信息安全保障体系服务白皮书.docx

《信息安全保障体系服务白皮书.docx》由会员分享，可在线阅读，更多相关《信息安全保障体系服务白皮书.docx（30页珍藏版）》请在优知文库上搜索。

1、信息平安保障体系询问服务技术白皮书杭州安恒信息技术有限公司二。二四年八月1 .公司简介32 .信息平安保障体系询问服务42.1. 概述42.2. 参考标准42.3. 信息平安保障体系建设的指导思想52.4. 信兑平安保障体系建设的基本原则53 .信息平安保障体系的内容73.1. 信息平安的四个额域73.2. 信息平安策珞体系83.2.1. 信息平安战略83.2.2. 信息平安政策标准体系框架83.3. 信息平安管理体系93.4. 信息平安技术体系框架I1.3.5. 信息平安运营体系144 .信息平安保障体系的建设过程114.1. 信息平安保障体系的总体建设方法174.2. 信息平安策珞的定义1

2、74.2.1. 信息平安策略的通用性特征184.2.2. 信息平安策略的建立过程194.3. 企业信息平安管理体系的建设224.3.1. 平安管理体系总体框架224.3.2. 信息平安环境和标准体系框架234.3.3. 信息平安意识培育234.3.4. 信息平安组织254.3.5. 信息平安审计监督264.4. 企业信息平安运营体系的建设304.5. 企业信息平安技术体系的建设324.5.1. 平安技术设计目标324.5.2. 平安技术体系的建设325 .为什么选择安忸信息335.1. 特性335.2. 优点335.3. 效益331 .公司简介杭州安恒信息技术有限公司(DBAPPSeCUrit

3、y),简称“安恒信息”，是业界领先的应用平安及数据库平安整体解决方案供应商，专注于应用安全前沿趋势的探讨和分析，核心团队拥有多年应用平安和数据库平安的深厚技术背景以及最佳平安攻防实践阅历，以全球领先具有完全自主学问产权的专利技术，致力于为客户供应应用平安、数据库平安、不良网站监测、平安管理平台等整体解决方案.安恒信息公司总部位于杭州高新区，在北京、上海、广东、四川、美国硅谷等地都设仃分支机构、遍布全国的代理商体系以及销隹与服务网络能够为用户供应精准、专业的服务。公司成立以来安恒人始终以建立民族自主品牌为己任，乘承“精品创新，恒久品质”的理念，力争打造中国信息平安产业应用平安与数据库平安第一品牌

4、。多年来，安恒信息以其精湛的技术，专业的服务得到了广阔客户的青睐，同时赢得了高度的商业信誉。其客户遍布.全国，涉及金融、运营商、政府、公安、能源、教化、医疗、税务/工商、社保、等保评估/平安服务机构、电子商务企业等众多行业。安恒信息目前拥有明鉴、明御两大系列自主研发产品，是应用平安、数据库审计、不良网站监测等领域的市场肯定领导者.其中明鉴系列应用扫描器被公安部三所测评中心等国内权成等级爱护测评机构广泛运用。将来,安恒信息将接着乘承诚信和创新精神，接着致力于供应具有国际竞争力的自主创新产品和服务，全面保障客户应用与数据库的平安，为打造世界顶级的产品而不懈努力。作为2008北京奥组委平安产品和服务

5、供应商，安恒信息被奥组委授予“奥运信息平安保障杰出贡献奖在2009年建国60周年全国网站平安大检查中，公安部和工信部平安中心均选用安恒信息明鉴应用弱点扫描作为平安检查工具并发挥J,重大作用.2010年，“安恒信息”作为上海世博会平安产品和服务的供应商，为上海世博会信息平安保村护航。2010年，“安恒信息”作为广州亚运会平安产品和服务供应商，为亚运会信息平安保驾护航。2 .信息平安保障体系询问服务2.1. 概述在信息系统介入企业商务运营的初期,企业的商务运营环境相对封闭，对信息数据的交互要求也不高，信息系统可以得到企业的完全限制。而如今的信息系统已经成为企业生产业务系统的一部分，企业商务运营中的

