《等级保护培训》PPT课件.ppt

等级保护安全培训 2014年6月 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策 等级保护的含义 官方说法 信息安全等级保护是指对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 一句话 系统重要程度有多高 安全保护就应当有多强 既不能保护不足 也不能过渡保护 要点 平衡安全与成本实行等级保护的目的遵循客观规律 信息安全的等级是客观存在的有利于突出重点 加强安全建设和管理有利于控制安全的成本 用户进行等保建设的动机 国家标准 政绩工程 保障业务 申请项目 对我们的益处 等级保护的实现原理 重点关注2 3级 信息系统安全保护等级划分 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 各级别的概念 四级强制保护 比如中央核心系统 重要行业核心业务系统 建设内容很多 每年都要检查 容易形成长期销售机会 但是该级别信息系统数量很少 技术门槛很高 应谨慎跟踪 最好分期建设 先作容易的 后做难的 三级监督保护 比如省级信息系统 核心业务系统等大都是此级别 此类项目需要备案 测评 并且每年检查一次 建设内容包括产品集成 安全服务 容易形成长期销售机会 应重点跟踪 重点是集成 二级指导保护 比如市级信息系统 非核心业务系统都是此级别 此类系统需要备案 测评 等保建设以产品为主 有少量的安全服务 重点是产品 一级自主建设 基本没多少内容 可能会有少量的产品 常见的二级系统举例 仅做参考 地市政府办公自动化系统 内部使用的 地市政府政务公开网站 外部信息发布 地市政府间协同办公系统 企业电子商务网站 银行网站 特点 与核心业务无关 常见的三级系统举例 仅做参考 省政府办公自动化系统 内部使用的 省政府政务公开系统 交互式 省政府公文交换系统 企业ERP系统 银行生产网 特点 与业务密切相关的 常见的四级系统举例 仅做参考 国家电力调度系统 EMS 中国人民银行官方网站 财政部财政支付系统 交通部应急指挥调度系统 银行生产系统 特点 重要部门与核心业务密切相关的 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策金普威等级保护实力销售工作步骤 目标客户怎么来找 2007年底到2008年初 各地已经完成了定级备案工作备案情况 2级大约32000多个 三级25000个 四级200多个 摘自郭处长在信息安全高峰论坛上的讲话 备案情况 属地化管理 各地在各自公安的网监大队备案留底等级保护主导单位 公安部我们了解到的情况电监会 银监会 证监会 保监会等国务院监督部门在开始着手组织编写行业等级保护建设标准 外交部 海关 发改委 交通局 新闻出版署等单位开始着手组织等级保护试点工作 公安部三所着手在各地建设测评分中心 为等级保护测评工作做准备 公安部一所牵头 申请了863课题 研究等级保护的技术设计要求 并组织一些单位开发等级保护建设模型北京 黑龙江 上海 武汉 广州 成都 浙江等发达城市 已开展了等级保护技术支持单位的评审工作今年是等级保护的启动年 也是为我们争取时间的关键一年 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策金普威等级保护实力销售工作步骤 等级保护相关单位关系 项目实施流程 相关单位 定级 评估 方案 集成 规划 整改 服务 测评 服务商和集成商 产品厂商 2 3X 客户 主管部门 技术支撑 测评 标准单位 等级保护相关管理机构与分工 等保工作办公室负责等保工作的落实情况进行督办和检查负责对辖区等保工作组织 协调和指导公安局负责除辖区电子政务和涉密以外信息系统的等保监督 指导和检查工作工信局负责辖区电子政务等保工作的监督 指导保密局负责涉密系统的等保工作监督 指导负责对泄密事件进行查处密码委负责等保中的密码进行分级管理 监督指导密码配备 使用和管理 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策金普威等级保护实力销售工作步骤 存储介质的清除或销毁 设备迁移或废弃 等级保护监督检查 等级保护安全测评 安全检查和持续改进 安全事件处置和应急预案 安全状态监控 变更管理和控制 等级保护安全测评 等级保护技术实施 等级保护管理实施 安全等级确定 