CA安全等级保护解决方案v015

第1页/总7页技术白皮书CA解决方案帮助实现安全等级保护2006年5月CA中国文档说明本文档包含了CA中国的商业机密信息。本文档所涉及到的文字、图表等，仅限于CA中国和被送达方内部使用，未经CA中国的书面许可，请勿扩散到第三方。第2页/总7页1安全风险与等级保护互联网技术获得了广泛的应用，甚至成为了国家经济稳定和基础设施不可分割的一部分。在提高生产效率和促进各种创新业务的同时，互联网技术也为国家、社会、宏观经济、企业、公众等带来了越来越严重的安全威胁。为此，安全风险越来越多地受到了政府、企业和公众的关注，针对网络信息安全的投入也迅速增加。但是，我们应该看到，各个组织单位的信息技术（IT）环境千差万别，安全技术和管理水平也参差不齐，投资和实际保护效果很难保证。为此，国家信息化领导小组明确提出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”并要求“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”（参见《国家信息化领导小组关于加强信息安全保障工作的意见》，中办发[2003]27号，以下简称“27号文件”）。另外，2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。2安全等级保护大型组织和企业的信息系统规模庞大，结构复杂，系统之间的差异性很大，各种安全属性和保护需求也各不相同。从信息安全保护投资经济性方面的考虑，需要具体设备、具体系统来具体考虑。而从安全管理有效性上看，需要相对规范、标准的体系结构。为此，国际、国家、主要行业都制定了若干的标准规范，来指导约束针对大型信息系统安全保护体系的设计和建设。安全等级保护根据信息系统针对企业的关键性和具体的安全属性，划分等级，建立起等级化的保护框架和相应的对策体系，可以帮助在经济性和规范性、安全性方面取得平衡，优化安全投入和资源利用。表格一：安全保护等级的划分保护等级等级名称基本描述安全保护要求第一级自主保护级主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序和公共利益。参照国家标准自主进行保护。第3页/总7页第二级指导保护级主要对象为一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。在主管部门的指导下，按照国家标准自主进行保护第三级监督保护级主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。根据安全需求，由主管部门和运营单位对相应信息系统进行专门控制和保护。信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。同时，保证合理性原则才能做到突出重点，适度保护。安全等级保护要求不同等级的信息系统需要具备不同的、相应级别的安全保护措施和能力。具体的实施过程包括下面三个步骤：等级划分：把作为保护对象的信息系统按照资产价值、业务重要性、威胁程度、所需安全特性等赋予相应的安全等级评估设计等级化的安全保护措施：参照国家实施指南和技术要求，以及业界的最佳实践，针对每个保护等级的信息资产设计定制相应的保护措施体系化并实施：综合考虑各等级系统的保护措施，有计划、分步骤地实施落地各保护措施，并根据实际效果进行等级保护调优。3CA解决方案CA公司是国际领先的安全管理解决方案供应商，不仅将国际上在安全管理方面的最佳实践带到国内，还积极参与了国家在网络信息安全方面的标准规范建设和实施。CA公司认识到，安全等级保护的重大意义，但是实际实施过程可能会遇到相当的困难，包括在时间、费用、技术、人员、经验等各个方面。另外，还会有许多机构和组织会试图应付了事，试图在不增加新技术的风险的情况下满足所有的技术要求和时间期限。实施指南和技术要求包括了在身份和帐号、口令、认证、授权和访问控制、审计、漏洞和补丁管理、网络访问控制、反病毒、反各类恶意软件、安全域、变更和配置管理等，而其中身份和访问管理（IAM）覆盖了相当部分的技术措施要求。CA公司的安全产品系列提供了一个第4页/总7页集成的安全服务平台，为不同类型、不同规模的机构、组织、企业提供用户管理、访问管理和资源供应服务。将这些集成产品配置在一起不仅会降低费用，增加安全性，而且可以更加容易地、更加明显地提高安全等级保护的效力和时效性。通过集成管理模块，CA安全产品线可以提供全面的身份识别及访问管理功能。它可以提供灵活的、开放的系统结构，该结构适合你的环境所需，无论该环境多么复杂，可以应对正在出现的、以服务为中心的系统结构所带来的特定挑战。2005年美国FBI的报告中指出，在目前范围内给企业IT信息安全带来破坏性损失的因素中，排在第一位的是计算机病毒，紧接其后的就是IT系统所面临的未经许可的访问。这样一来，身份识别和访问管理（IAM）就成为了企业IT安全管理的重要议题。CA公司身份识别和访问管理的产品线包括：AccessControl－市场上独一无二的系统级访问控制平台，全面管理各种Unix/Linux和Windows平台上关于系统进程、文件、网络连接的基于角色的访问控制，帮助轻松实现第二级（指导保护级）及以上等级对主机系统安全访问控制的要求。Audit－全面收集系统、网络、应用的各种日志，满足第二级（指导保护级）及以上等级对安全审计的要求。