信息系统安全保护——领导版

1、讲义大纲讲义大纲叁叁蓝盾的优势蓝盾的优势壹壹等级保护介绍等级保护介绍肆肆典型案例与客户典型案例与客户贰贰蓝盾等保服务与解决方案蓝盾等保服务与解决方案有朋自远方来有朋自远方来 不亦乐乎不亦乐乎信息安全等级保护基本概念信息安全等级保护基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等级系统中使用的

2、安全产品实行按等级管理，对信息系统中发生的信息安全事件等级响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施响应、处置。这里所指的信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。络；信息是指在信息系统中存储、传输、处理的数字化信息。信息系统安全保护得到重视信息系统安全保护得到重视 2003年中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强年中央办公厅、国务院办公厅转发了国家信

3、息化领导小组关于加强信息安全保障工作的意见（中办发信息安全保障工作的意见（中办发200327号）以及号）以及2004年年9月四部委月四部委局联合签发的关于信息安全等级保护工作的实施意见等信息安全等级局联合签发的关于信息安全等级保护工作的实施意见等信息安全等级保护的文件明确指出，保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。制定信息安全等级保护的管理办法和技术指南。

4、 2009年年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文广东省深化信息安全等级保护工作方案组联合发文广东省深化信息安全等级保护工作方案(粤公通字粤公通字200945号号)中又再次指出，中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全使信息系统安全建设更加突出重点

5、、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设设”。 国家标准及政策文件国家标准及政策文件2003年9月中办国办颁发关于加强信息安全保障工作的意见中办发200327号2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号2005年9月国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号2006年1月四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号2005年 公安部标准基本要求定级指南实施指南测评准则北京北京

6、政府第9号令浙江浙江省人民政府令 广东广东省深化信息安全等级保护工作方案粤公通字200945号国家级政策文件国家级政策文件国家级技术标准国家级技术标准国家级政策文件国家级政策文件地方政策文件地方政策文件信息系统的安全保护的等级划分信息系统的安全保护的等级划分第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；造成损害，但不损害国家安全、社会秩序和公共利益；第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权

7、益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；全；第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；或者对国家安全造成损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；损害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级，信息系统受到破坏后，会对国家安全

8、造成特别严重损害。讲义大纲讲义大纲叁叁蓝盾的优势蓝盾的优势壹壹等级保护介绍等级保护介绍肆肆典型案例与客户典型案例与客户贰贰蓝盾等保服务与解决方案蓝盾等保服务与解决方案有朋自远方来有朋自远方来 不亦乐乎不亦乐乎等保实施生命周期内的主要活动等保实施生命周期内的主要活动安全规划设计阶段等级化风险评估分级保护模型化处理安全策略规划安全建设规划安全建设详细方案设计安全实施/实现阶段安全产品采购安全控制开发安全控制集成测试与验收安全等级测评运行批准系统备案运行管理和状态监控阶段操作管理和控制配置管理和控制变更管理和控制安全状态监控安全事件处理和应急预案监督和检查持续改进系统定级阶段系统调查和描述子系统划分

9、子系统定级子系统边界设定定级结果文档化信息系统等级保护实施生命周期内的主要活动安全组织与职责设计安全组织与职责设计安全培训与资质认证安全培训与资质认证安全策略体系与流程设计安全策略体系与流程设计网络与应用加密服务平台网络与应用加密服务平台业务应用系统安全改造业务应用系统安全改造数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台设备安全配置与加固设备安全配置与加固安全域划分与边界访问控制平台安全域划分与边界访问控制平台安全管理运行中心安全管理运行中心安全策略与流程推广实施安全策略与流程推广实施安全体系推广与常年咨询安全体系推广与常年咨询防病毒、补丁和终端管理

