联想网御安全服务-cisp和等级保护介绍0916

CISP培训和等级保护联想网御张兰2008年9月联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例安全服务产品线联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例5培训服务业务的目标及定位培养高素质信息安全人才，助力提升我国各政府机构及企事业单位信息系统的安全保障水平基于联想领先的信息安全顾问咨询经验和专业培训运作经验，面向客户提供权威、实用的、专业的信息安全培训服务业务目标培训服务的位置6评估体系规划体系建设实施体系运行客户角度价值提高安全意识、统一认识、推动体系、提高安全维护保障和审计的技能提高意识统一认识方案宣贯体系推动体系提高安全维护保障和审计的技能7培训课程体系LCTCCISP注册信息安全专业人员(CertifiedInformationSecurityProfessional)CISECISOCISA联想信息安全培训中心(LenovoSecurityTrainingCenter)注册信息安全工程师(CertifiedInformationSecurityEngineer)注册信息安全管理人员(CertifiedInformationSecurityOfficer)注册信息安全审核员(CertifiedInformationSecurityAuditor)定制培训LSPE联想认证安全产品工程师(LenovoCertifiedSecurityProductEngineer)CISM注册信息安全员(CertifiedInformationSecurityMember)可根据实际需要选择任意信息安全培训课程9CISP培训–“注册信息安全专业人员”——CertifiedInformationSecurityProfessional，简称CISP，是(Engineer、Officer、Auditor)统称–背景1、中国信息安全产品测评认证中心实施国家认证2、是国家对人员资质的最高认可3、相关机构必备的信息安全管理、技术人员10–推出机构–课程费用–认证程序–课程内容–目前通过认证的人数以及人员构成特点–前景CISP培训CISP费用•测评中心规定的统一价格–全部费用12800元/人•联想网御收取注册培训费9800元/人，包括培训费、教材费、授权管理费、培训期间的午餐费（不含学员住宿费和其他餐费），由联想网御开具发票•测评中心收取的费用3000元/人，包括考试费1000元/人，认证费500元/人，注册费和注册维持费1500元/人/3年，由测评中心开具发票认证流程未通过未通过未通过不符合要求咨询注册申请缴纳费用证书发放证后监督考试资质审核参加考试注册资质审核申请者13CISE课程主要内容–信息安全保障体系–信息安全理论–信息安全技术–信息安全管理–信息安全标准与法律法规CISP培训14信息安全理论（1.5天）信息安全保障体系信息安全模型信息安全测评认证信息安全技术（6天）密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CAUNIX安全管理Windows安全管理数据库安全管理恶意代码安全编程安全工程及管理（4.5天）安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规（1.5天）信息安全标准信息安全法律法规考试（0.5天）考试信息安全工程师15信息安全理论（2天）信息安全概述信息安全保障体系信息安全模型信息安全测评认证信息安全技术（4天）密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CA系统安全管理恶意代码安全工程及管理（6天）信息安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规（1.5天）信息安全标准信息安全法律法规考试（0.5天）考试信息安全管理人员目前通过认证的人数特点•1千多•早期特点•中期特点•现在特点前景•国内第一•国内外培训产品竞争激烈18CISP成功案例九期共160多人CISP培训–通过率90%以上–公司品牌推广–客户关系维系联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例公司CISP培训政策•调整政策背景–鉴于08年中国信息安全产品测评中心（以下简称测评中心）授权培训管理费的调整，经安全服务部研究讨论和公司领导批准，为规范和鼓励开展CISP培训工作，特下发《联想网御安全服务——CISP培训管理规定》公司CISP培训政策•开班条件–北京开班人数不低于10人，在外地开班人数不低于12人–如不够开班人数，则所报人员顺延到满足开班条件时开班–如遇到特殊情况（如奥运，两会等），开班时间另行通知公司CISP培训政策•培训形式–开班时间为每年3月、6月、9月、12月上旬在北京主办CISP培训–外地不受固定时间限制，只受开班条件限制；如果有满足开班条件且急需培训的，各地均可随时向北京申请开班公司CISP培训政策•优惠与鼓励措施–在北京开班培训人数10人时，按注册培训费原价收取–第11人到第15人注册培训费九折优惠–第16人到第20人注册培训费八折优惠–第21人以上注册培训费按7000元/人收取（相当于七点一折优惠）–在外地开班培训时，相当于在北京开班培训人数基础上增加2人，既可以享受以上各段折扣优惠。–低于以上注册培训费折扣价格时，需要根据公司现有相关流程审批–考试费、认证费和年金（共计3000元/人）由测评中心收取的固定费用，没有任何折扣公司CISP培训政策•特殊说明–为维护大客户关系或为推动大工程项目销售而需要赠送CISP培训时，根据所需培训的具体人数，由发起人按公司现有相关流程审批，并按第前面规定单独核算安全服务部所创造的销量联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例目前的等级保护进展•定级完毕•测评在进行中•怎样具体整改?