1、,天融信等级保护培训,June 5, 2019,培训对象,公司销售人员(总部、分支机构) 等保客户分类 超大型用户(北京移动) 行业用户 中小型用户 培训内容定位:中小型用户的等级保护建设 其他:给出一般性建议,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,等级保护的含义,官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安
2、全事件分等级响应、处置。 一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。 要点:平衡安全与成本实行等级保护的目的 遵循客观规律,信息安全的等级是客观存在的 有利于突出重点,加强安全建设和管理 有利于控制安全的成本,用户进行等保建设的动机?,国家标准,政绩工程,保障业务,申请项目,对我们的益处?,等级保护的实现原理,重点关注2、3级,信息系统安全保护等级划分,第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和
3、公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,各级别的概念,四级强制保护,比如中央核心系统,重要行业核心业务系统,建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的),三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建
4、设内容包括产品集成、安全服务,容易形成长期销售机会,应重点跟踪!重点是集成,二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务。重点是产品,一级自主建设,基本没多少内容,可能会有少量的产品,常见的二级系统举例(仅做参考),地市政府办公自动化系统(内部使用的),地市政府政务公开网站(外部信息发布),地市政府间协同办公系统,企业电子商务网站,银行网站,特点:与核心业务无关,常见的三级系统举例(仅做参考),省政府办公自动化系统(内部使用的),省政府政务公开系统(交互式),省政府公文交换系统,企业ERP系统,银行生产网,特点:与业务密
5、切相关的,常见的四级系统举例(仅做参考),国家电力调度系统(EMS),中国人民银行官方网站,财政部财政支付系统,交通部应急指挥调度系统,银行生产系统,特点:重要部门与核心业务密切相关的,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,谁是等级保护的目标客户,电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。,铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳
6、动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。,市(地)级以上党政机关的重要网站和办公信息系统。不是分级保护的范围,就是等级保护的范围 其他已经定级的信息系统,目标客户怎么来找?,2007年底到2008年初,各地已经完成了定级备案工作 备案情况:2级 大约32000多个,三级 25000个,四级 200多个;-摘自郭处长在信息安全高峰论坛上的讲话 备案情况:属地化管理,各地在各自公安的网监大队备案留底 等级保护主导单位:公安部 我们了解到的情况 电监会、银监会、证监会、保监会等国务院监督部门在
7、开始着手组织编写行业等级保护建设标准; 外交部、海关、发改委、交通局、新闻出版署等单位开始着手组织等级保护试点工作; 公安部三所着手在各地建设测评分中心,为等级保护测评工作做准备; 公安部一所牵头,申请了863课题,研究等级保护的技术设计要求,并组织一些公司开发等级保护建设模型 北京、黑龙江、上海、武汉、广州、成都、浙江等发达城市,已开展了等级保护技术支持单位的评审工作 今年是等级保护的启动年,也是为我们争取时间的关键一年。,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,等级保护的形