10、平台防病毒、补丁和终端管理平台统一安全监控与审计平台统一安全监控与审计平台安全技术体系建设安全技术体系建设安全组织体系建设安全组织体系建设安全策略体系建设安全策略体系建设安全运行体系建设安全运行体系建设安全调查与风险评估安全调查与风险评估等级保护体系设计等级保护体系设计等级保护定级咨询等级保护定级咨询等级保护测评支持与咨询等级保护测评支持与咨询定级阶段定级阶段规划阶段规划阶段整改阶段整改阶段常年安全运维外包服务常年安全运维外包服务安全托管监控与管家服务安全托管监控与管家服务等级保护阶段等级保护阶段蓝盾等保服务与解决方案蓝盾等保服务与解决方案安全规划安全规划方案设计方案设计等等保保技技术术整整改

11、改集集成成等等保保管管理理整整改改服服务务等保评估服务等保评估服务等保定级服务等保定级服务等保测评支持服务等保测评支持服务测评阶段测评阶段蓝盾等保服务与解决方案蓝盾等保服务与解决方案等保定级服务等保定级服务：在用户等级保护建设的定级阶段提供。蓝盾将协助用户对信息系统进行划在用户等级保护建设的定级阶段提供。蓝盾将协助用户对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后协助用户完成保护等级分，并根据信息系统的价值确定信息系统的保护等级，等级确定后协助用户完成保护等级的备案工作；的备案工作；等保评估服务等保评估服务：在用户等级保护建设的规划阶段提供。蓝盾针对用户的信息系统进

12、行全面在用户等级保护建设的规划阶段提供。蓝盾针对用户的信息系统进行全面的评估，根据评估的结果和信息系统确认的保护等级，结合的评估，根据评估的结果和信息系统确认的保护等级，结合“信息系统安全等级保护基本信息系统安全等级保护基本要求要求”中对各级别信息系统的技术和管理要求，调整相应的安全保护措施，并完成安全保中对各级别信息系统的技术和管理要求，调整相应的安全保护措施，并完成安全保障系统的整体规划；障系统的整体规划；等保管理整改服务：等保管理整改服务：在用户等级保护建设的整改阶段提供。蓝盾将根据等级保护基本管理在用户等级保护建设的整改阶段提供。蓝盾将根据等级保护基本管理要求，结合用户的实际需求，协助

13、用户建设相应的组织体系、策略体系、运行体系，从而要求，结合用户的实际需求，协助用户建设相应的组织体系、策略体系、运行体系，从而全面提升用户安全管理的层次和能力；全面提升用户安全管理的层次和能力；等保测评支持服务等保测评支持服务：在用户等级保护建设的测评阶段提供。在完成等级保护整改活动后，在用户等级保护建设的测评阶段提供。在完成等级保护整改活动后，蓝盾将协助用户，准备测评材料，在测评过程中提供技术支持服务。蓝盾将协助用户，准备测评材料，在测评过程中提供技术支持服务。等保技术整改集成等保技术整改集成服务：服务：在用户等级保护建设的整改阶段提供。蓝盾将根据等级保护基本在用户等级保护建设的整改阶段提供

14、。蓝盾将根据等级保护基本技术要求，结合用户的实际需求，协助用户完成安全设备的选型、采购、安装、策略配置技术要求，结合用户的实际需求，协助用户完成安全设备的选型、采购、安装、策略配置等活动，协助用户搭建完善的技术防护系统，保障应用系统的安全可靠；等活动，协助用户搭建完善的技术防护系统，保障应用系统的安全可靠；讲义大纲讲义大纲叁叁蓝盾的优势蓝盾的优势壹壹等级保护介绍等级保护介绍肆肆典型案例与客户典型案例与客户贰贰蓝盾等保服务与解决方案蓝盾等保服务与解决方案有朋自远方来有朋自远方来 不亦乐乎不亦乐乎蓝盾的优势蓝盾的优势作为首家获得作为首家获得广东省计算机信息系统安全服务资质证广东省计算机信息系统安全

15、服务资质证和和广东省信息安全等广东省信息安全等级保护测评机构级保护测评机构（粤测评（粤测评GA001)一级安全服务资质的公司，蓝盾信息安全技一级安全服务资质的公司，蓝盾信息安全技术股份有限公司是国内最早从事网络安全服务的专业性公司之一。早在术股份有限公司是国内最早从事网络安全服务的专业性公司之一。早在2006年，年，广州市商业银行广州市商业银行(现广州银行现广州银行)作为广东省首家银行信息系统等级保护的试点单位作为广东省首家银行信息系统等级保护的试点单位就与公司签订了信息安全服务协议。在公司的协助下，顺利的完成了信息系统等就与公司签订了信息安全服务协议。在公司的协助下，顺利的完成了信息系统等级

