天融信TopSec可信等级体系等级保护方案

  作者:himi
2007/6/11 17:04:25
本文关键字: IT安全

信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。

一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:

(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。

(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。

对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项。

由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:

1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  c)各系统安全单独建设,将造成分散、重复和低水平

2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

3.管理难度太大,管理成本高

4.大型客户最关注的关键要求指标超出《基本要求》规定

针对上述问题,在下面分别给出了坚决办法

安全体系设计方法

  1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求

  方法:引入保护对象框架设计方法

安全平台的设计与建设方法

  1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  c)各系统安全单独建设,将造成分散、重复和低水平

  需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平

  方法:引入安全平台的设计与建设方法

建立安全运行体系

  1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  c)各系统安全单独建设,将造成分散、重复和低水平

  2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

  需求:建立长效机制,建立可持续运行、发展和完善的体系

  方法:建立安全运行体系

安全运维工作过程

  1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  c)各系统安全单独建设,将造成分散、重复和低水平

  2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

  3.管理难度太大,管理成本高

  需求:需要高水平、自动化的安全管理工具

  方法:TSM安全管理平台

TNA可信网络架构模型

  1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统

  a)各系统单独保护,将冲突和割裂,形成信息孤岛

  b)复杂大系统的分解和差异性安全要求描述很困难

  c)各系统安全单独建设,将造成分散、重复和低水平

  2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善

  3.管理难度太大,管理成本高

  4.大型客户最关注的关键指标超出《基本要求》规定

  需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标

  方法:引入可信计算的理念,提供可信网络架构

总体解决方案-TopSec可信等级体系

按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:

遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标

特质:

  –等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求

  –整体性:结构化,内容全面,可持续发展和完善,持续运行

  –针对性:针对实际情况,符合业务特性和发展战略

来源: eNet硅谷动力

责编:himi
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918