等级保护保护交流

1、等级保护与安全规划探讨等级保护与安全规划探讨我们怎么看待等级保护？我们怎么看待等级保护？我们怎么开展等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？我们采用什么样的技术方法？现在，我们第一步做什么？现在，我们第一步做什么？今天探讨的几个问题今天探讨的几个问题等级保护的定义等级保护的定义 信息安全等级保护是指根据信息系统在国家安全、社信息安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度以及会稳定、经济秩序和公共利益等方面的重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应

2、等级的安全保护技术、同的安全保护等级并采取相应等级的安全保护技术、管理措施，以保障信息系统安全和信息安全。管理措施，以保障信息系统安全和信息安全。 实行等级保护的目的实行等级保护的目的v 有利于突出重点有利于突出重点，重点解决信息基础设施、重要信息系统的，重点解决信息基础设施、重要信息系统的信息安全薄弱的问题信息安全薄弱的问题v 国内信息化发展的地区、行业不均衡的特点，国内信息化发展的地区、行业不均衡的特点，信息安全的等信息安全的等级是客观存在的级是客观存在的，需要满足不同行业、不同发展阶段、不同，需要满足不同行业、不同发展阶段、不同层次的要求层次的要求v 有利于控制安全的成本有利于控制安全的

3、成本等级保护是一项国家政策等级保护是一项国家政策 等级保护是今后一段时间内国家信息安全的基等级保护是今后一段时间内国家信息安全的基本制度（本制度（27号文、号文、66号文明确）号文明确） 在信息安全领域，等级保护在未来两、三年内在信息安全领域，等级保护在未来两、三年内将作为信息安全工作的根本方法将作为信息安全工作的根本方法 信息安全的工作思路、解决方案、工作规划、产品信息安全的工作思路、解决方案、工作规划、产品采购、安全集成都将依据等级保护进行采购、安全集成都将依据等级保护进行 今年要求完成定级工作，明年开始实施和测评今年要求完成定级工作，明年开始实施和测评等级保护的实现原理等级保护的实现原理

4、20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障工作的意见（中办发（中办发200327200327号）号）20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见（公通字（公通字200466200466号）号）20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政务信息电子政务信息系统信息安全等级保护实施系统信息安全等级保护实施指南指南的通知的通知 （国信办（国信办200425200425号）号）20052005年年 公安部标准公安部标准等级保护安全要求等

5、级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架，制定本理论框架，制定了方法，过程和标了方法，过程和标准准19941994年年国务院颁布国务院颁布中华人民中华人民共和国计算机信息系统共和国计算机信息系统安全保护条例安全保护条例20062006年年 四部委会签四部委会签公通字公

6、通字2006720067号文件号文件（关于印发（关于印发信息安全信息安全等级保护管理办法（试等级保护管理办法（试行）行）的通知）的通知） 等级保护政策文件演进等级保护政策文件演进2007年年7月月16日日 四部门会签四部门会签公信安公信安2007861号文件：四部号文件：四部门下发门下发关于开展全国重要信关于开展全国重要信息系统安全等级保护定级工作息系统安全等级保护定级工作的通知的通知正式规定了等级保护正式规定了等级保护各方面的管理办法各方面的管理办法为等级保护开展提供了为等级保护开展提供了基础数据参考基础数据参考布置了等级保护的实质性布置了等级保护的实质性工作的第一阶段工作的第一阶段2007

7、2007年年 四部委会签四部委会签公通字公通字200743200743号文号文件件信息安全等级保信息安全等级保护管理办法护管理办法 替代公通字替代公通字2006720067号文件，号文件，明确了等级保护的具体操明确了等级保护的具体操作办法和各部委的职责，作办法和各部委的职责，以及推进等级保护的具体以及推进等级保护的具体事宜事宜20062006年年 公安部、国信办公安部、国信办下发了下发了关于开展信息系关于开展信息系统安全等级保护基础调查统安全等级保护基础调查工作的通知工作的通知从从20062006年年1 1月月1010日到日到4 4月月1010日，分三个阶段对国家重日，分三个阶段对国家重要的基