系统定级 安全规划设计 安全实施 安全运维 系统终止 等级保护实施过程的主要活动 信息系统划分 安全建设规划 安全总体设计 安全需求分析 安全方案详细设计 运行管理和控制 信息转移 暂存或清除 系统识别描述 等级保护的建设过程 定级咨询服务 安全运维服务 下一步等级保护工作开展的重点 等级保护服务包1 2 仅作参考 等级保护服务包2 2 仅作参考 等级保护产品包1 2 三级 参考 等级保护产品包2 2 三级 参考 防火墙 入侵检测 入侵防护 审计 VPN 服务器加固 网络设备加固 安全设备加固 漏洞扫描 主机入侵检测 CA认证 主机防病毒 灾备 终端安全管理 信息安全管理平台 三权分立 等级保护产品包1 2 二级 参考 等级保护产品包2 2 二级 参考 防火墙 入侵检测 入侵防护 审计 VPN 服务器加固 网络设备加固 安全设备加固 漏洞扫描 主机入侵检测 CA认证 主机防病毒 灾备 终端安全管理 信息安全管理平台 三权分立 等级保护中我们可以提供什么 安全服务包等级评估咨询服务等级保护整改服务 含等级保护管理安全整改建设 加固服务 等级保护测评服务等级保护整体服务 等级保护评估咨询服务 等级保护整改服务 等级保护测评服务整改建设包安全集成建设 基础设施建设等级保护整改服务 等级保护测评服务整改产品包网络安全 防火墙 入侵检测 入侵防护 病毒过滤网关 抗拒绝服务攻击 网站防护系统等 主机安全 服务器核心防护 数据库核心防护 防病毒软件 主机入侵检测 主机审计应用安全 安全审计 身份认证 CA 双因素 数据安全 VPN 存储 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策金普威等级保护实力销售工作步骤 等级保护的政策标准的演进 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 2005年9月国信办文件 关于转发 电子政务信息系统信息安全等级保护实施指南 的通知 国信办 2004 25号 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 总结成一种安全工作的方法和原则 最先作为 适度安全 的工作思路提出 确认为国家信息安全的基本制度 安全工作的根本方法 形成等级保护的基本理论框架 制定了方法 过程和标准 1994年国务院颁布 中华人民共和国计算机信息系统安全保护条例 2006年四部委会签公通字 2006 7号文件 关于印发 信息安全等级保护管理办法 试行 的通知 明确做等级保护 等级保护工作的重点是基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 定义了五个保护级别 监管方式 职责分工和时间计划 定义了电子政务等级保护的实施过程和方法 定义了等级保护的管理办法 后被43号文件取代 首次提出计算机信息系统必须实行安全等级保护 提出了等级保护的定级方法 实施办法 并对不同等级需要达到的安全能力要求进行了详细的定义 同时对系统保护能力等级评测指出了具体的指标 等级保护的政策标准的演进 2007年7月16日四部门会签公信安 2007 861号文件 四部门下发 关于开展全国重要信息系统安全等级保护定级工作的通知 提出了等级保护的推进和管理办法 为等级保护工作开展提供了参考 开始了等级保护的实质性工作的第一阶段 2007年四部委会签公通字 2007 43号文件 信息安全等级保护管理办法 替代公通字 2006 7号文件 明确了等级保护的具体操作办法和各部委的职责 以及推进等级保护的具体事宜 2006年公安部 国信办下发了 关于开展信息系统安全等级保护基础调查工作的通知 从2006年1月10日到4月10日 分三个阶段对国家重要的基础信息系统进行摸底 包括党政机关 财政 海关 能源 金融 社会保障等行业 2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 其中包括公用通信网 广播电视传输网等基础信息网络以及铁路 银行 海关 税务 民航 电力 证券 保险 外交 人事劳动和社会保障 财政 等行业 等级保护的政策标准的演进 信息安全技术信息安全等级保护技术设计要求 报批稿 对等级保护的方案设计提出了参考 提出 一个中心下的三重防护 体系 等级保护的落地迈出了实质性的一步 等级保护有了国家标准作为参考依据 同步提出了等级保护基础技术的课题研究 