1、,信息安全等級保護體系與東軟網(wǎng)絡(luò)安全產(chǎn)品介紹,等級保護概述,等級保護工作流程,2,目錄,等級保護安全防御設(shè)計思路,3,4,東軟行業(yè)優(yōu)勢及建設(shè)案例,等級保護與東軟安全產(chǎn)品,5,6,2016年商機前沿快報,等級保護的概述,國家信息安全等級保護制度 由國家層面推動并要求遵照執(zhí)行的信息安全要求。 等級保護按照是否涉及國家秘密劃分 等級保護：適用于政府、央企等非涉密網(wǎng)絡(luò)的信息安全政策、制度及標(biāo)準(zhǔn)體系。 分級保護：適用于政府、軍隊、兵工廠等涉密網(wǎng)絡(luò)的信息安全政策、制度及標(biāo)準(zhǔn)體系。 是政府、央企信息安全建設(shè)的主要依據(jù)和主要推動力。,國家信息安全制度,等級保護的第一個法律文件國務(wù)院令,中華人民共和國計算機信息

2、系統(tǒng)安全保護條例 （1994年2月18日國務(wù)院147號令） 第九條：計算機信息系統(tǒng)實行安全等級保護。 安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。 該條明確了三個內(nèi)容： 一是確立了等級保護是計算機信息系統(tǒng)安全保護的一項制度； 二是明確了公安部的牽頭地位； 三是提出了需要出臺配套的規(guī)章和技術(shù)標(biāo)準(zhǔn)。,等級保護安全等級定義文件,計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 （1999頒發(fā)的GB 17859） 第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標(biāo)記保護級； 第四級：結(jié)構(gòu)化保護級； 第五級：訪問驗證保護級。 提出了等級保護在技術(shù)防護層面與安全管理層面的建設(shè)防

3、護要求。,中央文件,中辦200327號文件 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 “要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南。” 中央27號文件的下達標(biāo)志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度 。同時明確了各級黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位，以及“誰主管誰負責(zé)，誰運營誰負責(zé)”的信息安全保障責(zé)任制。,國家四部委文件,2004年9月公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺了關(guān)于信息安全等級保護工作的實施意見（公通

4、字200466號），明確了信息安全等級保護制度的原則和基本內(nèi)容，以及信息安全等級保護工作的職責(zé)分工、工作實施的要求等。 2007年6月公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合信息安全等級保護管理辦法（公通字200743號），明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求，再進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責(zé)、任務(wù)，為開展信息安全等級保護工作提供了規(guī)范保障。,等級保護發(fā)展歷程,等級保護各方職責(zé),國信辦工信部信息安全協(xié)調(diào)司中網(wǎng)辦信息安全協(xié)調(diào)局,等級保護法律政策體系,等級保護標(biāo)準(zhǔn)體系,等級保護工作流程,等級保護基本框架,等級保護建設(shè)

5、四大原則,等級保護建設(shè),等級保護與信息系統(tǒng)生命周期的關(guān)系,等級保護實施過程,新建信息系統(tǒng)生命周期,已建信息系統(tǒng)等級保護實施過程,啟動,設(shè)計開發(fā),實施,運行維護,終止,系統(tǒng) 定級,安全規(guī)劃設(shè)計,安全 實施,安全運行管理 （變更/應(yīng)急響應(yīng)/監(jiān)督檢查）,終止,終止,系統(tǒng) 定級,安全規(guī) 劃設(shè)計,安全 實施,安全運 行管理,等級保護實施過程,局部調(diào)整,重大變更,等級保護工作流程總圖,應(yīng)急響應(yīng),安全實施/實現(xiàn)階段,信息系統(tǒng)風(fēng)險評估,系統(tǒng)自查,配合主管單位安全檢查,系統(tǒng)定級與備案,安全定級備案階段,系統(tǒng)定級與備案,確認具有唯一的安全責(zé)任單位 一般是使用或運營單位 滿足信息系統(tǒng)的基本要素 單機和純局域網(wǎng)不定級