6、大量重要信息交互必需依靠于开放的、互联的网络环境进行。臼从网络和InIerne1.万维网出现以来，新兴技术和数据信息量激增，虚拟化和云计算增加基础架构困难性，新兴技术的应用导致平安违规和平安攻击事务的大量增加，数据量每隔18个月翻一番，围围着信息上下文的存储、平安和发觉技术变得越来越重要。信息平安问题越来越凸现出来使得企业规避信息平安风险的需求日趋紧迫。众所周知，即便是在信息平安国际标准和相关最佳实践的指导下，企业依据标准的平安实践方法，设计和实施信息平安解决方案时，依旧会遇到很多挑战。企业还必需考虑多平台，多组件架构集成的困难性，实施平安解决方案的多样性等。信息平安保障体系建设是依据企业业务

7、发展的须要，确立合理的信息平安需求、确立企业信息平安策略，选择平安功能组件，建立一个完整的由信息平安策略体系、信息平安组织体系、信息平安技术体系和信息平安运营体系组成的具备深度平安防卫实力的信息平安保障体系。信息平安保障体系建设询问是杭州安恒信息技术有限公司（以下简称为安恒信息）参考国际国内的信息平安保障体系标准，结合安恒信息在信息平安保障体系建设询问的最佳实践，为企业打造一个属身定制信息平安保障体系的一个询问服务解决方案。22参考标准 计算机信息系统平安等级爱护划分准则BGB178591999 信息平安技术信息系统平安等级爱护基本要求GB/T22239-2008 信息平安技术信息系统等级爱护

8、平安设计技术要求GB/Txxxxx-xxxx 8信息保障技术框架(IATF：InformationAssuranceTechnica1.Fmmework) 信息技术平安技术信息技术平安性评估准则GB/T18336-2008 系统平安工程实力成熟度模型3(SSE-CM.M：SystemSecurityEngineeringCapacityMaturityMode1.)2.3. 信息平安保障体系建设的指导思想招来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的平安需求，使具有相同平安爱护等级的信息系统能锅达到相应等级的基本的受护水平和爱护实力.以风

9、险管理为核心，预防为主，技术手段为支撑，圉绕信息和信息系统生命周期，逐步建立由信息平安策略体系、信息平安组织体系、信息平安技术体系、信息平安构成的平安保障体系.2.4. 信息平安保障体系建设的基本原则侑息系统等爱护原则：企业信息保障体系的建设应当遵从国家信息系统等级爱护基本政策，聘等级爱护的思想融入到信息平安保障体系建设工程中去。多篁深度防卫故略原则：所谓深层防丑故略就是采纳一个多以次的、纵深的平安措施来保障用户信息及信息系统的平安。在纵深防卫战略中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的平安，三者缺不行。管理与技术并重原则：“三分技术，七分管理”是信息平安管理的公认的常识，

10、其意义在于指出了信息平安的关键所在：光靠信息平安技术(产品)是很难实现信息平安的目标，加强信息平安管理才是信息平安的解决之道。统一规划，分步实施原则：信息平安是一个牵涉面极广的系统工程，须要进行整体的风险评估和平安策略体系设计、平安组织体系设计、平安技术体系设计以及平安运营体系设计才能从整体上提高信息平安保隙的水平，反之任何一个信息平安保障体系的模块失效，则会产生.所谓的“短板效应”而造成信息平安保障水平的降低。但是，信息平安保障体系的投入往往不能步到位，信息平安建设工作也不能在短期内完成，更难于在业务系统的运用中推广。因此，信息平安保障体系建设须要遵守统一规划，分步实施的原则。在规划阶段须要

11、将信息平安保障体系的整体目标、平安需求、平安模型、技术架构、平安原则等设计出来，以指导信息平安的建设工作，识别出信息平安需求的紧迫性，并依据信息平安需求紧迫性的依次规划信息平安建设的依次，以实施信息平安建设的分步实施.风险管理和风险限制原则：风险管理是一种有效的信息平安管理和决策技术。股来说，没有肯定的信息平安，也就是信息平安的风险不行能为零。因此正确的识别风险、合理的管理风险，让信息平安的风险降低可以接受的水平以内，是信息平安管理的指标体系。平安性与成本、效率之间平衡原则：信息平安保障的目标过高，须要的成本将成几何级数的形式上升，并且可能会影响信息运用的效率，但是信息平安保障的目标过低，信息

