等级保护培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
抗抵赖(G3)
软件容错(A3) 资源控制(A3) 数据完整性(S3) 数据安全 数据保密性(S3) 安全备份(A3)
CA认证
配置与加固服务 配置与加固服务 网络与边界防护-VPN 网络与边界防护-VPN 数据冗灾备份
防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加 固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、 灾备、终端安全管理、信息安全管理平台(三权分立)
各级别的概念
一级自主建设,基本没多少内容,可能会有少量的产品
二级指导保护,比如市级信息系统,非核心业务系统都是此 级别,此类系统需要备案,测评,等保建设以产品为主,有 少量的安全服务。重点是产品 三级监督保护,比如省级信息系统,核心业务系统等大都是 此级别,此类项目需要备案,测评,并且每年检查一次,建 设内容包括产品集成、安全服务,容易形成长期销售机会, 应重点跟踪!重点是集成 四级强制保护,比如中央核心系统,重要行业核心业务系统, 建设内容很多,每年都要检查,容易形成长期销售机会,但 是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪 (最好分期建设,先作容易的,后做难的)
目标客户怎么来找?
2007年底到2008年初,各地已经完成了定级备案工作 备案情况:2级 大约32000多个,三级 25000个,四级 200多个;-《摘自郭处长在 信息安全高峰论坛上的讲话》 备案情况:属地化管理,各地在各自公安的网监大队备案留底 等级保护主导单位:公安部 我们了解到的情况 电监会、银监会、证监会、保监会等国务院监督部门在开始着手组织编写行业等 级保护建设标准; 外交部、海关、发改委、交通局、新闻出版署等单位开始着手组织等级保护试点 工作;
网络设备防护(G2)
身份鉴别(S2) 访问控制(S2)
配置与加固服务-网络设备加固
配置与加固服务-服务器加固、数据库加固;主机 安全防护-服务器核心加固 配置与加固服务-服务器加固 监控与审计防护-主机审计、日志审计系统 主机安全防护-漏洞扫描系统、服务器核心防护、 主机入侵检测 主机安全防护-主机防病毒 配置与加固服务-服务器加固
CPTS3
CPTS3
二级系统整体 服务
等级保护产品包1/2-三级(参考)
基本要求 技术要求控制点 结构安全(G3) 访问控制(G3) 安全审计(G3) 网络安全 边界完整性检查(S3) 入侵防范(G3) 防护措施 配置与加固服务-网络设备加固 网络与边界防护-防火墙 监控与审计防护-网络安全审计、日志审计系统 主机安全防护-终端安全管理(非法外联与非法接 入) 网络与边界防护-入侵检测系统、入侵防护系统
系统定级 系统识别描述 信息系统划分 安全等级确定 安全规划设计 安全需求分析 安全总体设计 安全建设规划 安全实施 安全运维 系统终止 信息转移、暂存 或清除 设备迁移或废弃 存储介质的清除 或销毁
安全方案详细设计
等级保护管理实施 等级保护技术实施 等级保护安全测评
运行管理和控制
变更管理和控制 安全状态监控 安全事件处置和应急预案 安全检查和持续改进 等级保护安全测评
监控与审计防护-主机审计、日志审计系统
配置与加固服务-服务器加固 主机安全防护-漏洞扫描系统、服务器核心防护、 主机入侵检测 主机安全防护-主机防病毒 配置与加固服务-服务器加固
等级保护产品包2/2-三级(参考)
基本要求 技术要求控制点 身份鉴别(S3) 访问控制(S3) 安全审计(G3) 剩余信息保护(S3) 应用安全 通信完整性(S3) 通信保密性(S3) 统一认证平台 统一认证平台 监控与审计防护-网络安全审计 配置与加固服务-WEB安全加固、MAIL安全加固 网络与边界防护-VPN、CA认证 网络与边界防护-VPN、CA认证 防护措施
主机安全
安全审计(G2) 入侵防范(G2) 恶意代码防范(G2) 资源控制(A2)
等级保护产品包2/2-二级(参考)
基本要求 技术要求控制点 身份鉴别(S2) 统一认证平台 防护措施
等级保护产品包1/2-二级(参考)
基本要求 技术要求控制点 结构安全(G2) 防护措施 配置与加固服务-网络设备加固
访问控制(G2)
安全审计(G2) 网络安全 边界完整性检查(S2) 入侵防范(G2)
网络与边界防护-防火墙
监控与审计防护-日志审计系统 主机安全防护-终端安全管理(非法外联与非法接 入) 网络与边界防护-入侵检测系统、入侵防护系统
负责对泄密事件进行查处 密码委 负责等保中的密码进行分级管理,监督指导密码配备、使用和管理
议题
什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 金普威等级保护实力 销售工作步骤
等级保护的建设过程
等级保护实施过程的主要活动
特点:与业务密切相关的
常见的四级系统举例(仅做参考)
国家电力调度系统(EMS)
中国人民银行官方网站
财政部财政支付系统 交通部应急指挥调度系统 银行生产系统
特点:重要部门与核心业务密切相关的
议题
什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 金普威等级保护实力 销售工作步骤
等级保护相关管理机构与分工
等保工作办公室 负责等保工作的落实情况进行督办和检查 负责对辖区等保工作组织、协调和指导 公安局 负责除辖区电子政务和涉密以外信息系统的等保监督、指导和检查工作
工信局
负责辖区电子政务等保工作的监督、指导 保密局
负责涉密系统的等保工作监督、指导
5级
5级
信 息 系 统 定 级
4级 3级
重点关注 2、3级 2级
1级
安全要 求
安 全 措 施 等 级 指 标
成本
4级
调 整 定 制
3级 2级 1级
安 全 保 护 措 施
