等级保护宣讲

,等级保护交流,汇报人：,CONTENTS,1,3,2,4,背景知识,等级保护流程,等级保护政策标准,等级保护解决方案,PPT模板下载：,信息安全无处不在,1,背景知识,何谓信息安全？,信息安全，采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,1,背景知识,我们时刻都面临来自内外部的威胁,1,背景知识,我们怎么入手信息安全？,信息安全的概念太宽泛，以至于我们在具体项目中无从下手？切入点：低端手法：和项目主体业务系统打包高端手法：信息安全集成（等级保护）独立运作为什么选择等级保护？1、国家政策2、安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程3、信息安全是一把手工程，信息安全是全员工程，信息安全工作是三分技术、七分管理。,1,背景知识,等级保护的含义,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行分等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,1,背景知识,等级保护是政府推动信息安全建设的唯一选择,利用等级保护开展安全工作是国家的唯一选择,政策支撑等级保护制度是所有安全中发文次数最多最权威的制度，22年历史；等级保护是唯一建立系列标准覆盖实施落地全流程，并向云移工扩展的安全管理要求。,执行队伍建立由中央、省、市、县四级的网络警察队伍，警察的执行力度在所有国家机关中最强。全国133家测评中心的技术支撑单位；,1,背景知识,用户开展等级保护建设的意义,安全体系,责任分担,以等级保护为标准开展安全建设，让安全建设更加体系化，可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设，再也不是头痛医头脚痛医脚，对本单位的安全建设有整体的规划和思路。,安全建设体系化,责任更清晰,完成等保测评意味着公安机关认可你的安全现状，一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求，一旦发生安全事件要自己承担相关责任。,1,背景知识,开展等级保护建设对我们的益处,以等级保护为标准开展安全建设，涉及物理、网络、主机、应用等纬度，容易运作大的项目机会，带来持续项目产出。,等保建设扩大了需求,从整网安全角度出发，帮助用户规划网络安全，通过与客户深入沟通，匹配业务建设，增加客户黏性。,深入挖掘用户需求,提升单位专业形象,通过等级保护体系化建设项目帮助合作伙伴树立专业的安全形象。,第一阶段：试点阶段主要是：信息化较为发达的部委的重要信息系统,第二阶段：初步取得成绩基本完成大部分国家部委、重要省厅单位的等保建设。全国范围内锤炼出一支能测评能建设的队伍。,第三阶段：省厅单位覆盖，并由政府扩展至医疗、教育和国企、金融、运营商,第四阶段：随着国家整体安全规划，政府行业将覆盖地级市和县级单位。这些等级保护建设将以二级为主。,第五阶段：由于公安的强势管理和重视安全的企业的自我觉醒，民企发现，做安全，除等保外没有别的选择。,部委,省厅单位,三甲医院、高校、央企省属国企、大金融、运营商,地级市委办局、县委办局、普教普通医院、市属国企、其他事业单位,民营企业包括：互联网、电子商务、小金融、物流、具有品牌影响力的公司和其他规模公司,目前，全国范围内正在处于第三阶段，落后地区第二阶段还只完成部分，发达地区已经尝试从第三阶段迈入第四第五阶段。,四五阶段可能并行,1,背景知识,等级保护的发展趋势,PPT模板下载：,2,政策体系,2,标准体系,2,标准体系,基础类计算机信息系统安全保护等级划分准则GB17859-1999信息系统安全等级保护实施指南GB/T25058-2010应用类定级：信息系统安全保护等级定级指南GB/T22240-2008建设：信息系统安全等级保护基本要求GB/T22239-2008信息系统通用安全技术要求GB/T20271-2006信息系统等级保护安全设计技术要求测评：信息系统安全等级保护测评要求GB/T28448-2012信息系统安全等级保护测评过程指南GB/T28449-2012管理：信息系统安全管理要求GB/T20269-2006信息系统安全工程管理要求GB/T20282-2006,PPT模板下载：,等级保护的思路,等级保护思想的基础是分级管理思想。即通过分级管理对不同安全需求的系统进行安全保护，从而实现对整个信息系统的适当的安全保护和管理，避免对系统保护过渡或者保护不足。不是安全产品的堆积。防火墙+IDS+防病毒+扫描器不等于等级保护等级保护能有效阻止外部攻击的同时，更能有效防范内部的非法行为。等级保护的核心是为受管理的系统明确定义所需最低的安全保护能力。