等级保护及等级化平安保障体系设计,卫士通信息产业股份,吴鸿钟 博士,2006年7月,提纲,卫士通对等级保护政策的理解,卫士通等级化平安保障体系设计的成功案例,总结,卫士通对等级保护政策的理解,等级保护是我国信息平安领域的一项根本政策,1994年，?中华人民共和国计算机信息系统平安保护条例?的发布,1999年，?计算机信息系统平安保护等级划分准那么?GB17859-1999发布,2003年，中央办公厅、国务院办公厅转发?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号文,2004年，四部委联合签发了?关于信息平安等级保护工作的实施意见?公通字200466号文,国务院信息化工作办公室发布?电子政务信息平安等级保护实施指南试行?,卫士通对等级保护政策的理解,等级保护是我国信息平安领域的一项根本政策,2005年12月，国家保密局发布?涉及国家秘密的信息系统分级保护管理方法?、?涉及国家秘密的信息系统分级保护技术要求?,2005年12月，公安部?信息系统平安等级保护实施指南?、?信息系统平安等级保护定级要求?、?信息系统平安等级保护根本要求?、?信息系统平安等级保护测评准那么?GB送审稿陆续出台,2006年3月开始实施的公安部、国家保密局、国家密码管理局、国信办四部委局办发布7号文?等级保护管理方法?,卫士通对等级保护政策的理解续,等级保护的核心是将传统的定性设计逐步进化为定量的平安保障设计,对信息系统实施不同等级的平安保护,对信息系统中使用的平安产品实施分等级管理,对信息系统发生的平安事件分等级响应和处置,等级保护表达了差异化的平安保障思想,由系统使命决定系统的等级，充分考虑业务信息平安性和业务效劳保证性,结合根本要求，并依据风险评估的结果对平安保护措施进行调整,对3级及以上系统实施相应的监督和管理,对涉及国家平安、经济建设、社会稳定等方面的重要信息系统重点保护,对于涉及国家秘密的信息系统,标准定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督,涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级(一般和增强)和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求,卫士通对等级保护政策的理解续,等级化平安保障体系设计的案例,卫士通公司在金审工程中，系统性运用了等级保护、风险评估的思想，成功设计了等级化平安保障体系,主要经验表达在5个方面,关于信息系统的划分,关于系统的定级,关于风险评估,关于等级化保障体系设计流程,关于等级化保障体系设计,信息系统的划分,信息系统的概念有大有小，在工程实践中，过大的划分不利于对信息进行有针对性的保护，因此需要对信息系统进行有效的划分,信息系统的划分原那么是相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境,【公安部?信息系统平安保护等级定级指南?】,信息系统的划分可以从平安区域、业务系统和保护对象三个不同角度进行：,平安区域侧重从物理区域进行划分，比方核心区、接入区；用户区、管理区；外网、接入网、内网等，其优点是划分相对容易，缺点是粒度较粗,业务系统侧重从应用系统进行划分，优点是粒度较细，缺点是实际操作比较困难，当然也可以考虑几个业务系统的组合,我们在金审工程中引入的保护对象那么综合了平安区域和业务系统两种方法的优点，既考虑了信息系统的信息流向、业务流程也考虑了信息系统的物理归属,信息系统的划分,信息系统的划分反映了不同的思路,保护对象实质是风险评估的资产划分模型；平安区域实质是具有类似平安要求的物理位置划分模型；,保护对象侧重在风险评估；平安区域侧重在边界防护；,风险评估是等级保护的根底组成局部；边界保护相反只是措施而已；,但是保护对象与平安域并不矛盾，它们是两种不同的分类法，在具体的操作时，原那么是：已有系统采用保护对象设计方法；新建系统采用平安区域设计方法。,新建系统先网络后应用；,已有系统先应用后网络；,信息系统所属类型,业务信息类型,信息系统效劳范围,业务依赖程度,业务信息平安性取值,业务效劳保证性取值,业务效劳保证性等级,1.赋值,选择调节因子,业务子系统平安保护等级,2.确定两个指标等级,业务信息平安性等级,3 确定业务子系统等级,信息系统平安保护等级,4.确定信息系统等级,其它业务子系统,信息系统的定级,根据公安部、国家保密局、国家密码管理局、国信办四部委局办7号文第17条“涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求,可以得出一个信息系统的级别至少应该为3级以上，才能称得上是一个涉密系统。然后根据信息的平安属性确定属于秘密、机密和绝密中的哪一种。同时依据?涉及国家秘密的信息系统分级保护技术要求?中的方法进行等级确定和平安措施确实定,我们在金审工程中，分别按照相关文件精神并结合金审工程实际情况，对外网和内网进行了等级确实定,信息系统的定级续,在定级的根底上，我们依据相关政策确定了相应的根本要求,依据我们前期对金审工程资产、威胁、脆弱性、影响程度、平安措施等分析和评估，在金审工程中，我们对平安保护措施在根本要求的根底上又重新进行局部调整，突出了重点,依据风险评估结果调整平安措施,信息系统的划分,与定级,平安需求,平安保障体系,平安解决方案,风险评估,等级保护,政策、标准、指南,平安规划,平安产品分级,平安事件分级,系统运行,影响等级,根本平安要求,等级化平安保障体系设计流程,等级保护的流程深刻地揭示了各种因素对等级化保护所带来的潜移默化的影响,等级保护的流程同时也揭示了等级保护和传统信息平安保护的本质联系，他们都需要遵循信息系统平安工程的思想,需要就产品的分等级和事件的分等级进行后续的研究,等级化平安保障体系设计流程续,等级化平安保障体系的根本框架,总结,卫士通公司紧密跟踪并深刻领会国家在等级保护、风险评估、灾备和应急等方面的政策，拥有了一支具有较高技能的队伍,卫士通公司平安效劳事业部形成了完善的平安效劳流程，在系统平安规划、等级化平安保障体系建设、平安运维与管理方面逐渐形成一套完整体系,卫士通在平安效劳，特别是风险评估和等级化平安保障体系方面具有多个大型工程成功的经验,卫士通愿意与您合作，共同推动等级化平安保障体系建设！,谢谢大家！,