信息系统等级保护安全服务--建设思路.

安鼎等保安全服务建设思路阶段名称主要工作描述项目准备阶段成立项目工作组织明确安全建设范围和思路制定工作计划定级阶段确定定级对象摸底调查与分析摸底调查与分析定级报告编写定级汇报评审定级备案风险评估阶段（可选增值服务）资产评估现场评估生成评估报告等保差距分析阶段准备差距分析表现场差距分析生成差距分析报告确认差距分析结果方案设计阶段建设目标沟通确认形成等保安全建设方案方案汇报评审修订并定稿安全集成建设阶段项目管理与质量控制安全技术体系建设安全管理体系建设安全加固安全培训（辅助）测评阶段协助测评前准备协助现场测评验收阶段项目工作成果确认整体项目终验阶段安全运维阶段风险评估安全加固安全巡检应急响应安全预警和通告重大节日安全值守项目可研、立项协助测评系统定级风险评估差距分析方案设计集成实施等级保护整改和建设阶段系统定级风险评估差距分析方案设计项目立项，招标集成实施协助测评•项目的可行性研究（内部立项）•项目的初步设计，报发改委（外部立项）•立项通过后，需要进行招标•整个项目建设的需要符合国家发改委的55号令•安全建设达标的硬性指标为需要通过等级保护的测评风险评估差距分析方案设计项目可研、立项集成实施协助测评系统定级工作成果：信息系统定级报告方案设计项目可研、立项集成实施协助测评系统定级风险评估差距分析人工检查评估手段先进的扫描工具强大的漏洞分析能力漏洞扫描安全访谈网络架构分析检查项的数量超额满足要求每月更新的检查列表技术能力强的实施团队黑白相结合的测试方法安全漏洞挖掘专家的支持定制工具能力强精心设计的问卷访谈内容覆盖面宽丰富的经验支持网络专家支持丰富经验支持管理专家参与参与制定多种管理标准工作成果：信息系统风险评估报告方案设计项目可研、立项集成实施协助测评系统定级风险评估差距分析工作成果：信息系统差距分析报告项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计全面、广泛项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计策略和流程物理环境网络区域业务和使命人和组织主机和系统类别要求解决方案物理安全物理位置的选择机房选址基本满足要求，对于机房附近的水管线路进行加固处理物理访问控制对机房进行区域管理，设置过度区域、安装门禁防盗窃和防破坏按照基本要求进行建设配置光、电等防盗报警系统防雷击设置防雷保安器防火消防、耐火、隔离等措施防水和防潮安装防水测试仪器防静电安装防静电地板温湿度控制配备空调系统电力供应配备稳压器、UPS、冗余供电系统电磁防护本项目暂不需要进行电磁屏蔽项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案网络安全结构安全中心网络分为二个区域，分别用一、二两级防火墙进行隔离，保证重要网段与其他网段之间进行可靠的隔离；核心交换设备和接入设备采用双机冗余配置方式，同时互联网出口链路、内部服务域、安全服务域、安全用户域等主要安全域均采用双机冗余部署；互联网出口处部署流量管理系统；重要业务系统服务器部署服务器负载均衡系统；访问控制部署防火墙，配置包括：端口级的控制粒度；常见应用层协议命令过滤；会话控制；流量控制；连接数控制；防地址欺骗等策略安全审计在第一区域和第二区域交换机上分别旁路部署网络安全审计系统部署日志服务器进行审计记录的保存互联网出口部署上网行为管理系统项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案网络安全边界完整性检查部署终端安全管理系统，在进行非法外联和安全准入检测的同时要进行有效阻断入侵防范区域和第二区域交换机上分别旁路部署IDS入侵检测系统互联网出口最外侧部署下一代防火墙通过漏洞扫描进行主动防范恶意代码防范在互联网边界处部署下一代防火墙并开启AV模块网络设备防护根据基本要求配置网络设备自身的身份鉴别与权限控制；对网络设备进行安全加固。项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案主机安全身份鉴别安全加固配置访问控制管理员进行分级权限控制，重要设定访问控制策略进行访问控制安全审计部署终端安全管理系统，进行主机审计剩余信息保护通过对操作系统及数据库系统进行安全加固配置，及时清除剩余信息的存储空间部署vsp虚拟安全桌面，实现虚拟桌面退出时及时清除剩余信息入侵防范部署终端安全管理系统进行补丁及时分发恶意代码防范部署终端防恶意代码软件资源控制进行安全加固配置，进行资源监控、检测报警项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案应用安全身份鉴别根据要求进行身份认证模块的开发采用PKI体系进行统一身份鉴别采用SSLVPN进行统一身份