SEC212微軟產(chǎn)品為信息安全等級(jí)保護(hù)保駕護(hù)航

微軟產(chǎn)品為信息平安等級(jí)保護(hù)

保駕護(hù)航SEC213主題Sources:WorldBankandIMF行業(yè)平安解決方案研討B(tài)RS-Microsoft平安解決方案框架效勞與支持平安等級(jí)保護(hù)促進(jìn)企業(yè)平安建設(shè)425微軟技術(shù)支持企業(yè)提高平安等級(jí)31Microsoft平安愿景IT系統(tǒng)面臨的威脅不斷增加LocalAreaNetworksFirstPCvirusBootsectorvirusesCreatenotoriety

orcausehavocSlowpropagation16-bitDOS1986–1995InternetEraMacrovirusesScriptvirusesKeyloggersCreatenotoriety

orcausehavocFasterpropagation32-bitWindows1995–2000Broadband

prevalentSpyware,SpamPhishingBotnets&RootkitsWarDrivingFinancial

motivationInternet

wideimpact32-bitWindows2000–2007HyperjackingPeertoPeerSocialengineeringApplicationattacksFinancial

motivationTargetedattacksNetworkdeviceattacks64-bitWindows2007+MajorsectionscoverSoftwareVulnerabilityDisclosuresSoftwareVulnerabilityExploitsMaliciousSoftwareandPotentiallyUnwantedSoftwarePrivacyandSecurity

BreachNotifications

威脅演變趨勢(shì)

Hardware

O/S

Drivers

Applications

GUI

User

PhysicalExamplesSpywareRootkitsApplicationattacksPhishing/SocialengineeringAttacksGettingMoreSophisticated

TraditionaldefensesareinadequateNationalInterestPersonalGainPersonalFameCuriosityAmateurExpertSpecialistLargestareabyvolumeLargestarea

by$lostScript-KiddyLargestsegmentby$spentondefenseFastestgrowingsegmentAuthorVandalThiefSpyTrespasserCrimeOnTheRisemainframeclient/serverInternetmobilityB2EB2CB2BPre-1980s1980s1990s2000sNumberofDigitalIDsExponentialGrowthofIDs

IdentityandaccessmanagementchallengingIncreasinglySophisticatedMalware

Anti-malwarealoneisnotsufficient

Numberofvariantsfromover

7,000malwarefamilies(1H07)Source:MicrosoftSecurityIntelligenceReport(January–June2007)平安分析報(bào)告

DatasourcesMaliciousSoftwareandPotentiallyUnwantedSoftwareDatafromseveralhundredmillioncomputersMSRThasauserbaseof450+millionuniquecomputersDuring2H07MSRTexecuted2.5billiontimesSinceJanuary2005totalMSRTexecutionssurpass10billionProductNameMainCustomerSegmentMaliciousSoftwareSpywareandPotentiallyUnwantedSoftwareAvailableatNoAdditionalChargeMain

DistributionMethodsConsumersBusinessScanandRemoveReal-timeProtectionScanandRemoveReal-timeProtectionWindowsMaliciousSoftwareRemovalTool●PrevalentMalwareFamilies●WU/AU

DownloadCenterWindowsDefender●●●●DownloadCenterWindowsVistaWindowsLiveOneCare

safetyscanner●●●●WebWindowsLiveOneCare●●●●●Web/StorePurchaseMicrosoftExchange

HostedFiltering●●●WebForefrontClientSecurity●●●●●VolumeLicensingAnti-Virus

SecuritySoftware

PatchSecurityApplianceSystemIntegratorNetworkDevice復(fù)雜的平安技術(shù)環(huán)境平安治理無法與企業(yè)需求以及新生時(shí)機(jī)同步開展現(xiàn)今企業(yè)業(yè)務(wù)面臨的難題種類和數(shù)量同時(shí)增加復(fù)雜程度增加利益所驅(qū)使法規(guī)遵從和一致性帶來的壓力逐日增大無處不在、更加頻繁的互通與協(xié)作保護(hù)和訪問需求日益急迫明智IT選擇；降低預(yù)算業(yè)務(wù)愿景新產(chǎn)品不斷問世集成性松散總體成本過高威脅當(dāng)前應(yīng)對(duì)方案MoreadvancedApplication-orientedMorefrequentProfitmotivatedToomanypointproductsPoorinteroperabilityLackofintegrationMultipleconsolesUncoordinatedeventreporting&analysisCostandcomplexitySECURITYSOLUTIONREQUIREMENTSThreatsmore

dangerousFragmentationof

securitytechnologyDifficulttouse,

deployandmanage平安管理的需求INTEGRATEDSIMPLIFIEDCOMPREHENSIVEMicrosoft平安戰(zhàn)略PerspectiveGuidanceSecurity