6、 承載相對獨立的業(yè)務(wù)應(yīng)用 含多個業(yè)務(wù)應(yīng)用的綜合系統(tǒng)盡量劃分,系統(tǒng)定級要素,兩個定級要素： 等級保護對象受到破壞時客體受到侵害的程度。,受侵害的客體 ：,公民、法人和其他組織的合法權(quán)益； 社會秩序、公共利益； 國家安全。,客體的侵害程度：,一般損害； 嚴重損害； 特別嚴重損害。,等級與侵害客體、侵害程度關(guān)系,系統(tǒng)定級矩陣圖,信息系統(tǒng)定級,業(yè)務(wù)信息安全（S） 業(yè)務(wù)信息安全是指：確保業(yè)務(wù)信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等。通俗來講，承載的信息非常重要。 系統(tǒng)服務(wù)安全（A） 系統(tǒng)服務(wù)安全是指：確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。通俗來講，承載的服務(wù)有效性和連續(xù)性非常重要。

7、,信息系統(tǒng)定級流程圖,S,A,信息系統(tǒng)定級,安全規(guī)劃與實施,安全規(guī)劃與實施,基本要求主要內(nèi)容,基本要求的組織方式,基本要求要求項在各層面的分布,基本技術(shù)要求控制點,基本管理要求,等級測評,等級測評,關(guān)于等級測評,信息安全等級管理辦法（公通字【2007】43號）第十四條規(guī)定： 信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。,對測評機構(gòu)的要

8、求,三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的等級保護測評機構(gòu) 在中華人民共和國境內(nèi)注冊成立（港澳臺除外） 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺除外） 從事相關(guān)檢測評估工作兩年以上，無違法記錄 工作人員僅限于中國公民 法人及其主要業(yè)務(wù)、技術(shù)人員無犯罪紀(jì)錄 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度 對國家安全、社會秩序、公共利益不構(gòu)成威脅,公安部推薦的測評機構(gòu),全國等級保護測評機構(gòu)推薦目錄查詢：,等級保護安全防御設(shè)計思路,等級保護安全技術(shù)設(shè)計框架,等級保護設(shè)計步驟,資產(chǎn)識別,資產(chǎn)識別

9、了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓撲、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。,差距分析,差距分析 對照標(biāo)準(zhǔn)逐條列出不滿足要求的項,風(fēng)險評估,安全域劃分,定義 安全域（Security Zone）是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的IT 要素集合，相同的安全域共享相同的安全策略。,安全域劃分,區(qū)域邊界安全設(shè)計,訪問控制要求 邏輯隔離、物理隔離、安全強隔離 入侵防范要求 DDOS攻擊、應(yīng)用層攻擊 防惡

10、意代碼要求 防病毒網(wǎng)關(guān) 網(wǎng)絡(luò)設(shè)備安全防護要求 運維審計堡壘機 安全審計要求,通信網(wǎng)絡(luò)安全設(shè)計,數(shù)據(jù)傳輸完整性/機密性和通信網(wǎng)絡(luò)可信接入保護 安全準(zhǔn)入控制、IPSEC VPN、SSL VPN、網(wǎng)絡(luò)加密機 安全審計 安全管理中心集中審計管理,計算環(huán)境安全設(shè)計,主機安全 商用操作系統(tǒng)（二級）、操作系統(tǒng)安全增強（三級）、安全操作系統(tǒng)（四級） 終端安全管理系統(tǒng) 應(yīng)用安全 WEB安全 應(yīng)用軟件安全增強：中間件、數(shù)據(jù)庫 數(shù)據(jù)安全及備份恢復(fù) 關(guān)鍵數(shù)據(jù)存儲加密 數(shù)據(jù)備份：本地備份、異地備份 系統(tǒng)冗余設(shè)計,安全管理中心設(shè)計,系統(tǒng)管理 系統(tǒng)運行監(jiān)控、系統(tǒng)配置管理 安全管理 身份認證管理、風(fēng)險管理、防病毒管理、補丁分

