等保建设PPT

信息安全等级保护建设深信服产品经理：徐金涛等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项目录信息安全等级保护制度信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。国家等级保护制度的概述和发展历程信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。国务院147号令第一次提出等级保护的概念，要求对信息系统分等级进行保护。19941999GB17859国家强制标准发布，信息系统等级保护建设必须遵循的法规。2005公安部四大标准《基本要求》《定级指南》《实施指南》《测评准则》2007公通字［2007］43号等级保护管理办法发布，明确如何建设、如何监管和如何选择服务商等。2015工作要点中央网信领导小组2015年工作要点：落实国家信息安全等级保护制度。等级保护建设中的角色总体介绍公安机关备案的测评机构主要承担系统测评的工作，只有在当地公安机关备案的测评机构才可以开展测评工作。集成商、安全厂商根据咨询服务单位提供的整改方案，要采购相应的安全设备和服务，这些内容由集成商和安全厂商提供。公安机关网安部门主要承担监督检查的工作，同时负责管理测评机构。各单位的系统定级备案要到公安机关网安部门进行。提供咨询服务的单位对于用户单位完成定级备案、差距评估和整改方案编写，需要有一家单位提供咨询和服务。免费&收费。测评机构集成实施咨询服务公安机关等保的5个监管等级对象等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一般系统一级√二级√√重要系统三级√√四级√√极端重要系统五级√☆等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。☆在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点。决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素，确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。等级保护建设的一般过程整改评估定级评测•确定系统或者子系统的安全等级•依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议•针对评估过程中发现的不满足等保要求的地方进行整改•评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论监管•对系统进行周期性的检查，以确定系统依然满足等级保护的要求等级保护政策介绍和建设思路等级保护政策介绍等级保护政策与技术解读等级保护建设思路探讨等保建设方案统一规划等保分步实施实践目录等保核心思想：适度安全信息安全工作中，等保给予用户明确的目标，帮助用户更清晰的认识安全薄弱环节。没有100%的安全，适度安全的核心思想让用户达到投资/收益最佳比。系统重要程度系统保护要求安全基线安全基线安全基线一级二级三级四级等保基本保护要求框架物理安全安全管理制度网络安全系统安全应用安全数据安全安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求某级要求等保不同级别的保护能力的区别各级系统应对威胁的能力不同，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。技术要求：安全要求的增加安全要求的增强管理要求：管理活动控制点的增加，每个控制点具体管理要求的增多管理活动的能力逐步加强，借鉴能力成熟度模型（CMM）203236402834373701020304050一级系统二级系统三级系统四级系统管理要求条数技术要求条数等级保护技术要求归纳13个核心技术要求涉及层面涉及1级系统涉及2级系统涉及3级系统涉及4级系统身份鉴别和自主访问控制网络、主机、应用√√√√强制访问控制主机√√安全审计网络、主机、应用√√√完整性和保密性保护网络、应用、数据√√√√边界保护网络√√√资源控制网络、主机、应用√√√入侵防范和恶意代码防范网络、主机、应用√√√√可信路径设置网络、主机、应用√系统防渗透措施网络、主机、应用√安全管理平台设置网络、主机、应用√√备份与恢复网络、数据√√密码技术应用网络、主机、应用√√环境与设施安全物理√√√√不同等级保护技术措施要求不同等级保护技术措施要求等级保护管理要求安全管理制度信息安全管理的前提安全管理机构信息安全管理的基础人员安全管理信息安全管理的保障系统建设管理围绕安全建设的设计、采购、实施，不断完善信息安全系统运维管理信息安全管理的核心安全管理安全管理的目标是让管理制度切实落地，日常运维是最繁杂的工作。等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路等保建设方案统一规划等保分步实施实践目录建设思路：主动应对，借梯上楼借梯上楼方法：以等保为契机，统一进行安全规划和建设，加强整个系统的信息安全优点：重整优化IT基础架构有计划地满足等保缺点：改造工作资金投入较大对象：没有针对某安全体系标准进行重整过的查漏补缺方法：在现有IT架构中收集证据，不满足的地方适当修补优点：改造工作资金投入小缺点：IT架构越补越复杂，最后补不胜补等保满足时间点不可预期对象：已经采用其他安全体系标准的IT系统，例如运营商等保建设中常见的两种应对思路：借梯上楼是主动的改造思路。