《等保三级系统整改示例.pptx》由会员分享,可在线阅读,更多相关《等保三级系统整改示例.pptx(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、三级系统整改示例n 世博前后的等保目标 杜绝由信息安全造成的群体事件 杜绝由信息安全造成的群体事件 关键信息系统不能中断 关键信息系统不能中断 防止办公系统信息泄露等负面事件 防止办公系统信息泄露等负面事件n 世博前后的等保对策 常态化 常态化的信息安全保障,提高自身免疫能力 的信息安全保障,提高自身免疫能力 规定动作结合自选动作,全面进行 规定动作结合自选动作,全面进行整改加固和应急演练 整改加固和应急演练 技术要在 技术要在服务 服务上深化,管理要在 上深化,管理要在细节 细节上落实 上落实 建立全市层面的专家团队及 建立全市层面的专家团队及技术保障队伍 技术保障队伍等级保护世博信息安全保
2、障n Before 2005中华人民共和国计算机信息系统安全保护条例(1994年 国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)关于信息安全等级保护工作的实施意见 实施意见(公通字200466号)n 2007信息安全等级保护管理办法 管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作 等级保护定级工作的通知(公信安2007861号)上海市:沪公发2007319号上海市迎世博信息安全保障两年行动计划n 20092009年信息安全等级保护工作内容及具体要求(公信安2009232号)关于组织开展2009年度本市重要信息系统等级保护
3、工作 等级保护工作的通知(沪公发2009187号)沪公发2009173号、沪密局200939号、。等级保护政策推进过程n 基础类 计算机信息系统安全保护 计算机信息系统安全保护等级划分准则 等级划分准则 GB 17859-1999 GB 17859-1999 信息系统安全等级保护 信息系统安全等级保护实施指南 实施指南 GB/T CCCC-CCCC GB/T CCCC-CCCC 报批稿 报批稿 n 应用类定级:定级:信息系统安全保护 信息系统安全保护等级定级指南 等级定级指南 GB/T 22240-2008 GB/T 22240-2008 建设:建设:信息系统安全等级保护 信息系统安全等级保护
4、基本要求 基本要求 GB/T 22239-2008 GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评:测评:信息系统安全等级保护 信息系统安全等级保护测评要求 测评要求 GB/T DDDD-DDDD GB/T DDDD-DDDD 报批稿 报批稿 信息系统安全等级保护测评过程指南 管理:管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 等级保护十大核心标准等级保护完全实施过程信息系统定级安全总体规划安全设计与实施安全运行维护信息系统终止安全等级测评信息系统
5、备案安全整改设计等级符合性检查应急预案及演练安全要求整改安全等级整改局部调整等级变更能力、措施和要求安全保护能力基本安全要求等保3级的信息系统基本技术措施 基本管理措施具备包含 包含满足 满足实现等级保护基本安全要求某级系统物理安全技术要求 管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理三级系统的控制类及控制项指标类技术/管理层面类数量 项数量S类(3级)A类(3级)G类(3级)小计 小计安全技术物理安全 1 1 8 10 32网络安全 1 0 6 7 33主机安全 3 1 3 7 32应用安全 5 2 2 9 31数据安全 2 1
6、 0 3 8安全管理安全管理制度N/A3 11安全管理机构 5 20人员安全管理 5 16系统建设管理 11 45系统运维管理 13 60合 计73 73(类)(类)290 290(项)(项)三级系统安全保护要求 物理安全 物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。物理安全具体包括:10个控制点 物理位置的选择(G)、物理访问控制(G)、防盗窃和防破坏(G)、防雷击(G)、防火(G)、防水和防潮(G)、防静电(G)、温湿度控制(G)、电力供应(A)、电磁防护(S)物理位置的选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中的活
7、动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统 区域隔离措施防静电关键设备主要设备 防静电地板电力供应稳定电压、短期供应主要设备 冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮 温湿度控制物理安全的整改要点物理位置选择 物理访问控制 防盗窃和防破坏防雷击、防火、防水和防潮、防静电、温湿度控制电力供应电磁防护不做硬性要求三级系统安全保护要求 网络安全 网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等。网络安全具体包括:7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、边
8、界完整性检查(A)、入侵防范(G)、恶意代码防范(G)、网络设备防护(G)结构安全关键设备冗余空间 主要设备冗余空间访问控制访问控制设备(用户、网段)应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联网络安全的整改要点子网/网段控制核心网络带宽 整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范 网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术 特权用户的权限分离结构安全 访问控制 安全审计增加违规外联检测阻断产品边界完整性检查 入侵
