天融信等级保护培训September16,2019培训对象公司销售人员(总部、分支机构)等保客户分类超大型用户(北京移动)行业用户中小型用户培训内容定位:中小型用户的等级保护建设其他:给出一般性建议议题什么是等级保护?谁是等级保护的目标客户?谁主管等级保护事宜?等级保护项目我们能做什么?等级保护相关标准、政策天融信等级保护实力销售工作步骤等级保护的含义官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。要点:平衡安全与成本实行等级保护的目的遵循客观规律,信息安全的等级是客观存在的有利于突出重点,加强安全建设和管理有利于控制安全的成本用户进行等保建设的动机?国家标准政绩工程保障业务申请项目对我们的益处?等保建设扩大了需求深入挖掘用户需求提升公司专业形象等级保护的实现原理安全保护措施调整定制成本风险5级4级3级2级1级安全等级安全要求信息系统定级安全措施等级指标5级4级3级2级1级5级4级3级2级1级重点关注2、3级信息系统安全保护等级划分第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。各级别的概念四级强制保护,比如中央核心系统,重要行业核心业务系统,建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的)三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建设内容包括产品集成、安全服务,容易形成长期销售机会,应重点跟踪!重点是集成二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务。重点是产品一级自主建设,基本没多少内容,可能会有少量的产品常见的二级系统举例(仅做参考)地市政府办公自动化系统(内部使用的)地市政府政务公开网站(外部信息发布)地市政府间协同办公系统企业电子商务网站银行网站特点:与核心业务无关常见的三级系统举例(仅做参考)省政府办公自动化系统(内部使用的)省政府政务公开系统(交互式)省政府公文交换系统企业ERP系统银行生产网特点:与业务密切相关的常见的四级系统举例(仅做参考)国家电力调度系统(EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点:重要部门与核心业务密切相关的议题什么是等级保护?谁是等级保护的目标客户?谁主管等级保护事宜?等级保护项目我们能做什么?等级保护相关标准、政策天融信等级保护实力销售工作步骤谁是等级保护的目标客户电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以上党政机关的重要网站和办公信息系统。不是分级保护的范围,就是等级保护的范围其他已经定级的信息系统目标客户怎么来找?2007年底到2008年初,各地已经完成了定级备案工作备案情况:2级大约32000多个,三级25000个,四级200多个;-《摘自郭处长在信息安全高峰论坛上的讲话》备案情况:属地化管理,各地在各自公安的网监大队备案留底等级保护主导单位:公安部我们了解到的情况电监会、银监会、证监会、保监会等国务院监督部门在开始着手组织编写行业等级保护建设标准;外交部、海关、发改委、交通局、新闻出版署等单位开始着手组织等级保护试点工作;公安部三所着手在各地建设测评分中心,为等级保护测评工作做准备;公安部一所牵头,申请了863课题,研究等级保护的技术设计要求,并组织一些公司开发等级保护建设模型北京、黑龙江、上海、武汉、广州、成都、浙江等发达城市,已开展了等级保护技术支持单位的评审工作今年是等级保护的启动年,也是为我们争取时间的关键一年。议题什么是等级保护?谁是等级保护的目标客户?谁主管等级保护事宜?等级保护项目我们能做什么?等级保护相关标准、政策天融信等级保护实力销售工作步骤等级保护的形成的产业链项目实施流程相关单位定级评估方案集成规划整改服务测评服务商和集成商产品厂商2+3X客户主管部门技术支撑(测评)标准单位等级保护相关管理机构与分工等保工作办公室负责等保工作的落实情况进行督办和检查负责对辖区等保工作组织、协调和指导公安局负责除辖区电子政务和涉密以外信息系统的等保监督、指导和检查工作工信局负责辖区电子政务等保工作的监督、指导保密局负责涉密系统的等保工作监督、指导负责对泄密事件进行查处密码委负责等保中的密码进行分级管理,监督指导密码配备、使用和管理北京市的等级保护的管理结构工信部公安部网监局管理职能:监管和测评技术支持单位:定级、测评安全厂商、服务商安全厂商、服务商服务实施单位:咨询、实施、产品、运维北京市信息办北京测评中心北京公安局网监处北京等保测评机构安全厂商、服务商安全厂商、服务商安全厂商、服务商安全厂商、服务商政策、宏观管理、协调电子政务领域其他行业领域北京市属的电子政务系统地处北京的各部委各行业国家测评中心公安部三所解放军测评中心各地的模式基本类同,其中公安部明确是等级保护建设的主导单位,但由于电子政务项目的建设在工信局,因此电子政务等级保护的主导单位是工信局议题什么是等级保护?谁是等级保护的目标客户?谁主管等级保护事宜?等级保护项目我们能做什么?