联想网御安全服务-cisp和等级保护介绍0916

1、CISP培训和等级保护联想网御 2008年9月1联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例2安全服务产品线3联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例4培训服务业务的目标及定位培养高素质信息安全人才，助力提升我国各政府机构及企事业单位信息系统的安全保障水平基于联想领先的信息安全顾问咨询经验和专业培训运作经验，面向客户提供权威、实用的、专业的信息安全培训服务业务目标5培训服务的位置评估体系规

2、划体系建设实施体系运行客户角度价值提高安全意识、统一认识、推动体系、提高安全维护保障和审计的技能提高意识统一认识方案宣贯体系推动体系提高安全维护保障和审计的技能6培训课程体系LCTCCISP注册信息安全专业人员(Certified Information Security Professional)CISECISOCISA联想信息安全培训中心(Lenovo Security Training Center)注册信息安全工程师(Certified Information Security Engineer)注册信息安全管理人员(Certified Information Security Off

3、icer)注册信息安全审核员(Certified Information Security Auditor)定制培训LSPE联想认证安全产品工程师(Lenovo Certified Security Product Engineer)CISM注册信息安全员(Certified Information Security Member)可根据实际需要选择任意信息安全培训课程78CISP培训“注册信息安全专业人员”Certified Information Security Professional，简称CISP，是(Engineer、Officer、Auditor) 统称背景 1、中国信息安全产品

4、测评认证中心实施国家认证 2、是国家对人员资质的最高认可 3、相关机构必备的信息安全管理、技术人员9推出机构课程费用认证程序课程内容目前通过认证的人数以及人员构成特点前景 CISP培训10CISP费用测评中心规定的统一价格全部费用12800元/人联想网御收取注册培训费9800元/人，包括培训费、教材费、授权管理费、培训期间的午餐费（不含学员住宿费和其他餐费），由联想网御开具发票测评中心收取的费用3000元/人，包括考试费1000元/人，认证费500元/人，注册费和注册维持费1500元/人/3年，由测评中心开具发票11认证流程未通过未通过未通过不符合要求咨 询注册申请缴纳费用证书发放证后监督考试

5、资质审核参加考试注册资质审核申 请 者12CISE课程主要内容信息安全保障体系信息安全理论信息安全技术信息安全管理信息安全标准与法律法规CISP培训13信息安全理论（1.5天）信息安全保障体系信息安全模型信息安全测评认证信息安全技术（6天）密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CAUNIX安全管理Windows安全管理数据库安全管理恶意代码安全编程安全工程及管理（4.5天）安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规（1.5天）信息安全标准信息安全法律法规考试（0.5天）考试信息安全工程师14信息安全理论（2天）信息安全概述信息安全保障体系信

6、息安全模型信息安全测评认证信息安全技术（4天）密码技术网络与通信安全防火墙入侵检测技术VPNPKI/CA系统安全管理恶意代码安全工程及管理（6天）信息安全管理体系风险评估安全工程应急响应灾难备份和恢复安全攻防物理安全安全标准和法规（1.5天）信息安全标准信息安全法律法规考试（0.5天）考试信息安全管理人员15目前通过认证的人数特点1千多早期特点中期特点现在特点16前景国内第一国内外培训产品竞争激烈17CISP成功案例九期共160多人CISP 培训通过率90%以上公司品牌推广客户关系维系18联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公

7、司等保优势定级测评后等保服务等保典型案例19公司CISP培训政策调整政策背景鉴于08年中国信息安全产品测评中心（以下简称测评中心）授权培训管理费的调整，经安全服务部研究讨论和公司领导批准，为规范和鼓励开展CISP培训工作，特下发联想网御安全服务CISP培训管理规定20公司CISP培训政策开班条件北京开班人数不低于10人，在外地开班人数不低于12人如不够开班人数，则所报人员顺延到满足开班条件时开班如遇到特殊情况（如奥运，两会等），开班时间另行通知21公司CISP培训政策培训形式开班时间为每年3月、6月、9月、12月上旬在北京主办CISP培训外地不受固定时间限制，只受开班条件限制；如果有满足开班条