11、發(fā)管理 審計管理 數(shù)據(jù)庫審計、應(yīng)用審計、網(wǎng)絡(luò)審計、運維審計,安全管理制度框架,東軟行業(yè)優(yōu)勢及建設(shè)案例,4,東軟行業(yè)優(yōu)勢及近期等保部分案例,上海曙光醫(yī)院,南陽市社保,北京醫(yī)院,河北省人民醫(yī)院,勞動部,寧波云醫(yī)院,安徽省工商局,延安醫(yī)療集團,醫(yī)療衛(wèi)生行業(yè),重慶開縣人民醫(yī)院,政府機關(guān),滁州市法院,佛山市社保,案例：醫(yī)療行業(yè),醫(yī)院信息系統(tǒng)一般可分成兩部分：一是滿足管理要求的管理信息系統(tǒng)；二是滿足臨床醫(yī)療要求的臨床信息系統(tǒng)。管理信息系統(tǒng)包括門診掛號、門診收費、住院登記、住院收費、設(shè)備管理、醫(yī)務(wù)統(tǒng)計、輔助決策支持等系統(tǒng)。臨床信息系統(tǒng)包括門診醫(yī)生工作站、病區(qū)醫(yī)生工作站、病區(qū)護士工作站、合理用藥系統(tǒng)、臨床檢驗

12、系統(tǒng)、醫(yī)學(xué)影像系統(tǒng)、手術(shù)麻醉系統(tǒng)、重癥監(jiān)護系統(tǒng)等。,業(yè)務(wù)分布圖,核心業(yè)務(wù)系統(tǒng),一般業(yè)務(wù)系統(tǒng),等保技術(shù)防護,通信網(wǎng)絡(luò),區(qū)域邊界,計算環(huán)境 （主機）,計算環(huán)境 （主機）,計算環(huán)境 （終端）,計算環(huán)境 （終端）,通信網(wǎng)絡(luò),區(qū)域邊界,區(qū)域邊界,網(wǎng)絡(luò)審計系統(tǒng),VPN,防火墻,入侵防御系統(tǒng),防病毒網(wǎng)關(guān),WAF,網(wǎng)頁防篡改,服務(wù)器加固,安全補丁/防病毒,網(wǎng)絡(luò)審計系統(tǒng),防火墻,入侵防御系統(tǒng),入侵檢測系統(tǒng),入侵檢測系統(tǒng),基于VLAN的ACL,基于VLAN的ACL,數(shù)據(jù)庫審計系統(tǒng),防火墻,服務(wù)器加固,安全補丁/防病毒,終端安全管理系統(tǒng),安全補丁/防病毒,終端安全管理系統(tǒng),安全補丁/防病毒,安全管理 中心,身份認證

13、系統(tǒng),漏洞掃描系統(tǒng),運維審計堡壘機,RAID,磁帶庫/虛擬帶庫,數(shù)據(jù)遠程備份,防病毒服務(wù)器,補丁更新服務(wù)器,SOC安全運維監(jiān)控平臺,等級保護與東軟安全產(chǎn)品,5,對應(yīng)的安全產(chǎn)品,等級保護建設(shè)方案,技術(shù)要求,管理要求,物理安全,網(wǎng)絡(luò)安全,主機安全,應(yīng)用安全,數(shù)據(jù)安全,訪問控制,安全審計,邊界完整性,惡意代碼防護,身份鑒別,訪問控制,可信路徑,入侵防范,安全審計,惡意代碼防護,入侵防范,身份鑒別,訪問控制,可信路徑,入侵防范,安全審計,FW/NISG,ESM/SOC,FW/NISG,NISG-IPS,IDS/NISG-IPS,NABH,FW/NISG,FW/NISG,FW/IPS/IDS,NABH/ESM/SOC,NISG-IPS,NIBH,FW/NISG,FW/NISG,NISG-IPS/WAF,ESM/NABH,資源控制與監(jiān)控,SOC,FW:防火墻,IDS:入侵檢測系統(tǒng),NISG:下一代防火墻,NABH:身份認證管控系統(tǒng),NISG-IPS:入侵防御系統(tǒng),ESM:網(wǎng)絡(luò)審計系統(tǒng),WAF:WEB應(yīng)用防火墻,SOC:安全運維監(jiān)控系統(tǒng),NIBC:上網(wǎng)行為管理,DBA:數(shù)據(jù)庫審計系統(tǒng),數(shù)據(jù)訪問審計,DBA,.,16年商機前沿快報,6,16年等保商機,教育行業(yè) 1、2016年教育部撥款30億為