教育行业-等级保护解决方案（2016版交流PPT）

深信服教育行业等级保护解决方案目录等级保护背景等级保护建设思路服务收益及案例等级保护项目介绍信息安全背景教育行业常见信息系统基础支撑系统数字化校园系统教务系统/政务系统一卡通系统门户网站……信息安全网络监管的难度和复杂性持续加大。教务系统等重要系统的敏感信息泄露。部门之间职责界定不清晰，决策权分散部门间作用发挥不均。信息安全风险一般黑客有组织犯罪内部人员面对的威胁安全防护的重点系统防入侵网络防攻击信息防泄露网站防篡改内部防越权国内外数据泄密事件频发Verizon发布了《2014年度数据泄露调查报告》，报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄漏事件。信息泄露呈现两个趋势：黑客通过B/S应用，以WEB服务器为跳板，窃取数据库中数据；传统解决方案对应用访问和数据库访问协议没有任何控制能力；内部人员滥用数据库存储的有价值信息导致数据资产丢失，数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防为主的安全解决方案失去了用武之地。信息安全事件2014年铁路春运售票第一天，在经历了早上宕机1小时之后，12306铁路客户服务中心网站再次爆发用户账号串号的问题，大量用户身份证等信息遭泄露。下午15时左右，开始有网友在微博上反映，登陆自己帐号后可以看到他人的姓名、身份证号码、手机号码等信息。下午17时34分，新版12306网站出现用户资料大量泄露的漏洞，并表明危害等级为高。12306用户信息泄露教育行业沦为数据泄密的重灾区湖北10万条高考生信息泄露内蒙古19万高考考生信息遭遇泄露，敏感信息包括考生父母电话等超30省市曝安全管理漏洞，数千万社保用户敏感信息遭泄露……事件分析北影教务系统数据泄露事件通过web漏洞，拿到webshell权限，提权后拿到网站服务器权限。内网渗透获取数据库服务器权限学生考试数据遭泄漏风险产生原因整体信息安全防范意识和能力薄弱信息系统安全建设和管理缺乏体系化思想信息安全法律法规不完善，标准体系尚待完善；行业要求《教育行业信息系统安全等级保护定级工作指南（试行）》《关于加强教育行业网络与信息安全工作的指导意见》《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》GB/T22239-2008等级保护基本技术要求自身需求ISO/IEC27001:2005信息安全技术信息系统安全管理要求建设指南ISO/IEC27002:2005信息安全技术信息系统安全管理要求实施细则ISO/IEC133352004信息技术信息技术安全管理指南合规需求背景目录等级保护背景等级保护建设思路服务收益及案例等级保护项目介绍深信服为客户提供全方位、专业化的信息安全等级保护咨询服务等保定级备案分析信息系统特点对重要信息系统进行摸底调查，确定定级对象完成《定级报告》协助进行专家评审和审批协助完成定级备案工作等保整改与安全建设明确整改思路进行风险评估通过现场访谈、现场测试等方式，完成《差距分析报告》形成等保整改和安全建设方案协助整改等保测评制定测评咨询工作计划协助准备等保测评所需要的文档和资料协助用户配合测评机构的现场测评工作等保检查协助开展自查；协助进行行业检查协助准备检查所需要的文档和资料协助用户配合公安机关的现场检查工作等级保护工作的五个阶段定级－备案－整改－测评－检查解决的客户需求客户面临的问题如何准确把握等级保护整改的要求？如何结合实际情况开展等级保护整改工作？国家标准的普适性较强，但不针对具体行业，如何突出行业的安全要求？不同安全保护等级的信息系统的整改工作如何进行？在整改工作中如何突出重点？如何平衡等保整改工作的投入产出比？业务信息安全被破坏时所侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表4-2业务信息安全保护等级矩阵表表4-3系统服务安全保护等级矩阵表

业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级二者取高定级一般流程与方法不同等级的安全保护能力第一级安全保护能力能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。等级保护总体整改要求四大类整改要求安全管理要求安全技术要求安全运维要求物理安全要求“三重防护、一个中心”落实1:等保整改与安全建设总体框架三大思想的体现“PPT”管理（People）、技术（Technology）、运维（Process）动态安全过程PDR，P-防护、D-检测、R-响应）纵深防御落实2:安全要求对应表序号类别安全措施具体指标符合要求补偿性措施备注1网络安全网络架构安全性要求a)主要网络设备（如主要的路由器或交换机）的业务处理能力具备冗余空间，或通过部署网络和链路的冗余以及负载均衡技术来满足业务高峰期需要；符合节a项

2b)保证网络各个部分的带宽分配能满足业务高峰期的需要；符合节b项

3c)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，按照方便管理和控制的原则为各子网、网段分配地址段；符合节e项

4d)对重要网段部署访问控制设备或在网络设备上配置访问控制策略，避免将重要网段部署在网络边界处且直连外部信息系统；符合节f项

5e)网络中各节点设备的性能满足业务高峰期的需要。符合节a项

6网络拓扑图网络拓扑图及时更新，与当前运行情况一致。符合节d项

7配置网络设备安全功能……

19配置路由器……

22部署UTM或防火墙a)部署在网络边界，启用访问控制功能；符合节a/b/c项

符合《技术要求》7.3.2节a项

23b)能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；符合节b项

24c)实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；符合节c项

25d)在会话处于非活跃一定时间或会话结束后终止网络连接；符合节d项

26e)限制网络最大流量数及网络连接数；符合节e项

27f)对重要网段采取技术手段防止地址欺骗，如配置ACL过滤假冒IP的数据包；符合节f项

28g)按用户和系统之间的允许访问规则，允许或拒绝用户对受控系统进行访问。符合节g项

29部署网络审计产品（或部署具备网络审计功能网络管理产品）

35部署防非法接入产品（可选）a)能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；符合节a项也可通过采用安全监控服务，来实现对非授权设备私自联到内部网络的行为进行检查。