8、件且急需培训的，各地均可随时向北京申请开班22公司CISP培训政策优惠与鼓励措施在北京开班培训人数10人时，按注册培训费原价收取第11人到第15人注册培训费九折优惠第16人到第20人注册培训费八折优惠第21人以上注册培训费按7000元/人收取（相当于七点一折优惠）在外地开班培训时，相当于在北京开班培训人数基础上增加2人，既可以享受以上各段折扣优惠。低于以上注册培训费折扣价格时，需要根据公司现有相关流程审批考试费、认证费和年金（共计3000元/人）由测评中心收取的固定费用，没有任何折扣23公司CISP培训政策特殊说明为维护大客户关系或为推动大工程项目销售而需要赠送CISP培训时，根据所需培训的具

9、体人数，由发起人按公司现有相关流程审批，并按第前面规定单独核算安全服务部所创造的销量24联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例25目前的等级保护进展定级完毕测评在进行中怎样具体整改?政策真空期26联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例27公司等保优势参与国家标准编写，与主管部门关系融洽承担国家试点工作，树立了等级保护标杆符合国家政策要求，形成等级保护方法论总结试点实施经验，精炼等级

10、保护知识库多年专业服务历程，储备了大量专家顾问完整服务体系资质，保障了服务可信可靠28按需防御的等级保护基于丰富的安全定级知识库、风险评估知识库和安全体系知识库为理论基础，以等级化支撑平台为支撑，以等级安全体系为架构，以安全需求为导向，通过专业安全服务和高性能安全产品，保证安全定级合理准确、体系建设科学规范、安全运维持续稳定。 等级化安全体系核心技术核心技术1234安全定级知识库风险评估知识库安全体系知识库等级化支撑平台29核心技术-安全定级知识库信息系统定级是实施等级保护的首要步骤，是明确信息系统重要程度和安全目标的有效方法。安全定级知识库通过细化的定级要素和科学的定级算法，保证不同行业、不

11、同类型信息系统定级的合理准确。 系统分类库：第一层针对行业特点分类第二层针对应用特点分类定级要素库：通用定级要素行业定级要素系统分类定级要素等级算法库：S&I算法：系统服务保证性和业务信息安全性制定的等级算法CIA算法：保密性、完整性、可用性制定的等级算法报告模版库：通用等级报告模版行业等级报告模版定级备案模版30核心技术-风险评估知识库联想网御与国家信息中心共同成立了风险评估联合实验室，总结国内外相关标准和最佳实践，结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法，

12、保证风险评估工作的客观全面。 资产漏洞库：用于分析系统安全弱点覆盖全面，大多数品牌的各类主机、网络产品威胁信息库：是基于威胁来源、威胁途径、威胁手段的安全威胁资源库，用于分析系统安全威胁 评估方法库：是风险评估各阶段评估方法、评估流程、检查列表库 报告模版库：是评估过程各阶段报告模版库31核心技术-安全体系知识库安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验，结合国家和行业相关信息安全指标，形成了安全体系知识库。安全体系知识库以分级分域为核心思想，采用等级化和体系化的方法，保证信息安全体系科学规范。 分类方法：第一层针对行业特点分类第二层针对应用特点分

13、类第三层针对安全等级分类第四层针对单元类型分类各指标库包含内容：等级安全指标测评方法解决方法适用产品体系模版包含内容：体系架构设计模版安全区域设计模版产品解决方案模版各类操作手册模版各类制度模版32联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例33安全运维体系建设评估定级等级化安全体系实施流程安全风险评估安全风险现状信息系统资产库系统定级对策策略组织技术运行安全管理解决方案安全技术解决方案安全体系框架设计区域架构安全对策框架需求安全规划安全预警安全监控安全审计系统监控风险评估等级测评方案实施等级