8、础信息系统进行摸要的基础信息系统进行摸底，包括党政机关、财政、底，包括党政机关、财政、海关、能源、金融、社会海关、能源、金融、社会保障等行业（保障等行业（2+2X2+2X）2007年年7月至月至10月在全国范围内月在全国范围内组织开展重要信息系统安全等组织开展重要信息系统安全等级保护定级工作级保护定级工作 ，其中包括公，其中包括公用通信网、广播电视传输网等用通信网、广播电视传输网等基础信息网络基础信息网络 以及铁路、银行、以及铁路、银行、海关、税务、民航、电力、证海关、税务、民航、电力、证券、保险、外交、人事劳动和券、保险、外交、人事劳动和社会保障、财政、等行业社会保障、财政、等行业（2+2X

9、） 等级保护政策文件演进等级保护政策文件演进等级保护实施的通常流程等级保护实施的通常流程7. 7. 安全体系运营和维护安全体系运营和维护6.6.测评后整改测评后整改1.1.系统定级系统定级3.3.安全体系与规划安全体系与规划2.2.等级化风险评估等级化风险评估4.4.本年安全建设本年安全建设系列安全项目实施系列安全项目实施内部安全管理建设内部安全管理建设5.5.年度系统测评年度系统测评6.6.测评后整改测评后整改4.4.下一年安全建设下一年安全建设系列安全项目实施系列安全项目实施内部安全管理建设内部安全管理建设5.5.年度系统测评年度系统测评大型客户大型客户7. 7. 安全系统运营和维护安全系

10、统运营和维护1.1.系统定级系统定级4.4.整改方案与计划整改方案与计划3.3.年度测评年度测评/ /评估评估5.5.本年安全项目建设本年安全项目建设6.6.整改后复核整改后复核中小型客户中小型客户2.2.系统测评准备系统测评准备4.4.整改方案与计划整改方案与计划3.3.下一年度系统测评下一年度系统测评5.5.本年安全项目建设本年安全项目建设6.6.整改后复核整改后复核2.2.系统测评准备系统测评准备我们怎么看待等级保护？我们怎么看待等级保护？首先，我们必须要满足等级保护制度首先，我们必须要满足等级保护制度等级保护是国家信息方面的基本制度，属于法律等级保护是国家信息方面的基本制度，属于法律符

11、合性要求，进出口银行属于国家重点信息系统，符合性要求，进出口银行属于国家重点信息系统，需要满足此制度；需要满足此制度；那我们有几种选择呢？那我们有几种选择呢？1. 某种程度上来应付，尽量小的代价，只要满足公某种程度上来应付，尽量小的代价，只要满足公安的要求就好安的要求就好2. 认真执行，以此为契机来推动信息安全工作认真执行，以此为契机来推动信息安全工作3. 是个很重要的国家新政策，做好它，在行业内领是个很重要的国家新政策，做好它，在行业内领先，可以成为政绩先，可以成为政绩等级保护的益处等级保护的益处 政策要求，可以促进开展信息安全工作，提起领导和政策要求，可以促进开展信息安全工作，提起领导和各

12、部门的重视，统一思想各部门的重视，统一思想 国家给出信息安全工作的政策方向和技术指导，我们国家给出信息安全工作的政策方向和技术指导，我们可以规避风险可以规避风险 依据国家要求，申请项目和经费较为容易依据国家要求，申请项目和经费较为容易 等级保护还是一套比较先进的方法，做好了对实际工等级保护还是一套比较先进的方法，做好了对实际工作还是有较大帮助作还是有较大帮助 正确定级并遵照标准执行，可以规避部分信息安全责正确定级并遵照标准执行，可以规避部分信息安全责任任等级保护的风险等级保护的风险 要应付公安的检查和测评，额外增加工作量要应付公安的检查和测评，额外增加工作量 如果只是成为一场运动，就会劳民伤财

13、，投资浪费如果只是成为一场运动，就会劳民伤财，投资浪费 标准的制定和执行都会有些僵化，如果不能很好地处标准的制定和执行都会有些僵化，如果不能很好地处理，会带来很多困扰理，会带来很多困扰 如定级过高，过度投资如定级过高，过度投资 额外引进一套体系而难以融合额外引进一套体系而难以融合 和实际情况有差距，和实际情况有差距，“削足适履削足适履”等等 属地化管理，因为省里技术和认识的限制，可能会走属地化管理，因为省里技术和认识的限制，可能会走样，个别省分行会承受很多压力，需要总行来处理样，个别省分行会承受很多压力，需要总行来处理对待等级保护的建议对待等级保护的建议积极来对待等级保护，以此为契机来推动信息