16、保护的相关工作。公司通过多年来在安全产品的研发、客户服务中，逐步形成级保护的相关工作。公司通过多年来在安全产品的研发、客户服务中，逐步形成了一套完善的信息安全工程体系，它以专业理论和技术为支撑；以多种专业测试了一套完善的信息安全工程体系，它以专业理论和技术为支撑；以多种专业测试工具为手段（包含自主研发的安全检测工具）；以国际和国家信息安全标准为实工具为手段（包含自主研发的安全检测工具）；以国际和国家信息安全标准为实施规范。蓝盾公司安全服务为客户提供全面的，专业的安全支持。施规范。蓝盾公司安全服务为客户提供全面的，专业的安全支持。一级一级粤测评粤测评GA001讲义大纲讲义大纲叁叁蓝盾的优势蓝盾的

17、优势壹壹等级保护介绍等级保护介绍肆肆典型案例与客户典型案例与客户贰贰蓝盾等保服务与解决方案蓝盾等保服务与解决方案有朋自远方来有朋自远方来 不亦乐乎不亦乐乎典型案例典型案例丰富的案例丰富的案例自从蓝盾安全评估服务自从蓝盾安全评估服务中心成立以来，已经具中心成立以来，已经具有丰富的各个行业的成有丰富的各个行业的成功安全服务案例，先后功安全服务案例，先后与上海证券交易所、省与上海证券交易所、省交通厅、省水利厅、中交通厅、省水利厅、中山市信息中心等山市信息中心等360多多个单位做了安全评估服个单位做了安全评估服务，获得了良好的社会务，获得了良好的社会效果。效果。360广州市商业银行广州市商业银行广州市

18、商业银行是广东省首家信息系统等级保护的试点单位，在等级保护试点实广州市商业银行是广东省首家信息系统等级保护的试点单位，在等级保护试点实施工作中认真贯彻了施工作中认真贯彻了2003年中央办公厅、国务院办公厅下发的年中央办公厅、国务院办公厅下发的国家信息化领导国家信息化领导小组关于加强信息安全保障工作的意见小组关于加强信息安全保障工作的意见（中发办（中发办200327号）以及号）以及2004年年9月月四部委局联合签发的四部委局联合签发的关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见等信息安全等级等信息安全等级保护的文件精神，结合广州市商业银行信息系统的实际情况，遵循保护的文件

19、精神，结合广州市商业银行信息系统的实际情况，遵循信息系统安信息系统安全等级保护实施指南全等级保护实施指南，在等级保护试点实施工作中，初步定位等级保护三级，在等级保护试点实施工作中，初步定位等级保护三级，并对信息系统按等级保护基本要求按三级进行测评。达到通过公安部信息系统安并对信息系统按等级保护基本要求按三级进行测评。达到通过公安部信息系统安全等级保护评审的目的，成为通过省内首个通过安全等级保护条令评审的金融机全等级保护评审的目的，成为通过省内首个通过安全等级保护条令评审的金融机构。构。广东电网广东电网广东电网作为南方电网供电能力最大的子公司，是全国乃至亚洲最大的省级电力广东电网作为南方电网供电

20、能力最大的子公司，是全国乃至亚洲最大的省级电力供应系统。其信息系统的安全直接影响着广东省供应系统。其信息系统的安全直接影响着广东省21个地市的供电安全。因此根据个地市的供电安全。因此根据国家信息系统安全等级保护要求、南方电网风险管理体系建设要求，对广东电网国家信息系统安全等级保护要求、南方电网风险管理体系建设要求，对广东电网本部和本部和21个地市供电局信息系统（共计约个地市供电局信息系统（共计约160余个二三级信息系统）进行等级保余个二三级信息系统）进行等级保护测评、风险评估和信息安全评价体系建设。为了符合护测评、风险评估和信息安全评价体系建设。为了符合广东省深化等级保护工广东省深化等级保护工