12、平安事务发生的可能性将增大，信息平安事务的损失将可能增多，因此信息平安保障须要将平安性与成本和效率间进行平衡，以达到信息平安的水平可以接受，但是又不至于让成本上升太多，以及对信息运用的效率影响太大。3.信息平安保障体系的内容3.1. 信息平安的四个领域信息平安包括以下四个领域：信息平安策略、信息平安管理、信息平安运营和信息平安技术，如图3-1所示：图37信息平安的四个领域其中，信息平安策略包括信息平安的战略和信息平安的政策和标准,而信息平安管理、信息平安运营和信息平安技术则是“企业-人-系统”的三元关系： 管理是企业管理的行为（包括平安意识、组织结构和审计监督）： 运营是日常管理的行为（包括运

13、营流程和对级管理）： 技术是信息系统的行为（包括平安服务和平安基础设施）。可以概述为：信息平安是在企业管理机制下,通过运营机制借助技术手段实现的。信息平安运营是信息平安管理和信息平安技术手段在日常工作中的执行，是信息平安工作的关键，即“七分管理，三分技术，运营贯穿始终”。3.2. 信息平安策略体系信息平安策略体系处企业信息平安保障体系的最顶乂，是业务驱动平安的动身点。主要包括企业战略和治理框架、风险管理框架、合规策略遵从。通过对企业业务和运营风险的评估，确定其故略和治理框架、风险管理框架，定义合规和策略遵从，确立信息平安文档管理体系.3.2.1. 信息平安战略信息平安战略分为企业信息平安战略概

14、述、企业信息平安战略需求分析、企业信息平安战略H标、企业信息平安工作基本原则5个部分。信息平安策略是企业信息平安保障体系的核心，是企业信息平安工作的原则、宗旨、指导，为企业信息平安工作指明白方向。企业信息平安工作是针对企业各信息系统中存在的信息平安风险而开展的。企业的信息平安战略的制定坚持3大原则： 为企业业务发展供应支持和保障信息平安工作的最终目标是要为企业的业务发展供应必要的保障和支持。 在企业信息技术战略规划的基础上制定企业的信息技术远景规划报告是企业现行的信息技术工作开展的最高指导性文件，而信息技术乂是企业信息平安工作开展的必不行少的重要基础，因此企业信息平安战略必需在其信息技术规划的

15、基础上制定。 遵从风险管理的理念信息平安是风险管理中的个特殊的课题。企业信息平安战略的制定也必需在风险管理的原则下，从风险的角度看待信息平安问网，以风险防范、风险限制的方法开展信息平安工作。3.2.2. 信息平安政策标准体系框架企业信息平安政策与标准体系是信息平安管理、运营、技术体系标准化、制度化后形成的整套企业对信息平安的管理规定.其体系框架可以分为横向和纵向两个维度，如图3-2所示：图3-2信息平安政策标准体系框架纵向是企业制度/规定的层次化结构，分为信息平安政策、信息平安标准与规范、信息平安指南和细则三个层面。通过信息平安政策、信息平安标准与规范、信息平安指南和细则将信息平安战略逐步细化、落实，指导企业的信息平安工作：工信息平安政策是在信息平安战略下提出的各信息平安领域的工作目标；是从整个企业管理的高度提出的信息平安工作的方向和原则：是其卜.信息平安标准与规范、信息平安指南与细则的指导纲领。工信息平安标准与规范是在信息平安政策的思想指导下，制定的信息平安管理制度。其中信息平安标准是针对信息平安的管理和技术标准，是指导性的，不具强制效力。而信息平安规范则是针对信息平安工作开展中的管理规定，具有强制效力，必需遵守.信息平安指