等级保护相关标准、政策天融信等级保护实力销售工作步骤存储介质的清除或销毁设备迁移或废弃等级保护监督检查等级保护安全测评安全检查和持续改进安全事件处置和应急预案安全状态监控变更管理和控制等级保护安全测评等级保护技术实施等级保护管理实施安全等级确定系统定级安全规划设计安全实施安全运维系统终止等级保护实施过程的主要活动信息系统划分安全建设规划安全总体设计安全需求分析安全方案详细设计运行管理和控制信息转移、暂存或清除系统识别描述等级保护的建设过程定级咨询服务安全运维服务等级评估服务管理整改服务测评支持服务技术整改服务安全加固服务下一步等级保护工作开展的重点等级保护服务包1/2(仅作参考)¨等级评估咨询服务包CPAS3三级系统等级评估咨询服务按照国家等级保护三级标准进行评估,出具等级评估报告,并制定建设整改解决方案每个三级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXXCPAS2二级系统等级评估咨询服务按照国家等级保护二级标准进行评估,出具等级评估报告,并制定建设整改解决方案每个二级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXX¨等级保护整改服务包CPPS3三级系统管理整改服务根据三级系统要求,编制符合等级保护要求的安全制度文档,涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等;进行等级测评前的辅导与培训,配合准备和整理测评所需的文档资料,帮助客户熟悉和更好地准备等级测评。每个三级系统有特殊要求价格面议XXXXCPPS2二级系统管理整改服务根据二级系统要求,编制符合等级保护要求的安全制度文档,涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等;进行等级测评前的辅导与培训,配合准备和整理测评所需的文档资料,帮助客户熟悉和更好地准备等级测评。每个二级系统有特殊要求价格面议XXXXCPHS1设备安全加固服务根据系统安全等级的指标和测评标准,对主机、网络设备、数据库、安全设备等制定加固方案,通过打补丁、修改安全配置、增加安全机制等方法,合理加强设备的安全性,以满足等级要求每台设备每台设备XXXX等级保护服务包2/2(仅作参考)¨等级保护测评服务CPCS3三级系统测评服务按照国家等级保护三级测评标准进行文档审核与现场测评,出具测评报告每个三级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXXCPCS2二级系统测评服务按照国家等级保护二级测评标准进行文档审核与现场测评,出具测评报告每个二级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXX¨等级保护整体服务包CPTS3三级系统整体服务提供等级保护三级整体服务,包含三级评估服务,三级管理整改服务,设备安全加固服务和三级测评服务,并最终出具测评报告。客户另外进行产品采购和集成后,即可以完成等级保护全过程。每个三级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXXCPTS3二级系统整体服务提供等级保护二级整体服务,包含二级评估服务,二级管理整改服务,设备安全加固服务和二级测评服务,并最终出具测评报告。客户另外进行产品采购和集成后,即可以完成等级保护全过程。每个二级系统1-20台设备XXXX21-50台设备XXXX50台以上设备XXXX等级保护产品包1/2-三级(参考)基本要求技术要求控制点防护措施网络安全结构安全(G3)配置与加固服务-网络设备加固访问控制(G3)网络与边界防护-防火墙安全审计(G3)监控与审计防护-网络安全审计、日志审计系统边界完整性检查(S3)主机安全防护-终端安全管理(非法外联与非法接入)入侵防范(G3)网络与边界防护-入侵检测系统、入侵防护系统恶意代码防范(G3)网络与边界防护-防病毒网关网络设备防护(G3)配置与加固服务-网络设备加固主机安全身份鉴别(S3)配置与加固服务-服务器加固、数据库加固;主机安全防护-服务器核心加固访问控制(S3)配置与加固服务-服务器加固安全审计(G3)监控与审计防护-主机审计、日志审计系统剩余信息保护(S3)配置与加固服务-服务器加固入侵防范(G3)主机安全防护-漏洞扫描系统、服务器核心防护、主机入侵检测恶意代码防范(G3)主机安全防护-主机防病毒资源控制(A3)配置与加固服务-服务器加固等级保护产品包2/2-三级(参考)基本要求技术要求控制点防护措施应用安全身份鉴别(S3)统一认证平台访问控制(S3)统一认证平台安全审计(G3)监控与审计防护-网络安全审计剩余信息保护(S3)配置与加固服务-WEB安全加固、MAIL安全加固通信完整性(S3)网络与边界防护-VPN、CA认证通信保密性(S3)网络与边界防护-VPN、CA认证抗抵赖(G3)CA认证软件容错(A3)配置与加固服务资源控制(A3)配置与加固服务数据安全数据完整性(S3)网络与边界防护-VPN数据保密性(S3)网络与边界防护-VPN安全备份(A3)数据冗灾备份防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台(三权分立)等级保护产品包1/2-二级(参考)基本要求技术要求控制点防护措施网络安全结构安全(G2)配置与加固服务-网络设备加固访问控制(G2)网络与边界防护-防火墙安全审计(G2)监控与审计防护-日志审计系统边界完整性检查(S2)主机安全防护-终端安全管理(非