基于等级保护的恶意代码防护体系建设方案

基于等级保护的恶意代码防护体系建设方案

基于等级保护的恶意代码防护体系建设方案

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护解释外网非安全区域 DMZ区域内网 互联网

内网安全区域各二级单位

非信任区域航运市场

安全保护能力或要 求有差别——等级Identification& Authentication 鉴别认证

核心交换机 时代大厦

集装箱码头 大窑湾 电话网 拨号服务器 大连湾

入侵检测 大窑湾数据中心

流量分析

匹配

ccess Control 访问控制

A

ontent Security 内容安全

C

强安全区域

R系统根据价值 和影响力可以 划定安全等级

nt da ry n u e ed cov 复 e 恢 R 余 & 冗

ud it Re & sp o 审计 ns e 响应

A

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护政策要求计算机信息系统安全等级保护要求和影响程度

政策要求： 27号文：纲领性文件，信息安全等级保护为安全国策 66号文：四部委关于等级保护实施的计划 43号文：公安部的信息安全等级保护管理办法Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全体系框架安全防护机制管 框理 架体 系

安全监测机制

安全响应机制

安全风险管理体系评估安全风险 制定安全策略 实施安全策略 审核策略有效性

组 框织 架体 系物理防护 主机防护 网络防护 数据保护

安全筹划指导委员会 安全风险管理小组 信息安全组/信息技术组物理监测 主机监测 网络监测 应用监测 预警/报警/审计 系统备份与恢复

技 框术 架体 系

信息安全基础设施Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护的生命周期

定级阶段

规划设计阶段

安全实施/实现阶段

安全运行管理阶段

系 统 调 查 和 描 述

子 系 统 划 分 分 解

子 系 统 边 界 确 定

安 全 等 级 确 定

定 级 结 果 文 档 化

等 级 化 风 险 评 估

安 全 总 体 设 计

安 全 建 设 规 划

安 全 方 案 设 计

安 全 产 品 采 购

安 全 控 制 集 成

测 试 与 验 收

管 理 机 构 的 设 置

管 理 制 度 的 建 设

人 员 配 置 和 岗 位 培 训

安 全 建 设 过 程 的 管 理

操 作 管 理 和 控 制

变 更 管 理 和 控 制

安 全 状 态 监 控

安 全 事 件 处 置 和 应 急 预 案

安 全 评 估 和 持 续 改 进

监 督 检 查

/

信息系统等级保护实施生命周期内的主要活动

Copyright 2009

Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护方案建设阶段

:分析信息安全现状

:识别企业目前的安全现状与等级保护之间的差距

:确定信息安全战略以及相应的信息安全需求

:规划未来 3-5年内的需要实施的安全项目

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护体系设计方法5级

客户的信息资产

整体 安全目标 分解 分等级的 安全目标

基 本 安 全 要 求

4级 3级 2级 1级

国家规定的 各等级 安全要求 定制

定级 分等级的 保护对象框架

安全要求与对策框架策略体系 组织体系 技术体系 运作体系

等级化 安全体系

体系建设 和运行Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息安全等级保护建设目标

保障计算环境安全

保障网络连接安全

保障应用系统安全

保障基础设施安全

信息安全等级 保护建设目标

安全管理体系保障

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

1、信息安全等级保护政策要求 2、信息安全等级保护设计方案整体思路 3、信息安全等级保护建设目标 4、信息系统安全现状分析 5、基于等级保护的恶意代码防护体系建设方案

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

信息系统等级保护基本框架

《信息系统安全等级保护基本要求》在整体上大的分类，其中技术部分分为：物理安全、网络安全、 主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机 构、人员安全管理、系统建设管理和系统运维管理等5大类，Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

技术要求物理安全1. 2. 物理位置选择 物理访问控制

网络安全1. 2. 网络访问控制

主机系统安全身份鉴别 自主访问控制 强制访问控制 2. 3.

应用安全1. 2. 身份鉴别 访问控制

数据安全1. 数据完整性

结构安全和网段划分 1.

2.3.

数据保密性安全备份

3.4. 5. 6.

防盗窃和防破坏 3.防雷击 防火 防水和防潮 4. 5. 6. 7. 8.

拨号安全控制网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护

3.4. 5. 6.

通信完整性通信保密性 安全审计 剩余信息保护

4.5. 6. 7.

安全审计可信路径 剩余信息保护 恶意代码防范

7.8. 9.

温湿度控制电力供应 电磁防护

7.8. 9.

恶意代码防范抗抵赖 资源控制

8.9.

入侵防范系统资源控制

10. 系统自我保护

10. 软件容错 11. 代码安全

Copyright 2009 Trend Micro Inc.

基于等级保护的恶意代码防护体系建设方案

管理要求安全管理制度1. 2. 管理制度 制订和发布

安全管理机构1. 2. 3. 4. 岗位设置 人员配备 授权和审批

沟通和合作

人员安全管理1. 2. 3. 4. 人员录用 人员离岗 人员考核

系统建设管理1. 2. 系统定级 安全风险评估

系统运维管理1. 系统备案

2.3. 4. 5.

资产管理设备管理 介质管理