Tools&PapersMicrosoftSecurity

AssessmentToolkitInfrastructureOptimizationMicrosoftIT

ShowcaseMicrosoftWindowsVista

SecurityWhitepapersMicrosoftSecurity

IntelligenceReportSecurity

ReadinessEducation

andTrainingLearningPathsfor

SecurityProfessionals構(gòu)建信任棧TrustedStackSecureFoundationCoreSecurityComponentsIntegratedProtectionSDLandSD3Defense

inDepthThreatMitigationTrustedHardwareTrustedPeopleTrustedDataTrustedSoftwareIdentityClaimsAuthenticationAuthorizationAccessControlMechanismsAudit“I+4A〞信息平安體系框架信息安全體系框架技術(shù)體系框架組織體系框架管理體系框架信息平安體系框架管理體系框架組織體系框架技術(shù)體系框架安全防護(hù)機(jī)制安全監(jiān)測(cè)機(jī)制安全響應(yīng)機(jī)制安全風(fēng)險(xiǎn)管理體系安全籌劃指導(dǎo)委員會(huì)安全風(fēng)險(xiǎn)管理小組信息安全組/信息技術(shù)組信息安全基礎(chǔ)設(shè)施網(wǎng)絡(luò)防護(hù)數(shù)據(jù)保護(hù)物理防護(hù)主機(jī)防護(hù)網(wǎng)絡(luò)監(jiān)測(cè)應(yīng)用監(jiān)測(cè)物理監(jiān)測(cè)主機(jī)監(jiān)測(cè)預(yù)警/報(bào)警/審計(jì)系統(tǒng)備份與恢復(fù)評(píng)估安全風(fēng)險(xiǎn)制定安全策略實(shí)施安全策略審核策略有效性信息平安體系框架管理體系框架–平安風(fēng)險(xiǎn)管理評(píng)估風(fēng)險(xiǎn)確定企業(yè)面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)實(shí)施決策支持根據(jù)本錢效益分析評(píng)價(jià)并確定風(fēng)險(xiǎn)控制方案實(shí)施控制部署并實(shí)施控制解決方案以降低企業(yè)面臨的風(fēng)險(xiǎn)評(píng)定方案有效性分析風(fēng)險(xiǎn)管理流程效率，驗(yàn)證控制措施提供了預(yù)期的保護(hù)程度信息平安體系框架評(píng)估平安風(fēng)險(xiǎn)規(guī)劃為成功的風(fēng)險(xiǎn)評(píng)估建立根底主要任務(wù)評(píng)估風(fēng)險(xiǎn)階段與預(yù)算流程相銜接精確確定評(píng)估范圍獲得風(fēng)險(xiǎn)承擔(dān)者認(rèn)同設(shè)置期望值數(shù)據(jù)收集從整個(gè)組織內(nèi)的風(fēng)險(xiǎn)承擔(dān)者收集風(fēng)險(xiǎn)數(shù)據(jù)確定資產(chǎn)并對(duì)其進(jìn)行分類定義威脅與漏洞評(píng)估資產(chǎn)暴露程度評(píng)估威脅的可能性確定風(fēng)險(xiǎn)優(yōu)先級(jí)確定了優(yōu)先級(jí)的風(fēng)險(xiǎn)列表管理體系框架–平安風(fēng)險(xiǎn)管理信息平安體系框架制定平安策略管理體系框架–平安風(fēng)險(xiǎn)管理信息平安體系框架管理體系框架–平安風(fēng)險(xiǎn)管理信息平安體系框架制定平安風(fēng)險(xiǎn)記分卡評(píng)定控制有效性確?？刂拼胧┨峁╊A(yù)期的保護(hù)效果并持續(xù)有效直接測(cè)試/自動(dòng)測(cè)試重新評(píng)估新的和已更改的資產(chǎn)和平安風(fēng)險(xiǎn)管理體系框架–平安風(fēng)險(xiǎn)管理平安籌劃指導(dǎo)委員會(huì)信息平安體系框架組織體系框架上級(jí)主管安全風(fēng)險(xiǎn)小組信息技術(shù)組代表企業(yè)負(fù)責(zé)人控制方案負(fù)責(zé)人風(fēng)險(xiǎn)承擔(dān)者信息平安執(zhí)行機(jī)構(gòu)信息平安組信息技術(shù)組信息平安體系框架組織體系框架–任務(wù)分工概要信息平安體系框架技術(shù)體系框架物理環(huán)境機(jī)械防護(hù)電磁防護(hù)…計(jì)算機(jī)系統(tǒng)可信硬件環(huán)境操作系統(tǒng)安全身份識(shí)別訪問控制，…網(wǎng)絡(luò)與通訊數(shù)據(jù)、信息的機(jī)密性和完整性身份識(shí)別，…應(yīng)用與數(shù)據(jù)應(yīng)用安全數(shù)據(jù)安全…平安機(jī)制保護(hù)機(jī)制身份識(shí)別、訪問控制數(shù)據(jù)過濾加密、平安標(biāo)記、通信量填充與信息隱蔽文件、數(shù)據(jù)庫、數(shù)據(jù)庫字段數(shù)據(jù)完整性–消息的鑒別數(shù)據(jù)單元完整性鑒別：通過鑒別碼檢驗(yàn)數(shù)據(jù)是否被篡改或假冒數(shù)據(jù)流完整性鑒別：鑒別碼結(jié)合時(shí)間戳、序列號(hào)密碼分組鏈接等技術(shù)以抵抗亂序、喪失、重放、插入、或修改等人為攻擊或偶然破壞公證、數(shù)字簽名公證：在兩方/多方通信中，提供數(shù)據(jù)完整性、收發(fā)方身份識(shí)別和時(shí)間同步等效勞，如數(shù)字證書CA數(shù)字簽名：基于公鑰密碼的數(shù)字簽名應(yīng)用程序平安設(shè)計(jì)與實(shí)現(xiàn)軟件平安開發(fā)周期〔SDLC〕保證又稱為可信功能度是提供對(duì)于某個(gè)特定