信息系統(tǒng)安全保護-領導版

信息系統(tǒng)安全保護解決方案藍盾信息安全技術股份有限公司BluedonInformationSecurityTechnologiesCo.，Ltd.中國藍盾ksert@139.com86LE講義大綱叁藍盾的優(yōu)勢壹等級保護介紹肆典型案例與客戶貳藍盾等保服務與解決方案有朋自遠方來不亦樂乎信息安全等級保護基本概念信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件等級響應、處置。這里所指的信息系統(tǒng)，是指由計算機及其相關和配套的設備、設施構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。信息系統(tǒng)安全保護得到重視2003年中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）以及2004年9月四部委局聯(lián)合簽發(fā)的《關于信息安全等級保護工作的實施意見》等信息安全等級保護的文件明確指出，“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。

2009年4月廣東省公安廳、省保密局、密碼管理局和省信息化工作領導小組聯(lián)合發(fā)文《廣東省深化信息安全等級保護工作方案》(粵公通字[2009]45號)中又再次指出，“通過深化信息安全等級保護，全面推動重要信息系統(tǒng)安全整改和測評工作，增強信息系統(tǒng)安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，提高信息安全保障能力，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設”。

國家標準及政策文件2003年9月中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》中辦發(fā)[2003]27號2004年11月四部委會簽《關于信息安全等級保護工作的實施意見》公通字[2004]66號2005年9月國信辦文件《關于轉(zhuǎn)發(fā)《電子政務信息安全等級保護實施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》公通字[2006]7號2005年公安部標準《基本要求》《定級指南》《實施指南》《測評準則》北京北京政府第9號令浙江浙江省人民政府令

廣東廣東省深化信息安全等級保護工作方案粵公通字[2009]45號國家級政策文件國家級技術標準國家級政策文件地方政策文件……信息系統(tǒng)的安全保護的等級劃分第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。講義大綱叁藍盾的優(yōu)勢壹等級保護介紹肆典型案例與客戶貳藍盾等保服務與解決方案有朋自遠方來不亦樂乎等保實施生命周期內(nèi)的主要活動安全規(guī)劃設計階段等級化風險評估分級保護模型化處理安全策略規(guī)劃安全建設規(guī)劃安全建設詳細方案設計安全實施/實現(xiàn)階段安全產(chǎn)品采購安全控制開發(fā)安全控制集成測試與驗收安全等級測評運行批準系統(tǒng)備案運行管理和狀態(tài)監(jiān)控階段操作管理和控制配置管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處理和應急預案監(jiān)督和檢查持續(xù)改進系統(tǒng)定級階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分子系統(tǒng)定級子系統(tǒng)邊界設定定級結(jié)果文檔化信息系統(tǒng)等級保護實施生命周期內(nèi)的主要活動安全組織與職責設計安全培訓與資質(zhì)認證安全策略體系與流程設計網(wǎng)絡與應用加密服務平臺業(yè)務應用系統(tǒng)安全改造數(shù)據(jù)備份與冗災平臺統(tǒng)一身份認證與授權(quán)管理平臺設備安