1、,构建安全能力 提升业务价值,等级保护交流,TOPSEC,一、等保流程介绍,等级保护介绍,等级保护是对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化的国家层面的信息安全制度。进而牵动经济发展,提高综合国力。针对等级保护,国家陆续出台了一系列的标准、制度,使其作为国家层面的信息安全保障基本制度在全社会广泛执行。,信息安全等级保护政策体系,系统定级,安全建设整改,等
2、级测评,安全自查与监督检查,系统备案,信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。定级工作流程:摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,等级保护实施过程系统定级,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,1、信息系统备案第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写信息系统安全等级保护备案表。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向
3、北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。2、受理备案与审核公安机关对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的,通知备案单位重新审核确定。3、备案管理将备案信息系统录入重要信息系统安全管理系统进行管理。,等级保护实施过程系统备案,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,范围:已备案的第二级(含)以上信息系统纳入安全建设整改的范围。尚未开展定级备案的
4、信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。新建系统要同步开展安全建设工作。步骤:第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。,等级保护实施过程建设整改,系统定级,安全建设整改,等级测评,安全自
5、查与监督检查,系统备案,信息系统安全管理基本要求,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,信息系统安全技术基本要求,等级保护二级、三级系统主要控制措施对比,等级保护二级、三级系统主要控制措施对比,等级保护二级和三级系统涉及主要安全产品对比,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,信息系统安全建设整改完成后要进行等级测评,在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做出预算。在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评;在省(区、市)、地市级公安机关
6、备案的信息系统,备案单位应选择本省(区、市)信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。目前国家级7家,北京市级10家。测评时机:建设整改后开展等级测评,检验整改效果。测评频率:第三级以上定期;第二级参照。测评费用:参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。测评目的一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应等级的安全保护能力。,等级保护实施过程等级测评,系统定级,安全建设整改,等级测评,安全
7、自查与监督检查,系统备案,备案单位应定期开展自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。行业主管部门定期组织对本行业、本部门等级保护工作开展情况进行检查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的。 第三级、第四级信息系统,由受理备案的公安机关进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。公安机关监督检查内容包括:等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息安全设施建设情况和信息安全整改情况运营、使用单位信息安全管理制度建立和措施落
8、实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作情况运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况,等级保护实施过程安全自查与监督检查,基于等级保护生命周期的安全服务,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,定级咨询服务,安全规划与整改方案设计服务,整改集成实施服务,协助测评服务,系统调查系统定级定级报告专家评审协助备案,安全需求分析安全策略设计解决方案设计安全建设规划,技术整改管理整改安全加固安全培训,测评准备协助测评,风险评估服务差距评估服务,测评准备方案编制现场评估报告编制,安全巡检应急响应安全通告售后服务,安全运维服务,等级保护
9、体系框架设计思路,等级保护解决方案,安全服务确保技术与管理有效落地、执行和改进,安全域边界保护,等级保护安全服务,安全事件管理,网络准入安全管理,桌面安全管理,安全区域细分细化区域边界访问控制策略安全边界安全监控核心数据区域安全审计,互联网出口管理网络准入认证与授权控制移动办公安全,安全补丁收集、分发系统弱点自动发现、分析能力终端合规行为管理,事件监控能力事件快速响应能力周期性安全巡检完善安全管理制度,目 录,二、等保实力介绍,标准参与者,参与多项等级保护国家标准的起草实施指南,定级指南,基本要求国信办25号文件电子政务等级保护实施指南信产部电信网和互联网安全等级保护实施指南系列标准,试点主力
10、军,组织与参与国内多个的试点案例国信办河南济源电子政务等保试点参与公安部13个省试点中的北京、山西、浙江、湖北、重庆五省的试点工作国内最典型的案例:通过三年规划,实施了十几个项目,基本建成符合等级保护制度的安全体系参与多个等级保护试点工程项目北京市农业局等级保护评估规划服务北京市农村商业银行等级保护建设山西省新闻网信息安全等级保护建设武汉物价局信息安全等级保护建设温州电子政务信息安全等级保护建设重庆轨道交通安全等级保护建设安全服务具有丰富的经验具有电信,银行,政府,能源等行业的多个成功安服项目案例成为多个省级等级保护技术支持单位湖北、四川、黑龙江、重庆、广州,物理安全,网络安全,主机安全,应用
11、安全,数据安全,身份鉴别(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),剩余信息保护(S),物理位置的选择(G),物理访问控制(G),防盗窃和破坏(G),防雷/火/水(G),温湿度控制(G),电力供应(A),数据完整性(S),数据保密性(S),备份与恢复(A),防静电(G),电磁防护(S),入侵防范(G),资源控制(A),恶意代码防范(G),结构安全(G),访问控制(G),安全审计(G),边界完整性检查(S),入侵防范(G),恶意代码防范(G),网络设备防护(G),身份鉴别(S),剩余信息保护(S),安全标记(S),访问控制(S),可信路径(S),安全审计(G),通信完
12、整性(S),通信保密性(S),抗抵赖(G),软件容错(A),资源控制(A),技术要求,防火墙UTM流量控制网络审计日志审计终端安全管理IDS/IPS防病毒网关堡垒机安全加固服务网管系统,数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统网管系统病毒软件,PKI/CAWeb防火墙Web防篡改VPN安全加固服务,VPN数据安全产品数据存储、备份,提供等保落地安全产品, 天融信安全服务团队由一批经验丰富,富有责任心和使命感的专业技术人员组成,多人拥有TCSP、CISP、CISSP、CISA、BS7799、ITIL、计算机信息系统集成项目经理、PMP认证及能力。 天融信安全服务团队具有国内最全面的安全服务资质,包括国家信息安全认证服务资质二级证书、质量管理体系(ISO9000)认证证书、涉及国家秘密的计算机系统集成资质证书、国家信息安全认证授权培训机构证书等。,安全服务保障,资质齐全 值得信赖,谢谢!,TOPSEC,