14、安全工作，作为积极来对待等级保护，以此为契机来推动信息安全工作，作为“”，化被动为主动，化被动为主动 国家非常重视，会长期实施，每年检查，要应付也不是很容易国家非常重视，会长期实施，每年检查，要应付也不是很容易：较好地现实情况结合，真正发挥作用：较好地现实情况结合，真正发挥作用 有效整合和利用现有安全设施有效整合和利用现有安全设施 融合其他符合性要求（内控，融合其他符合性要求（内控，2700127001等），形成一套体系等），形成一套体系 反映行业与业务特性，反映安全要求的差异性，并满足超过指标的反映行业与业务特性，反映安全要求的差异性，并满足超过指标的高要求高要求 避免成为走过场，来建立长效

15、机制，做到可持续运行、发展和完善避免成为走过场，来建立长效机制，做到可持续运行、发展和完善： 获得领导的重视和支持，统一各部门的认识获得领导的重视和支持，统一各部门的认识 熟悉国家管理部门和测评机构的规则熟悉国家管理部门和测评机构的规则 选择一个好的合作伙伴选择一个好的合作伙伴我们怎么看待等级保护？我们怎么看待等级保护？我们怎么开展等级保护？我们怎么开展等级保护？我们采用什么样的技术方法？我们采用什么样的技术方法？现在，我们第一步做什么？现在，我们第一步做什么？今天探讨的几个问题今天探讨的几个问题标准中的等级保护生命周期标准中的等级保护生命周期信息系统等级保护实施生命周期内的主要活动规划设计阶

16、段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化大型系统等级保护实施流程大型系统等级保护实施流程7. 7. 安全体系运营和维护安全体系运营和维护6.6.测评后整改测评后整改1.1.系统定级系统定级3.3.安全体系与规划安全体系与规划2.2.等级化风险评估等级化风险评估4.4.本年安全建设本年安全

17、建设系列安全项目实施系列安全项目实施内部安全管理建设内部安全管理建设5.5.年度系统测评年度系统测评6.6.测评后整改测评后整改4.4.下一年安全建设下一年安全建设系列安全项目实施系列安全项目实施内部安全管理建设内部安全管理建设5.5.年度系统测评年度系统测评开展信息安全工作的总体逻辑开展信息安全工作的总体逻辑我们的方向是什么？我们的目标是什么，做成什么样？我们现在的起点在哪里？我们怎么做？做得效果如何，还有什么问题？我们开始做了1.1.信息安全的使命和目标信息安全的使命和目标3.3.安全现状安全现状2.2.安全体系框架与指标安全体系框架与指标4.4.信息安全规划信息安全规划5.5.管理体系推

18、管理体系推广与实施广与实施7.7.体系运营和持续改进体系运营和持续改进6.6.技术体系实技术体系实施与工程建设施与工程建设8.8.定期评估、检查、审计和定期评估、检查、审计和持续改进持续改进安全规划的方法安全规划的方法每年一次每年一次滚动规划滚动规划三年一次三年一次完整规划完整规划1.1.信息安全的宗旨和目标信息安全的宗旨和目标3.3.信息安全现状信息安全现状2.2.信息安全体系框架信息安全体系框架4.4.信息安全规划信息安全规划5.5.管理体系推广管理体系推广与实施与实施7.7.体系运营和维护体系运营和维护6.6.技术体系实施技术体系实施与工程建设与工程建设8.8.定期评估、检查、审计定期评

19、估、检查、审计和持续改进和持续改进安全体系设计安全体系设计与规划项目与规划项目体系设计体系设计安全规划安全规划策略设计策略设计04.11-05.304.11-05.3安全工作进程中关键里程碑安全工作进程中关键里程碑时间时间网络全面深度网络全面深度评估项目评估项目评估安全风险评估安全风险三年安全规划三年安全规划04.6-804.6-804.304.3成立安全领导小成立安全领导小组，确定了安全组，确定了安全工作是工作是0404年重点，年重点，决定启动评估项决定启动评估项目目04.804.8召开公司信息安召开公司信息安全领导小组会议，全领导小组会议，汇报评估结果，汇报评估结果，引起领导高度重引起领导

