信息安全和容灾备份
徐建锋
中国电信股份有限公司广东研究院
提纲
背景概述 安全理念和模型
安全关键技术
安全运营管理体系
背景概述
《国家信息化领导小组关于加强信息安全保障工
作的意见》（中办发[2003]27号）
要重点保护基础信息网络和关系国家安全、经济命脉、
社会稳定等方面的重要信息系统，抓紧建立信息安全 等级保护制度，制定信息安全等级保护的管理办法和 技术指南 “积极防御，综合防范”的方针
关于信息安全等级保护工作的实施意见 信息安全等级保护核心是对信息安全分等级、按标 准进行建设、管理和监督
信息安全等级保护制度的原则（1）
（一）明确责任，共同保护。
通过等级保护，组织和动员国家、法人和其他组织、公民共同参
与信息安全保护工作；各方主体按照规范和标准分别承担相应的、 明确具体的信息安全保护责任。
提纲
背景概述 安全理念和模型
安全关键技术
安全运营管理体系
网络安全建设模型- P2DR模型
信息安全生命周期- PADIMEE™模型 （ 1）
PADIMEE™ 是安氏公司提出的并被业界广泛认同的信息安
全生命周期方法论，它建立在BS7799 / ISO17799之上
七个核心
策略（Policy） 评估(Assessment) 设计(Design) 执行(Implementation) 管理(Management) 紧急响应(Emergency Response) 教育(Education)
信息安全等级保护制度的等级（1）
第一级为自主保护级， 适用于一般的信息和信息系统，其受到破坏后，会对 公民、法人和其他组织的权益有一定影响，但不危害 国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级， 适用于一定程度上涉及国家安全、社会秩序、经济建 设和公共利益的一般信息和信息系统，其受到破坏后， 会对国家安全、社会秩序、经济建设和公共利益造成 一定损害。
变化和演进，以及当前主要的安全需求；
第二维维安全对象描述，提供将安全对象按类型和层
次划分方法论，达到能够更清晰和系统地描述客观安 全对象地安全需求；
第三维为能力来源维，主要描述能够提供满足安全对
象相关安全需求的防护措施的种类和级别
安全产品与ISAF的关系
网络边界 网络基础设施 计算环境 支持性基础设施
信息安全等级保护制度的原则（2）
第三级为监督保护级 适用于涉及国家安全、社会秩序、经济建设和公共利 益的信息和信息系统，其受到破坏后，会对国家安全、 社会秩序、经济建设和公共利益造成较大损害。 第四级为强制保护级 适用于涉及国家安全、社会秩序、经济建设和公共利 益的重要信息和信息系统，其受到破坏后，会对国家 安全、社会秩序、经济建设和公共利益造成严重损害。 第五级为专控保护级 适用于涉及国家安全、社会秩序、经济建设和公共利 益的重要信息和信息系统的核心子系统，其受到破坏 后，会对国家安全、社会秩序、经济建设和公共利益 造成特别严重损害。
UTM Network based
Firewall
SOC
IDS UTM Host based
Security services
ISAF安全需求
保密性 谁能拥有信息 保证秘密和敏感信息仅为授权者享有。 完整性 拥有的信息是否正确 保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替 换。 可用性 信息和信息系统是否能够使用 保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。 可控性 是否能够监控管理信息和系统 保证信息和信息系统的授权认证和监控管理。
（二）依照标准，自行保护。
国家运用强制性的规范及标准，要求信息和信息系统按照相应的
建设和管理要求，自行定级、自行保护。
（三）同步建设，动态调整。
信息系统在新建、改建、扩建时应当同步建设信息安全设施，保
障信息安全与信息化建设相适应。因信息和信息系统的应用类型、 范围等条件的变化及其他原因，安全保护等级需要变更的，应当 根据等级保护的管理规范和技术标准的要求，重新确定信息系统 的安全保护等级。等级保护的管理规范和技术标准应按照等级保 护工作开展的实际情况适时修订。
信息安全生命周期-PADIMEE™模型（2）
安全保障模型（ISAF）
ISAF—四大防御领域 ISAF—安全保障模型 网络边界
安全对象 防御领域
技 术
人 子领域
管 理
网络基础设施 计算环境 支持性基础设施
信息资产
ISAF模型三维描述
ISAF模型用三维来描述信息安全保障体系结构
第一维是安全需求维，主要阐述信息安全需求的不断
信息安全等级保护制度的原则（2）
四、指导监督，重点保护。 国家指定信息安全监管职能部门通过备案、指导、检 查、督促整改等方式，对重要信息和信息系统的信息 安全保护工作进行指导监督。国家重点保护涉及国家 安全、经济命脉、社会稳定的基础信息网络和重要信 息系统，主要包括：国家事务处理信息系统（党政机 关办公系统）；财政、金融、税务、海关、审计、工 商、社会保障、能源、交通运输、国防工业等关系到 国计民生的信息系统；教育、国家科研等单位的信息 系统；公用通信、广播电视传输等基础信息网络中的 信息系统；网络管理中心、重要网站中的重要信息系 统和其他领域的重要信息系统。
信息安全模型
P2DR动态安全模型
Policy （安全策略）、 Protection （防护）、 Detection （检测）
和Response（响应）。
PADIMEE模型（安氏企业信息系统安全生命周期模型）
Policy（安全策略）、Assessment（安全评估）、Design（设计/
方案）、 Implementation （实施 / 实现）、 Management/Monitor （管理 / 监控）、 Emergency Response （紧急响应）和 Education （安全教育）
ISAF模型(安氏信息安全保障模型)
Information Security & Assure Framework