2、等級(jí)保護(hù)交流

構(gòu)建安全能力提升業(yè)務(wù)價(jià)值等級(jí)保護(hù)交流TOPSEC安徽平臺(tái)羅川CISS、等保流程介紹等級(jí)保護(hù)介紹等級(jí)保護(hù)是對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按其重要程度及實(shí)際安全需求，合理投入，分級(jí)進(jìn)行保護(hù)，分類(lèi)指導(dǎo)，分階段實(shí)施，保障信息系統(tǒng)安全正常運(yùn)行和信息安全，提高信息安全綜合防護(hù)能力，保障國(guó)家安全，維護(hù)社會(huì)秩序和穩(wěn)定，保障并促進(jìn)信息化建設(shè)健康發(fā)展，拉動(dòng)信息安全和基礎(chǔ)信息科學(xué)技術(shù)發(fā)展與產(chǎn)業(yè)化的國(guó)家層面的信息安全制度。進(jìn)而牽動(dòng)經(jīng)濟(jì)發(fā)展，提高綜合國(guó)力。針對(duì)等級(jí)保護(hù)，國(guó)家陸續(xù)出臺(tái)了一系列的標(biāo)準(zhǔn)、制度，使其作為國(guó)家層面的信息安全保障基本制度在全社會(huì)廣泛執(zhí)行。信息安全等級(jí)保護(hù)政策體系系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案信息系統(tǒng)定級(jí)原則：“自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”。定級(jí)工作流程：摸底調(diào)查、確定定級(jí)對(duì)象、對(duì)信息系統(tǒng)進(jìn)行重要性分析、確定信息系統(tǒng)安全保護(hù)等級(jí)、組織專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。等級(jí)保護(hù)實(shí)施過(guò)程——系統(tǒng)定級(jí)

系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案1、信息系統(tǒng)備案第二級(jí)以上信息系統(tǒng)，由信息系統(tǒng)運(yùn)營(yíng)使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)辦理備案手續(xù)，填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部備案；其他信息系統(tǒng)向北京市公安局備案?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。各部委統(tǒng)一定級(jí)信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級(jí)主管部門(mén)定級(jí)的，也要到當(dāng)?shù)毓簿W(wǎng)絡(luò)安全保衛(wèi)部門(mén)備案。2、受理備案與審核公安機(jī)關(guān)對(duì)備案材料進(jìn)行審核，定級(jí)準(zhǔn)確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。發(fā)現(xiàn)定級(jí)不準(zhǔn)的，通知備案單位重新審核確定。3、備案管理將備案信息系統(tǒng)錄入重要信息系統(tǒng)安全管理系統(tǒng)進(jìn)行管理。備案材料1《信息系統(tǒng)安全等級(jí)保護(hù)備案表》二級(jí)以上2系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明三級(jí)以上3系統(tǒng)安全組織機(jī)構(gòu)和管理制度4系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案5系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可證明6測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告7信息系統(tǒng)安全保護(hù)等級(jí)專(zhuān)家評(píng)審意見(jiàn)8主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)等級(jí)保護(hù)實(shí)施過(guò)程——系統(tǒng)備案系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案范圍：已備案的第二級(jí)（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍。尚未開(kāi)展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，定級(jí)不準(zhǔn)的要先糾正，再開(kāi)展安全建設(shè)整改。新建系統(tǒng)要同步開(kāi)展安全建設(shè)工作。步驟：第一步：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；第二步：開(kāi)展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求；第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開(kāi)展信息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施；第五步：開(kāi)展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開(kāi)展安全建設(shè)整改工作。等級(jí)保護(hù)實(shí)施過(guò)程——建設(shè)整改

系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案信息系統(tǒng)安全管理基本要求系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案信息系統(tǒng)安全技術(shù)基本要求等級(jí)保護(hù)二級(jí)、三級(jí)系統(tǒng)主要控制措施對(duì)比安全類(lèi)別控制項(xiàng)主要安全措施二級(jí)保護(hù)措施三級(jí)保護(hù)措施物理安全物理訪(fǎng)問(wèn)控制機(jī)房安排專(zhuān)人負(fù)責(zé)，來(lái)訪(fǎng)人員須審批和陪同■■重要區(qū)域配置門(mén)禁系統(tǒng)

