解决方案

天融信等级保护解决方案

时间:2012-08-14 作者: 来源:

1.1.天融信等级保护解决方案
 
  天融信通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,具体提供的服务包括:
  等保定级服务:在用户等级保护建设的定级阶段提供,天融信将协助用户对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后协助用户完成保护等级的备案工作;
  等保评估服务:在用户等级保护建设的规划阶段提供,天融信针对用户的信息系统进行全面的评估,根据评估的结果和信息系统确认的保护等级,结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求,调整相应的安全保护措施,并完成安全保障系统的整体规划;
  等保管理整改服务:在用户等级保护建设的整改阶段提供,天融信将根据等级保护基本管理要求,结合用户的实际需求,协助用户建设相应的组织体系、策略体系、运行体系,从而全面提升用户安全管理的层次和能力;
  等保技术整改集成:在用户等级保护建设的整改阶段提供,天融信将根据等级保护基本技术要求,结合用户的实际需求,协助用户完成安全设备的选型、采购、安装、策略配置等活动,协助用户搭建完善的技术防护系统,保障应用系统的安全可靠;
  等保测评支持服务:在用户等级保护建设的测评阶段提供,在完成等级保护整改活动后,天融信将协助用户,准备测评材料,在测评过程中提供技术支持服务。

1.2.天融信等级保护定级
  在用户等级保护建设的定级阶段提供。
  系统定级是进行等级保护规划和建设的前提,是等级保护建设的起点,目前国家已出台文件要求各行业用户根据自己的实际情况,进行信息系统的划分和定级,天融信可协助用户对信息系统进行识别和描述,明确保护对象,对信息系统的子系统进行划分,确定用户信息系统以及子系统的安全等级。
定级阶段,天融信将根据国家相关主管部门的要求和指南,协助用户完成定级对象确认、划分子系统以及子系统的定级和备案工作。

1.3.天融信等级保护评估
  在用户等级保护建设的规划阶段提供。
  对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。通过等级评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢,天融信通过专业的等级评估服务,协助用户完成以下的目标:
了解信息系统的管理、网络和系统安全现状;
确定可能对资产造成危害的威胁;
确定威胁实施的可能性;
对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
明确信息系统的已有安全措施的有效性;
明晰信息系统的安全管理需求;
根据评估结果提出针对性的等级保护建设/整改方案。

1.4.天融信等级保护整改
  在用户等级保护建设的整改阶段提供。包括等级保护的管理整改和技术集成两类。
1.4.1天融信等级保护管理整改服务
  天融信根据用户当前安全管理需要,根据用户的管理特点,针对等级保护所要求的组织安全、管理制度、人员安全、系统建设和系统运维,从人员、制度、运作、规范等角度,进行全面的整改,提升用户信息系统管理的能力,避免人为因素给系统带来的威胁,符合等级保护对管理的要求。该阶段的活动包括管理方案设计、组织设计、制度规划、系统管理规划、应急预案制定及预演等。
1.4.2天融信等级保护技术整改集成
  天融信根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,从网络安全、主机安全、应用安全和数据安全的角度,根据等级保护基本要求,整合多种技术手段,通过整改集成形成最终的安全防护体系,有力保障用户信息系统。该阶段的活动包括安全详细方案设计、安全技术实施、等级保护自测评等工作。

1.5天融信等级保护测评
  在用户等级保护建设的测评阶段提供。
  信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。天融信依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评中心给予相应的系统安全等级评审意见。
  对安全控制测评的描述,使用测评单元方式组织。测评单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。在测评实施前,天融信协助用户对信息系统进行自测评,发现系统可能存在的不足项提前进行完善;测评实施中,天融信将协助用户完成测评材料的准备、测评方案的制定、配合测评实施、测评技术支持等活动,以使客户能够顺利通过测评。