14、化安全区域架构风险评估等级测评验收系统改进安全加固应急响应等级测评34等级保护安全要求分析？物理安全技术手段解决安全加固管理手段解决等级保护安全要求10个单元网络安全主机安全应用安全数据及备份恢复管理要求5个单元安全产品审核表单安全制度35怎样依据等级完成等级保护建设？风险评估信息系统安全需求安全管理解决等级测评安全加固解决安全产品解决达到系统等级要求信息系统定级362级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置2级系统体系建设2级二级系统边界安全解决方案互联网边界访问控制外联网访问控制网关防病毒网络入侵检测防火墙入侵检测系统防病毒网关综合安全网关2

15、级二级系统内网安全解决方案桌面防病毒补丁分发管理周期性风险评估加固（每年1次）终端管理补丁管理安全加固日志分析2级二级系统应用安全解决方案应用健康监控数据存储备份安全审计应用安全管理2级二级系统安全管理解决方案设备安全监控日志审计部署定期发布正式安全策略安全策略设计3级系统解决方案按需防御的等级保护解决方案建设阶段适用安全等级方案名称主要安全目标产品配置3级系统体系建设3级三级系统边界安全解决方案互联网边界访问控制外联网访问控制内网区域隔离访问控制网络加密传输网关防病毒网关防垃圾邮件网络入侵检测网络入侵防护网络抗DDos防火墙网络密码机入侵检测系统防病毒网关入侵防护系统安全隔离网闸综合安全网关

16、3级三级系统内网安全解决方案可信终端管理桌面防病毒补丁分发管理周期性风险评估加固（每半年1次）终端管理补丁管理风险评估安全加固日志分析3级三级系统应用安全解决方案用户身份双因素认证应用健康监控数据库审计数据存储备份定期渗透性测试（每半年1次）CA数字证书系统安全审计应用安全管理渗透性测试3级三级系统安全管理解决方案设备安全监控日志审计部署设备集中管理集中策略分发定期发布及更新文档化的正式安全策略安全管理系统安全策略设计评估定级服务组件评估定级服务组件分类服务组件描述输出评估定级服务风险评估通过对系统中主机安全、网络安全、应用安全、安全管理等方面的评估，发现系统的安全风险和安全现状。风险评估报告

17、安全需求分析报告系统定级划分系统的安全域架构，分析系统业务特性和信息特性制定定级规则，确定系统的安全保护等级。系统定级报告等级评估以等级安全指标要求为基线，评估系统当前的安全措施与等级要求之间的差距。等级评估报告体系设计服务组件按需防御的等级保护服务组件分类服务组件描述输出等级安全体系设计服务等级安全体系框架设计根据客户现状和发展趋势要求，通过识别信息资产和建立分级分域的保护对象框架，设计各等级安全指标，构建机构整体信息安全体系。等级安全体系框架建议等级保护安全技术方案设计根据客户现状和发展趋势要求，为用户提供完整全面的安全建议，形成全面解决方案和实施指南，从而对安全风险进行有效控制。等级保护

18、解决方案建议等级保护安全管理方案设计根据用户安全现状和发展趋势要求，指导客户设计对包括敏感信息在内的信息资产进行管理、保护和利用的规则，制订各类安全管理制度、标准、规范、流程等策略文件。等级保护安全管理制度建议等级保护安全规划设计分析客户安全需求得出安全控制措施，并对安全控制的相关性、紧迫性、可实施性、难易程度和预期效果等进行分析，对客户未来3-5年信息安全工作进行规划。等级保护体系安全规划建议安全运维服务组件按需防御的等级保护服务组件分类服务组件描述输出安全运维服务安全预警采用安全通告等方式，在大规模病毒、网络攻击等爆发之前，发布安全预警信息，提前做好安全防范。安全预警通告安全监控结合人工与