这个能力可以认为是一个最基本的安全基线。,3,等保工作,3,等保工作,等保工作,新系统上线、网络架构调整时，都要再重新做等保规划建设；等保建设是持续性的，每年测评只要有问题，就要做整改。,等级保护建设中的角色,公安机关备案的测评机构,主要承担系统测评的工作，只有在当地公安机关备案的测评机构才可以开展测评工作。,集成商、安全厂商,根据咨询服务单位提供的整改方案，要采购相应的安全设备和服务，这些内容由集成商和安全厂商提供。,公安机关网安部门,主要承担监督检查的工作，同时负责管理测评机构。各单位的系统定级备案要到公安机关网安部门进行。,提供咨询服务的单位,对于用户单位完成定级备案、差距评估和整改方案编写，需要有一家单位提供咨询和服务。免费&收费。,测评机构,集成实施,咨询服务,公安机关,3,等保工作,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。定级工作流程：摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,3,等保工作,3,等保工作,等级保护的定级要素,要素一：受侵害的客体公民、法人和其他组织的合法权益社会秩序和公共利益国家安全要素二：对客体的侵害程度一般损害严重损害特别严重损害,3,等保工作,等级保护的等级划分,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,3,等保工作,等级保护的定级,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,1、信息系统备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写信息系统安全等级保护备案表。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。2、受理备案与审核公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定。3、备案管理将备案信息系统录入重要信息系统安全管理系统进行管理。,3,实施过程,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。新建系统要同步开展安全建设工作。步骤：第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。,3,等保工作,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,物理位置选择,物理访问控制,防盗窃和防破坏,防雷击、防火、防水和防潮、防静电、温湿度控制,电力供应,电磁防护,不做硬性要求,3,等保工作,物理位置的选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中的活动,电子门禁,防盗窃和防破坏,存放位置、标记标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,自动消防系统,区域隔离措施,3,等保工作,物理安全的整改要点（10个）,防静电,关键设备,主要设备,防静电地板,电力供应,稳定电压、短期供应,主要设备,冗余/并行线路,备用供电系统,电磁防护,线缆隔离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,3,等保工作,物理安全的整改要点（10个）,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备（用户、网段）,应用层协议过滤,拨号访问限制,会话终止,子网/网段控制,核心网络带宽,整体网络带宽,重要网段部署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,防止地址欺骗,防火墙（网安）,流量控制,防火墙,防火墙,流控/终端管理,3,等保工作,网络安全的整改要点（7个）,安全审计,日志记录,审计报表,边界完整性检查,内部的非法联出、外部的非法联入,非授权设备私自外联,审计记录的保护,定位及阻断,入侵防范,检测常见攻击,记录、报警,恶意代码防范,网络边界处防范,网络设备防护,基本的登录鉴别,组合鉴别技术,特权用户的权限分离,网络审计/上网行为管理,终端安全,入侵检测/入侵防御,防病毒网关,堡垒主机,3,等保工作,网络安全的整改要点（7个）,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,身份鉴别,基本的身份鉴别,访问控制,安全策略,管理用户的权限分离,特权用户的权限分离,安全审计,服务器基本运行情况审