8、成的产业链,项目实施流程,相关单位,定级,评估,方案,集成,规划,整改,服务,测评,服务商和集成商,产品厂商,2+3X,客户,主管部门,技术支撑(测评),标准单位,等级保护相关管理机构与分工,等保工作办公室 负责等保工作的落实情况进行督办和检查 负责对辖区等保工作组织、协调和指导 公安局 负责除辖区电子政务和涉密以外信息系统的等保监督、指导和检查工作 工信局 负责辖区电子政务等保工作的监督、指导 保密局 负责涉密系统的等保工作监督、指导 负责对泄密事件进行查处 密码委 负责等保中的密码进行分级管理,监督指导密码配备、使用和管理,北京市的等级保护的管理结构,工信部,公安部网监局,管理职能: 监管
9、和测评,技术支持单位: 定级、测评,安全厂商、服务商,安全厂商、服务商,服务实施单位: 咨询、实施、产品、运维,北京市信息办,北京测评中心,北京公安局网监处,北京等保测评机构,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,安全厂商、服务商,政策、宏观管理、协调,电子政务领域,其他行业领域,北京市属的电子政务系统,地处北京的各部委各行业,国家测评中心,公安部三所,解放军测评中心,各地的模式基本类同,其中公安部明确是等级保护建设的主导单位,但由于电子政务项目的建设在工信局,因此电子政务等级保护的主导单位是工信局,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保
10、护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,存储介质的清除或销毁,设备迁移或废弃,等级保护监督检查,等级保护安全测评,安全检查和持续改进,安全事件处置和应急预案,安全状态监控,变更管理和控制,等级保护安全测评,等级保护技术实施,等级保护管理实施,安全等级确定,系统定级,安全规划设计,安全实施,安全运维,系统终止,等级保护实施过程的主要活动,信息系统划分,安全建设规划,安全总体设计,安全需求分析,安全方案详细设计,运行管理和控制,信息转移、暂存或清除,系统识别描述,等级保护的建设过程,定级咨询服务,安全运维服务,下一步等级保护工作开展的重点,等级保护服务包1/
11、2(仅作参考),等级保护服务包2/2(仅作参考),等级保护产品包1/2-三级(参考),等级保护产品包2/2-三级(参考),防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台(三权分立),等级保护产品包1/2-二级(参考),等级保护产品包2/2-二级(参考),防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台(三权分立),等级保护中我们可以卖什么?-中小型客户,安全服务包
12、 等级评估咨询服务 等级保护整改服务(含等级保护管理安全整改建设+加固服务) 等级保护测评服务 等级保护整体服务=等级保护评估咨询服务+等级保护整改服务+等级保护测评服务 整改建设包 安全集成建设 等级保护整改服务+等级保护测评服务 整改产品包 网络安全:防火墙、入侵检测、入侵防护、病毒过滤网关、抗拒绝服务攻击、网站防护系统等; 主机安全:服务器核心防护、数据库核心防护、防病毒软件、主机入侵检测、主机审计 应用安全:安全审计、身份认证(CA/双因素) 数据安全:VPN、存储,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政
13、策 天融信等级保护实力 销售工作步骤,等级保护的政策标准的演进,2003年9月 中办国办颁发 关于加强信息安全保障工作的意见 (中办发200327号),2004年11月 四部委会签 关于信息安全等级保护工作的实施意见 (公通字200466号),2005年9月 国信办文件 关于转发电子政务信息系统信息安全等级保护实施指南的通知 (国信办200425号),2005年 公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则,总结成一种安全工作的方法和原则,最先作为“适度安全”的工作思路提出,确认为国家信息安全的基本制度,安全工作的根本方法,形成等级保护的基本理论框架,制定
14、了方法,过程和标准,1994年 国务院颁布中华人民共和国计算机信息系统安全保护条例,2006年 四部委会签 公通字20067号文件(关于印发信息安全等级保护管理办法(试行)的通知),明确做等级保护,等级保护工作的重点是 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,定义了五个保护级别、监管方式、职责分工和时间计划,定义了电子政务等级保护的实施过程和方法,定义了等级保护的管理办法,后被43号文件取代。,首次提出计算机信息系统必须实行安全等级保护。,提出了等级保护的定级方法、实施办法,并对不同等级需要达到的安全能力要求进行了详细的定义,同时对系统保护能力等级评测指出了具体的指