平安機(jī)制的有效性證明平安機(jī)制檢測(cè)機(jī)制事件檢測(cè)對(duì)所有用戶的與平安相關(guān)的行為進(jìn)行監(jiān)聽和記錄，以便對(duì)系統(tǒng)平安進(jìn)行審計(jì)平安審計(jì)在專門的事件檢測(cè)和系統(tǒng)日志中提取信息，進(jìn)行分析、存檔和報(bào)告恢復(fù)機(jī)制系統(tǒng)與數(shù)據(jù)備份平安恢復(fù)對(duì)數(shù)據(jù)的恢復(fù)和對(duì)網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)運(yùn)行狀態(tài)的恢復(fù)響應(yīng)機(jī)制人和平安風(fēng)險(xiǎn)管理規(guī)定及應(yīng)急制度平安機(jī)制與平安目標(biāo)安全機(jī)制機(jī)密性完整性身份識(shí)別訪問控制抗抵賴性可用性加密XXXX數(shù)字簽名XXXX訪問控制XXX數(shù)據(jù)完整性X身份識(shí)別XXX通信量填充與信息隱蔽X路由控制X公證XX事件檢測(cè)與安全審計(jì)XX安全恢復(fù)X安全標(biāo)記X應(yīng)用程序安全設(shè)計(jì)與實(shí)現(xiàn)XXXXXX保證XXXXXX企業(yè)信息系統(tǒng)環(huán)境構(gòu)成框架Internet內(nèi)部人員外部人員合法用戶非法用戶企業(yè)員工外聘員工訪客合作企業(yè)員工客戶移發(fā)動(dòng)工黑客企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)資源系統(tǒng)平臺(tái)客戶端系統(tǒng)設(shè)備軟件系統(tǒng)移動(dòng)存貯PC筆記本手持設(shè)備操作系統(tǒng)本地?cái)?shù)據(jù)應(yīng)用軟件光盤移動(dòng)硬盤U盤操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)服務(wù)平臺(tái)數(shù)據(jù)庫平臺(tái)電子郵件平臺(tái)應(yīng)用服務(wù)平臺(tái)集成服務(wù)平臺(tái)溝通協(xié)作平臺(tái)管理監(jiān)控平臺(tái)業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)一溝通系統(tǒng)門戶共享系統(tǒng)商業(yè)智能應(yīng)用業(yè)務(wù)數(shù)據(jù)企業(yè)郵箱文檔資源Web資源音頻視頻資源信息平安體系框架技術(shù)體系框架技術(shù)體系框架信息平安根底設(shè)施網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安數(shù)據(jù)平安物理平安路由器安全配置安全更新防火墻網(wǎng)絡(luò)訪問保護(hù)健康策略強(qiáng)制策略內(nèi)容控制訪問控制安全日制虛擬專網(wǎng)入侵檢測(cè)病毒防范代理/反向代理/發(fā)布安全策略/規(guī)則入侵檢測(cè)系統(tǒng)平安更新惡意軟件防護(hù)主機(jī)入侵檢測(cè)平安審計(jì)平安配置高可用性效勞器平安客戶端平安操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用服務(wù)器Web服務(wù)器郵件服務(wù)器……平安開發(fā)周期應(yīng)用平安性設(shè)計(jì)輸入驗(yàn)證身份認(rèn)證應(yīng)用授權(quán)參數(shù)操作敏感數(shù)據(jù)會(huì)話管理數(shù)據(jù)加密異常管理應(yīng)用日志配置管理訪問控制身份認(rèn)證信息權(quán)限控制數(shù)據(jù)通信平安企業(yè)目錄效勞公鑰根底設(shè)施信任與聯(lián)盟平安審計(jì)/預(yù)警備份/恢復(fù)加密/簽名平安網(wǎng)絡(luò)協(xié)議機(jī)械防護(hù)電磁防護(hù)溫度濕度門禁…縱深防御策略增加攻擊者被發(fā)現(xiàn)的風(fēng)險(xiǎn)針對(duì)被監(jiān)測(cè)到的威脅的快速反響28OShardening,authentication,patchmanagement,HIDS,HIPSFirewalls,NetworkAccessQuarantineControlGuards,locks,trackingdevicesNetworksegments,IPSec,NIDSApplicationhardening,antivirusACLs,RBAC,encryption,backup/restoreSecuritydocuments,usereducationPolicies,Procedures,&AwarenessPhysicalSecurityPerimeterInternalNetworkHostApplicationData平安棧技術(shù)層面的交互性IntegratedsecurityeasesdefenseindeptharchitecturedeploymentAdoptionofopenstandardsallowscrossplatformintegrationManagementSystemSystemCenter,ActiveDirectoryGPOForefrontEdgeandServerSecurity,NAPPerimeterNetworkAccessProtection,IPSecInternalNetworkForefrontClientSecurity,ExchangeMSFPDeviceSDLprocess,IIS,VisualStudio,and.NETApplicationBitLocker,EFS,RMS,SharePoint,SQLDataUserActiveDirectoryandIdentityLifecycleMgrMicrosoft深度平安防御解決方案框架TWCSDLSystems