计,审计报表,剩余信息保护,空间释放及信息清除,组合鉴别技术,敏感标记的设置及操作,审计记录的保护,重要客户端的审计,防火墙,终端安全/数据库审计,3,等保工作,主机安全的整改要点（7个）,入侵防范,最小安装原则,重要服务器：检测、记录、报警,恶意代码防范,主机与网络的防范产品不同,资源控制,监视重要服务器,最小服务水平的检测及报警,升级服务器,重要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录的限制,终端安全,杀毒软件,终端安全,3,等保工作,主机安全的整改要点（7个）,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,身份鉴别,基本的身份鉴别,访问控制,安全策略,最小授权原则,安全审计,运行情况审计（用户级）,审计报表,剩余信息保护,空间释放及信息清除,组合鉴别技术,敏感标记的设置及操作,审计过程的保护,通信完整性,校验码技术,密码技术,审计记录的保护,抗抵赖,防火墙,日志审计,VPN,3,等保工作,应用安全的整改要点（9个）,软件容错,自动保护功能,资源控制,资源分配限制、资源分配优先级,最小服务水平的检测及报警,数据有效性检验、部分运行保护,对用户会话数及系统最大并发会话数的限制,通信保密性,初始化验证,整个报文及会话过程加密,敏感信息加密,VPN,网页防篡改,防火墙,3,等保工作,应用安全的整改要点（9个）,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,数据完整性,鉴别数据传输的完整性,备份和恢复,重要数据的备份,各类数据传输及存储,异地备份,网络冗余、硬件冗余,本地完全备份,硬件冗余,检测和恢复,数据保密性,鉴别数据存储的保密性,各类数据的传输及存储,每天1次,备份介质场外存放,VPN,VPN,存储备份一体机,3,等保工作,数据安全的整改要点（3个）,数据基础平台,网络安全防火墙应用流量管理（3级以上）网络入侵检测和防御病毒过滤网关（3级以上）终端安全管理网络审计网闸（仅4级）电子令牌+Radius或CA认证（3级以上，对网络管理员）,主机安全电子令牌+Radius或CA认证（3级以上，对系统管理员）主机加固系统（3级以上）终端安全管理集中日志审计数据库审计主机入侵检测（3级以上）主机版防病毒软件,3,等保工作,安全技术措施实现,应用安全CA认证（3级以上）网络审计集中日志审计IPSEC/SSLVPN,数据安全IPSEC/SSLVPN数据存储加密（3级以上）设备冗余异地灾备（仅4级）数据备份和恢复（3级以上）运维管理安全管理系统（3级以上)网络漏洞扫描IT管理系统（3级以上)网络管理主机管理应用监控,3,等保工作,安全技术措施实现,物理安全,网络安全,主机安全,应用安全,数据安全,身份鉴别（S）,安全标记（S）,访问控制（S）,可信路径（S）,安全审计（G）,剩余信息保护（S）,物理位置的选择（G）,物理访问控制（G）,防盗窃和破坏（G）,防雷/火/水（G）,温湿度控制（G）,电力供应（A）,数据完整性（S）,数据保密性（S）,备份与恢复（A）,防静电（G）,电磁防护（S）,入侵防范（G）,资源控制（A）,恶意代码防范（G）,结构安全（G）,访问控制（G）,安全审计（G）,边界完整性检查（S）,入侵防范（G）,恶意代码防范（G）,网络设备防护（G）,身份鉴别（S）,剩余信息保护（S）,安全标记（S）,访问控制（S）,可信路径（S）,安全审计（G）,通信完整性（S）,通信保密性（S）,抗抵赖（G）,软件容错（A）,资源控制（A）,技术要求,防火墙UTM流量控制网络审计日志审计终端安全管理IDS/IPS防病毒网关堡垒机安全加固服务网管系统,数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统安全加固服务网管系统病毒软件,PKI/CAWeb防火墙Web防篡改VPN安全加固服务,VPN数据安全产品数据存储、备份,3,等保工作,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,3,等保工作,环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理,信息系统,3,等保工作,管理要求方面的整改,监管中心和安全管理中心,对安全设备统一管理,设备管理,监控设备维护,安全设备策略管理,明确维护管理要求，维护管理责任,网络安全管理,应对漏洞扫描,定期对网络系统进行漏洞扫描,综合安全运维管理平台,漏洞扫描,堡垒主机,3,等保工作,管理要求方面的整改要点,网络设备管理平台,综合网络运维管理平台,安全风险预警管理平台,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案单位应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。