•政策真空期联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例公司等保优势•参与国家标准编写，与主管部门关系融洽•承担国家试点工作，树立了等级保护标杆•符合国家政策要求，形成等级保护方法论•总结试点实施经验，精炼等级保护知识库•多年专业服务历程，储备了大量专家顾问•完整服务体系资质，保障了服务可信可靠按需防御的等级保护基于丰富的安全定级知识库、风险评估知识库和安全体系知识库为理论基础，以等级化支撑平台为支撑，以等级安全体系为架构，以安全需求为导向，通过专业安全服务和高性能安全产品，保证安全定级合理准确、体系建设科学规范、安全运维持续稳定。等级化安全体系核心技术核心技术1234安全定级知识库风险评估知识库安全体系知识库等级化支撑平台核心技术-安全定级知识库信息系统定级是实施等级保护的首要步骤，是明确信息系统重要程度和安全目标的有效方法。安全定级知识库通过细化的定级要素和科学的定级算法，保证不同行业、不同类型信息系统定级的合理准确。系统分类库：第一层针对行业特点分类第二层针对应用特点分类定级要素库：通用定级要素行业定级要素系统分类定级要素等级算法库：S&I算法：系统服务保证性和业务信息安全性制定的等级算法CIA算法：保密性、完整性、可用性制定的等级算法报告模版库：通用等级报告模版行业等级报告模版定级备案模版核心技术-风险评估知识库联想网御与国家信息中心共同成立了风险评估联合实验室，总结国内外相关标准和最佳实践，结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法，保证风险评估工作的客观全面。资产漏洞库：用于分析系统安全弱点覆盖全面，大多数品牌的各类主机、网络产品威胁信息库：是基于威胁来源、威胁途径、威胁手段的安全威胁资源库，用于分析系统安全威胁评估方法库：是风险评估各阶段评估方法、评估流程、检查列表库报告模版库：是评估过程各阶段报告模版库核心技术-安全体系知识库安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验，结合国家和行业相关信息安全指标，形成了安全体系知识库。安全体系知识库以分级分域为核心思想，采用等级化和体系化的方法，保证信息安全体系科学规范。分类方法：第一层针对行业特点分类第二层针对应用特点分类第三层针对安全等级分类第四层针对单元类型分类各指标库包含内容：等级安全指标测评方法解决方法适用产品体系模版包含内容：体系架构设计模版安全区域设计模版产品解决方案模版各类操作手册模版各类制度模版联想网御2008年工作计划目录•安全服务产品线•CISP培训及典型案例•公司CISP培训政策•目前的等级保护进展•公司等保优势•定级测评后等保服务•等保典型案例安全运维体系建设评估定级等级化安全体系实施流程安全风险评估安全风险现状信息系统资产库系统定级对策策略组织技术运行安全管理解决方案安全技术解决方案安全体系框架设计区域架构安全对策框架需求安全规划安全预警安全监控安全审计系统监控风险评估等级测评方案实施等级化安全区域架构风险评估等级测评验收系统改进安全加固应急响应等级测评等级保护安全要求分析？物理安全技术手段解决安全加固管理手段解决等级保护安全要求10个单元网络安全主机安全应用安全数据及备份恢复管理要求5个单元安全产品审核表单安全制度怎样依据等级完成等级保护建设？风险评估信息系统安全需求安全管理解决等级测评安全加固解决安全产品解决达到系统等级要求信息系统定级2级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置2级系统体系建设2级二级系统边界安全解决方案互联网边界访问控制外联网访问控制网关防病毒网络入侵检测防火墙入侵检测系统防病毒网关综合安全网关2级二级系统内网安全解决方案桌面防病毒补丁分发管理周期性风险评估加固（每年1次）终端管理补丁管理安全加固日志分析2级二级系统应用安全解决方案应用健康监控数据存储备份安全审计应用安全管理2级二级系统安全管理解决方案设备安全监控日志审计部署定期发布正式安全策略安全策略设计3级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置3级系统体系建设3级三级系统边界安全解决方案互联网边界访问控制外联网访问控制内网区域隔离访问控制网络加密传输网关防病毒网关防垃圾邮件网络入侵检测网络入侵防护网络抗DDos防火墙网络密码机入侵检测系统防病毒网关入侵防护系统安全隔离网闸综合安全网关3级三级系统内网安全解决方案可信终端管理桌面防病毒补丁分发管理周期性风险评估加固（每半年1次）终端管理补丁管理风险评估安全加固日志分析3级三级系统应用安全解决方案用户身份双因素认证应用健康监控数据库审计数据存储备份定期渗透性测试（每半年1次）CA数字证书系统安全审计应用安全管理渗透性测试3级三级系统安全管理解决方案设备安全监控日志审计部署设备集中管理集中策略分发定期发布及更新文档化的正式安全策略安全管理系统安全策略设计评估定级服务组件评估定级服务组件分类服务组件描述输出评估定级服务风险评估通过对系统中主机安全、网络安全、应用安全、安全管理等方面的评估，发现系统的安全风险和安全现状。《风险评估报告》《安全需求分析报告》系统定级划分系统的安全域架构，分析系统业务特性和信息特性制定定级规则，确定系统的安全保护等级。《系统定级报告》等级评估以等级安全指标要求为基线，评估系统当前的安全措施与等级要求之间的差距。《等级评估报告》体系设计服务组件按需防御的等级保护服务组件分类服务组件描述输出等级安全体系设计服务等级安全体系框架设计根据客户现状和发展趋势要求，通过识别