9、防范增加网关型防毒墙产品恶意代码防范网络设备特别配置服务网络设备防护增加网络安全审计产品三级系统安全保护要求 主机安全 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括:7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、剩余信息保护(S)、入侵防范(G)、恶意代码防范(G)、资源控制(A)身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表剩余信息保护 空间释放及信息清除主机安全的整改要点组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则 重要服务器:
10、检测、记录、报警恶意代码防范 主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器 重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别 访问控制 安全审计增加身份认证系统剩余信息保护 入侵防范访问控制策略配置服务比较超前较难实现主机入侵防范策略配置服务恶意代码防范 资源控制网管软件和主机配置服务三级系统安全保护要求 应用安全 应用系统的安全就是保护系统的各种应用程序安全运行。包括基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等。应用安全具体包括:9个控制点 身份鉴别(S)、访问控制(S)、安全审计
11、(G)、剩余信息保护(S)、通信完整性(S)、通信保密性(S)、抗抵赖(G)、软件容错(A)、资源控制(A)身份鉴别基本的身份鉴别访问控制安全策略最小授权原则安全审计运行情况审计(用户级)审计报表剩余信息保护 空间释放及信息清除应用安全的整改要点组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错 自动保护功能资源控制资源分配限制、资源分配优先级最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及 系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖身份鉴别 访问控制 安全审计应用软件本身配置或升级剩余信
12、息保护 通信完整性访问控制策略配置服务通信保密性抗抵赖 软件容错 资源控制系统审计配置服务比较超前较难实现增加通讯加密手段建立统一的CA中心比较超前较难实现可通过配置服务达到部分要求三级系统安全保护要求 数据安全与备份恢复 数据安全主要是保护用户数据、系统数据、业务数据的保护。将对数据造成的损害降至最小。备份恢复也是防止数据被破坏后无法恢复的重要手段,主要包括数据备份、硬件冗余和异地实时备份。数据安全和备份恢复具体包括:3个控制点 数据完整性(S)、数据保密性(S)、备份和恢复(A)数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存储异地备份网络
13、冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放数据完整性 数据保密性 备份与恢复建立统一的CA中心增加通讯加密手段仅世博相关单位管理要求方面的整改24管理制度管理机构人员管理系统建设管理系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理信息系统三级系统安全保护要求 安全管理制度 安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规
14、程。安全管理制度具体包括:3个控制点 管理制度、制定和发布、评审和修订 整改要点:形成信息安全管理制度体系、统一发布、定期修订等三级系统安全保护要求 安全管理机构 安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。安全管理机构具体包括:5个控制点 岗位设置、人员配备、授权和审批、沟通和合作、审核和检查 整改要点:信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等三级系统安全保护要求 人员安全管理 对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的
15、安全管理。人员安全管理具体包括:5个控制点 人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理 整改要点:全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理三级系统安全保护要求 系统建设管理 系统建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑,关注各项安全管理活动。系统建设管理具体包括:1 1个控制点 系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择 整改要点:系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实施制度化、第三方委托测试、运行起30
16、 天内备案、每年进行1次等级测评、安全服务商的选择三级系统安全保护要求 系统运维管理 系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。系统运维管理具体包括:13个控制点 环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理 整改要点:办公环境保密性、资产的标识和分类管理、介质/设备/系统/网络/密码/备份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、应急预案的演练和审查典型案例小结技术整改措施不满足项分布,物理安全,2,11%不满足项分布,网络安全,3,17%不满足项分布,主机安全,4,22%不满足项分布,应用安全,7,39%不满足项分布,数据安全及备份恢复,2,11%技术要求-不满足项分布技术整改措施典型案例小结管理整改措施Series1,管理制度,3,8%Series1,管理机构,5,13%Series1,人员管理,5,14%Series1,系统建设管理,8,22%Series1,系统运维管理,4,11%Series1,系统建设管理,3,8%Series1,系统运维管理,9,24%管理现状符合度分析管理整改措施