对于大多数IT系统，建议采用“借梯上楼”的方法，优化IT架构，满足等保技术建设漏洞监控，脆弱性管理集中策略部署管理行为监控/异常流量监控安全事件集中采集监控病毒集中采集监控安全审计工具风险评估工具威胁定位，响应管理管理建设安全管理机构建设安全管理制度完善应急响应流程制定、演练人员培训安全区域划分，目标制定符合法规要求持续改进、优化、预防重技术、轻管理，或者是重管理、轻技术都是不可取的技术与管理并重分责运维：技术支撑管理行为审计安全监控身份认证权限控制......数据备份恢复技术体系管理体系网络安全主机安全应用安全数据安全物理安全通过技术手段，减轻运维中的工作量和复杂度，让管理制度更好落地等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录分区分域方法横向分区，纵向分域按照等保要求，业务系统需要保持边界完整性，横向分区保持业务系统隔离纵向根据业务系统的不同角色，划分为数据中心/广域网/局域网虚拟分区，灵活节约多业务系统共用一套物理网络，虚拟分区保障业务系统隔离的同时，节省投资，在增加/变更业务系统时灵活方便四级业务四级业务二级业务一级业务数据中心域广域网安全域局域网安全域纵向分域横向虚拟分区三级业务三级业务分域：控制业务访问流程按照业务访问流程，将整个网络划分为三个域：数据中心、广域网、局域网域之间进行严格的访问控制，针对攻击进行全面防范域内包含多个业务的情况下，通过分区的方法进行隔离权限控制攻击防范资源控制链路安全攻击防范广域网优化局域网广域网数据中心终端数据数据备份行为控制行为审计终端认证分区：保持业务系统的独立性通过分区，各业务系统具有独立的IT环境保持边界完整，满足业务之间隔离需求每套业务系统具有独立资源，更好满足业务连续性要求分区隔离的方法网络改造进行物理隔离，例如涉密内网与其他业务系统结合应用类型采用IPSec或者SSL实现业务系统虚拟划分局域网广域网数据中心局域网广域网数据中心局域网广域网数据中心业务A业务B业务CIPSecSSL等级保护政策介绍和建设思路等保建设方案统一规划区域划分方法分域设计方案等保分步实施实践目录数据中心对内服务域非涉密内网办公域Internet外联域网络核心交换域分支广域网域数据中心核心交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetAD等保分域设计方案SSL/NGAF/ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF三大区域的核心技术措施要求编号10个核心技术要求数据中心设计目标广域网设计目标局域网设计目标1身份鉴别和自主访问控制是是是2安全审计是是是3完整性和保密性保护是是是4边界保护是是是5资源控制是是否6入侵防范和恶意代码防范是是是7安全管理平台设置是是是8备份与恢复是否否9强制访问控制是否否10环境与设施安全是是是等保方案设计——数据中心对内服务区SSLVPN业务A业务B业务C核心交换汇聚交换NGAF资源优化与控制安全加固安全管理平台方案描述NGAF：有效防范2~7层攻击，进行应用访问控制AD：限制单用户资源分配，提升服务器响应速度和处理能力，提供SSL加密SSLVPN：保证链路安全性，实现业务系统间的安全隔离和精细化控制，并进行访问审计APM：针对业务连续性提供监测依据异地备份恢复中心AD园区网广域网APMInternet外网NGAF托管区边界FW互联网接口DMZ区服务托管区内网区ADAD链路分担NGAF等保方案设计——数据中心对外服务区网银WEB网银APP网银DB数据中心核心层交换机服务器分担ADSSLVPNNGAF方案描述IPSecVPN：实现跨广域网的加密传输/不同级别系统隔离需求NGAF：配合VPN，防范广域网上2~7层攻击WOC：实现全网带宽合理分配，提供QoS带宽保障双链路冗余：根据等保要求，广域网链路采用双链路冗余。等保方案设计——骨干链路专网/互联网网络核心交换区IPSecVPNCEIPSec+MPLS隧道数据中心业务系统2业务系统1访问者区域IPSec+MPLS隧道业务系统2访问者区域WOC核心分布式部署NGAF数据中心业务系统1二合一方案IPSecVPNWOCNGAF数据中心对内服务域非涉密内网办公域Internet外联域网络核心交换域分支广域网域数据中心核心交换域数据中心对外服务域补丁与特征库升级服务域网络与安全管理域涉密内网办公域异地灾备中心VPN路由器SGInternetADSSL/NGAF/ADMPLS数据中心区域图例局域网区域广域网区域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF数据中心1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护4.边界保护5.资源控制6.入侵防范和恶意代码防范7.安全管理平台设置8.备份与恢复9.强制访问控制10.可信路径设置11.系统防渗透措施12.密码技术应用13.环境与设施安全局域网1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护4.边界保护5.资源控制6.入侵防范和恶意代码防范12.密码技术应用13.环境与设施安全安全管理中心广域网1.身份鉴别和自主访问控制2.安全审计3.完整性和保密性保护4.边界保护13.环境与设施安全等保需求覆盖总图Thankyou！