方案设计者应具备: 非赌博心理,全局观,安全策略是动态的
安全建设的组要任务是免责,属于被动建设阶段,。
网络对抗的核心是人,需要持续建立人才培养机制。
一,信息系统等保安全建设需求分析
1,定义了三类安全需求
敏感信息 核心业务 合规性
S 业务信息安全保护类
A 系统服务安全保护类
G 通用安全保护类
2,系统特殊安全需求分析方法
分析-评估-舍取
二,信息系统等保安全保护环境
1,安全保护环境相关定义
通用等级保护安全技术设计框架
安全域设计思路
IATF(信息保障技术框架):“3+1”安全域架构
支撑性设施域→网络基础设施域-边界接入域-计算环境域
谷歌零信任三要素
网络接入安全:人的ID+设备的ID
业务接入安全:动态授权
业务应用安全:认证权限
网络基于引导流-流安全
流安全是把网络层安全(公共网络环境)与业务层安全(内容或业务逻辑管理)
结构化
结构化保障目标:
1,安全内核足够小
2,安全机制不被旁路
3,安全策略不被篡改
结构化编程-形式化验证-可信保障
二级系统保护设计目标-
在一级系统安全保护环境的基础上,增加系统安全审计,客体重用,以用户基本力度的自主访问控制。系统又更强的自主安全保护能力。以身份鉴别为基础,提供单个用户或组对共享文件/数据库等的访问控制
三级系统保护设计目标-
实现基于安全策略模型和标记的强制访问控制及其增强系统的审计机制,统一安全策略保护敏感资源,
四级系统保护设计目标-
建立一个明确定义的形式化安全策略模型,将自主和强制访问控制扩展到所有主体与客体,将系统安全保护环境结构化为关键保护元素和非关键防护元素,有抗申通的能力。
构建“三重防护一个中心”纵深立体防御体系
敏感数据重要业务→,事前/事中/事后
系统等级保护建设方案设计思路
网络与应用关系
1,重点保护 2,优化资源配置,纵深防御体系 3,登记系统之间的互连问题,制定相应安全策略
4,不同等级的系统满足不同管理要求。实现等级保护的管理体系
局域网不同的等级安全域不可互联
不同局域网不同的等级安全域不可互联
安全建设项目规划大纲(实施指南)
1、信息系统概述; 2、单位信息系统安全保护等级状况; 3、各等级信息系统的安全需求; 4、信息系统的安全等级保护模型抽象 5、总体安全策略; 6、信息系统的边界安全防护策略; 7、信息系统的等级安全域防护策略 8、信息系统安全管理与安全保障策略。
总体安全设计方案大纲
规划建设的依据和原则; 2. 规划建设的目标和范围; 3. 等级保护对象安全现状; 4. 信息化的中长期发展规划; 5. 等级保护对象安全建设的总体框架; 6. 安全技术体系建设规划; 7. 安全管理与安全保障体系建设规划; 8. 安全建设投资估算(含测试及运维估算等内容); 9. 等级保护对象安全建设的实施保障等内容。
方案
重点关注客户缺失 客户问题 客服需求
重点回答 利益点 差异点 支撑点
针对和《基本要求》的差异的分析和评估
系统改建工程实施和项目管理
方案-分析需求-安全域划分-安全措施的选择-整改方案 三级等保 2.0
网友评论