ManagementOperations

Manager2007ConfigurationManager2007Data

Protection

ManagerMobileDeviceManager2008ActiveDirectory

Federation

Services(ADFS)Identity&Access

ManagementCertificate

Lifecycle

ManagementServicesInformationProtectionEncryptingFileSystem(EFS)BitLocker?ClientandServerOSServerApplicationsEdgeNetworkAccessProtection(NAP)ClientandServerOSServerApplicationsEdgeForefrontStirlingManagement一個(gè)被妥善管理的平安根底架構(gòu)是成功的關(guān)鍵！BitLocker?驅(qū)動(dòng)器加密ProtectsagainstofflineattacksthatattempttocompromisetheintegrityofthesystemattempttocircumventOScontrolstoreaddataTwoaspectsEncryptstheentirevolume(OSorData)UsesaTrustedPlatformModule(TPM)toverifytheintegrityofearlystart-upcomponentsDATAor

OSVolume(s)FVEKVMKTPMTPM+USBTPM+PINUSBKey

(RecoveryorNon-TPM)123456-789012-345678-RecoveryPassword

(48Digits)Active(System)StartupPartition網(wǎng)絡(luò)接入防護(hù)(NAP)

HowitworksNotpolicy-compliantRestrictedNetwork1Clientrequestsaccesstonetworkandpresentscurrenthealthstate1Policy-compliant33NetworkPolicyServer(NPS)validatesagainstIT-definedhealthpolicy2DHCP,VPN,orSwitch/RouterrelayshealthstatustoMicrosoftNetworkPolicyServer(NPS)viaRemoteAuthenticationDial-InUserService(RADIUS)24Ifnotpolicy-compliant,clientisputinarestrictedVLANandgivenaccesstofixupresourcestodownloadpatches,configurations,signatures(Repeat1-4)4Ifpolicy-compliant,clientisgrantedfullaccesstocorporatenetwork55CorporateNetworkPolicyServerse.g.Patch,AntivirusFixUpServerse.g.PatchMicrosoft

NPSDHCP,VPN,Switch/RouterWindowsClientFCS與根底架構(gòu)的集成

ArchitectureFCS報(bào)告能力Real-timereportingEnabledbyembedded

OperationsManagertechnologyAccesstoreal-time

dataandtrends“At-a-glance〞viewof

threats&vulnerabilities

acrossorganizationMachinesreportingsecurity

issues(malwarenotcleaned,

criticalvulnerabilitiespresent)MachinesnotreportingissuesMachinesnotreporting30-daytrendhistoryDrilldownintodetailasrequiredNotificationofmachinesreportingalerts“Ismyenvironmentcompliantwithsecuritybestpractices?”“Hasmylevelofvulnerabilityexposurechangedovertime?”“Whatportionofmyenvironmentisathighrisk?”FCS報(bào)告能力