2008年7月 公安部发布 公安机关信息安全等级保护检查工作 试行 文件 提出等级保护检查工作的细则 并发布到重点政府行业用户 2008年 国家标准化委员会正式批复并发布 信息安全技术信息安全等级保护基本要求 和 信息安全技术信息安全等级保护定级指南 编号分别为GB T22239 2008 GB T22240 2008 目前已正式颁布的有 GB T22239 2008信息安全技术信息系统安全等级保护基本要求 GB T22240 2008信息安全技术信息系统安全等级保护定级指南 公安机关信息安全等级保护检查工作规范 2008年定级备案工作基本结束2 2X用户已完成在公安机关的定级备案工作 备案的四级系统大约200多个 三级系统大约25000多个 二级系统大约32000多个 其他参考政策文件 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071号 提出 电子政务工程建设项目 的验收 必须有一证两报告一证 等级备案证明两报告 信息系统安全风险评估报告 信息系统安全等级保护测评报告强制执行 重要标准简要解读 基本要求 物理安全 网络安全 主机安全 应用安全 数据安全 身份鉴别 S 安全标记 S 访问控制 S 可信路径 S 安全审计 G 剩余信息保护 S 物理位置的选择 G 物理访问控制 G 防盗窃和破坏 G 防雷 火 水 G 温湿度控制 G 电力供应 A 数据完整性 S 数据保密性 S 备份与恢复 A 防静电 G 电磁防护 S 入侵防范 G 资源控制 A 恶意代码防范 G 结构安全 G 访问控制 G 安全审计 G 边界完整性检查 S 入侵防范 G 恶意代码防范 G 网络设备防护 G 身份鉴别 S 剩余信息保护 S 安全标记 S 访问控制 S 可信路径 S 安全审计 G 通信完整性 S 通信保密性 S 抗抵赖 G 软件容错 A 资源控制 A 技术要求 单位产品重点覆盖 需要第三方产品服务器加固主机入侵检测防病毒系统等单位可以卖的 安全加固服务 CA认证为主安全加固服务 VPN数据存储 灾备 重要标准简要解读 基本要求 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 人员录用 人员离岗 人员考核 安全意识和培训 外部访问人员 管理制度 制定和发布 评审和修改 岗位设置 人员配置 授权和审批 沟通和合作 审核和检查 系统定级 工程实施 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 测试验收 系统交付 系统备案 等级测评 服务商选择 环境管理 资产管理 介质管理 设备管理 监控和安全管理 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处理 应急预案管理 管理整改服务 等级保护技术设计要求 一个中心下的三重防护 安全操作系统安全数据库服务器加固系统主机入侵检测防病毒系统CA认证系统漏洞扫描系统桌面安全管理平台安全加固服务主机审计 防火墙 网闸入侵检测入侵防御病毒网关非法接入 外联网站防护系统UTM抗拒绝服务攻击网络审计 VPN流量控制设备加固 安全管理中心 安全审计中心 TSM 日志审计 系统管理中心 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策工作步骤 产检的信息安全产品 安全管理类 检测 防御 审计 网关类产品 等级保护要求的服务 等级评估咨询服务包 等级保护整改服务包 等级保护测评服务包 等级保护整体服务包 议题 什么是等级保护 谁是等级保护的目标客户 谁主管等级保护事宜 等级保护项目我们能做什么 等级保护相关标准 政策 能否通过等级保护测评 一般来说只能是基本通过 肯定有整改意见金普威可以承诺协助用户通过测评能否通过测评 与测评中心的关系有很大影响能否通过等级保护的逐年检查 逐年检查就是逐年测评逐年检查为等级保护的总体建设单位带来持续的商机项目怎样运作 立项 等级保护建设项目可分别单独招服务商 集成商 产品供应商 也可只招总集成商 提供一揽子的服务 客户普遍关心的问题 总结 一二三四 1 2 3 4 1个政策 以公安部等级保护政策标准为主 2个目标 以2级 3级信息系统为主要目标 3个关系 主管部门 测评机构 客户 4类服务 等保评估服务 等保整改服务 管理 等保测评支持服务 等保产品集成服务 含各类产品 谢谢