20、高度重视，认为公司安视，认为公司安全问题非常严重，全问题非常严重，应该作为重点工应该作为重点工作大力来抓。确作大力来抓。确定把建设安全体定把建设安全体系作为核心任务系作为核心任务召开了召开了“公司信公司信息安全工作组第息安全工作组第一次会议一次会议” ” ，建立信息安全组建立信息安全组织，成立安全工织，成立安全工作组和办公室，作组和办公室，会议通过了会议通过了信信息安全组织体系息安全组织体系和职责和职责，05.105.105.405.4召开工作组二召开工作组二次会议，批准次会议，批准了了安全体系安全体系和和安全策略安全策略系列文件系列文件，并下发并下发确定信息安全确定信息安全主管部门主管部门0

21、4.104.1安全规划与等级安全规划与等级保护项目保护项目新的三年规划新的三年规划等级保护认证等级保护认证06.9-07.206.9-07.2开始系统的建设：开始系统的建设：安全域划分和网安全域划分和网络安全改造络安全改造定期安全评估定期安全评估全员安全培训全员安全培训安全体系试点推安全体系试点推广广安全监控与审计安全监控与审计统一身份认证统一身份认证防病毒防病毒安全加固安全加固安全管理系统软安全管理系统软件件05-0605-06年年0404年年0707年年会议会议项目项目信息安全战略使命设计信息安全战略使命设计保障业务安全和稳定的运行，保证业务连续性，保护公司的商业机密保障业务安全和稳定的运

22、行，保证业务连续性，保护公司的商业机密和技术机密，为公司日常运转提供良好基础，支持和促进公司业务目和技术机密，为公司日常运转提供良好基础，支持和促进公司业务目标的实现；标的实现；保护用户隐私，保护用户资料的机密性，维护用户的利益；保护用户隐私，保护用户资料的机密性，维护用户的利益；达到国际一流、国内领先的信息安全保障水平，成为广大用户对公司达到国际一流、国内领先的信息安全保障水平，成为广大用户对公司信赖的基础，提高公司的安全形象，确保客户的信心；信赖的基础，提高公司的安全形象，确保客户的信心；为社会和用户提供安全和持续的业务服务，维护国家安全，社会稳定为社会和用户提供安全和持续的业务服务，维护

23、国家安全，社会稳定和经济秩序，维护公众利益。和经济秩序，维护公众利益。规范业务秩序规范业务秩序保护竞争优势保护竞争优势维护企业声誉维护企业声誉依从法律法规依从法律法规信息安全信息安全战略使命战略使命信息安全工作的目标设计举例信息安全工作的目标设计举例 长期安全目标：长期安全目标： 建成国际一流、国内领先的信息安全保障体系，达建成国际一流、国内领先的信息安全保障体系，达到国际一流、国内领先的信息安全保障水平，同步到国际一流、国内领先的信息安全保障水平，同步或领先的公司信息化水平，保障和促进公司业务发或领先的公司信息化水平，保障和促进公司业务发展和业务目标的实现展和业务目标的实现 20042006

24、年的安全目标：年的安全目标： 短期目标：解决目前急迫和关键的问题，争取在短短期目标：解决目前急迫和关键的问题，争取在短期内安全状况有大幅度提高。期内安全状况有大幅度提高。 三年目标：搭建安全体系框架，初步建成信息安全三年目标：搭建安全体系框架，初步建成信息安全体系体系信息安全工作的目标设计举例信息安全工作的目标设计举例20072009的目标：在全公司范围内逐步建设、的目标：在全公司范围内逐步建设、推广和完善信息安全体系，满足奥运会，推广和完善信息安全体系，满足奥运会，SOX及及等级保护的要求，达到国内领先的水平。等级保护的要求，达到国内领先的水平。逐步完善现有的公司信息安全保障体系，并在全公司

25、逐步完善现有的公司信息安全保障体系，并在全公司范围内进行推广和实施，符合国家等级保护和范围内进行推广和实施，符合国家等级保护和SOX的的要求。要求。根据根据2008北京奥运的安全要求，进行有针对性和高强北京奥运的安全要求，进行有针对性和高强度的安全建设和保障工作，确保奥运期间万无一失。度的安全建设和保障工作，确保奥运期间万无一失。逐步、分阶段、分部门的建立安全技术基础平台，基逐步、分阶段、分部门的建立安全技术基础平台，基本完成公司信息安全本完成公司信息安全技术技术体系的建设体系的建设，并，并持续改进和持续改进和完善。完善。我们怎么看待等级保护？我们怎么看待等级保护？我们怎么开展等级保护？我们怎

