技术白皮书CA解决方案帮助实现安全等级保护2006年5月CA中国1 安全风险与等级保护互联网技术获得了广泛的应用，甚至成为了国家经济稳定和基础设施不可分割的一部分。

在提高生产效率和促进各种创新业务的同时，互联网技术也为国家、社会、宏观经济、企业、公众等带来了越来越严重的安全威胁。

为此，安全风险越来越多地受到了政府、企业和公众的关注，针对网络信息安全的投入也迅速增加。

但是，我们应该看到，各个组织单位的信息技术（IT）环境千差万别，安全技术和管理水平也参差不齐，投资和实际保护效果很难保证。

为此，国家信息化领导小组明确提出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。

要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。

”并要求“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”（参见《国家信息化领导小组关于加强信息安全保障工作的意见》，中办发[2003]27号，以下简称“27号文件”）。

另外，2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。

2安全等级保护大型组织和企业的信息系统规模庞大，结构复杂，系统之间的差异性很大，各种安全属性和保护需求也各不相同。

从信息安全保护投资经济性方面的考虑，需要具体设备、具体系统来具体考虑。

而从安全管理有效性上看，需要相对规范、标准的体系结构。

为此，国际、国家、主要行业都制定了若干的标准规范，来指导约束针对大型信息系统安全保护体系的设计和建设。

安全等级保护根据信息系统针对企业的关键性和具体的安全属性，划分等级，建立起等级化的保护框架和相应的对策体系，可以帮助在经济性和规范性、安全性方面取得平衡，优化安全投入和资源利用。

表格一：安全保护等级的划分信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。

同时，保证合理性原则才能做到突出重点，适度保护。

安全等级保护要求不同等级的信息系统需要具备不同的、相应级别的安全保护措施和能力。

具体的实施过程包括下面三个步骤：●等级划分：把作为保护对象的信息系统按照资产价值、业务重要性、威胁程度、所需安全特性等赋予相应的安全等级●评估设计等级化的安全保护措施：参照国家实施指南和技术要求，以及业界的最佳实践，针对每个保护等级的信息资产设计定制相应的保护措施●体系化并实施：综合考虑各等级系统的保护措施，有计划、分步骤地实施落地各保护措施，并根据实际效果进行等级保护调优。

3CA解决方案CA公司是国际领先的安全管理解决方案供应商，不仅将国际上在安全管理方面的最佳实践带到国内，还积极参与了国家在网络信息安全方面的标准规范建设和实施。

CA公司认识到，安全等级保护的重大意义，但是实际实施过程可能会遇到相当的困难，包括在时间、费用、技术、人员、经验等各个方面。

另外，还会有许多机构和组织会试图应付了事，试图在不增加新技术的风险的情况下满足所有的技术要求和时间期限。

实施指南和技术要求包括了在身份和帐号、口令、认证、授权和访问控制、审计、漏洞和补丁管理、网络访问控制、反病毒、反各类恶意软件、安全域、变更和配置管理等，而其中身份和访问管理（IAM）覆盖了相当部分的技术措施要求。

CA公司的安全产品系列提供了一个集成的安全服务平台，为不同类型、不同规模的机构、组织、企业提供用户管理、访问管理和资源供应服务。

将这些集成产品配置在一起不仅会降低费用，增加安全性，而且可以更加容易地、更加明显地提高安全等级保护的效力和时效性。

通过集成管理模块，CA安全产品线可以提供全面的身份识别及访问管理功能。

它可以提供灵活的、开放的系统结构，该结构适合你的环境所需，无论该环境多么复杂，可以应对正在出现的、以服务为中心的系统结构所带来的特定挑战。

2005年美国FBI的报告中指出，在目前范围内给企业IT信息安全带来破坏性损失的因素中，排在第一位的是计算机病毒，紧接其后的就是IT系统所面临的未经许可的访问。

这样一来，身份识别和访问管理（IAM）就成为了企业IT安全管理的重要议题。

CA公司身份识别和访问管理的产品线包括：●Access Control －市场上独一无二的系统级访问控制平台，全面管理各种Unix/Linux和Windows平台上关于系统进程、文件、网络连接的基于角色的访问控制，帮助轻松实现第二级（指导保护级）及以上等级对主机系统安全访问控制的要求。