19、工具平台的分析方法，对主机设备、安全设备等进行监控，找到当前系统及设备存在的隐患和被攻击痕迹，并提出的问题提供修补建议。安全监控报告安全加固通过定期的安全巡检，进行漏洞检查、补丁管理、安全加固等工作，防范系统因安全漏洞导致安全风险。安全加固报告安全审计通过采集关键服务器、防火墙、路由器、交换机等设备的日志，进行日志分析和恶意行为取证。安全审计报告应急响应在安全事件发生后迅速采取措施和行动，快速恢复系统的保密性、完整性和可用性，降低安全威胁事件给组织带来的严重影响。应急响应报告联想网御2008年工作计划目录安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级

20、测评后等保服务等保典型案例42等级保护服务案例清单 序号案例名称1广东省电子政务等级保护试点项目2农业部信息系统安全定级服务项目3徐州市地税系统等级保护试点项目4天津市电子政务等级保护试点项目5江门市电子政务等级保护试点项目6天津市电子政务等级保护服务项目7佛山市电子政务等级保护服务项目8南海电子政务等级保护服务项目9北京移动等级化安全体系咨询项目10中国农业银行等级化体系服务项目等级保护对业务价值1：符合国家法律和政策政策要求，避免法律风险3：体现组织利益，投资节省，实现重点保护4：安全工作规范化，安全工作思路清晰5：精细化安全管理，全面提高信息安全保障水平2：符合行业需求，保护合作伙伴利益

21、6：扩大服务范围、提搞服务质量、增强客户满意度7：提高企业声誉,增强竞争力8：促进区域、部门合作，知识资本发挥最大效益安全直接效益业务推动效益44等级保护试点工作内容系统调查与评估等级化服务项目分域保护框架建设对象 资产调查总体安全建议 电子政务系统等级划分 建议方案和管理规范应用与业务调查定级规范调查系统定级分域设计网络调整方案安全组织管理办法系统风险和安全措施调查评估加固方案体系和规划建议项目报告45风险评估知识库应用举例46风险评估知识库应用举例47系统调查评估48电子政务定级规范细化49定级过程50定级结果示例序号系统名称三性安全等级系统安全等级保密性等级完整性等级可用性等级1XX市社

22、会保险管理信息系统33332XX市民政业务系统22223XX市社会保障（市民）卡业务系统22224XX市大社保平台数据中心系统23235XX市社会保险公共服务系统2222分域保护52网络安全性改造与安全域解决方案示例53安全解决方案管理体系建设电子政务安全组织管理办法电子政务网络系统安全规范电子政务互联网服务安全规范电子政务安全业务系统接入规范电子政务系统等级安全措施指标电子政务信息安全应急预案电子政务安全运行维护作业计划技术体系建设网络安全改造与安全域隔离 周期性安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心 54等级保护管理制度示例安全体系规划56某大型通信企业

23、等级化安全体系咨询项目57如何开展等级保护工作1.全面评估现有系统2.制定符合组织特点的等级划分规则并定级3.制定公司级安全制度和三年安全规划1.制定部门级安全制度2.解决风险评估技术问题3.实施部分技术改造4.设计信息安全管理平台1.全面推广公司安全策略2.安全运维工作外包3.完善信息安全管理平台全面了解组织IT资产和业务流程确定保护重点对象和内容确定公司的安全政策完成安全域改造完成全网审计完成操作性制度安全培训推广安全制度运维外包完成风险转移平台建立实现安全信息管理58等级化安全体系解决方案设计流程保护对象公司部门系统计算区域网络基础设施边界核心服务器区域终端接入区域第三方接入区域安全目标公司安全目标部门安全建设目标系统安全建设目标安全要求机密性完整性可用性安全组织安全策略安全运作安全技术安全措施策略解决方案59等级保护成果风险评估（直接效果）60等级保护的成果-安全组织主管领导（主管安全）领导小组组长Xx部门负责人成员Xx部门负责人成员Xx部门负责人成员Xx部门负责人工作组组长Xx部门负责人成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员办公室负责人Xx系统管理员成员安全管理员安全技术员信息安全办公室安全组织在