鉴别访问控制通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略安全审计应用系统根据要求开发应用审计功能剩余信息保护通过对操作系统及数据库系统进行安全加固配置，及时清除剩余信息的存储空间部署vsp虚拟安全桌面，实现虚拟桌面退出时及时清除剩余信息通信完整性采用PKI体系中的完整性校验功能进行完整性检查，保障通信完整性通信保密性应用系统自身开发数据加密功能；采用VPN或PKI体系的加密功能保障通信保密性项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案数据安全数据完整性配置存储系统利用VPN保障传输数据完整性数据保密性配置应用系统利用VPN实现传输保密性备份与恢复本地备份与异地备份项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案安全管理制定管理制度制度制定制定与发布制度制定与执行评审与修订制度制定与执行项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案安全管理机构岗位设置制度制定与执行人员配置制度制定与执行授权与审批制度制定与执行沟通和合作制度制定与执行审核与检查制度制定与执行项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案人员安全管理人员录用制度制定与执行人员离岗制度制定与执行人员考核制度制定与执行安全意识教育与培训制度制定与执行外部人员访问管理制度制定与执行项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案系统建设管理系统定级依照标准执行安全方案设计依照标准执行产品采购和使用依照标准执行自行软件开发外包软件开发依照标准执行工程实施测试验收依照标准执行系统交付系统备案依照标准执行等级测评安全服务商选择依照标准执行项目可研、立项集成实施协助测评系统定级风险评估差距分析方案设计类别要求解决方案系统运维管理环境管理资产管理依照标准执行介质管理设备管理依照标准执行监控管理和安全管理中心网络安全管理依照标准执行系统安全管理恶意代码防范管理依照标准执行密码管理变更管理依照标准执行备份与恢复管理安全事件处置依照标准执行应急预案管理应急预案与定期演练项目可研、立项协助测评系统定级风险评估差距分析方案设计集成实施等保项目集成实施阶段的主要工作：1.缺少的信息安全设备的采购与实施；2.业务系统的安全漏洞整改；3.安全加固，包括：服务器、数据库、网络设备、中间件等；4.信息安全管理制度整理；5.测评申请书以及相关测评资料准备；项目可研、立项系统定级风险评估差距分析方案设计集成实施协助测评如何协助客户进行测评？1.帮客户联系测评中心，并建立良好的商务关系；2.帮助客户整理所有测评相关的资料；3.现场测评时，作为客户方的工程师直接应对测评中心的测评师；整体解决方案信息安全设备在项目中的部署产品名称部署位置产品作用满足政策要求防火墙互联网出口隔离互联网和内部网络网络安全-访问控制入侵防御互联网出口防范网络入侵攻击网络安全-入侵防范防病毒模块互联网出口网络层恶意代码过滤网络安全-恶意代码过滤上网行为管理互联网出口内部员工访问互联网的安全审计；流量管理与控制；内部非法无线热点发现；网络安全-结构安全网络安全-安全审计网络安全-边界完整性负载均衡互联网出口链路负载均衡；应用负载均衡；网络安全-结构安全数据备份与恢复-避免单点故障产品名称部署位置产品作用满足政策要求防火墙安全管理区的外联口隔离安全管理区和其他区域网络安全-访问控制Web防火墙业务服务区的外联口隔离业务服务器区和其他区域，并防范web层的网络攻击网络安全-访问控制网络安全-入侵防范应用性能管理安全管理区域网络设备、服务器、应用系统监控；资源阈值告警和预警；网络安全-资源控制主机安全-资源控制应用安全-资源控制SSLVPN安全管理区域远程用户接入的身份认证和加密数据安全-通信保密性信息安全设备在项目中的部署产品名称部署位置产品作用满足政策要求防病毒系统安全管理区域主机防病毒服务器，同时在终端安装病毒软件主机安全-恶意代码过滤数据库审计系统安全管理区域数据库访问的审计主机安全-安全审计漏洞扫描系统安全管理区域漏洞扫描主机安全-入侵防范终端安全管理系统安全管理区域终端安全审计、终端端口管理、终端防火墙入侵防御等；主机安全-安全审计主机安全-访问控制主机安全-入侵防范网络安全-非法外联运维堡垒主机安全管理区域运维审计网路安全-网络设备防护信息安全设备在项目中的部署典型案例：中纪委典型案例：东湖开发区初步调研内容：1.共有几个系统2.级别3.设备数量（服务器、网络设备、安全设备等）4.物理部署地点5.除测评外，咨询服务的具体内容6.其他要求谢谢！