21、作方案作方案工作部署，现已完成等级保护测评工作。下一阶段将依据工作部署，现已完成等级保护测评工作。下一阶段将依据ISO27001和和GB/T-20984对信息系统进行风险评估和评价体系建设。对信息系统进行风险评估和评价体系建设。东莞供电局东莞供电局东莞供电局作为广东电网的重要组成部门承担了东莞市的电力保障任务。按东莞供电局作为广东电网的重要组成部门承担了东莞市的电力保障任务。按广广东省深化等级保护工作方案东省深化等级保护工作方案要求，需要在要求，需要在8月前完成等级保护安全整改建设。月前完成等级保护安全整改建设。在此基础上，东莞供电局进一步希望通过风险评估找到现有信息系统中存在的重在此基础上，

22、东莞供电局进一步希望通过风险评估找到现有信息系统中存在的重大风险。因此将从大风险。因此将从2009年年9月起，对东莞供电局管理系统进行全面的风险评估，月起，对东莞供电局管理系统进行全面的风险评估，在风险评估基础上识别关键资产、威胁、脆弱性和安全控制措施，并建立其信息在风险评估基础上识别关键资产、威胁、脆弱性和安全控制措施，并建立其信息安全风险评价体系。逐步完善依据安全风险评价体系。逐步完善依据ISO27001的信息安全管理体系。的信息安全管理体系。广州市电视台广州市电视台广州市电视台是国内较有规模的城市电视台。广州市电视台是国内较有规模的城市电视台。1988年年1月月10日开播综合频道。日开播

23、综合频道。1994年开办有线广播电视，现有线节目六套，分别为英语频道、影视频道、新闻年开办有线广播电视，现有线节目六套，分别为英语频道、影视频道、新闻频道、经济频道、竞赛频道、少儿频道。现有线网络用户为频道、经济频道、竞赛频道、少儿频道。现有线网络用户为160万户，转播传输万户，转播传输43套优质电视节目。为了更好保护市电视台综合信息系统的安全运行，对其综合套优质电视节目。为了更好保护市电视台综合信息系统的安全运行，对其综合信息网依据信息网依据等级保护定级指南等级保护定级指南协助其编制定级材料。在通过广州市网监备案协助其编制定级材料。在通过广州市网监备案后，依据等级保护二级标准进行了等级保护测

24、评。由于综合信息系统安全建设基后，依据等级保护二级标准进行了等级保护测评。由于综合信息系统安全建设基础较好，顺利通过了等级保护测评，并提交广州市网监分局备案。础较好，顺利通过了等级保护测评，并提交广州市网监分局备案。广东集成利期货公司广东集成利期货公司佛山市目前已完成等级保护的定级工作，有约佛山市目前已完成等级保护的定级工作，有约600家单位在佛山市网监进行了定家单位在佛山市网监进行了定级报告的备案工作，按佛山市网监的要求，当前需要启动对所有定级单位进行等级报告的备案工作，按佛山市网监的要求，当前需要启动对所有定级单位进行等级测评工作，广东集成利期货公司作为首批佛山等保测评试点单位。对其主要信

25、级测评工作，广东集成利期货公司作为首批佛山等保测评试点单位。对其主要信息系统进行了等级保护定级，共计息系统进行了等级保护定级，共计5个等级保护二级系统。再次基础上，依据个等级保护二级系统。再次基础上，依据等级保护测评准则等级保护测评准则对其进行等级保护测评。在测评过程中，发现较多不符合对其进行等级保护测评。在测评过程中，发现较多不符合项。因此在初步测评的基础上，进行了等级保护安全整改方案设计。项。因此在初步测评的基础上，进行了等级保护安全整改方案设计。佛山市人口和计划生育局佛山市人口和计划生育局佛山市人口和计划生育局目前已完成等级保护的定级工作，按佛山市网监的要求，佛山市人口和计划生育局目前已完成等级保护的定级工作，按佛山市网监的要求，当前需要启动对所有定级单位