Securitystateassessmentreporting終端效勞網(wǎng)關(guān)InternetInternetHotelHomeDMZExternalFirewallTerminalServicesGatewayServerBusinessPartner/ClientSiteRDP/3389CorpLANTerminalServerInternalFirewallEmailServerTerminalServerHTTPS/443IAG平安訪問網(wǎng)關(guān)CustomizableEnterpriseSecuritySSLVPNaccesstointernalapplicationsMicrosoft,third-party,andcustomappssupportedGranularaccesscontrolrulesSupportformultipleauthenticationmechanismsForefront保障平安協(xié)作與溝通LiveCommunicationServerSharePointServerExchange

mailboxserverExchangeIMCserverSMTP

ServerLiveCommunicationServerE-mailIMandDocumentsE-mailIMandDocumentsForefrontBlockinboundVirusesandSpamKeepvirusesoffinternalapplicationserversHelpkeepsensitivedatafrombeingsentoutISAServerBlockapplicationlevelattacksProvidesecureremoteaccess

formobileworkforceForefrontISAServer

2006ISAServer

2006MessageTrafficForefrontForefrontForefrontForefrontForefront系統(tǒng)化的解決方案SecurethePlatform–Desktop/Mobile/Server2021SecuretheData–RMS,EFS,BitLocker(PlusfeaturesinOffice,SharePoint,etc.)SecuretheNetwork–NAPSecuretheWireless–Server2021SecuretheEdge–ISA/IAGSecuretheCommunications–ForefrontServer,OCS,ExchangeSecuretheDesktopsandServers–ForefrontClientSecurity主題Sources:WorldBankandIMF行業(yè)平安解決方案研討B(tài)RS-Microsoft平安解決方案框架效勞與支持平安等級(jí)保護(hù)促進(jìn)企業(yè)平安建設(shè)425微軟技術(shù)支持企業(yè)提高平安等級(jí)311信息平安等級(jí)保護(hù)制度的開展歷程《計(jì)算機(jī)系統(tǒng)安全管理?xiàng)l例》1994年頒布提倡對(duì)計(jì)算機(jī)系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)管理《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》1999年發(fā)布信息安全等級(jí)保護(hù)要求的中國化信息安全等級(jí)保護(hù)制度的技術(shù)基礎(chǔ)《《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》2003年，中辦發(fā)27號(hào)文規(guī)定信息安全等級(jí)保護(hù)是一項(xiàng)信息化建設(shè)領(lǐng)域的基本國策信息安全等級(jí)保護(hù)方面的十大基本要求《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》2004年四部委聯(lián)合頒布，公通字66號(hào)文規(guī)定信息安全等級(jí)保護(hù)實(shí)施的目標(biāo)、原則、策略、步驟和計(jì)劃《信息安全等級(jí)保護(hù)管理辦法》2007年，公安部頒布對(duì)信息安全等級(jí)保護(hù)實(shí)踐的管理要求定級(jí)、檢查監(jiān)督和責(zé)任2對(duì)信息平安等級(jí)保護(hù)的理解安全等級(jí)的含義：差異程度業(yè)務(wù)價(jià)值等級(jí)和安全保障等級(jí)適度安全的“度”的標(biāo)尺與以前的安全建設(shè)有何不同2.1等級(jí)含義：差異的程度宗旨：保護(hù)國家重要的信息根底設(shè)施和信息系統(tǒng)業(yè)務(wù)和價(jià)值的角度判斷系統(tǒng)規(guī)模有差異業(yè)務(wù)重要性有差異數(shù)據(jù)處理能力有差異數(shù)據(jù)存儲(chǔ)保護(hù)有差異系統(tǒng)運(yùn)維管理有差異系統(tǒng)的影響力有差異系統(tǒng)建設(shè)成本有差異面臨安全風(fēng)險(xiǎn)有差異部委省市縣業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