事件检测与安全审计XX安全恢复X安全标记X应用程序安全设计与实现XXXXXX保证XXXXXXInternet内部人员外部人员合法用户非法用户企业员工外聘员工访客合作企业员工客户移动员工黑客企业内部网络系统应用系统数据资源系统平台客户端系统设备软件系统移动存贮PC笔记本手持设备操作系统本地数据应用软件光盘移动硬盘U盘操作系统平台网络服务平台数据库平台电子邮件平台应用服务平台集

18、成服务平台沟通协作平台管理监控平台业务应用系统统一沟通系统门户共享系统商业智能应用业务数据企业邮箱文档资源Web资源音频视频资源技术体系框架技术体系框架技技术术体体系系框框架架信信息息安安全全基基础础设设施施网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全物物理理安安全全路路由由器器安全配置安全配置安全更新安全更新防防火火墙墙网网络络访访问问保保护护健康策略健康策略强制策略强制策略内容控制内容控制访问控制访问控制安全日制安全日制虚拟专网虚拟专网入侵检测入侵检测病毒防范病毒防范代理代理/反向代理反向代理/发布发布安安全全策策略略/规规则则入侵检测系统入侵检测系统安全更新安全更新恶

19、意软件防护恶意软件防护主机入侵检测主机入侵检测安全审计安全审计安全配置安全配置高可用性高可用性服服务务器器安安全全客客户户端端安安全全操作系统操作系统数据库系统数据库系统应用服务器应用服务器WebWeb服务器服务器邮件服务器邮件服务器安全安全开发开发周期周期应应用用安安全全性性设设计计输入验证身份认证应用授权参数操作敏感数据会话管理数据加密异常管理应用日志配置管理访问控制访问控制身份认证身份认证信息权限控制信息权限控制数据通信安全数据通信安全企企业业目目录录服服务务公公钥钥基基础础设设施施信信任任与与联联盟盟安安全全审审计计/预预警警备备份份/恢恢复复加密加密/签名签名安全网络安全网络协议协议

20、机机械械防防护护电电磁磁防防护护温温度度湿湿度度门门禁禁l增加攻击者被发现的风险增加攻击者被发现的风险 l针对被监测到的威胁的快速反应针对被监测到的威胁的快速反应29OS hardening,authentication,patch management,HIDS,HIPSFirewalls,Network Access Quarantine ControlGuards,locks,tracking devicesNetwork segments,IPSec,NIDSApplication hardening,antivirusACLs,RBAC,encryption,backup/resto

21、reSecurity documents,user educationPolicies,Procedures,&AwarenessPhysical SecurityPerimeterInternal NetworkHostApplicationDatalIntegrated security eases defense in depth architecture deploymentlAdoption of open standards allows cross platform integrationManagement SystemManagement SystemSystem Cente

22、r,Active Directory GPOForefront Edge and Server Security,NAPPerimeterNetwork Access Protection,IPSecInternal NetworkForefront Client Security,Exchange MSFPDeviceSDL process,IIS,Visual Studio,and.NETApplicationBitLocker,EFS,RMS,SharePoint,SQLDataUserActive Directory and Identity Lifecycle MgrTWCSDLSy

23、stemsManagementOperations Manager 2007Configuration Manager 2007Data Protection ManagerMobile Device Manager 2008Active Directory Federation Services(ADFS)Identity&AccessManagementCertificate Lifecycle ManagementServicesInformation ProtectionEncrypting File System(EFS)Encrypting File System(EFS)BitL

24、ockerBitLockerClient and Server OSServer ApplicationsEdgeClient and Server OSServer ApplicationsEdgeForefront Stirling Management 一个被妥善管理的安全一个被妥善管理的安全一个被妥善管理的安全一个被妥善管理的安全基础架构是成功的关键基础架构是成功的关键基础架构是成功的关键基础架构是成功的关键！lProtects against offline attacks thatlattempt to compromise the integrity of the system

