資源描述:
《天融信-等級保護解決方案》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在行業(yè)資料-天天文庫。
1、天融信等級保護解決方案介紹天融信技術服務副總裁田野Tian_ye@topsec.com.cn等級保護基本需求?政策要求-符合等級保護的要求–系統(tǒng)定級并備案–系統(tǒng)達到《基本要求》相應級別的指標–符合《測評準則》要求����,并通過測評?實際需求-滿足客戶實際要求–融合現(xiàn)有的安全體系或安全設施–同時滿足客戶的其他符合性要求,如SOX��,行業(yè)標準等–適應業(yè)務特性與安全要求的差異性�����,并滿足超過指標的高要求–需要整體考慮所有系統(tǒng)���,統(tǒng)一進行安全建設和管理–需要建立長效機制,可持續(xù)運行���、發(fā)展和完善等級保護實施中的幾個難點?如何融合現(xiàn)在安全設施�����,并滿足客戶的其他符合性要求
2�����、���,形成一套體系,而不是幾套體系并存?如何反映行業(yè)形象與業(yè)務特性�,反映安全要求的差異性��,并滿足超過指標的高要求?標準中從“單個系統(tǒng)”出發(fā),是各系統(tǒng)單獨建設�,還是統(tǒng)一建設����?如何避免形成信息孤島和重復建設??如何避免成為一次“運動”���,能夠建立長效機制���,可持續(xù)發(fā)展�����,真正對實際工作有幫助����?等級保護需求分析?融合現(xiàn)有安全設施基礎上��,融合客戶的其他符合性要求,從整體出發(fā)�����,統(tǒng)一建設/改造一套符合等級保護制度的安全體系–采用安全域框架設計和風險評估的方法���,反映行業(yè)形象與業(yè)務特性���,反映安全要求的差異性,并滿足超過指標的高要求–采用統(tǒng)一安全平臺建設基礎上各系統(tǒng)單獨保護
3���、的方法�����,解決各系統(tǒng)單獨保護形成信息的孤島和分散重復建設–采用建立一套安全運維體系的方法��,來建立長效機制�,做到可持續(xù)運行�、發(fā)展和完善總體設計方法-TopSec等級保護體系國家規(guī)定的整體客戶的信息資產(chǎn)各等級安全目標安全要求定級分解定制分等級的安全要求與對策框架分等級的保護對象框架策略體系安全目標組織體系技術體系運作體系等級保護體系體系建設和運行安全域框架設計方法安全平臺+各系統(tǒng)保護方法應用安全各應用系統(tǒng)應用系統(tǒng)安全增強安全管理平臺認證授權統(tǒng)一身份認證與授權管理平臺統(tǒng)一鑒別認證平臺數(shù)據(jù)安全第三方統(tǒng)一安全接入平臺數(shù)據(jù)備份與冗災平臺加密第三方統(tǒng)一安全接入平
4����、臺應用加密平臺安全管理運行中心各主機網(wǎng)絡設備設備安全配置與加固網(wǎng)絡安全終端管理和防病毒集中管理平臺安全域和網(wǎng)絡訪問控制平臺監(jiān)控審計全程全網(wǎng)監(jiān)控和審計平臺全網(wǎng)統(tǒng)一監(jiān)控和審計平臺終端安全終端管理和防病毒集中管理平臺防病毒�����、補丁和終端管理平臺物理安全終端管理和防病毒集中管理平臺集中機房與物理環(huán)境安全基礎設施安全安全運行體系設計方法安全體系項目建設安全風險安全運行的建設安全管理管理維護定期評估總部層面安全預警安全目標安全現(xiàn)狀提出規(guī)范���、要求制定總體提出安全根據(jù)要求安全體系規(guī)范�����、要求評估建設監(jiān)控、審計考核和檢查安全要求安全現(xiàn)狀省級層面弱點評估落實規(guī)范���、要求制
5�、定企業(yè)或跟蹤�、定期審核部門級體系安全建設工作系統(tǒng)加固安全事件處理制定運維作業(yè)計劃系統(tǒng)層面申請立項提供項目安全說明按要求進行設備安全維護按要求開展工作建設按要求進行應急響應計劃系統(tǒng)安全維護安全建設工作等級保護體系安全措施框架安全策略體系信息安全政策管理制度組織職責技術標準規(guī)范安全組織體系安全運行體系安全人員教育人員組織職責培訓安全安全體系建設項目建設安全管理安全技術體系安全風險管理身份訪問防惡意與控制加密認證控制代碼審核備份安全運行與維護加固監(jiān)控跟蹤恢復等級保護體系的實施狀態(tài)組織體系策略體系安全體系推廣與落實安全組織設置和崗位職責運作體系安全策略體
6、系設計項目建設的安全管理安全教育���、培訓與資質認證安全策略與流程推廣實施安全風險管理與控制內(nèi)部與第三方人員安全管理日常安全運行與維護保護對象框架安全管理運行中心應用系統(tǒng)安全增強設備安全配置與加固技術體系統(tǒng)一身份認證與授權管理平臺統(tǒng)一鑒別認證平臺終端管理和防病毒集中管理平臺防病毒、補丁和終端管理平臺第三方統(tǒng)一安全接入平臺數(shù)據(jù)備份與冗災平臺終端管理和防病毒集中管理平臺安全域和網(wǎng)絡訪問控制平臺第三方統(tǒng)一安全接入平臺應用加密平臺全程全網(wǎng)監(jiān)控和審計平臺統(tǒng)一監(jiān)控與審計管理平臺應用安全基礎設施安全等級保護實施的通常流程大型客戶中小型客戶1.系統(tǒng)定級1.系統(tǒng)定級2
7�、.等級化風險評估2.系統(tǒng)測評準備2.系統(tǒng)測評準備3.安全體系與規(guī)劃3.年度測評/評估3.下一年度系統(tǒng)測評4.本年安全建設4.下一年安全建設?系列安全項目實施?系列安全項目實施4.整改方案與計劃4.整改方案與計劃?內(nèi)部安全管理建設?內(nèi)部安全管理建設5.年度系統(tǒng)測評5.年度系統(tǒng)測評5.本年安全項目建設5.本年安全項目建設6.整改后復核6.整改后復核6.測評后整改6.測評后整改7.安全體系運營和維護7.安全系統(tǒng)運營和維護兩類客戶的方案分析?大型客戶:大行業(yè)客戶,2+8行業(yè)–對安全要求很高��,要求全價值鏈的服務和產(chǎn)品,建設周期3年以上���,按規(guī)劃進行–項目形式
8�、:咨詢項目-系列集成項目-外包項目–方案:等級安全體系的咨詢與實施?咨詢(定級咨詢���,體系設計�,安全規(guī)劃�,風險評估)?安全集成與產(chǎn)品提供?