26、么开展等级保护？我们采用什么样的技术方法？我们采用什么样的技术方法？现在，我们第一步做什么？现在，我们第一步做什么？今天探讨的几个问题今天探讨的几个问题等级保护基本需求等级保护基本需求政策要求符合等级保护的要求政策要求符合等级保护的要求系统定级并备案系统定级并备案系统达到系统达到基本要求基本要求相应级别的指标相应级别的指标符合符合测评准则测评准则要求，并通过测评要求，并通过测评实际需求满足实际要求实际需求满足实际要求融合现有的安全体系或安全设施融合现有的安全体系或安全设施同时满足客户的其他符合性要求，如同时满足客户的其他符合性要求，如SOXSOX，国际标准，行业，国际标准，行业标准等标准等适应

27、业务特性与安全要求的差异性，并满足超过指标的高适应业务特性与安全要求的差异性，并满足超过指标的高要求要求需要整体考虑所有系统，统一进行安全建设和管理需要整体考虑所有系统，统一进行安全建设和管理需要建立长效机制，可持续运行、发展和完善需要建立长效机制，可持续运行、发展和完善等级保护需求分析等级保护需求分析融合现有安全设施基础上，融合融合现有安全设施基础上，融合客户的其他客户的其他符合性要求，从整体出发，统一符合性要求，从整体出发，统一建设建设/ /改造一改造一套符合等级保护制度的安全体系套符合等级保护制度的安全体系 采用安全域框架设计和风险评估的方法，反映行采用安全域框架设计和风险评估的方法，反

28、映行业形象与业务特性，反映安全要求的差异性，并业形象与业务特性，反映安全要求的差异性，并满足超过指标的高要求满足超过指标的高要求 采用统一安全平台建设基础上各系统单独保护的采用统一安全平台建设基础上各系统单独保护的方法，解决各系统单独保护形成信息的孤岛和分方法，解决各系统单独保护形成信息的孤岛和分散重复建设散重复建设 采用建立一套安全运维体系的方法，来建立长效采用建立一套安全运维体系的方法，来建立长效机制，做到可持续运行、发展和完善机制，做到可持续运行、发展和完善整体整体安全目标安全目标分等级的分等级的保护对象框架保护对象框架体系建设体系建设和运行和运行组织体系组织体系技术体系技术体系运作体系

29、运作体系策略体系策略体系安全要求与对策框架安全要求与对策框架客户的信息资产客户的信息资产定级定级分解分解国家规定国家规定的各等级的各等级安全要求安全要求定制定制分等级的分等级的安全目标安全目标等级保护体系等级保护体系总体设计方法总体设计方法TopSecTopSec等级保护体系等级保护体系安全域框架设计方法银行业安全域框架设计方法银行业安全域框架石油行业安全域框架石油行业安全域框架安全域框架- -政府行业政府行业中央节点中央节点直属节点直属节点政务外网政务外网政务专网政务专网政务内网政务内网安全域框架电信行业安全域框架电信行业项目建设项目建设安全管理安全管理安全风险安全风险管理管理安全运行安全运

30、行维护维护安全体系安全体系的建设的建设制定企业或制定企业或部门级体系部门级体系制定总体制定总体安全体系安全体系按要求开展工作按要求开展工作安全目标安全目标安全要求安全要求提出安全提出安全规范、要求规范、要求根据要求根据要求评估建设评估建设跟踪、定期审核跟踪、定期审核安全建设工作安全建设工作按要求进行按要求进行安全建设工作安全建设工作申请立项申请立项提供项目安全说明提供项目安全说明弱点评估弱点评估系统加固系统加固安全事件处理安全事件处理按要求进行按要求进行建设建设应急响应计划应急响应计划定期评估定期评估安全现状安全现状监控、审计监控、审计安全现状安全现状安全预警安全预警提出规范、要求提出规范、要求设备安全维护设备安全维护系统安全维护系统安全维护考核和检查考核和检查落实规范、要求落实规范、要求制定运维作业计划制定运维作业计划总部层面总部层面省