)數(shù)據(jù)集中數(shù)據(jù)集中有差異就應(yīng)該確定差異的程度——等級(jí)，區(qū)別對(duì)待2.2業(yè)務(wù)價(jià)值等級(jí)和平安保障等級(jí)業(yè)務(wù)價(jià)值和影響程度——等級(jí)不是一一對(duì)應(yīng)GB178591）安全要求第一級(jí)：身份鑒別、自主訪問控制、完整性2）安全要求第二級(jí)：增加：審計(jì)和殘余信息保護(hù)3）安全要求第三級(jí)：增加：標(biāo)記和強(qiáng)制訪問控制……安全保障能力要求政策要求：27號(hào)文：綱領(lǐng)性文件，信息平安等級(jí)保護(hù)為平安國策66號(hào)文：四部委關(guān)于等級(jí)保護(hù)實(shí)施的方案43號(hào)文：公安部的信息平安等級(jí)保護(hù)管理方法2.3適度平安的“度〞信息系統(tǒng)產(chǎn)生安全需求實(shí)實(shí)在在的安全投入期望盡可能少的平安投入期望盡可能多的收益產(chǎn)生價(jià)值實(shí)實(shí)在在收益承載的業(yè)務(wù)流程需要均衡：適度安全＝適度風(fēng)險(xiǎn)似乎矛盾平衡點(diǎn)承載業(yè)務(wù)應(yīng)用2.3適度平安的“度〞：等級(jí)是度的標(biāo)尺安全需求對(duì)應(yīng)安全技術(shù)和安全管理要求：安全保障等級(jí)凈收益＝總收益－投入－風(fēng)險(xiǎn)：收益是“價(jià)值等級(jí)”投入少，則風(fēng)險(xiǎn)增大投入、收益、風(fēng)險(xiǎn)間的均衡一定的安全等級(jí)對(duì)應(yīng)：相應(yīng)的安全要求（投入）、收益（保障功效）、殘余風(fēng)險(xiǎn)（容忍的底線）2.4與以前平安建設(shè)的不同之處：必備的要素政策與法規(guī)基石：27號(hào)文、66號(hào)文、公通字7號(hào)文標(biāo)準(zhǔn)化基石：GB17859系列，通用技術(shù)、網(wǎng)絡(luò)、操作系統(tǒng)、DBMS、安全管理策略體系法制標(biāo)準(zhǔn)化資金保證組織體系領(lǐng)導(dǎo)管理責(zé)任制分層與集中技術(shù)體系密碼信任體系防護(hù)檢測(cè)災(zāi)備運(yùn)營體系安全監(jiān)控體系應(yīng)急處理優(yōu)化安全產(chǎn)業(yè)目標(biāo)：等級(jí)保護(hù)宗旨：保護(hù)重要的信息基礎(chǔ)設(shè)施和信息系統(tǒng)解決方案（設(shè)計(jì)）等級(jí)保護(hù)目標(biāo)方針原則定級(jí)與體系架構(gòu)部署與配置產(chǎn)品選型要求等級(jí)測(cè)評(píng)備案認(rèn)證與認(rèn)可防護(hù)檢測(cè)響應(yīng)恢復(fù)技術(shù)運(yùn)營策略組織符合等級(jí)保護(hù)要求工程建設(shè)目標(biāo)方針原則工程任務(wù)計(jì)劃項(xiàng)目管理工程預(yù)算和決算范圍質(zhì)量風(fēng)險(xiǎn)成本組織流程任務(wù)時(shí)間工程建設(shè)方案工程進(jìn)度和監(jiān)理工程變更管理技術(shù)施工工程建設(shè)標(biāo)準(zhǔn)驗(yàn)收等級(jí)測(cè)評(píng)目標(biāo)更明確，也是約束多了約束與前不同等級(jí)目標(biāo)適“度”更精細(xì)產(chǎn)品符合等級(jí)效果符合等級(jí)2.4與以前平安建設(shè)的不同之處等級(jí)保護(hù)帶來了哪些變化？必須明確目標(biāo)、人、技術(shù)、流程的差異程度目標(biāo)：級(jí)別－界定差異的程度定級(jí)：為差異確定級(jí)別，更清晰界定差異的程度價(jià)值和影響：業(yè)務(wù)應(yīng)用價(jià)值和影響是定級(jí)的依據(jù)轉(zhuǎn)換：將信息安全控制層面的差異轉(zhuǎn)換為業(yè)務(wù)層面的差異具備等級(jí)的對(duì)象人：個(gè)體安全意識(shí)和技能有等級(jí)；團(tuán)隊(duì)和組織有等級(jí)技術(shù)：產(chǎn)品有等級(jí)；系統(tǒng)安全保障技術(shù)有等級(jí)流程：協(xié)調(diào)管理能力、面向“客戶”的能力有等級(jí)合規(guī)性政策合規(guī)：符合國家和行業(yè)等級(jí)保護(hù)管理規(guī)定標(biāo)準(zhǔn)合規(guī)：符合等級(jí)保護(hù)標(biāo)準(zhǔn)要求級(jí)別合規(guī)：符合確定等級(jí)的政策和標(biāo)準(zhǔn)要求內(nèi)部安全建設(shè)和外部監(jiān)管相結(jié)合業(yè)務(wù)價(jià)值影響：旗幟鮮明強(qiáng)調(diào)與業(yè)務(wù)的關(guān)系價(jià)值和影響：對(duì)個(gè)體、社會(huì)和國家的價(jià)值和影響的差異程度業(yè)務(wù)風(fēng)險(xiǎn)：信息安全風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