■防盜竊和防破壞暴露在公共場(chǎng)所的網(wǎng)絡(luò)設(shè)備須具備安全保護(hù)措施■■主機(jī)房安裝監(jiān)控報(bào)警系統(tǒng)

■防雷擊機(jī)房計(jì)算機(jī)系統(tǒng)接地符合GB50057

1994《建筑物防雷設(shè)計(jì)規(guī)范》中的計(jì)算機(jī)機(jī)房防雷要求■■機(jī)房電源、網(wǎng)絡(luò)信號(hào)線(xiàn)、重要設(shè)備安裝有資質(zhì)的防雷裝置

■防火機(jī)房設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)■■機(jī)房配置自動(dòng)滅火裝置

■電力供應(yīng)機(jī)房及關(guān)鍵設(shè)備應(yīng)配置UPS備用電力供應(yīng)■■醫(yī)院重要科室應(yīng)采用雙回路電源供電■■環(huán)境監(jiān)控機(jī)房設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施■■機(jī)房設(shè)置防水檢測(cè)和報(bào)警設(shè)施

■對(duì)機(jī)房關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽

■等級(jí)保護(hù)二級(jí)、三級(jí)系統(tǒng)主要控制措施對(duì)比網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)應(yīng)按職能和重要程度不同劃分網(wǎng)段■■重要網(wǎng)段之間應(yīng)采用技術(shù)隔離，如防火墻

■訪(fǎng)問(wèn)控制網(wǎng)絡(luò)邊界部署防火墻或網(wǎng)閘■■安全審計(jì)網(wǎng)絡(luò)日志審計(jì)、網(wǎng)絡(luò)運(yùn)維管理安全審計(jì)■■邊界完整性檢查采用準(zhǔn)入控制系統(tǒng)實(shí)現(xiàn)準(zhǔn)入控制、非法外聯(lián)檢查■■采用準(zhǔn)入控制系統(tǒng)實(shí)現(xiàn)準(zhǔn)入控制及非法外聯(lián)可阻斷

■入侵防范入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)■■惡意代碼防范防病毒網(wǎng)關(guān)

■主機(jī)安全入侵防范采用服務(wù)器安全加固■■安全審計(jì)采用終端管理系統(tǒng)實(shí)現(xiàn)安全審計(jì)■■惡意代碼防范防病毒軟件■■應(yīng)用安全身份鑒別采用雙因素如數(shù)字證書(shū)認(rèn)證措施

■安全審計(jì)安全審計(jì)系統(tǒng)■■數(shù)據(jù)安全與備份恢復(fù)備份與恢復(fù)本地?cái)?shù)據(jù)備份與恢復(fù)■■硬件冗余關(guān)鍵網(wǎng)絡(luò)設(shè)備、線(xiàn)路和服務(wù)器硬件冗余■■異地備份異地?cái)?shù)據(jù)備份