25、lattempt to circumvent OS controls to read datalTwo aspectslEncrypts the entire volume(OS or Data)lUses a Trusted Platform Module(TPM)to verify the integrity of early start-up componentsDATA or OS Volume(s)FVEKFVEKVMKVMKTPMTPMTPM+USBTPM+USBTPM+PINTPM+PINUSB KeyUSB Key(Recovery or Non-TPM)(Recovery o

26、r Non-TPM)123456-789012-345678-Recovery PasswordRecovery Password(48 Digits)(48 Digits)Active(System)Active(System)Startup PartitionStartup PartitionHow it worksNot policy-Not policy-compliantcompliantRestrictedRestrictedNetworkNetwork1 1Client requests access to network and presents current health

27、state1 1Policy-Policy-compliantcompliant3 33 3Network Policy Server(NPS)validates against IT-defined health policy2 2DHCP,VPN,or Switch/Router relays health status to Microsoft Network Policy Server(NPS)via Remote Authentication Dial-In User Service(RADIUS)2 24 4If not policy-compliant,client is put

28、 in a restricted VLAN and given access to fix up resources to download patches,configurations,signatures(Repeat 1-4)4 4If policy-compliant,client is granted full access to corporate network55Corporate NetworkCorporate NetworkPolicy ServersPolicy Serverse.g.Patch,Antiviruse.g.Patch,AntivirusFix UpFix

29、 UpServersServerse.g.Patche.g.PatchMicrosoftMicrosoftNPS NPS DHCP,VPN,DHCP,VPN,Switch/Router Switch/Router WindowsWindowsClientClientArchitecture Architecture InternetInternetInternetHotelHomeDMZDMZExternal FirewallTerminal Services Gateway ServerBusiness Partner/Client SiteRDP/3389Corp LANCorp LANT

30、erminal ServerInternal FirewallEmailServerTerminalServerHTTPS/443lCustomizable Enterprise Securityl SSL VPN access to internal applicationsl Microsoft,third-party,and custom apps supportedl Granular access control rulesl Support for multiple authentication mechanismsLive Live Communication Communica

31、tion ServerServerSharePoint SharePoint ServerServerExchangeExchangemailbox servermailbox serverExchange Exchange IMC serverIMC serverSMTPSMTPServerServerLive Live Communication Communication ServerServerE-mailE-mailIM and IM and DocumentsDocumentsE-mailE-mailIM and DocumentsIM and DocumentsForefront

32、ForefrontBlock inbound Viruses and SpamKeep viruses off internal application serversHelp keep sensitive data from being sent outISA ServerISA ServerBlock application level attacksProvide secure remote access for mobile workforceForefrontForefrontISA ServerISA Server20062006ISA ServerISA Server200620

33、06MessageMessageTrafficTrafficForefrontForefrontForefrontForefrontForefrontForefrontForefrontForefrontForefrontForefrontlSecure the Platform lDesktop/Mobile/Server 2008lSecure the Data lRMS,EFS,BitLocker(Plus features in Office,SharePoint,etc.)lSecure the Network lNAPlSecure the Wireless lServer 200

34、8lSecure the Edge lISA/IAGlSecure the Communications lForefront Server,OCS,ExchangelSecure the Desktops and Servers lForefront Client SecuritySources:World Bank and IMF行行业业安全解决方案研安全解决方案研讨讨BRS-MicrosoftBRS-Microsoft安全解决方案框架安全解决方案框架服服务务与支持与支持安全等安全等级级保保护护促促进进企企业业安全建安全建设设4 42 25 5微微软软技技术术支持企支持企业业提高安全等提高

