经典等级保护方案介绍(精)

1、信息系统安全等级保护方案安全解决方案业务部公司概况1、业务概况：安全及系统管理本部作为系统科技战略本部的核心业务单.位, 承载着神州数码在信息安全和应用交付领域业务发展的重要战略职责专注于IT 应用时代的安全管理和系统管理。信息安全1 .等级保护定级备案2 .等级保护差距分析3.等级保护整改设计4.等级保护整改实施5 .等级保护测评咨询苫全运维.,1.云IT服务平台3.云计售安全管理4.云计算环境管理5.云计算虚执交付1.信息安全方案与集成2.安全整体皆询、服务3.安全产品全线分传4.安全平台应用交付1.安全运维平台2.安全运维队伍3.安全运谯流程4.安全运维制度5.安全运维报告系统科技安全管

2、理本部公司概况2、专业的服务能力:60名高级工程师,包括CISP安全工程师、CCIE网络 专家、F5认证安全工程师、BlueCoat认证安全工程师、RSA认证工程师、 Checkpoint认证安全匚程师以及来自厂商的安全费讯专家，提供从产品交付 到解次方案定制，从应用集成到整体咨询的全方位服务o3、丰富的客户实践：拥有在金融（银行、基金、证券、保险、期货）、运 营商（电信、移动、联通、广电、设备商）、政府（党政机关、公检法司、 匚商财税、国防军工、海关、社保、国土资源）、公共事业（电力、石油石 化、医疗、教育、交通、邮政）、高端制造业（汽车、钢铁、冶炼、机械电 子、食品、烟草等）、传媒及互联网

3、（广播、电视、纸媒、电子商务）等丰 富的成功客户经验。我们在对每个用户系统深入分析和理解的基础上，凭 借出色的行业经验和解决方案能力，成为众多大中型客户的首选安全解决方 案提供商。4、遍布全国的服务网络：直接覆盖全国15个重点一、二级城市，同时通过 战略合作伙伴全面覆盖全国20多个三、四级城市。本地化销售和技术团队在 深入了解客户需求的基础上，更快更好的为客户提供专业化服务。Q等级保护背景与必要性等级保护安全等级划分 伤 等级保护安全建设模型 等级保护整改方案设计SSP等保安全服务平台 等级保护安全检查与整改目录目录0等级保护背景与必要性等级保护安全等级划分 等级保护安全建设模型 等级保护整改

4、方案设计SSP等保安全服务平台 等级保护安全检查与整改等级保护背景与必要性全球背景全球网络安全形势严峻，信息安全问题不仅仅是组织自身的事情,也 涉及到国家和社会安全。计算机病毒、黑客攻击、信息泄雷、软硬件故 障等信息安全问题给组织单位造成了极大的风险。互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等 级管理标准之外，美国、英国、德国等欧美发达国家纷纷制定网络安全 国家战略，参与争夺全球网络空间主导权。美国2009年6月，美军成立网络司令部；日本防卫省在2011年度建立 一支专门的“网络空间防卫队”；韩国在2009年宣布组建网络司令夸口 ”,2011年韩国国防部提升为独立部队。等级

5、保护背景与必要性国内背景国际信息安全环境日趋复杂，西方加紧对我国的网络遏制，并加快利用网络 进行意识形态渗透;另一方面，重要信息系统、工业控制系统的安全风险曰益 突出，信息安全网络监管的难度和复杂性持续加大。网络安全成为关系经济平稳运行和安全的重要因素，国民经济对信息网络和 系统的依赖性增强，我国重要信息系统和工业控制系统多使用国外的技术和产 品，这些技术和产品的漏洞不可控，使网络和系统更易受到攻击，致使敏感信 息泄露、系统停运等重大安全事件多发，安全状况堪忧。信息安全领域存在多头管理现象，相关职能部门涉及多个部委和管理机构， 部门之间职责界定不清晰，管理权限存在交叉，决策权分散，各个相关管理

6、机 构之间缺乏充分的沟通和协调，部门间作用发挥不均。等级保护背景与必要性等保发展状况2007年，四部委联合发布的关于开展全国重要信息系统安全等级保 护定级工作的通知（公信安2007 861号）2008年，国家发展和改革委员会、中华人民共和国公安部、国家保密 局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 （发改高技2008 2071号）2009年，四部委联合发布关于推动信息安全等级保护测评体系建设 和开展等级测评工作的通知，要求201阵底前完成测评体系建设,完 成30%第三级（含）以上信息系统的测评工作,2012年底之前完成第三 级（含）以上信息系统的安全建设整改工作。等级保护背

7、景与必要性国家政策、标准2005年公安部标准基本要求定级指南实施指南测评准则浙江北京 北京2003年9月中办国办颁发美丁加强信息安 个保障I：作的适见 中沙发（200327，2004年11月四部委会签关于信息安全等 级保护工作的实施 意见I* 通字2004）66号2005年9月国信办文件（关于转发电r 政务信息安全等级 保护实施指南的 通知国侑办2004J25号2007年,公安部、 保密局、密码管 理H、国信办联 令制定r信息 安全等级保护管 理办法，标志 右我国等级保护 制度的初步形成国家级政策文件国家级技术标准国家级政策文件地方政策文件等级保护背景与必要性国家政策、标准J信息系统定级：定级