全配置與加固安全域劃分與邊界訪問控制平臺安全管理運行中心安全策略與流程推廣實施安全體系推廣與常年咨詢防病毒、補丁和終端管理平臺統(tǒng)一安全監(jiān)控與審計平臺安全技術體系建設安全組織體系建設安全策略體系建設安全運行體系建設安全調(diào)查與風險評估等級保護體系設計等級保護定級咨詢等級保護測評支持與咨詢定級階段規(guī)劃階段整改階段常年安全運維外包服務安全托管監(jiān)控與管家服務等級保護階段藍盾等保服務與解決方案安全規(guī)劃方案設計等保技術整改集成等保管理整改服務等保評估服務等保定級服務等保測評支持服務測評階段藍盾等保服務與解決方案等保定級服務：在用戶等級保護建設的定級階段提供。藍盾將協(xié)助用戶對信息系統(tǒng)進行劃分，并根據(jù)信息系統(tǒng)的價值確定信息系統(tǒng)的保護等級，等級確定后協(xié)助用戶完成保護等級的備案工作；等保評估服務：在用戶等級保護建設的規(guī)劃階段提供。藍盾針對用戶的信息系統(tǒng)進行全面的評估，根據(jù)評估的結(jié)果和信息系統(tǒng)確認的保護等級，結(jié)合“信息系統(tǒng)安全等級保護基本要求”中對各級別信息系統(tǒng)的技術和管理要求，調(diào)整相應的安全保護措施，并完成安全保障系統(tǒng)的整體規(guī)劃；等保管理整改服務：在用戶等級保護建設的整改階段提供。藍盾將根據(jù)等級保護基本管理要求，結(jié)合用戶的實際需求，協(xié)助用戶建設相應的組織體系、策略體系、運行體系，從而全面提升用戶安全管理的層次和能力；等保測評支持服務：在用戶等級保護建設的測評階段提供。在完成等級保護整改活動后，藍盾將協(xié)助用戶，準備測評材料，在測評過程中提供技術支持服務。等保技術整改集成服務：在用戶等級保護建設的整改階段提供。藍盾將根據(jù)等級保護基本技術要求，結(jié)合用戶的實際需求，協(xié)助用戶完成安全設備的選型、采購、安裝、策略配置等活動，協(xié)助用戶搭建完善的技術防護系統(tǒng)，保障應用系統(tǒng)的安全可靠；講義大綱叁藍盾的優(yōu)勢壹等級保護介紹肆典型案例與客戶貳藍盾等保服務與解決方案有朋自遠方來不亦樂乎藍盾的優(yōu)勢作為首家獲得《廣東省計算機信息系統(tǒng)安全服務資質(zhì)證》和《廣東省信息安全等級保護測評機構(gòu)》（粵測評GA001)一級安全服務資質(zhì)的公司，藍盾信息安全技術股份有限公司是國內(nèi)最早從事網(wǎng)絡安全服務的專業(yè)性公司之一。早在2006年，廣州市商業(yè)銀行(現(xiàn)廣州銀行)作為廣東省首家銀行信息系統(tǒng)等級保護的試點單位就與公司簽訂了信息安全服務協(xié)議。在公司的協(xié)助下，順利的完成了信息系統(tǒng)等級保護的相關工作。公司通過多年來在安全產(chǎn)品的研發(fā)、客戶服務中，逐步形成了一套完善的信息安全工程體系，它以專業(yè)理論和技術為支撐；以多種專業(yè)測試工具為手段（包含自主研發(fā)的安全檢測工具）；以國際和國家信息安全標準為實施規(guī)范。藍盾公司安全服務為客戶提供全面的，專業(yè)的安全支持。一級粵測評GA001講義大綱叁藍盾的優(yōu)勢壹等級保護介紹肆典型案例與客戶貳藍盾等保服務與解決方案有朋自遠方來不亦樂乎典型案例豐富的案例自從藍盾安全評估服務中心成立以來，已經(jīng)具有豐富的各個行業(yè)的成功安全服務案例，先后與上海證券交易所、省交通廳、省水利廳、中山市信息中心等360多個單位做了安全評估服務，獲得了良好的社會效果。360廣州市商業(yè)銀行廣州市商業(yè)銀行是廣東省首家信息系統(tǒng)等級保護的試點單位，在等級保護試點實施工作中認真貫徹了2003年中央辦公廳、國務院辦公廳下發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》（中發(fā)辦[2003]27號）以及2004年9月四部委局聯(lián)合簽發(fā)的《關于信息安全等級保護工作的實施意見》等信息安全等級保護的文件精神，結(jié)合廣州市商業(yè)銀行信息系統(tǒng)的實際情況，遵循《信息系統(tǒng)安全等級保護實施指南》，在等級保護試點實施工作中，初步定位等級保護三級，并對信息系統(tǒng)按等級保護基本要求按三級進行測評。