35、安全等级级3 31 1计算机系统安全管理条例计算机系统安全管理条例1994年颁布年颁布提倡对计算机系统实施信息安全等级提倡对计算机系统实施信息安全等级保护管理保护管理计算机信息系统安全等级划分准则计算机信息系统安全等级划分准则1999年发布年发布信息安全等级保护要求的中国化信息安全等级保护要求的中国化信息安全等级保护制度的技术基础信息安全等级保护制度的技术基础国家信息化领导小组关于加强信息国家信息化领导小组关于加强信息安全保障工作的意见安全保障工作的意见 2003年，中办发年，中办发27号文号文规定信息安全等级保护是一项信息化规定信息安全等级保护是一项信息化建设领域的基本国策建设领域的基本国策

36、信息安全等级保护方面的十大基本要信息安全等级保护方面的十大基本要求求关于信息安全等级保护关于信息安全等级保护工作的实施意见工作的实施意见 2004年四部委联合颁布，公通字年四部委联合颁布，公通字66号文号文规定信息安全等级保护实施的目标、原规定信息安全等级保护实施的目标、原则、策略、步骤和计划则、策略、步骤和计划信息安全等级保护管理办法信息安全等级保护管理办法2007年，公安部颁布年，公安部颁布对信息安全等级保护实践的管理要求对信息安全等级保护实践的管理要求定级、检查监督和责任定级、检查监督和责任安全等级的含义：差异程度安全等级的含义：差异程度业务价值等级和安全保障等级业务价值等级和安全保障等

37、级适度安全的适度安全的“度度”的标尺的标尺与以前的安全建设有何不同与以前的安全建设有何不同宗旨：保护国家重要的信息基础设施和信息系统宗旨：保护国家重要的信息基础设施和信息系统业务和价业务和价值的角度值的角度判断判断系统规模有差异系统规模有差异业务重要性有差异业务重要性有差异数据处理能力有差异数据处理能力有差异数据存储保护有差异数据存储保护有差异系统运维管理有差异系统运维管理有差异系统的影响力有差异系统的影响力有差异系统建设成本有差异系统建设成本有差异面临安全风险有差异面临安全风险有差异部委部委省省市县市县业务网业务网办公网办公网机要网机要网业务网业务网办公网办公网机要网机要网业务网业务网办公网

38、办公网机要网机要网数据集中数据集中数据集中数据集中有差异就应该确定有差异就应该确定差异的程度差异的程度等等级，区别对待级，区别对待 业务价值和影响程度业务价值和影响程度等级等级不是一不是一一对应一对应GB178591）安全要求第一级：）安全要求第一级：身份鉴别、自主访问控制、完整性身份鉴别、自主访问控制、完整性2）安全要求第二级：）安全要求第二级：增加：审计和残余信息保护增加：审计和残余信息保护3）安全要求第三级：）安全要求第三级：增加：标记和强制访问控制增加：标记和强制访问控制安全保障能力要求安全保障能力要求政策要求：政策要求：27号文：纲领性文件，信息安全等级保护为安全国策号文：纲领性文件

39、，信息安全等级保护为安全国策66号文：四部委关于等级保护实施的计划号文：四部委关于等级保护实施的计划43号文：公安部的信息安全等级保护管理办法号文：公安部的信息安全等级保护管理办法信息系统信息系统产生安全需求产生安全需求实实在在的实实在在的安全投入安全投入产生价值产生价值实实在实实在在收益在收益承载的业务流程承载的业务流程需要均衡：需要均衡：适度安全适度安全适度风险适度风险似乎似乎矛盾矛盾平衡点平衡点承载业务应用承载业务应用安全需求对应安全技安全需求对应安全技术和安全管理要求：术和安全管理要求：安全保障等级安全保障等级净收益总收益投净收益总收益投入风险：入风险：收益是收益是“价值等级价值等级”

40、投入少，投入少，则风险增则风险增大大投入、收益、投入、收益、风险间的均衡风险间的均衡一定的安全等级对应：相应的安全要求（投入）、一定的安全等级对应：相应的安全要求（投入）、收益（保障功效）、残余风险（容忍的底线）收益（保障功效）、残余风险（容忍的底线）政策与法规基石：政策与法规基石：27号文、号文、66号文、公通字号文、公通字7号文号文标准化基石：标准化基石：GB17859系列，通用技术、系列，通用技术、网络、操作系统、网络、操作系统、DBMS、安全管理、安全管理策略策略体系体系法制法制标准标准化化资金资金保证保证组织组织体系体系领导领导管理管理责任制责任制分层分层与集中与集中技术技术体系体系