●Audit －全面收集系统、网络、应用的各种日志，满足第二级（指导保护级）及以上等级对安全审计的要求。

●Identity Manager －灵活的、基于角色的用户管理及访问管理解决方案，用在系统级、基于Web的应用软件等的身份帐号、角色、口令等管理。

满足第一级（自主保护级）以及以上级对于身份帐号、口令、角色等方面的要求。

●SiteMinder® －在市场上占据主导地位的访问管理解决方案，对基于Web的企业应用软件，创建身份识别及访问管理的安全基础。

帮助实现第二级（指导保护级）及以上等级对应用安全访问控制的要求。

●TransactionMinder® －业内首选以政策为基础的解决方案，用于保护对WebServices的访问。

●IdentityMinder® eProvision TM—全面的预设置解决方案，为员工、合同工和合作伙伴对重要的企业资源的访问流程进行自动化。

表格二：CA安全产品线可以极大地帮助实施高效的安全等级保护1. 用户帐号管理。

CA Identity Manager 专门设计用来应对用户管理（请求、建立、发出、挂起以及关闭用户帐号）带来的挑战。

通过授权的用户管理、用户自助服务、集成工作流以及结构化的管理模型，此类产品提供身份创立及管理服务，支持以角色为基础的访问控制，从而为管理用户访问受保护资源提供有效机制。

Identity Manager 可提供集成工作流功能，通过正式的、有效的批准程序对用户访问请求加以管理。

它们还可提供灵活的、以角色为基础的、授权委派的用户管理功能，用于更加有效地对用户访问权的变更、挂起和终止加以管理。

2. 用户认证及授权。

eTrust Access Control, eTrust SiteMinder和eTrust TransactionMinder 提供控制使用何种类型的认证方法来保护资源，以及如何对该认证方法进行部署和管理。

通过集中管理所有认证系统，使用先进的认证策略管理功能，公司可以根据资源价值和业务需要部署混合的认证方法，从而为指定资源提供适当程度的资源保护。

eTrust Access Control, eTrust SiteMinder和eTrust TransactionMinder还可提供充足的策略模型，以便可以轻松控制用户对于受保护资源和应用软件的访问，同时对其加以监控。

创建集中式控制和流程，对身份的创建和管理以及细粒度的访问加以管理。

集中的身份识别管理和访问控制可以提供更加有效、更大的安全性。

eTrust Access Control, eTrust SiteMinder和eTrust TransactionMinder可以覆盖当前大多数的操作系统平台和Web应用平台。

3. 灵活的密码服务。

安全等级保护的一个主要要求就是需要一套灵活的密码政策，可以确保用户密码不仅难以猜中，而且定期更换。

CA IdentityManager和eTrust SiteMinder都提供足够的功能，通过灵活的密码政策，可以轻松控制用户密码。

确保用户正在遵守这些密码政策的要求，切实可行。

4. 用户访问权限管理。

eTrust Access Control, CA Identity Manager 可以设立、部署非常细化的系统和应用级访问权限，不仅可以实现指导保护级（及以上级）要求的用户级访问控制和权限分离，还可以实现第三级（监督保护级）要求的强制访问控制的各项内容。

从而极大地降低安全风险，加强对用户访问权的内部控制。

5. 活动监控及审计。

CA 安全产品套件提供深入的审计和报告功能，以支持对访问和用户权利信息的收集和分析。

可以提供活动、入侵和审计信息，从而可以对将要发生的和业已发生的违反安全规定行为加以跟踪。

例如，eTrust SiteMinder跟踪用户会话，以便管理员可以监控被访问的资源，用户试图访问特定资源的频率，以及有多少用户正在访问特定应用软件。

eTrust Audit可以将系统、网络、应用的各种各样的日志收集、过滤、相关、分析，并帮助产生灵活高效的报表和展现视图。

6. 用户自助服务帐号管理。

通过CA IdentityManager 的用户自助服务功能和详细的报告，用户可以行使其职责，以确保他们可以了解自己访问了哪些系统和数据，以及他们的身份识别和认证是否已经互相保证。

此外，如果出现与受保护资源有关的不正常行为，管理员也可以得到报警。

4总结CA 身份与访问管理系列产品在IDC等权威第三方的统计数据中连续五年占据世界第一名的位置，在国内外大型机构、组织、企业中有大量的成功实施案例。

CA身份与访问管理平台为安全等级保护提供了强大的基础，尤其是在第二级以上的主机系统安全、应用安全方面。

它帮助满足实现身份帐号、口令管理、访问和权限管理、安全审计等各种关键的保护要求，其中，eTrust SiteMinder是市场上领先的Web应用层的安全访问控制软件，eTrust Access Control还可以帮助实现第三级和以上级的强制访问控制安全要求。

CA: The Management Software Experts!5参考资料《信息安全技术信息系统安全等级保护基本要求》《计算机信息系统安全等级保护实施指南》，GB17859-1999，中国国家标准《电子政务信息安全等级保护实施指南（试行）》，国务院信息化工作办公室《民航计算机信息系统安全保护等级划分准则》，中国民航行业规范NIST SP800-30，《Risk Management》，美国国家标准和技术局ISO27001，国际标准化组织（ISO）和国际电工委员会（IEC）标准6关于CA公司CA公司（NYSE：CA）是全球最大的IT管理软件公司之一，专注于为企业统一和简化IT管理。