8、指南GB22240.2008济作系统数据昨网络PKI等级保护实施：实施指南信安字200710，信息系统安全建设：基本要求GB/T22239.2008通用安全技术要求 GBrT20271-2006安全技术设计要求GB/T24856-2009等10个要求和规范等级测评：测评要求报批稿/测评过程要求报批稿/ GZVT713-2007技术要求 评估准则- 测试方法 配置指南网关股务器入侵检测防火增应用类路由器产品类 等保安全 其他类建设整改交换机他产品计算机信息系统安全保护等级划分准则风险评估：信息安全 风险坪估规范 GB/T20984-2007事件管理：信息安全 事件管理指南GB/Z20985-20

9、07信息安全事件分类分 级指南GB/Z20986- 2007信息系统灾难恢规 范GB/T20988-2007省市/行业进展I教育部办公厅关于开展信息系统安全等级保 护工作的通知（教办厅函2009 80号）2010年6月，民政部选动民政部信息系统等 级保护柩体规划建设方案2011年6月，国家广电总局科技司印发了关 于开展广播电视相关信息系统安全等级保护定 级L作的通知出台广播电视相关信息系统 安全等级保护定级指南和广播电视相关信 息系统安全等级保护基本要求行业标准2007年，发布税务信息系统安全等级保护 定级工作指南2010年8月25日,国家税总在 上海组织不开了税务系统信息安全等级保护 上海试

10、点测评阶段总结会。国家电网公司2011不免成10多个网省的等级 保护整改任务等级保护背景与必要性教育部I2011年8月，教育部办公厅关于进一步加强网络信息系统安全保 障工作的通知教办厅函（2011） 83号要求各地教育行政部门和学校要 将本单位的信息系统定级结果报主管部门审批。在2011年12月底前，完 成所有信息系统的定级备案。各地教育行政部门和学校的第二级及以上 信息系统，要参照国家和教育行业有关标准规范，在定级备案后2年内完 成首次安全建设整改和等级测评工作。已定级的第三级及以上信息系统 要安全整改方案由教育部组织专家审定，在2012年底前完成首次安全建 设整改和等级测评工作。2010年

11、4月教育部教育管理信息中心成立“信息安全测评部”，负 责信息安全等级保护测评工作。2009年11月，教育部办公厅印发关于开展信息系统安全等级保护 工作的通知（教办厅函200980号），决定在教育系统全面开展信息 安全等级保护工作，并由教育部教育管理信息中心具体组织实施。等级保护背景与必要性等级保护背景与必要性卫生部J2011年11月，卫生部印发了卫生行业信息安全等级保护工作的指 导意见通知，通知明确提出卫生行业信息安全等级保护工作的指导意 见，包括工作目标、工作原则、工作机制、工作任务、工作要求等，有 力促进卫生行业信息安全等级保护工作的开展。行业指导，属地管理：地方各级卫生行政部门承担本地卫

12、生信息安 全贡任，信息化工作领导小组统殍组织本地卫生信息安全等级保护工作 。卫生部信息化工作领导小组负贡对全国卫生行业信息安全等级保护工 作的组织协调、监督指导，并组织开展部机关信息安全等级保护I：作定 级，备案，建设，整改，定级评测，宣传，培训，监督检查。等级保护背景与必要性甘肃二广西、安徽J甘肃省四部门印发信息安全等级保护安全建设整改工作的实施意见(2010-09-03)广西举办信息安全等级保护技术高级研修班(2010-09-03)安徽省四部门下发重要信息系统等级保护安全建设工作方案(2010- 09-03)五级损害四级损害信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害 ,

13、但不损害国家安全、社会秩序和公共利益信息系统受到破坏后，会对国家安全 造成特别严重损害.系统受到破坏后，会对社会秩序和公共利益造 别严重损害，或者对国家安全造成严重损害.三级损害信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害.二级损害信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重 损害，或者对社会秩序和公共利益造成损害，但不损害国家安全.威胁I信息安全面临的威胁因素等级保护背景与必要性威胁描述备注F2-1,雷击、地震和台风等自然灾难 第五婿安士区域边界或第五娘安与计其环境松第四娘安d通信网络B 1 a 第四次安全区域边界超 第日蝮安和计算环境公

14、一第级安全通信网络W *依安W区域边能雄安全汁IBI环级安全通信网络统安全区域边界-星级安全计耳环境一品五级安仝管理中心第二饭安全管理中心第三级安全管理中心第四圾安仝管理,心定级系统互成I 安全互联圈件至笏；系统安全管理中心等级保护整改方案设计之技术设计信息安全技术信息系统等级保护安全设计技术要求(GB/T248552009)等级保护整改方案设计之技术设计安全技术方案详细设计J从安全技术设施和安的主机房、辅助机房全设0器黯缸注意：整改指南设计同-G B/T24856-2009的不同之处,对信息系统所涉. 前者是在参考后者 用的安基础上做出的详细设计。对信息系统涉4咄2即必:戢蠹迅_ 二 代用/中间件平台)对信息系统的业4 4据安全和系统服务连续性进行安全设等级保护整改方案设计之技术设计安全域划分：针对系统内部的不 同业务区域进行不同等级的保护安全域划分是进行信息安全等级保护的首要步骤等级保护整改方案设计技未设计类别要求二级解决方案三级解决方案差异分析物理 安全物理位 置的选择机房和办公场地应选 择具有防震、防风和 防雨等能力应避免设在建筑物的高层 或地卜.室，以及用水设备 的下层或隔壁三级要求进行楼层的选择物理访 问控制按照基本要求进行