)的一部分機(jī)構(gòu)管理風(fēng)險(xiǎn)：信息安全風(fēng)險(xiǎn)是機(jī)構(gòu)管理風(fēng)險(xiǎn)的一部分適度安全適度：安全投入（保障能力）、收益（價(jià)值的保持）、風(fēng)險(xiǎn)均衡安全投入的“度”：安全技術(shù)和安全管理要求有明確的等級(jí)收益的“度”：價(jià)值和影響的保持具有等級(jí)風(fēng)險(xiǎn)的“度”：安全投入和收益的綜合體等級(jí)保護(hù)是“帶著鐐銬的舞蹈〞進(jìn)一步精細(xì)化差異程度等級(jí)保護(hù)將適度平安的“度〞進(jìn)一步明確化3信息平安等級(jí)保護(hù)實(shí)施的主要活動(dòng)評(píng)估定級(jí)和規(guī)劃采購集成認(rèn)證認(rèn)可運(yùn)維風(fēng)險(xiǎn)管理公安：?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)管理方法?、?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)管理?xiàng)l例??北京市國家機(jī)關(guān)重大信息平安事件報(bào)告制度?(試行)保密局：?涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理方法〔試行〕?監(jiān)管1-2級(jí)備案3級(jí)以上備案、定期檢查應(yīng)急處理系統(tǒng)安全等級(jí)和保護(hù)安全等級(jí)要求符合安全要求的產(chǎn)品與集成安全檢查和測(cè)評(píng)ISO20000和ISO17799風(fēng)險(xiǎn)評(píng)估和決策信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施流程信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施的根本流程MSFMOF微軟平安風(fēng)險(xiǎn)管理準(zhǔn)那么〔SRMD〕3信息平安等級(jí)保護(hù)實(shí)施的主要活動(dòng)51網(wǎng)絡(luò)與應(yīng)用加密服務(wù)平臺(tái)業(yè)務(wù)應(yīng)用系統(tǒng)安全改造數(shù)據(jù)備份與冗災(zāi)平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)設(shè)備安全配置與加固安全等級(jí)域劃分與邊界保護(hù)防病毒、補(bǔ)丁和終端管理平臺(tái)統(tǒng)一安全監(jiān)控與審計(jì)平臺(tái)安全技術(shù)體系建設(shè)安全組織與職責(zé)設(shè)計(jì)安全培訓(xùn)與資質(zhì)認(rèn)證安全組織體系建設(shè)標(biāo)準(zhǔn)理解與策略制定安全策略部署與配置安全策略體系建設(shè)安全調(diào)查與風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)定級(jí)咨詢安全規(guī)劃等級(jí)保護(hù)體系設(shè)計(jì)方案設(shè)計(jì)定級(jí)階段規(guī)劃與設(shè)計(jì)集成與運(yùn)維階段事件和預(yù)警管理流程安全運(yùn)行體系建設(shè)安全巡檢與日常操作安全評(píng)估與優(yōu)化等級(jí)測(cè)評(píng)、認(rèn)證與認(rèn)可安全運(yùn)行與監(jiān)管中心4大型機(jī)構(gòu)信息平安等級(jí)保護(hù)的貫徹落實(shí)大型機(jī)構(gòu)信息安全等級(jí)保護(hù)的特點(diǎn)和難點(diǎn)安全等級(jí)合規(guī)性管理安全等級(jí)域劃分和管理安全集中監(jiān)管安全運(yùn)維管理安全等級(jí)解決方案4.1大型機(jī)構(gòu)信息平安等級(jí)保護(hù)的特點(diǎn)和難點(diǎn)部委省市縣業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)業(yè)務(wù)網(wǎng)辦公網(wǎng)機(jī)要網(wǎng)數(shù)據(jù)集中數(shù)據(jù)集中信息系統(tǒng)結(jié)構(gòu)：三或四級(jí)，不同級(jí)之間規(guī)模差異明顯網(wǎng)絡(luò)：獨(dú)立管理業(yè)務(wù)：貫穿所有級(jí)別的運(yùn)營數(shù)據(jù)大集中：集中到省一級(jí)，最終是部委一級(jí)風(fēng)險(xiǎn)集中：災(zāi)難備份成為關(guān)鍵點(diǎn)省、市縣的業(yè)務(wù)和安全重要性降低運(yùn)營管理：人才集中（部委或省級(jí)）省、市縣運(yùn)維方式改變，日常檢查和尋求技術(shù)支持、外包等成為主流分離與分工（特別是人才集中后）：信息安全從傳統(tǒng)IT工作中分離信息安全與傳統(tǒng)IT分工明確，信息安全側(cè)重于制定安全策略，并監(jiān)督傳統(tǒng)IT人員負(fù)責(zé)安全策略在系統(tǒng)中的貫徹落實(shí)特點(diǎn)4.1大型機(jī)構(gòu)信息平安等級(jí)保護(hù)的特點(diǎn)和難點(diǎn)安全建設(shè)生命周期評(píng)估定級(jí)與安全規(guī)劃產(chǎn)品選型和部署實(shí)現(xiàn)安全運(yùn)維測(cè)評(píng)風(fēng)險(xiǎn)決策和優(yōu)化難點(diǎn)：定量的業(yè)務(wù)價(jià)值判斷定級(jí)對(duì)象多；安全等級(jí)域多且交叉。