测评时机：建设整改后开展等级测评，检验整改效果。测评频率：第三级以上定期；第二级参照。测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。测评目的一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。,3,实施过程,系统定级,安全建设整改,等级测评,安全自查与监督检查,系统备案,备案单位应定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。行业主管部门定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。第三级、第四级信息系统，由受理备案的公安机关进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。公安机关监督检查内容包括：等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息安全设施建设情况和信息安全整改情况运营、使用单位信息安全管理制度建立和措施落实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作情况运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况,3,实施过程,PPT模板下载：,客客户为什么要做等保？,定级备案后，要求三级系统每年进行一次系统测评。,整改为了通过测评；整改是分步骤逐步完成的，一般每年进行一次；新系统上线、网络架构调整时，都要再重新做等保规划建设；等保建设是持续性的，每年测评只要有问题，就要做整改。,不通过系统测评，一旦发生安全事件，用户单位将承担主要责任，网监部门会直接进行比较严厉的处罚。,定级备案,安全整改,系统测评,上有政策要求，不做不行；同行都申请资金，不申请吃亏；免责，做了等保出安全事件是天灾（没有绝对的安全），但不做等保一旦出现安全事件就是人祸，必须自己承担相关责任。,4,解决方案,定级备案,如何针对各类信息系统分解出定级对象如何对各个系统进行合理的定级不了解定级工作流程、难点和工作量缺少国家及部下发文件的理解缺少专业技术人员的指导不清楚提交哪些文档,客户面临的问题,分析国家、各种行业等级保护相关政策精神及要求分析管理组织架构、业务要求、信息系统等特点，确定分析定级对象基于定级指南协助系统负责人确定信息系统的等级，由主管部门的，应当经主管部门的审核批准，编写定级报告当地同级公安机关提请备案，填写备案登记表，提交相关资料,定级与备案,定级咨询&备案服务,4,解决方案,差距评估,等级保护差距评估以信息系统为单位以基本要求为依据业务信息与系统服务关联分析,根据系统所确定的安全等级从基本要求中选择相应等级的基本安全需求,根据系统所面临的威胁特点调整安全要求，去掉不适用项,基本要求中某些地方的安全措施不能满足本单位信息系统的保护要求；没有提供所需要的保护措施的保护措施,对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项,1、确定信息系统的基本安全需求,2、选择调整基本安全需求,3、明确特殊安全需求,4、根据各项安全要求进行逐项分析,确定不符合安全项,现状梳理,明确安全建设需求,1,2,3,4,解决方案,差距评估的方法,人工检查,策略配置核查；版本补丁检查；安全基线检查；木马检查；,漏洞扫描,主机漏洞扫描；应用漏洞扫描；源代码扫描；云平台扫描；,渗透测试,黑白结合安全漏洞专家定制工具多,网络架构分析,网络专家支持丰富经验支持,安全访谈,精心设计的问卷访谈内容覆盖面宽丰富的经验支持,管理制度评估,管理制度专家参与管理标准制度流程模板,4,解决方案,安全整改,安全策略配置,20%,35%,30%,15%,针对用户单位实际情况和等级保护要求，制定相关设备的安全策略要求，并合理配置。,安全加固,针对差距评估中自身安全策略配置不当和版本补丁问题进行处理，包括调整自身安全策略、升级版本和打补丁。,安全管理制度整理,根据差距评估的结果，针对用户单位目前缺少的安全管理制度进行补充，并编写过程模板。,安全设备采购部署,根据设计方案内容，协助用户单位完成安全设备的采购和部署。,阶段成果：安全管理制度汇编、安全加固报告,4,解决方案,系统测评,国家测评机构有哪些？测评流程是什么？评测人员要对哪些方面进行测评？针对测评，应提前准备哪些文档资料？现场测评过程，需要哪些配合？,客户面临的问题,分析最新