聯想信息安全每一天等級化安全體系設計與實踐聯想網御科技有限公司資深安全顧問主題2003年11月，發布27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號文件）我國第一個全面關于信息安全保障工作的文件，是我國今后一段時期內信息安全保障工作的綱領性文件總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統安全

明確提出實行信息安全等級保護制度2004年9月，發布66號文件《關于信息安全等級保護工作的實施意見》（公通字[2004]66號文件）主要內容開展等級保護工作的重要意義等級保護制度的原則等級保護制度的基本內容等級保護工作職責分工實施等級保護工作的要求等級保護工作的實施計劃電子政務等級保護實施指南（試行）國信辦[2005]25號信息安全等級保護管理辦法（試行）公通字[2006]7號主題我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規和標準不完善安全人才缺乏技術整體上比較落后，嚴重依賴國外進口環境產業缺乏核心競爭力，競爭不夠有序產業有害信息、病毒和網絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅戰略目標：建設國家信息安全保障體系戰略方針：積極防御，綜合防范27號文件實行等級保護制度災備等基礎和支撐性工作國家的安全要求66號文件電子政務等級保護實施指南基本制度和根本方法等級化要求體系化要求我國信息安全的形勢尤為嚴峻安全的防護能力很弱，安全保障水平不高信息安全法律法規和標準不完善安全人才缺乏技術整體上比較落后，嚴重依賴國外進口環境產業缺乏核心競爭力，競爭不夠有序產業有害信息、病毒和網絡攻擊和犯罪日趨嚴重敵對勢力的攻擊破壞和反動宣傳日益猖撅威脅安全保障水平較低，落后于業務與IT的發展水平，未能促進或阻礙了業務發展安全需要做到什么程度？需要多大的投資規模？如何建立公司級的安全整體機制？CEO安全都需要作什么？如何才能做到長治久安？如何分配安全投資？重點是什么？投資和建設的節奏和計劃？安全投資如何才能產生真正效果？CSO客戶的要求與應對等級化要求總體投資規模投資策略，突出重點體系化要求安全總體體系與機制安全目標與規劃有效性保障與運行具體的要求是什么？如何建設和維護？如何考核？執行者等級化安全體系的提出等級化要求體系化要求27號文件66號文件電子政務等級保護實施指南公安部系列指南和標準國家的要求客戶的要求CEO的要求CSO的要求執行者的要求等級化安全體系理念：等級化安全體系聯想網御安全理念定義內涵：依照國家等級保護制度，幫助客戶達到體系化的安全保障水平，采用體系化和等級化相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。等級化安全體系的特質關鍵組成部分：等級保護，安全體系設計方法：等級化、體系化相結合形成的等級化安全體系方法特質：整體性：結構化，系統化，內容全面等級化：突出重點，節省成本針對性：針對實際情況，符合業務特性和發展戰略可持續發展：框架相對穩定，內容可持續發展和完善實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是安全工作所追求的最終目標兩者有效結合，形成等級化安全體系設計方法組織戰略和業務目標組織總體信息安全目標安全要求安全措施結構體體系化設計方法保護對象安全目標安全措施等級化等級化設計方法總體設計方法等級保護基本原理依據信息系統的使命與目標和系統重要程度，將系統劃分為不同的安全等級，并綜合平衡考慮系統安全要求、系統所面臨安全風險和實施安全措施的成本，通過調整和定制，形成不同等級的安全措施進行保護實行等級保護的目的滿足不同行業、信息化發展階段、不同層次的安全要求有利于突出重點有利于控制安全的成本等級化設計方法體系化設計方法什么是安全體系一組結構化的安全目標和措施用于表述組織的總體安全目標和實現。網絡基礎設施區域邊界計算環境安全保護對象框架安全基礎設施信息安全保障體系組織體系技術體系運作體系策略體系安全對策框架大型系統表述困難：規模龐大：應用眾多、地域廣闊、用戶龐大結構復雜：應用復雜并相關聯，網絡結構復雜，安全要求強度和差異化很大信息安全涵蓋內容極為廣泛層次眾多：從物理層－－到數據層，管理、組織、策略、運行生命周期：從評估、需求、設計、規劃、實施、運維，到持續改進體系的結構化框架相對固定，具有穩定性；內容相對完整，并可根據發展補充和完善等級化安全體系方法整體安全目標分等級的保護對象框架體系建設和運行組織體系技術體系運作體系策略體系安全要求與對策框架客戶的信息資產定級分解國家規定的各等級安全要求定制分等級的安全目標等級化安全體系客戶安全工作的價值鏈評估體系規劃體系建設實施體系運行安全工作生命周期方案了解現狀價值確定目標和總體籠廓確定目標實現策略和途徑增強安全措施，解決安全問題維護體系運行，保障安全確定實現方法評估服務聯想提供產品服務體系設計服務規劃服務產品：自有產品外部采購產品服務：采購、實施、監理服務咨詢服務(策略，體系推行，培訓)方案設計服務典型方案產品售后服務外包服務：定期評估監控與分析常年咨詢體系更新和維護方案1：等級化安全體系解決方案方案2：等級保護一體化解決方案等級化安全體系的實施方案方案1：等級化安全體系解決方案適用范圍：大型和超大型客戶安全要求高、復雜，要求全價值鏈的服務和產品聯想提供咨詢、集成、產品、安全外包等全價值鏈的解決方案項目形式：咨詢項目－集成項目－外包項目方案2：等級保護一體化解決方案適用范圍：中小型客戶安全要求一般、相對簡單，要求部分價值鏈聯想提供精簡的咨詢、集成和產品的一體化解決方案項目形式：集成項目－售后服務實施過程第一階段：定級階段第二階段：規劃與設計階段第三階段：實施、評審與改進階段