15、标。,等级保护的政策标准的演进,2007年7月16日 四部门会签 公信安2007861号文件:四部门下发关于开展全国重要信息系统安全等级保护定级工作的通知,提出了等级保护的推进和管理办法,为等级保护工作开展提供了参考,开始了等级保护的实质性工作的第一阶段,2007年 四部委会签 公通字200743号文件信息安全等级保护管理办法,替代公通字20067号文件,明确了等级保护的具体操作办法和各部委的职责,以及推进等级保护的具体事宜,2006年 公安部、国信办 下发了关于开展信息系统安全等级保护基础调查工作的通知,从2006年1月10日到4月10日,分三个阶段对国家重要的基础信息系统进行摸底,包括党政
16、机关、财政、海关、能源、金融、社会保障等行业,2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 ,其中包括公用通信网、广播电视传输网等基础信息网络 以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业,等级保护的政策标准的演进,信息安全技术 信息安全等级保护技术设计要求报批稿,对等级保护的方案设计提出了参考。提出“一个中心下的三重防护”体系,等级保护的落地迈出了实质性的一步,等级保护有了国家标准作为参考依据,同步提出了等级保护基础技术的课题研究,2008年7月,公安部发布公安机关信息安全等级保护检查工作(试行)文件,提出等级保护检
17、查工作的细则,并发布到重点政府行业用户,2008年,国家标准化委员会正式批复并发布信息安全技术 信息安全等级保护基本要求和信息安全技术 信息安全等级保护定级指南,编号分别为GB/T22239-2008、GB/T22240-2008,目前已正式颁布的有: GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 公安机关信息安全等级保护检查工作规范,2008年定级备案工作基本结束 2+2X用户已完成在公安机关的定级备案工作; 备案的四级系统大约200多个; 三级系统大约25000多个; 二级系统大约32
18、000多个。,其他参考政策文件,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 提出“电子政务工程建设项目”的验收:必须有一证两报告 一证:等级备案证明 两报告:信息系统安全风险评估报告、信息系统安全等级保护测评报告 强制执行!,重要标准简要解读-基本要求,物理安全,网络安全,主机安全,应用安全,数据安全,身份鉴别(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),剩余信息保护(S),物理位置的选择(G),物理访问控制(G),防盗窃和破坏(G),防雷/火/水(G),温湿度控制(G),电力供应(A),数据完整性(S),数据保密性(S)
19、,备份与恢复(A),防静电(G),电磁防护(S),入侵防范(G),资源控制(A),恶意代码防范(G),结构安全(G),访问控制(G),安全审计(G),边界完整性检查(S),入侵防范(G),恶意代码防范(G),网络设备防护(G),身份鉴别(S),剩余信息保护(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),通信完整性(S),通信保密性(S),抗抵赖(G),软件容错(A),资源控制(A),技术要求,公司产品重点覆盖,需要第三方产品 服务器加固 主机入侵检测 防病毒系统等公司可以卖的: 安全加固服务,CA认证为主 安全加固服务,VPN数据存储、灾备,重要标准简要解读-基本要求,
20、管理要求,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,人员录用,人员离岗,人员考核,安全意识和培训,外部访问人员,管理制度,制定和发布,评审和修改,岗位设置,人员配置,授权和审批,沟通和合作,审核和检查,系统定级,工程实施,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,测试验收,系统交付,系统备案,等级测评,服务商选择,环境管理,资产管理,介质管理,设备管理,监控和安全管理,网络安全管理,系统安全管理,恶意代码防范管理,密码管理,变更管理,备份与恢复管理,安全事件处理,应急预案管理,管理整改服务,等级保护技术设计要求:一个中心下的三重防护,安全操作系统 安