IdentityManager－灵活的、基于角色的用户管理及访问管理解决方案，用在系统级、基于Web的应用软件等的身份帐号、角色、口令等管理。满足第一级（自主保护级）以及以上级对于身份帐号、口令、角色等方面的要求。SiteMinder®－在市场上占据主导地位的访问管理解决方案，对基于Web的企业应用软件，创建身份识别及访问管理的安全基础。帮助实现第二级（指导保护级）及以上等级对应用安全访问控制的要求。TransactionMinder®－业内首选以政策为基础的解决方案，用于保护对WebServices的访问。IdentityMinder®eProvisionTM—全面的预设置解决方案，为员工、合同工和合作伙伴对重要的企业资源的访问流程进行自动化。表格二：CA安全产品线可以极大地帮助实施高效的安全等级保护产品用户帐号管理用户认证及授权灵活的密码服务用户访问权限行为监控及审计用户自助服务帐号管理eTrustAccessControl有有eTrustAudit有eTrustIdentityMindereProvision有有有有有第5页/总7页eTrustIdentityManager有有有有有eTrustSiteMinder有有有eTrustTransactionMinder有有1.用户帐号管理。CAIdentityManager专门设计用来应对用户管理（请求、建立、发出、挂起以及关闭用户帐号）带来的挑战。通过授权的用户管理、用户自助服务、集成工作流以及结构化的管理模型，此类产品提供身份创立及管理服务，支持以角色为基础的访问控制，从而为管理用户访问受保护资源提供有效机制。IdentityManager可提供集成工作流功能，通过正式的、有效的批准程序对用户访问请求加以管理。它们还可提供灵活的、以角色为基础的、授权委派的用户管理功能，用于更加有效地对用户访问权的变更、挂起和终止加以管理。2.用户认证及授权。eTrustAccessControl,eTrustSiteMinder和eTrustTransactionMinder提供控制使用何种类型的认证方法来保护资源，以及如何对该认证方法进行部署和管理。通过集中管理所有认证系统，使用先进的认证策略管理功能，公司可以根据资源价值和业务需要部署混合的认证方法，从而为指定资源提供适当程度的资源保护。eTrustAccessControl,eTrustSiteMinder和eTrustTransactionMinder还可提供充足的策略模型，以便可以轻松控制用户对于受保护资源和应用软件的访问，同时对其加以监控。创建集中式控制和流程，对身份的创建和管理以及细粒度的访问加以管理。集中的身份识别管理和访问控制可以提供更加有效、更大的安全性。eTrustAccessControl,eTrustSiteMinder和eTrustTransactionMinder可以覆盖当前大多数的操作系统平台和Web应用平台。3.灵活的密码服务。安全等级保护的一个主要要求就是需要一套灵活的密码政策，可以确保用户密码不仅难以猜中，而且定期更换。CAIdentityManager和eTrustSiteMinder都提供足够的功能，通过灵活的密码政策，可以轻松控制用户密码。确保用户正在遵守这些密码政策的要求，切实可行。4.用户访问权限管理。eTrustAccessControl,CAIdentityManager可以设立、部署非常细化的系统和应用级访问权限，不仅可以实现指导保护级（及以上级）要求的用户级访问控制和权限分离，还可以实现第三级（监督保护级）要求的强制访问控制的各项内容。从而极大地降低安全风险，加强对用户访问权的内部控制。5.活动监控及审计。CA安全产品套件提供深入的审计和报告功能，以支持对访问和用第6页/总7页户权利信息的收集和分析。可以提供活动、入侵和审计信息，从而可以对将要发生的和业已发生的违反安全规定行为加以跟踪。例如，eTrustSiteMinder跟踪用户会话，以便管理员可以监控被访问的资源，用户试图访问特定资源的频率，以及有多少用户正在访问特定应用软件。eTrustAudit可以将系统、网络、应用的各种各样的日志收集、过滤、相关、分析，并帮助产生灵活高效的报表和展现视图。6.用户自助服务帐号管理。通过CAIdentityManager的用户自助服务功能和详细的报告，用户可以行使其职责，以确保他们可以了解自己访问了哪些系统和数据，以及他们的身份识别和认证是否已经互相保证。此外，如果出现与受保护资源有关的不正常行为，管理员也可以得到报警。4总结CA身份与访问管理系列产品在IDC等权威第三方的统计数据中连续五年占据世界第一名的位置，在国内外大型机构、组织、企业中有大量的成功实施案例。CA身份与访问管理平台为安全等级保护提供了强大的基础，尤其是在第二级以上的主机系统安全、应用安全方面。它帮助满足实现身份帐号、口令管理、访问和权限管理、安全审计等各种关键的保护要求，其中，eTrustSiteMinder是市场上领先的Web应用层的安全访问控制软件，eTrustAccessControl还可以帮助实现第三级和以上级的强制访问控制安全要求。CA:TheManagementSoftwareExperts!5参考资料《信息安全技术信息系统安全等级保护基本要求》《计算机信息系统安全等级保护实施指南》，GB17859-1999，中国