定級方法確定應用系統的安全等級的基本方法是：通過確定系統保密性、完整性和可用性三個方面的安全級別來綜合確定系統的安全等級；系統定級公式：系統安全等級(A)＝Max{(系統保密性級別),(系統完整性級別),(系統可用性級別)}系統保密性級別＝Max{(各信息或服務的保密性級別)}系統完整性級別＝Max{(各信息或服務的完整性級別)}系統可用性級別＝Max{(各信息或服務的可用性級別)}安全規劃與設計選擇和調整安全措施運行監控與改進持續監控安全措施改進系統重新定級等級保護案例簡介佛山市南海區電子政務等級保護試點項目項目內容系統調查與評估南海等級化服務項目分域保護框架建設對象

資產調查總體安全建議

電子政務系統等級劃分

建議方案和管理規范應用與業務調查定級規范調查系統定級分域設計網絡調整方案安全組織管理辦法系統風險和安全措施調查評估加固方案體系和規劃建議項目報告項目成果－南海電子政務分域保護對象框架項目成果－電子政務系統等級劃分

－大社保系統平臺序號系統名稱三性安全等級系統安全等級保密性等級完整性等級可用性等級1南海區社會保險管理信息系統33332南海區民政局業務系統22223南海區社會保障（市民）卡業務系統22224大社保平臺數據中心系統23235南海區社會保險公共服務系統2222項目成果－電子政務系統等級劃分

序號系統名稱三性安全等級系統安全等級保密性等級完整性等級可用性等級1南海區基金收費非稅收入系統23232南海區會計結算中心業務系統23233獅山鎮財務結算中心系統22224南海區統計局基層統計系統2222實施的解決方案的內容項目成果－總體安全建議等級保護案例簡介某大型通信企業等級化安全體系咨詢項目等級化安全體系解決方案設計流程保護對象公司部門系統計算區域網絡基礎設施邊界核心服務器區域終端接入區域第三方接入區域安全目標公司安全目標部門安全建設目標系統安全建設目標安全要求機密性完整性可用性安全組織安全策略安全運作安全技術安全措施策略解決方案項目內容

安全評估與等級劃分公司安全體系設計公司等級化安全體系設計安全組織體系安全運作體系安全規劃安全策略試點工作3年安全規劃公司全面深度安全評估網管系統安全域劃分及原則規范網管系統等級劃分及原則規范成果－安全工作總體思路1.公司安全的使命和目標-得到安全目標我們的方向是什么？3.安全現狀4.關鍵舉措和重點工作-得到總體框架和籠廓我們做什么？做成什么樣子？-得到工作計劃和實施規劃我們怎么做？2.安全體系總體框架5.實施策略選擇6.工作計劃7.建設實施8.安全運營和持續改進現在，我們開始作成果－安全域劃分（一期）項目成果—安全域劃分（二期）成果－等級化安全體系的實現安全支撐系統和基礎設施第三方統一安全接入平臺安全研究與測試實驗室第三方統一安全接入平臺全程全網監控和審計平臺統一鑒別認證平臺終端管理和防病毒集中管理平臺第三方統一安全接入平臺全程全網監控和審計平臺統一身份鑒別認證平臺終端管理和防病毒集中管理平臺安全管理運行中心全網安全域劃分與邊界整合網絡安全性調整和改造安全體系核查與改造項目技術體系安全組織體系和崗位職責安全培訓與資質認證組織體系安全策略體系和流程梳理安全策略與流程推廣實施策略體系體系推廣與常年安全咨詢運作體系常年安全外包服務保護對象框架成果－安全組織體系主管領導（主管安全）領導小組組長信息安全領導小組業務部門負責人成員安全部門負責人工作組組長管理部門負責人成員部門安全管理員成員部門安全管理員成員安全辦公室負責人負責人安全管理員信息安全工作組信息安全辦公室成果－安全策略體系信息安全方針管理規定工作流程安全組織人員職責信息安全體系公司層面部門安全工作管理辦法部門安全組織人員職責部門層面工作表單運行維護計劃應急響應計劃系統層面安全措施安全要求策略體系技術體系運作體系組織體系公司部門系統公司部門系統安全目標防病毒監控審計認證第三方統一接入安全域公司層面訪問控制訪問控制訪問控制主機安全邊界隔離數據庫安全應用安全安全域邊界隔離系統層面成果－安全運行體系安全目標要求PLAN：安全目標要求—安全現狀安全計劃（建設；維護…）

Do：安全項目建設安全維護作業1、更新資產補丁\拓撲\服務等狀態2、安全事件通報….3、安全加固4、更新安全現狀和安全目標要求差距5、其他…..Check：日常安全檢查周期性安全評估1、檢查安全目標要求的完成狀態2、評估安全狀況（資產狀態；弱點狀態），3、安全現狀是否符合可控安全環境Action：調整安全目標要求規劃安全項目績效考核各部門、安全管理員成果－建設規劃安全組織體系和崗位職責安全培訓與資質認證安全策略體系和流程梳理安全研究與測試實驗室第三方統一安全接入平臺全程全網監控和審計平臺統一鑒別認證平臺終端管理和防病毒集中管理平臺全網安全域劃分與邊界整合安全管理運行中心安全策略與流程推廣實施常年安全咨詢與外包服務網絡安全性調整和改造安全體系核查與改造項目組織體系建設策略體系建設運作體系建設安全規劃安全調查與風險評估保護對象框架設計定級等級化安全體系設計方案設計等級評測材料準備和等級認證一個評估和定級項目一個體系和規劃項目系列集成建設項目，3年系列咨詢和外包項目，3年定級階段規劃階段實施階段評審驗收體系推廣與常年安全咨詢公司安全辦公室

6