信息系统安全保护等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组 织的合法权益造成损害,但不损害国家安全、社会秩序和 公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组 织的合法权益产生严重损害,或者对社会秩序和公共利益 造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益 造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益 造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严 重损害。
恶意代码防范(G3)
网络设备防护(G3) 身份鉴别(S3) 访问控制(S3)
Байду номын сангаас
网络与边界防护-防病毒网关
配置与加固服务-网络设备加固 配置与加固服务-服务器加固、数据库加固;主机 安全防护-服务器核心加固 配置与加固服务-服务器加固
安全审计(G3)
主机安全 剩余信息保护(S3) 入侵防范(G3) 恶意代码防范(G3) 资源控制(A3)
CPCS3
三级系统测评 服务
每个三 级系统
21-50台设备 50台以上设备
CPCS2
二级系统测评 服务
按照国家等级保护二级测评标准进行文档审核与 现场测评,出具测评报告
1-20台设备 每个二 级系统 21-50台设备 50台以上设备
¨等级保护整体服务包 三级系统整体 服务 提供等级保护三级整体服务,包含三级评估服务, 三级管理整改服务,设备安全加固服务和三级测 每个三 评服务,并最终出具测评报告。客户另外进行产 级系统 品采购和集成后,即可以完成等级保护全过程。 提供等级保护二级整体服务,包含二级评估服务, 二级管理整改服务,设备安全加固服务和二级测 每个二 评服务,并最终出具测评报告。客户另外进行产 级系统 品采购和集成后,即可以完成等级保护全过程。 1-20台设备 21-50台设备 50台以上设备 1-20台设备 21-50台设备 50台以上设备 XXXX XXXX XXXX XXXX XXXX XXXX
等级保护安全培训
2014年6月
议题
什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策
等级保护的含义
官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及 公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统 分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管 理,对信息系统中发生的信息安全事件分等级响应、处置。 一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不 足,也不能过渡保护。 要点:平衡安全与成本
公安部三所着手在各地建设测评分中心,为等级保护测评工作做准备;
公安部一所牵头,申请了863课题,研究等级保护的技术设计要求,并组织一些单 位开发等级保护建设模型 北京、黑龙江、上海、武汉、广州、成都、浙江等发达城市,已开展了等级保护 技术支持单位的评审工作 今年是等级保护的启动年,也是为我们争取时间的关键一年。
CPAS3
CPAS2
21-50台设备
50台以上设备
XXXX
XXXX
¨等级保护整改服务包 根据三级系统要求,编制符合等级保护要求的安 全制度文档,涵盖安全组织、安全建设和安全运 维等方面的各种制度、流程、表格、技术标准和 规范等;进行等级测评前的辅导与培训,配合准 备和整理测评所需的文档资料,帮助客户熟悉和 更好地准备等级测评。 根据二级系统要求,编制符合等级保护要求的安 全制度文档,涵盖安全组织、安全建设和安全运 维等方面的各种制度、流程、表格、技术标准和 规范等;进行等级测评前的辅导与培训,配合准 备和整理测评所需的文档资料,帮助客户熟悉和 更好地准备等级测评。 根据系统安全等级的指标和测评标准,对主机、 网络设备、数据库、安全设备等制定加固方案, 通过打补丁、修改安全配置、增加安全机制等方 法,合理加强设备的安全性,以满足等级要求
实行等级保护的目的
遵循客观规律,信息安全的等级是客观存在的
有利于突出重点,加强安全建设和管理 有利于控制安全的成本
用户进行等保建设的动机?
国家标准
政绩工程 保障业务 申请项目
对我们的益处?
等保建设扩大了需求
深入挖掘用户需求
提升单位专业形象
等级保护的实现原理
安全等级
风
险
5级 4级 3级 2级 1级
议题
什么是等级保护? 谁是等级保护的目标客户? 谁主管等级保护事宜? 等级保护项目我们能做什么? 等级保护相关标准、政策 金普威等级保护实力 销售工作步骤
等级保护相关单位关系
相关单位
主管部门
项目实施流程
定级 评估
标准单位 技术支撑(测评)
服务
规划
方案
整改
服务商和集成商 产品厂商 客户 2+3X 集成 测评
CPPS3
三级系统管理 整改服务
每个三 级系统
有特殊要求价格 面议
XXXX
CPPS2
二级系统管理 整改服务
每个二 级系统
有特殊要求价格 面议
XXXX
CPHS1
设备安全加固 服务
每台设 备
每台设备
XXXX
等级保护服务包2/2(仅作参考)
¨等级保护测评服务 按照国家等级保护三级测评标准进行文档审核与 现场测评,出具测评报告 1-20台设备 XXXX XXXX XXXX XXXX XXXX XXXX
下一步等级保护工作开展的重点
等级保护监督检查
定级咨询服务
等级评估服务
管理整改服务 测评支持服务 技术整改服务 安全加固服务
安全运维服务
等级保护服务包1/2(仅作参考)
¨等级评估咨询服务包
三级系统等级 评估咨询 服务 二级系统等级 评估咨询 服务 按照国家等级保护三级标准进行评估,出具等级 评估报告,并制定建设整改解决方案 1-20台设备 每个三 级系统 21-50台设备 50台以上设备 按照国家等级保护二级标准进行评估,出具等级 评估报告,并制定建设整改解决方案 1-20台设备 每个二 级系统 XXXX XXXX XXXX XXXX
常见的二级系统举例(仅做参考)
地市政府办公自动化系统(内部使用的)
地市政府政务公开网站(外部信息发布)
地市政府间协同办公系统 企业电子商务网站 银行网站
特点:与核心业务无关
常见的三级系统举例(仅做参考)
省政府办公自动化系统(内部使用的)
省政府政务公开系统(交互式)
省政府公文交换系统 企业ERP系统 银行生产网