■等級(jí)保護(hù)二級(jí)和三級(jí)系統(tǒng)涉及主要安全產(chǎn)品對(duì)比二級(jí)涉及安全產(chǎn)品防火墻入侵檢測(cè)防病毒軟件安全審計(jì)VPN……三級(jí)涉及安全產(chǎn)品防火墻入侵防御網(wǎng)絡(luò)病毒防護(hù)安全審計(jì)VPN強(qiáng)身份認(rèn)證安全管理中心終端安全管理……系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級(jí)測(cè)評(píng)，在工程預(yù)算中應(yīng)當(dāng)包括等級(jí)測(cè)評(píng)費(fèi)用。對(duì)第三級(jí)（含）以上信息系統(tǒng)每年要進(jìn)行等級(jí)測(cè)評(píng)，并對(duì)測(cè)評(píng)費(fèi)用做出預(yù)算。在公安部備案的信息系統(tǒng)應(yīng)選擇國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)；在?。▍^(qū)、市）、地市級(jí)公安機(jī)關(guān)備案的信息系統(tǒng)，備案單位應(yīng)選擇本?。▍^(qū)、市）信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室或國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)。目前國(guó)家級(jí)7家，北京市級(jí)10家。測(cè)評(píng)時(shí)機(jī)：建設(shè)整改后開(kāi)展等級(jí)測(cè)評(píng)，檢驗(yàn)整改效果。測(cè)評(píng)頻率：第三級(jí)以上定期；第二級(jí)參照。測(cè)評(píng)費(fèi)用：參照國(guó)家信息化項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)或根據(jù)被測(cè)設(shè)備數(shù)量與測(cè)評(píng)項(xiàng)預(yù)算測(cè)評(píng)費(fèi)用。測(cè)評(píng)目的一是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)等級(jí)的安全保護(hù)能力。等級(jí)保護(hù)實(shí)施過(guò)程——等級(jí)測(cè)評(píng)系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案?jìng)浒竼挝粦?yīng)定期開(kāi)展自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí)情況等。行業(yè)主管部門(mén)定期組織對(duì)本行業(yè)、本部門(mén)等級(jí)保護(hù)工作開(kāi)展情況進(jìn)行檢查，督促落實(shí)信息安全等級(jí)保護(hù)制度，達(dá)到重點(diǎn)督促，以點(diǎn)帶面的目的。第三級(jí)、第四級(jí)信息系統(tǒng)，由受理備案的公安機(jī)關(guān)進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門(mén)進(jìn)行。公安機(jī)關(guān)監(jiān)督檢查內(nèi)容包括：等級(jí)保護(hù)工作部署和組織實(shí)施情況信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案情況信息安全設(shè)施建設(shè)情況和信息安全整改情況運(yùn)營(yíng)、使用單位信息安全管理制度建立和措施落實(shí)情況信息安全產(chǎn)品選擇和使用情況聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)開(kāi)展技術(shù)測(cè)評(píng)工作情況運(yùn)營(yíng)、使用單位對(duì)信息系統(tǒng)安全狀況定期自查情況及其主管部門(mén)督導(dǎo)檢查情況等級(jí)保護(hù)實(shí)施過(guò)程——安全自查與監(jiān)督檢查基于等級(jí)保護(hù)生命周期的安全服務(wù)系統(tǒng)定級(jí)安全建設(shè)整改等級(jí)測(cè)評(píng)安全自查與監(jiān)督檢查系統(tǒng)備案定級(jí)咨詢(xún)服務(wù)安全規(guī)劃與整改方案設(shè)計(jì)服務(wù)整改集成實(shí)施服務(wù)協(xié)助測(cè)評(píng)服務(wù)系統(tǒng)調(diào)查系統(tǒng)定級(jí)定級(jí)報(bào)告專(zhuān)家評(píng)審協(xié)助備案安全需求分析安全策略設(shè)計(jì)解決方案設(shè)計(jì)安全建設(shè)規(guī)劃技術(shù)整改管理整改安全加固安全培訓(xùn)測(cè)評(píng)準(zhǔn)備協(xié)助測(cè)評(píng)風(fēng)險(xiǎn)評(píng)估服務(wù)差距評(píng)估服務(wù)測(cè)評(píng)準(zhǔn)備方案編制現(xiàn)場(chǎng)評(píng)估報(bào)告編制安全巡檢應(yīng)急響應(yīng)安全通告售后服務(wù)安全運(yùn)維服務(wù)等級(jí)保護(hù)體系框架設(shè)計(jì)思路安全技術(shù)體系設(shè)計(jì)安全管理體系設(shè)計(jì)安全運(yùn)維服務(wù)設(shè)計(jì)安全計(jì)算環(huán)境設(shè)計(jì)安全區(qū)域邊界設(shè)計(jì)安全通信網(wǎng)絡(luò)設(shè)計(jì)安全管理中心設(shè)計(jì)安全管理體系設(shè)計(jì)流程安全管理組織體系建設(shè)安全管理制度體系建設(shè)人員安全規(guī)劃系統(tǒng)建設(shè)規(guī)劃系統(tǒng)安全監(jiān)控人員駐場(chǎng)值守事件應(yīng)急響應(yīng)網(wǎng)絡(luò)及安全設(shè)備維護(hù)系統(tǒng)安全維護(hù)完善安全管理制度等級(jí)保護(hù)解決方案