達到通過公安部信息系統(tǒng)安全等級保護評審的目的，成為通過省內(nèi)首個通過安全等級保護條令評審的金融機構(gòu)。廣東電網(wǎng)廣東電網(wǎng)作為南方電網(wǎng)供電能力最大的子公司，是全國乃至亞洲最大的省級電力供應系統(tǒng)。其信息系統(tǒng)的安全直接影響著廣東省21個地市的供電安全。因此根據(jù)國家信息系統(tǒng)安全等級保護要求、南方電網(wǎng)風險管理體系建設要求，對廣東電網(wǎng)本部和21個地市供電局信息系統(tǒng)（共計約160余個二三級信息系統(tǒng)）進行等級保護測評、風險評估和信息安全評價體系建設。為了符合《廣東省深化等級保護工作方案》工作部署，現(xiàn)已完成等級保護測評工作。下一階段將依據(jù)ISO27001和GB/T-20984對信息系統(tǒng)進行風險評估和評價體系建設。東莞供電局東莞供電局作為廣東電網(wǎng)的重要組成部門承擔了東莞市的電力保障任務。按《廣東省深化等級保護工作方案》要求，需要在8月前完成等級保護安全整改建設。在此基礎上，東莞供電局進一步希望通過風險評估找到現(xiàn)有信息系統(tǒng)中存在的重大風險。因此將從2009年9月起，對東莞供電局管理系統(tǒng)進行全面的風險評估，在風險評估基礎上識別關鍵資產(chǎn)、威脅、脆弱性和安全控制措施，并建立其信息安全風險評價體系。逐步完善依據(jù)ISO27001的信息安全管理體系。廣州市電視臺廣州市電視臺是國內(nèi)較有規(guī)模的城市電視臺。1988年1月10日開播綜合頻道。1994年開辦有線廣播電視，現(xiàn)有線節(jié)目六套，分別為英語頻道、影視頻道、新聞頻道、經(jīng)濟頻道、競賽頻道、少兒頻道?，F(xiàn)有線網(wǎng)絡用戶為160萬戶，轉(zhuǎn)播傳輸43套優(yōu)質(zhì)電視節(jié)目。為了更好保護市電視臺綜合信息系統(tǒng)的安全運行，對其綜合信息網(wǎng)依據(jù)《等級保護定級指南》協(xié)助其編制定級材料。在通過廣州市網(wǎng)監(jiān)備案后，依據(jù)等級保護二級標準進行了等級保護測評。由于綜合信息系統(tǒng)安全建設基礎較好，順利通過了等級保護測評，并提交廣州市網(wǎng)監(jiān)分局備案。廣東集成利期貨公司佛山市目前已完成等級保護的定級工作，有約600家單位在佛山市網(wǎng)監(jiān)進行了定級報告的備案工作，按佛山市網(wǎng)監(jiān)的要求，當前需要啟動對所有定級單位進行等級測評工作，廣東集成利期貨公司作為首批佛山等保測評試點單位。對其主要信息系統(tǒng)進行了等級保護定級，共計5個等級保護二級系統(tǒng)。再次基礎上，依據(jù)《等級保護測評準則》對其進行等級保護測評。在測評過程中，發(fā)現(xiàn)較多不符合項。因此在初步測評的基礎上，進行了等級保護安全整改方案設計。佛山市人口和計劃生育局佛山市人口和計劃生育局目前已完成等級保護的定級工作，按佛山市網(wǎng)監(jiān)的要求，當前需要啟動對所有定級單位進行等級測評工作，佛山市人口和計劃生育局作為首批在佛山市進行等保此項工作的單位。佛山市網(wǎng)監(jiān)引入第三方測評公司進行此項工作，藍盾信息安全技術股份有限公司作為廣東省首個具備等級保護合格測評資質(zhì)的單位來開展此項工作。對其主要信息系統(tǒng)進行了等級保護定級，共計1個等級保護二級系統(tǒng)。再次基礎上，依據(jù)《等級保護測評準則》對其進行等級保護測評。在測評過程中，發(fā)現(xiàn)較多不符合項。因此在初步測評的基礎上，進行了等級保護安全整改方案設計。中共廣東省委黨校中共廣東省委黨校需要按照等級保護的技術要求，對當前網(wǎng)絡進行規(guī)劃建設，其主要信息系統(tǒng)有1個等級保護二級系統(tǒng)。依據(jù)《