21、全数据库 服务器加固系统 主机入侵检测 防病毒系统 CA认证系统 漏洞扫描系统 桌面安全管理平台 安全加固服务 主机审计,防火墙/网闸 入侵检测 入侵防御 病毒网关 非法接入/外联 网站防护系统 UTM 抗拒绝服务攻击 网络审计,VPN 流量控制 设备加固,安全管理中心、安全审计中心(TSM/日志审计)、系统管理中心,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,组织与参与国内多个的试点案例 国信办河南济源电子政务等保试点 参与公安部13个省试点中的北京、山西、浙江、湖北、重庆五省的
22、试点工作 国内最典型的案例:通过三年规划,实施了十几个项目,基本建成符合等级保护制度的安全体系 参与多个等级项目的建设 国家统计局等级保护定级备案工作 国资委等级保护规划设计工作 五矿等级保护规划及评估服务 北京市农业局等级保护评估规划服务 北京市农村商业银行等级保护建设 安全服务具有丰富的经验 具有电信,银行,政府,能源等行业的多个成功安服项目案例 成为多个省级等级保护技术支持单位 湖北、四川、黑龙江、重庆、广州,组织并参与多个试点,天融信等级保护白皮书 天融信等级保护手册 天融信等级保护方案建设模版 天融信等保专栏,推出针对等级保护系列服务,推出系列符合等级保护要求的产品,安全管理类,检测
23、、防御、审计,网关类产品,推出系列符合等级保护要求的服务,等级评估咨询服务包,等级保护整改服务包,等级保护测评服务包,等级保护整体服务包,在推进等级保护工作中积累经验,议题,什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 天融信等级保护实力 销售工作步骤,销售和负责人必须清楚,当地主管机关是谁? 举例:武汉、上海、哈尔滨 哪些用户都做了定级? 定级了哪些信息系统? 信息系统相对分保,等保政策的目标范围要广、用户需求差异性要大、技术弹性较大、项目伸缩性大,这些特点反而有利于公司推动等级保护项目,能否通过等级保护测评? 一般来说
24、只能是基本通过,肯定有整改意见 天融信可以承诺协助用户通过测评 能否通过测评,与测评中心的关系有很大影响 能否通过等级保护的逐年检查? 逐年检查就是逐年测评 逐年检查为等级保护的总体建设单位带来持续的商机 怎样运作? 立项:等级保护建设项目 可申请的资金: 等级保护技术整改预算(产品为主,天融信应争取的) 等级保护管理整改预算(服务为主,天融信应争取的) 等级保护测评预算(测评中心挣的) 可分别单独招服务商、集成商、产品供应商,也可只招总集成商,提供一揽子的服务,客户普遍关心的问题,销售工作步骤,拜码头拜访当地网监部门 讲解天融信公司做等级保护的实力 了解各地等级保护备案单位名单 各备案单位备
25、案系统名单 拉关系-与测评中心的关系 找客户 召集客户的等级保护交流会议,宣传公司在等级保护方面的实力 拜访个体客户,了解备案情况 了解等级保护建设阶段 了解等级保护相关工作计划 决策 根据用户阶段,考虑以什么身份介入 服务商?整改集成商?产品供应商? 执行 树立典型案例(总部会直接支持) 参与用户整改工作 帮助用户完成等级保护建设及测评工作 最好是做总体集成商(服务、集成产品),技术应该做哪些支持?,总部(售前、方案部) 培训分支机构技术/销售 编制等级保护白皮书 编制等级保护销售工具箱 提供等级保护典型方案 直接支持地方一两个典型等级保护项目 等级保护整改部分实施-安全服务类 协助分支机构
26、开展行业等保研讨会议 分支机构技术 客户初步技术交流与方案 等级保护整改部分实施-产品集成类,总部可提供的支持,等级保护各类资料 等级保护培训PPT-销售版 等级保护培训PPT-案例版 等级保护培训PPT-技术版 等级保护宣传PPT-客户版 等级保护白皮书 等级保护典型解决方案 等级保护技术交流 等级保护行业会议支持 等级保护深层次技术交流 等级保护项目支持 典型项目全程支持-定级、评估、整改、测评 等级保护实施支持服务 等级保护其他支持 定期培训 分支机构咨询响应,总结,“一二三四”,1,2,3,4,1个政策:以公安部等级保护政策标准为主,2个目标:以2级、3级信息系统为主要目标,3个关系:主管部门、测评机构、客户,4类服务:等保评估服务、等保整改服务(管理)、等保测评支持服务、等保产品集成服务(含各类产品),请提问,