天融信技术服务副总裁田野
Tian_ye@topsec.com.cn等级保护基本需求
•要求-符合等级保护的要求
–系统定级并备案
–系统达到《基本要求》相应级别的指标
–符合《测评准则》要求,并通过测评
•实际需求-满足客户实际要求
–融合现有的安全体系或安全设施
–同时满足客户的其他符合性要求,如SOX,行业标准等
–适应业务特性与安全要求的差异性,并满足超过指标的高要求
–需要整体考虑所有系统,统一进行安全建设和管理
–需要建立长效机制,可持续运行、发展和完善等级保护实施中的几个难点
•如何融合现在安全设施,并满足客户的其他符合性要求,形成一套体系,而不是几套体系并存
•如何反映行业形象与业务特性,反映安全要求的差异性,并满足超过指标的高要求
•标准中从“单个系统”出发,是各系统单独建设,还是统一建设?如何避免形成信息孤岛和重复建设?
•如何避免成为一次“运动”,能够建立长效机制,可持续发展,真正对实际工作有帮助?等级保护需求分析
•融合现有安全设施基础上,融合客户的其他符合性要求,从整体出发,统一建设/改造一套符合等级保护制度的安全体系
–采用安全域框架设计和风险评估的方法,反映行业形象与业务特性,反映安全要求的差异性,并
满足超过指标的高要求
–采用统一安全平台建设基础上各系统单独保护的方法,解决各系统单独保护形成信息的孤岛和分
散重复建设
–采用建立一套安全运维体系的方法,来建立长效机制,做到可持续运行、发展和完善
组织体系技术体系
安全域框架设计方法
终端管理和防病毒集中管理平台
安全管理运行中心
终端管理和防病毒集中管理平台
全网统一监控和审计平台终端管理和防病毒集中管理平台设备安全配置与加固
基础设施安全
各主机网络
设备网络安全监控审计
第三方统一安全接入平台
数据备份与冗灾平台应用系统安全增强
各应用系统认证授权数据安全加密
应用安全
安全管理平台
安全平台+各系统保护方法
物理安全
项目建设安全管理安全风险管理
安全运行维护
安全体系的建设
制定企业或部门级体系
制定总体安全体系
按要求开展工作
安全目标安全要求
提出安全规范、要求根据要求评估建设
跟踪、定期审核安全建设工作
按要求进行安全建设工作
申请立项
提供项目安全说明弱点评估
系统加固
安全事件处理
按要求进行
建设
应急响应计划
定期评估安全现状
监控、审计安全现状
安全预警
提出规范、要求
设备安全维护
系统安全维护
考核和检查
落实规范、要求
制定运维作业计划
总部层面
省级层面
系统层面
安全运行体系设计方法
安全技术体系
身份
认证
加密
加固
审核
跟踪
访问
控制
防恶意
代码
监控
备份
恢复
管理制度组织职责技术标准规范
信息安全
安全组织
教育
培训
人员
职责
人员
安全
安全组织体系
安全体系建设
项目建设安全管理
安全风险管理
与控制
安全运行与维护
安全运行体系
安全管理运行中心
技术体系
安全教育、培训与资质认证
组织体系
安全策略与流程推广实施
策略体系
安全风险管理与控制
保护对象框架
日常安全运行与维护
统一监控与审计管理平台
终端管理和防病毒集中管理平台
防病毒、补丁和终端管理平台
应用加密平台
第三方统一安全接入平台
统一鉴别认证平台
统一身份认证与授权管理平台
等级保护实施的通
常流程
7. 安全系统运营和维护
中小型客户
4.整改方案与计划
3.下一年度系统测评
5.本年安全项目建设
6.整改后复核
•大型客户:大行业客户,2+8行业
–对安全要求很高,要求全价值链的服务和产品,建设周期3年以上,按规划进行
–项目形式:咨询项目-系列集成项目-外包项目
–方案:等级安全体系的咨询与实施
•咨询(定级咨询,体系设计,安全规划,风险评估)
•安全集成与产品提供
•测评支持和安全运营外包
•中小型客户
–对安全要求一般,要求部分价值链,更接受产品,建设周期1-2年,按项目进行
–项目形式:集成项目-售后服务
–方案:等级保护一体化解决方案
•定级咨询、方案设计、安全制度设计
•安全集成与产品提供
•测评支持和售后服务
大型客户等级保护解决方案
中小
客户等级保护解决方案
保需服务
求政基等本服务信策要-保符
级保总裁田野服务应别指标