難點(diǎn)：安全等級(jí)域的邊界；邊界內(nèi)的資產(chǎn)保護(hù)；安全等級(jí)域間的互操作的監(jiān)管工具。難點(diǎn)：安全集中監(jiān)管（支持工具及其部署）；安全運(yùn)維組織和流程難點(diǎn)：量化的安全評(píng)估；信息安全風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)價(jià)值保障作用的有效性；等級(jí)合規(guī)性。4.1大型機(jī)構(gòu)信息平安等級(jí)保護(hù)的特點(diǎn)和難點(diǎn)級(jí)別與合規(guī)的評(píng)測(cè)難點(diǎn)級(jí)別多：人、技術(shù)、流程均需要定級(jí)業(yè)務(wù)關(guān)聯(lián)：必須懂得業(yè)務(wù)價(jià)值以及對(duì)業(yè)務(wù)“客戶”的影響——對(duì)業(yè)務(wù)的了解，安全人員一般不擅長安全等級(jí)域的劃分和監(jiān)管邊界及其差異：邊界何在？邊界兩邊安全差異程度明確邊界之內(nèi)的對(duì)象：數(shù)據(jù)、賬號(hào)、設(shè)備、操作等，如何管理監(jiān)管：差異如何監(jiān)測(cè)和保持安全集中監(jiān)管：差異需要明確的等級(jí)結(jié)構(gòu)：分層和級(jí)聯(lián)、集中管控——民主和集中安全信息管理：統(tǒng)一管理平臺(tái)、安全策略統(tǒng)一管理、數(shù)據(jù)搜集和挖掘安全機(jī)制整合：資產(chǎn)、流量、事件、脆弱性、威脅和預(yù)警運(yùn)營管理：與安全等級(jí)相匹配人員集中：人才集中于部委或省級(jí)信息中心技術(shù)支持：全系統(tǒng)技術(shù)支持和事件處理，需要全系統(tǒng)的運(yùn)維管理流程安全規(guī)劃：全系統(tǒng)統(tǒng)一規(guī)劃、步調(diào)一致級(jí)別合規(guī)：全系統(tǒng)安全運(yùn)維符合安全等級(jí)標(biāo)準(zhǔn)要求典型難點(diǎn)：從等級(jí)保護(hù)活動(dòng)中可以導(dǎo)出4.2合規(guī)性管理政策合規(guī)監(jiān)管機(jī)構(gòu)：公安部、保密局監(jiān)管要求：三級(jí)及以上級(jí)備案、強(qiáng)制檢查（一年或半年一次）互操作行為：定級(jí)、備案、接受檢查、專業(yè)評(píng)測(cè)標(biāo)準(zhǔn)合規(guī)安全等級(jí)技術(shù)標(biāo)準(zhǔn)：安全技術(shù)要求集合成“等級(jí)”安全管理技術(shù)標(biāo)準(zhǔn)：安全管理要求集合成“等級(jí)”技術(shù)和管理的協(xié)調(diào)：滿足各自的安全標(biāo)準(zhǔn)及關(guān)聯(lián)要求級(jí)別合規(guī)安全保障技術(shù)：符合安全技術(shù)“等級(jí)”要求安全保障管理：符合安全管理“等級(jí)”要求整體安全能力：符合價(jià)值級(jí)別和安全保障能力級(jí)別的均衡要求前兩者并不新鮮，級(jí)別合規(guī)才是差別所在4.3平安等級(jí)域的劃分與監(jiān)管：邊界問題業(yè)務(wù)效勞器區(qū)辦公區(qū)DMZWeb安全等級(jí)域業(yè)務(wù)安全等級(jí)域辦公安全等級(jí)域邊界：混合安全邊界邊界：混合交換和安全邊界物理混合邊界：就高還是就低？業(yè)務(wù)效率和安全間的平衡安全策略邊界：不同等級(jí)安全策略交叉，在同一部件上的配置是否有沖突？人員邊界：人員分工和操作需要遵循不同等級(jí)的安全要求方案邊界：不同安全等級(jí)的解決方案需要在邊界處慎重考慮其隱患政策邊界：不同安全等級(jí)的國家監(jiān)管要求不同，邊界設(shè)備的備案和要求需要有側(cè)重點(diǎn)4.3平安等級(jí)域的劃分與監(jiān)管：監(jiān)測(cè)和管理業(yè)務(wù)效勞器區(qū)辦公區(qū)DMZWeb安全等級(jí)域業(yè)務(wù)安全等級(jí)域辦公安全等級(jí)域數(shù)據(jù)、設(shè)備和操作數(shù)據(jù)、設(shè)備和操作數(shù)據(jù)、設(shè)備和操作安全域內(nèi)的資產(chǎn)及其操作需要“技術(shù)工具”作為支撐的管理，確保安全等級(jí)不是紙面上的“劃分”需要“域”管理工具，確保：不同安全等級(jí)域的設(shè)備管理目錄不同安全等級(jí)域的賬號(hào)管理目錄不同安全等級(jí)域的數(shù)據(jù)管理目錄……4.4平安集中監(jiān)管業(yè)務(wù)效勞器區(qū)辦公區(qū)DMZWeb安全等級(jí)域業(yè)務(wù)安全等級(jí)域辦公