41、密码密码信任信任体系体系防护防护检测检测灾备灾备运营运营体系体系安全安全监控体监控体系系应急应急处理处理优化优化安全安全产业产业目标：等级保护目标：等级保护宗旨：保护重要的信息宗旨：保护重要的信息基础设施和信息系统基础设施和信息系统解决方案（设计）解决方案（设计）等级保护目标等级保护目标方针方针原则原则定级与体系架构定级与体系架构部署与配置部署与配置产品选型要求产品选型要求等级测评等级测评备案备案认证与认证与认可认可防护防护检测检测响应响应恢复恢复技术技术运营运营策略策略组织组织符合等级保护要求符合等级保护要求工程建设目标工程建设目标方针方针原则原则工程任务计划工程任务计划项目管理项目管理工程

42、预算和决算工程预算和决算范围范围质量质量风险风险成本成本组织组织流程流程任务任务时间时间工程建设方案工程建设方案工程进度和监理工程进度和监理工程变更管理工程变更管理技术技术施工施工工程建设标准工程建设标准验收验收等级等级测评测评目标更明确，目标更明确，也是约束也是约束多了约束多了约束与前不同与前不同等级目标等级目标适适“度度”更精细更精细产品符合等级产品符合等级效果符合等级效果符合等级等级保护带来了哪些变化？必须明确目标、人、技术、流程的差异程度等级保护带来了哪些变化？必须明确目标、人、技术、流程的差异程度目标：级别界目标：级别界定差异的程度定差异的程度定级：为差异确定级别，更清晰界定差异的程

43、度定级：为差异确定级别，更清晰界定差异的程度价值和影响：业务应用价值和影响是定级的依据价值和影响：业务应用价值和影响是定级的依据转换：将信息安全控制层面的差异转换为业务层面的差异转换：将信息安全控制层面的差异转换为业务层面的差异具备等级的对象具备等级的对象人：个体安全意识和技能有等级；团队和组织有等级人：个体安全意识和技能有等级；团队和组织有等级技术：产品有等级；系统安全保障技术有等级技术：产品有等级；系统安全保障技术有等级流程：协调管理能力、面向流程：协调管理能力、面向“客户客户”的能力有等级的能力有等级合规性合规性政策合规：符合国家和行业等级保护管理规定政策合规：符合国家和行业等级保护管理

44、规定标准合规：符合等级保护标准要求标准合规：符合等级保护标准要求级别合规：符合确定等级的政策和标准要求级别合规：符合确定等级的政策和标准要求内部安全建内部安全建设和外部监设和外部监管相结合管相结合业务价值影响：业务价值影响：旗帜鲜明强调与旗帜鲜明强调与业务的关系业务的关系价值和影响：对个体、社会和国家的价值和影响的差异程度价值和影响：对个体、社会和国家的价值和影响的差异程度业务风险：信息安全风险是业务风险的一部分业务风险：信息安全风险是业务风险的一部分机构管理风险：信息安全风险是机构管理风险的一部分机构管理风险：信息安全风险是机构管理风险的一部分适度安全适度安全适度：安全投入（保障能力）、收益

45、（价值的保持）、风险均衡适度：安全投入（保障能力）、收益（价值的保持）、风险均衡安全投入的安全投入的“度度”：安全技术和安全管理要求有明确的等级：安全技术和安全管理要求有明确的等级收益的收益的“度度”：价值和影响的保持具有等级：价值和影响的保持具有等级风险的风险的“度度”：安全投入和收益的综合体：安全投入和收益的综合体评估定级和规划采购集成认认证证认认可可运维运维风险管理风险管理公安：计算机信息系统安全等公安：计算机信息系统安全等级保护管理办法、计算机信级保护管理办法、计算机信息系统安全保护管理条例息系统安全保护管理条例北京市国家机关重大信息安北京市国家机关重大信息安全事件报告制度全事件报告制