安全服務(wù)確保技術(shù)與管理有效落地、執(zhí)行和改進(jìn)安全域邊界保護(hù)等級(jí)保護(hù)安全服務(wù)安全事件管理網(wǎng)絡(luò)準(zhǔn)入安全管理桌面安全管理安全區(qū)域細(xì)分細(xì)化區(qū)域邊界訪(fǎng)問(wèn)控制策略安全邊界安全監(jiān)控核心數(shù)據(jù)區(qū)域安全審計(jì)互聯(lián)網(wǎng)出口管理網(wǎng)絡(luò)準(zhǔn)入認(rèn)證與授權(quán)控制移動(dòng)辦公安全安全補(bǔ)丁收集、分發(fā)系統(tǒng)弱點(diǎn)自動(dòng)發(fā)現(xiàn)、分析能力終端合規(guī)行為管理事件監(jiān)控能力事件快速響應(yīng)能力周期性安全巡檢完善安全管理制度目錄二、等保實(shí)力介紹標(biāo)準(zhǔn)參與者參與多項(xiàng)等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的起草《實(shí)施指南》，《定級(jí)指南》，《基本要求》國(guó)信辦25號(hào)文件《電子政務(wù)等級(jí)保護(hù)實(shí)施指南》信產(chǎn)部《電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》系列標(biāo)準(zhǔn)試點(diǎn)主力軍組織與參與國(guó)內(nèi)多個(gè)的試點(diǎn)案例國(guó)信辦河南濟(jì)源電子政務(wù)等保試點(diǎn)參與公安部13個(gè)省試點(diǎn)中的北京、山西、浙江、湖北、重慶五省的試點(diǎn)工作國(guó)內(nèi)最典型的案例：通過(guò)三年規(guī)劃，實(shí)施了十幾個(gè)項(xiàng)目，基本建成符合等級(jí)保護(hù)制度的安全體系參與多個(gè)等級(jí)保護(hù)試點(diǎn)工程項(xiàng)目北京市農(nóng)業(yè)局等級(jí)保護(hù)評(píng)估規(guī)劃服務(wù)北京市農(nóng)村商業(yè)銀行等級(jí)保護(hù)建設(shè)山西省新聞網(wǎng)信息安全等級(jí)保護(hù)建設(shè)武漢物價(jià)局信息安全等級(jí)保護(hù)建設(shè)溫州電子政務(wù)信息安全等級(jí)保護(hù)建設(shè)重慶軌道交通安全等級(jí)保護(hù)建設(shè)安全服務(wù)具有豐富的經(jīng)驗(yàn)具有電信，銀行，政府，能源等行業(yè)的多個(gè)成功安服項(xiàng)目案例成為多個(gè)省級(jí)等級(jí)保護(hù)技術(shù)支持單位湖北、四川、黑龍江、重慶、廣州物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全身份鑒別（S）安全標(biāo)記（S）訪(fǎng)問(wèn)控制（S）可信路徑（S）安全審計(jì)（G）剩余信息保護(hù)（S）物理位置的選擇（G）物理訪(fǎng)問(wèn)控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應(yīng)（A）數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）備份與恢復(fù)（A）防靜電（G）電磁防護(hù)（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結(jié)構(gòu)安全（G）訪(fǎng)問(wèn)控制（G）安全審計(jì)（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）身份鑒別（S）剩余信息保護(hù)（S）安全標(biāo)記（S）訪(fǎng)問(wèn)控制（S）可信路徑（S）安全審計(jì)（G）通信完整性（S）通信保密性（S）抗抵賴(lài)（G）軟件容錯(cuò)（A）資源控制（A）技術(shù)要求防火墻UTM流量控制網(wǎng)絡(luò)審計(jì)日志審計(jì)終端安全管理IDS/IPS防病毒網(wǎng)關(guān)堡壘機(jī)安全加固服務(wù)網(wǎng)管系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)日志審計(jì)漏洞掃描堡壘機(jī)終端安全安管平臺(tái)安全加固系統(tǒng)網(wǎng)管系統(tǒng)病毒軟件PKI/CAWeb防火墻Web防篡改VPN安全加固服務(wù)VPN數(shù)據(jù)安全產(chǎn)品數(shù)據(jù)存儲(chǔ)、備份提供等保落地安全產(chǎn)品※天融信安全服務(wù)團(tuán)隊(duì)由一批經(jīng)驗(yàn)豐富，富有責(zé)任心和使命感的專(zhuān)業(yè)技術(shù)人員組成，多人擁有TCSP、CISP、CISSP、C