36b)采用由密码技术支持的可信网络连接机制，通过对连接到网络的设备进行可信检验，确保接入网络的设备真实可信，防止设备的非法接入。符合《技术要求》7.3.3节d项

38部署网络入侵检测系统或网络入侵防御系统a)在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；

b)检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。符合节a,b项

39部署防病毒网关（可选）……

40部署VPN产品或加密机……

…………

注：“符合要求”一列，除明确标明来源的外，均来自《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》。落实3:等保差距分析对比信息系统现状和安全要求之间的差距，确定不符合项序号类别安全措施具体指标检查方法检查内容差距分析结果差距分析详细描述1

2

3

4

5

目录等级保护背景等级保护建设思路服务收益及案例等级保护项目介绍一、定级阶段客户需求需要定级咨询解决方案深信服信息系统定级咨询服务分析最新的国家等级保护相关政策精神及要求；分析客户的组织架构、业务要求、信息系统等特点，确定并分析定级对象；综合以上信息，创建信息系统安全保护等级定级指南（可选服务）；针对定级对象，基于定级指南协助系统负责人确定信息系统的等级，编写《定级报告》；协助定级备案。客户困惑如何从复杂、庞大的信息系统中分解出定级对象如何对各个系统进行合理的定级不了解定级工作流程、难点和工作量缺少专业技术人员的指导不清楚提交哪些文档等保备案工作一般流程1、确定定级对象（公安机关仅受理非涉密信息系统等保备案，涉密信息系统向保密工作部门咨询备案）2、确定信息系统等级（可聘请专家进行评审，有上级行业主管部门应经上级审批同意）3、出具《定级报告》4、填写《信息系统安全等级保护备案表》（可用备案软件生成数据，一式两份盖上备案单位公章）5、带上相关材料（材料清单附后）到地市级以上公安机关备案6、公安机关审核7、审核通过发放备案证明（未通过重新补齐材料审核）8、备案工作结束二、备案阶段后续工作等级变更信息系统的等级可能随着信息系统所处理的信息和业务的变化，需要进行变更等级的变更可以依据本文档给出的定级原则、方法、过程，对相关信息系统重新定级定级后的整改与测评安全建设和整改自查：三级系统每年至少进行一次自查，四级系统每半年至少进行一次自查等级测评：三级系统每年至少进行一次测评，四级系统每半年至少进行一次测评等保整改工作一般流程等级保护定级备案→等级保护差距分析→等级保护整改建议→等级保护整改实施→等级保护测评→等级保护检查1.等级保护差距分析：通过风险评估手段发现信息系统的安全现状与需要达到的安全等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统安全工作有的放矢。2.等级保护整改建议：根据评估的结果和信息系统确认的保护等级，结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求，调整相应的安全保护措施，形成等级保护整改建议方案。3.等级保护整改实施：依据规划提供详细设计和等级保护系统建设实施方案，确保保障等级能够达到信息系统所要求的保护等级，进行等级保护的实施。三、整改阶段等级保护整改与安全建设咨询客户需求需要整改和安全建设咨询：完成自主定级和备案工作，安全等级为第一级、第二级、第三级、第四级的信息系统。解决方案深信服等级保护整改与安全建设咨询服务分析最新的国家等级保护相关政策精神及要求；分析客户的组织架构、业务要求、行业特点、信息系统特点；客户制定适合自身特点的行业等保基本要求（可选服务）；按照国家政策文件和标准制定整改方案；协助客户落实安全要求，完成系统整改客户困惑究竟该怎么进行整改？等级保护的标准怎么用？国家标准的普适性较强，但不针对具体行业，如何突出行业特点？在整改中如何突出重点？第一级、第二级、第三级、第四级系统的整改工作是否同时进行？整改工作如何把握？对不同级别的系统，整改的措施是否一样？四、测评阶段一、测评程序计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：（一）安全测评委托书；（二）计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。二、测评监督测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。三、日常测评计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：

（一）变更关键部件；

（二）安全测评时间满一年；（三）发生危害计算机信系统安全的案件或安全事故；（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；

（五）其他应当进行安全自查和安全测评的情形。第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。

遵循《公安机关信息安全等级保护检查工作规范》信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。五、检查阶段等保检查内容（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；（四）信息安全设施建设情况和信息安全整改情况；（五）信息安全管理制度建设和落实情况；（六）信息安全保护技术措施建设和落实情况；（七）选择使用信息安全产品情况；（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；（九）自行定期开展自查情况；（十）开展信息安全知识和技能培训情况。目录等级保护背景等级保护建设思路服务收益及案例等级保护项目介绍等级保护对业务价值1：符合国家法律和政策政策要求，避免法律风险3：体现组织利益，投资节省，实现重点保护4：安全工作规范化，安全工作思路清晰5：精细化安全管理，全面提高信息安全保障水平2：符合行业需求，保护合作伙伴