46、度(试行试行)保密局：涉及国家秘密的计保密局：涉及国家秘密的计算机信息系统集成资质管理办算机信息系统集成资质管理办法（试行）法（试行）监管1-2级备案级备案3级以上备级以上备案、定期检查案、定期检查应急处理应急处理系统安全等系统安全等级和保护安级和保护安全等级要求全等级要求符合安全要符合安全要求的产品与求的产品与集成集成安全检查安全检查和测评和测评ISO20000和和ISO17799风险评估和风险评估和决策决策信息系统安全等级保护实施的基本流程MSFMOF微软安全风险管理准则（SRMD）52网络与应用加密服务平台网络与应用加密服务平台业务应用系统安全改造业务应用系统安全改造数据备份与冗灾平台数

47、据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台设备安全配置与加固设备安全配置与加固安全等级域划分与边界保护安全等级域划分与边界保护防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台统一安全监控与审计平台统一安全监控与审计平台安全技术体系建设安全技术体系建设安全组织与职责设计安全组织与职责设计安全培训与资质认证安全培训与资质认证安全组织体系建设安全组织体系建设标准理解与策略制定标准理解与策略制定安全策略部署与配置安全策略部署与配置安全策略体系建设安全策略体系建设安全调查与风险评估安全调查与风险评估等级保护定级咨询等级保护定级咨询安全规划安全规划等级保护体系设计等级保护体系

48、设计方案设计方案设计定级阶段定级阶段规划与设计规划与设计集成与集成与运维阶段运维阶段事件和预警管理流程事件和预警管理流程安全运行体系建设安全运行体系建设安全巡检与日常操作安全巡检与日常操作安全评估与优化安全评估与优化等级测评、认证与认可等级测评、认证与认可安安全全运运行行与与监监管管中中心心大型机构信息安全等级保护的特点和难点大型机构信息安全等级保护的特点和难点安全等级合规性管理安全等级合规性管理安全等级域划分和管理安全等级域划分和管理安全集中监管安全集中监管安全运维管理安全运维管理安全等级解决方案安全等级解决方案部委部委省省市县市县业务网业务网办公网办公网机要网机要网业务网业务网办公网办公网

49、机要网机要网业务网业务网办公网办公网机要网机要网数据集中数据集中数据集中数据集中信息系统结构：信息系统结构：三或四级，不同级之间规模差异明显三或四级，不同级之间规模差异明显网络：独立管理网络：独立管理业务：贯穿所有级别的运营业务：贯穿所有级别的运营数据大集中：数据大集中：集中到省一级，最终是部委一级集中到省一级，最终是部委一级风险集中：灾难备份成为关键点风险集中：灾难备份成为关键点省、市县的业务和安全重要性降低省、市县的业务和安全重要性降低运营管理：运营管理：人才集中（部委或省级）人才集中（部委或省级）省、市县运维方式改变，日常检查和省、市县运维方式改变，日常检查和寻求技术支持、外包等成为主流

50、寻求技术支持、外包等成为主流分离与分工（特别是人才集中后）：分离与分工（特别是人才集中后）：信息安全从传统信息安全从传统IT工作中分离工作中分离信息安全与传统信息安全与传统IT分工明确，信息安分工明确，信息安全侧重于制定安全策略，并监督全侧重于制定安全策略，并监督传统传统IT人员负责安全策略在系统中的人员负责安全策略在系统中的贯彻落实贯彻落实特点特点安全建设安全建设生命周期生命周期评估定级与评估定级与安全规划安全规划产品选型产品选型和部署实现和部署实现安全运维安全运维测评风险测评风险决策和优化决策和优化难点：难点：定量的业务价值判断定量的业务价值判断定级对象多；定级对象多；安全等级域多且交叉。